Leak-тест бесплатного файрволла Agnitum Outpost Firewall (ver 1.0.1817.1645)
В соседней ветке я задавал вопросы про бесплатные файрволы и получил массу ответов, за что спасибо ответившим
Для себя выбрал фришный Outpost, как наиболее юзер-френдли софт с понятными настройками (Comodo поставил и снёс через 10 минут. Слишком хитровыебано, имхо). *После окончания всех тестов я уже сомневаюсь в правильности этого решения
Поставил и задумался: а как оно реально? Настолько ли хорош? Решил погуглить на эту тему и нагуглил чЮдный сайтец под названием Посилання видалено , который предлагает несколько тестов на предмет выявления уязвимостей фаера. Именно это я и проделал, отчёт о чем здесь и выкладываю. Может кому-то будет полезно.
Итак мы имеем: Agnitum Outpost Firewall (ver 1.0.1817.1645)
Настройка policy: обучение (в этом режиме outpost спрашивает обо всём, что явно не прописано уже в его правилах.)
Тесты:
№1 : LeakTest. Попытка коннекта данным приложением на удаленный сервер по 80 порту.
№2: Tooleaky Попытка коннекта вида: iexplore.exe
№3 : FireHole Запускает дефолтный для системы браузер и пытается отправить данные на удаленный хост. При этом устанавливается DLL-файл (с перехватом функций внутри) на пользовательском компьютере. DLL при этом загружается в ту же область, что выделена для браузера и таким образом пытается скрытно попасть в интернет.
№4 : Yalta Пытается отправить на указанный IP-адрес UDP-пакет по указанному порту.
№5 : Outbound Пытается отправить свои пакеты напрямую на сетевой интерфейс, минуя файрволл, причем TCP-пакет формируется с малым количеством установленных флагов, пытаясь таким образом выдать себя за уже установленное соединение. Многие файрволлы игнорируют такие пакеты в целях экономии ресурсов локальной машины.
№6 : PCAudit2 Использует возможность запуска собственной кода в виде DLL от имени авторизованного (известного пользователю) процесса (dll-injection). Т.е. для файрволла запуск кода этого тестера выглядит как запуск известного процесса (процессы выбираются из тех, что уже загружены и работают в текущий момент. В моём случае это были: qip, ctf, notepad, thinderbird, nod32kui)
№7 : AWFT Набор тестов! Требует инсталляции! Список тестов в пакете:
1) Пытается загрузить в память копию процесса дефолтного броузера и пропатчить её своим кодом прямо в памяти ДО запуска самого процесса.
2) Изменение компонентов (создание треда) уже загруженного процесса дефолтного броузера и попытка отправки данных.
3) Изменение компонентов (создание треда) уже загруженного процесса explorer.exe (windows explorer) и попытка коннекта им на удаленный хост.
4) Попытка создания копии процесса текущего браузера и запуска её из-под процесса windows explorer (explorer.exe) с целью обращения на удаленный хост (запуск родительским процессом дочернего процесса с учетом того, что родительский процесс explorer.exe как правило в списке доверенных).
5) Эвристический поиск приложений, которые могут (авторизованы уже) выходить в интернет по 80 порту, загрузка копии процесса первого найденного приложения и пропатчивание его в памяти ДО запуска процесса из-под windows explorer. Один из самых сложных тестов для персональных файрволлов.
6) Эвристический поиск приложений, которые могут (авторизованы уже) выходить в интернет по 80 порту, запрос пользователю на выбор одного из найденных, после чего попытка изменения компонентов (создание треда) этого процесса с целью отправки данных на удаленный хост. Ещё один из сложный тест для персональных файрволлов.
№8 :Thermite В отличие от остальных тестов, которые внедряют свой код в запущенный процесс браузера в виде DLL, Термит внедряет свой код НАПРЯМУЮ в этот процесс, с целью передачи данных на удаленный хост.
№9 : CopyCat Как и Термит, CopyCat внедряет свой код НАПРЯМУЮ в текущий запущенный процесс броузера без создания отдельного треда, с целью передачи/загрузки данных на/с удаленного хоста. (При запуске сканирует все процессы и предлагает выбрать, какой процесс использовать для изменения его кода, в моем случае ошибся, PID файрфокса пришлось указать ручками)
№10: MBtest Как и тест OutBound, этот тест направляет пакеты напрямую на сетевой интерфейс, минуя файрволл. Пакеты разных типов, протоколов и размеров.
