Shadow Defender…recenzja nieobiektywna
#1
Są takie programy, które noszą znamiona geniuszu ich autora i do których przez lata używania nabieramy coraz więcej szacunku czy może nawet nabożnej wierności i uwielbienia…wybaczamy im wpadki i drobne niedociągnięcia, a wszystko, co złe, zapominamy szybciej, niż trwało i zanim zdążyło zniechęcić nas na serio. Mam kilka ulubionych programów, do których mój stosunek jest tak emocjonalny, a jednym z nich jest Shadow Defender – program do tzw. „lekkiej wirtualizacji”, który kilka lat temu nazwano „najlepszym kawałkiem kodu, jaki kiedykolwiek stworzono”.

[Obrazek: logo.gif]

SD wśród pasjonatów programów do zabezpieczeń ma status na pewno legendy, a jego historia przez ostatnie 4 lata stała się równie dziwna i tajemnicza…a może nawet bardziej…niż fabuła niejednego filmu sensacyjnego. Autor programu – powszechnie znany jako Tony – jest chińczykiem i rozwija swój program w Chinach – państwie równie fascynującym, co tajemniczym od tysiącleci i chyba tyleż samo budzącym przerażenie podejściem do praw i życia człowieka. Na początku 2010 roku autor programu po prostu zaginął…zniknął i nie było z nim żadnego kontaktu, nikt też nie miał pojęcia, co się wydarzyło…trwały więc spekulacje czy to z powodu trzęsienia ziemi, które wtedy miało miejsce…czy to z powodu niepokojów społecznych, które co jakiś czas ogarniają to państwo i są krwawo tłumione…czy jakiegokolwiek innego mniej lub bardziej tajemniczego powodu, który przyszedł na myśl.
Rozwój programu uległ zahamowaniu, ale to nie wszystko…sensacje zaczęły budzić pojawiające się podróbki oryginalnego Shadow Defender, fałszywa strona programu, a nawet ludzie, którzy zaczęli się przedstawiać jako znajomi Tony’ego i którzy powołując się na osobiste i aktualne kontakty przekazywali od niego jakieś wiadomości na temat jego życia i zdrowia. Znaczna większość z tych faktów nie zyskała żadnego potwierdzenia czy autoryzacji…część nie mogła być sprawdzona z definicji. Oliwy do ognia dolała nagle nowa wersja programu, która na oficjalnej i wciąż istniejącej stronie SD wzięła się dosłownie znikąd, a która różniła się od poprzedniej i ostatniej sygnowanej przez autora tylko numerem i dołożoną polską wersją, napisaną w uzgodnieniu z autorem do kolejnego wydania…to była wersja 1.1.0.331 z marca 2011…i potem znów przerwa na niemal 2 lata. Nikt nie wie, kto i po co ją wydał, dlatego m.in. część „starych” użytkowników pozostała jednak przy poprzedniej autorskiej z numerem 1.1.0.325…i tak jest do dziś. Sam do niedawna używałem tej wersji i nie tyle ze względów na brak zaufania do programu, ale dlatego, że nowe w funkcje w kolejnych wersjach nie oferują mi jakiś znaczących profitów (starsze systemy, możliwości sprzętowe), choć na pewno są one istotne dla wielu innych.
I nagle szok…po ponad 3 latach i ku zaskoczeniu wszystkich, autor znów się pokazał…niektórym tylko ujawnił część swojej historii i od nich w mniej lub bardziej pośredni sposób można było uzyskać wersyfikację, że to wciąż ta sama osoba. Dla części to za mało i pożegnali się z programem, dla innych wystarczająco dużo, by zaufać programowi tym bardziej, że Tony wziął się solidnie za rozwój swojego dzieła i zaczął sypać kolejnymi wersjami, a każda z nich naprawiała jakieś błędy w działaniu lub wprowadzała nowe funkcje.

