Comodo Internet Security – test blokera behawioralnego

Jakiś czas temu popełniłem wpis mówiący o tym, że Comodo Internet Security tak naprawdę nie jest pakietem Internet Security, a na dodatek ma problem z ochroną w systemach 64-bitowych. Niestety okazało się, że najnowsza wersja tego pakietu, której interfejs jest jak dla mnie o wiele gorszą zmianą niż dla niektórych Modern UI w Windows 8, nie jest w stanie poprawnie nas chronić nawet na systemie 32-bitowym. Z czego wynika ten problem? Z tego, że producent zdecydował się na ułatwienie obsługi pakietu, skierowania go w stronę mas… Niestety, ale w wypadku bezpieczeństwa nie ma mowy o kompromisach – albo wygoda i brak męczących komunikatów, albo realna ochrona naszych danych.

Postanowiłem przeprowadzić test pakietu na domyślnych ustawieniach, kiedy polega się na blokerze behawioralnym (“piaskownicy”) aby uświadomić wam, jakie zagrożenie niesie ze sobą bezmyślne używanie nawet tak potężnego narzędzia.

Założenia, warunki testowe:

System: Windows 7 Professional SP1 32-bit (VirtualBox)
Wersja pakietu: 32-bit, najnowsza stabilna w chwili tworzenia testu
Ustawienia: domyślne + wykluczenie ze skanowania antywirusem folderu z testerami
Programy testowe były uruchamiane w obrębie “sandboxa”.

Programy testowe:

  • SpyShelter AntiTest
  • Zemana Keylogger Test
  • Zemana Clipboard Test
  • Anti-KeyLogger Tester 3.0

 

Wyniki:

Niestety, ale pakiet Comodo test oblał niemal całkowicie.
Zablokowane zostały jedynie akcje próbujące naruszyć rejestr w teście SpySheltera. Cała reszta, tj. klawiatura, schowek, możliwość tworzenia zrzutów ekranowych były do dyspozycji programów testujących. Tylko potwierdza to moje słowa z artykułu dotyczącego tego, że piaskownica w Comodo tak naprawdę piaskownicą nie jest i producent dopuścił się tu ogromnej nadinterpretacja tego słowa. Ogólnie mamy tutaj 4 warstwy ochrony: antywirus, HIPS, sandbox oraz firewall. W wypadku ataku skierowanego na pozyskanie np. naszych danych autoryzacyjnych, naszej tożsamości, nie możemy liczyć na Comodo bez ingerencji w jego ustawienia.

Antywirus może zagrożenie tego typu przepuścić, co zasugerowałem omijając go – nawet przy wspomaganiu chmury i analizy heurystycznej, zagrożenie które nie działa szkodliwie w sposób bezpośredni, może zostać pominięte. Antywirus wykrył produkty Zemany jako malware, inne zignorował co już daje sporo do myślenia. HIPS jest na domyślnych ustawieniach wyłączony, więc całkowicie go pomijamy. Bloker behawioralny, który nie jest piaskownicą ma dosyć niewielkie ograniczenia w domyślnych ustawieniach, bez problemu zezwala na ustawianie uchwytów na klawiaturę czy schowek. Gdy malware ma już nasze przechwycone dane, wysyła je do atakującego bez problemów, bo zapora na trybie bezpiecznym ma dwie reguły, które pozwalają na cały ruch wychodzący i przychodzący… Po prostu wygląda to tak, jakby jakaś zapora była, ale jednak jej nie ma.

Testy wypadły słabiutko, ale nie to jest najgorsze. Na systemach 64-bitowych program zachowa się jeszcze gorzej, bo przez mechanizm ochrony kernela systemowego w ogóle nie będzie w stanie monitorować innych aplikacji. Jest to szczególnie widoczne w najnowszym Windows 8. Jako że udział systemów x64 rośnie, jest to poważne zagrożenie.

Co można zrobić?

Przede wszystkim, zmienić konfigurację na proaktywną. Uruchamia to moduł HIPS, a także włącza rozszerzoną ochronę w systemie 64-bitowym – program przestaje być bezbronny i może normalnie monitorować akcje. Drugie moje zalecenie to zwiększenie poziomu restrykcji blokera behawioralnego na poziom “ograniczone”. Pozwoli to zablokować dostęp do uchwytów, a w takiej “piaskownicy” powinniśmy uruchamiać tylko niezaufane aplikacje. Trzecia sprawa to zmiana poziomu ochrony zapory na tryb własnych reguł.
Możemy pomóc sobie automatycznym tworzeniem reguł dla bezpiecznych aplikacji, aby uniknąć alertów dla podpisanych, zaufanych programów. O reszcie powinniśmy decydować samodzielnie. Ostatnia sprawa jest prosta – używajmy mózgu. Nie tylko w sensie korzystania internetu, ale i trzeźwego podejścia do PRowej gadki, takiej jak ta o ochronie Comodo.

Na koniec chciałbym wspomnieć, że nie jestem przeciwnikiem pakietu Comodo, ani w ogóle tej firmy. Zrobiła ona świetny pakiet, ale niestety w jego najnowszej wersji chyba zapomniano o najważniejszym aspekcie tego przedsięwzięcia. W rękach osoby świadomej, która zdecyduje się na minimalny wysiłek i chociażby rzucenie okiem na strony pomocy technicznej producenta, pakiet ten pozwoli naprawdę dobrze monitorować i kontrolować co dzieje się w systemie.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.