среда, 9 сентября 2015 г.

Небольшие изменения в статьях о Comodo Internet Security

Часть изменений давние: объявляю повторно для тех, кто не заметил

Возможность экспорта/импорта списка файлов и поставщиков для переноса конфигурации и вариант ее почти бессмысленного использования для исправления путей при добавлении временных копий

Логика работы HIPS, объясненная трижды, в т.ч. графически (повтор)

Замечания о якобы защите от шелл-кода

Уточнения по контент-фильтру (повтор)

Использование защиты от межпроцессного доступа к памяти (повтор)

Защита веб-камеры (повтор)

Необходимость дополнительной защиты от эксплоитов

Защита от ложных интерпретаторов в CIS 8.2: предотвращение даже маловероятной их эксплуатации. Замечание об улучшении в CIS 8.2.0.4674.

Для облегчения юзабильности назначаем группе «AllowedProgs» политику «Системное приложение» (гулять так гулять).

Опять же, если кто не заметил, теперь на comss.ru стали публиковаться отдельные заметки о CIS, помимо основного цикла статей. Т.е. «Блог о COMODO» становится настоящим блогом. Пока опубликованы две старых заметки и одна новая:

COMODO Internet Security 8.2.0.4591 — ямы, прикрытые ветками
Наследование привилегий при составных командах — так закрыта ли лазейка?
Анализ командной строки в CIS 8.2: решенные и нерешенные проблемы

Аналогичное объявление на comss'е со ссылками на comss. (Делать двойные ссылки здесь слишком неудобно)


Анализ командной строки в CIS 8.2: решенные и нерешенные проблемы

Что такое эвристический анализ командной строки в Comodo Internet Security, и в каких случаях он работает «не в ту сторону».

понедельник, 17 августа 2015 г.

Мелкое добавление

Мимоходом указал, как можно дополнительно защитить память веб-браузера. Не очень красиво, но как вариант.

Кстати, занятно, что о защите паролей заботятся, в основном, в контексте кейлоггеров, тогда как прямо из памяти — бери, не хочу.

Ну и до кучи предупредил о необходимости послаблений в защите — а то научишь некоторых креститься...


воскресенье, 16 августа 2015 г.

Небольшое уточнение про контент-фильтр

Немного переделал подпункт о формате записей в контент-фильтре. Обнаружил, что любые записи — это по сути шаблоны. Записи, не имеющие символа «*», воспринимаются как содержащие его на конце.

Между прочим, в официальном руководстве традиционно не обошлось без ахинеи в этой связи. Разумеется, о вышеописанной «тонкости» (а в действительности — лаже) в интерпретации адресов они скромно молчат. Молчат и об обозначениях протоколов HTTP и HTTPS, и о специфике работы с HTTPS. Зато на голубом глазу пишут, будто шаблон «*.friskywenches.com» покрывает адрес «friskywenches.com».

Напомню другие перлы:

Вот интересно, не эти ли хелпописатели являются заодно и разработчиками CIS?..


среда, 12 августа 2015 г.

Изменения в статьях

Про уязвимость к подмене: оказалось, что HIPS обнаруживает изменение программы еще позже, чем Auto-Sandbox.
comss.ru | kibinimatik.blogspot.com

Подробнее разжевал, как надо реагировать на оповещения HIPS
comss.ru | kibinimatik.blogspot.com

Переделал описание порядка работы HIPS
comss.ru | kibinimatik.blogspot.com
До переделки схемы доберусь позже...

Изменил инструкцию по защите веб-камеры, см. оба подпункта. (Старый вариант с блокировкой по имени объекта физического устройства из ряда вон плох.)
comss.ru | kibinimatik.blogspot.com

Вопрос к читателям. Есть идея дополнительной статьи: бессистемного набора голых фактов, без инструкций, предостережений и прочего разжевывания. Смысл — донести информацию до пользователей, которые считают себя слишком умными, чтобы читать статьи для новичков. Плюс обрывочные сведения, которые некуда приткнуть в основные статьи. Вам оно надо?


воскресенье, 9 августа 2015 г.

