Skocz do zawartości

Wielki test sandboxów SafeGroup!


Rekomendowane odpowiedzi

W grupie ds. bezpieczeństwa SafeGroup.pl przeprowadzany jest test piaskownic i w niektórych przypadkach także programów typu HIPS następujących aplikacji zabezpieczających:

 

1. Comodo Internet Security Premium 2011 5.3.176757.1236

2. Sandboxie 3.52

3. DefenseWall Personal Firewall 3.09

4. GesWall Professional 2.9.1

5. Avast Internet Security 6.0.1000

6. BufferZone Pro 3.41

7. Kaspersky Internet Security 2011 (11.0.2.556)

 

Wyniki:

http://safegroup.pl/aktualnosci/wielki-test-sandboxow-safegroup-wyniki,1091.html

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

@ Unicorn

 

Wystarczy trochę poszukać :P Tu masz opis o teście :rolleyes:

 

Przez dwa tygodnie od dnia 23.02.2011r. codziennie będą

odbywały się testy programów posiadających moduł SANDBOX

(piaskownica) - wirtualne środowisko, w którym uruchamiane

są szkodliwe dla komputera aplikacje. Po zakończeniu wszystkich

testów tj. 09.03.2011r. ogłoszone zostaną zsumowane wyniki

wszystkich programów. SafeGroup przyzna wtedy certyfikaty

i wyda podsumowanie, w którym zostaną zawarte najważniejsze

informacje dotyczące przeprowadzonego testu. W międzyczasie,

codziennie będzie wydawany informator oraz plik PDF zawierajcy

wyniki programów z danego dnia.

 

Metodologia :

 

Codziennie będzie pobierana paczka z malware udostępniana przez tommy504 z forum SafeGroup i będzie wybieranych 10 szkodliwych programów z paczki do testów z każdym programem (sprawdzany będzie tylko moduł typu Sandbox - jeżeli jest to pakiet - czyli wszelkie inne moduły będą wyłączone).

Codziennie na blogu SafeGroup będzie robione podsumowanie skuteczności/szczelności danego Sandboxa oraz cotygodniowe całościowe podsumowanie w formie wykresu - test będzie trwał 2 tygodnie.

 

1 dzień: http://safegroup.pl/pub/Sandbox%20Test%20-%20SafeGroup.pl.PDF Ten Pdf się długo ładuje bo ma sporo mb

2 dzień: http://safegroup.pl/pub/Test%20dzie%C5%84%202%20z%207.pdf

3 dzień: http://safegroup.pl/pub/Test%20dzie%C5%84%203%20z%207.pdf

 

 

Na tą chwile biorąc pod uwagę 3 dni jedynie Bufferzone oblał 1 test, a Gw częściowo zaliczył 3 test bo miał problemy przy odpalaniu malware i pojawił się BSOD :D

Odnośnik do komentarza

Witam,

 

Test sandboxów jest przygotowywany w oparciu o zagrożenia publikowane na łamach forum, z których wybierane jest 10 z nich i są uruchamiane w piaskownicy każdego programu.

Planujemy opublikowanie sum kontronlnych zagrożeń w PDF'ie podsumowującym cały test, którego czas został skrócony do okresu jednego tygodnia. Publikowane aktualnie PDF-y z poszczególnych dni

są jedynie zarysami wyników, aby każdy mógł się zapoznać z działaniem poszczególnych programów zabezpieczających. Całkowity PDF z sumami kontrolnymi, wynikami, metodologią i opisem zostanie przygotowany

w dniu zakończenia testu albo dzień po nim. Wszystko zależy od tego czy uda mi się wyrobić z czasem i przygotować takowy dokument.

 

Pozdrawiam.