№11: WB Набор из нескольких тестов! Не требует инсталляции.
1) Попытка запуска процесса iexplore.exe процессом explorer.exe и переход на удаленный хост.
2) Попытка запуска процесса iexplore.exe процессом данного теста и переход на удаленный хост.
3) Вариант теста номер один с другой цепочкой процессов. Здесь последовательность такая: процесс теста запускает cmd.exe, он запускает explorer.exe, а он в свою очередь - iexplore.exe (в ProcExplorer видится как запуск iexplore.exe из-под svchost.exe)
4) Тоже самое, но с попыткой выполнить запуск этого процесса через виндовый планировщик заданий
№12 : Ghost Попытка запуска процесса iexplore.exe из-под процесса теста с передачей введенной ранее в окно теста информации на удаленный хост. В процессе теста используется смена PID для файла теста.
№13: DNStester По умолчанию в NT-based OS, служба "DNS клиент" работает и обрабатывает все запросы DNS. Таким образом, все DNS запросы из различных приложений могут быть переданы клиенту DNS (SVCHOST.EXE под XP), которая, в свою очередь, сделать запрос DNS. Такое поведение может использоваться для передачи данных на удаленный компьютер путем разработки специального DNS запроса без ведома файрволла. DNStester использует такого рода рекурсивные DNS запросы для обхода файрволла.
№14: Surfer Создает ещё один виртуальный десктоп, в котором запускает iexplore.exe без параметров, после чего закрывает предыдущий процесс теста и открывает его ещё раз, пытаясь передать через протокол DDE процессу iexplore.exe нужные параметры для скрытой передачи информации на удаленный хост.
№15: Breakout Попытка запустить процесс iexplore.exe и передать ему урл через стандартный 'SendMessage' Windows API.
№15: Breakout-wp Создается html-страница с конеретным url. После чего, тест включает Active Desktop устанавливает эту страницу как wallpaper, благодаря чему попадает в интернет по указанному предварительно в этой странице урлу. Практически ни один файрволл не проходит этот тест.
№16: Jumper Распаковывает из себя в корень диска С: dll-файл, после чего делает о нем запись в реестре методом AppInit_DLLs, убивает процесс explorer.exe, этот процесс винда сама рестартует автоматически, после чего этот же процесс запускает выложенный ранее dll, который передает нужный урл в процесс iexplore.exe
№17: CPIL Находит процесс explorer.exe и пытается пропатчить его в памяти, после чего запускает дефолтный браузер с целью передачи данных на удаленный сервер (нихрена не дефолтный на самом деле, запускается iexplore.exe вне зависимости от того, какой браузер в системе стоит как дефолтный.)
№18: PCFlank Этот тест использует метод "OLE automation of application control" (автоматизация контроля над приложением) для проверки того, как файрволл реагирует на попытки одной программы управлять другой программой, которой файрволл доверяет и разрешает выход в интернет.
*****************************************************
Результаты тестов.
ВСЁ, ЧТО ЗДЕСЬ ДЕТЕКТИРУЕТСЯ КАК ТРОЯНЫ, НА САМОМ ДЕЛЕ ТАКОВЫМИ НЕ ЯВЛЯЕТСЯ. НИКАКОЙ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ В ХОДЕ ТЕСТОВ ПРИ УСПЕШНОМ ИХ ВЫПОЛНЕНИИ НА УДАЛЕННЫЕ САЙТЫ НЕ ПЕРЕДАЁТСЯ!
ВСЕ ТЕСТЫ ЗАГРУЖАЙТЕ В ОТДЕЛЬНУЮ ПАПКУ, ПОСЛЕ ИХ ПРОХОЖДЕНИЯ ПРОВЕРЯЙТЕ СПИСОК ПРОЦЕССОВ, НЕКОТОРЫЕ СЕБЯ КОРРЕКТНО НЕ ВЫГРУЖАЮТ.
Забегая вперед скажу сразу - результаты неутешительные. Очень неутешительные. Но обо всём по порядку.
Итак:
№1 Leak Test - блокирован вручную через сообщение файрволла о попытке приложения получить доступ в интернет, удачно пройден.
№2 Tooleaky - провален, никакой реакции файрволла.