Wg mnie program trochę stracił na popularności przez te lata, a jego dziwnie pokręcona historia nadszarpnęła zaufanie do niego, dlatego uważam, że chyba czas najwyższy przywrócić należną mu pozycję lidera. Pora, by więcej ludzi program poznało i zaufało mu, bo w kwestii bezpieczeństwa zaufanie jest podstawowym czynnikiem, którym się kierujemy i który wpływa na wszystko ,co potem w tym kierunku robimy. Jeśli macie wątpliwości, zapraszam do dalszej części...może warto poznać temat nieco szerzej i ewentualne wątpliwości ostatecznie rozstrzygnąć? A jeśli nie macie…w sumie też możecie poczytać Smile

Parę lat temu (o rany, ale zbieżność Smile) zamieściłem tu na forum recenzję programu, którego podstawowa funkcjonalność jest zasadniczo identyczna – to był Returnil System Safe i właściwie trudno byłoby coś w opisie zalet wirtualizacji systemu zmienić. Tak sobie myślę jednak, że to dla części użytkowników wciąż „ciemna strona mocy”…bez urazy proszę, to tylko określenie braku zrozumienia i jakiejś dziwnej niechęci do rozwiązań niestandardowych i mało powszechnych…dlatego dla przypomnienia słów kilka o niej.
Wirtualizacja systemu polega, najprościej mówiąc, na tworzeniu w pamięci komputera dokładnej kopii systemu, na której to kopii użytkownik potem pracuje…ta kopia to właśnie system wirtualny czyli nierzeczywisty…to taki w pełni funkcjonalny klon systemu, mający wszystkie jego cechy użytkowe i pozwalający działać na nim równie sprawnie, jak na systemie prawdziwym. W omawianym programie tryb ten nosi nazwę „Shadow Mode” (w skrócie SM) i można poznać, że jest włączony po błękitnej ikonie przy nazwie dysku w oknie programu oraz tej działającej w zasobniku systemowym na pasku zadań. Podstawowe zalety takiego systemu są dwie i one implikują dalsze korzyści i zastosowania:
- system taki jest tworem działającym tylko w danym momencie w pamięci, więc nie jest czymś trwałym,
- jest odizolowany od systemu rzeczywistego i żadna zmiana nie jest do niego zapisywana w trakcie pracy ani po jej zakończeniu (są wyjątki, ale o tym dalej).


Już na pierwszy rzut oka widać, że obydwie funkcje są istotne dla bezpieczeństwa, kondycji naszych systemów i danych przechowywanych na komputerze. Pierwsza z nich (czyli tymczasowość takiego systemu) oferuje dodatkowo następujące korzyści:
- niezwykle trudno, a właściwie niemożliwe jest odzyskanie danych z tak działającego systemu, a więc i śladów po naszej aktywności w internecie, po używanych plikach i dokumentach, co wpływa na zwiększenie naszej prywatności,
- SD na dodatek daje możliwość tworzenia systemu w pamięci RAM czyli tej szybszej i bardziej ulotnej, niż fizyczna pamięć dyskowa, co zdecydowanie może przyspieszyć wykonywane operacje,
- wydzieloną i pracującą jako obraz systemu pamięć można zaszyfrować, co powoduje, że nawet chwilowo zapisane w niej dane są dostępne tylko dla programu i dla nikogo więcej.

Kolejna zasadnicza możliwość czyli izolacja i brak zapisu do prawdziwego systemu pozwala natomiast uniknąć wprowadzenia do systemu niechcianych, przypadkowych i niekorzystnych zmian, co od razu wskazuje, że może mieć następujące zastosowanie:
- zabezpieczenie systemu (i innych dostępnych dysków) przed zainstalowaniem w nich szkodników/infekcji i dokonaniem przez nich poważnych szkód,
- unikanie wprowadzenia niekorzystnych czy niechcianych zmian związanych z nierozważnym czy przypadkowym zainstalowaniem oprogramowania,
- celowe testowanie programów, dokonywaniu zmian w ustawieniach systemu oraz dokonywaniu innych dowolnych operacji na programach czy plikach,
- ograniczenie konieczności przeprowadzania konserwacji systemu m.in. czyszczenia z plików śmieci, śladów aktywności internetowej, czyszczenia rejestru i jego optymalizacji, defragmentacji dysku, itp.


