COMODO INTERNET SECURITY 5

[RRR1]

Quote:

Originariamente inviato da Koldy

Salve. ho appena effettuato su windows xp, un lake test con cis5 ultima versione aggiornata. Con Sandbox attiva impostata su non sicuro, ottengo 30/340 disabilitando la sandbox ho invece 340/340 è un bug? Con la vecchia versione di cis5 era tutto ok, premetto che ho aggiornato disinstallando e reistallando.

Succedeva la stessa cosa con la versione precedente.

[luke1983]

Quote:

Originariamente inviato da Koldy

Salve. ho appena effettuato su windows xp, un lake test con cis5 ultima versione aggiornata. Con Sandbox attiva impostata su non sicuro, ottengo 30/340 disabilitando la sandbox ho invece 340/340 è un bug? Con la vecchia versione di cis5 era tutto ok, premetto che ho aggiornato disinstallando e reistallando.

forse perchè se lo chiudi in sandbox può fare quello che vuole (parzialmente) ma non intacca il vero OS.
Il programma in questione invece controlla "solo" la possibilità o meno di eseguire un'azione malevola.
Praticamente il test riesce a bucare le difese ma non quelle reali. Tuttavia il fatto stesso di bucarle non ti fa guadagnare punteggio.

[toneo]

dopo l'aggiornamento del flash player, comodo mi chiede ...

è un virus ?

succede anche a voi ?

[Koldy]

Quote:

Originariamente inviato da luke1983

forse perchè se lo chiudi in sandbox può fare quello che vuole (parzialmente) ma non intacca il vero OS.
Il programma in questione invece controlla "solo" la possibilità o meno di eseguire un'azione malevola.
Praticamente il test riesce a bucare le difese ma non quelle reali. Tuttavia il fatto stesso di bucarle non ti fa guadagnare punteggio.

Quindi il programma viene eseguito sandboxato e quindi virtualmente, ma nella realtà non può eseguire nel registro, giusto?

[luke1983]

Quote:

Originariamente inviato da Koldy

Quindi il programma viene eseguito sandboxato e quindi virtualmente, ma nella realtà non può eseguire nel registro, giusto?

teoricamente si. Per esserne certo dovresti vedere il mini popup in basso a destra. Non quello grande, ma quello che ti avvisa che un programma è stato sandboxato

[Koldy]

Quote:

Originariamente inviato da luke1983

teoricamente si. Per esserne certo dovresti vedere il mini popup in basso a destra. Non quello grande, ma quello che ti avvisa che un programma è stato sandboxato

Non è in sandbox si trova solo nei file considerati non sicuri.

[Koldy]

Ho rifatto nuovamente il test con sandbox attiva impostata sempre su file non sicuro, e questa volta mi ha dato 330/340 c'è qualcosa che non quadra fino a ieri sera neanche lo vedeva clt con sandbox attivata.

[Koldy]

Come non detto c'era una regola personalizzata sul defence+ quindi ha preso le impostazioni con sandbox disattivata, rifacendo nuovamente il test con la sandbox attivata non vede quasi completamente clt 10/340.

[luke1983]

Prove ->

Impostazione FW: Policy personalizzata
Impostazione D+: Sicuro

• Sandbox attiva con Virtualizzazione e privilegi su "Non Sicuro":
  
  appare un messaggio rosso dove bisogna decidere se Sandboxare, Consentire o Bloccare
  
  
  • Sandboxare: il file viene eseguito nella sandbox e non vengono applicate restrizioni sui privilegi.
    Risultato: il test fallisce ma in realtà il nostro sistema operativo non dovrebbe essere stato toccato. "Dovrebbe" perchè, nonostante la virtualizzazione attiva, durante l'esecuzione del programma la cartella virtual root è rimasta sempre vuota
  • Consentire: comodo non mette in sandbox e nonostante il file appaia nella lista dei trattati come Non Sicuri, comodo NON applica alcuna restrizione. Forse perchè pensa che consentendo volontariamente, siamo noi esseri umani garanzia del file stesso. Comunque rimane sempre questa discordanza tra il file presente nella lista e le restrizioni non applicate.
    Risultato: il test fallisce molte voci e gli unici popup sono quelli del Firewall (guarda caso)
  • Bloccare: il file non viene eseguito (e vabbè...)
  
  
• Sandbox attivata, senza Virtualizzazione e privilegi su
  
  
  • Parzialmente Limitato: il file sandboxato fallisce 3 test
  • Limitato: il file sandboxato fallisce 1 test (il DDE di IE come al solito)
  • da Circoscritto in su: il file sandboxato passa a pieni voti
  
  
• Sandbox disattivata e privilegi su <qualsiasi cosa>:
  Non appare il box di prima ma al suo posto appare 1 popup (D+ e Fw) per ogni azione tentata dal test.
  Risultato: selezionando "Blocca" su tutti, il test viene passato a pieni voti

Praticamente il ragionamento che il programma fa è questo:
Se sandboxo tramite popup, il file va in sandbox e comodo se ne frega di controllarlo perchè tanto non è il vero OS (e ci può anche stare)

se consento tramite popup, garantisco che il file è sicuro e comodo lascia campo libero sul VERO sistema operativo senza avvisare di azioni su chiavi protette. I privilegi ridotti, in "impostazioni esecuzione" non vengono assegnati perchè abbiamo garantito che il file è sicuro. (E ciò non è cosa buona)
Funzionano regolarmente invece gli avvisi del FW che giustamente non ha a che fare col D+. Potrei infatti decidere di eseguire il programma ma di non farlo connettere. Così è più flessibile e personalizzabile (questo è cosa buona).

- Come, secondo me, invece dovrebbe comportarsi in caso di sandbox attivata:
Se lo metto in sandbox va bene così.
Invece, a prescindere se consento o no, comodo deve farmi uscire i popup nel caso il programma sconosciuto acceda ad aree protette. Potrei infatti consentire la sua esecuzione ma non fare altrettanto con accessi "strani" al registro.
Dovrebbe farmi apparire un menu a tendina simile a quello del firewall. In caso di Consenti, devo poter scegliere il grado di restrizione da dare al programma (Parz. Limitato, Non Sicuro, Circoscritto o "Privilegi normali" ecc...). Se mi danno questa responsabilità voglio almeno tutelarmi in questo modo.

Conclusioni (mie personali):
se si tiene attiva la sandbox, bisogna essere più sicuri di cosa si sta facendo perchè se si clicca su consenti, si lascia campo libero al programma interessato. nel dubbio si sandboxa o con virtualizzazione o senza ma con privilegi almeno su "Circoscritto"

se non si tiene attiva la sandbox, non si usufruisce della protezione automatica, però il D+ fa uscire i popup lasciando a noi il compito di decidere caso per caso.
Inoltre nell'ultima versione c'è un bug che vien fuori quando si inserisce un programma che interagisce con la rete, nella lista dei "Sandboxa sempre" senza virtualizzazione. I programmi non riescono a creare la socket e quindi ad accedere alla rete.


UPDATE:
disattivando la rilevazione automatica di installazioni, la sandbox automatica parte, appare il popup e il test viene passato con 330/340 se viene impostato come "Circoscritto". Invece con 340/340 se impostato come "Non sicuro".
Senza virtualizzazione viene applicata solo la restrizione dei privilegi ma il test passa ugualmente a pieni voti

Resta però il dubbio della virtualizzazione: non vedo cartelle o file nella Virtual Root

Sto pensando seriamente ad una fusione tra l'autosandbox di Avast 6 e Comodo (Firewall e D+ ), quest'ultimo senza sandbox o con sandbox fissa quando la sistemeranno.
Comodo farebbe da HIPS e Firewall, nonchè da sandbox su richiesta e Behaviour blocker.
Avast 6, proteggerebbe in automatico con l'autosandbox e virtualizzazione.

Che ne pensate?

