Jump to content
Sign in to follow this  

Recommended Posts

Доброго времени суток. Так как использую KIS 2018 относительно недавно (меньше месяца), то закономерно решил найти и ознакомиться с самой разной информацией о продукте. Помимо справочных материалов на официальном сайте также почитал разные форумы и сайты отзывов. Бросился в глаза один момент. Один из пользователей практически на всех форумах и сайтах отзывов пишет об одном и том же баге, подчеркивая, что "ведет переписку с техподдержкой уже год, но баг не исправляют".  В пример приводит тот факт, что если процессу Windows Explorer прописать тотальный запрет на выход в Интернет, то даже уже при полной загрузке системы после включения ПК можно увидеть, что данный процесс спокойно успел выйти в сеть и отправить/получить какие-то данные. Баг действительно не такой и безобидный, если почитать его комменты. То, что в Касперском ИС есть защита во время перезагрузки и выключения системы (сетевой экран выключается в самую последнюю очередь) - это хорошо. Но пользователь упирает на уязвимость именно при загрузке системы, якобы сетевой экран включается слишком поздно и все программы (в том числе и вредоносные), которые могут запуститься на ранней стадии загрузки, они получают возможность слить всю инфу в интернет и/или получить какие-то команды из интернета. Действительно, заметил, что у меня даже уже при полной загрузке рабочего стола (когда уже и ярлыки прогрузились и все программы в автозагрузке и т.д.) значок Центра безопасности Windows в трее примерно 3-4 секунды показывает желтый треугольник и только потом загорается зеленая метка, что все нормально. Если в эти 3-4 секунды открыть Центр безопасности Windows, то можно увидеть, что он сигнализирует именно о проблеме с сетевым экраном (идет получение сведений). Могу ошибаться, не специалист все же, но думаю, что если бы сетевой экран загружался на ранней стадии, то к моменту полной загрузки системы Центр безопасности уже наверняка бы получил все сведения о состоянии сетевого экрана и сразу горела бы зеленая метка, а значит, что сетевой экран запускается не на ранней стадии загрузки системы и система в этот момент уязвима. Или же я ошибаюсь? 

Share this post


Link to post
15 минут назад, ProstoUser сказал:

приводит тот факт, что если процессу Windows Explorer прописать тотальный запрет на выход в Интернет, то даже уже при полной загрузке системы после включения ПК можно увидеть, что данный процесс спокойно успел выйти в сеть и отправить/получить какие-то данные.

15 минут назад, ProstoUser сказал:

Если в эти 3-4 секунды открыть Центр безопасности Windows, то можно увидеть, что он сигнализирует именно о проблеме с сетевым экраном (идет получение сведений).

предлагаю проверить, имеет ли на самом деле выход в Интернет Explorer  или это просто Центр безопасности с опозданием получает сведения

например измените правила сетевого доступа всей группе Доверенные (заблокировать любую сетевую активность) и посмотрите в Мониторинге сети сколько данных отправится, после нескольких последовательных перезагрузках.

Share this post


Link to post

А зачем запрещать эксплореру выход в интернет? Очень надуманный сценарий.

Share this post


Link to post
50 минут назад, kmscom сказал:

предлагаю проверить, имеет ли на самом деле выход в Интернет Explorer  или это просто Центр безопасности с опозданием получает сведения

например измените правила сетевого доступа всей группе Доверенные (заблокировать любую сетевую активность) и посмотрите в Мониторинге сети сколько данных отправится, после нескольких последовательных перезагрузках.

Забыл прикрепить скриншот, который сделал вышеупомянутый пользователь. Как раз тут видно, что Windows Explorer что-то отправляет/получает в сеть несмотря на тотальный запрет.

картинка кис.jpg

Share this post


Link to post
20 минут назад, Денис-НН сказал:

А зачем запрещать эксплореру выход в интернет? Очень надуманный сценарий.

