Перейти к содержанию

Безопасная среда выполнения программ в KIS 2010


Рекомендуемые сообщения

Раз уж информации мало в открытом доступе (надеюсь, что пока), предлагаю разобраться своими силами, а там глядишь может и из разработчиков кто добавит пару комментариев :huh:

 

Вопросы, которые хотелось бы обсудить:

1. Как именно работает указанная функция? Без четкого понимания, что она делает, сложно оценить ее применимость;

2. В чем преимущества указанной функции по отношению к пресловутому UAC в Vista+ (который тоже в определенном смысле виртуализирует запускаемые программы и обеспечивает дополнительную изоляцию и контроль прав), какие принципиальные преимущества есть у БСВП от KIS?

3. В чем преимущества указанной функции по сравнению с "Безопасным режимом", реализованным в IE8 (сравнение напрашивается потому, что по-умолчанию KIS добавляет именно IE в список программ для такого sandbox'инга, и больше никакие)?

4. Какой уровень совместимости обеспечивает данная функция с другими программами, помимо IE8 (подозреваю, что с ним все протестировано нормально :help:).

 

Итак, "Безопасная среда выполнения программ" (далее БСВП). Официальное описание нашел только в справке, ключевые выдержки приведены ниже.

 

"Для обеспечения максимальной безопасности объектов операционной системы и персональных данных пользователей специалистами "Лаборатории Касперского" реализована возможность запуска сторонних программ в защищаемой виртуальной среде – Безопасной среде.

 

В безопасной среде рекомендуется запускать программы, в подлинности которых вы не уверены. Это позволит избежать изменений объектов операционной системы, которые могут привести к ее некорректной работе.

 

...

 

Запуск интернет-браузеров в безопасной среде обеспечивает безопасность просмотра веб-ресурсов, в том числе защиту от проникновения на компьютер вредоносных программ и защиту пользовательских данных от несанкционированного изменения и удаления, а также возможность удаления всех объектов, накопленных за сеанс работы в сети Интернет: временные файлы, cookies, история посещения веб-страниц и т. п.

 

...

 

Чтобы при работе в обычной среде были доступны файлы, сохраненные или измененные в безопасной среде, следует пользоваться специально созданной для этого общей папкой безопасной среды, доступной как в безопасной, так и в обычной среде. Файлы, размещенные в этой папке не будут удалены в случае очистки безопасной среды.

 

...

 

Не рекомендуется использовать режим Всегда запускать в безопасной среде для системных программ и утилит, так как это может привести к некорректной работе операционной системы.

 

...

 

При запуске программы в безопасной среде все изменения, являющиеся следствием работы программы, производятся только в рамках безопасной среды. По умолчанию при следующем запуске программы все произведенные изменения и сохраненные файлы снова будут доступны в течение сеанса работы в безопасной среде."

 

Из описания складывается ощущение, что используется какая-то форма виртуализации среды, возможно - файлов, реестра, и пр. Далее некоторые простые тесты, чтобы проверить, как это работает на практике, и насколько это вообще работает:

 

Запускаем Far в безопасной среде. Запускается, а вокруг окна появляется неоновая зеленая рамка, видимо указывающая на то, что приложение выполняется в безопасной среде :wall: Мило.

 

a. Создаем файл в корне диска C:. Результат - файл создается, при этом в остальных программах он не виден, т.е. используется виртуализация файловой системы, файлы создаются в "своем собственном виртуальном мире", созданном для данной программы. Это достаточно серьезная технология, которая впрочем, уже реализована в рамках UAC;

 

b. Обращение к сетевым ресурсам. Выполняем простейшую команду "ping www.lenta.ru", получаем результат "Не удается обратиться к драйверу IP. Код ошибки 1753.". При этом KIS ничего не спрашивает, просто reject. Посмотрим, что за ошибка такая: "В системе отображения конечных точек не осталось доступных конечных точек". Не слишком дружелюбно, и не понятно, по какому принципу принято решение, что Far'у (и дочерним процессам) нельзя обращаться в сеть;

 

c. Пробуем запустить regedit. Тоже ничего не выходит, получаем ошибку "Служба в настоящее время не может выполнять команды". Видимо тоже безопасность, хотя и не совсем понятно, почему нельзя запустить regedit.

