Jump to content

Testa om datorn är skyddad mot buffertöverskridningsattacker


Recommended Posts

Med programmet Comodo BO Tester kan testa om datorn är skyddad mot buffertöverskridningsattacker.

Lets see if your security products (AV, firewall or other) protect you from a Buffer Overflow (BO) attack, which is one of the most common form of attacks for users. Especially Drive-by-Download attacks extensively utilise BO to inject malware to users's machines.

COMODO BO Tester is a testing utility which checks whether your system is vulnerable to buffer overflow attacks or not.

COMODO Memory Guardian protects your applications against these attacks in both 32 bit and 64 bit environments.

It includes 3 separate tests each of which tries to exploit a different type of attack technique.

Test 1

-------

Tests the protection against stack overflows i.e. code execution in the stack

Test 2

------

Tests the protection against heap overlows i.e. code execution in the heap

Test 3

------

Tests the protection against ret2libc attacks i.e. one of the most difficult to detect BO attacks.

If your host (PC/Machine) is protected, the utility will report the status "Protected" ortherwise it will report "Vulnerable"

Download Locations :

For 32 bit Operating Systems

http://download.comodo.com/cpf/download/se...OTester_x32.exe

For 64 bit Operating Systems

http://download.comodo.com/cpf/download/se...OTester_x64.exe

Go ahead and distribute this to everyone you know to see if they are protected or not.. and for the Protection come and get Comodo Memory Guardian... FOR FREE!!!

thanks

Melih

Källa: https://forums.comodo.com/comodo_memory_fir...n-t12541.0.html (Kräver inloggning.)

Sedan den citerade texten skrevs, har det nämnda Comodo Memory Guardian bytt namn till Comodo Memory Firewall.

Med Comodo Memory Firewall installerat, får man en förfrågan i samband med varje testattack. Min dator är skyddad. :)

Kortfattat om buffertöverskridning: Wikipedia

Link to comment
Share on other sites

Fick underkänt på alla 3 :D

Många system har idag hårdvaruskydd mot denna störning genom att data som inte får plats i bufferten helt enkelt får gå förlorad.

Är det verkligen så seriöst som dom säger. Vad programmet gör är ju bara att utnyttja ett säkerhetshål i sig själv? Om det ska vara någon mening så ska ju själva Windows ha detta säkerhetshål, vilket det inte har.

Dessutom måste ju det program som har säkerhetshålet ha höga tillåtelser för att det ens ska bli ett intressant virus, annars stoppar ju UAC det.

Håller ju på med ett stort projekt i C++ nu och jag får varningar om att jag går över mina buffertar hela tiden, dessutom så säger Windows till mig om jag skriver eller läser från en otillåten adress.

Detta är ett mycket intressant ämne och dom där bakom comodo verkar ha mycket koll, men det är inte precis som att jag går och får panik för att jag fick underkänt på samtliga tester.

Link to comment
Share on other sites

Hej JoWa! Detta funkar alltså som ett komplement till CIS ?

Hej MrO!

Comodo Memory Firewall är ett bra komplement till alla säkerhetsprogram som inte inkluderar buffertöverskridningsskydd.

Om du installerade SafeSurf med CIS, kan du testa om det skyddar… ;)

Inom kort skall buffertöverskridningsskydd vara integrerat i CIS. :)

Link to comment
Share on other sites

Jag tror jag förstår nu.

Den där memory guardian verkar vara något som hjälper till att dynamiskt stoppa evetuella säkerhetshål som grundar sig på BO.

Men du måste ju så klart ha ett program med ett säkerhetshål från första början för att ens vara i närheten av att bli utsatt. Så det är fortfarande inte dags för panik, men visst kan man fixa memory guardian om man vill leka James Bond ;)

Nej men seriöst så verkar memory guardian vara en jävligt bra sak, eftersom den inte verkar grunda sig på definitioner och den fungerar ju verkligen.

Link to comment
Share on other sites

Nej men seriöst så verkar memory guardian vara en jävligt bra sak, eftersom den inte verkar grunda sig på definitioner och den fungerar ju verkligen.

Japp, just vad jag har kommit fram till också, utan att förstå de tekniska detaljerna som jag får intryck av att du gör. ;)

Man kan ju tycka att detta skydd skulle vara en självklar del av ett ”säkerhetspaket”. Som sagt, Comodo Internet Security kommer snart att inkludera det, men gör konkurrenternas alternativ det?