Касперский ИС у меня стоит в системе меньше месяца. До этого стоял Аваст ИС (была лицензия на 3 года). И я внимательно изучал что там сетевой экран блокирует и почему. Вы может удивитесь, но с дефолтными настройками, сетевой экран Аваста сразу блокирует выход в сеть именно процесса Windows Explorer. И действительно, вам не кажется, что Проводнику нечего делать в Интернете, но он туда зачем-то упорно рвется. Проанализировав журнал брандмауэра, я посмотрел куда именно рвется Проводник, IP-адреса ведут на какой-то сервер в Сингапуре. И Проводник туда рвался каждый день да не по разу. Зачем? Непонятно. И тут гляжу в Сетевой монитор, тоже Windows Explorer что-то в Сингапур отправляет, да что-то оттуда получает каждый день и не по разу. Но ладно там Проводник, шпионские игры и т.д., Бог с этим, мы не Джеймс Бонды, секретной инфы в системах нет. Но ведь если таковая уязвимость на самом деле имеет место быть, то ей уже не Проводник, а какая-нибудь малварь может воспользоваться. И вот это уже становится опасным.

Edited by ProstoUser

Share this post


Link to post

Не знаю куда рвётся проводник. Никогда не задавался этим вопросом, даже когда был диалап модем и дорогой и медленный интернет. Вероятно проблема имеет место. Но вот опасность этого соединения и важность его блокирования для меня под вопросом.

Вопрос тотальной блокировки всех сетевых подключений до окончания загрузки КИС поднимался не раз. В старых версиях продукта даже настройка такая была, потом её убрали. Наверное для этого есть причины. Возможно сейчас это сложно сделать технически, возможно это просто не требуется делать.

Share this post


Link to post
1 минуту назад, Денис-НН сказал:

Не знаю куда рвётся проводник. Никогда не задавался этим вопросом, даже когда был диалап модем и дорогой и медленный интернет. Вероятно проблема имеет место. Но вот опасность этого соединения и важность его блокирования для меня под вопросом.

Вопрос тотальной блокировки всех сетевых подключений до окончания загрузки КИС поднимался не раз. В старых версиях продукта даже настройка такая была, потом её убрали. Наверное для этого есть причины. Возможно сейчас это сложно сделать технически, возможно это просто не требуется делать.

Еще раз отмечу, что важно не то, что какой-то Проводник что-то там отсылает и принимает, важно то, что данной уязвимостью может воспользоваться уже не Проводник, а малварь, в которую внедрили возможность загрузки на ранней стадии загрузки операционной системы. И тут уже реальная опасность, что в таком случае малварь имеет небольшой промежуток времени от момента своего запуска до запуска сетевого экрана, чтобы отослать какие-нибудь важные данные злоумышленнику и/или отослать запрос на действия и получить команду от злоумышленника.   

Share this post


Link to post

Тогда и надо тестировать не на проводнике, а на чём то ином. Отношение к проблеме сразу станет другим. Попробуйте взять программу с сетевой активностью, настроить её автозапуск, запретить в КИС доступ в сеть и проверить результат. Сразу могу сказать, мне лениво. Среди защитных компонентов сетевой экран меня интересует в последнюю очередь.

Share this post


Link to post
6 часов назад, ProstoUser сказал:

Еще раз отмечу, что важно не то, что какой-то Проводник что-то там отсылает и принимает, важно то, что данной уязвимостью может воспользоваться уже не Проводник, а малварь, в которую внедрили возможность загрузки на ранней стадии загрузки операционной системы

Если зловред загружается на ранней стадии загрузки ОС, то эту систему необходимо лечить. А подобная малварь, если понадобиться, просто отключит антивирус, чтобы не мешал. 

Share this post


Link to post
В ‎02‎.‎06‎.‎2018 в 21:59, Денис-НН сказал:

Не знаю куда рвётся проводник. Никогда не задавался этим вопросом, даже когда был диалап модем и дорогой и медленный интернет. Вероятно проблема имеет место. Но вот опасность этого соединения и важность его блокирования для меня под вопросом.

