Bluegem
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Farik90
Благодарю за развернутый ответ.
Цитата: 1) 8 гораздо безбажнее 10, починили меньше чем сломали,
2) ничего полезного из нового в 10 для себя не нашел, |
А что сломали, какие баги? Интерес не праздный, хочу понять насколько серьезно лажают программисты из Comodo.
Цитата:| 3) для 8 есть самописная вспомогательная програмка (позволяет из алерта: добавить в доверенные, редактировать правило, проверить на вирустотал, вызвать контекстное меню файла; |
А как конкретно эта программа вносит изменения в конфигурацию Comodo?
Цитата: Есть два метода идентификации программ в HIPS:
1) Доверенный/нет по подписи или хешу(задается по дов.уст., по облаку или вручную(мой способ) ).
Доверенным можно все, кроме пуска недов. (спрашивать разрешения дов. может ТОЛЬКО на это), ну и явно запрещенное правилами остается запрещенным. kibinimatik регулярно проверяет способность cis определять подмену доверенного по хешу файла, и писал об уязвимости к этому разных версий cis (насчет последних релизов 10 не знаю). Забавно, что испытывая 8-ку в vmware, kibinimatik посчитал ее уязвимой, но моя проверка в vbox и реальной системе дала другой результат. Чем вызван баг при работе cis именно внутри vmware остается загадкой.
2) Правила. Относятся к файлу по конкретному пути (можно испол. маски *, ?). Содержание/хеш/подпись файла никак не влияет на применимость правил. |
Что-то у меня от этой системы возникает когнитивный диссонанс.... Я так и не понял как приложение становится доверенным, неопознанным и вредоносным при условии, что облачный анализ отключен? Например я специально взял старый дистрибутив filezilla без цифровой подписи, скопировал рабочую папку на раб. стол, запустил и ему был присвоен "доверенный". Дальше я удалил filezilla из списка, снова его запустил и ему был присвоен уже рейтинг "неопознанный". Ладно, дальше в процессе я дал в HIPS и в Firewall нужный доступ filezilla, убедился что она работает и цепляется к серверу. Дальше взял и подменил filezilla.exe на другое сетевое приложение, запустил, и оно без проблем подключилось уже к другому серверу. То есть элементарная замена исполнительного файла сработала и комод даже не крякнул. И ладно бы только это, но он еще и создал отдельную запись в списке файлов на мою поддельную filezilla.exe с рейтингом "доверенный" и правильным хешом. Интересует - можно ли отрубить автоматическое присвоение рейтинга? На что этот рейтинг влияет? Просто у меня от занесение filezilla в "доверенные" ничего не изменилось в настройках HIPS, как было практически везде "спрашивать" так и осталось.
И вывод, правильно ли я понял, что Comodo не проводит проверку целостности и соответствия исполнительного файла до выполнения правил? Если это так, а пока все указывает на то, что это именно так, то это просто катастрофическая дыра в безопасности, и в этом свете я не понимаю какой смысл было накручивать эту монстрообразную HIPS с песочницей и прочими рюшечками, если разработчик не может даже простейшие функции безопасности довести до ума. На всякий случай, у меня Comodo 10.0.1.6258, тестирую в VMware. |
Всего записей: 276 | Зарегистр. 03-10-2009 | Отправлено: 20:06 15-07-2017 | Исправлено: Bluegem, 20:09 15-07-2017 |
|
