JoWa Posted December 7, 2008 Share Posted December 7, 2008 Med programmet Comodo BO Tester kan testa om datorn är skyddad mot buffertöverskridningsattacker. Lets see if your security products (AV, firewall or other) protect you from a Buffer Overflow (BO) attack, which is one of the most common form of attacks for users. Especially Drive-by-Download attacks extensively utilise BO to inject malware to users's machines.COMODO BO Tester is a testing utility which checks whether your system is vulnerable to buffer overflow attacks or not. COMODO Memory Guardian protects your applications against these attacks in both 32 bit and 64 bit environments. It includes 3 separate tests each of which tries to exploit a different type of attack technique. Test 1 ------- Tests the protection against stack overflows i.e. code execution in the stack Test 2 ------ Tests the protection against heap overlows i.e. code execution in the heap Test 3 ------ Tests the protection against ret2libc attacks i.e. one of the most difficult to detect BO attacks. If your host (PC/Machine) is protected, the utility will report the status "Protected" ortherwise it will report "Vulnerable" Download Locations : For 32 bit Operating Systems http://download.comodo.com/cpf/download/se...OTester_x32.exe For 64 bit Operating Systems http://download.comodo.com/cpf/download/se...OTester_x64.exe Go ahead and distribute this to everyone you know to see if they are protected or not.. and for the Protection come and get Comodo Memory Guardian... FOR FREE!!! thanks Melih Källa: https://forums.comodo.com/comodo_memory_fir...n-t12541.0.html (Kräver inloggning.) Sedan den citerade texten skrevs, har det nämnda Comodo Memory Guardian bytt namn till Comodo Memory Firewall. Med Comodo Memory Firewall installerat, får man en förfrågan i samband med varje testattack. Min dator är skyddad. Kortfattat om buffertöverskridning: Wikipedia Quote Link to comment Share on other sites More sharing options...
MrO Posted December 7, 2008 Share Posted December 7, 2008 Hej JoWa! Detta funkar alltså som ett komplement till CIS ? Quote Link to comment Share on other sites More sharing options...
Guest al6 Posted December 7, 2008 Share Posted December 7, 2008 Fick underkänt på alla 3 Många system har idag hårdvaruskydd mot denna störning genom att data som inte får plats i bufferten helt enkelt får gå förlorad. Är det verkligen så seriöst som dom säger. Vad programmet gör är ju bara att utnyttja ett säkerhetshål i sig själv? Om det ska vara någon mening så ska ju själva Windows ha detta säkerhetshål, vilket det inte har. Dessutom måste ju det program som har säkerhetshålet ha höga tillåtelser för att det ens ska bli ett intressant virus, annars stoppar ju UAC det. Håller ju på med ett stort projekt i C++ nu och jag får varningar om att jag går över mina buffertar hela tiden, dessutom så säger Windows till mig om jag skriver eller läser från en otillåten adress. Detta är ett mycket intressant ämne och dom där bakom comodo verkar ha mycket koll, men det är inte precis som att jag går och får panik för att jag fick underkänt på samtliga tester. Quote Link to comment Share on other sites More sharing options...
JoWa Posted December 7, 2008 Author Share Posted December 7, 2008 Hej JoWa! Detta funkar alltså som ett komplement till CIS ? Hej MrO! Comodo Memory Firewall är ett bra komplement till alla säkerhetsprogram som inte inkluderar buffertöverskridningsskydd. Om du installerade SafeSurf med CIS, kan du testa om det skyddar… Inom kort skall buffertöverskridningsskydd vara integrerat i CIS. Quote Link to comment Share on other sites More sharing options...
MrO Posted December 7, 2008 Share Posted December 7, 2008 Hej JoWa! Jodå jag installerade safe surf,då väntar jag tills det kommer med nån uppdatering så att jag inte krånglar till nåt( är för övrigt supernöjd med CIS,hittar ju inte ens några tracking cockies i burken längre)MrO Quote Link to comment Share on other sites More sharing options...
