ReHIPS - ochrona proaktywna bazująca na własnych możliwościach systemu
#1
Ostatnie lata coraz rzadziej dają nam szansę na nowy produkt, który można zaklasyfikować jako HIPS...tego typu programy swoje lata świetności miały za najlepszych czasów XP i zaczęły powoli wymierać zanim Microsoft przestał wspierać swój najdłużej funkcjonujący system. Wynika to prawdopodobnie z wielu czynników, z których na pewno istotne są zmiany w strukturze Windows, tendencja do konstruowania możliwie najbardziej wszechstronnych pakietów oraz coraz większy nacisk od użytkowników na jak najbardziej komfortowe i nie angażujące uwagi działanie programu.
W związku z tym pojawienie się programu nawiązującego możliwościami do staromodnych "dinozaurów", a przy tym działającego na nowatorskich technologiach jest wydarzeniem rzadkim, żeby nie powiedzieć niezwykłym Smile
Rosyjska firma ReCrypt pochwaliła się niedawno skonstruowaniem programu, który nazwała bardzo prosto i wymownie ReHIPS..."re" czyli "znów/ponownie"?...ciekwa jestem czy to zamierzone Smile
Bazując tylko na opisach...niestety nie udało mi się zainstalować programu poprawnie...można program określić jako HIPS bazujący na wbudowanych systemowych technologiach i możliwościach systemu w połączeniu z izolowanym środowiskiem dla procesów niezaufanych.
Cytat:Technology

Windows meets the requirements of C2-level security of the U.S. Department of Defense, it already has all the necessary mechanisms to provide access control. ReHIPS takes advantage of these built-in mechanisms and operates in a restrictive manner (if it is not explicitly allowed, block it). It executes every restricted application in the isolated environment (ReHIPS mode) with its own set of rights. Even if this application is compromised, your operating system stays protected and secure.

ReHIPS protects and doesn''t require updates

ReHIPS doesn''t detect malware. Instead it uses Windows built-in access control mechanisms to ensure system safety and data security. Thus ReHIPS is always actual and doesn''t require frequent updates.

ReHIPS ensures system integrity and stability

Unlike some other sandboxes ReHIPS doesn''t use kernel-mode hooks, splicing and other unsafe rootkit-techniques. It is based on documented Windows security mechanisms ensuring system stability.
Jednym zdaniem można określić program jako rozbudowany program na pograniczu anty-exe/HIPS z możliwością nadawania restrykcji określonym lokalizacjom, aplikacjom, ich blokowania oraz ewentualnego uruchamiania w bezpiecznym środowisku. Niektórzy porównują go do DefenseWall, ale mnie bardziej kojarzy się z SysWatch (poprzednio Safe''n''Sec)...może dlatego, że z DW miałem od zawsze jakieś problemy Smile

Program ma dwa bardziej rozbudowane wątki - jeden na Malwaretips skąd poniżej kilka screenów
http://malwaretips.com/threads/rehips-a ... ost-199681
a drugi na Wildersach
http://www.wilderssecurity.com/threads/rehips.364248/
i z tego ostatniego jeszcze jeden cytat o możliwościach programu
Cytat:Some restrictions that can be applied to a process are:

Don''t allow network access
Restrictions on ability to create child processes
Disallowing execution of the process itself
Restrictions on what file/folder and registry objects can be read, written, or executed by the process
Restrictions on operating system rights that are given to the process
Integrity level that the process runs as
Run process on a separate desktop for better security

[Obrazek: n3DKazf.jpg]
[Obrazek: SXWmip8.jpg]
[Obrazek: l2BjlmA.jpg]

Program jest aktualnie tylko w fazie beta, jest w wersji rosyjskiej i angielskiej, wygląda, że wspiera wszystkie systemy Windows, ale u mnie na Viście się wysypał i pokazał dwa ostrzeżenia związane z procesami ReHIPS.
Program wydaje się być darmowym do zastosowań niekomercyjnych (tak wynika z wpisu na blogu).