 

Для теста реестра попробуем запустить regedit отдельно в защищенной среде. Отдельно запуск проходит. Ключи появляются как-то странно, с видимой задержкой по сравнению с обычным запуском по сравнению с обычным запуском regedit. Наблюдается та же картина - запись данных в ключи реестра также виртуализируется, и не видна остальным программам.

 

На этом пока простые тесты закончим. Получаем среду виртуализации, похожую по поведению на работу UAC, при этом накладывающую ряд дополнительных ограничений на запуск программ, обращение к сетевым ресурсам и проч., с красивой неоновой рамкой вокруг запускаемых окон :wall: Учитывая приемлемую работу UAC и безопасный режим в IE8, однозначного мнение пока не сложилось. Если понадобится запустить что-то действительно потенциально опасное - специалисты для этого будут использовать полноценную виртуальную машину. Куда же "прикрутить" эту функцию?

 

У кого какие мысли и комментарии?

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 32
  • Created
  • Последний ответ

Top Posters In This Topic

  • SergeyUser

    15

  • Umnik

    9

  • upsidicidan

    4

  • Roman_Five

    2

3. В чем преимущества указанной функции по сравнению с "Безопасным режимом", реализованным в IE8 (сравнение напрашивается потому, что по-умолчанию KIS добавляет именно IE в список программ для такого sandbox'инга, и больше никакие)?

 

ИЕ8 у Вас, как впрочем и у меня :huh: , добавляется изначально в сендбокс, т.к. это браузер в системе по умолчанию

самостоятельно можно добавить туда (источник)

1. Интернет браузеры

2. IM (ICQ, mail-агент и т.п.)

3. Почтовые клиенты (MS, Outlook Express, The bat…)

4. Файловые менеджеры и архиваторы

5. Видео и аудио проигрыватели

6. Игры

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

Roman_Five,

 

Браузер по-умолчанию у меня как раз Google Chrome, но на него KIS внимания не обратил и добавил IE8. За ссылку спасибо. Особенно интересны следующие комментарии из указанной ветки (копирую для полноты картины):

 

"Позволяет безопасно работать с приложениями, полученными из сомнительных источников в т. ч. с приложениями содержащими вредоносные программы"

 

"Работать с любыми приложениями в том числе с приложениями имеющими уязвимости к проникновению вредоносных программ из внешней среды (локальная сеть, Интернет)"

 

Интересно, зачем нормальным, пусть и продвинутым пользователям, пользоваться программами с уязвимостями (вместо того, чтобы скачать новую версию), а также запускать программы из сомнительных источников, в том числе вредоносные? Это, мягко говоря, пользователям советовать не стоит.

 

Ok, в целом можно сделать вывод, что нужно запускать все, что подвержено риску атак извне, прежде всего все, что работает с интернетом, или предоставляет какие-то сервисы "наружу".

 

Вопрос впрочем замены уже имеющихся технологий, входящих в Windows (UAC и защищенный режим IE8), остается открытым. Еще немного, и KIS при установке будет рекомендовать отключить UAC (это шутка, конечно). Разработчики в очередной раз решили, что они лучше, чем MS, знают, как должны быть реализованы базовые механизмы безопасности операционной системы.

Ссылка на комментарий
Поделиться на другие сайты

Вопрос впрочем замены уже имеющихся технологий, входящих в Windows (UAC и защищенный режим IE8), остается открытым. Еще немного, и KIS при установке будет рекомендовать отключить UAC (это шутка, конечно). Разработчики в очередной раз решили, что они лучше, чем MS, знают, как должны быть реализованы базовые механизмы безопасности операционной системы.

Видимо, да.

 

От того же пинча песочница сомневаюсь, что защитит, ибо ему нужно только право на чтение, а оно в песочнице есть, так что лично я считаю песочницу просто маркетинговой заманухой, не более того. Если есть желание проверить подозрительную программу, нужна виртуальная машина. Песочница для таких экспериментов опасна.

Ссылка на комментарий
Поделиться на другие сайты

От того же пинча песочница сомневаюсь, что защитит, ибо ему нужно только право на чтение, а оно в песочнице есть

 

частично об этом писали тут

Из Sandboxie FAQ:
It should be noted, however, that Sandboxie does not typically stop sandboxed programs from reading your sensitive data. However, by careful configuration of the ClosedFilePath and ClosedKeyPath settings, you can achieve this goal as well.

