تاپیک اختصاصی محصولات COMODO - || آرشیو شماره 1 ||

[T I G E R]

يه مدت نبوديم مباحث زيادى مطرح شده و خب نميخوايم بحث مجدد پيرامونش داشته باشيم

اما يک مورد رو بايد روشن ميشد که از گفته santamove عزيز هستش در زمينه SelfDefense کومودو

  محتوای مخفی: صحبت هاى پيشين 

جمع بندى ماجراىSelfDefense کومـــودو

ابتداي ماجرا....
با پيشنهاد karkas20 و با پيگيري هاي دوست خوبم DRhanibal و تهيه يک فيلم،اين ضعفو نشون دادن،

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

سپس دوست خوبم t i g e r ر سعي کرد اين مساله رو بين المللي کنه و اين قضيه رو با مديران انجمن کومودو در ميون گذاشتن....

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

======================
بعد اين قضايا، تعدادي از کاربران از اين فرصت استفاده کردن، و سعي کدن با اين ضعف سعي کنن به کومودو ضربه بزنن و از محبوبيتش بکاهن....
.
.
.
.
.
اما
برنامه نويسان کومودو وعده دادن،در آپديت جديد اين ضعفو به طور کلي از بين ببرن و رفع کنن!

اما اين ضعف تا چه حدي خطرناک است؟سابقه داشته سوئيت امنيتي بتواند از اين راه ضربه بخورد و آسيب ببيند؟

بنا به اطلاعاتي که من دارم،تا به حال حمله يک بدافزار به فايل هاي يک نرم افزار سابقه نداشته(دوستان اگه اطلاع دارن،ممنون ميشم اينجا بگن)
اين ضعف در دو صورت خطرناک خواهد بود،که من تشريح مي کنم....

نظريه يک:برنامه هاي TRUST و داراي امضاي ديجيتالي ،که طبق دياگرام زير، مي تونن،از بالاترين لايه،مجوز بگيرن و به لايه هاي پاييني برن...


پس از اين که مجوز گرفتن،طبق دياگرام فوق توسط آنتي ويروس و کلاد اسکنر فايل مورد بررسي قرار داده ميشه که حاوي فايل مخربي نباشه...

در صورت اين که فايل توسط "آنتي ويروس+کلاد اسکنر" تائيديه بگيره،فايل در محيط سيستم عامل اجرا ميشه....


بعضي از کاربران معتقدن برنامه هاي trust مي تونن،به کومودو ضربه بزنن،که با وجو توضيحاتي که من در بالا دادم...
****منتظر نظر شما در مورد اين قسمت هستم***

نظريه دو: فايل هاي مخرب مي تونن ، امضاي ديجيتالي برنامه هاي trust رو جعل کنن و به کومودو ضربه بزنن!!!
يک نمونه جنجالي که بايد بگم،بدافزار "استاکس نت" هست،که با وجود داشتن امضاي ديجيتالي نتونست از سد کومودو بگذره...
***مهران جان هم چندتا بررسي جالب در مورد رفتار کومودو در برابر مخرب هاي داراي امضا گذاشته...
پست زير رو ببينيد...

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

***يک بار ديگر به دياگرام بالا دقت کنين!****

برنامه هاي TRUST حتي اگر مجوز ديفينس پلاس را هم بگيرند،باز توسط آنتي ويروس+کلاد اسکنر مورد بررسي قرار مي گيرند

نظريه سه: فايل هاي Batch مخرب مي تونن ، به فايل هاي کومودو ضربه اساسي بزنن،
خوب اين فايل ها در هر صورت، در پايينترين لايه، يعني "سندباکس" اجرا ميشن، و هرکاري هم بکنن،چون در سندباکس اجراميشن،
قادر به انجام هيچ کاري نيستن!!!
به شکل زير توجه کنيد!


نتيجه گيري رو به خودتون محول مي کنم!!!


×××پست هاي زير رو هم بخونين!!!

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

من به مديريت کومودو گفتم که برنامه هايى که نصب ميکنيم

(چه برنامه هاى Trust شده و چه برنامه هايى که بدليل کارايى ناچاريم از سندباکس خارج کنيم مثل پچ ها و کرک ها و يا برنامه هاى اجرايى مثل Unlocker و..)