Guest al6 Posted December 7, 2008 Share Posted December 7, 2008 Jag tror jag förstår nu. Den där memory guardian verkar vara något som hjälper till att dynamiskt stoppa evetuella säkerhetshål som grundar sig på BO. Men du måste ju så klart ha ett program med ett säkerhetshål från första början för att ens vara i närheten av att bli utsatt. Så det är fortfarande inte dags för panik, men visst kan man fixa memory guardian om man vill leka James Bond Nej men seriöst så verkar memory guardian vara en jävligt bra sak, eftersom den inte verkar grunda sig på definitioner och den fungerar ju verkligen. Quote Link to comment Share on other sites More sharing options...
MrO Posted December 7, 2008 Share Posted December 7, 2008 Nåt liknande det som Pctools har som kallas Threat Fire eller nåt sånt va/ MrO Quote Link to comment Share on other sites More sharing options...
JoWa Posted December 7, 2008 Author Share Posted December 7, 2008 Nej men seriöst så verkar memory guardian vara en jävligt bra sak, eftersom den inte verkar grunda sig på definitioner och den fungerar ju verkligen. Japp, just vad jag har kommit fram till också, utan att förstå de tekniska detaljerna som jag får intryck av att du gör. Man kan ju tycka att detta skydd skulle vara en självklar del av ett ”säkerhetspaket”. Som sagt, Comodo Internet Security kommer snart att inkludera det, men gör konkurrenternas alternativ det? För den som inte klickade sig fram till Comodo Memory Firewall (via mitt första inlägg): What is a Buffer Overflow attack – The Technical Description?In computer security and programming, a buffer overflow, or buffer overrun, is a programming error which may result in a memory access exception and program termination, or in the event of the user being malicious, a possible breach of system security. A buffer overflow is an anomalous condition where a process attempts to store data beyond the boundaries of a fixed-length buffer. The result is that the extra data overwrites adjacent memory locations. The overwritten data may include other buffers, variables and program flow data and may cause a process to crash or produce incorrect results. They can be triggered by inputs specifically designed to execute malicious code or to make the program operate in an unintended way. As such, buffer overflows cause many software vulnerabilities and form the basis of many exploits. Sufficient bounds checking by either the programmer or the compiler can prevent buffer overflows. Quote Link to comment Share on other sites More sharing options...
JoWa Posted December 7, 2008 Author Share Posted December 7, 2008 Nåt liknande det som Pctools har som kallas Threat Fire eller nåt sånt va/ MrO Nej, ThreatFire motsvarar snarast Defense+, men Defense+ är säkrare… Quote Link to comment Share on other sites More sharing options...
Guest bäver Posted December 7, 2008 Share Posted December 7, 2008 Nej, ThreatFire motsvarar snarast Defense+, men Defense+ är säkrare ;D D+ är högeffektivt men "behaviour blockers" som ThreatFire är enklare att hantera. ThreatFire's patent-pending ActiveDefense technology offers protection against all types of internet threats - both known and unknown - spyware, adware, keyloggers, viruses, worms, Trojans, rootkits, buffer overflows, and other malware. http://www.threatfire.com/ Quote Link to comment Share on other sites More sharing options...
JoWa Posted December 7, 2008 Author Share Posted December 7, 2008 Tack för korrigeringen bäver! Någon som har testat hur ThreatFire klarar Comodo BO Tester? Quote Link to comment Share on other sites More sharing options...
Guest bäver Posted December 7, 2008 Share Posted December 7, 2008 Någon som har testat hur ThreatFire klarar Comodo BO Tester? I detta specifika test från Comodo reagerar inte ThreatFire. Resultatet blev "Vulnerable". :-[ Quote Link to comment Share on other sites More sharing options...
Guest al6 Posted December 7, 2008 Share Posted December 7, 2008 Riktigt bra citat med info från JoWa. They can be triggered by inputs specifically designed to execute malicious code or to make the program operate in an unintended way. Detta är ju helt sant, för du måste ju trigga säkerhetshålet genom felaktig input, exempel en felaktig PNG-bild eller en felaktig mp3-fil. Det är här missförståndet om att bilder och musik kan vara virus kommer ifrån, eftersom det egentligen bara är binärer som kan köras, men buffer overflow kan ju få programmet att köra det som finns i bilden eller musiken. Sufficient bounds checking by either the programmer or the compiler can prevent buffer overflows. Här har vi vad jag menade; du måste ju verkligen ha ett program som är slarvigt gjort för att ens vara i närheten av att bli utsatt för buffer overflow, eftersom ett program som är utformat bra kommer att sköta sig och inte få BO vid felaktig input. Det här med BO i form av säkerhet är inte min starkaste sida. BO i form av vanlig utveckling och hur man undviker dem i sina egna program är däremot mer mitt ämne. Quote Link to comment Share on other sites More sharing options...
