vojtek11

Domyślny "custom" mode - możliwe?

Recommended Posts

Testuję od kilku dni pakiet EIS i jestem... prawie zadowolony. Ale zanim zdecyduję się, żeby to kupić...

 

Problem jest taki :

 

Każda aplikacja, która pojawi się jako proces w "Behavior Blocker", kiedy klikam na nią okazuje się, że w pierwszej zakładce (Behavior Blocker) ma zawsze domyślnie "all allowed", w firewall incoming zawsze "all allowed" i w firewall outgoing zawsze "all allowed". Co bardziej przeraża, certyfikat takiej aplikacji może być opisany jako "Not verified" (odpaliłem sobie jakiś SpyBootAntiBeacon do blokowana telemetrii w Windows, albo coś takiego) i nawet mimo tego, to to hula sobie swobodnie po sieci (sprawdziłem logi na routerze) dopóki ręcznie nie zmienię jej ustawień.

 

Dla mnie - ideałem byłoby gdybym nawet dla aplikacji określanych w "Reputation" jako "Good" mógł mieć zawsze domyślnie tryb "custom" dla wszystkiego. są takie aplikacje, które - nawet mimo zaufania - lubię zdusić i nie pozwolić im hulać po sieci krzycząc "hej, hej, tu jestem!". i dostawać to samo non-stop od dziesiątek komputerów w tej samej sieci. Zauważyłem, że z czymś takim wszystko mi zawsze chodzi dużo lepiej. Poza tym lubię czuć odrobinę prywatności.

 

Jest to możliwe z EIS? czy on ufa wszystkiemu nowemu zawsze?

 

pozdrowienia,

Wojtek

 

Share this post


Link to post
Share on other sites

Witam Panie Wojciechu,

 

Dziękuję za kontakt z pomocą techniczną na forum Emsisoft.

 

Zaczynając od początku.

Podczas uruchamiania nieznanej aplikacji, "Kontrola zachowań" analizuje każdą aktywność aplikacji, i jeżeli wykryje jakąś podejrzaną aktywność aplikacji, moduł kontroli zachowań jak i sama zapora zablokują natychmiast dostęp do takiego programu.

 

Każda aplikacja, która pojawi się jako proces w "Behavior Blocker", kiedy klikam na nią okazuje się, że w pierwszej zakładce (Behavior Blocker) ma zawsze domyślnie "all allowed", w firewall incoming zawsze "all allowed" i w firewall outgoing zawsze "all allowed".

Zgadza się. Reguły dla zapory i kontroli zachowań są pobierane na bieżąco, podczas uruchamiania i instalowania danej aplikacji.

Jeżeli program widnieje w naszej bazie jako bezpieczny i jego reputacja jest dobra w tej sytuacji, w większości przypadków w regułach aplikacji oraz w ustawieniach zapory będzie widoczne "Dopuszczaj zawsze", gdyż nic nie wskazuje aby dany program mając podpis cyfrowy mógłby być szkodliwy. Działa to również w drugą stronę. Mając podpis cyfrowy aplikacja nie musi być wcale zwolniona z monitorowania przez moduł Kontrolę Zachowań. Wszystko zależy od konkretnej sytuacji.

 

 Co bardziej przeraża, certyfikat takiej aplikacji może być opisany jako "Not verified" (odpaliłem sobie jakiś SpyBootAntiBeacon do blokowana telemetrii w Windows, albo coś takiego) i nawet mimo tego, to to hula sobie swobodnie po sieci (sprawdziłem logi na routerze) dopóki ręcznie nie zmienię jej ustawień.

Status/Reputacja danego pliku ("Nieznany", "Dobry", "Zły") nie ma wpływu na to czy dana aplikacja będzie blokowana czy nie. Tę decyzję podejmuje "sztuczna inteligencja" naszego modułu kontroli zachowań. Reputacja informuje jedynie czy dany program widnieje w naszej bazie Anti-Malware Network.

 

Jest to możliwe z EIS? 

Oczywiście.

Proszę otworzyć Menu główne programu. Następnie przechodzimy do sekcji OCHRONA-->Zapora-->Ustawienia zaawansowane: "Auto-Reguła".