[Koldy]

Ho fatto i test come hai descritto ed effettivamente hai ragione, con la sandbox attiva, si rischia di dare un consenso accidentale e fare eseguire in modo totale una applicazione sconosciuta, mentre se disattivata si può riprendere la situazione rispondendo ai vari avvisi da parte del defence, a questo punto se la situazione del programma rimane tale continuo alla vecchia maniera cioè sandbox disattivata e rispondo ai vari popup che si presentano. Per quanto riguarda l'antivirus avast aspettiamo la versione finale per poi trarre le eventuali considerazioni.

[Koldy]

Quote:

Originariamente inviato da luke1983

UPDATE:
disattivando la rilevazione automatica di installazioni, la sandbox automatica parte, appare il popup e il test viene passato con 330/340 se viene impostato come "Circoscritto". Invece con 340/340 se impostato come "Non sicuro".
Senza virtualizzazione viene applicata solo la restrizione dei privilegi ma il test passa ugualmente a pieni voti

Questa potrebbe essere una valida soluzione solo che a me anche se impostato su non sicuro mi da 330/340.

[Romagnolo1973]

Quote:

Originariamente inviato da Koldy

Questa potrebbe essere una valida soluzione solo che a me anche se impostato su non sicuro mi da 330/340.

forse è l'antivirus che ti blocca un test e quindi uno salta

[RRR1]

Quote:

Originariamente inviato da Romagnolo1973

forse è l'antivirus che ti blocca un test e quindi uno salta

A me quasi sicuramente Avira blocca un test, ma comunque mi il Leaktest mi da come risultato 330/330.

Rik

[luke1983]

Quote:

Originariamente inviato da RRR1

A me quasi sicuramente Avira blocca un test, ma comunque mi il Leaktest mi da come risultato 330/330.

Rik

330/330 non è possibile

[RRR1]

Quote:

Originariamente inviato da luke1983

330/330 non è possibile

Mai dire mai......



Magari sono i 64 bit ?

Boh

[Koldy]

Rifatto nuovamente il test con CLT defense+ impostato su non sucuro sandbox attiva con la voce rileva automaticamente installazioni disattivata,altrimenti manco lo vede (CLT) risultato 330/340.
Il test che non passa è Impersonation : Coat

[luke1983]

Quote:

Originariamente inviato da RRR1

Mai dire mai......

Magari sono i 64 bit ?

Boh

GASP!

no, i 64 bit intervengono sulla computazione.
Secondo me ha ragione Romagnolo: qualche programma ti protegge prima ancora di comodo e quindi il test non viene proprio visto

mmmm....

però potrebbe anche essere la versione di CLT a 64 bit. Non ha senso ma stavo pensando che il test, anche se bloccato da un altro programma, dovrebbe comunque segnalare l'esito positivo.

Quote:

Originariamente inviato da Koldy

Rifatto nuovamente il test con CLT defense+ impostato su non sucuro sandbox attiva con la voce rileva automaticamente installazioni disattivata,altrimenti manco lo vede (CLT) risultato 330/340.
Il test che non passa è Impersonation : Coat

e il livello di sicurezza come ce l'hai? Io ho Sicuro su D+ e Personalizzata su FW

comunque se la lasci attivata con virtualizzazione e ti esce il popup di conferma piccolino, vuol dire che il programma è stato ingabbiato. Perciò il test potrebbe anche fare 0/340 ma saresti comunque intoccato. Cosa diversa è se non hai attivato la virtualizzazione.

[Koldy]

Defence+ impostato su sicuro Fw policy personalizzata con impostazioni avvisi molto alto. La virtualizzazione del sistema è attiva

[Koldy]

Ho notato che nonostante appaia il popup piccolino della sandbox CLT viene messo solo sui file non sicuri. Mentre una volta ho visto che era sia su sandbox che sui file non sicuri, può essere dunque che l'inghippo stà qui? e che quindi anche questo potrebbe essere un bug della sandbox?

[luke1983]

Quote:

Originariamente inviato da Koldy

Ho notato che nonostante appaia il popup piccolino della sandbox CLT viene messo solo sui file non sicuri. Mentre una volta ho visto che era sia su sandbox che sui file non sicuri, può essere dunque che l'inghippo stà qui? e che quindi anche questo potrebbe essere un bug della sandbox?

prova a vedere nel log del defence+. Lì deve star scritto se il file viene sandboxato