Новые старые грабли

Еще раз изменил формулировки в описании порядка работы HIPS, пока только в личном блоге. Для кристальной ясности и простоты восприятия сделал графическую схему. Таки стало нагляднее?

Занимаясь схемой, обнаружил очередную засаду: теперь уже и Skype получил привилегии установщика. Не знаю, как было до сих пор, но недавно он обновился и стал весить 51 MB. Кто не понял — смотрим признаки установщика. Так что пользователи не защищены от программ, которые им присылают по скайпу. Как бороться с этим — надеюсь, читателям повторять не надо.

Напомню, что точно такая же ситуация с Dropbox'ом и 29-й Оперой.

Из улучшений. Месяц назад разработчики приватно получили мой отчет о двух способах запуска скриптов в обход защиты. Так вот: теперь один из них закрыт. Серьезным улучшением это назвать никак нельзя: решение лежало на поверхности, к тому же защиту по-прежнему легко обойти. А закрыть «второй способ» — вообще относительно непростая задача, требующая существенной переработки анализатора командной строки. Но главный вывод — отчет таки прочли и зашевелились...

Не про Comodo. Что-то дернуло меня попробовать Disqus в блоге. Как оно?
Импортировать прежние комментарии не сумел. Надо?..


среда, 5 августа 2015 г.

Мелкие изменения в статьях о CIS

Изменил несколько формулировок, в частности, в описании порядка работы HIPS
comss.ru | kibinimatik.blogspot.com

Отметил фиктивность защиты от внедрения shell-кода
comss.ru | kibinimatik.blogspot.com


среда, 8 июля 2015 г.

Новое в статьях о CIS

Замечание про неоднозначность защиты COM-интерфейсов в виртуальной среде

comss.ru | kibinimatik.blogspot.com

Решение проблемы с установкой некоторых программ в виртуальной среде (2GIS, OpenOffice и др.)

comss.ru | kibinimatik.blogspot.com

Для блокировки запуска cmd.exe необходимо указывать оба размещения

comss.ru | kibinimatik.blogspot.com

понедельник, 15 июня 2015 г.

Наследование привилегий при составных командах — так закрыта ли уязвимость?

Недавно я писал, что проблема наследования привилегий при составной команде почти решена. Поясню еще раз суть проблемы, и уточню, что же в ней осталось нерешенным.

среда, 10 июня 2015 г.

Изменения в статьях о CIS

Добавил признак установщика: имя *update*.exe
comss.ru | kibinimatik.blogspot.com

Отметил решенные проблемы
comss.ru | kibinimatik.blogspot.com

Защита от ложных интерпретаторов в CIS 8.2
Блокировать интернет программам smss.exe и csrss.exe больше не нужно.
comss.ru | kibinimatik.blogspot.com

В паре мест сократил и упростил. Кто желает — разберется.

Update: снятие привилегий установщика переименованием
comss.ru | kibinimatik.blogspot.com

вторник, 9 июня 2015 г.

COMODO Internet Security 8.2.0.4591 — ямы, прикрытые ветками

Новая сборка CIS, как заявлено, содержит ряд исправлений. Что ж, пройдусь по проблемам, о которых я писал в статье «Защита от уязвимостей CIS».

воскресенье, 7 июня 2015 г.

Обновление статей о CIS

Пункт «Настройка интерфейса»
comss.ru | kibinimatik.blogspot.com

Замечание об условии на «возраст» файла
comss.ru | kibinimatik.blogspot.com

Пункт «Ограничения приложений, изолированных посредством Auto-Sandbox»
comss.ru | kibinimatik.blogspot.com

четверг, 21 мая 2015 г.

Мелкие добавления в статьях

Более точно разъяснил смысл опции «Блокировать неизвестные запросы, если приложение не запущено»
comss.ru | kibinimatik.blogspot.com

Добавил к признакам установщика имя по шаблону *install*.exe
comss.ru | kibinimatik.blogspot.com

Отметил, что Auto-Sandbox не работает для системной учетной записи.
comss.ru | kibinimatik.blogspot.com

понедельник, 18 мая 2015 г.