Odnośnik do komentarza

I częściowe problemy mają Dw i GW bo strzelają BSOD, inne programy takich przypadłości nie mają i zaliczają test bez żadnych awarii . Zauważ ,że DW i GW mają passed, ale na pomarańczowo a nie zielono więc bardziej warte są sandboxy Comodo, Kaspra, sandboxie , one prowadzą , wszystkie passed na zielono :P Później są GW Dw a na końcu Avast i Bufferzone po 6 dniu testów.

Odnośnik do komentarza

I częściowe problemy mają Dw i GW bo strzelają BSOD, inne programy takich przypadłości nie mają i zaliczają test bez żadnych awarii . Zauważ ,że DW i GW mają passed, ale na pomarańczowo a nie zielono więc bardziej warte są sandboxy Comodo, Kaspra, sandboxie , one prowadzą , wszystkie passed na zielono :P Później są GW Dw a na końcu Avast i Bufferzone po 6 dniu testów.

 

DW miał jeden BSOD, a GW chyba dwa, ale nie doszło do zawirusowania systemu i to jest najważniejsze. Jeżeli chodzi o Kaspra, to ilu jego użytkowników wykorzystuje sandboxa w ochronie, nie wspomnę o trybie zaawansowanym firewalla i HIPS-a.

Poza tym użycie piaskownicy w KIS, Avaście, BZ i Sandboxie, przy pobieraniu większej ilości plików najwygodniejsze nie jest.

Odnośnik do komentarza

Ale po co gadasz o wygodzie, jeśli test Eru ma na zadanie sprawdzić skuteczność sandboxów a nie wygodę , test kładzie nacisk na skuteczność i ona jest najważniejsza . Oceniaj skuteczność a nie wygodę . Jeśli ktoś przeprowadzi test programów o technologii sandbox polegający na wygodzie to możesz takie teksty spokojnie puszczać :lol:

Odnośnik do komentarza

Ale po co gadasz o wygodzie, jeśli test Eru ma na zadanie sprawdzić skuteczność sandboxów a nie wygodę , test kładzie nacisk na skuteczność i ona jest najważniejsza . Oceniaj skuteczność a nie wygodę . Jeśli ktoś przeprowadzi test programów o technologii sandbox polegający na wygodzie to możesz takie teksty spokojnie puszczać :lol:

 

Ważna jest nie tylko skuteczność ale także wygoda użytkowania i tutaj HIPS-y z piaskownicą, a nawet CIS (dzięki automatycznemu sandboxowi) są poza konkurencją.

Poza tym biorąc pod uwagę bardziej profesjonalne testy, to wygląda, to nieco inaczej:

 

http://translate.google.com/translate?hl=en&sl=ru&u=http://www.anti-malware.ru/antivirus_test_zero-day_protection&rurl=translate.google.at

http://antimalware.ru/hips_test_ring0_2010

http://www.av-comparatives.org/comparativesreviews/single-product-reviews

Odnośnik do komentarza

Jakie to odczuwasz niewygody podczas pobierania większej ilości plików przy użyciu Sandboxie ?

 

Jeżeli pobierasz dużo plików np. MP3 z których część jest zawirusowana, to aby zapewnić ochronę na najwyższym poziomie musisz je uruchamiać najpierw w Sandboxie, a dopiero potem przenosić (wiadomo, że AV, czy nawet klasyczny HIPS mogą przepuścić wirusa). Nie jest to zbyt wygodne. W przypadku HIPS-a z piaskownicą, wszystkie pobrane pliki są zaizolowane i poddane restrykcjom i nie musisz w żmudny sposób wyciągać ich z piaskownicy. CIS natomiast automatycznie izoluje w sanboxie wszystkie nieznane instalatory, a Defense+ dodatkowo umożliwia zablokowanie ich szkodliwego działania.

