Skocz do zawartości

Wielki test sandboxów SafeGroup!


Rekomendowane odpowiedzi

PDF podsumowujący w trakcie tworzenia...

Czas na kompresję, gdyż rozmiar 66MB jest nie do przyjęcia...

 

To ja Ci Jurku odpowiem na pytanie 4.

 

Po włączeniu w Monitorowaniu zachowań Avast! na "PYTAJ" - sypie komunikatami dotyczącymi zmian w systemie, instalacji steroników. I daje opcje zezwolenia raz, zezwolenia i dodania do grupy zaufania, zablokowania.

I nie jest bynajmniej to atrapa.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Wiem, że to był test piaskownic, a nie HIPS-ów. Zapytałem ponieważ interesuje mnie kompleksowa ochrona aplikacji zabezpieczających, a więc także skuteczność monitorów systemu.

 

Ad 1. Gdybyś normalnie używał GW, to wszystkie pliki pobrane z internetu byłyby automatycznie zaizolowane. Wiem, że GW posiada szczelną piaskownicę ale zapytałem ponieważ teoretycznie jest możliwość przebicia się wirusa poza wirtualizację. Miałem takie przypadki w DW 2.56. W przypadku HIPS-ów z piaskownicą musiała wystąpić blokada ale i pozostałe programy mogły ją wykorzystać. Wydaje mi się, że test byłby bardziej logiczny, gdybyś wykonał test kompleksowej ochrony (sandbox, HIPS. firewall, antywirus) wszystkich programów, lub tylko samych piaskownic, z wyłączeniem DW i GW.

 

Ad 2. Zastanawia mnie jak mogły znikać ślady po wirusach w Comodo, jeżeli były uruchamiane w kontenerze piaskownicy na dysku C. Przecież sandbox, to nie jest wirtualizer dysków, który usuwa wszystko po restarcie?

 

Ad 3. Zapytałem ponieważ interesuje mnie skuteczność HIPS-a w KIS w trybie zaawansowanym. Na domyślnych ustawieniach prawie w ogóle nie działa

 

Ad 4. Od wersji 6 Avasta jest opcja do wyboru w monitorze zachowań (zezwól - domyślna, blokuj, pytaj). Interesuje mnie, czy ten HIPS działa, czy jest tylko atrapą.

 

1. Nie wiem co rozumiesz pod pojęciem "normalne używanie GW" ale że paczkę pobierałem na fizyczny PC a potem wybierałem 10 losowych malware i umieszczałem je w osobnym folderze - potem za pomocą opcji Przeciągnij i upuść (którą VMware oferuje) przeciągałem folder z tymi 10 zagrożeniami do VM to uruchamiałem je w każdym teście z PPM. lub tylko samych piaskownic, z wyłączeniem DW i GW. - nie wiem czemu miałbym nie uwzględniać GW i DW w teście piaskownic jak to są piaskownice z restrykcjami...

Może taki test o którym mówisz kiedyś zrobię (mówię kiedyś bo to cholernie dużo czasu by zajęło a jakbyś nie zauważył ja to traktuję "testowanie" można by rzec, że jako "hobby" i mi za to nie płacą)...

 

2. Po restarcie nie było śladów żadnych plików uruchomionych w Sandboxie CIS'a - być może CIS albo opróżnia piaskownicę po restarcie (co raczej jest prawdopodobne) lub po prostu "kontener" jest tak dobrze ukryty, że programy nie mają do niego dostępu - ty "testowałeś" CIS'a dość długo...

 

3. Ale co mnie to obchodzi, że ciebie interesuje - to sobie przetestuj :P Ja robiłem test Sandboxów nie HIPS'ów

 

4. No jest taka opcja (i dobrze że Avast się rozwija w odpowiednim kierunku) - jeżeli cię to tak interesuje to go "przetestuj" lub zapytaj kogoś kto w nim testował tego HIPS'a :P

 

PS. Użyłem "" przy słowach testowanie specjalnie bo jak wiadomo, nie są to "profesjonalne" testy, które tak cenicie :P :D

Odnośnik do komentarza

Dzięki Eru za wykonanie testu oraz za wyjaśnienia!

 

Jeżeli chodzi o porównanie HIPS-ów do piaskownic, to można polemizować. GeSWall co prawda bardziej przypomina Sandboxa, choć dobrze blokuje keyloggery i ataki sieciowe ale już DefenseWall Personal Firewall nie wiele z piaskownicą ma wspólnego poza tym, że wykorzystuje ją w ochronie. Najlepszym dowodem na to są wyniki CLT w którym Sandboxie zalicza 160 pkt, GeSWall 200, a DefenseWall 330.