Нужно обязательно в нашей Справке на видное место повесить, что Песочница не даёт никаких преимуществ в безопасности при запуске троянцев, ворующих конфиденциальные данные. И хорошо бы тоже иметь настраиваемые пути реальной ФС, запрещённые даже на чтение.

Ссылка на комментарий
Поделиться на другие сайты

upsidicidan,

 

А в Symantec кстати есть песочница? Поделитесь опытом.

Нет. Там знают, что песочница - тип HIPS, при этом, не самый лучший. Поэтому не морочат голову ни себе, ни людям, а делают нормальные эвристик и проактивку.

Ссылка на комментарий
Поделиться на другие сайты

Roman_Five,

 

Тем меньший смысл существует в данной технологии (раз вредоностый код сможет прочитать sensitive данные). Смысл в чем, избежать повреждения данных пользователя? Это скорее технология обеспечения совместимости, чем безопасности. Для обеспечения сохранности данных есть резервные копии.

 

Я согласен, что в определенном смысле данная технология является еще одним слоем безопасности, затрудняющим проникновение в систему.. Вот только не факт, что эта технология имеет высокий cost/benefit, в том смысле, что технология тяжелая, влияющая на производительность, совместимость и проч. Уж лучше бы реализовали Exploit Shield по примеру F-Secure. Более точечно, зато проблем на порядок меньше с совместимостью. Надежная система не должна быть очень сложной, а KIS превращается в безумно сложный продукт.

 

P.S.: Да, я помню, что в KIS есть еще и защита конфиденциальных данных. Только они не обязательно должны лежать там, где считает KIS.

Ссылка на комментарий
Поделиться на другие сайты

Надежная система не должна быть очень сложной, а KIS превращается в безумно сложный продукт.

Полностью согласен. КИС становится безумно сложным, оставаясь при этом существенно глючным, что никак нельзя записать в число его побед. При этом идёт постоянное его отставание от конкурентов на один год, ибо конкуренты придумывают что-то новое, нормально это внедряют, потом, год спустя, ЛК списывает с конкурентов их лучшие достижения, но они при этом работают у ЛК через пень-колоду. Потом продукт за год доводится до ума (но не всегда: KIS 2009 до ума так и не довели), но конкуренты опять оказываются впереди. Что есть КИС 2010? Проактивная защита списана с SEP 11.0, который вышел в прошлом году, интерфейс списан с NIS 2009, который тоже вышел в прошлом году, эвристик - подражание Авире. Так кто же лидер: ЛК или таки конкуренты?

Ссылка на комментарий
Поделиться на другие сайты

upsidicidan,

 

Копирование, само по себе, для пользователей не проблема, это даже хорошо. Меня не интересует степень уникальности используемых технологий, важна лишь их надежность (основанная, в том числе, и на простоте). Потому что когда копируешь - можешь учесть ошибки первопроходца и сделать лучше (если конечно понимаешь суть, а не тупо копируешь). Ну и при сближении функционала увеличивается вероятность снижения цены... Так что пусть копируют на здоровье, просто чтобы качественно выходило и осмысленно. Microsoft тоже большинство технологий скопировала, но это не мешает им быть лидерами рынка.

 

В случае ЛК просто возникают сомнения, что цель для копирования выбрана правильно.

Изменено пользователем SergeyUser
Ссылка на комментарий
Поделиться на другие сайты

Я тоже не возражаю против разумного заимствования. Я лишь возражаю против плохого качества продуктов, характерного для продуктов ЛК начиная с мая прошлого года.

Ссылка на комментарий
Поделиться на другие сайты

Более подробное тестирование "песочницы" показало, что до полной изоляции ей еще далековато. Например, из песочницы можно удалить папку на диске (пробовал удалить папку Far'ом), и она удалится на самом деле. И это называется песочницей? Просто смех.

 

Ладно, баг и баг, однако сам факт его наличия наводит на, скажем так, мысли о несовершенной архитектуре решения, не устойчивой к ошибкам программистов... Я бы еще понял, если бы ошибка приводила к некорректной работе программы в песочнице, это допустимо. Однако простота и возможность выхода за границы говорит о том, что одного неправильного "if" в коде песочницы достаточно, чтобы раз.. и мы уже и не в песочнице. А ведь для песочницы это фактически самый критичный баг, который только можно иметь (потеря изоляции). Совестимость - это уже дело второе, с ней понятно всегда будут проблемы. В итоге поди пойми, сколько еще десятков таких багов позволит "убежать из песочницы" (или будем использовать термин, который прижился в рядах пользователей iPhone - jailbreak :huh: ?)) Пока можно гарантированно утверждать, что убежать весьма тривиально.