Odnośnik do komentarza

Omkar są 2 wyjścia, albo sobie z nas wszystkich teraz kpisz , albo taki już jesteś. Przedstawiłeś testy dużo starszych wersji programów które się zmieniły na pewno znacząco co teraz mamy: Jest już CIS 5.3 W teście malware.ru jest testowana wersja 3.9;/ 2 generacje wstecz , tak samo KIS 2010. W tym przypadku różnica programów jest dość znacząca zwłaszcza, jeśli chodzi o sandbox, po 1 został ulepszony po 2 został dodany bezpieczny pulpit, nie wspomnę o udoskonalenie silnika AV i Hipsa, to samo tyczy się innych programów . Dane są nie aktualne, Twój Dw też był testowany w starej wersji 2.56

 

"Poza tym biorąc pod uwagę bardziej profesjonalne testy, to wygląda, to nieco inaczej:"

 

Jakoś w tym teście Kis ma najwyższe noty razem z Dw więc jak jest inaczej, sam sobie zaprzeczasz . Chodzi o ten test: http://antimalware.ru/hips_test_ring0_2010

 

Odnośnie linku do testu sandboxów testowane były stare wersje programów!! Nijak się ma z teraźniejszością . Parę programów poczyniło postęp a dalej publikujesz stare teksty ,aby nasmarować dany program, żyj teraźniejszością a nie przeszłością. Przecież nie używamy starych wersji programów z przed roku czy 2 a Ty dalej wklejasz do starych.

 

Co do testów nieprofesjonalnych to w przypadku testu sandboxów Eru jak i testerzy laboratoryjni tak samo testują technologie sandbox. Jak mogą inaczej?? Przecież skuteczność jego sprawdza się przez odpalenie szkodliwego kodu , później opróżnianiu piaskownicy czy zatrzymanie ataku w przypadku DW. Jak inaczej mogą testować?? Weź mnie nie osłabiaj ...

Odnośnik do komentarza

Jeżeli pobierasz dużo plików np. MP3 z których część jest zawirusowana, to aby zapewnić ochronę na najwyższym poziomie musisz je uruchamiać najpierw w Sandboxie, a dopiero potem przenosić (wiadomo, że AV, czy nawet klasyczny HIPS mogą przepuścić wirusa). Nie jest to zbyt wygodne. W przypadku HIPS-a z piaskownicą, wszystkie pobrane pliki są zaizolowane i poddane restrykcjom i nie musisz w żmudny sposób wyciągać ich z piaskownicy. CIS natomiast automatycznie izoluje w sanboxie wszystkie nieznane instalatory, a Defense+ dodatkowo umożliwia zablokowanie ich szkodliwego działania.

 

Przecież od tego masz opcję monitorowanych folderów w ustawieniach danej piaskownicy, która pozwala izolować wszystkie zagrożenia uruchamiane z danego katalogu, sam odtwarzacz multimedialny możesz również dodać do monitorowanych programów.

Odnośnik do komentarza

@LikwidatoR

Nie jestem fanem tak jak Ty KIS-a ale uważam, że jest to obok CIS-a najlepszy pakiet zabezpieczający. To czego mu brakuje, to automatycznego sandboxa oraz wyraźnej informacji (ostrzeżenia), że na domyślnych ustawieniach nie zapewnia on dostatecznej ochrony.

Bardziej profesjonalne testy wykorzystują znacznie większą ilość próbek, a poza tym wykonywane są przez zaawansowanych testerów w odpowiednich warunkach. Nie zastanawia Cię dlaczego tylko w teście Eru DW powoduje BSOD-a?

 

@SE7EN

Nie rozumiemy się! Wszystkie pobrane pliki za pośrednictwem Sandboxie znajdują się w piaskownicy. Jeżeli zastosujesz szybkie przywracanie, to będą poza izolacją. Jeżeli nie, to po przetestowaniu musisz je wydobyć z piaskownicy. Programy typu HIPS z piaskownicą poza blokowaniem dostępu do jądra systemu, przystosowują sandbox do bardziej wygodnego użytkowania.

