Pull to refresh

Comments 31

Только маленькое уточнение: у вас делается не logout, а lock. Это, все-таки, большая разница. При локе юзер остается залогиненым и все его процессы продолжают работать.
Спасибо, поправил. Ночное написательство статей всё же, порой, приводит к неточностям
Да уж. Уже поддерживают Windows 8, а на письма о багах не отвечают )
Вау, оказывается есть команда timeout! А я как дурак всегда пингом пользовался.
Только с какой версии винды она появилась то?
Что ж там хорошего… В теме про руки может не стоит обсуждать ноги?
Проверил по тем же пунктам Outpost Firewall версию 6.5 и по-моему в ней не работает способ с локом? По крайней мере ничего не вышло у зашифрованного молебоксом файла, который пытался прописать себя в реестр в Software\Microsoft\Windows\CurrentVersion\Run
Я проверил Outpost Firewall версию 6.5 — у меня вообще не получилось залочить систему когда всплыло сообщение о загрузке драйвера (ни Win+L ни команда из батника не помогли). Жаль, что в новых версиях они это переделали…

При Ваших тестах Outpost находился в режиме обучения (синий значок в системном трее)?
во всех режимах пробовал в 6.5 и везде не срабатывает
хм… выложу, наверное, свои тулзы для тестов, что видно на видео. попробуете с ними
Более того, при логауте можно увидеть, как значок антивируса меняется с синего на зелёный. Это означает, что он переходит из режима обучения в режим разрешения (всё что не запрещено — разрешено)

Режим разрешения — «оранжевый»
«зелёный» — режим блокировки
А Вы правы! Уж не знаю где меня так сглючило, что я пришёл к таким выводам… Может, в старых версиях видел? Посмотрю их. Поправлю статейку. Похоже, пора завязывать с ночным написательством статей. Уже вторая оплошность
Поначачал старых версий
Выяснил. Описываемая мной проблема (смена значка с синего на оранжевый и переход в режим разрешения) была аж в версии 6.0 от 2008 года. Где-то у меня в памяти это сохранилось. В новых версиях такой проблемы нет.
Не понятно — так есть баг в новых версиях или нет? Получается, даже при защищенном режиме служба добавляется?
всё просто: тот баг, что в видео — присутствует в последних версиях. А баг с переходом в режим разрешения при залоченной системе — он в очень старых версиях был. Эти 2 бага никак не связаны.

В настоящий момент статья поправлена, актуальна и не содержит противоречивых или ложных сведений
Интересно будет узнать, отреагируют ли разработчики после публикации.
UFO just landed and posted this here
Ну вот я для себя лучше Outpost до сих пор ничего не видел. И продолжаю его юзать периодически. Жаль, что под линуксом его нет — с некоторых пор это теперь моя основная система. Винду пользую исключительно на виртуалках
И что Вы им хотите на линуксе делать?
То же самое что и в винде: иметь удобную GUI, которая показывает какие приложения сейчас с сетью работают, по каким протоколам и с какими интернет-адресами соединены. Показывать статистику переданного\принятого трафика для каждого приложения. И сколько времени эти сетевые сессии длятся. Настраивать правила для лезущих в сеть приложений (по каким адресам и протоколам можно передавать данные). иметь режим обучения, когда файервол будет спрашивать разрешать ли активность приложению и предлагать создать для него правило.

Понимаю что многое из этого возможно в консоли. Но это неудобно. А в винде с Outpost я в любой момент времени могу узнать какие приложения работают с сеть и как давно. прибивать ненужные коннекты.

Ну, и самое главное: Outpost имеет всё же очень неплохую проактивку! Пресекает многие попытки внедрения в память доверенного приложения. В линуксе я не знаю таких аналогов. тем более всё в одном флаконе
Linux way больше напоминает следующее:

— файрвол, без привязки к приложениям (iptables, настраивается один раз и забывается)
— вещи типа selinux и apparmor, чтобы более менее контроллировать куда приложения лазеет в локальной файловой системе, это более менее похоже на кучу сложный правил для каждого приложения, как у outpust.
— визуальный мониторинг трафика — это отдельно, есть утилиты, их много разных (непомню опять же с привязкой к приложению или нет)

Вообще зачем контроллировать куда приложение лезет в сеть? Чтобы не утащило ваши данные? Тогда лучше уж контроллировать приложение чтобы оно не читало ваши данные (selinux, apparmor, пользователи linux)

«Пресекает многие попытки внедрения в память доверенного приложения» — это тоже не linux way. Лучше не давать потенциально зловредному коду такие права чтобы он мог куда-то там внедрится.

По поводу привязки фаервола к приложению — в linux пользователь это в широком смысле и есть запущенная программа, т.к. программа под пользователем. можно запускать программы под разными пользователями,
тогда будет больше возможностей контроля.

Ещё в linux порт <= 1024 может слушать только root. остальные порты лучше закрыть в фаерволе. под рутом запускать только то чему доверяете.
Исходящие соединения не визу смысла ограничивать (разве что port 25)

Вообще был у меня outpost и windows, счас linux, На винде функциональность аутпоста была нужна (хотя его качество меня самого не радовало). На линукс это всё не нужно. Здесь нет такого что постоянно приходится
запускать программы и половина из них неизвестно откуда и может оказаться вирусом.
Как вы узнаете, можно ли доверять приложению, пока оно не начнет открывать соединения по сети или не начнет куда-нибудь внедряться? Outpost так сказать ловит приложение «на гарячем», тогда как в Linux все обязательно нужно знать заранее, а остальное — запретить.
Не надо никому доверять, тактика «ловить на горячем» всё равно проигрышная, приложение всё равно может обмануть фаервол.

Лучше ограничить доступ к файлам и ловить «на горячем» когда оно полезет туда куда не нужно.

Или вы хотите дать приложению, которому не доверяете, доступ к очень важным файлам, а потом «поймать» его на сетевом соединении не на тот адрес? Это утопия.

Таки в Windows тоже можно запустить программу не под админом и настроить правила доступа...

Ну здрасте. А apache/nginx порт 80/445 у вас слушает под рутом, а не под специальным пользователем? Давно это рекомендованный стандарт?

В общем потестил сейчас. У меня фаервол аутпост 7.1, Windows 7.
Проактивка настроена так, что запуск новых и измененных файлов перехватывается и появляется запрос на запуск.

Запустил новую программу, аутпост спросил запускать ее или нет. Я нажал Win+L и программа действительно запустилась.

Потом создал программу 1.exe и BAT файл для его запуска, как написано выше. Запустил BAT… Но тут появилось окошко аутпоста с запросом, запустить командный файл или нет?
Т.е. при такой настройке аутпоста не получится запустить командный файл, который бы использовал эту дыру.

Хотя может какой-нибудь vbs следует попробовать, может прокатит.
Спасибо за репорт )
Да, мы знаем про эту проблему… Она будет исправлены в ближайшем релизе — Outpost 8, который выйдет уже буквально через неделю.
И правда. В вышедшем вчера Outpost 8 этой уязвимости нет
Sign up to leave a comment.

Articles