Ссылка на комментарий
Поделиться на другие сайты

1. Как именно работает указанная функция? Без четкого понимания, что она делает, сложно оценить ее применимость;

Виртуализирует многие файловые операции и операции с реестром

2. В чем преимущества указанной функции по отношению к пресловутому UAC в Vista+ (который тоже в определенном смысле виртуализирует запускаемые программы и обеспечивает дополнительную изоляцию и контроль прав), какие принципиальные преимущества есть у БСВП от KIS?

В Висте+ пользователь (любой) работает с правами User. Когда необходимо повышение прав, UAC делает запрос пароля Admin или согласие Администратора. Песочница же _виртуализирует_.

3. В чем преимущества указанной функции по сравнению с "Безопасным режимом", реализованным в IE8 (сравнение напрашивается потому, что по-умолчанию KIS добавляет именно IE в список программ для такого sandbox'инга, и больше никакие)?

В том, что Песочница _виртуализирует_.

4. Какой уровень совместимости обеспечивает данная функция с другими программами, помимо IE8 (подозреваю, что с ним все протестировано нормально smile.gif).

Совершенно не однозначно. Песочница предназначается в первую очередь для безопасного серфинга. Я лично тестировал ее на IE 7, 8, Fx 3, Opera, Chrome.

файлы создаются в "своем собственном виртуальном мире"

\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\

Это достаточно серьезная технология, которая впрочем, уже реализована в рамках UAC;

Ничего общего.

Far'у (и дочерним процессам) нельзя обращаться в сеть;

Можно.

t287890_1.PNG

c. Пробуем запустить regedit. Тоже ничего не выходит, получаем ошибку "Служба в настоящее время не может выполнять команды". Видимо тоже безопасность, хотя и не совсем понятно, почему нельзя запустить regedit.

i287895_2.PNG

похожую по поведению на работу UAC

Вы нашли что-то общее?

Вопрос впрочем замены уже имеющихся технологий, входящих в Windows (UAC и защищенный режим IE8), остается открытым

Нашли что-то общее?

От того же пинча песочница сомневаюсь, что защитит, ибо ему нужно только право на чтение, а оно в песочнице есть

Да. А еще есть PDM, который пинча и поймает. Или ловим фишинговые сайты файловым антивирусом?

Там знают, что песочница - тип HIPS

Да

при этом, не самый лучший

Зеленый цвет - это часть белого. При том не самая лучшая.

Поэтому не морочат голову

Знаний и опыта на разработку не хватает просто

а делают нормальные эвристик и проактивку.

Которые плохо показывают себя на тестах.

 

Так. Сейчас я сниму на телефон видео, если найду того зверька. Поймете, что такое SandBox.

Ссылка на комментарий
Поделиться на другие сайты

Umnik,

 

У вас, судя по всему, отключен UAC. А вы его включите и попробуйте снова. Или порекомендуете всем его (UAC) отключить?

 

Теперь по некоторым пунктам:

 

- Технология виртуализации, если вам не известно, встроена и в Windows Vista, и включается тогда, когда вы включаете UAC. Она более локальная, но тоже виртуализирует часть файловой системы и реестра. Вы даже можете увидеть статус виртуализации в Task Manager'е на закладке Processes (колонка Virtualization);

 

- Что именно не однозначто касательно совместимости? Вот расскажите мне, например, если я хочу использовать в песочнице, к примеру, IM-клиенты (возьмем для примера Live Messanger, идущий в стандартной поставке), то сколько я буду возиться, чтобы все сохраняемые и нужные мне файлы в итоге сохранялись на постоянной основе (речь про настройки и про журналы отправленных и полученных сообщений), а не в неконтролируемом и непрозрачном черном ящике, в котором KIS сохраняет локальные для приложения копии файлов?

 

- Обращение в сеть - я привел простой тест. Включите UAC и те снова;

 

- Запуск дочерних процессов, которые контролирует UAC (вроде regedit) - включите UAC и попробуйте еще раз.

 

Что касается механизма работы функции в целом. Это конечно полезно знать, что она "виртуализирует". Однако виртуализация виртуализации рознь. А вот рассказать подробности, указать, что например при первой записи в файл он целиком (вне зависимости от объема) копируется и создается локальная копия, и больше данное приложение уже никогда не увидит внешней копии, это важно. Тут есть куча альтернатив, и понимание того, как _именно_ происходит виртуализация в отдельных случаях, какие _исключения_ используются при виртуализации (что и при каких условиях не виртуализируется), при каких типичных условиях виртуализация будет давать отрицательный эффект - вот это все было бы полезным для специалистов и продвинутых пользовтаелей.

 

Umnik,

 

К вам дополнительный вопрос. В техническом релизе (9.0.0.459) отсутствуют какие-либо настройки безопасной среды (профили и проч.), хотя, судя по скриншотам на официальном форуме, в предварительных версиях были какие-то доп. настройки (правда указанные, как отладочные). С чем это связано - в окончательной версии и для пользователей не предполагается какие-либо настройки предоставлять?

Изменено пользователем SergeyUser
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Камиль Махмутянов
      От Камиль Махмутянов
      Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
      CollectionLog-2024.11.13-14.42.zip
    • zimok
      От zimok
      Добрый день!
      Прошу подсказать, возможно у кого были подобные проблемы, но суть такая, имеется Kaspersky Security Center версии 14.2.0.26967, работающий под ОС Windows Server 2019, имеются управляемые устройства под ОС Linux (Ubuntu), на которые установлены и агенты администрирования и сами компоненты защиты Kaspersky endpoint security 12 for linux, версии 12.0.0.6672, агенты администрирования версии 15.0.0.12912. Агенты администрирования доступны и синхронизируются с KSC, подключение происходит, но вот сама суть проблемы в том, что на устройствах при выключенных компонентах защиты, допустим через тот же KSC, не получается запустить их обратно, то есть в разделе устройства "Программы" при попытке запустить компонент защиты, KSC очень долго думает, останавливая процесс в одном положении (скрин ниже) и после продолжительного времени, он сообщает о ошибке запуска, хотя повторюсь, остановить защиту удалось на этом же хосте ,но вот запустить нет, и агент администрирования также работает и синхронизируется. 
      Проблема в целом не на одном хосте, она массовая, в целом устройства не удается таким образом удаленно запустить компоненты защиты, может кто сталкивался и понимает хотя бы в каком направлении изучать проблему ? 
      Возможно KSC сам какие-либо патчи нужны или еще что, с точки зрения сети устройства в одной подсети, и в tcpdump трафика вижу общение по 13000 порту успешно.

      Прикладываю скриншот проблемы, когда нажимаю запуск и в каком положение останавливается. К слову пробовал через задачи и запускал "Запуск и остановка программы" результат по сути тот же, только там она просто висит в процессе и всё.


    • TSN_prm
      От TSN_prm
      Добрый день.
      KSC Linux 15.0
      KES Linux 12.0
      Кесы на связи с KSC, приложение останавливается-запускается, лицензия подгружена, задачи на поиск вр-го ПО и локальные выполняются, а задача по обновлению завершается статусом "Сбой", в результатах:
      Application databases update error (Initiator: Product; Runtime task ID: 72; Task type: Update;) и Task failed (Initiator: Product; Runtime task ID: 72; Task state: Stopped; Task type: Update; Reason: InternalError;).
      Подскажите, пожалуйста, как понять конкретную причину Reason: InternalError, в каких логах смотреть.
      Пробовал очищать хранилище баз в KSC и загружать новые. Переустановка клиента тоже не помогает. 
       
      Так же, на некоторых тачках есть проблема с лицензией (лицензионный ключ один единственный в KSC) но на некоторых статус "защита выключена", в компонентах "не поддерживается лицензией", задача по добавлению ключа падает в эту же InternalError. Всё перепробовал, в т.ч. удалить из KSC, потом еще локально на тачке, ребут, установка из KSC новой 12.1 версии - ничего не помогает, хелп, плиз!
    • Good2000
      От Good2000
      Мне нужно было зайти в безопасное систему для удаления файла в итоге после того как я зашел в безопасный режим и перезагрузил ПК win 11 монитор стал черным и не включается.Но сам по себе компьютер работает я  доставал провода и включал выключал монитор все четно.Поэтому не понимаю что произошло и как это пофиксить(
    • Milkuf
      От Milkuf
      При установке Kaspersky free на этапе установки защиты от вымогателей(≈70%) программа сама закрывается.

×
×
  • Создать...