Odnośnik do komentarza

@omkar

 

Akurat Sandbox KISA nie ma poziomów ustawień bezpieczeństwa :) Chroni tak samo , to nie AV w którym zmniejszasz czy zwiększać poziom wykrywania heurystycznego czy odhaczasz zagrożenia jakie ma wykrywać. Sandbox nie ma ustawień poziomu bezpieczeństwa , chroni zawsze maksymalnie.

 

Zapytam inaczej a czy Ciebie nie zastanawia czemu w testach programy zabezpieczające , antywirusy/pakiety przy odpalaniu wirusa się wykrzaczają,wyłączają się, występują BSOD czy system nie wstaje?? Odpowiedź jest jasna , malware ingeruje/ atakuje w zabezpieczenia programu i są problemy. Tak samo jest Dw. Uważasz ,że ten program jest wyjątkiem, stworzył go Bóg?? Gdyby nie malware to BSOD czy innych problemów by nie było. To tyczy się wszystkich. Wirusy ingerują w działanie programów zabezpieczających .Ich celem jest zdestabilizować ich działanie.

Odnośnik do komentarza

@LikwidatoR

Nie jestem fanem tak jak Ty KIS-a ale uważam, że jest to obok CIS-a najlepszy pakiet zabezpieczający. To czego mu brakuje, to automatycznego sandboxa oraz wyraźnej informacji (ostrzeżenia), że na domyślnych ustawieniach nie zapewnia on dostatecznej ochrony.

Bardziej profesjonalne testy wykorzystują znacznie większą ilość próbek, a poza tym wykonywane są przez zaawansowanych testerów w odpowiednich warunkach. Nie zastanawia Cię dlaczego tylko w teście Eru DW powoduje BSOD-a?

 

Sam Ilya potwierdził błąd (zgłosiłem to poprzez Creera - występował po uruchomieniu 1 z próbek) - błąd nie będzie występował w wersji 3.10 więc to nie ma nic do rzeczy kto testował - przypominam, że polak900 też znalazł próbkę malware która "omijała" DW (wersja 2.56 - poprawione wraz z wydaniem wersji 3.0) jeżeli się nie usunęło jej pozostałości z listy przywracania :P

 

A skąd wiesz czy w laboratorium np nie mają BSOD'ów - może są ale o tym nie wspominają :P

Swoją drogą nie wiadomo kto dokładnie i jaką ma wiedzę podczas tych laboratoryjnych testów ;) :P

Odnośnik do komentarza

Nie ma się chłopaki się co spierać. Idealnych aplikacji zabezpieczających nie ma, jest jednak kilka, które zapewniają samodzielnie lub w różnych zestawach ochronę na najwyższym poziomie. Do takich programów zaliczyłbym DefenseWall, CIS, KIS, Sandboxie, GeSWall, Returnil, Shadow Defender (pomimo braku aktualizacji), Online Armor i Spyhelter.

 

Jeżeli chodzi o BSOD DW, to zwracam honor!

Na temat wirusa który omijał DW 2.56 w przypadku niewyczyszczenia sandboxa mogę coś powiedzieć, ponieważ testowałem go poza wirtualnym środowiskiem (bez użycia roolbacka) i byłem zmuszony wykonać format :) To wyjątkowo wredny wirus. Blokował exeki, internet, wszystkie aplikacje. Nie można było usunąć go nawet w trybie awaryjnym.

Odnośnik do komentarza

Dostępne już są wyniki z 7 i ostatniego zarazem dnia testów na SG :D

 

Dzięki Eru!

 

Mam parę pytań dotyczących testu.

 

1. Czy pliki które przepuścił GeSWall podczas ataków były oznaczone ikonką "G" , a więc zaizolowane w piaskownicy?

2. Czy używałeś w Comodo automatycznego, czy także zwykłego sandboxa?

3. Czy HIPS i firewall w KIS były ustawione na poziomie zaawansowanym?

4. Jaka opcja była ustawiona w monitorowaniu zachowań (HIPS) Avasta 6 (zezwól, blokuj, pytaj)?

Odnośnik do komentarza

Dzięki Eru!