För den som inte klickade sig fram till Comodo Memory Firewall ;) (via mitt första inlägg):

What is a Buffer Overflow attack – The Technical Description?

In computer security and programming, a buffer overflow, or buffer overrun, is a programming error which may result in a memory access exception and program termination, or in the event of the user being malicious, a possible breach of system security.

A buffer overflow is an anomalous condition where a process attempts to store data beyond the boundaries of a fixed-length buffer. The result is that the extra data overwrites adjacent memory locations. The overwritten data may include other buffers, variables and program flow data and may cause a process to crash or produce incorrect results. They can be triggered by inputs specifically designed to execute malicious code or to make the program operate in an unintended way. As such, buffer overflows cause many software vulnerabilities and form the basis of many exploits. Sufficient bounds checking by either the programmer or the compiler can prevent buffer overflows.

Link to comment
Share on other sites

Nej, ThreatFire motsvarar snarast Defense+, men Defense+ är säkrare ;)

;D

D+ är högeffektivt men "behaviour blockers" som ThreatFire är enklare att hantera.

ThreatFire's patent-pending ActiveDefense technology offers protection

against all types of internet threats - both known and unknown -

spyware, adware, keyloggers, viruses, worms, Trojans, rootkits,

buffer overflows, and other malware.

http://www.threatfire.com/

Link to comment
Share on other sites

Riktigt bra citat med info från JoWa.

They can be triggered by inputs specifically designed to execute malicious code or to make the program operate in an unintended way.

Detta är ju helt sant, för du måste ju trigga säkerhetshålet genom felaktig input, exempel en felaktig PNG-bild eller en felaktig mp3-fil. Det är här missförståndet om att bilder och musik kan vara virus kommer ifrån, eftersom det egentligen bara är binärer som kan köras, men buffer overflow kan ju få programmet att köra det som finns i bilden eller musiken.

Sufficient bounds checking by either the programmer or the compiler can prevent buffer overflows.

Här har vi vad jag menade; du måste ju verkligen ha ett program som är slarvigt gjort för att ens vara i närheten av att bli utsatt för buffer overflow, eftersom ett program som är utformat bra kommer att sköta sig och inte få BO vid felaktig input.

Det här med BO i form av säkerhet är inte min starkaste sida. BO i form av vanlig utveckling och hur man undviker dem i sina egna program är däremot mer mitt ämne.

Link to comment
Share on other sites

Hmm installerade denna Comodo Memory Firewall och efter det så vil inte spyware doctor starta längre,spelar inte nån roll ifall jag stänger av Comodo Memory Firewall! Spyware doctor startar inte iallafall,antar att dom inte jobbar så bra ihop då/ MrO

Link to comment
Share on other sites

Testade Comodo SafeSurf: Vulnerable på alla test. Comodo Memory Firewall är således ett bättre val. ;)

Detta förklaras med att SafeSurf ebdast skyddar webbläsaren mot attacker, medan Memory Firewall skyddar hela systemet:

the safesurf BO checks for BO within the browser (a good chunk of the attacks). CMF on the hand however checks "any" BO on the computer. For example, there could be some other app like an IM client etc which has a BO vulnerability that could be exploited. Because CMF is system wide it will catch any. Safesurf is limited to the browser based ones.

Källa: https://forums.comodo.com/feedbackcommentsa...97746#msg197746

Link to comment
Share on other sites

En jämförelse mellan Comodo Memory Firewall och Dataexekveringsskydd:

1. Software DEP is nothing but SEH chain validator (means it's not a DEP but some way to prevent one rare type of shellcode's injection)

2. Hardware DEP is very incompatible thing, that's why:

a) DEP mode by default is OptIn = all system services are protected, user apps aren't protected

B) DEP is _VERY_ incompatible thing so we 've got one more "layer" over DEP-mode - windows disables DEP for app which is know to be incompatible with DEP (this includes many checks, like exe-packers check and so on)

3. DEP-protection is vulnerable to ret2libc kind of attack (so you're not protected at all)

So we 've got CMG :) A fast and compatible way to be protected. It protects all apps against ret2libc and common BO attacks, and it doesn't treminate your favorite apps as well :)

Källa: https://forums.comodo.com/frequently_asked_...p-t12237.0.html

Citatets CMG = Comodo Memory Guardian, nu Comodo Memory Firewall; DEP = Data Execution Prevention = Dataexekveringsskydd

Link to comment
Share on other sites

  • 2 weeks later...
Men du måste ju så klart ha ett program med ett säkerhetshål från första början för att ens vara i närheten av att bli utsatt.