Poza głównymi funkcjonalnościami wynikającymi niejako z definicji, SD oferuje jeszcze i inne, wychodzące naprzeciw użytkownikom – te, które uchwyciłem wymieniam poniżej.
- Dla tych, którym zależy na możliwości zapisu danych w trakcie sesji trybu SM np. pobieranych aktualizacji systemu, zabezpieczeń (sygnatury AV) czy innych programów program daje możliwość zapisu zmian oferując panel „Commit Now” – możemy tu stworzyć listę lokalizacji, w których zmiany z sesji będą zapisywane do systemu/dysku rzeczywistego (operacja ręczna, na żądanie); zmiany w wybranych lokalizacjach można również zapisać dzięki poleceniu z menu kontekstowego (włączane opcjonalnie), można również ich dokonać całościowo podczas wychodzenia z trybu SM – program zawsze pyta czy zmiany zapisać czy odrzucić przed restartem systemu.
- Dla tych którzy potrzebują, by określone lokalizacje realnego systemu/dysku były wykluczone z wirtualizacji jest możliwość stworzenia ich listy w panelu „Exclusion List” – działa to podobnie jak poprzednia funkcja, ale jest całkowicie automatyczna i nie wymaga naszego udziału (tu należy uważać na to, co się do tej listy dopisuje – te obszary będą to po prostu automatycznie wykluczone spod ochrony!).
- SD pozwala na ochronę całego sektora „Track0”, a nie tylko samego sektora MBR, który jest jego częścią, jak było jeszcze niedawno w poprzednich wersjach...ma to znaczenie przy ochronie przeciwko zaawansowanym formom rootkitów.
- Umożliwia całkowite lub wybiórcze objęcie wirtualizacją wszystkich dysków lokalnych w komputerze (również podpiętych napędów USB).
- Pozwala na wykluczenie niektórych ważnych dla użytkownika fragmentów rejestru (ma to m.in. związek z innym zainstalowanym oprogramowaniem oraz jego aktualizacjami).
- Wprowadza w najnowszej wersji możliwość wejścia w stan hibernacji w trybie SM, co pewnie ma pozwalać na oszczędzanie energii podczas jednej sesji programu.
- Daje możliwość ochrony hasłem programu i ustawień, oraz jego automatyczną aktualizację.
- No i na koniec coś dla bardziej wyczulonych na dbałość o system - oczywiście permanentne korzystanie z trybu wirtualizacji – czyli bez względu na dokonywane kolejne uruchomienia systemu, zawsze będziemy działać na systemie/dysku nierzeczywistym.

W porównaniu z istniejącą i byłą (na przestrzeni ostatnich kilku lat) konkurencją SD nie oferuje zbyt wielu dodatkowych funkcji rozbudowujących jego funkcjonalność jak np. kontenery na zaufane pliki, migawki systemu czy skaner AV, jak było w przypadku Returnil System Safe czy dodatkową ochronę wybranych folderów jak w przypadku Wondershare Time Freeze czy Toolwiz Time Freeze. Jednak prostota i przejrzystość powoduje, że jest to narzędzie uniwersalne, łatwe w obsłudze i niezwykle skuteczne w działaniu…i to są właśnie główne zalety SD. Przez kilka lat użytkowania nie miałem z programem problemu zarówno na XP, Viście na Win7 (poza opisywana tu przeze mnie krótkotrwałym problemem z wersją poprzedzającą najnowsze wydanie)…program zawsze gubił zmiany na dyskach, zawsze prawidłowo powracał do rzeczywistego systemu i zawsze był to stan stabilny i bezpieczny. Mogłem z pewnością wynoszącą 100% testować :najdziksze” zmiany w systemie i instalować najbardziej podejrzane programy, wiedząc że wystarczy restart komputera i znów będę się cieszyć zdrowym systemem.
Shadow Defender oczywiście był testowany przeciwko infekcjom różnego typu, a wyniki tych testów były u nas omawiane
w maju 2012 tu oraz w lipcu 2012 tu i jest to jedyny znany mi test, którego SD nie przeszedł (infekcja Bootkit Sinowal.B). Wyniki nie były i nie są jednak do końca jednoznaczne, ponieważ dotyczyły wersji 1.1.0.331, o której wspominałem wyżej.

