DefenseWall - zalety i wady

[Ratatui]

Tekst jest trochę stary (wrzesień 2008) jednak ukazuje, że takie rozwiązanie nie jest w 100 % skuteczne.

Część dotycząca DefenseWall''a:

SoftSphere DefenseWall HIPS 2.44

Although security is rarely a binary choice, SoftSphere''s DefenseWall HIPS separates all applications into just two categories: trusted or untrusted. Applications that can be expected to interface with potentially malicious content should be placed into the untrusted category. Processes started by untrusted programs automatically inherit untrusted status. Automatically downloaded or executed content from an untrusted program is protected from execution and prevented from manipulating protected resources.

Installation of DefenseWall HIPS was simple and quick, and the accompanying help file covered the essentials. The DefenseWall HIPS comes preconfigured with 11 untrusted programs, including Internet Explorer, Firefox, QuickTime, and a few other frequently exploited programs. However, Adobe''s Flash Player was not automatically included on this list, and this allowed the clipboard hijack exploit demo to be successful.

Untrusted programs can be launched in a trusted state by choosing the application in the Untrusted applications window and selecting the Run as Trusted button. This is a nice way to end up with both trusted and untrusted browser sessions to handle various Web sites. The untrusted browser sessions are marked in the title bar to help users distinguish between the two.

The SoftSphere program has many customizable options, including the ability to include or exclude specific Windows resources (such as files, folders, registry keys, and so on) as trusted or untrusted. You can roll back any identified resource changes on a per-resource basis, although the program does not always distinguish between legitimate and malicious changes, leaving the final trust decision to the end-user. I especially like that DefenseWall HIPS considers all programs from removable sources to be untrusted by default.

Overall, DefenseWall HIPS stopped most malicious threats from automatically executing, though at times in a disconcerting way. When I browsed to malicious Web sites with an untrusted browser, the DefenseWall HIPS added any further starting programs (in testing, these were always malicious programs) to the untrusted applications list, which prevented much malicious activity. Further, it warned me when a malicious program was trying to modify critical system files.

Auto-downloaded malware is saved to the disk, but in such a way that it is not a threat to your system. You can disable the program, remove it, or, if the program is legitimate, move it to the trusted applications area. If you manually save a file to the desktop, which is often the case with social engineering, DefenseWall HIPS attempts to keep it marked as untrusted, but I found instances where malicious files could escape to trusted areas.

The DefenseWall HIPS includes a Stop Attack window, which allows a user to quickly close all untrusted processes if a malicious attack is suspected. The Adobe Flash clipboard hijack exploit lived through this closing; DefenseWall HIPS did not report any events or modifications, nor did it offer to roll back any changes.

DefenseWall HIPS also had a hard time cleaning up from the XP Antivirus malware, as did many of the competing programs. Although XP Antivirus was executed from within an untrusted browser session, the malware program was able to permanently modify the system and leave remnants of itself behind, even after I instructed DefenseWall HIPS to close all untrusted processes and delete all resource changes. DefenseWall HIPS did a pretty good job in stopping most malware programs, but it wasn''t perfect.

Link do źródła:

[Aby zobaczyć linki, zarejestruj się tutaj]

Nie umieszczam tego artykułu aby "szukać haków" ale w celach informacyjnych, że jednak rozwiązanie takie jak DefenseWall nie zapewnia w 100% bezpieczeństwa o czym sami producenci jak i każdy inny dobrze o tym wie

Tutaj możecie zobaczyć jak DefenseWall oblewa test (format QuickTime, najlepiej zapisać na dysk i odtworzyć):

[Aby zobaczyć linki, zarejestruj się tutaj]

Poniżej pierwotny tekst, który to później został przedstawiony na stronie PCWorld:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Meir]

Widzę,że niektórzy lubią nocny tryb życia

Ratatui...piękny wątek...jutro(a właściwie dzisiaj) rozpęta się burza w obronie DW
Ale ten artykuł to jest kolejny dowód,że cały czas się trzeba "zbroić"-co też bezustannie czynię

[czullo]

nie ma rozwiązań idealnych, podobnie DW nie jest idealny i na pewno ma wady. Jednak nie widze jak skopiowanie tekstu do notatnika moze zaszkodzic systemowi, z tego co wiem notatnik przeciez sam nie zapisze sie jako plik wykonalny BAT

[Creer]

Widze ze musze sprostowac kilka rzeczy.

