Synd for Comodos ry og omdømme

Skrevet af OracleJMT
http://www.spywarefri.dk/images/nyheder/comodo.png
  
OracleJMT slår et forsvar for sikkerheden fra Comodo, som han ikke mener helt får den rette bedømmelse alle steder.


Der skal ikke herske nogen tvivl om, at Comodo Internet Security (CIS), eller Comodo Firewall, ikke er nemt at anvende.

Det er det først og fremmest ikke, fordi det har et avanceret HIPS (Host-based Intrusion Prevention System), der kommer med alarmer i ny og næ. At Comodo ikke er for alle og enhver, er jo så til at tage at føle på. Der skal heller ikke herske nogen tvivl om, at sikkerheden i CIS / Comodo Firewall ligger helt i top sammen med betalingspakkerne fra Kaspersky, ESET osv.

Der opstår dog en del misforståelser omkring CIS specielt inde i forum. En af de mange ting, der irriterer mig lidt, er, at mange tror, at CIS kommer med alarmer hele tiden, og at firewallen skal i learning mode, og jeg ved ikke hvad. Firewallen behøver slet ikke blive berørt. Ligeledes CIS’ HIPS (Defense+) - CIS er efterhånden blevet så godt, at det virker out-of-the-box. Man skal med andre ord ikke ændre ved instillingerne.

Og hvorfor så det?


Comodo har en gigantisk whitelist, der gør, at CIS automatisk vil tillade mange programmer og filer. Jeg har faktisk engang forsøgt at slette samtlige entries i whitelisten. Det lykkes mig ikke. Den var for stor. Microsoft, nVidia, Intel, næsten det hele, undtaget selvfølgelig skadelige filer, er listet dér.

Og hvad så med firewallen? Tja, den læner sig også op ad whitelisten, så hvad resten af CIS tillader, tillader firewallen også.

Hvordan fungerer beskyttelsen så?


Beskyttelsen fungerer således:

Scenarie #1
Du kører en suspekt fil, og har antivirusset filen blacklistet, bliver den skadelige fil stoppet.

Scenarie #2
Du kører en suspekt fil, men den er ikke på antivirussets blacklist, og den er ikke digitalt signeret, og den er ikke på whitelist. Den er heller ikke i cloud whitelist eller i cloud blacklist. Så den bliver isoleret i den automatiske sandbox og kan derfor ikke gøre nogen skade på systemet.

Du kan sende filen til Comodo, og de vil så give den enten en antivirus signatur og filen vil blive slettet fra systemet, eller (hvis det viser sig, at den er legal) blive sat i trusted files, og ud af sandboxen.

Vil filen så forsøge at lave forskellige ting ved systemet, selvom den er i sandboxen, vil der lyde en alarm, der højst sandsynligt med fed skrift vil fortælle dig, hvad du helt sikkert bør gøre i den givne situation. Vil filen ringe ud af systemet til sin herre, vil firewallen komme med en alarm, og igen med fed skrift fortælle, hvad du skal gøre.

CIS har altså:
Antivirus
HIPS (Defense+)
Whitelist
Tovejs firewall
Cloud behaviour analyse
Cloud blacklist/antivirus
Cloud whitelist
Automatisk sandbox

Og altsammen gratis.

Der kan så købes support i PRO versionen, men beskyttelsen er uændret. Man får altså med andre ord ikke mere sikkerhed med betalingsversionen, end man gør i den gratis.

Hvorfor dette indlæg?


Fordi jeg er ked af, at CIS i den grad er blevet sværtet til igennem tiden. Ganske uberettiget. Enten fordi folk simpelthen har misforstået programmet og/eller dets måde at beskytte på, eller fordi man har installeret CIS på en inficeret computer, eller på en computer, hvor der i forvejen er andet sikkerhed installeret, eller rester af gammel sikkerhed.

Og så er det synd, at de, der har misforstået CIS, ikke har fået hjælp. Det kunne de have fået i Comodo Forum. Det kræver selvfølgelig engelsk-kundskaber, men der er jo også en del der faktisk kan engelsk, men som stadig har misforstået CIS. Jeg håber, at Perhaps og andre vil kigge mere nøje på CIS, da CIS yder fremragende gratis beskyttelse.

Selvfølgelig kræver CIS, at man kan finde ud af at bruge det. Og kan man ikke det, synes jeg bestemt også, at man skal købe sig en god sikkerhedspakke i shoppen.

Men det er ikke det samme som at skrive "undgå Comodo" som på Softwareguides.dk eller "jeg kan ikke anbefale det." Jojo, det er da fair nok, at man ikke selv kan anbefale det. Men hvor meget har man så prøvet det eller sat sig ind i tingene? Jeg brugte lang tid på at læse mig frem til, hvordan CIS beskytter. Det kræver blot, at man kan lidt engelsk.

