Jump to content
x-men

Хотите проверить надежность Kaspersky ?

Recommended Posts

Скажите уважаймый,  это случайно не то министерство, не  тот Фаервол, при котором 1-3 года назад, школьник с северо-востока России, кажется из Магадана(возможно ошибаюсь), 11 класса средней школы, взломал сайт и чуть не запустил боеголовки с ракетами , думая что играет в онлайн Игру,  так вот это не ТИНИ тогда стоял на защите  американского  минстерства, а следовательно и  вооружения!!!!!????

Вы, что, только сейчас посмотрели фильм 'Военные игры' ? :D

Или Вы действительно в такие 'сенсации' верите ? :D

Наверное Вы тоже еще в школе учитесь, да ? :D

 

...взломал сайт и чуть не запустил боеголовки с ракетами :D

А что, для того чтобы запустить ракеты нужно 'взломать сайт' :blink::D

Вы как это себе представляете, некий 'сайт' Пентагона,

на котором нужно ввести логин и пароль, и запустить ракеты ?

Как на mail.ru, например ? :D

 

Знаете ли, мой отец провел определенный этап своей жизни

сидя в командном пункте запуска межконтинентальных

баллистических ракет. Впоследствии, он рассказывал мне

МНОГО интересных вещей... B) ...Эх, часами могу говорить на эту тему :rolleyes:

Поверьте, подобные сенсации предназначаются только

для домохозяек, детей, поднятия тиражей, и т.д.

 

Хотя, спасибо Вам за поднятие настроения ! :D

 

Ну что ж, пооффтопили и хватит, как говорится.

Share this post


Link to post
Настоящая блокировка- это запрос на дочерний процесс.

То, что Вы называете "настоящей блокировкой" реализовано и в KIS/KAV:

ранее писалось - "Антивирус Касперского 6.0.0.300 не могут воспрепятствовать открытию браузера по желанию проги PCFlankLeaktest.exe" - по умолчанию отключена проверка запуска IE в качестве дочернего, если же Вы считаете, что такая защита вам нужна - включите её в настройках Проактивной защиты - в модуле Application Integrity Control выберите процесс IE и переставьте все три возможных значения в On" -

 

в этом случае Вы получите алерт о попытке запуска IE из pcflanktest.exe...

 

Но, как я писал ранее, суть утечки не в этом, а в использовании COM-объекта IE, поэтому алерт о дочернем процессе не является блокировкой этой утечки.

Share this post


Link to post
Вы, что, только сейчас посмотрели фильм 'Военные игры' ? :D

Или Вы действительно в такие 'сенсации' верите ?  :D 

Наверное Вы тоже еще в школе учитесь, да  ?  :D

  :D

 

Нет,я во все это не верю,

 

Знаете ли, мой отец провел определенный этап своей жизни

сидя в командном пункте запуска межконтинентальных

баллистических ракет. Впоследствии, он рассказывал мне

МНОГО интересных вещей... B) ...Эх, часами могу говорить на эту тему  :rolleyes:

Поверьте, подобные сенсации предназначаются только

для домохозяек, детей, поднятия тиражей, и т.д.

 

Хотя, спасибо Вам за поднятие настроения !  :D Я рад что чем-то вам смог быть полезен :lol:

 

Ну что ж, пооффтопили и хватит, как говорится.

Share this post


Link to post

Вот наклепал аналог PCFlank Leak теста

 

Если повезло - тини как и все остальные ругатся небудут Ж)

 

Тест заключается в том что берется ваше имя компьютера, отсылается на гоогле в виде "PC Name: Your_Computer_Name" методом манипуляций с ИЕ Ком.

 

Полученный ответ сохраняется в папке запуска программы под именем Output.htm

 

Кста - если не выйдет с первого раза (ие не запущен) попробуйте запустить ие зайти на любой сайт а затем запустить тест.

 

Прога консольная. Вывод примерно такой ж)

 

Firewall Bypass PoC by Sanja v 1.0.3

 

Press any key to continue . . .

Initializing IE COM Object...Ok

Your Computer Name: NUL

Visiting: http://www.google.com/search?hl=ru&q=PC+Name%3A+NUL&lr=

Navigating IE...Ok

Getting document...Ok

Getting boty...Ok

Getting text...Ok

Firewall Bypassed!