Я твой HIPS ярлык шатал

Удалил замечание, будто для обхода CIS нужен составной зловред с отдельным стартером. Недавно сделал ярлык, который извлекает из себя же троянца и запускает. В обход CIS.

Отметил, что проактивная защита не проверяет рейтинг программ до загрузки графического интерфейса CIS. Аргумент за двойной контроль рейтинга.
comss.ru | kibinimatik.blogspot.com

Новый подпункт о настройке интерфейса. Видео.
comss.ru | kibinimatik.blogspot.com

Видео по установке программ через контекстное меню. Иллюстрация, что нельзя полностью отказываться от оповещений HIPS.
comss.ru | kibinimatik.blogspot.com

суббота, 9 мая 2015 г.

Обновление статей о Comodo Internet Security

Виртуальная среда Comodo

Видео об использовании виртуальной среды
comss.ru | kibinimatik.blogspot.com


Использование проактивной защиты

Защита от межпроцессных взаимодействий, DNS-запросов и BITS
comss.ru | kibinimatik.blogspot.com
comss.ru | kibinimatik.blogspot.com

Подавление привилегий доверенных инсталляторов для больших файлов (в связи с Оперой 29)
comss.ru | kibinimatik.blogspot.com


Пошаговая инструкция для полной настройки и использования CIS 8

Видео об ужесточении настройки
comss.ru | kibinimatik.blogspot.com

понедельник, 4 мая 2015 г.

Обновление статей о Comodo. Дублирование на Блогспоте

Рейтинг файлов. Группы файлов
Добавил признаки установщика, связанные с именами
comss.ru | kibinimatik.blogspot.com

HIPS. Общие параметры проактивной защиты
Изменен подпункт «Защита данных от чтения»
comss.ru | kibinimatik.blogspot.com

Использование проактивной защиты
Добавлен пункт «Защита данных от чтения»
comss.ru | kibinimatik.blogspot.com

Пошаговая инструкция для полной настройки и использования CIS 8
Добавлен подпункт «Варианты изменения конфигурации»
comss.ru | kibinimatik.blogspot.com

Добавлено несколько видео с обходом защиты.
Также добавлено видео про использование ограничений Sandbox при запуске блокировщика системы через контекстное меню.
comss.ru | kibinimatik.blogspot.com

С целью оперативного внесения изменений статьи дублируются в данном блоге. См. оглавление в правой колонке.
Ниже можно подписаться на обновления.

Все основные статьи — на сайте comss.ru

четверг, 30 апреля 2015 г.

Обновление статей, видео.

CIS 8: Использование проактивной защиты

Двойной контроль рейтинга с автоматической виртуализацией
Расширен список защищенных объектов


Пошаговая инструкция для полной настройки и использования CIS 8

Основная настройка
Расширен список защищенных объектов

Видео по настройке!




Привилегии доверенного инсталлятора у браузера Opera!
Раздача привилегий установщика кому ни попадя уже давно дошла до абсурда. Но сейчас ее опасность очевидна, как никогда. Спасибо Диссиденту за информацию.

Лишнее подтверждение правильности моего подхода: отрубать привилегии установщика вообще.
Отписался на оффоруме и сделал видео:


понедельник, 27 апреля 2015 г.

Изменен рекомендуемый подход к защите

Использование проактивной защиты

Новый пункт «Двойной контроль рейтинга программ»

Пункт контекстного меню «Запустить как установщик без повышения прав»


Защита от уязвимостей Comodo Internet Security

Рекомендация отключить облачную проверку
(Спасибо DeathCat'у и Диссиденту за образцы)

К спискам интерпретаторов добавлен regsvr32.exe


Пошаговая инструкция для полной настройки и использования CIS 8

Рекомендуемый подход изменен:
введен двойной контроль рейтинга на случай системной уязвимости;
включены оповещения HIPS (но они будут редкими);
улучшена защита реестра и др.

Изменен пункт «Основная настройка»

Изменен пункт «Использование»

среда, 15 апреля 2015 г.

