Прочитал статью о тестировании персонального файрвола Kaspersky Anti–Hacker 1.5 http://www.oszone.net/software/articles/security/19.shtml и решил проверить свой Outpost Firewall Pro 2.1 программой PCaudit2 (ОС Windows XP Pro SP2 Rus). Результаты меня не обрадовали - тоже самое, что описано в статье. Какой файрвол не сможет пробить PCaudit2?

Исправлено: Pahomuha, 14:11 29-09-2004

Pahomuha
Защита это не состояние, а процесс. Чтобы нормально себя обезопасить нужно в этом неплохо разбираться. Например, к вопросту о PCaudit2 и Outpost Firewall Pro 2.1 - меня результаты совсем не расстроили. Файрвол предупридил о данной уязвимости (к стати, спасибо за наводку, очень неплохой сайтик (http://www.firewallleaktester.com/index.html) проявился, был не в курсе...).
* *Что делает этот тест? Он смотрит запущенные на машине процессы и по очереди (начиная с самых распространненых для работы в интернете) пытается внедрить в них свой код и затем вылезти в инет от имени стандартного модуля. Что нужно чтобы этого избежать - в ПЭ должен быть ключен контроль компонентов (у меня был в нормальном режиме, для надежности можно включить максимальный). Что имеем в этом случае?
1) Если процесс уже имел право вылезать в инет, то экран предупредит тебя о том, что в составе модуля произошли изменения. Ты можешь посмотретьь конкретные файлы, к-ый подверглись изменениям и дальшу уже непосредственно сам делаешь вывод о том, стоит ли пускать изменившийся процесс в инет. Многие эксплойты юзают подобные уязвимости, сервячки тоже полюбили эту фишку. По идее надо запретить приложению доступ, переустановить его и уже потом разрешить выход (хотя при целенопраленном взломе это уже не поможет).
2) Если правила не было, то в режиме обучения он тебя спросит о действиях для данного приложения. И ты уже опять же сам решаешь пустить его в инет или нет. Ну накой, спрашивается в инете делать микшеру звука или переключателю клавиатуры, и даже почтовому клиенту нефиг лезть по HTTP портам и прокси. В режиме же блокирования он просто все блокирнет и тест будет усешно пройден.

Что и требовалось доказать. Т.е. данный тес пройдет любой ПЭ *со встроенным контролем компонентов и "грамотный" пользователь, им управляющий...

Любым инструментом надо уметь пользоваться. А у большинства пользователей есть всего лишь слепая вера в слова дядей производителей или друзей компьютерных гениев. А вот на той стороне ихними инструментами достаточно хорошо владеть совсем маленькому проценту "хацкеров" чтоб доставить головную боль бельшинству уверовавших и незнающих пользователей. Я поэтому и создвал топик (http://forum.oszone.net/topic.cgi?forum=22&topic=4071), чтобы хоть чуть-чуть, но уменьшить число потенциальных жертв "ребят с большой дороги"...

Еще статейка на похожую тему:
http://www.securitylab.ru/46765.html

Исправлено: Greyman, 15:55 29-09-2004

Да, согласен. Нужно было мне внимательней читать сообщения файрвола. Ещё раз потестил - всё нормально. Но когда не ждёшь атаки, на мой взгляд, всё - таки велика вероятность попасться. Во время теста у файрвола выскакивало предупреждение об около 10 программ, в числе Opera и Bat.

Pahomuha
Но когда не ждёшь атаки, на мой взгляд, всё - таки велика вероятность попасться.Именно поэтому ее надо ждать всегда. Для этого я и позиционировал свой топик.

Во время теста у файрвола выскакивало предупреждение об около 10 программ Дык, все верно. Я же написал, как тест себя ведет.

Главное, что ответ на твой вопрос вполне однозначен:
"PCaudit2 не пробьет практически любой файрвол со встроенным контролем компонентов, если им управляет грамотный, с точки зрения ЗИ, *пользователь..."[/b]

Может я чего то не понимаю, но у меня тоже контроль компонентов поднимал панику по несколько раз в день на кучу приложений. Пришлось его убить. Так как при такой его активности заметить подмену файла просто не реально! Причём заранее понятно, что это ложные тревоги, ведь нахватать за час несколько разных троянов трудновато даже на Win98. А вот настроить файрвол, дело нужное, да и логи иногда посмотреть не мешает.