Data Size: 18403

Now try to open Output.htm from current directory!

Press any key to continue . . .

<END>

FWB.rar

Edited by Sanja

Share this post


Link to post

Sanja, ваш тест обработан!

 

При запущенном Internet Explorer Tiny вывел alert о запуске IE вашей программой. Я нажал Запретить, и ваша программа мгновенно закрылась.

 

Alert'ы Tiny все те же самые, что привел x-men в начале топика, кроме предупреждения о внедрении в виртуальную защиту.

 

Так что пока Tiny не побит - тест пройден, данные не ушли!

 

Пробовал разрешить все - данные были переданы, так что не ошибка в программе.

 

Спасибо за тест! Хотелось бы узнать результаты пользователей KIS.

Share this post


Link to post

Ну что же, вроде ничего не изменилось (пользуюсь Kis) - 1) если браузер не запущен, обна-ся попытка запуска браузера с параметрами командной строки. Запретить - FWB закрывается. :) Название процесса svchost.exe. 2) если запущен - то KISa больше ничего не спрашивает, тест проходит! :blink:

А нельзя сделать подобную штуку для Opera или Firefoxa?

Edited by neons2006_90

Share this post


Link to post

grnic, вы не поняли фразы (что вполне реально). Запрос на запуск приложения другим приложением есть и у Kerio. Конечно, если запретить вообще запуск браузера из теста, ничего не получится. Но вот потом Tiny поднимает два alert'a подряд о запуске браузера, хотя браузер УЖЕ ЗАПУЩЕН. Это и есть отлавливание запуска COM-объекта. Просто Tiny называет это действие запуском приложения (опрощение интерфейса).

Share this post


Link to post

Что-же он делает, этот загадочный PCFlank тест?

 

По-моему (но может быть я фантазёр) при запуске очевидно сразу-же захватит LPC порт какой-нибудь для внедрения 'локального shellcode' в среде Windows PCFlank . Из-за недостатков архитектуры операционных систем Windows низко привилегированный процесс может оттуда внедрять данные в почти ЛЮБОЙ другой процесс, даже если атакуемый процесс, IE в этом случае, запущен с более высокими правами.

 

Для обхода каких-либо ограничений можно использовать различные адреса возврата и/или техники, работающий на любой версии Windows, при любом пакете обновлений, языке, обходящий защиту от переполнения буфера будет очень просто. Происходит это вследствие того, что код НЕ ВЫПОЛНЯЕТЬСЯ ИЗ СТЕКА ИЛИ КУЧИ и НЕ будет использовать ФИКСИРОВАННЫЙ адрес возврата. И все охраники (включая Tiny) отдыхают... :) Здесь, конечно, не место привести все возможнжые коды и комманды, но для любого уважаующего себя hacker'a неразрешимых проблем в этом нет :)

 

Paul Wynant

Moscow, Russia

Edited by p2u

Share this post


Link to post

Перепишу предыдущий пост:

 

Что-же он делает, этот загадочный PCFlank тест?

 

По-моему (но может быть я фантазёр) при запуске очевидно сразу-же захватит LPC порт какой-нибудь для внедрения 'локального shellcode' в среде Windows. Из-за недостатков архитектуры операционных систем Windows низко привилегированный процесс может оттуда внедрять данные в почти ЛЮБОЙ другой процесс, даже если атакуемый процесс запущен с более высокими правами.

 

Для обхода каких-либо ограничений можно использовать различные адреса возврата и/или техники, работающий на любой версии Windows, при любом пакете обновлений, языке, обходящий защиту от переполнения буфера будет очень просто. Происходит это вследствие того, что код НЕ ВЫПОЛНЯЕТЬСЯ ИЗ СТЕКА ИЛИ КУЧИ и НЕ будет использовать ФИКСИРОВАННЫЙ адрес возврата. И все охранники (включая Tiny) отдыхают... :) Здесь, конечно, не место привести все возможнжые коды и комманды, но для любого уважаующего себя hacker'a неразрешимых проблем в этом нет :)

 

Paul Wynant

Moscow, Russia

Edited by p2u

Share this post


Link to post

>А нельзя сделать подобную штуку для Opera или Firefoxa?

Нет

Share this post


Link to post

PS: Очень странно что тини при запущенном ИЕ ругается на его запуск т.к реально запуска не происходит просто у уже запущенного процесса ИЕ прибавляется 1 поток.