Jeg håber, at flere vil få øjnene op for Comodos styrker. For jeg kender ærligt talt intet, som i de rette hænder kan beskytte så godt, som CIS kan. Jeg håber også, at tonen bliver mere fair overfor Comodo, end den har været. En ting er at have dårlige erfaringer, men en anden ting er at blackliste noget, der kan beskytte så godt.

Det kan være frustrerende, at forsvare et produkt, som man holder af. Det ved jeg ikke, om der er nogen herinde, der kender til?

Kommentarer
Skrevet af: pixxel den 16. Jun 2012 10:04
pixxel's billede
Skrevet af: OracleJMT den 16. Jun 2012 12:30

I virkeligheden behøver CIS slet ikke blive testet i Matousec. Programmet har en fremragende beskyttelse. Hvis man spørger i de store fora rundt omkring, vil samme konklusion gøre sig gældende. At CIS har en fremragende beskyttelse. Jeg kan slet ikke forstå hvorfor alle lige pludselig bliver i tvivl, om CIS beskytter godt, eller ej. Det er alment kendt, at det i de rette hænder har noget af det bedste beskyttelse overhovedet, takket være Defense+. Uden Defense+ ville CIS slet ikke give den samme beskyttelse.

OracleJMT's billede
Skrevet af: OracleJMT den 16. Jun 2012 12:48

Desuden, pixxel, er Matousec den eneste test organisation, der tester dynamisk, dvs. ikke bare tester et antivirus for malware det allerede kender, men tester programmers HIPS helt igennem. De fleste test organisationer, tester ikke dynamisk, men statisk. Dvs. de tester detektion af antivirus. Hvad så med alt det zero day/zero hour malware, som et antivirus ikke kender, og dermed ikke kan stoppe?

OracleJMT's billede
Skrevet af: pixxel den 24. Jun 2012 15:08

Med dynamisk mener du vel behavior.

http://www.av-test.org/en/tests/test-modules/protection/

pixxel's billede
Skrevet af: pixxel den 24. Jun 2012 15:13

“I virkeligheden behøver CIS slet ikke blive testet i Matousec”

Hvordan vil du så finde ud af om det er et godt program, ved at læse hvad Comodo skriver !!!!!!

pixxel's billede
Skrevet af: OracleJMT den 24. Jun 2012 17:41

Fornemmer jeg en aggressiv tone? Det synes jeg ikke vi behøver, for at debattere.
Hvordan jeg har fundet ud af, hvor godt CIS beskytter, bevæger på egne tests af kendt og ukendt malware. Og når jeg siger ukendt malware, mener jeg zero-day/zero hour. Jeg har set massevis, og jeg gentager massevis af test-videoer fra seriøse testere, der har testet CIS helt igennem. Og ja, jeg har et indgående kendskab til, hvordan CIS beskytter.
Men jeg gider ærlig talt ikke sidde og forsvare mig selv.
Du kan selv finde ud af hvorfor CIS beskytter så godt, som det gør. Det er ikke min opgave at overbevise dig om det.

Med dynamisk test, mener jeg test af HIPS, ikke behaviour. Der er forskel på HIPS og behaviour blokkere.

OracleJMT's billede
Skrevet af: pixxel den 24. Jun 2012 18:43

“Fornemmer jeg en aggressiv tone? Det synes jeg ikke vi behøver, for at debattere.” ????

Ja jeg beklager du ikke kan få ret i alt, næ der er ikke andet end almindelige argumenter i mine argumenter.

Og fordi du ikke kan få ret i alt, betyder det så at der er noget galt
i den måde vi andre ser på Comodo på.

Nå men jeg må altså konkluder at der ikke er andet end din egen forståelse af Comodo til grund for at du syntes det er et godt program.

Hverken AV TEST eller AV Comparativ gider at beskæftige sig med Comodo.

pixxel's billede
Skrevet af: OracleJMT den 24. Jun 2012 19:23

Jeg prøver skam ikke at få ret i alt. Der er da bestemt noget du tager fejl af dér. smile

Men det er klart, at når der er noget man brænder for, som så bliver misforstået, eller på andre måder sværtet til, så kæmper jeg altså for det. Men jeg gider altså ikke at sidde og forsvare mig selv. Jeg er ikke repræsentant for Comodo, jeg er almindelig bruger, der har sat mig godt og grundigt ind i tingene. CIS taler for sig selv. Og Comodo, som firma, har valgt traditionelle tests fra, da de tester på en gammeldags måde, hvilket kun inkluderer on-demand shell-context/right-click & scan, og ikke decideret test af HIPS.
Så det er altså ikke fordi, at Av-test, eller Av Comparatives har valgt Comodo fra. Comodo har valgt DEM fra. smile

Men jeg skal da gerne gentage: Jeg prøver IKKE at få ret. Hvad skulle jeg få ud af det? Derimod forsøger jeg, at kæmpe for et produkt, som jeg VED beskytter godt, men ikke nødvendigvis er for den almindelige bruger.

Og jeg vil så herefter frabede mig flere personangreb, tak!

OracleJMT's billede
Skrevet af: pixxel den 25. Jun 2012 11:25

Jeg tror på fair play, man går efter bolden ikke efter manden Hvordan mine indlæg bliver opfattet er jeg ikke herre over.

Dette indlæg må gerne slettes

pixxel's billede
Skrevet af: pixxel den 25. Jun 2012 11:30

Jeg tror på Fair play, man går efter bolden ikke efter manden. Hvordan mine indlæg bliver opfatter er jeg ikke herre over.

pixxel's billede
Skrevet af: OracleJMT den 25. Jun 2012 16:46

Det er virkelig vigtigt, at man er klar over, hvordan et HIPS fungerer, særligt hvordan Defense+ i Comodo fungerer, før man kan diskutere hvor godt Comodo beskytter. For som jeg før har sagt, og også skriver øverst på siden, så beskytter Comodo således:

Kender CIS’ antivirus filen, bliver den stoppet.
Enhver ukendt fil, som antivirusset ikke kender, der ikke er digitalt signeret, eller ikke er på Comodos whitelist, vil blive automatisk sat i isolation, så den ikke kan gøre noget ved systemet. Filen slettes derefter fra systemet efter en genstart. Det kan vi kalde Default Deny.

En almindelig sikkerhedspakke uden et HIPS, eller BB fungerer således:

Kender antivirusset filen, bliver den stoppet.
Kender antivirusset i sikkerhedspakken ikke filen, får den lov til, at køre. Det kan vi kalde Default Allow.

Derfor er det muligt for CIS, at stoppe enhver trussel, kendt som ukendt, og kan altså beskytte med 99.99% mod kendt og ukendt malware. Ikke 100%. Det kan ikke lade sig gøre.

———> Hvis man altså er avanceret nok til, at bruge det ordentligt.

Sådan fungerer Comodo Internet Security, og det er ikke min personlige mening, det er et urokkeligt faktum.
Hvor mange sikkerhedspakker fokuserer på detektion, som “The First Line Of Defense,” fokuserer Comodo “Prevention As The First Line Of Defense.”

Så hvis vi skal gå tilbage til snakken om Matousec, så vil der nok altid være kritiske røster og konspirationsteorier, fordi der her tales om simulerede malware tests, og ikke ægte malware, men pixxel, jeg har set utallige beviser på, at CIS kan stoppe kendt, som ukendt malware i adskillige real world videoer med seriøse testere.

Hvorfor skal der sås tvivl, om det jeg siger? Jeg er da et ærligt menneske, og har ingen bagtanker ved, at oplyse om Comodo’s beskyttelse.

OracleJMT's billede
Skrevet af: pixxel den 25. Jun 2012 23:30

Jeg kan da godt se at du er en varm fortaler for Comodo og umiddelbart virker det også som om Comodo Internet Security er et godt sikkerheds program.

Der bliver dog ofte stillet spørgsmålved Antivirus delen af CIS.

Et godt HIPS har andre firewall også, som foreksempel Online Armor eller Zonealam.

Men hensyn til Matousec undre det mig at man tester på Windows XP SP3 og med Internet Explore 8.

Methodology and rules

http://www.matousec.com/projects/proactive-security-challenge/

Endvidere skal man indstille CIS til maximum sikkerhed for at få det bedste sikkeheds resultat, hvor mange almindelige bruger har forstand på det.

Citat fra matousec

“The products are configured to their highest usable security settings and tested with this configuration only”

Selv om matousec mener at enhver kan indstille CIS til det højeste sikkerheds niveau, er det nok de færreste der kan det.

HIPS er jo en udmærket opfindelse det skulle jo holde filer der ikke kan genkendes væk fra computeren.

Det vil jo så være op til den enkle bruger om man kan at tolke de advarsler der kommer fra CIS. Kan man ikke det, kan det måske være lige meget om der et stærk HIPS.

I sidste ende er det brugeren der er det svage led.

pixxel's billede
Skrevet af: OracleJMT den 26. Jun 2012 02:49

Jeg må lige korrigere dig lidt her. Håber det er i orden smile

1. Zonealarm har ikke HIPS. Det har Online Armor derimod.

2. Det kan da godt være, at Matousec har valgt at indstille CIS til maximum, men det er ikke et nøde. CIS beskytter lige så godt, og er langt mere brugervenligt i standardinstillingerne. - Instillingen “Proactive Security” er den der giver “lidt” mere sikkerhed, men ikke meget. Standardinstillingerne er i de fleste tilfælde mere, end rigeligt.

Hvorfor undrer det dig, at der bliver testet på XP med SP3 og IE 8? Da sikkerhedsprogrammernets beskyttelse ikke er afhængige af systemet, er det faktisk fløjtende lige meget i hvilke rammer det bliver testet. Hvis du tænker på sikkerhedshuller vil det heller ikke være noget problem, for Matousec tester slet ikke real world malware på sikkerhedsprogrammerne, derimod simuleret malware.

Hvis det endelig var, at et ikke opdateret system og browser skulle have en effekt, skulle der downloades og køres et exploit, som udnyttede hullet, og det ville f.eks Comodo også kunne blokere for med sit HIPS.
Det har altså med andre ord ingen effekt, om sikkerhedspakken så blev testet i Windows 98. Det er sikkerhedspakkens kvalitet der testes. Ikke systemets.

Joh, Comodo Antivirus er ikke af højeste kvalitet, men deres signaturer er blevet meget bedre, siden Comodo startede med at implementere Comodo Antivirus i Comodo Internet Security i 2008. Der er stadig lidt problemer med lidt falske positiver, men overordnet set er det ikke det store problem, da det efterhånden bliver mere og mere sjældent. Hvad AV delen ikke snupper, det snupper den automatiske sandbox, og brugeren kan ydermere blokere med HIPS’et. smile

OracleJMT's billede
Skrevet af: pixxel den 26. Jun 2012 12:42

Der må være en grund til at AV TEST tester på forskellige styresystemer.

http://www.av-test.org/en/tests/home-user/

pixxel's billede
Skrevet af: pixxel den 26. Jun 2012 12:56

Selv Microsoft hævter at der er forskel på de forskellige styresystemmer.

http://www.channelworld.dk/art/193495/xp-har-mere-malware-end-windows-7

pixxel's billede
Skrevet af: OracleJMT den 26. Jun 2012 13:56

Tror hurtigt vi kan blive enige om, at XP er mere ramt af malware, men det har stadig ikke nogen betydning for de tests Matousec bruger.

OracleJMT's billede
Skrevet af: lars c den 18. Jul 2012 23:57

god guide tak for det grin mvh lars

lars c's billede
Seneste artikler
Ringet op af Microsoft?

Et par brugere har gjort os opmærksomme på et svindelnummer, som det er en god idé at være opmærksom på - et skoleeksempel på social engineering.

SSL: Hvornår og hvordan?

Et SSL certifikat er en kryptering, der beskytter en hjemmeside mod uønskede gæster. Det er især vigtigt at have en SSL kryptering på sin hjemmeside, hvis man har personlige oplysninger om siden brugere og kunder liggende.

Mere tid til dig selv

Den moderne tidsalder er efterhånden en overstået æra. Snart må det være den hypermoderne tidsalder, der tager over. Vi er blevet mobile, computere er allemandseje og de fleste af os er så dybt afhængige af computere i vores dagligdag, at de danner grundlag for vores job og karriere.

Hjælp til langsom computer

Du kender det sikkert: Du skal lige starte din computer, fordi du skal ordne noget vigtigt, men din computer er en krig om at starte op.

Webshops reklamerer fortsat analogt

Vi skriver 2017, og det er efterhånden mange år siden, at de første danske webshops så dagens lys. Alligevel er mange webshops fortsat dybt afhængige af analoge offline reklame og gode gammeldags skilte, for at overleve på det store, farlige internet.

Seneste nyt
SSL: Hvornår og hvordan?

Et SSL certifikat er en kryptering, der beskytter en hjemmeside mod uønskede gæster. Det er især vigtigt at have en SSL kryptering på sin hjemmeside, hvis man har personlige oplysninger om siden brugere og kunder liggende.

Mere tid til dig selv

Den moderne tidsalder er efterhånden en overstået æra. Snart må det være den hypermoderne tidsalder, der tager over. Vi er blevet mobile, computere er allemandseje og de fleste af os er så dybt afhængige af computere i vores dagligdag, at de danner grundlag for vores job og karriere.

Hjælp til langsom computer

Du kender det sikkert: Du skal lige starte din computer, fordi du skal ordne noget vigtigt, men din computer er en krig om at starte op.

Webshops reklamerer fortsat analogt

Vi skriver 2017, og det er efterhånden mange år siden, at de første danske webshops så dagens lys. Alligevel er mange webshops fortsat dybt afhængige af analoge offline reklame og gode gammeldags skilte, for at overleve på det store, farlige internet.

IT-sikkerhed når du spiller poker

Hvad gør pokersiderne for at beskytte deres spillere mod svindlere og malware - og hvad kan du selv gøre?