عملا امکان آسيب رسانى و ضربه زدن به کومودو رو دارند (و اين مى تونه از سوى مخرب هاى آينده ملاک قرار بگيره)

مديريت ارشد کومودو ابتدا گفت به هيچ وجه حتى برنامه هاى Trust شده قادر به حذف فايلهاى کومودو نيستند

مديريت کومودو گفت سعى کن با استفاده از فايل Batch به کومودو حمله کني (فايل Batch رو از سندباکس خارج کن)

مثلا بعنوان نمونه فايل بى اهميت eula.rtf رو سعى کن حذف کن .. نتيجه مشخص بود نميشد اين فايل معمولى رو حدف کرد

اما اونچه که اصلا تصور نميکردند امکان حذف بسيارى از فايلهاى مهم توسط Batch بود

(آخر هم من نفهيمدم چطور ميشه فايل بى ارزشي مثل eula.rtf از طريق سلف ديفنس حمايت بشه اما فايلهاى مهمتر خير؟ پس مسلما باگ بوده)

بهرحال جوابيه سايت کومودو که با عذرخواهى همراه بود مورد قبول نبود و نظريه تهديد از جانب برنامه هاى نصب شده بر سيستم رد نشد

چون برنامه هاى Trust شده اجازه دسترسى از زير لايه هاى دفاعى کومودو دارند

سایت کومودو بدون پاسخگویی صحیح یک راه حل و یک دلیل اظهار میکنه :

دلیل چنین رفتاری رو User Friendly یعنی کاربر پسند بودن کومودو عنوان میکنند که بسیار بی ربط هستش

مگه سایر آنتی ویروس ها که سلف دیفنس قوی دارند کاربر پسند نیستند ا

صلا می تونند مثل سایر انتی ویروس ها یک گزینه در تنظیمات بگذارند تا به راحتی کاربری سلف دیفنس رو فعال و غیرفعال کنه

اما راه حل کومودو در چنین شرایطی استفاده از حالت Paranoid Mode هستش

تنها حالتي که کومودو حتى بر برنامه هاى Trust شده نظارت ميکنه حالت Paranoid Mode هستش

این راه حل دو ایراد داره

1- در اين حالت حتى براى بازکردن يک فايل معمولى توسط کومودو سوال پرسيده ميشه و اصلا بدرد کاربران غيرحرفه اى نميخوره

(بقول يکى از کاربران سايت کومودو در اين حالت حتى براى رفتن به دستشويى هم بايد از کومودو اجازه بگيريد )

2- سلف ديفنس پائين ترين لايه دفاعى آنتى ويروس هستش و بايد بگونه اى باشد که هيچ پروسه اى از زير اون رد نشه

اين لايه دفاعى کاملا مستقل از ساير لايه هاى دفاعى هستش و ربطى نداره آنتى ويروس در چه حالتى هستش

بايد در هر حالتى عملکردی ثابت داشته باشه



در پایان چندین بار در سایت کومودو مخرب هایی معرفی شده بود که به راحتی کومودو رو بایپس میکنند

تمام این مخرب ها از روش کسب اعتماد آنتی ویروس استفاده و اجرا میشند مثلا قبلا پستی از سایت کومودو گذاشته بودم

که مخربی رو معرفی شده بود که با یک امضای دیجیتال مورد اعتماد از سد انتی ویروس و سندباکس رد شده و اجرا شد

متاسفانه سایت کومودو سریع اینگونه تاپیک ها رو حذف میکنه و گرنه حتما تمام لینک ها رو اینجا میذاشتم


بنظر من یک حفره امنیتی در بخش فایلهای مورد اعتماد سبب شده سلف دیفنس کومودو نتونه عملکرد کاملی داشته باشه

[santamove]

دوست خوبم t i g e r
می خواستم نظرتو راجع پست زیر هم بدونم

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

t i g e r جان، خوب بدیهی است که وقتی app هایی که به منظور آسیب رسوندن به فایل های کومودو نوشته شده از سندباکس نیز توسط***اجازه و دستور کاربر**** خارج شود،عملا" از پایینترین لایه امنیتی کومودو هم گذشته و دسترسی به فایل های سیستمی داره و می تونه چنین آسیب هایی رو بزنه....

تنها مواردیکه selfdefense کومودو می تونه سببسازش بشه،
1.حذف اشتباهی فایل های کومودو به صورت اشتباهی و غیر عمدی توسط کاربر
2.از سندباکس(پایینترین لایه) خارج کردن appهایی که به منظور حذف فایل های کومودو نوشته شده اند توسط کاربر

[Golestan64]

سلام

چند دقیقه پیش یه پیغامی از کومودو اومد مبنی بر اینکه میخواد کومودو رو آپدیت کنه منم اوکی رو زدم و الانم در حال آپدیت هستش

منظورش چیه آیا نسخه جدید کومودو اومده و الان داره اونو آپدیت میکنه ؟

[T I G E R]

santamove حرف شما بسیار متینه و الگوریتم مزبور کاملا درسته و... اما در اینجا دو نکته ظریف وجود داره

در الگوریتم مزبور نقش آنتی ویروس بسیار حیاتیه و نکته مجهول هم همنیجاست آنتی ویروس کومودو تا چه حد هوشیار هستش

یک انتقادی که جدیدا بهش وارد شده تفاوت عملکرد گارد و اسکن انتی ویروس کومودوست

مثلا یک فایل ممکنه در اسکن دستی شناسایی کنه ولی در صورت اجرا به راحتی نصب بشه مثل نمونه زیر

  محتوای مخفی: توضیح 

Hi, guys!