Вот, если интересно, далеко не полный, как думаю, список IP-адресов, с которыми периодически коннектится процесс Windows Explorer при загрузке системы:
2.16.67.30
2.17.170.146
2.18.72.17
2.18.73.254
2.18.74.107
2.18.76.11
2.18.77.143
2.18.78.205
2.19.122.44
2.21.7.65
2.21.7.81
2.23.108.16
2.23.108.155
2.23.109.212
23.37.57.231
23.59.115.175
23.60.16.17
23.61.242.96
23.61.242.211
23.78.122.49
23.78.126.62
23.214.192.0/20
23.214.192.13
23.214.192.113
88.212.196.77
88.221.72.11
88.221.73.144
88.221.74.206
92.122.93.193
92.122.95.132
104.75.58.201
104.76.36.199
104.76.36.242
104.108.163.242

Сервера разбросаны по всему миру и принадлежат компании Akamai Technologies. Кто пользуется данными услугами сей компании и является конечным "бенефициаром" - неизвестно.
Естественно, актуальность безопасности от подобных соединений каждый определяет для себя сам. Но не думаю, что совет с подтекстом "мне это неинтересно, а значит не должно быть интересно никому" заслуживает внимания...
И, в общем-то, обсуждаемая проблема не в проводнике - на его примере, как самом активном, лишь показана возможность свободного доступа в сеть для процессов в момент загрузки системы.

В ‎02‎.‎06‎.‎2018 в 21:59, Денис-НН сказал:

.Вопрос тотальной блокировки всех сетевых подключений до окончания загрузки КИС поднимался не раз. В старых версиях продукта даже настройка такая была, потом её убрали. Наверное для этого есть причины. Возможно сейчас это сложно сделать технически, возможно это просто не требуется делать. 

В принципе, вы признали, что Лаборатория Касперского не в состоянии решить проблему защиты компьютера в момент загрузки системы. Спасибо.

Share this post


Link to post
В ‎02‎.‎06‎.‎2018 в 22:15, Денис-НН сказал:

Тогда и надо тестировать не на проводнике, а на чём то ином. Отношение к проблеме сразу станет другим. Попробуйте взять программу с сетевой активностью, настроить её автозапуск, запретить в КИС доступ в сеть и проверить результат. Сразу могу сказать, мне лениво. Среди защитных компонентов сетевой экран меня интересует в последнюю очередь.

Если вам "лениво", зачем вы вообще пишите комментарии, когда не можете сказать ничего конкретного?

Вот скрины доступа в сеть приложений с тотальным запретом на сие действие, которые когда-то я отправлял в ТП.

Adobe CEP-1.jpg

Acronis выходит в сеть 2.jpg

Share this post


Link to post
В ‎03‎.‎06‎.‎2018 в 04:41, Drru сказал:

Если зловред загружается на ранней стадии загрузки ОС, то эту систему необходимо лечить. А подобная малварь, если понадобиться, просто отключит антивирус, чтобы не мешал. 

Вы только что подтвердили высказанное ранее товарищем Денис-НН признание, что Kaspersky Internet Security не в состоянии защищать ПК в момент загрузки системы. При этом ещё и признали несостоятельность KIS в плане самозащиты.

Вам тоже спасибо.

Share this post


Link to post

А как можно защитить заражённую систему в момент загрузки?

Share this post


Link to post
1 минуту назад, Sergey Popov сказал:

зачем вы вообще пишите комментарии

Элементарно, мне  нравиться это делать!

14 минут назад, Sergey Popov сказал:

Kaspersky Internet Security не в состоянии защищать ПК в момент загрузки системы.

Или не могут или не считают нужным. Ситуация не понятная.

Формально - настройка блокировать сетевые подключения для программ не работает. И надо  напрягать техподдержку с решением данной проблемы. С проводником это может не получиться, а вот ограничения для сторонних программ должны работать.

22 минуты назад, Sergey Popov сказал:

Вот скрины доступа в сеть приложений с тотальным запретом на сие действие, которые когда-то я отправлял в ТП.

Это правильный путь решения проблемы. Что вам ответила ТП по этому запросу?

Share this post


Link to post

Лично у меня блокировка сетевых подключений программ при запуске системы прекрасно работает. Не знаю как там дела обстоят с Windows Explorer , а со сторонним софтом всё прекрасно блокируется.

 

Захват3.png

Захват4.png

Share this post


Link to post
35 минут назад, =Maximus= сказал:

Лично у меня блокировка сетевых подключений программ при запуске системы прекрасно работает. Не знаю как там дела обстоят с Windows Explorer , а со сторонним софтом всё прекрасно блокируется.

Речь идет не о том, что вы запускаете лично или что стоит в автозагрузке, а о том, что имеет внутренние механизмы запуска сетевых соединений при старте системы, т.е. ещё до того, как задействуется механизм автозагрузки или вы успеете нажать на ярлык. Именно такие механизмы могут быть задействованы зловредным ПО.