Удаляю пункт «Защита данных от чтения» из статьи «Использование проактивной защиты»

Мой совет по использованию папки ReadProtected привел к BSOD'у. Ситуация воспроизвелась несколько раз при использовании AdvOR'а и запуске браузера в виртуальной среде.

Поэтому удаляю пункт с инструкцией по занесению группы «ReadProtected» в список «Папок с защищенными данными».

По идее, опасна не сама группа, а входящий в нее шаблон «*\ReadProtected\*». Однако без него и смысла в группе мало остается.

Строки наподобие «\Device\TrueCryptVolume*\*» пока не вызвали у меня синего экрана, но ситуация слишком мутная.

Для желающих поэкспериментировать привожу текст удаленного пункта. Я предупредил.

Защита данных от чтения

В предыдущих статьях уже объяснялось назначение вкладки «HIPS» > «Защищенные объекты» > «Папки с защищенными данными». Добавленные на эту вкладку каталоги в определенной мере защищаются от чтения:

  • программы, запущенные виртуально, воспринимают эти каталоги пустыми;
  • программам, запущенным в реальной среде с ограничениями Auto-Sandbox, запрещается обзор содержимого этих каталогов;
  • программам, которым посредством HIPS заблокирован ресурс «Диск», запрещается обзор содержимого этих каталогов (но остается возможным открытие содержащихся в них файлов).

Через интерфейс CIS можно добавлять в список «Папок с защищенными данными» только отдельные каталоги, имеющиеся на локальном диске, но не шаблоны путей и не группы файлов. Формально можно добавить в этот список съемные устройства или виртуальные диски, но для них защита работать не будет.

Чтобы сделать защиту данных более удобной и функциональной, предложу метод добавления в список «Папок с защищенными данными» группы файлов.

Внимание! Данная операция не является официально разрешенной и осуществляется на страх и риск пользователя.

Последовательность действий следующая:

  • создать каталог с уникальным именем, например, «C:\zyx495»;
  • добавить этот каталог в список на вкладке «HIPS» > «Защищенные объекты» > «Папки с защищенными данными»;
  • на вкладке «Рейтинг файлов» > «Группы файлов» создать группу «ReadProtected»;
  • нажать «Ok» для применения конфигурации, затем снова открыть окно настройки CIS;
  • на вкладке «Конфигурация» выбрать активную конфигурацию и экспортировать в файл;
  • открыть этот файл в текстовом редакторе и найти в нем строку, содержащую «zyx495»;
  • в этой строке код «Flags="0" Filename="C:\zyx495\*" DeviceName="C:\zyx495\"» заменить кодом «Flags="1" DeviceName="ReadProtected"»;
  • сохранить изменения в файле конфигурации;
  • на вкладке «Конфигурация» импортировать этот файл как новую конфигурацию с новым именем и сделать эту конфигурацию активной;
  • каталог «C:\zyx495» и файл конфигурации можно удалить.

Теперь вместо добавления каталогов непосредственно в список «Папок с защищенными данными» будем добавлять их в группу «ReadProtected». Такой способ позволит заносить в этот список любые пути и шаблоны, а не только те, которые доступны через интерфейс выбора каталога.

Например, можно добавить в группу «ReadProtected» шаблон «*\ReadProtected\*». В результате данные в любой папке с именем «ReadProtected», будут защищены от чтения виртуализированными программами (проверялось на Windows 7 x64). Однако это касается только папок на локальном диске.

Данные на сменных носителях не защищаются от чтения из виртуальной среды (хотя все же защищаются от программ, которым заблокирован ресурс «Диск»). Аналогично не защищаются данные на виртуальных шифрованных дисках, которые подключаются как сменные носители.

Таким образом, чтобы данные на виртуальном шифрованном диске были защищены от чтения из виртуальной среды, следует подключать этот диск как локальный, а не как сменный носитель. (В программах TrueCrypt и VeraCrypt тома по умолчанию и монтируются как локальные диски, но существует возможность монтировать их как сменные.) На виртуальном диске можно создать каталог, наподобие предложенного «ReadProtected», — и программы, выполняющиеся в виртуальной среде, будут воспринимать этот каталог пустым. Внимание! Невозможно заранее гарантировать работу этого метода; рекомендую перепроверить защиту после очистки виртуальной среды, повторного подключения виртуальных дисков и перезагрузки компьютера.