L-L Posted December 7, 2008 Share Posted December 7, 2008 Tänkte bara klargöra en sak: Comodo Memory Guardian är en äldre version av Comodo Memory Firewall! Det är alltså den senare som gäller. LA Quote Link to comment Share on other sites More sharing options...
MrO Posted December 7, 2008 Share Posted December 7, 2008 Hmm installerade denna Comodo Memory Firewall och efter det så vil inte spyware doctor starta längre,spelar inte nån roll ifall jag stänger av Comodo Memory Firewall! Spyware doctor startar inte iallafall,antar att dom inte jobbar så bra ihop då/ MrO Quote Link to comment Share on other sites More sharing options...
JoWa Posted December 7, 2008 Author Share Posted December 7, 2008 Testade Comodo SafeSurf: Vulnerable på alla test. Comodo Memory Firewall är således ett bättre val. Quote Link to comment Share on other sites More sharing options...
JoWa Posted December 7, 2008 Author Share Posted December 7, 2008 Testade Comodo SafeSurf: Vulnerable på alla test. Comodo Memory Firewall är således ett bättre val. Detta förklaras med att SafeSurf ebdast skyddar webbläsaren mot attacker, medan Memory Firewall skyddar hela systemet: the safesurf BO checks for BO within the browser (a good chunk of the attacks). CMF on the hand however checks "any" BO on the computer. For example, there could be some other app like an IM client etc which has a BO vulnerability that could be exploited. Because CMF is system wide it will catch any. Safesurf is limited to the browser based ones. Källa: https://forums.comodo.com/feedbackcommentsa...97746#msg197746 Quote Link to comment Share on other sites More sharing options...
L-L Posted December 7, 2008 Share Posted December 7, 2008 Visst är det så. Ändå körs SafeSurf hela tiden, oavsett om browsern är igång eller inte. ??? LA Quote Link to comment Share on other sites More sharing options...
JoWa Posted December 8, 2008 Author Share Posted December 8, 2008 En jämförelse mellan Comodo Memory Firewall och Dataexekveringsskydd: 1. Software DEP is nothing but SEH chain validator (means it's not a DEP but some way to prevent one rare type of shellcode's injection)2. Hardware DEP is very incompatible thing, that's why: a) DEP mode by default is OptIn = all system services are protected, user apps aren't protected DEP is _VERY_ incompatible thing so we 've got one more "layer" over DEP-mode - windows disables DEP for app which is know to be incompatible with DEP (this includes many checks, like exe-packers check and so on) 3. DEP-protection is vulnerable to ret2libc kind of attack (so you're not protected at all) So we 've got CMG A fast and compatible way to be protected. It protects all apps against ret2libc and common BO attacks, and it doesn't treminate your favorite apps as well Källa: https://forums.comodo.com/frequently_asked_...p-t12237.0.html Citatets CMG = Comodo Memory Guardian, nu Comodo Memory Firewall; DEP = Data Execution Prevention = Dataexekveringsskydd Quote Link to comment Share on other sites More sharing options...
JoWa Posted December 20, 2008 Author Share Posted December 20, 2008 Men du måste ju så klart ha ett program med ett säkerhetshål från första början för att ens vara i närheten av att bli utsatt. T.ex. Internet Explorer… Någon som har testat hur ThreatFire klarar Comodo BO Tester? I detta specifika test från Comodo reagerar inte ThreatFire. Resultatet blev "Vulnerable". :-[ Kan det vara så att ThreatFire, i likhet med SafeSurf, endast skyddar webbläsaren? Båda programmen misslyckas i detta test, men skyddar IE, enligt denna tråd. Quote Link to comment Share on other sites More sharing options...