Вот ещё пример с процессом Bonjour Service, который так же имел тотальный запрет на выход в сеть, но так же получал туда доступ. При этом подобную деятельность KIS даже не регистрирует в журнале:

Скрин 1.jpg

Скрин 2.jpg

Share this post


Link to post
1 час назад, Денис-НН сказал:

Элементарно, мне  нравиться это делать!

Или не могут или не считают нужным. Ситуация не понятная.

Формально - настройка блокировать сетевые подключения для программ не работает. И надо  напрягать техподдержку с решением данной проблемы. С проводником это может не получиться, а вот ограничения для сторонних программ должны работать.

Это правильный путь решения проблемы. Что вам ответила ТП по этому запросу?

Сначала ТП мурижила всякими отчетами и трассировками (это нормально), потом ушла в "ждите ответа", а недавно предложила самому узнать, исправили ли разработчики данный баг (коим они признали данную проблему) в последней версии KIS (т.е. 2019). Не исправили...

Следовательно ответ в "не могут", а не в "не считают нужным". Да и логика подсказывает, что если файер не может ограничить один процесс, то где гарантии, что сможет другие? Или, что этим же процессом не воспользуются злоумышленники? Следовательно, "не считают нужным" право на существование не имеет.

P.S. Денис, я понимаю и приветствую вашу любовь к общению! Но форум-то технический, здесь хотелось бы слышать комментарии по существу... Тут и так найдутся те, кто обязательно подгадит его никчемными текстами. А вы же всё таки модератор... ;)

Share this post


Link to post
38 минут назад, Sergey Popov сказал:

о том, что имеет внутренние механизмы запуска сетевых соединений при старте системы, т.е. ещё до того, как задействуется механизм автозагрузки или вы успеете нажать на ярлык. Именно такие механизмы могут быть задействованы зловредным ПО.

по идее это ПО не должно появится на ПК пользователя. Это основная задача антивируса, если он с ней не справится, то с последствиями ему справится будет сложнее

 

В 02.06.2018 в 23:47, kmscom сказал:

предлагаю проверить

я так понимаю, вы провели проверку, и она дала отрицательный результат, есть период, когда интернет соединение не блокируется? или я неправильно понял?

 

25 минут назад, Sergey Popov сказал:

в последней версии KIS (т.е. 2019). Не исправили...

советую продолжить общение о данной проблеме с ТП в новом запросе или в уже открытом

 

Share this post


Link to post
1 час назад, kmscom сказал:

по идее это ПО не должно появится на ПК пользователя. Это основная задача антивируса, если он с ней не справится, то с последствиями ему справится будет сложнее

Продукт позиционируется как система многоуровневой защиты. Сигнатурный, эвристический, поведенческий. И как самый последний рубеж защиты - сетевой экран блокирующий доступ в интернет.  Ситуация когда зараза обойдёт часть компонентов защиты вполне представима. Тогда должен сработать сетевой экран, заблокировав доступ к сети всем программам которым не разрешено этого делать. А он не работает. И не работает много лет. Потому что тема блокировки сети поднимается из года в год, но решения нет.

Share this post


Link to post
1 час назад, kmscom сказал:

по идее это ПО не должно появится на ПК пользователя. Это основная задача антивируса, если он с ней не справится, то с последствиями ему справится будет сложнее

Идея вещь хорошая... Но зачастую расходится с практикой жизни. К тому же перед пользователем может стоять задача ограничения не только зловредного ПО, но и вполне легального. По совершенно разным причинам. Мне, например, совершенно не нравится, что лицензированное ПО некоторых именитых производителей при работе "по умолчанию" что-то отсылает "в оркестр" всякий раз, когда я совершаю какое-то действие в системе, совершенно не относящееся к этому самому ПО. Поэтому я стремлюсь его ограничить. И использую для этого в том числе и файрвол. А зачем мне платить деньги за файрвол, который не справляется со своей задачей? А если не справляется файрвол, где у меня гарантия, что справляется антивирус? Мерседес хорош, когда он во всем Мерседес. Иначе это Жигули...

Вот вам пример обыденной жизненной практики и логики... Могут быть ситуации и сложнее, думаю.

1 час назад, kmscom сказал:

я так понимаю, вы провели проверку, и она дала отрицательный результат, есть период, когда интернет соединение не блокируется? или я неправильно понял?