Еще один способ защиты данных на виртуальных шифрованных дисках TrueCrypt или VeraCrypt — добавить в группу «ReadProtected» строку «\Device\TrueCryptVolume*\*» или «\Device\VeraCryptVolume*\*» соответственно; диски также подключать как локальные. В этом случае шифрованный диск будет защищаться целиком. Опять же, рекомендую тщательно проверить этот способ защиты перед использованием.

среда, 8 апреля 2015 г.

Новое в статьях о Comodo Internet Security

Установка и предварительная настройка Comodo Internet Security

Команды для открытия списка активных процессов и открытия списка файлов


Рейтинг файлов. Группы файлов

Изменения компонента «Рейтинг файлов» в версии CIS 8.2


Автоматическая песочница (Auto-Sandbox)

Возможность отключить учет происхождения файлов

Назначение символа «|»

Смысл кнопки «Больше не изолировать» в CIS 8.2

Изменена инструкция в архиве по исключению из изоляции через контекстное меню: в правиле Auto-Sandbox необходимо указывать расположение


HIPS. Общие параметры проактивной защиты

Особенности защиты файлов


Использование проактивной защиты

Запрет доступа к веб-камере и другим устройствам

Защита данных от чтения

Подавление привилегий доверенных инсталляторов

Изменена инструкция «Разрешение активности программы вне зависимости от рейтинга»
(теперь разрешение запускать группу AllowedProgs задается в правилах не для группы «Все приложения», а для отдельной записи «*»)


Защита от уязвимостей Comodo Internet Security

Защита от обхода фаервола в CIS 8.2


Пошаговая инструкция для полной настройки и использования CIS 8

Удалена инструкция по защите от поддельных интерпретаторов за ненадобностью для версии CIS 8.2

Рекомендация отключать учет происхождения файлов

Изменена группа «Java»: к шаблонам дописано расширение *.exe
(чтобы предотвратить возможный обход фаервола)

Защита от обхода фаервола в CIS 8.2

Изменена инструкция «Группа разрешенных программ»

пятница, 3 апреля 2015 г.

Das ist polnische Oblomeitung...

Что я там говорил? Что в бете 8.2 уязвимость к ложным интерпретаторам устранили? Накось выкусь...

В общем-то я сразу предупреждал насчет виртуального запуска шпионской программы от имени скрипта. Пускает ли кто скрипты в интернет? Все же некоторые пускают: например, скрипты для загрузки обновлений или какие-нибудь java-приложения.

Но оказалось, что виртуально запущенная программа может выдавать себя и за некоторые exe-файлы. В чем специфика этих exe-файлов, не знаю, но факт, что пара таких файлов есть в группе «Системные приложения Windows». А этой группе разрешен интернет.

Образец, который сам запускается в виртуальной среде и обходит фаервол, прикреплен к комментарию на оффоруме (требуется регистрация). Как это выглядит:


Мера по защите пока такая: исключить из группы «Системные приложения Windows» файлы smss.exe и csrss.exe.

И еще. Хотел я кое-что в статьях рассказать (о защите файлов, веб-камеры...), а вот пока не расскажу. Потому что  шкаф пересунули  выход новой версии отложили.

воскресенье, 15 марта 2015 г.

Comodo Internet Security 8.2.0.4474 Beta

Итак, кое-какие новости, даже хорошие...

1. Важнейшее нововведение — возможность прекратить загаживание альтернативных потоков NTFS. По многочисленным просьбам пользователей, заметим.
Делается это отключением второй опции на вкладке Auto-Sandbox. Разумеется, при этом пропадет и слежение за происхождением файлов, поэтому сначала обязательно выбираем конфигурацию Proactive Security.

2. Приятная мелочь — отдельная кнопка, открывающая список активных процессов. Раньше приходилось сначала открывать список процессов, изолированных в Sandbox, вызывать контекстное меню и снимать ненужную галку. А теперь достаточно одной кнопки (ее можно добавить в виджет из списка задач Sandbox). Можно и командной строкой открыть окно с активными процессами: cis.exe --procViewUI

3. Списки неопознанных и доверенных файлов теперь объединили в один и добавили фильтр, какие показывать: доверенные, неопознанные или вредоносные. Забавно...

4. Пользовательский рейтинг. Раньше можно было лишь добавлять файлы в доверенные. Но сделать неопознанным файл, которому Comodo доверяет — как можно?? А теперь можно. Якобы. Т.е. файл имеет два рейтинга: комодовский и пользовательский. И пользователь может присвоить рейтинг неопознанного (или даже вредоносного) файлу, которому Comodo доверяет.

Но не тут-то было. Во-первых, есть скрытая база доверенных файлов, которым Comodo продолжает доверять, вообще не глядя на пользовательский рейтинг. Во-вторых, наблюдается какая-то странная лажа в случаях, когда путь к файлу содержит одинарную кавычку...

Так что нововведение сомнительное. Ему, конечно, напрашивается применение вроде подавления привилегий горе-инсталляторов (прежде всего, в портативных браузерах), но советовать остерегусь. Тем более, что, по уму, привилегии инсталляторам лучше вообще не давать, чем отбирать потом выборочно... (Кто статьи читал, поймет.)

5. Радостная новость, наравне с первой, — устранили пару проблем анализа командной строки. Если коротко — закрыта известная мне дыра фаервола. Злосчастная защита от поддельных интерпретаторов, видимо, больше нужна не будет.
Но — внимание! — ярлыки по-прежнему опасны. Грубо говоря, закрыта лишь одна уязвимость из главных четырех. Так что, напоминаю, защищаемся от левых ярлыков, причем лучше всего делать это «Политиками ограниченного использования программ».

Теперь подробнее про изменения в анализе командной строки, если кому интересно.

суббота, 14 февраля 2015 г.

Изменение защиты от шифровальщиков


CIS 8: Использование проактивной защиты
Меры по защите от вирусов-шифровальщиков

Из-за дурной манеры Windows распаковывать свои обновления на диск, отличный от системного, пришлось сделать послабления в защите от шифровальщиков. Теперь защищаем не весь диск, а отдельные каталоги на нем. Заодно объяснил тонкость с переименованием.

воскресенье, 25 января 2015 г.

Новое в статьях

HIPS. Общие параметры проактивной защиты

О проблеме сокращенных названий разделов реестра: не только HKCU, но и HKLM не всегда срабатывает

Защита от уязвимостей Comodo Internet Security

Пошаговая инструкция для полной настройки и использования CIS 8

среда, 14 января 2015 г.

Никогда еще Штирлиц не был так близок к провалу

Статьи по CIS 8:

Фаервол. Контент-фильтр
Comodo Firewall в Comodo Internet Security 8: режимы работы, опции настройки, порядок применения правил, известные проблемы. Контент-фильтр.
(Статья мало отличается от ее версии для CIS 7, но замеченные отличия оговорены.)
Использование проактивной защиты
Способы решения различных задач и проблем, связанных с проактивной защитой в Comodo Internet Security 8: Auto-Sandbox и HIPS
Защита от уязвимостей Comodo Internet Security
Проблема критических уязвимостей Comodo Internet Security разных версий и подходы к ее решению
Пошаговая инструкция для полной настройки и использования CIS 8
Итог предыдущих статей: примерный вариант настройки и использования Comodo Internet Security 8

Пара баг-репортов о критических дырах анализа командной строки: про узнавание интерпретаторов по имени и про множественные команды в аргументах cmd. Пожалуй, от защиты Comodo остались только глобальные правила фаервола...

понедельник, 5 января 2015 г.

Статья о HIPS и разных деталях проактивной защиты в CIS 8

Готова статья:
HIPS. Общие параметры проактивной защиты
Принцип работы HIPS (Host-based Intrusion Prevention System): детальное описание. Общие параметры HIPS и Auto-Sandbox в Comodo Internet Security 8. Viruscope