1. Test dotyczy wersji DefenseWall HIPS 2.44. Od tej wersji do chociazby wersji 2.46 duzo sie zmienilo. Aktualnie dostepna jest wersja 2.55.

2. Smiem stwierdzic ze test, lub osoba go przeprowadzajaca nie byla w pelni swiadoma zasady dzialania programu DefenseWall (uwaga, w opisy testowe innych programow sie nie zaglebialem). Dlaczego? O tym za chwilę.

Autor w swoim tescie-recenzji napisal m.in. ze:
# DW nie chroni niektorych procesow systemu Windows.
Nie jest to prawdą, DW wg specyfikacji ktora ma uwzgledniona we wbudowanej Ochronie zasobow, jasno okresla restrykcje danych programow i ogranicza ich ingerencje w procesy systemowe. Brak mozliwosci nadpisywania, modyfikowania, usuwania. Dobrze jest to widocznie chociazby w mojej prezentacji z przebiegu infekcji: DW VS msas2009.exe (

[Aby zobaczyć linki, zarejestruj się tutaj]

)

# DW nie zalicza testu "Clipboard hijack exploit demo - Adobe Clipboard Hijack"
I tak i nie - juz wyjasniam. Jest to dosc stary test od dawna dostepny na YT (

[Aby zobaczyć linki, zarejestruj się tutaj]

). To ze test ten nie zostaje zaliczony nie jest wina DefenseWall, ktory dziala na innych plaszczyznach. Efekt wykonania tego testu w systemie jest skutkiem jednej rzeczy: braku przegladarki, ktora chroni przed tego typu zagrozeniem. Podatnosc przegladarek internetowych jest spowodowana brakiem zabezpieczen i lukami w kodzie danej przegladarki, ktore to powoduja ze test ten nie zostaje zaliczony.
Ilya rowniez o tym wspominal w temacie:

[Aby zobaczyć linki, zarejestruj się tutaj]

Wiecej dowodow? OK. Wejdzcie na tę strone:

[Aby zobaczyć linki, zarejestruj się tutaj]

Skopiujcie i wklejcie w okienko widoczne na tej stronie jakikolwiek tekst po czym kliknijcie button Snip It!
- Opera nic nie wyswietla, jednak nie pozwala na zadzialanie "Clipboard Hijack" - otworzcie notatnik i nacisnijscie CTRL+V, tekst ktory pierwotnie skopiowaliscie powinien byc niezmieniony.
- IE8, po kliknieciu na Snip It! pokazuje komunikat o tym ze przegladarka probuje zmodyfikowac zawartosc schowka systemowego. Jesli klikniecie Zezwol, tekst ktory pierwotnie skopiowaliscie zostanie zamieniony na cos takiego: "http://snipurl.com/joh65[raffon_net]"
Jesli w IE8 klikniecie na Nie zezwalaj - zawartosc schowka pozostanie nienaruszona tak jak w przypadku Opery.

Jak widac nowe IE8 zostalo wzbogacone o ochrone przed tego typu atakami, podczas gdy wersja na ktorej testowano tego typu infekcje byla wersja oznaczona numerem 7.


# Autor testu napisal ze DW posiada wbudowana baze 11 programow, ktore sa automatycznie oznaczane jako Niezaufane.
W rzeczywistosci lista ta jest znacznie bardziej obszerniejsza.

# Autor napisal o problemach z wykonywaniem przywracania/usuwania wpisow widocznych na liscie Przywroc.
Byc moze byla to wada wczesniejszych wersji DW. Poza tym DW nie wymaga od uzytkownika jakiejkolwiek ingerencji w liste Przywroc. Lista ta moze byc nietknieta a program nadal bedzie chronil uzytkownika. Nie mniej jednak jesli problem z czyszczeniem tej listy faktycznie wystepowal, zostal wyeliminowany w pozniejszych wersjach. Przyklad: moj test DW vs MSAS2009.exe - wszystko bezproblemowo usunalem z tej listy.


Podumowujac, zgadzam sie ze stwierdzeniem autora testu - nie ma programow zabezpieczajacych w 100% skutecznych, jednakze nie moge zgodzic sie ze sposobem przeprowadzenia testu, metodologia badania, oraz koncowymi wnioskami wynikajacymi ze zle przeprowadzonej procedury testowej.