 

Mam parę pytań dotyczących testu.

 

1. Czy pliki które przepuścił GeSWall podczas ataków były oznaczone ikonką "G" , a więc zaizolowane w piaskownicy?

2. Czy używałeś w Comodo automatycznego, czy także zwykłego sandboxa?

3. Czy HIPS i firewall w KIS były ustawione na poziomie zaawansowanym?

4. Jaka opcja była ustawiona w monitorowaniu zachowań (HIPS) Avasta 6 (zezwól, blokuj, pytaj)?

 

To był test Sandboxów nie HIPSów (niestety Sandbox w CIS nie działa jak się wyłączy D+ więc tylko tam był włączony HIPS)...

 

1. Uruchamiałem z PPM jako isolated - możesz sam wyciągnąć z tego wniosek

2. Jak wyżej uruchamiałem w Sandboxie Comodo z PPM - w 1 przypadku D+ zapytał co zrobić i była możliwość uruchomienia w Sandboxie (co jest na screenie w materiałach dodatkowych)

3. Na samym początku wspomniałem tylko w CIS był włączony D+ w KISie FW oraz HIPS i inne moduły były powyłączane (niemniej Kontrola Aplikacji reagowała - co widać w materiałach dodatkowych)

4. J.w. w Avaście też był wyłączony HIPS i inne moduły - uruchamiałem z PPM w środowisku izolowanym

Odnośnik do komentarza

To był test Sandboxów nie HIPSów (niestety Sandbox w CIS nie działa jak się wyłączy D+ więc tylko tam był włączony HIPS)...

 

1. Uruchamiałem z PPM jako isolated - możesz sam wyciągnąć z tego wniosek

2. Jak wyżej uruchamiałem w Sandboxie Comodo z PPM - w 1 przypadku D+ zapytał co zrobić i była możliwość uruchomienia w Sandboxie (co jest na screenie w materiałach dodatkowych)

3. Na samym początku wspomniałem tylko w CIS był włączony D+ w KISie FW oraz HIPS i inne moduły były powyłączane (niemniej Kontrola Aplikacji reagowała - co widać w materiałach dodatkowych)

4. J.w. w Avaście też był wyłączony HIPS i inne moduły - uruchamiałem z PPM w środowisku izolowanym

 

Wiem, że to był test piaskownic, a nie HIPS-ów. Zapytałem ponieważ interesuje mnie kompleksowa ochrona aplikacji zabezpieczających, a więc także skuteczność monitorów systemu.

 

Ad 1. Gdybyś normalnie używał GW, to wszystkie pliki pobrane z internetu byłyby automatycznie zaizolowane. Wiem, że GW posiada szczelną piaskownicę ale zapytałem ponieważ teoretycznie jest możliwość przebicia się wirusa poza wirtualizację. Miałem takie przypadki w DW 2.56. W przypadku HIPS-ów z piaskownicą musiała wystąpić blokada ale i pozostałe programy mogły ją wykorzystać. Wydaje mi się, że test byłby bardziej logiczny, gdybyś wykonał test kompleksowej ochrony (sandbox, HIPS. firewall, antywirus) wszystkich programów, lub tylko samych piaskownic, z wyłączeniem DW i GW.

 

Ad 2. Zastanawia mnie jak mogły znikać ślady po wirusach w Comodo, jeżeli były uruchamiane w kontenerze piaskownicy na dysku C. Przecież sandbox, to nie jest wirtualizer dysków, który usuwa wszystko po restarcie?

 

Ad 3. Zapytałem ponieważ interesuje mnie skuteczność HIPS-a w KIS w trybie zaawansowanym. Na domyślnych ustawieniach prawie w ogóle nie działa

 

Ad 4. Od wersji 6 Avasta jest opcja do wyboru w monitorze zachowań (zezwól - domyślna, blokuj, pytaj). Interesuje mnie, czy ten HIPS działa, czy jest tylko atrapą.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...