[Obrazek: Ko20B2t.jpg]
[Obrazek: MvlaveB.jpg]

Lista zmian do ostatniej wydanej wersji
Cytat: ReHIPS 1.1.0 Beta was released.
Changelog:
- Architecture was refactored and changed to multithreaded
- Separate desktops support was added to make system more secure
- Many small fixes and improvements
Demo-version restrictions were added:
- Limit for the restricted processes is 10


Strona programu
http://re-hips.com/en/
Blog
http://re-crypt.blogspot.co.uk/
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Bardzo dobrze że ktoś wypuszcza jeszcze pojedyncze hipsy bez kobył typu "internet security". Strasznie mi brak dawnych aplikacji typu Malware Defender czy System Safety Monitor.
w10 - OSArmor + Simplewall
Odpowiedz
#3
Program działa dość dziwnie, zaraz po zainstalowaniu tworzy katalogi z kontami wirtualnych użytkowników. Każdy nowy program uruchomiony w trybie restrykcji tworzy kolejny katalog dla siebie.

[Obrazek: ZZ9kgmy.png]

Wszystkie dane programów uruchomionych w trybie restrykcji np pobrane pliki, cache przeglądarek itp lądują właśnie tam i niestety nie są usuwane po zamknięciu chronionego programu, co ważniejsze w samym ReHIPSe nie ma opcji ręcznego czyszczenia wiec tak tam sobie to wszystko zalega...
Odpowiedz
#4
No tak właśnie...specyficznie dość...działa ReHIPS (już chyba wiem skąd nazwa programu - od "Restrictive mode" czyli trybu uruchamiania nieznanych/niezaufanych aplikacji). Z pliku pomocy
Cytat: Restrictive mode (ReHIPS mode) is a mode, in which the application runs on behalf of the user, which
was created by ReHIPS specifically for this application (the so-called ReHIPS-user). Access to other objects
(which do not belong to a ReHIPS-user) will be allowed only if the security descriptors of these objects have
allowance entries for the ReHIPS-user. A number of ReHIPS-users corresponds to a number of applications,
which are considered potentially dangerous by the system administrator.

This means that every potentially dangerous application will run on behalf of its own ReHIPS-user, which
allowstheadministratortorestrictaccesstothesensitiveoperatingsystemobjects.Anyattemptstoviolate
policieswillbestoppedbytheWindowssecuritysubsystem.Evenif anymaliciouscode runs,itsabilityto
access operating system objects will be bound by the system administrator settings.
All information about applications is stored in a database, which is represented by a file in XML format.
Accesstothefileisallowedonlytotheoperatingsystemandtheadministratorsgroup,whichblocksany
unauthorizedaccess.ReHIPSworksdirectlywiththedatabasefile,whichallowsmaintainingup-to-date
information and takes into account any user changes to it. All write operations use transactions with backup,
which provide integrity of the database even if an unexpected application shutdown occurs while writing to the
file.

Running an Application
When an application is started the following occurs.
Iftheuserchoosesthe«Allowrestricted»optiononthefirststartoftheapplication,theexecutionis
blocked and the application is terminated. Then ReHIPS-user with the specified security settings (access rights,
privileges, etc.) is created for this application.
After that the application is restarted on behalf of this user.
If the user chooses the «Allow» option, the application will be started without any restrictions.


Funkcja oczyszczania - jako automatyczne działanie - jest dostępna w zaawansowanych ustawieniach...ilustracja i opis ze str. 23
Cytat:«Delete user directory» setting controls deletion of user’s home directory. When an application is deleted
fromthemainReHIPSwindow(fig.1)respectiveReHIPS-userisalsoremoved.Withthissettingchecked
ReHIPS-user’s home directory which may contain some useful files will be also deleted.
[Obrazek: gXP7bvj.jpg]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#5
Tyle że to jest trochę bez sensu, nie za bardzo chciał bym kasować wbudowane reguły np dla przeglądarki żeby wywalić jej dane.
Odpowiedz
#6
ichito napisał(a):...Program wydaje się być darmowym do zastosowań niekomercyjnych (tak wynika z wpisu na blogu)....