[Jurek]

Twórcy programu Defensewall podkreślają, że nie zapewnia on idealnej ochrony ale pokażcie mi AV, który w teście AV-Comparatives osiągnął kiedykolwiek 100%.
W innym teście DW zdobył wynik zbliżony do stu procent i to znacznie lepszy od wszystkich antywirusów:

[Aby zobaczyć linki, zarejestruj się tutaj]

Prawdopodobieństwo zainfekowania systemu przy właściwej konfiguracji i używaniu DW jest niezwykle małe, a jeżeli dołożymy do niego jeszcze bardzo dobry AV i firewall, to wtedy zabezpieczenie jest praktycznie stuprocentowe.

[Ratatui]

@Creer

2. Zastanawia mnie fakt, że zazwyczaj ktoś używa argumentu niewiedzy osoby testującej na temat programu DW kiedy to on oblewa jakiś test Nie sądzę aby taka osoba nie wiedziała na jakiej podstawie on działa i podejmowała się pisania artykułu.

# DW nie chroni niektorych procesow systemu Windows.
Nie jest to prawdą, DW wg specyfikacji ktora ma uwzgledniona we wbudowanej Ochronie zasobow, jasno okresla restrykcje danych programow i ogranicza ich ingerencje w procesy systemowe. Brak mozliwosci nadpisywania, modyfikowania, usuwania.

Weź pod uwagę fakt, że zdanie to dotyczy wersji 2.44.

# DW nie zalicza testu "Clipboard hijack exploit demo - Adobe Clipboard Hijack"
I tak i nie - juz wyjasniam. Jest to dosc stary test od dawna dostepny na YT (

[Aby zobaczyć linki, zarejestruj się tutaj]

).

Filmik został umieszczony przez tą samą organizację tylko w innej formie ale w tym samym czasie kiedy tworzony był tekst. Zaznaczyłem, że ten test jest z września 2008 i do dzisiejszej wersji nie można go odnosić.

# Autor testu napisal ze DW posiada wbudowana baze 11 programow, ktore sa automatycznie oznaczane jako Niezaufane.

Jak wyżej, dotyczy to wersji wcześniejszej tj. 2.44.

Jak widać nie wystarczy sam DefenseWall aby mieć w 100% bezpieczny komputer. Uważam jednak, że ocena AV-Comparatives (100/100) została wystawiona na wyrost. Na pewno metodologia testowania takich programów powinna się różnić niż w przypadku testowania antywirusów gdyż jak to wspomniałeś są płaszczyzny, których DW nie chroni a tym samym istnieje ryzyko zagrożenia. Wyraźnie widać, że są słabe, czułe miejsca takich rozwiązań jak DefenseWall i nie może on funkcjonować bez np. antywirusa (co zaś zostało opisane w raporcie AV-Comparatives).

[Creer]

@Ratatui, nie zrozumiales mnie.
DefenseWall w obecnej wersji tj. 2.55 rowniez nie zalicza testu "Clipboard hijack exploit demo - Adobe Clipboard Hijack". Pomyslne przejscie tego testu zalezy tylko i wylacznie od przegladarki. DW nie ma zadnego pola do dzialania w tej kwestii.

[Jurek]

Najlepszym sposobem aby sprawdzić skuteczność DW czy GW jest osobiste przetestowanie tych programów. Samo czytanie artykułów czy testów nie wystarczy.

Nie wydaje mi się abyużywając hipsa z piaskownicą, stosowanie antywirusa było konieczne, jeżeli mamy do czynienia z zaawansowanymi userami.
To jest tak jakbyśmy zamknęli żmiję w słoiku i dodatkowo trzymali patyk w ręku aby się przed nią bronic

Dajcie link do tego hijacka exploita, to chętnie go przetestuję na GW

[polak900]

oczywiście nie ma 100% zabezpieczeń ale DW ma skuteczność najbliższą tej wartości
dla mnie DW jest najważniejszym ogniwem w ochronie, następnie jest firewall a dopiero na końcu antywirus
to myślenie jeszcze mnie nie zawiodło.
nie ma tutaj zamiaru bronić DW przed waszą krytyką, ale jak na razie to pierwszyi jak creer napisał stary test więc myślę że problem jest marginalny

[Ratatui]

GesWall jest odporny prawdopodobnie na ten atak:

* Blocking of clipboard content logging

Jak znajdę link do tego exploita to napiszę

[Creer]

Najlepszym sposobem aby sprawdzić skuteczność DW czy GW jest osobiste przetestowanie tych programów. Samo czytanie artykułów czy testów nie wystarczy.

Nie wydaje mi się abyużywając hipsa z piaskownicą, stosowanie antywirusa było konieczne, jeżeli mamy do czynienia z zaawansowanymi userami.
To jest tak jakbyśmy zamknęli żmiję w słoiku i dodatkowo trzymali patyk w ręku aby się przed nią bronic

Dajcie link do tego hijacka exploita, to chętnie go przetestuję na GW

Link to tego typu infekcji jest w pierwszej mojej odpowiedzi w tym temacie lacznie z opisem co i jak.
To nie DW bylo w tym tescie najslabszym ogniwem, tylko przegladarka. Na szczescie od czasu przeprowadzenia tego testu, producenci przegladarek wydali nowsze wersje, ktore naprawily ten blad. Nie wiem jak z FF ale na nowej Operze i IE8, problem typu Clipboard hijack exploit demo - Adobe Clipboard Hijack juz nie wystepuje.

[polak900]

GesWall jest odporny prawdopodobnie na ten atak:

* Blocking of clipboard content logging

Jak znajdę link do tego exploita to napiszę

to bardzo dobrze, więc mamy program 100% bezpieczny
GW może być odporny na ten atak bo zaimplementowaną ochronę sieciową

[Creer]

GesWall jest odporny prawdopodobnie na ten atak:

* Blocking of clipboard content logging

Jak znajdę link do tego exploita to napiszę

Nie, GW rowniez nie jest odporny na ten atak, jak i inne programy zabezpieczajace:

[Aby zobaczyć linki, zarejestruj się tutaj]

Raz jeszcze podkreslam ze atak ten dotyczy luki/bledu w przegladarce na ktorej byl przeprowadzany (stara wersja IE7)

[polak900]

GesWall jest odporny prawdopodobnie na ten atak:

* Blocking of clipboard content logging

Jak znajdę link do tego exploita to napiszę

Nie, GW rowniez nie jest odporny na ten atak, jak i inne programy zabezpieczajace:

[Aby zobaczyć linki, zarejestruj się tutaj]

Raz jeszcze podkreslam ze atak ten dotyczy luki/bledu w przegladarce na ktorej byl przeprowadzany (stara wersja IE7)

ja już rozumiem, dlatego napisałem słowo może

[Ratatui]

Creer skoro ten atak modyfikuje schowek systemowy to dostaje się do strefy "untrusted", która ma być chroniona przez DefenseWall. Dlatego też recenzent z InfoWorld zrobił ten filmik aby ukazać słabą stronę takich rozwiązań.

[polak900]

pewnie, każdy program ma swoje złe strony żeby zmienić problem potrzebne sąpoprawki a co za tym idzie dobry support.

[Creer]

Creer skoro ten atak modyfikuje schowek systemowy to dostaje się do strefy "untrusted", która ma być chroniona przez DefenseWall. Dlatego też recenzent z InfoWorld zrobił ten filmik aby ukazać słabą stronę takich rozwiązań.

To jest bardziej zlozony aspekt niz Ci sie wydaje.
Chodzi o to ze praktycznie nie mozliwym jest odizolowanie elementow typu Flash z poziomu sterownika. Program Flash instaluje sie jako zaufany i ma on pelne prawa jakie sa mu pierwotnie przypisane przez producenta Adobe do ingerencji w system.
W tym przypadku przegladarka, zostala zle napisana i posiada luki, ktore umozliwiaja wykonanie skryptu, ktory moze zmodyfikowac zawartosc schowka systemowego. Jest to ewidentna luka w zabezpieczeniach przegladarki. Luka ta zostala juz naprawiona, dzieki czemu tego typu infekcje na najnowszych wersjach zarowno IE8 oraz Opery (FF nie sprawdzalem) nie sa juz mozliwe.

[polak900]

firefox jest pewnie odporny na to jak nawet internet explorer poprawili, ale nie jestem pewien

[Creer]

OK sprawdzilem FF, rowniez jest zabezpieczony przed tego typu atakiem.

[Jurek]

Ten temat najlepiej uświadomił nam, że ochrona systemu to bardziej złożony problem
Wygląda na to, że tylko wirtualizacja całego systemu, z blokadą jej wyłączenia może gwarantować całkowite bezpieczeństwo, ale wtedy nie można na trwałe niczego zapisać na dysku.
Mimo wszystko DW czy GW to najmocniejsze a zarazem wygodne w użyciu programy do ochrony przed wirusami.