T.ex. Internet Explorer… :o

Någon som har testat hur ThreatFire klarar Comodo BO Tester?

I detta specifika test från Comodo reagerar inte ThreatFire. Resultatet blev "Vulnerable". :-[

Kan det vara så att ThreatFire, i likhet med SafeSurf, endast skyddar webbläsaren? Båda programmen misslyckas i detta test, men skyddar IE, enligt denna tråd.

Link to comment
Share on other sites

  • 3 months later...
Testade Comodo SafeSurf: Vulnerable på alla test. Comodo Memory Firewall är således ett bättre val. ;)

Har funnit förklaringen till att SafeSurf inte skyddade: det saknades en fil (cssdll32.dll)! Med denna fil på plats, skyddar SafeSurf mot alla attacker BO Tester simulerar. :)

Link to comment
Share on other sites

Conficker: How a Buffer Overflow Works

En animerad beskrivning. ;)

Ball animation, väldigt simpel. En sak jag dock la märke till var när hackaren stoppades helt. Detta var när man programmerat in en gräns för buffern.

The evil hacker is thwarted

Inget snack om saken; hackaren kom inte vidare.

Den gränsen fås automatiskt av att använda säkra funktioner som jag tidigare sa. Man lägger i praktiken bara till prefixet "s_" till en funktion i dom flesta fall, så använder man den säkra funktionen, dvs hackaren är helt stoppad, hindrad, "thwarted" för buffer overflow. Inget snack om saken, precis som det står i animationen. Det är lite därför jag hela tiden säger att det visst går att göra 100% säkra program, men i praktiken är det väl väldigt sällan man lyckas. Nog om detta, jag har tjatat om detta i tråden tidigare och förmodligen kan man fortsätta tjata ännu längre ;)

Link to comment
Share on other sites

Ball animation, väldigt simpel. En sak jag dock la märke till var när hackaren stoppades helt. Detta var när man programmerat in en gräns för buffern.

Javisst, snudd på begriplig. B)

Inget snack om saken; hackaren kom inte vidare.

Den gränsen fås automatiskt av att använda säkra funktioner som jag tidigare sa. Man lägger i praktiken bara till prefixet "s_" till en funktion i dom flesta fall, så använder man den säkra funktionen, dvs hackaren är helt stoppad, hindrad, "thwarted" för buffer overflow. Inget snack om saken, precis som det står i animationen. Det är lite därför jag hela tiden säger att det visst går att göra 100% säkra program, men i praktiken är det väl väldigt sällan man lyckas. Nog om detta, jag har tjatat om detta i tråden tidigare och förmodligen kan man fortsätta tjata ännu längre ;)

En del utvecklare har visst stora problem med att få ordning på koden. Sök efter ”buffert” på dessa sidor:

http://support.apple.com/kb/HT1521?viewlocale=sv_SE

http://support.apple.com/kb/HT1323?viewlocale=sv_SE

http://support.apple.com/kb/HT1241?viewlocale=sv_SE

http://support.apple.com/kb/HT1991?viewlocale=sv_SE

http://support.apple.com/kb/HT3027?viewlocale=sv_SE

http://support.apple.com/kb/HT3403?viewlocale=sv_SE

Det känns ju inte helt fel att ha ett buffertöverskidningsskydd för hela systemet, istället för att vara beroende av uppdateringar från utvecklare som inte tycks vara förmögna att få bort sådana buggar. B)

Link to comment
Share on other sites

Återgår till den inledande uppmaningen: Testa om datorn är skyddad mot buffertöverskridningsattacker.

Har någon gjort det? Med vilket resultat?

De program som jag vet har testats är:

Skyddar

Comodo Internet Security (3.8/3.9 alfa)

Comodo Memory Firewall

Comodo SafeSurf

Skyddar inte

PC Tools ThreatFire

Dataexekveringsskyddet i Windows XP/Vista (Någon som har testat Windows 7?)

Video som visar test av CIS och ThreatFire:

Vore trevligt att få se att program från mer än ett företag skyddar mot denna typ av attack. ;)

Känner någon till något annat program som testar skydd mot buffertöverskridningsattacker? :unsure:

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share

×
×
  • Create New...