Share this post


Link to post

>По-моему (но может быть я фантазёр) при запуске очевидно сразу-же захватит LPC порт какой-нибудь для внедрения 'локального shellcode' в среде Windows PCFlank . Из-за недостатков архитектуры операционных систем Windows низко привилегированный процесс может оттуда внедрять данные в почти ЛЮБОЙ другой процесс, даже если атакуемый процесс, IE в этом случае, запущен с более высокими правами.

 

Мама.. Ж) Зачем такие сложности.. все намного проще ж)

Share this post


Link to post
PS: Очень странно что тини при запущенном ИЕ ругается на его запуск т.к реально запуска не происходит просто у уже запущенного процесса ИЕ прибавляется 1 поток.

 

Может быть вам просто КАЖЕТСЯ, что второго запуска не происходит? Если Tiny орёт, значит наверно этот поток, который вы объективно регистрировали, не просто второй поток, а (может быть) результат спроецирования чего-то (shellcode, например) на атакуемый процесс (уже не PCFlank'ом), которое брандмауэром Tiny воспринимается как второй запуск... Мне кажется, что в моём варианте c LPC портами ничего такого сложного нет. Зато обясняется, почему всё так странно происходит... Я готов по e-mail'y дальше теоретизировать... Если вы также готовы, оставьте, пожалуйста, адрес в PM ;)

 

Paul Wynant

Moscow, Russia

Share this post


Link to post

>Может быть вам просто КАЖЕТСЯ, что второго запуска не происходит?

 

Мне неможет казатся ибо технические средства проверки это доказывают Ж)

 

Он может орать на что-то другое называя это другими словами.

 

И забудте про шел коды ж) Им тут делать нечего. К томуже ловить шел-коды много проще чем такой метод. Ибо шелкод надо внедрить а это на языке кава - Invader :) у остальных названия другие но суть таже - OpenProcess Check, WriteProcessMemory check; тотже VirtualProtect check :)

Edited by Sanja

Share this post


Link to post
>Может быть вам просто КАЖЕТСЯ, что второго запуска не происходит?

 

Мне неможет казатся ибо технические средства проверки это доказывают Ж)

 

Он может орать на что-то другое называя это другими словами.

 

И забудте про шел коды ж) Им тут делать нечего. К томуже ловить шел-коды много проще чем такой метод. Ибо шелкод надо внедрить а это на языке кава - Invader :) у остальных названия другие но суть таже - OpenProcess Check, WriteProcessMemory check; тотже VirtualProtect check :)

 

OK, здаюсь... Я не знаю, что и когда PCFlank инжектирует :) Но я помню из того что я читал про инжеты, что, когда производиться запись в память запускаемого процесса со стороны РОДИТЕЛЬСКОГО процесса, фаерволлы включают контроль инжектов ПОЗДНЕЕ. На основании этого факта МОЖНО построить методику инжектов в запускаемый процесс, которая сможет обойти контроль большинства фаерволлов.

 

Paul Wynant

Moscow, Russia

Share this post


Link to post

>Я не знаю, что и когда PCFlank инжектирует

Никогда и ничего Ж) Технология COM (component object model)

 

>На основании этого факта МОЖНО построить методику инжектов в запускаемый процесс, которая сможет обойти контроль большинства фаерволлов.

 

Не тот случай ж)

Share this post


Link to post
То, что программа работает через порт, не значит, что он открыт.. Прогоните Tiny через тесты на www.grc.com. Там есть проверка первых... по-моему, 1050 портов или что-то в этом роде. По крайней мере многие используемые svchost порты лежат в этой зоне. Результат сообщите сюда. Если будут дыры- считайте, что вы меня убедили.

 

Сообщаю. Сайт говорит, что первые 1056 портов stealthed. Но у меня время от времени появляется сообщение КАВ5 о том, что на такой-то порт с такого-то адреса произведена атака таким-то вирусом. Это значит, что на самом деле ничего не stealthed. А что если вирус будет такой, какого еще нет в базе КАВа? Он промолчит, Tiny тоже и я под ударом. А я ведь ожидаю от файрволла не того, что разработчики считают себя умнее злоумышленников и позволяют себе вписывать тотально разрешительные настройки, а того, что файрволл будет контролировать ЛЮБУЮ сетевую активность и спрашивать меня что с нею делать. И пусть в документацию к файрволлу приложат краткую справочку о том, что, например, вот эта активность - это синхронизация часов, а вот та - что-то еще. А я уж сам решу что позволять.