 

Teraz wyświetli się nam okno z zaawansowanymi ustawieniami zapory, gdzie możemy domyślnie ustawić opcję "Pytaj", w tej sytuacji od naszej będzie zależeć czy każda nowa aplikacja uzyska dostęp do Internetu.

 

czy on ufa wszystkiemu nowemu zawsze?

Nie. Tak jak wspominałem, zależy to od wielu czynników m.in. popularności aplikacji, oraz widoczności w naszej bazie danych, zachowania aplikacji w systemie, czy numeru PID. 

 

Chętnie odpowiem na ewentualne kolejne pytania. 

 

Pozdrawiam,

 

Mikołaj

Share this post


Link to post
Share on other sites

No niestety - nie działa to idealnie. okazuje się, że jeśli aplikacja nie istnieje w bazie danych (reputacja = nieznany), dostaje pełne zaufanie. I to mi się nie podoba. Czy jest możliwośc wyłączenia tej "sztucznej inteligencji" i włączenia czegoś w rodzaju "paranoid mode"? tak, żeby zawsze pytał o wszystko, bez znaczenia czy aplikacja jest zaufana, czy niezaufana, czy jest w bazie, czy nie ma jej w bazie? Do tej pory udało mi się to osiągnąć przez żmudne odklikiwanie dziesiątki (albo setki) razy na każdej aplikacji i przełączanie jej w "custom". czy to nie mogłoby być domyślne zawsze? bez "inteligencji". bez odpytywania baz.

Tak na marginesie - jest jeszcze drugi problem wynikający z przesadzenia z tymi "sztucznymi inteligencjami" i poleganiu na połączeniach z tymi bazami. Problem się pojawia kiedy nie mam dostępu do internetu (z jakiegokolwiek powodu). Jeśli aplikacja nie jest w stanie sprawdzić jaki jest status czegoś nowego (a wrzuciłem celowo jakiś śledzący malware), to taki "śmieć" dostaje status "nieznany" i... pełne prawo do wszystkiego. Oczywiście po odzyskaniu połączenia z internetem, to się koryguje. Tylko ja nie nigdy nie będę wiedział, ile szkód to-to narobiło zanim baza Emsisoftu się zaktualizowała i zakazała mu aktywności. Ergo - taki "paranoid mode" naprawdę nie byłby zły...

pozdrowienia,

Wojtek

Share this post


Link to post
Share on other sites

Witam Panie Wojciechu,

 

czy to nie mogłoby być domyślne zawsze? bez "inteligencji". bez odpytywania baz.

Nie ma możliwości wyłączenia i całkowitego zrezygnowania w technologii chmury w module Kontrola Zachowań. 

Natomiast w zakładce Ustawienia-->Prywatność jest możliwość zrezygnowania z automatycznego tworzenia na potrzeby Kontroli zachowań, reguł uruchamianych nowo aplikacji, jednakże nie zalecałbym zmiany tychże ustawień, gdyż ryzyko infekcji systemu może wzrosnąć.

 

taki "paranoid mode" naprawdę nie byłby zły... pozdrowienia, Wojtek 

Ta opcja byłą dostępna w jednej z poprzednich wersji, jednakże, nie planujemy ponownej implementacji tej funkcjonalności do naszych produktów.

 

Do tej pory udało mi się to osiągnąć przez żmudne odklikiwanie dziesiątki (albo setki) razy na każdej aplikacji i przełączanie jej w "custom". czy to nie mogłoby być domyślne zawsze?

Nie. Proszę zauważyć, że z naszych produktów nie tylko korzystają zaawansowani użytkownicy, ale również osoby mnie zaznajomione w kwestii bezpieczeństwa w Internecie, oraz ochroną tożsamości. Także udało nam się, wydaje mi się znaleźć taki pomost w postaci modułu Kontroli Zachowań, który byłby przystępny dla tych bardziej wymagających, oraz dla tych, którzy oczekują aplikacji typu "zainstaluj i zapomnij".

 

Czy w czymś mógłbym jeszcze pomóc?

 

Pozdrawiam,

 

Mikołaj

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.