Here is another one......

کد:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

Malware uses intmedialab digital signature and is trusted by Comodo.

This file is detected by on-demand scan but you can download it and run/install it without any CIS/Real time AV pop-up

و یا بالعکس ممکنه انتی ویروس در اسکن دستی چیزی شناسایی نکنه ولی به محض اجرا انتی ویروس آلارم بده

مثل موردی که یکی از دوستان تست کرده بود که با اسکن شناسایی نکرد ولی با اجرا شدنش انتی ویروس متوجه شد

پس ما یک تناقض رفتاری در یک محصول امنیتی می بینیم که با توجه به عدم شرکت در تست های مطرح جای شبهه داره

پس یکی از اجزای الگوریتم از برخی لحاظ استاندارد عمل نمیکنه و همین می تونه به پیکره اون آسیب بزنه

این ضعف بالاخص در مورد بعدی که میگم و نقش انتی ویروس بسیار مهمتر میشه ، مشهود تر میشه


نکته دیگر اینکه سندباکس یک محیط مجازیست بهمین خاطر خیلی از برنامه ها و یا پچ ها و کرک ها در این محیط عمل نمیکنند

مثلا اگر برنامه مفید Unlocker رو سندباکس کنید اصلا قابلیت اجراییش رو از دست میده

پس شما در بسیاری موارد ناچارید فایل اجرایی رو از سندباکس خارج کنید .. در اینجا شما به آنتی ویروس تکیه میکنید

اصلا بحث ما این نیست آنتی ویروس چرا نتونسته مخرب رو شناسایی کنه (در هر آنتی ویروسی ممکنه رخ بده)

اصلا موضوع این نیست کاربر بدلیل اشتباه خودش سیستم رو آلوده کرده یا نه

نکته اینجاست اگر در چنین شرایطی مخرب به کومودو حمله کنه ، کومودو چه میکنه؟

اصلا از بحث مخرب بودن بگذریم فرض کنید شما یک برنامه (مثلا ضدهک) نصب میکنید

این برنامه به اشتباه یک فایل اساسی کومودو رو مخرب تشخیص میده چه اتفاقی می افته ؟

دلیل عدم رفتار مناسب کومودو در چنین شرایطی نه حماقت کاربره و نه زرنگی برنامه مهاجم ، بلکه دلیلش اینه که

Self-Defense آخرین لایه دفاعی و زیرین ترین بخش آنتی ویروس هستش به نوعی که دسترسی پروسه های اصلی ویندوز به آن هم محدود هستش

(آنگونه که در آنتی ویروس هایی مثل کسپرسکی ، آواست ، نورتون و ... لحاظ میشه)

اما در کومودو چنین نیست و همین موضوع بنظر میاد دردسر ساز بشه

Self-Defense وظیفه اش اینه که در آلوده ترین حالت ممکن برای سیستم و بدترین شرایط اعمالی از سوی کاربر ، از آنتی ویروس دفاع کنه

اما در کومودو اینگونه نیست و کاملا تحت تاثیر شرایط محیطی و برنامه های سیستم قرار میگیره

[fishdilo]

سلام

چند دقیقه پیش یه پیغامی از کومودو اومد مبنی بر اینکه میخواد کومودو رو آپدیت کنه منم اوکی رو زدم و الانم در حال آپدیت هستش

منظورش چیه آیا نسخه جدید کومودو اومده و الان داره اونو آپدیت میکنه ؟

بله، کومودو ی شما به نسخه ی جدید ارتقا پیدا کرده

[M.Hashemi]

santamove حرف شما بسیار متینه و الگوریتم مزبور کاملا درسته و... اما در اینجا دو نکته ظریف وجود داره

در الگوریتم مزبور نقش آنتی ویروس بسیار حیاتیه و نکته مجهول هم همنیجاست آنتی ویروس کومودو تا چه حد هوشیار هستش

یک انتقادی که جدیدا بهش وارد شده تفاوت عملکرد گارد و اسکن انتی ویروس کومودوست

مثلا یک فایل ممکنه در اسکن دستی شناسایی کنه ولی در صورت اجرا به راحتی نصب بشه مثل نمونه زیر

  محتوای مخفی: توضیح 

Hi, guys!