Chyba nie do końca.
http://malwaretips.com/threads/rehips-a ... ost-200386
w10 - OSArmor + Simplewall
Odpowiedz
#7
Masz jednak rację...zgubiłem słowo "demo" przy czytaniu informacji na blogu...niestety będzie chyba płatny Sad
Cytat: A demoversion of ReHIPS is free for download from our site. This version is free of charge for noncommercial usage.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#8
Odświeżam temat, ponieważ ogłoszono zapisy do prywatnych testów nowej wersji ReHIPS 2.1.0 beta. Po rejestracji użytkownik otrzymuje klucz na roczną licencję pełnej wersji.
Strona rejestracji poniżej
http://beta.re-hips.com/index-en.html
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#9
ReHIPS 2.2.0 announcement

czy testowaliście wersję 2.1.0 ?
Odpowiedz
#10
U mnie ten program coś nie może się poprawnie zainstalować i za każdym razem wychodzą mi na Viście błędy. Wygląda obiecująco, ale nie mam szans mieć własnego zdania.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#11
zapowiada się ciekawie Smile
Odpowiedz
#12
Nowa testowa wersja 2.2 4RC właśnie otrzymałem linka do tej wersji... na dniach jak go oblukam to coś powiem więcej o programie Smile
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#13
Pisz, bo program jakoś tak "bokami chodzi" i nie za wiele informacji jest na jego temat, zwłaszcza po polsku.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#14
Program bardzo fajnie się zapowiada jedynie to szkoda że programy odizolowane uruchamia na innym pulpicie nie można mieć okienek na tym samym pulpicie przez co przełączanie przeglądarki pomiędzy grą trochę staje się nie wygodne gdy trzeba operować między aplikacjami izolowanymi a nie izolowanymi :/

Ogólnie nie ma co sie rozpisywać niemal wszystko jest przedstawione na poniższym filmie
względem RC2 a RC4 została usprawniona szczelność oraz stabilność programu.
Tryb nauczania oraz możliwość odpalenia z kontekstowego menu.

https://www.youtube.com/watch?v=8Q2yrjxa0MQ
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#15
Nowy  ReHIPS 2.5.0 RC1 DOWNLOAD

Zdecydowanie zajęło nam trochę czasu, aby go przygotować, borykaliśmy się z kilkoma wyzwaniami, w tym z tym COVIDem. Ale to już przeszłość i RC jest gotowy. Chociaż nie polecam instalowania go na krytycznych systemach produkcyjnych, jest naprawdę stabilny i najprawdopodobniej zostanie wydany tak, jak jest.

Chcielibyśmy wyrazić naszą najszczerszą i najgłębszą wdzięczność beta-testerom i innym facetom (i dziewczętom?), którzy testowali, zgłaszali problemy, przetrwali sesje zdalnego debugowania, dawali sugestie i naprawdę bardzo pomogli rozwiązać problemy i ukształtować ReHIPS jest teraz. Dziękuję wszystkim bardzo, naprawdę to doceniamy.

Ciesz się tym wydaniem. I jak zwykle nie wahaj się ze mną skontaktować, jeśli masz jakieś pytania lub sugestie.