№3 FireHole - провален, никакой реакции файрволла, но: при запуске самого файла теста отработал NOD32 и заблокировал его как троян. При отключенном NOD32 файл успешно запустился, но тест не прошёл так как не смог определить браузер по умолчанию (лис в моём случае ). После установки по умолчанию браузером IE тест успешно пропущен файрволлом.
№4 Yalta - блокирован автоматически, но: никаких видимых предупреждений фаер не выдал. Просто осталась запись в логах о том, что UDP-пакет был заблокирован)
№5 Outbound - не запустился, не нашел какой-то нужной DLL
№6 PCAudit - блокирован вручную через сообщение файрволла о попытке приложения получить доступ в интернет, удачно пройден.
№7 AWFT
1 - блокирован автоматически при установленном по дефолту браузере Firefox, поэтому я бы не относил эту победу на счет файрволла, скорее всего дело в самом Фоксе или неумении теста работать именно с ним.
Провален при установке IE как дефолтного браузера в системе.
2 -Провален
3 -блокирован вручную через сообщение файрволла о попытке приложения получить доступ в интернет, удачно пройден.
4 -Провален Не проходится в большинстве случаев если браузеру разрешен выход в интернет по 80 порту и файрволл не контролирует запуск родительских/дочерних процессов.
5 -Провален
6 -Провален и при Фоксе и при IE
№8 Thermite - провален, но: при запуске самого файла теста отработал NOD32 и заблокировал его как троян. При отключенном NOD32 файл теста успешно запустился.
№9 CopyCat - провален, но: при запуске самого файла теста отработал NOD32 и заблокировал его как троян. При отключенном NOD32 файл теста успешно запустился.
№10 MBtest - не запустился без файлов wipcap.dll и npf.sys, на сайте теста я их скачать не смог.
№11 WB
1, 2, 3 - Провалены
4 - не сработал планировщик заданий, у меня эта служба отключена. Включать не пробовал и проверять, но 99,9%, что при работающей службе и этот тест провалится
№12 Ghost - провален
№13 DNStester - провален
№14 Surfer - Блокирован автоматически, но никаких записей в логах нет, поэтому не думаю, что это можно считать победой фаера. Ибо тест написал в конце, что это либо проблемы network setup либо фаер - таки заблокировал попытку.
№15 BreakOut - не запустился под Фоксом вообще, ничего не произошло; под IE на сайте тестов файл скачать нельзя (404). Кроме того, файл под Фокс детектится как троян.
№15 BreakOut-wp - блокирован вручную, но:
этот тест смог без моего участия включить active desktop, подставить как wallpaper страницу с нужным урл и попытался выйти в инет, на чем и был пойман (попытка выхода в интернет процесса explorer.exe)
ВНИМАНИЕ! В моем случае тест НЕ завершил себя корректно, т.е. остался включенным Active Desktop с этой страницей. Мне пришлось деактивировать Active Desktop через реестр (создавать параметр DWORD с именем NoActiveDesktop и значением 1 в HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer) после чего рестартовать процесс explorer.exe . Только после этого всё вернулось к привычному виду. Данный ключ в реестре так же приводит к следующему:
* удаляется пункт Active Desktop из контекстного меню, вызываемого правой кнопкой мыши на Рабочем столе
* удаляется вкладка Web из апплета Экран в Панели управления
* становится недоступным пункт Отображать веб-содержимое на рабочем столе на вкладке Общие апплета Свойства папки в Панели управления .
Делал я это через реестр а не через Свойства Папки только для надёжности. Машину не перегружал. Мало того, если убить этот параметр из реестра и опять рестартануть explorer.exe этот сучий тест опять проделывает всё тоже самое и опять ломицо в инет
. Причем в Свойствах Папки НЕТ пункта "Отображать веб-содержимое на рабочем столе". Вобщем дали будЭ, як кажуть, щас допишу и буду разбирацо
№16 Jumper - провален
№17 CPIL - провален
№18 PCFlank - провален
*****************************************************
Сделаем некоторые выводы:
1. Данный фаер проваливает тесты, которые связаны с тестированием возможности определения фаерволлом запуска родительскими процессами дочерних, а так же тесты тестирующие возможность dll-injection. Соответственно если у вас в системе есть троян, который умеет это делать, вы уязвимы.
2. Данный фаер не защищает вас от паразитного DNS-траффика, который могут генерировать различные вредоносные программы, находящиеся на вашем ПК.
3. Данный фаер не защищает вас от изменений в потоках уже запущенных процессов.
4. Жаль, что не запустились тесты direct network interface, это дало бы возможность выяснить, на каком уровне фаер контролирует трафик. Если только на уровне windows IP, то вы уязвимы (что-то мне посдказывает что так и есть и эти тесты данный фаер успешно провалил бы)
5. Тест а Active Desktop говорит сам за себя. Самый проблемный с точки зрения последствий его прохождения на компе в моём случае.
6. Данные фаер не защищает вас от критических изменений в ресстре windows.
Краткое резюме:
Это именно бесплатный фаер. Он делает только то, что и должен делать простой firewall - он контролирует все ЯВНЫЕ попытки приложений на выход в интернет. Может закрыть систему ПОЛНОСТЬЮ от всех входящих и исходящих подключений. Не ловит ни одной серьйозной угрозы. В данном случае многое решает ещё и наличие нормального антивиря на компе. Но есть тесты, которые (как видно из сказанного выше) не детектятся как трояны, но умеют делать много интересных (читай - опасных) вещей.
Моя оценка - 2+ по пятибалльной шкале. То есть если вы внимательно контролируете процессы, происходящие на вашей машине и не ходите куда попало на просторах Internet (а значит - не закачиваете подозрительные файлы на ваш комп), в принципе, с этим фаером можно жить. Но, к сожалению, у него как у сапёра - может хватить одной ошибки
П.С. По заверениям Agnitum, PRO-версия данного файрволла проходит ВСЕ тесты из этого пакета. Вполне возможно.
П.П.С. Возвращаясь к удаленному мной Comodo - я думаю, он будет лучше хотя бы в том, что он имеет штатную функцию контроля над запуском родительских/дочерних процессов.
За сим откланиваюсь
В соседней ветке я задавал вопросы про бесплатные файрволы и получил массу ответов, за что спасибо ответившим
Для себя выбрал фришный Outpost, как наиболее юзер-френдли софт с понятными настройками (Comodo поставил и снёс через 10 минут. Слишком хитровыебано, имхо). *После окончания всех тестов я уже сомневаюсь в правильности этого решения
Поставил и задумался: а как оно реально? Настолько ли хорош? Решил погуглить на эту тему и нагуглил чЮдный сайтец под названием Посилання видалено , который предлагает несколько тестов на предмет выявления уязвимостей фаера. Именно это я и проделал, отчёт о чем здесь и выкладываю. Может кому-то будет полезно.
Итак мы имеем: Agnitum Outpost Firewall (ver 1.0.1817.1645)
Настройка policy: обучение (в этом режиме outpost спрашивает обо всём, что явно не прописано уже в его правилах.)
Тесты:
№1 : LeakTest. Попытка коннекта данным приложением на удаленный сервер по 80 порту.
№2: Tooleaky Попытка коннекта вида: iexplore.exe
Тільки зареєстровані користувачі бачать весь контент у цьому розділі
. Соответственно данный тест запускает процесс iexplore.exe c указанными выше параметрами и тестирует возможность отправки на удаленный хост конфиденциальной (читай - любой) информации по 80 порту. Окно iexplore.exe при этом скрыто, то есть визуально не отображается. После теста проверьте список процессов! Утилита не выгружает после себя процесс iexplore.exe (собственное наблюдение, в описании этого нет).№3 : FireHole Запускает дефолтный для системы браузер и пытается отправить данные на удаленный хост. При этом устанавливается DLL-файл (с перехватом функций внутри) на пользовательском компьютере. DLL при этом загружается в ту же область, что выделена для браузера и таким образом пытается скрытно попасть в интернет.
№4 : Yalta Пытается отправить на указанный IP-адрес UDP-пакет по указанному порту.
№5 : Outbound Пытается отправить свои пакеты напрямую на сетевой интерфейс, минуя файрволл, причем TCP-пакет формируется с малым количеством установленных флагов, пытаясь таким образом выдать себя за уже установленное соединение. Многие файрволлы игнорируют такие пакеты в целях экономии ресурсов локальной машины.
№6 : PCAudit2 Использует возможность запуска собственной кода в виде DLL от имени авторизованного (известного пользователю) процесса (dll-injection). Т.е. для файрволла запуск кода этого тестера выглядит как запуск известного процесса (процессы выбираются из тех, что уже загружены и работают в текущий момент. В моём случае это были: qip, ctf, notepad, thinderbird, nod32kui)
№7 : AWFT Набор тестов! Требует инсталляции! Список тестов в пакете:
1) Пытается загрузить в память копию процесса дефолтного броузера и пропатчить её своим кодом прямо в памяти ДО запуска самого процесса.
2) Изменение компонентов (создание треда) уже загруженного процесса дефолтного броузера и попытка отправки данных.
3) Изменение компонентов (создание треда) уже загруженного процесса explorer.exe (windows explorer) и попытка коннекта им на удаленный хост.
4) Попытка создания копии процесса текущего браузера и запуска её из-под процесса windows explorer (explorer.exe) с целью обращения на удаленный хост (запуск родительским процессом дочернего процесса с учетом того, что родительский процесс explorer.exe как правило в списке доверенных).
5) Эвристический поиск приложений, которые могут (авторизованы уже) выходить в интернет по 80 порту, загрузка копии процесса первого найденного приложения и пропатчивание его в памяти ДО запуска процесса из-под windows explorer. Один из самых сложных тестов для персональных файрволлов.
6) Эвристический поиск приложений, которые могут (авторизованы уже) выходить в интернет по 80 порту, запрос пользователю на выбор одного из найденных, после чего попытка изменения компонентов (создание треда) этого процесса с целью отправки данных на удаленный хост. Ещё один из сложный тест для персональных файрволлов.
№8 :Thermite В отличие от остальных тестов, которые внедряют свой код в запущенный процесс браузера в виде DLL, Термит внедряет свой код НАПРЯМУЮ в этот процесс, с целью передачи данных на удаленный хост.
№9 : CopyCat Как и Термит, CopyCat внедряет свой код НАПРЯМУЮ в текущий запущенный процесс броузера без создания отдельного треда, с целью передачи/загрузки данных на/с удаленного хоста. (При запуске сканирует все процессы и предлагает выбрать, какой процесс использовать для изменения его кода, в моем случае ошибся, PID файрфокса пришлось указать ручками)
№10: MBtest Как и тест OutBound, этот тест направляет пакеты напрямую на сетевой интерфейс, минуя файрволл. Пакеты разных типов, протоколов и размеров.
№11: WB Набор из нескольких тестов! Не требует инсталляции.
1) Попытка запуска процесса iexplore.exe процессом explorer.exe и переход на удаленный хост.
2) Попытка запуска процесса iexplore.exe процессом данного теста и переход на удаленный хост.
3) Вариант теста номер один с другой цепочкой процессов. Здесь последовательность такая: процесс теста запускает cmd.exe, он запускает explorer.exe, а он в свою очередь - iexplore.exe (в ProcExplorer видится как запуск iexplore.exe из-под svchost.exe)
4) Тоже самое, но с попыткой выполнить запуск этого процесса через виндовый планировщик заданий
№12 : Ghost Попытка запуска процесса iexplore.exe из-под процесса теста с передачей введенной ранее в окно теста информации на удаленный хост. В процессе теста используется смена PID для файла теста.
№13: DNStester По умолчанию в NT-based OS, служба "DNS клиент" работает и обрабатывает все запросы DNS. Таким образом, все DNS запросы из различных приложений могут быть переданы клиенту DNS (SVCHOST.EXE под XP), которая, в свою очередь, сделать запрос DNS. Такое поведение может использоваться для передачи данных на удаленный компьютер путем разработки специального DNS запроса без ведома файрволла. DNStester использует такого рода рекурсивные DNS запросы для обхода файрволла.
№14: Surfer Создает ещё один виртуальный десктоп, в котором запускает iexplore.exe без параметров, после чего закрывает предыдущий процесс теста и открывает его ещё раз, пытаясь передать через протокол DDE процессу iexplore.exe нужные параметры для скрытой передачи информации на удаленный хост.
№15: Breakout Попытка запустить процесс iexplore.exe и передать ему урл через стандартный 'SendMessage' Windows API.
№15: Breakout-wp Создается html-страница с конеретным url. После чего, тест включает Active Desktop устанавливает эту страницу как wallpaper, благодаря чему попадает в интернет по указанному предварительно в этой странице урлу. Практически ни один файрволл не проходит этот тест.
№16: Jumper Распаковывает из себя в корень диска С: dll-файл, после чего делает о нем запись в реестре методом AppInit_DLLs, убивает процесс explorer.exe, этот процесс винда сама рестартует автоматически, после чего этот же процесс запускает выложенный ранее dll, который передает нужный урл в процесс iexplore.exe
№17: CPIL Находит процесс explorer.exe и пытается пропатчить его в памяти, после чего запускает дефолтный браузер с целью передачи данных на удаленный сервер (нихрена не дефолтный на самом деле, запускается iexplore.exe вне зависимости от того, какой браузер в системе стоит как дефолтный.)
№18: PCFlank Этот тест использует метод "OLE automation of application control" (автоматизация контроля над приложением) для проверки того, как файрволл реагирует на попытки одной программы управлять другой программой, которой файрволл доверяет и разрешает выход в интернет.
*****************************************************
Результаты тестов.
ВСЁ, ЧТО ЗДЕСЬ ДЕТЕКТИРУЕТСЯ КАК ТРОЯНЫ, НА САМОМ ДЕЛЕ ТАКОВЫМИ НЕ ЯВЛЯЕТСЯ. НИКАКОЙ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ В ХОДЕ ТЕСТОВ ПРИ УСПЕШНОМ ИХ ВЫПОЛНЕНИИ НА УДАЛЕННЫЕ САЙТЫ НЕ ПЕРЕДАЁТСЯ!
ВСЕ ТЕСТЫ ЗАГРУЖАЙТЕ В ОТДЕЛЬНУЮ ПАПКУ, ПОСЛЕ ИХ ПРОХОЖДЕНИЯ ПРОВЕРЯЙТЕ СПИСОК ПРОЦЕССОВ, НЕКОТОРЫЕ СЕБЯ КОРРЕКТНО НЕ ВЫГРУЖАЮТ.
Забегая вперед скажу сразу - результаты неутешительные. Очень неутешительные. Но обо всём по порядку.
Итак:
№1 Leak Test - блокирован вручную через сообщение файрволла о попытке приложения получить доступ в интернет, удачно пройден.
№2 Tooleaky - провален, никакой реакции файрволла.
№3 FireHole - провален, никакой реакции файрволла, но: при запуске самого файла теста отработал NOD32 и заблокировал его как троян. При отключенном NOD32 файл успешно запустился, но тест не прошёл так как не смог определить браузер по умолчанию (лис в моём случае
). После установки по умолчанию браузером IE тест успешно пропущен файрволлом.№4 Yalta - блокирован автоматически, но: никаких видимых предупреждений фаер не выдал. Просто осталась запись в логах о том, что UDP-пакет был заблокирован)
№5 Outbound - не запустился, не нашел какой-то нужной DLL
№6 PCAudit - блокирован вручную через сообщение файрволла о попытке приложения получить доступ в интернет, удачно пройден.
№7 AWFT
1 - блокирован автоматически при установленном по дефолту браузере Firefox, поэтому я бы не относил эту победу на счет файрволла, скорее всего дело в самом Фоксе или неумении теста работать именно с ним.
Провален при установке IE как дефолтного браузера в системе.
2 -Провален
3 -блокирован вручную через сообщение файрволла о попытке приложения получить доступ в интернет, удачно пройден.
4 -Провален Не проходится в большинстве случаев если браузеру разрешен выход в интернет по 80 порту и файрволл не контролирует запуск родительских/дочерних процессов.
5 -Провален
6 -Провален и при Фоксе и при IE
№8 Thermite - провален, но: при запуске самого файла теста отработал NOD32 и заблокировал его как троян. При отключенном NOD32 файл теста успешно запустился.
№9 CopyCat - провален, но: при запуске самого файла теста отработал NOD32 и заблокировал его как троян. При отключенном NOD32 файл теста успешно запустился.
№10 MBtest - не запустился без файлов wipcap.dll и npf.sys, на сайте теста я их скачать не смог.