Ну так о том я и пишу, что есть такой период, когда KIS мониторит сетевую активность, но не блокирует её - некоторое время после начала загрузки системы (см. скрины ранее и тут).

1 час назад, kmscom сказал:

советую продолжить общение о данной проблеме с ТП в новом запросе или в уже открытом

Конечно общение продолжается. Пошло на второй круг: "Мы передали данный запрос нашим специалистам более высокого уровня и сейчас ожидаем их ответа. Мы ответим вам в ближайшее время."

Предыдущее "ближайшее время" составило более полугода, пока сам не напомнил... ;) 

1.jpg

Share this post


Link to post
8 минут назад, Денис-НН сказал:

Продукт позиционируется как система многоуровневой защиты. Сигнатурный, эвристический, поведенческий. И как самый последний рубеж защиты - сетевой экран блокирующий доступ в интернет.  Ситуация когда зараза обойдёт часть компонентов защиты вполне представима. Тогда должен сработать сетевой экран, заблокировав доступ к сети всем программам которым не разрешено этого делать. А он не работает. И не работает много лет. Потому что тема блокировки сети поднимается из года в год, но решения нет.

Спасибо тебе, Денис! Хоть один честный человек. Уважение!

Share this post


Link to post

Sergey Popov хм, а другие по вашему мнению не желают решения, поднятой вами проблемы? 
а для чего я посоветовал продолжить общение со специалистами, после их рекомендации  проверить воспроизведение проблемы в новой версии?

 

для чистоты эксперимента, хорошо бы выяснить, а блокирует ли интернет соединение Брандмауэр Windows, в описанные моменты загрузки, и вообще какой либо другой альтернативный брандмауэр

 

22 минуты назад, Sergey Popov сказал:

пока сам не напомнил...

вы общаетесь с людьми, они имеют право за забывчивость. я не вижу ничего порочащего забывшего, в напоминании ему. а вот отсутствие реакции после напоминания, как бы уже носит отрицательную оценку

Share this post


Link to post
11 минут назад, kmscom сказал:

Sergey Popov хм, а другие по вашему мнению не желают решения, поднятой вами проблемы? 
а для чего я посоветовал продолжить общение со специалистами, после их рекомендации  проверить воспроизведение проблемы в новой версии?

Не хочу обидеть, но другие либо не знали о проблеме, либо делали вид, что её не существует давая никчемные советы (как и ТП). Потому, толку от общения с ТП не вижу, раз проблема Лаборатории известна уже давным-давно и всё равно не решается.

19 минут назад, kmscom сказал:

для чистоты эксперимента, хорошо бы выяснить, а блокирует ли интернет соединение Брандмауэр Windows, в описанные моменты загрузки, и вообще какой либо другой альтернативный брандмауэр

Честно говоря, нет ни какого желания ковыряться с брандмауэром Винды... Во-первых, я им ни когда не пользовался и совсем не хочется заниматься его изучением. Во вторых, там кажется нет сетевого монитора, как процессы-то палить? И в третьих, а почему Лаборатория хочет, чтобы пользователи тестировали прекрасно известный ей баг, а не она сама? Может за неё ещё и "заплатку" написать?

Могу только сказать, что до этого пользовался более 10 лет файром от Agnitum'а, там такая же дырка была, но только для системных процессов, пользовательское ПО через неё не лазило.

Share this post


Link to post

Sergey Popov наверно, обращений по данной проблеме нет,кроме ваших, поэтому приоритет баги почти нулевой. (ИМХО).
Укажите здесь номер баги, которую создала ТП, чтобы при обращение в ТП можно было на нее ссылаться.
В Сетевом экране есть пункт "Блокировать любую сетевую активность", данный режим помогает избежать описанной вами проблемы?

Edited by ANGElDRAGON

Share this post


Link to post
4 часа назад, Drru сказал:

А как можно защитить заражённую систему в момент загрузки?

Наверное, если механизмы защиты будут загружаться раньше зловредного ПО, нет? Или вы хотите сказать, что хацкеры могут написать ПО, которое будет захватывать процессы на ранней стадии, а Лаборатория Касперского не может? ;) 

Share this post


Link to post
Guest
This topic is now closed to further replies.
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.