Czy mamy więc pewność, że SD to dobre zabezpieczenie? Pomijając jeden udany udokumentowany atak, który z systemu wirtualnego przeniósł się do rzeczywistego, można spokojnie powiedzieć, ze tak – to dobre zabezpieczenie (na marginesie – czy przypominacie sobie skuteczność AV?). Używając SD mamy gwarancję, że nic nam nie grozi…że żadna infekcja nam nie zaszkodzi, choć oczywiście może nas dosięgnąć podczas działania w trybie SM…że możemy bezpiecznie dokonywać prób i testów na systemie…ale jest jedno istotne „ale”, o którym nie wolno zapomnieć. Shadow Defender, jak i wszystkie podobne programy do wirtualizacji czy tylko izolacji (np. wszelkie piaskownice) nie chronią przed tzw. wyciekiem danych („data leaking”). Co to oznacza?...że izolowany program czy cały system nie napotyka ze strony tego typu zabezpieczeń na ograniczenia i restrykcje. Innymi słowy
- jeśli pozwolimy na połączenie sieciowe, to ono nastąpi (choć reguła w zaporze się nie zachowa),
- jeśli w ten sposób pobierzemy jakiś szkodliwy komponent, to (jeśli nie ma innych odpowiednich zabezpieczeń), może się on uruchomić i na przykład pobrać nasze dane logowania podczas sesji bankowości online, które prześle na swoje serwery (ale samo malware zniknie po restarcie)…nie trzeba tłumaczyć, czym to grozi,
- może też na przykład po uruchomieniu zaszyfrować nam pliki na innym dostępnym dysku, który nie był podczas tej sesji zwirtualizowany…w rezultacie fizycznie szkodnika po restarcie nie będzie, ale nasze dane i tak pójdą w diabły.


Pamiętajmy – SD nie służy do wykrywania szkodników, nadawania im ograniczeń czy ich unieszkodliwiania…SD służy tylko (i aż) do pracy na specjalnie stworzonym nierealnym systemie i ma swoje konkretne ograniczenia wynikajace ze specyfiki takiego rozwiązania. Nie jest remedium na wszystko…powinno być raczej jedną z kilku warstw ochronnych, które powinniśmy na co dzień stosować, ale za to warstwą niezwykle szczelną i skuteczną.

I to już chyba wszystko…dziękuję tym, którzy wytrwali do końca tekstu…przepraszam tych, których znudziłem. Jeśli macie uwagi, pytania…piszcie i pytajcie, postaram się odpowiedzieć w miarę swoich możliwości.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
ichito jest debeściak Smile

Wspaniale napisana recenzja programu Shadow Defender. Wielkie dzięki Smile


Pozdrawiam

Jacenty
Odpowiedz
#3
Bardzo przyjemna i bogata w szczegóły historia, super się czyta. Tak od siebie dodam, że z SD korzystałem zdaje się tylko kilka dni i jednak wygoda oraz mnogość operacji, które wykonywałem podczas "komputerowej sesji" nie pozwoliła mi na dłuższe przygody z programem. Często skupiałem się na wielu rzeczach jednocześnie i podczas kiedy mogły w systemie następować zmiany, których nie chciałbym odczuwać, dokonywałem również świadomych zmian w różnych bliżej nieokreślonych lokalizacjach systemu. Roztargnienie to dało mi do zrozumienia, że SD to dla mnie zbyt kompleksowy program - nie chcę lub nie mam czas zastanawiać się jakie lokalizacje mają być wykluczone, jakie niezaufane, czy pliki z którymi pracuję będą zapisane po restarcie, itp. Smile

Brakuje mi rozwiązania podobnego do BufferZone - uruchomienie danego programu z menu kontekstowego i po zakończonej pracy decyzja, czy zmiany mają zostać zachowane, czy usunięte; dodatkowa możliwość wirtualizacji nośników USB, a reszta systemu zupełnie bez wirtualizacji. No chyba że SD już pozwala na taką pracę, ale z tego co zrozumiałem wynika, że nie Smile