Here is another one......

کد:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

Malware uses intmedialab digital signature and is trusted by Comodo.

This file is detected by on-demand scan but you can download it and run/install it without any CIS/Real time AV pop-up

و یا بالعکس ممکنه انتی ویروس در اسکن دستی چیزی شناسایی نکنه ولی به محض اجرا انتی ویروس آلارم بده

مثل موردی که یکی از دوستان تست کرده بود که با اسکن شناسایی نکرد ولی با اجرا شدنش انتی ویروس متوجه شد

پس ما یک تناقض رفتاری در یک محصول امنیتی می بینیم که با توجه به عدم شرکت در تست های مطرح جای شبهه داره

پس یکی از اجزای الگوریتم از برخی لحاظ استاندارد عمل نمیکنه و همین می تونه به پیکره اون آسیب بزنه

این ضعف بالاخص در مورد بعدی که میگم و نقش انتی ویروس بسیار مهمتر میشه ، مشهود تر میشه


نکته دیگر اینکه سندباکس یک محیط مجازیست بهمین خاطر خیلی از برنامه ها و یا پچ ها و کرک ها در این محیط عمل نمیکنند

مثلا اگر برنامه مفید Unlocker رو سندباکس کنید اصلا قابلیت اجراییش رو از دست میده

پس شما در بسیاری موارد ناچارید فایل اجرایی رو از سندباکس خارج کنید .. در اینجا شما به آنتی ویروس تکیه میکنید

اصلا بحث ما این نیست آنتی ویروس چرا نتونسته مخرب رو شناسایی کنه (در هر آنتی ویروسی ممکنه رخ بده)

اصلا موضوع این نیست کاربر بدلیل اشتباه خودش سیستم رو آلوده کرده یا نه

نکته اینجاست اگر در چنین شرایطی مخرب به کومودو حمله کنه ، کومودو چه میکنه؟

اصلا از بحث مخرب بودن بگذریم فرض کنید شما یک برنامه (مثلا ضدهک) نصب میکنید

این برنامه به اشتباه یک فایل اساسی کومودو رو مخرب تشخیص میده چه اتفاقی می افته ؟

دلیل عدم رفتار مناسب کومودو در چنین شرایطی نه حماقت کاربره و نه زرنگی برنامه مهاجم ، بلکه دلیلش اینه که

Self-Defense آخرین لایه دفاعی و زیرین ترین بخش آنتی ویروس هستش به نوعی که دسترسی پروسه های اصلی ویندوز به آن هم محدود هستش

(آنگونه که در آنتی ویروس هایی مثل کسپرسکی ، آواست ، نورتون و ... لحاظ میشه)

اما در کومودو چنین نیست و همین موضوع بنظر میاد دردسر ساز بشه

Self-Defense وظیفه اش اینه که در آلوده ترین حالت ممکن برای سیستم و بدترین شرایط اعمالی از سوی کاربر ، از آنتی ویروس دفاع کنه

اما در کومودو اینگونه نیست و کاملا تحت تاثیر شرایط محیطی و برنامه های سیستم قرار میگیره

با سلام
من متوجه نمیشم.
دوست عزیز اگر ممکنه کمی در این مورد توضیح دهید.
منظورم را این گونه بیان میکنم.
-اگر شما از kaspersky استفاده کنید بعد app control ان را disable کنید و یک ویروس ناشناخته اجرا کنید ان گاه سیستم شما الوده شود. به نظر شما مشکل از کسپر است یا از شما؟