Changelog:
-przeniesiony do nowych stylów wizualnych w agencie, umożliwił nam ulepszenie ikon w zasobniku dla izolowanych pulpitów i wyglądu;
- wszystkie akcje bazy danych są teraz pobierane z serwisu, co pozwoliło nam rozwiązać niektóre bloki i usprawnić pracę;
-po ponownym uruchomieniu izolowanych programów, proces nadrzędny może teraz zachować do niego dojścia;
-dodana regulacja głośności dla izolowanych komputerów stacjonarnych;
-zegar i regulacja głośności mogą być ukryte, honorując ustawienia;
-Zlokalizowana konsola RulesManager;
-obsługa wielociągowego paska zadań;
-agent czasami mógł przestać migać na niewłaściwym kolorze;
- przycisk zamykania głównego pulpitu nie zawsze był poprawnie wyświetlany;
-nowe okna na głównym pulpicie nie zawsze były poprawnie wykrywane;
-poprawiona obsługa izolowanych plików;
-aplikacje immersyjne były czasami dublowane na izolowanych komputerach stacjonarnych dopiero po pewnym czasie;
- zegar jest teraz aktualizowany przez timer;
- naprawiono tekst niektórych błędów EventLog;
-naprawione blokowanie sieci dla aplikacji immersyjnych;
-Dodatkowa usługa logowania do zależności;
-Zależności usług są teraz automatycznie włączone;
- usunięto rzadkie migotanie ikon zegara i zasobnika na izolowanych komputerach stacjonarnych;
- dodano obsługę symboli wieloznacznych **;
-taskbar na izolowanych pulpitach jest teraz dynamicznie przesuwany zgodnie z głównym paskiem zadań pulpitu, a okna są automatycznie dostosowywane;
-poprawiono parsowanie dowiązań symbolicznych w sterowniku;
-agent nie zawsze zmieniał nazwy izolowanych okien z powrotem przy wyładowywaniu;
-dodano przejrzyste, izolowane środowisko na zakończenie procesu;
-czasami uchwyt pliku był niepoprawnie buforowany dla izolowanych procesów;
-agent rzadko zawieszał się podczas pracy na izolowanych komputerach stacjonarnych;
ikony w zasobniku nie zawsze były poprawnie wyświetlane na izolowanych komputerach stacjonarnych;
-komponenty systemowe są teraz wykluczane podczas wyszukiwania zainstalowanych programów;
-ilość ikon w tacce dla izolowanych komputerów stacjonarnych jest teraz ograniczona;
- naprawiono błąd z niepoprawnym rzeczywistym użytkownikiem, gdy reguły były instalowane po zainicjowaniu ponownego uruchomienia systemu;
-dozwolona częściowa interakcja z powłoką;
- naprawiono mały błąd z przesuniętymi lustrzanymi oknami;
- dodano podpowiedzi dla szybkich i standardowych przełączników w widżecie pulpitu;
-rodzicowe buforowanie hash i kilka innych optymalizacji wydajności;
- naprawiono przeciekającą bitmapę w agencie;
- izolowane obramowanie okien pozwala teraz wyświetlać ukryty pasek zadań;
- poprawiono parsowanie cudzysłowów wiersza poleceń;
- naprawiono sterownik otrzymujący znormalizowaną nazwę w transakcji;
-Plik ustawień można edytować ręcznie;
-sterownik poprawnie obsługuje wiele list ACL uwierzytelnionych użytkowników;
-DeployHelper procesy podrzędne są dozwolone;
-scalanie podobnych procesów potomnych;
- naprawiono przycisk Sprawdź dzieci w powiadomieniu rodzica;
- do programów dodano pole wyboru dostępu do sieci;
- naprawiono walidację maski podczas edycji, nie udało się zweryfikować maski przekonwertowanej do pliku iz powrotem;
- naprawiono awarię podczas zamykania okna ustawień podczas instalowania reguł;
-zaufani użytkownicy naprawiony błąd;
- naprawiono pole wyboru Zezwalaj na sieć w programach;
-InnoSetup zaktualizowany od 5.5.9 do 6.1.2, pugixml zaktualizowany od 1.9 do 1.11;
-dodano kilka programów i zaufanych linii poleceń/dostawców do RulesManager.
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości