Outpost firewall [Thread Ufficiale]

[dino_sauro00]

Fanno un po' di effetto questi test vero? Il problema (chiamiamolo pure cosi') con il WallBreaker e' gia' conosciuto ed e' stato gia' segnalato alla Agnitum da un bel po'. Infatti mi aspettavo che questa versione riuscisse finalmente a bloccarlo ma niente da fare.

Vorrei anche chiedere conferma sia a te fabrixx2 che a marcocappe riguardo al dnstester (il numero 14). Per quel che mi risulta e' stato anche esso una "piaga" per tutte le versioni a partire tra la 2.5 fino alla 3.0. Infatti pur avendo una configurazione molto restrittiva, visto che uso la versione 3.0.557.5918 e' l'unico - insieme chiaramente al 2ndo test di WallBreaker - che fallisco. Allora e' stato corretto per la versione 3.5?

Quote:

Originariamente inviato da fabrixx2

Ho fatto la prova, mi ha copiato lo screenshot del browser, sapeva il contenuto della cartella documenti, e quello che avevo scritto!!

Ma allora a che servono sti firewalls
Ci stanno prendendo tutti in giro??
Sai se qualcuno passa quel test ?
L'unica cosa è che ho ricevuto un avviso di una modifica della modalita connessione di firefox, a cui ho acconsentito..

Confermo anche come dice marcocappe che quella prova non la supero neanche con l'outpost aggiornato

Caro fabrixx2, con goia ti dico che in ogni caso il test l'hai superato. Quel avviso di modifica che hai ricevuto sta infatti a significare che il firewall se n'era accorto che c'era qualcosa di strano e ti ha chiesto se volevi andare avanti. Chiaramente tu rispondendo di si' hai permesso al programma di communicare i dati che hai visto sullo schermo, fallendo cosi' il test.

Ora pero' nasce quasi spontanea una domanda. Facendo i leak test sapevi che i programmi simulavano un attacco, quindi sapevi anche che non dovevi ne' permetergli l'accesso alla rete, ne' la modifica di applicazioni. Che sarebbe pero' successo se questi attacchi erano veri e si basavano su programmi che tu non sapevi che erano maligni? Risposta di semplicita' assurda: ci saresti (saremmo) cascati alla grande, esattamente come ti e' successo col test di cui il link ti ho dato sopra.
Come vedi uno puo' avere la configurazione piu' restrittiva possibile, ma basta un semplice errore, o una piccola svista che si traduce con un click di mouse e il casino e' fatto.
Comunque per non preoccuparti senza motivo se i risultati di tutti i leak test sono per la maggior parte positivi (1 lo fallisci di sicuro e 1 e' col punto interogattivo) direi che sei apposto e non c'e' motivo di allarmarsi.
Questo per adesso.

Ti saluto e a presto
Ciao fabrixx2!

[fabrixx2]

Quote:

Originariamente inviato da dino_sauro00

Caro fabrixx2, con goia ti dico che in ogni caso il test l'hai superato. Quel avviso di modifica che hai ricevuto sta infatti a significare che il firewall se
n'era accorto che c'era qualcosa di strano e ti ha chiesto se volevi andare avanti. Chiaramente tu rispondendo di si' hai permesso al programma di communicare i dati che hai visto sullo schermo, fallendo cosi' il test.

Ora pero' nasce quasi spontanea una domanda. Facendo i leak test sapevi che i programmi simulavano un attacco, quindi sapevi anche che non dovevi ne' permetergli l'accesso alla rete, ne' la modifica di applicazioni. Che sarebbe pero' successo se questi attacchi erano veri e si basavano su programmi che tu non sapevi che erano maligni? Risposta di semplicita' assurda: ci saresti (saremmo) cascati alla grande, esattamente come ti e' successo col test di cui il link ti ho dato sopra.
Come vedi uno puo' avere la configurazione piu' restrittiva possibile, ma basta un semplice errore, o una piccola svista che si traduce con un click di mouse e il casino e' fatto.

Esatto, quell'avviso mi compare svariate volte ed è molto generico.
Ti esce per esempio quando ti connetti per la prima volta ad un filmato in streaming o quando per la prima volta fai l'upload di una immagine per un forum, o sfrutti un plugin per visualizzare un conteuto in internet all'interno del browser.
Quindi con Outpost 3.0 non compariva tale avviso?

Certo se ti accade quando non stai facendo alcuna operazione lecita ti viene il dubbio se accordare il permesso o no.


Trovo molto positivo invece che quando ho scaricato il 2ndo test di WallBreaker (.exe) l'antispyware di outpost me lo ha rilevato subito come infetto ed io gli ho dato il permesso di continuare per eseguire il test.

Purtroppo il mio Outpost 3.5 ggiornato non ha superato il test dnstester (il numero 14) mi è apparsa subito la finestrella informativa di test fallito

[fabrixx2]

Allora, ho rifatto il test http://www.pcinternetpatrol.com/page/view/49
Prima è comparso questo:
(dopo che ho inserito il testo in firefox)

Che prima non era comparso
(mi si è anche bloccato il paint per lo screenshot)

Ho negato l'accesso e mi è comparso questo:

(quello della prima prova a cui avevo acconsentito)

Non ho acconsentito e a sorpresa è apparso anche questo:

(che non sò quanto c'entri, ho antivir 7 premium e mi pareva di avergli gia dato tutti i permessi)

Ho acconsentito ed è apparso questo

Ho creato allora una regola custom(quella suggerita).

Ill 2ndo test di WallBreaker (l'ho riscaricato) non mi mostrava alcun avviso, poi ho visto che outpost mi aveva creato una regola per consentire wellbraker nella ignore list l'ho rimossa.
Purttroppo non mi rileva nulla, ho dovuto lanciare la scansione per avere questo:

Dopodiche mi invita a riavviare per completare la cancellazione
Tra l'altro non passo nenche gli altri 3 test

Mente scrivevo mi è scomparsa l'icona in basso dell'antivirus (che pare essere lo stesso attivo) attivato, vedo che mi ha cambiato tutte le icone:


ciao

[marcocappe]

Come hai fatto a passare il secondo test WB? A me l'antispyware non mi dice niente... Rifacendo il test non passo neanche il DNStester, si vede che nel reinstallare l'ultima versione di Outpost mi sono perso qualche settaggio

[fabrixx2]

xche ho trovato questa voce disattivata?


La cosa icredibile è che il realtime non lo rilevava più, poi ho pensato di disattivare il real time e riavviarlo.

Dopo questa operazione il file viene rilevato ad ogni suo lancio:


In pratica se non riavviavo il realtime restava nella lista da ignorare (pur avendolo io eliminato da tale listae riavviato il pc).

Prima mi richiedeva di riavviare solo perchè il test era in esecuzione e non poteva eliminare il file

Non mi piace questo comportamento di outpost...

Con questo chiudo poichè mi sono fumato gia metà del mio lunedì mattina libero (una volta ogni 3 settimane )
Vabbè oggi comunque ho il raffreddore.


Ciao

[fabrixx2]

Quote:

Originariamente inviato da marcocappe

Come hai fatto a passare il secondo test WB? A me l'antispyware non mi dice niente... Rifacendo il test non passo neanche il DNStester, si vede che nel reinstallare l'ultima versione di Outpost mi sono perso qualche settaggio

Io non ho passato quel test, è solo che mi rileva l'eseguibile quando lo lancio, se gli dò il permesso e lo eseguo non lo passo.
(poi ho problemi coi successivi rilevamenti se cancello il permesso senza dopo riavviare il realtime).

Non passo neanche il DNS test

Ciao

[dino_sauro00]

Quote:

Originariamente inviato da fabrixx2

Quindi con Outpost 3.0 non compariva tale avviso?

Si', anche nella versione 3.0 compariva un avviso analogo che ti permetteva di bloccare il leak test e quindi a superarlo.

Quote:

Originariamente inviato da fabrixx2

Purtroppo il mio Outpost 3.5 ggiornato non ha superato il test dnstester (il numero 14) mi e apparsa subito la finestrella informativa di test fallito

Quote:

Originariamente inviato da marcocappe

Rifacendo il test non passo neanche il DNStester, si vede che nel reinstallare l'ultima versione di Outpost mi sono perso qualche settaggio

Mi era sembrato strano che dnstester si riuscisse a superare. Infatti c'e' soltanto un modo per superarlo (almeno per quanto riguardo le versioni fino alla 3.0) e ci vuole ben piu' che di qualche settaggio. Credo che almeno per quanto mi riguarda e' molto piu' conveniente fallirlo piuttosto che fare tutto il necessario per superarlo.

Quote:

Originariamente inviato da fabrixx2

Allora, ho rifatto il test http://www.pcinternetpatrol.com/page/view/49
Prima e comparso questo:
(dopo che ho inserito il testo in firefox)

Che prima non era comparso
(mi si e anche bloccato il paint per lo screenshot)

Molto probabilmente dipende da qualche altro leak test eseguito in precedenza.

Quote:

Originariamente inviato da fabrixx2

Ho negato l'accesso e mi e comparso questo:
(quello della prima prova a cui avevo acconsentito)

Questo invece e' segno che Outpost ha funzionato a dovere segnalandoti che il tanto sicuro Firefox (me la prendo con Firefox ma qualsiasi browser avrebbe fatto la stessa fine) veniva manomesso. Il discorso semmai e' come fai te a capire che si tratta di manomissione e non di un procedimento normale. Qui ti vienne in aiuto il tasto Details. Pigiandolo, Outpost ti mostrera' quali processi entrano in gioco nel procedimento e si spera che tu (o io o qualunque altro utente) abbia la capacita' di capire che questo procedimento non e' normale e va bloccato.

Quote:

Originariamente inviato da fabrixx2

Non ho acconsentito e a sorpresa e apparso anche questo:

(che non so quanto c'entri, ho antivir 7 premium e mi pareva di avergli gia dato tutti i permessi)
Ho acconsentito ed e apparso questo

Qui per capire che succede servirebbero appunto le informazioni del tasto Details. Azzardando un ipotesi, credo che il leak test visto che gli e' stata bloccata l'uscita attraverso il browser, abbia cercato delle uscite alternative aggrappandosi prima al antivirus, e poi usando una sua regola per uscire tramite la porta 80 (http)

Quote:

Originariamente inviato da fabrixx2

Ho creato allora una regola custom(quella suggerita).

Cadendo proprio nella trapola. Infatti l'indirizzo con il quale sta cercando di communicare l'antivirus non ha proprio niente a che vedere con il sito del antivirus in se' ma invece e' l'indirizzo da dove si scarica il leak test.
Controlla se questa regola ce l'hai ancora e cancellala.

Quote:

Originariamente inviato da fabrixx2

Ill 2ndo test di WallBreaker (l'ho riscaricato) non mi mostrava alcun avviso, poi ho visto che outpost mi aveva creato una regola per consentire wellbraker nella ignore list l'ho rimossa.
Purttroppo non mi rileva nulla, ho dovuto lanciare la scansione per avere questo:

Dopodiche mi invita a riavviare per completare la cancellazione).

Secondo me e' inutile che un antispyware riconosca questi leak test come delle minacce da rimuovere dal sistema. Anzi direi che mi fa incavolare che riconosce proprio WallBreaker (che guarda caso bucca Outpost) come spyware. E' come se la Agnitum dicesse: guardate che abbiamo avuto delle cose piu' importanti da fare che trovare il modo di bloccare il leak test. Quindi per adesso lo riconosciamo come spyware e il discorso si chiude qui.
Bello, ma che succede se un trojan usa lo stesso tipo di attacco di WallBreaker? Succede che bucca il firewall ugualmente e perlopiu' l'antispyware non lo riconosce visto che la firma del file sara' completamente diversa. Bel lavoro Agnitum!

Quote:

Originariamente inviato da fabrixx2

Tra l'altro non passo nenche gli altri 3 test

Questo e' un fatto di configurazione di Outpost basata sulle regole di default troppo generiche. Se sai dove mettere le mani, dovresti restringere le regole per SVCHOST, cancellando quelle non neccessarie e sistemando magari quelle esistenti ad esempio a seconda del tuo DNS

Quote:

Originariamente inviato da fabrixx2

Mente scrivevo mi e scomparsa l'icona in basso dell'antivirus (che pare essere lo stesso attivo) attivato, vedo che mi ha cambiato tutte le icone:

E' un casino che crea Windows qualche volta. Per rimediare cancellando o/e sistemando icone da applicazioni nel tuo pc fai cosi':

Vai in Start --> Run e dai regedit.
Adesso vai in questa chiave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify

Nella parte destra, cancella le voci IconStreams e PastIconsStream.
Appena hai fatto, chiudi il registro e riavvia (o se preferisci chiudi il processo di explorer.exe dal task manager e creane uno nuovo). Se ricontrolli vedrai che tutto e' tornato alla normalita' (almeno si spera )

Quote:

Originariamente inviato da fabrixx2

xche ho trovato questa voce disattivata?

Questo vorrei saperlo pure io. Infatti questa voce deve essere attiva di default.

Quote:

Originariamente inviato da fabrixx2

La cosa icredibile è che il realtime non lo rilevava più, poi ho pensato di disattivare il real time e riavviarlo.

Dopo questa operazione il file viene rilevato ad ogni suo lancio:


In pratica se non riavviavo il realtime restava nella lista da ignorare (pur avendolo io eliminato da tale listae riavviato il pc).

Prima mi richiedeva di riavviare solo perchè il test era in esecuzione e non poteva eliminare il file

Non mi piace questo comportamento di outpost...

Non e' che forse dipende dal fatto l'opzione Watch the process era disattivata nel Antispyware Properties? E' l'unica cosa che mi vienne in mente e che possa dare una spiegazione plausibile.

Quote:

Originariamente inviato da fabrixx2

Con questo chiudo poichè mi sono fumato gia metà del mio lunedì mattina libero (una volta ogni 3 settimane )
Vabbè oggi comunque ho il raffreddore.


Ciao

Con questo chiudo anch'io. Tra i tuoi post e i miei abbiamo fatto 'na telenovelas
Ti faccio gli auguri di pronta guarigione per il raffreddore. A quanto pare il tuo antivirus non era molto aggiornato!
Buon riposo fabrixx2 e a presto.
Ciao!

Un saluto anche a marcocappe e una buona settimana a tutti quanti noi!
Ciao

[marcocappe]

Un saluto anche a te e piacere di averti conosciuto! Cmq secondo me Outpost è uno dei migliori personal firewall in circolazione, spero solo che la Agnitum risolva qualche piccolo bug introdotto nella versione 3.5, poi per il resto sono proprio contento di questo software

[dino_sauro00]

Piacere anche per me.

Sono daccordissimo con te sulle considerazioni per Outpost. Spero solo che oltre a correggere i vari bug e risistemare il discorso dei preset, Agnitum riveda anche un po' il modo con il quale vuole continuare a produrre Outpost. E' inutile secondo me introdurre nuove features che sicuramente introduranno anche nuovi bug senza aver risolto i bugs precedenti.
Poi vedo con grande dispiacere che l'Agnitum si sta allargando un po' troppo ed e' lo stesso che sta succedendo anche ad Outpost. Spero soltanto che non si arrivi ai livelli di ZoneAlarm che contiene una miriade di cavolate e fa 3000 cose diverse senza peraltro fare nessuna in maniera eccellente.
Speriamo bene!

Ti saluto marcocappe e a presto
Ciao

[fabrixx2]

Proverò a fare il discorso sulle icone, ma per quel che riguarda il restringere le regole di SVCHOST sà che mi dovresti dare qualche lezione...

Saluti anche a te.

Ciao

[dino_sauro00]

Eccomi di nuovo. Scusa il ritardo.

Saro' felicissimo di darti qualche dritta. Prima pero' cerco di controllare meglio 'sta versione 3.5 per vedere che succede con le regole che ho impostato io. Poi ti faccio sapere magari tramite PM per non andare OT.
Ciao fabrixx2 e a presto!

[karlini]

Quote:

Originariamente inviato da dino_sauro00

....Poi ti faccio sapere magari tramite PM per non andare OT

no no.... che OT... qui c'è gente SUPER-interessata alle configurazioni...

[Justnet]

Da me le definizioni spyware sono ferme al 02/02/2006 ed ogni aggiornamento manuale mi conferma come "Database Spyware è aggiornato".
Chi usa la mia versione, 3.0.557.5918 (437), ha la stessa situazione?
Grazie.

[fabrixx2]

Quote:

Originariamente inviato da Justnet

Da me le definizioni spyware sono ferme al 02/02/2006 ed ogni aggiornamento manuale mi conferma come "Database Spyware è aggiornato".
Chi usa la mia versione, 3.0.557.5918 (437), ha la stessa situazione?
Grazie.

Riscaricati il setup e aggiorna all'ultima versione.
Vedrai che risolvi.
3.5xxx

Ciao

[Justnet]

Ok, ma aspetterò la versione italiana.
ciao

[raceman]

Quote:

Originariamente inviato da Justnet

Da me le definizioni spyware sono ferme al 02/02/2006 ed ogni aggiornamento manuale mi conferma come "Database Spyware è aggiornato".
Chi usa la mia versione, 3.0.557.5918 (437), ha la stessa situazione?
Grazie.

Si io sono fermo al 31/01/06 e lo stato dell'anti-spyware è "scaduto". Ovviamente la licenza è regolare e ancora ci sono più di 200 giorni di validità.

[Leon87]

com'è la versione 3.5 641.458 ???
è utile l'antispyware o è meglio sostituirlo o cmq disabilitarlo ???

[fabrixx2]

Quote:

Originariamente inviato da Leon87

com'è la versione 3.5 641.458 ???
è utile l'antispyware o è meglio sostituirlo o cmq disabilitarlo ???

Bisogna dire che non è il massimo.

[Leon87]

Quote:

Originariamente inviato da fabrixx2

Bisogna dire che non è il massimo.

ti riferisci all'antispyware o al firewall ???

[fabrixx2]

Quote:

Originariamente inviato da Leon87

ti riferisci all'antispyware o al firewall ???

Scusa per il colossale ritardo della risposta ma le notifiche ogni tanto non mi arrivano.

Naturalmente mi riferivo all'antispyware, ma ultimamente mi sono ricreduto..


Intanto è uscita la nuova newsletter con una interessante intervista:
http://www.agnitum.com/news/agnitumn...eferer2=300306