Windows Firewalls, Comodo Firewall Pro, Armor Personal Firewall, Outpost, tests, Comodo IDefense+ engine, hooks

Windows Firewalls: novità sui vari programmi e la versione 3 di Comodo Firewall Pro

24 Novembre 2007

Già in un precedente post avevo parlato dei Firewall per Windows e dei test comparativi che possono essere trovati sul web. Due giorni fa mi sono installato la versione 3 di Comodo Firewall Pro (che da circa 1 anno è il mio preferito) e devo dire che ha un sacco di funzionalità in più rispetto alla versione precedente (la 2.4): ad esempio ha l'engine Defense+ che consente un dettagliato monitoraggio del sistema; ad esempio consente di definire File, Cartelle e Voci di Registro da tenere sotto controllo e rilevarne in tempo reale eventuali tentativi di modifiche. Le opzioni sono tante e ben dettagliate e rimando all'utilizzo diretto del programma per analizzarsele per bene. E' possibile settare vari livelli di controllo sia sul Firewall sia sul Defense+. I livelli più alti vanno impostati solo in caso di necessità di controllo ultradettagliato di ciò che gira sul nostro sistema, non sono applicabili in un normale contesto lavorativo in quanto vengono segnalate tutte le paranoie possibili ed è tutto un blocco e popup. I requisiti di sistema sono i seguenti

Windows XP – 32 and 64 bit versions
Windows Vista – 32 and 64 bit versions
64 Mb RAM
50 Mb free disk space

quindi un'ampia gamma. Per chi ha ancora Windows 2000 viene tuttavia consigliata ancora la versioneprecedente (la 2.4). Devo provarlo su Windows 2003 e Windows 2003 R2 (bohh... dovrebbe andare, anche se ... bohh è da provare, adesso mi installo Tiny2003 su VMWare poi proviamo).

Durante l'installazione vi sono varie opzioni che vengono proposte: fregatevene se non sapete cosa scegliere (è normale ...) e lasciate i valori di dafult oppure scegliete quelli che volete tanto poi, una volta installato, potrete impostare tutto dalla intuitiva interfaccia grafica del programma. Il programma ha la sua TrayIcon a forma di scudo bianco e da lì si apre un menù semplice e diretto. La voce Open consente di aprire la GUI principale del programma,organizzata molto bene in categorie. Poi ci sono le 2 voci in alto che consentono un rapido settaggio dei livelli di monitoraggio del Firewall (Firewall Security Level) e del Defense+ (Defense+ Security Level).

Firewall Security Level:

Block All Mode
Custom Policy Mode (normalmente uso questo valore)
Train with Safe Mode
Training Mode
Disabled

Defense+ Security Level

Paranoid Mode
Train with Safe Mode
Clean PC Mode
Traing Mode (normalmente uso questo valore)
Disabled

Con la GUI principale (voce Open) si può entrare poi molto nel dettaglio e lascio a voi il compito di essere mossi dalla curiosità ed analizzare le varie impostazioni che, come già detto in precedenza sono molto ben organizzate i gruppi e categorie.

Voglio finire il discorso relativo a Comodo Firewall Pro portando un esempio del Defense+ all'opera in modalità Paranoid Mode; ho preso un programma che avevo fatto un paio di mesi fà e che consente di ottenere gli hash delle password di Windows relativamente al sistema su cui è in esecuzione il programma. Utilizza lo stesso approccio usato da Todd Sabin nel suo programma Pwdump2. Tuttavia non utilizza una dll aggiuntiva da mappare nello spazio di memoria di lsass.exe per prelevare gli hash ma realizza il tutto tramite Code Injection su lsass.exe. In soldoni il comportamento del programma è il seguente:

allocare nello spazio di memoria del processo lsass.exe, un'area di memoria tale da contenere dati e codice da eseguire; l'allocazione avviene tramite l'api win32 VirtualAllocEx e la copia di codice e dati tramite l'api win32 WriteProcessMemory ; prima però occorre abilitare il Privilegio di Debug. Eseguire il codice nel contesto del processo remoto (lsass.exe) tramite l'api win32 CreateRemoteThread ; gli hash ottenuti dal codice eseguito in remoto vengono spediti al processo corrente (il programma che stiamo eseguendo, tanto per intenderci) tamite un Kernel Object di tipo Named Pipe.

Il programma è scaricabile (binari e sorgenti, in doppia versione GUI e Console) all'indirizzo seguente

http://pasotech.altervista.org/delphi/codice/HashesDumper.7z

Useremo l'eseguibile GUI_Version\Bin\HashesDumper.exe

Ecco come interviene Comodo Firewall Pro durante l'esecuzione del programma:

1) Metto l'eseguibile (di un eseguibile nudo e crudo si tratta) sul Desktop e faccio doppio click:

Rileva che stò per eseguire il programma

Mi appare il programma

Rileva l'accesso allo spazio di memoria di ctfmon.exe : Mi ritrovo con il programma aperto e pronto per l'uso e mi viene mandato in popup questo tentativo di accesso allo spazio di memoria di ctfmon.exe; niente di preoccupante, ctfmon.exe fa parte di Office: per maggiori informazioni al riguardo rimando a delle sane ed istruttive ricerche sul web.

2) Bene, ora il programma è pronto per l'uso: click sul pulsante "Dump Hashes"

Rileva il tentativo di accesso allo spazio di memoria di lsass.exe

Rileva la richiesta di abilitazione del Privilegio di Debug

... e a questo punto vengono visualizzati gli Hash.

Queste sono solo alcune delle tante cose che vengono rilevate dall'engine Defense+; tenetela abilitata nei livelli più alti e praticamente vi rileverà un pò di tutto.

Bene, terminerei qui con la questione di Comodo Firewall Pro e proseguirei con le novità nei campo dei Firewall per Windows. Facendo riferimento ai test comparativi presenti all'indirizzo

http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php

ho potuto notare che dai primi di Novembre, nei test il buon Comodo Firewall Pro v2.4 è stato scalzato dalla sua posizione di predominio da 2 Firewall che ora si contendono il titolo di Number One; per carità, Comodo Firewall Pro 2.4 è subito lì dietro a poche lunghezze di distanza (e poi ancora non hanno fatto i test con la versione 3) tuttavia è interessante notare i 2 Firewall che si trovano ora in testa a parimerito

Online Armor Personal Firewall 2.1.0.19 Free : è disponibile in varie versioni di cui una freeware ed è su questa che sono stati condotti i test
Agnitum Outpost Firewall Pro 2008 6.0.2162.205.402.266 : è un firewall a pagamento (è comunque disponibile una versione trial di 30 giorni), celebre e rinomato già da un pò di anni.

E' bello vedere che anche in questo caso al primo posto c'è un prodotto freeware (Online Armor Personal Firewall): la compatibilità è con Windows NT/2000/XP (penso che si limiti alla versioni a 32 bit di XP); Vista non è supportato e, a quanto pare hanno appena cominciato ad analizzare la possibilità di creare una versione sufficientemente efficace per Vista; detto tra noi, non mi interessa se rilasceranno o meno in futuro una versione per Vista. Nel sito c'è anche il link a dei test che sono stati condotti da Nicm per verificare la capacità di una decina di applicativi (ivi incluso Armor Personal Firewall) di annullare eventuali tentativi di chiusura o disattivazione da parte di malware (i vari virus et similia cercano sempre di chiudere programmi antivirus o firewall e compagnia bella o in ogni caso di disattivarli). Entrando più nello specifico viene esaminata la capacità del software di protezione di evitare che l'eventuale malware vada a disabilitare gli hook settati su diverse api di Windows rendendolo quindi incapace di rilevare l'operato del malware stesso. Armor Personal Firewall si è classificato secondo dopo Process Guard.

Penso che sicuramente me lo installerò a breve e farò un pò di prove ...