JoWa Posted April 2, 2009 Author Share Posted April 2, 2009 Testade Comodo SafeSurf: Vulnerable på alla test. Comodo Memory Firewall är således ett bättre val. Har funnit förklaringen till att SafeSurf inte skyddade: det saknades en fil (cssdll32.dll)! Med denna fil på plats, skyddar SafeSurf mot alla attacker BO Tester simulerar. Quote Link to comment Share on other sites More sharing options...
JoWa Posted April 2, 2009 Author Share Posted April 2, 2009 Conficker: How a Buffer Overflow Works En animerad beskrivning. Quote Link to comment Share on other sites More sharing options...
Guest al6 Posted April 2, 2009 Share Posted April 2, 2009 Conficker: How a Buffer Overflow WorksEn animerad beskrivning. Ball animation, väldigt simpel. En sak jag dock la märke till var när hackaren stoppades helt. Detta var när man programmerat in en gräns för buffern. The evil hacker is thwarted Inget snack om saken; hackaren kom inte vidare. Den gränsen fås automatiskt av att använda säkra funktioner som jag tidigare sa. Man lägger i praktiken bara till prefixet "s_" till en funktion i dom flesta fall, så använder man den säkra funktionen, dvs hackaren är helt stoppad, hindrad, "thwarted" för buffer overflow. Inget snack om saken, precis som det står i animationen. Det är lite därför jag hela tiden säger att det visst går att göra 100% säkra program, men i praktiken är det väl väldigt sällan man lyckas. Nog om detta, jag har tjatat om detta i tråden tidigare och förmodligen kan man fortsätta tjata ännu längre Quote Link to comment Share on other sites More sharing options...
JoWa Posted April 3, 2009 Author Share Posted April 3, 2009 Ball animation, väldigt simpel. En sak jag dock la märke till var när hackaren stoppades helt. Detta var när man programmerat in en gräns för buffern. Javisst, snudd på begriplig. Inget snack om saken; hackaren kom inte vidare.Den gränsen fås automatiskt av att använda säkra funktioner som jag tidigare sa. Man lägger i praktiken bara till prefixet "s_" till en funktion i dom flesta fall, så använder man den säkra funktionen, dvs hackaren är helt stoppad, hindrad, "thwarted" för buffer overflow. Inget snack om saken, precis som det står i animationen. Det är lite därför jag hela tiden säger att det visst går att göra 100% säkra program, men i praktiken är det väl väldigt sällan man lyckas. Nog om detta, jag har tjatat om detta i tråden tidigare och förmodligen kan man fortsätta tjata ännu längre En del utvecklare har visst stora problem med att få ordning på koden. Sök efter ”buffert” på dessa sidor: http://support.apple.com/kb/HT1521?viewlocale=sv_SE http://support.apple.com/kb/HT1323?viewlocale=sv_SE http://support.apple.com/kb/HT1241?viewlocale=sv_SE http://support.apple.com/kb/HT1991?viewlocale=sv_SE http://support.apple.com/kb/HT3027?viewlocale=sv_SE http://support.apple.com/kb/HT3403?viewlocale=sv_SE Det känns ju inte helt fel att ha ett buffertöverskidningsskydd för hela systemet, istället för att vara beroende av uppdateringar från utvecklare som inte tycks vara förmögna att få bort sådana buggar. Quote Link to comment Share on other sites More sharing options...
JoWa Posted April 3, 2009 Author Share Posted April 3, 2009 Återgår till den inledande uppmaningen: Testa om datorn är skyddad mot buffertöverskridningsattacker. Har någon gjort det? Med vilket resultat? De program som jag vet har testats är: Skyddar Comodo Internet Security (3.8/3.9 alfa) Comodo Memory Firewall Comodo SafeSurf Skyddar inte PC Tools ThreatFire Dataexekveringsskyddet i Windows XP/Vista (Någon som har testat Windows 7?) Video som visar test av CIS och ThreatFire: Vore trevligt att få se att program från mer än ett företag skyddar mot denna typ av attack. Känner någon till något annat program som testar skydd mot buffertöverskridningsattacker? Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.