-اگر شما از از کومودو استفاده کنید و سند باکس ان را disable کنید و فایلی را که از سالم بودن ان اطمینان ندارید اجرا کنید و ضد ویروس هم ان را شناسایی نکند و بعد شما الوده بشید. به نظر شما مشکل از کومودو است یا از شما؟
-------------------------
ببینید امکان نداره یک نرم افزار (که الوده نیست) بدون اطلاع کاربر فایل های را پاک کند حتی اگر نرم افزار امنیتی باشد. مگر این که خودتون تنظیم کرده باشید.
حال شما زمانی که یک نرم افزار را مانند mbam نصب کردید و این نرم افزار فایل های کومودو را به عنوان مخرب شناسایی کرد.تا زمانی که خودتون نخواهید ان فایل ها را پاک نمی کند و اگر خودتان بخواهید دیگر مشکل از کومودو نیست مشکل از شما است.
-------------------------
من قبول دارم که self defence کومودو از این نظر مشکل دارد و باید این مشکل حل شود.
اما به نظر من اگر کاربر درست رفتار کند هیچ گاه از این باگ صدمه ای نمی بیند و هرگز الوده نمی شود.
و به نظر من این ها همه خطا های کاربر هستند نه خطاهای نرم افزار.
-------------------------
و در نهایت باید بگم :
یک بار خود من یک ویروس به نام antivirus2010 را بر روی یک سیستم که کسپرسکی نصب بود اجرا کردم(البته app control غیر فعال بود) و بعد کسپرسکی exit شد و گجن ان نیز disable شد و زمانی که می خواستم ان را اجرا کنم یک error به من میداد و اجرا نمی شد.
پس ببینید این مشکل ممکن است برای ضدویروس های که selfdefence قوی هم دارند به وجود بیاد.
البته نگارش کسپر 2011 بود و ان زمان این ویروس به db ان اضافه نشده بود. اگر خواستید بگید تا ویروس را در تاپیک مناسب برایتان اپ کنم تا خودتان امتحان کنید.
پس ببینید ما نباید فایل های که نمی شناسیم بدون سندباکس اجرا کنیم. اگر می خواهید مطمئن شوید می توانید فایل مورد نظر را برای شرکت ضدویروس بفرستید تا اگر مخرب بود به db اضافه شود و به شما نیز اطلاع دهند.
با تشکر

[fishdilo]

سلام
اتفاقا" دلیل اینکه من از کسپر کوچیدم به کومودو، همین self defence بود. سیستم من ویروسی شده بود و ویروس که حتی نفهمیدم چی بود (چون مجبور به تغویض ویندوز شدم) حتی نمی گذاشت کسپر اجرا شود و error می داد. البته مثال زدم و کاری به کسپر و غیره اش ندارم، منظورم self defence است که تا چه حد می تواند قوی باشد و چقدر می تواند جلوی ویروس ها دوام بیاورد.

[outpost]

دلیل چنین رفتاری رو User Friendly یعنی کاربر پسند بودن کومودو عنوان میکنند که بسیار بی ربط هستش

مگه سایر آنتی ویروس ها که سلف دیفنس قوی دارند کاربر پسند نیستند ا

صلا می تونند مثل سایر انتی ویروس ها یک گزینه در تنظیمات بگذارند تا به راحتی کاربری سلف دیفنس رو فعال و غیرفعال کنه

داداش من بحثهاي شما رو در سايت كمودو دنبال ميكردم
. واقعا اين مهندساي كمودو جوابهاي احمقانه اي به شما ميدادن. جوابهاي شما هم خيلي باحال بود. بد جوري ميزدي تو پر و بالشون. مثل همونجا كه گفتي User Friendly بودن يعني اينكه مثل نرم افزار هاي ديگه اجازه بديد كه كاربر خودش Self Defense رو فعال يا غير فعال كنه.
دمت گرم. جا داره يه تشكر درست حسابي ازت بكنم

[M.Hashemi]

داداش من بحثهاي شما رو در سايت كمودو دنبال ميكردم
. واقعا اين مهندساي كمودو جوابهاي احمقانه اي به شما ميدادن. جوابهاي شما هم خيلي باحال بود. بد جوري ميزدي تو پر و بالشون. مثل همونجا كه گفتي User Friendly بودن يعني اينكه مثل نرم افزار هاي ديگه اجازه بديد كه كاربر خودش Self Defense رو فعال يا غير فعال كنه.
دمت گرم. جا داره يه تشكر درست حسابي ازت بكنم

با سلام
از ادب شما متشکرم.
با تشکر

[Amin.M.1986]

من معتقدم بحث آنتی ویروس توی ایران همیشه با تعصب همراهه!! میشه ناموس بعضی !! قصد جسارت ندارم اما طوری از کومودو صحبت میشه انگار یک شاهکاره که رو دست نداره( من خودم کارهای آی تی میکنم و شایان به ذکر هست که همین ماه پیش یک نسخه اورجینال و خریداری شده ی نود 32 رو از سیستم مسئول آفیس پاک کردم و همین کومودو رو ریختم.. از این جهت میگم که فکر نشه من متنفرم از این آنتی ویروس) .. من کومودو رو خوب میدونم و به نظرم از خیلی از آنتی ویروس ها بهتره ولی نظرم اینه که در حد یک آنتی ویروس مجانی خوبه!! سمانتک نسخه ی اینتر پرایز واقعا عملکرد بهتری داره .. همچنین تشخیص اشتباه های زیادی هم ازش دیدم.. در کل خوبه اما به هیچ وجه بهترین نیست