 

Pozdro

Odnośnik do komentarza

Nie widzę zbytnio sensu robienia syntetycznego testu czysto HIPSowego na Sandboxie, to jest równie niepoważne jak niektóre wyniki matousec wykonywane na klasycznych firewallach (Sunbelt Personal Firewall, Look 'n' Stop itp.).

 

Może i tak, choć rezultat Sandboxie nie jest wcale taki zły. Porównuje te wyniki, aby pokazać różnice w ochronie pomiędzy SB, GW i DW poza samą izolacją w piaskownicy.

Odnośnik do komentarza

Może i tak, choć rezultat Sandboxie nie jest wcale taki zły. Porównuje te wyniki, aby pokazać różnice w ochronie pomiędzy SB, GW i DW poza samą izolacją w piaskownicy.

 

Samo porównywanie wyników jest już bez sensu bo niby w jaki sposób miał by przejść testy DNS itp ? Równie dobrze można by sprawdzić jak skuteczna jest w nim np. kontrola rodzicielska.

Odnośnik do komentarza

Jedno pytanie: gdzie w "naturze" występują te "robale" innymi słowy gdzie trzeba się poruszać aby to dziadostwo załapać ?

 

Sam nie wiem gdzie ludzie łażą, że infekują sobie kompy - ale mniejsza wystarczy spojrzeć ile ludzi dziennie zamieszcza logi na forach w działach "bezpieczeństwo" lub pokrewnych :D

Odnośnik do komentarza

Chodzi Ci o te konkretne kody na których był wykonywany test, czy ogólnie o infekcje. Jeśli dotyczy to pierwszej części to pliki są publikowane na forum SG w odpowiednich paczkach, odnośnie drugiej to pomysłowość cyberprzestępców jest spora, stosują oni różne sposoby dystrybucji malware między innymi poprzez wiadomości email z szkodliwymi załącznikami lub linkami do infekujących stron, wiadomości z linkami wysyłanymi na portalach społecznościowych, wiadomości z komunikatorów internetowych, banery prowadzące do stron z tymi aplikacjami, wyniki w wyszukiwarkach no i pamięci masowe infekujące maszynę do której zostaną podłączone. Jeśli chodzi o strony z malware to spotyka się strony nad którymi kontrola została przejęta i publikowane na niej pliki są podmienione (np. ostatnio sterowniki do urządzeń firmy Razer, strona Kaspersky kaspersky.co.za, f-secure.com.br itp.). Niektóre infekujące strony wymagają reakcji ze strony użytkownika (stosowane są socjotechniki np. aby oglądnąć rewelacyjny "materiał wideo" wymagany jest "kodek" lub inny program, na komputerze jest jakiś "problem" który tylko "fałszywy program jest w stanie naprawić itp.) inne stosują ataki drive-by download i nie jest wymagana żadna reakcja ze strony użytkownika poza odwiedzeniem danej strony. No i dochodzą to tego jeszcze klasyczne robaki sieciowe które rozprzestrzeniają się same (np. Sasser itp.). oraz zainfekowane pliki pochodzące z p2p warezów itp.

Odnośnik do komentarza
  • 2 tygodnie później...

Żeby się czymś "zarazić" w sieci trzeba być kompletnym dyletantem (bez urazy :))...przy dobrym zabezpieczeniu-przede wszystkim solidny HIPS-ryzyko infekcji jest skrajnie minimalne...ja codziennie uruchamiam po kilkanaście różnej maści virków z tej stronki : hxxp://www.malwaredomainlist.com/update.php i nic się nie dostało do systemu...

 

Dlatego czytając "Dział pomocy doraźnej" nie mogę wyjść z podziwu : jak oni to robią :confused:

 

 

Odnośnik do komentarza

Żeby się czymś "zarazić" w sieci trzeba być kompletnym dyletantem (bez urazy :))...przy dobrym zabezpieczeniu-przede wszystkim solidny HIPS-ryzyko infekcji jest skrajnie minimalne...ja codziennie uruchamiam po kilkanaście różnej maści virków z tej stronki : hxxp://www.malwaredomainlist.com/update.php i nic się nie dostało do systemu...

 

Dlatego czytając "Dział pomocy doraźnej" nie mogę wyjść z podziwu : jak oni to robią :confused:

 

Przypomnij sobie Meir siebie sprzed wielu lat :) Podstawą jest doświadczenie i zainteresowanie się tematem, a to jest nadal rzadkość wśród użytkowników komputerów.

 

Solidny HIPS szczególnie z piaskownicą skutecznie chroni w trybie niezaufanym, ale pozostaje jeszcze instalacja nieznanego oprogramowania w trybie zaufanym. W zasadzie jest to błąd, ale czasem takie działanie może być konieczne i wtedy istotę stanowi wirtualna maszyna lub przynajmniej piaskownica do testowania.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...