Share this post


Link to post
Напомню, интересный факт:

'Министерство обороны США выбрало Tiny Firewall для установки

на 500 000 своих компьютеров...'

По всей видимости это означает то, что 'компания-невидимка' коварно

подкупила Министерство обороны США, да ? :D

Ах да, есть еще одна причина - в армии США все полные кретины,

понятия не имеющие о стандартах информационной безопасности !

 

я думаю, что проблема решается просто:

для подобных государственных контор неприемлим факт покупки ЛЮБОГО софта, на который они:

 

1) не видели исходников

2) не могут сказать, что он разработан в США либо как минимум в "дружественном государстве"

 

спасибо

Share this post


Link to post

Любезный kav.user! Повторю фразу: фильтр Касперского срабатывает раньше Tiny. Разработчики же умнее не только злоумышленников, но и вас. Однако дела уже не будет. Ваше недоверие к Tiny уже не преодолеть. Пользователю же не следует применять софт, в котором он не уверен. Можете, в принципе, последовать моему примеру: произвести разделение властей и поставить как Outpost, так и Tiny. У первого отключите слежение за программами, а у второго- службу детектирования вторжений IDS.

Share this post


Link to post
Любезный kav.user! Повторю фразу: фильтр Касперского срабатывает раньше Tiny. Разработчики же умнее не только злоумышленников, но и вас. Однако дела уже не будет.

 

А почему это Касперский срабатывает раньше файрволла? Почему файрволл позволяет какой-либо программе быть между собой и внешним миром? Я-то по наивности всегда думал, что сетевой экран должен стоять первым, а потом уже все остальное. Тем более, что заявлено, что у Tiny есть и проактивная защита, контроль за приложениями и всё такое. И если Каспер раньше файрволла начинает работать, то как я могу быть уверен, что только Каспер? Вдруг и какой-нибудь svchost тоже? Или еще что-нибудь.

Ну а насчет умнее, это у вас от горячки вырвалось, я думаю. Ладно я, я и не претендую, я обычный пользователь и разработчики побольше меня соображают в вопросах сетевой безопасности. А вот насчет злоумышленников так говорить не надо. Простите за простое народное выражение, но на каждую хитрую попу найдется член с винтом.

Share this post


Link to post
Сообщаю. Сайт говорит, что первые 1056 портов stealthed. Но у меня время от времени появляется сообщение КАВ5 о том, что на такой-то порт с такого-то адреса произведена атака таким-то вирусом. Это значит, что на самом деле ничего не stealthed. А что если вирус будет такой, какого еще нет в базе КАВа? Он промолчит, Tiny тоже и я под ударом. А я ведь ожидаю от файрволла не того, что разработчики считают себя умнее злоумышленников и позволяют себе вписывать тотально разрешительные настройки, а того, что файрволл будет контролировать ЛЮБУЮ сетевую активность и спрашивать меня что с нею делать. И пусть в документацию к файрволлу приложат краткую справочку о том, что, например, вот эта активность - это синхронизация часов, а вот та - что-то еще. А я уж сам решу что позволять.

 

kav.user,

 

А вы уверены, что сканируете собственный ip-address? Я очень часто замечаю, что люди не сканируют собственный комп, а ISP или их маршрутизатор... Проверьте всегда через ipconfig/all !!! У меня например отличаются ip-address и WAN-address (то, что сайти видят как мой ip). Для меня даже не имеет смысла проверяться в online... :) Я пользуюсь XSpider'ом (бесплатный локальный сканнер русского производства)...

 

Paul Wynant

Moscow, Russia

Edited by p2u

Share this post


Link to post

kav.user, простите, но просто по определению профессионалы в области сетевой безопасности понимают в ней больше, чем вы... так что горячки тут нет и не было... впрочем, я уже сказал: используйте софт, который вам удобен.

Share this post


Link to post
Сообщаю. Сайт говорит, что первые 1056 портов stealthed. Но у меня время от времени появляется сообщение КАВ5 о том, что на такой-то порт с такого-то адреса произведена атака таким-то вирусом.

А Вы уверены, что эта атака, действительно происходит ?

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.