№11 WB
1, 2, 3 - Провалены
4 - не сработал планировщик заданий, у меня эта служба отключена. Включать не пробовал и проверять, но 99,9%, что при работающей службе и этот тест провалится
№12 Ghost - провален
№13 DNStester - провален
№14 Surfer - Блокирован автоматически, но никаких записей в логах нет, поэтому не думаю, что это можно считать победой фаера. Ибо тест написал в конце, что это либо проблемы network setup либо фаер - таки заблокировал попытку.
№15 BreakOut - не запустился под Фоксом вообще, ничего не произошло; под IE на сайте тестов файл скачать нельзя (404). Кроме того, файл под Фокс детектится как троян.
№15 BreakOut-wp - блокирован вручную, но:
этот тест смог без моего участия включить active desktop, подставить как wallpaper страницу с нужным урл и попытался выйти в инет, на чем и был пойман (попытка выхода в интернет процесса explorer.exe)
ВНИМАНИЕ! В моем случае тест НЕ завершил себя корректно, т.е. остался включенным Active Desktop с этой страницей. Мне пришлось деактивировать Active Desktop через реестр (создавать параметр DWORD с именем NoActiveDesktop и значением 1 в HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer) после чего рестартовать процесс explorer.exe . Только после этого всё вернулось к привычному виду. Данный ключ в реестре так же приводит к следующему:
* удаляется пункт Active Desktop из контекстного меню, вызываемого правой кнопкой мыши на Рабочем столе
* удаляется вкладка Web из апплета Экран в Панели управления
* становится недоступным пункт Отображать веб-содержимое на рабочем столе на вкладке Общие апплета Свойства папки в Панели управления .
Делал я это через реестр а не через Свойства Папки только для надёжности. Машину не перегружал. Мало того, если убить этот параметр из реестра и опять рестартануть explorer.exe этот сучий тест опять проделывает всё тоже самое и опять ломицо в инет
. Причем в Свойствах Папки НЕТ пункта "Отображать веб-содержимое на рабочем столе". Вобщем дали будЭ, як кажуть, щас допишу и буду разбирацо №16 Jumper - провален
№17 CPIL - провален
№18 PCFlank - провален
*****************************************************
Сделаем некоторые выводы:
1. Данный фаер проваливает тесты, которые связаны с тестированием возможности определения фаерволлом запуска родительскими процессами дочерних, а так же тесты тестирующие возможность dll-injection. Соответственно если у вас в системе есть троян, который умеет это делать, вы уязвимы.
2. Данный фаер не защищает вас от паразитного DNS-траффика, который могут генерировать различные вредоносные программы, находящиеся на вашем ПК.
3. Данный фаер не защищает вас от изменений в потоках уже запущенных процессов.
4. Жаль, что не запустились тесты direct network interface, это дало бы возможность выяснить, на каком уровне фаер контролирует трафик. Если только на уровне windows IP, то вы уязвимы (что-то мне посдказывает что так и есть и эти тесты данный фаер успешно провалил бы)
5. Тест а Active Desktop говорит сам за себя. Самый проблемный с точки зрения последствий его прохождения на компе в моём случае.
6. Данные фаер не защищает вас от критических изменений в ресстре windows.
Краткое резюме:
Это именно бесплатный фаер. Он делает только то, что и должен делать простой firewall - он контролирует все ЯВНЫЕ попытки приложений на выход в интернет. Может закрыть систему ПОЛНОСТЬЮ от всех входящих и исходящих подключений. Не ловит ни одной серьйозной угрозы. В данном случае многое решает ещё и наличие нормального антивиря на компе. Но есть тесты, которые (как видно из сказанного выше) не детектятся как трояны, но умеют делать много интересных (читай - опасных) вещей.
Моя оценка - 2+ по пятибалльной шкале. То есть если вы внимательно контролируете процессы, происходящие на вашей машине и не ходите куда попало на просторах Internet (а значит - не закачиваете подозрительные файлы на ваш комп), в принципе, с этим фаером можно жить. Но, к сожалению, у него как у сапёра - может хватить одной ошибки
П.С. По заверениям Agnitum, PRO-версия данного файрволла проходит ВСЕ тесты из этого пакета. Вполне возможно.
П.П.С. Возвращаясь к удаленному мной Comodo - я думаю, он будет лучше хотя бы в том, что он имеет штатную функцию контроля над запуском родительских/дочерних процессов.
За сим откланиваюсь
Но аналогичных удобных альтернатив не встречал...