Dzięki za świetny wpis!
SpyShelter Firewall
Odpowiedz
#4
ichito napisał(a):- może też na przykład po uruchomieniu zaszyfrować nam pliki na innym dostępnym dysku, który nie był podczas tej sesji zwirtualizowany…w rezultacie fizycznie szkodnika po restarcie nie będzie, ale nasze dane i tak pójdą w diabły.
Yy, że co?! Do tego momentu fajnie się czytało, ale teraz prawie spadłem z krzesła. Wychodzi na to, że albo wirtualizacja całego systemu albo wcale, bo tak to nie ma żadnego sensu.
Bitdefender Free + HitmanPro.Alert 3 (CTP4) | ADP + Ghostery | Malwarebytes Anti-Malware + HitmanPro
Odpowiedz
#5
@ichito

gratulacje równa 500-tka Smile

Pozdrawiam

Jacenty
Odpowiedz
#6
Dobry teścik i plusikzasłużony żeby nie brać w ciemno.
Ewangelia Jana 3:16
Odpowiedz
#7
Patrick Bateman napisał(a):Yy, że co?! Do tego momentu fajnie się czytało, ale teraz prawie spadłem z krzesła. Wychodzi na to, że albo wirtualizacja całego systemu albo wcale, bo tak to nie ma żadnego sensu.
A phishing? Przecież wirtualizacja systemu Cię przed nim nie ochroni, bo dane i tak polecą w sieć, o tym przecież też pisał ichito. Zwirtualizowany "kontener" udostępnia wszystkie zasoby sklonowanego systemu przykładowo dla procesów, również malware. Jeśli w sklonowanym systemie rozprzestrzeni się infekcja, to po podłączeniu zewnętrznego, niezabezpieczonego dysku USB, prawdopodobnie zostanie on zarażony, normalna kolej rzeczy Wink
SpyShelter Firewall
Odpowiedz
#8
Czasem jak wysyłam screeny do znajomych i pytają mnie co to ten ShadowDefender to staram sie im to wytłumaczyć w prosty sposób żeby osoba nie mająca pojęcia mogla go zrozumieć.

Shadow Defender jest jak Kopia systemu która wczytuje od nowa ten sam moment zapisu przy każdym rozruchu.
Przez co chroni cie przed stałymi nie pożądanymi zmianami, nie mniej jednak system w czasie teraźniejszym jest nadal tak samo podatny.
Dlatego powinno to być to jako dodatkowe oprogramowanie zabezpieczające, a nie jako główne.
Odpowiedz
#9
Shadow Defender daje poza skuteczną wirtualizacją tyle, ile dają pozostałe zabezpieczenia...jeśli mamy goły system, to mamy tylko tyle ile daje systemowa zapora, ograniczenia na koncie użytkownika (LUA, UAC), włączona usługa systemowego defendera czy SRP (Software Restriction Policies)...to już coś, ale czasem nie wystarczy, więc nie ma paniki, ale trzeba być czujnym Smile
SD ma swoje ograniczenia i dobrze to ujął Nikita
Cytat:Zwirtualizowany "kontener" udostępnia wszystkie zasoby sklonowanego systemu
.

Przyznam, że świadomie użyłem pewnego uproszczenia mówiąc w którymś momencie o piaskownicach, bo one niezwykle rzadko bazują tylko na mechanizmie izolacji - przykładem może być prosta piaskownica SecuBrowser (chyba już porzucona niestety), ale takie produkty jak Sandboxie, BufferZone, Safe''n''Sec czy Surf Canister dodają z definicji restrykcje na obszary czy procesy. W związku z tym mogą stać się dla niektórych właściwie samodzielnym rozwiązaniem. Niestety poza Sbie nie już chyba samodzielnego i rozwijanego wciąż gracza...żal niestety, bo brak konkurencji źle wpływa na rozwój oprogramowania.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#10
Ichito, dzięki wielkie za świetny tekst, którego lektura to czysta przyjemność! Beer
Nie zgadzam się jednak z tytułem, a konkretnie z jego drugim członem, bo w tejże historii obiektywizm jest - w moim przekonaniu - czynnikiem dominującym, co dodatkowo wzmacnia wartości merytoryczne tekstu i czyni go jeszcze bardziej przydatnym i cennym dla wszystkich zainteresowanych użytkowników Smile
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości