пятница, 16 декабря 2016 г.

Немного об изменениях в COMODO Internet Security Beta 10.0.0.6071

Вышедшие с разбежкой в несколько месяцев публичные бета-версии COMODO Internet Security 10 отличаются вовсе не интерфейсом. Между первой и второй — пропасть.

Главное — полностью переработана база данных. В ней больше нет места уязвимому 32-битному хешу, и сам формат ее изменился: вместо SQLite теперь используется внутреннее решение. Последнее, возможно, огорчит любителей поковыряться в базе своими руками:) Для их утешения введена специальная вкладка «Comodo» в окне свойств файлов: там в JSON-формате представлена различная информация о файле, включая и репутацию, и происхождение, и еще много чего интересного. Правда, эту вкладку могут удалить в финальном релизе, но понадеемся, что доступ к ней все-таки оставят.

Данные Comodo в свойствах файла

Как наверняка заметили внимательные пользователи, в свойствах файла представлены данные не только о видимой его части, но и об альтернативных потоках NTFS. Действительно, еще одной чертой новой версии стал контроль репутации файлов, запускаемых из этих потоков. На самом деле, CIS контролировал эти файлы и раньше, но никогда не доверял им, а сейчас может и доверять.

Уже в предыдущей публичной бета-версии CIS 10.0.0.5144 учет просхождения был реализован по-новому, что оказалось одним из главных и приятных ее улучшений. Но тогда он, как и в версиях CIS 8.x, грешил пропуском файлов. В нынешней версии учет происхождения стал заметно надежнее.

Еще на тему учета файлов — устранена «уязвимость к подмене», т.е. CIS больше не доверяет неопознанным файлам, занимающим место доверенных.

Впрочем, появились и баги, связанные с блокировкой доверенных файлов: то HIPS в «Безопасном режиме» заблокирует программму, добавленную в доверенные, то автопесочница изолирует ее после переименования...

Портит впечатление и ведение журналов: в них перестали отмечаться изменения списка файлов и поставщиков, происходящие без участия пользователя. Будем надеяться, что проблему устранят.

С другой стороны, улучшилось ведение списка файлов. По крайней мере, в моих экспериментах в этот список попадали и доверенные, и неопознанные файлы, независимо от того, удавалось им запуститься или их блокировала автопесочница.

Мелкая неприятность — из списка активных процессов исчезла метка о признаке установщика. Но, по крайней мере, ее можно увидеть в окне KillSwitch'а.

Кстати об установщиках — часть проблем с ними исчезла в предыдущей публичной бета-версии, но разработчики на этом не остановились. В нынешней версии статуса установщика наконец-то лишились многие другие программы, например, Emsisoft Emergency Kit.

Хотя ситуация с доверенными установщиками становится все лучше (т.е. их самих становится все меньше), полного решения нам так и не дают. По-прежнему HIPS ни в каком режиме не оповещает об их дочерних процессах, по-прежнему это можно злонамеренно эксплуатировать.

Судя по экспериментам, установщиками теперь считаются программы, у которых в имени файла, либо в File Version Info (в поле FileDescription, ProductName, InternalName или OriginalFilename) содержится слово install, setup или update; а также msi-файлы. Таким образом, убраны такие признаки, как запрос прав администратора или большой размер файла.

Кстати о больших файлах. Кажется, проблемы с ними решены радикально — снятием ограничений на размер. По крайней мере, такой вывод делаю, наигравшись с гигабайтными файлами.

Существенно «ядренее» стала автопесочница: теперь она способна изолировать программы, запускаемые от имени System.

Неожиданно изменились и оповещения об изоляции программ автопесочницей: из них исчезла кнопка «Больше не изолировать». В какой-то мере это хорошая новость, так как кнопка эта было довольно вредной и бессмысленной (вернее, стала таковой в версиях 8.x). Но, боюсь, по многочисленным просьбам пользователей ее вернут;) Тем более, что конгениальная ей функция «Разблокировки приложений» никуда не делась.

Еще одна удаленная «вредная» функция — формирование кэша в режиме ожидания. По ней наверняка никто скучать не будет, тем более, что на нее случались жалобы.

На этом разработчики, опять же, не остановились и удалили целый режим «Чистый ПК». Учитывая его проблемы, жалеть не о чем.

Появилась и новая функция: анализ командной строки стал настраиваемым, и теперь логика его работы вышла на поверхность. Интерфейс выглядит так, будто весь фокус «эвристического анализа» в том, чтобы принимать программы с определенными именами за их аргумент командной строки.

Настраиваемый анализ командной строки в Comodo Internet Security

На самом деле, анализ командной строки устроен чуть сложнее. «Интерпретаторами» считаются не любые программы с заданными именами, а только доверенные (иначе было в версии CIS 10.0.0.5144 — теперь исправили). «Скриптами» же во многих случаях считаются лишь неисполняемые файлы. Кроме того, для разных «интерпретаторов» по-разному выполняется разбор командной строки.

Таким образом, интерфейс не передает всех тонкостей анализа командной строки и не позволяет их настроить. Но определенная полезная настройка возможна: «интерпретаторы» представлены как шаблоны путей к ним, и можно отключать их по отдельности, добавлять свои шаблоны или редактировать имеющиеся. Например, шаблоном *\AutoIt3.exe можно добавить контроль AutoIt-скриптов. (Замечание/баг: для указания пути к «интерпретатору» не работают переменные среды.)

В том, что «интерпретаторы» идентифицируются по именам или путям, есть очевидный недостаток: скрипт можно выполнить переименованной копией интерпретатора в обход защиты. Для сравнения, этому приему способен противостоять Kaspersky Internet Security, поскольку идентифицирует интерпретаторы по File Version Info.

И чуть не забыл о главном новом и — внезапно! — бесплатном компоненте Безопасный шоппинг. Признаюсь, пока смутно представляю его использование: привычнее избегать заражения, а не играть в прятки с малварью, хозяйничающей дома:) По крайней мере, «Безопасный шоппинг» действительно предоставляет защиту от внешней среды и действительно пригоден для ответственных операций.

В нынешней версии на панели задач «Шоппинга» появился ярлык Проводника, и через него стало возможно запускать в защищенной среде различные программы. Например, запущенный в этой среде менеджер паролей будет защищен от разных посягательств извне, в т.ч. от чтения памяти.

Безопасный шоппинг Comodo

Рискну предположить, что продукт все-таки жив. Спасибо разработчикам.

Статья для Блога о COMODO на сайте COMSS.RU, автор — Максим Бояренко. См. условия использования.