Comodo Internet Security 3.13

Här följer beskrivningar av de tre delar som utgör Comodo Internet Security:

Comodo Internet Security 3.13, Antivirus

Antivirus är den ”reaktiva”, detekterande, delen i CIS. Det speciella med Comodo Antivirus är minnesskannern, d.v.s. att allt som exekveras i arbetsminnet skannas där. Poängen med denna skanning är att skadliga filer som är packade, krypterade, eller på annat sätt lyckas undgå upptäckt vid normal skanning, är det möjligt att detektera det i minnet, vid exekvering, då den packade/krypterade filen måste packas upp eller dekrypteras för att kunna instruera processorn. Comodo har koncentrerat skanningen till de områden där ”hot” kan utgöra verkliga hot: hårddisken (och andra media) och arbetsminnet. Särskilda skannrar för webb, nätverk, e-post, snabbmeddelandeklienter, p2p-klienter är bortrationaliserade. Läs mer om tankarna bakom detta ställningstagande i Anatomy of a Desktop Security Product av Comodos VD, Melih Abdulhayoglu.

I CIS 3.9 infördes en ”spårande” (eng. Stateful) realtidsskanningsmetod. Denna metod går ut på att en fil endast skannas en gång, tills definitionsdatabasen uppdateras eller filen ändras. Då så sker, skannas filen igen. Det som ”spåras” är om filen ändras, och i så fall behöver skannas igen.

Vid lanseringen av CIS 3.5 var antivirusdelen påtagligt svag, särskilt på att detektera äldre hot, jämfört med konkurrerande program, men ett år senare, då CIS 3.12 testades var resultatet kraftigt förbättrat. Här är resultaten av de statiska detektionstest som Malware Research Group (MRG) har utfört

Då MRG i september skannade 50 000 skadliga filer från juni, juli, augusti, september, missade CIS 153 filer. Detektionsgrad: 99,69 %.

Dessa siffror säger förstås inget om hur effektivt CIS som helhet är som skydd, men däremot en del om hur just detektionen har förbättrats på ett år.

Comodo Internet Security 3.13, Brandvägg

Brandväggen kontrollerar vilka program som skall tillåtas ansluta till, eller ta emot en anslutning från, Internet. Den ger med andra ord en detaljerad kontroll över både utgående och inkommande anslutningar. Det är med Lönnportsguiden möjligt att göra datorn osynlig från nätverket, bra särskilt om man inte är skyddad av en extern brandvägg  i en router. 

Liksom för Systemskyddet, är grundenpolicyn för brandväggen Default Deny Protection™, så att allt som inte är känt som säkert nekas åtkomst till nätverket, i väntan på användarens beslut. Säkra program får automatiskt tillåtelse att ansluta till Internet (utgående anslutning), men inte att ta emot en anslutning från en annan dator, eftersom en inkommande anslutning kan innebära ett större säkerhetshot. Att ta emot anslutningar från andra datorer är dock en normal aktivitet för vissa legitima program som använder ”p2p”-nätverk (peer-to-peer, d.v.s. klient-till-klient-nätverk), där två eller flera datorer är direktanslutna till varandra. Vanliga exempel på p2p-tillämpningar är fildelningsklienter (t.ex. µTorrent), snabbmeddelandeklienter (t.ex. Skype) och tjänster för mediaströmning (t.ex. Spotify). Använder man säkra p2p-program, kan man tryggt tillåta anslutningen. För övriga program bör man dock inte tillåta inkommande anslutningar.

Vill man ha full kontroll över både utgående och inkommande anslutningar även för säkra program, kan man ändra brandväggens säkerhetsnivå från Tryggt läge till Anpassad.

I Brandväggsbeteendeinställningar, Varningsinställningar kan man ange olika varningsnivåer, alltefter vilken grad av kontroll över nätverksanslutningar man vill ha. Där kan man också avmarkera alternativet Den här datorn är en internetanslutningsgateway, om inga andra datorer ansluter till Internet genom den datorn.

Comodo Internet Security 3.13, Systemskydd

Systemskyddet, i original kallat Defense+, är ett kraftfullt intrångsskydd. Det skyddar viktiga filer och mappar (t.ex. alla systemfiler och -mappar skyddas som standard, så att program inte kan lägga till, ta bort eller modifiera filer i systemmapparna), registernycklar, COM-gränssnitt m.m. 

Ett program kan således tillåtas exekvera (köra), men inte få tillgång till någon del av systemet, det körs helt isolerat, och kan därför ej orsaka någon skada. Ett potentiellt skadligt program kan oskadliggöras genom att hållas i ett järngrepp med Systemskyddet. Utöver rättigheter, kan man ställa in skyddsalternativ för processer.

Skydd mot processavslutningar och minnesåtkomst är som standard aktiverade för CIS, och det innebär att andra program inte kan manipulera eller avsluta CIS-processerna (cmdagent.exe och cfp.exe).

Buffertöverskridning, eller skalkodsinjektion är en teknik som många skadliga program tillämpar, och som utnyttjar svagheter i andra program. Internet Explorer, QuickTime Player, Adobe Flash Player och Adobe Reader/Acrobat är populära program som framgångsrikt har utnyttjats av skadliga program som har kunnat injicera skalkod i dem, för att kunna kontrollera systemet. Programutvecklare försöker givetvis att eliminera de svagheter som möjliggör buffertöverskridningsattacken, men denna åtgärd kommer först efter att andra har upptäckt och utnyttjat svagheten, d.v.s. då den redan har ställt till skada i många datorer, och i många program tycks svagheter finnas också efter åtskilliga uppdateringar avsedda att lösa problemet. Därför är det värdefullt att ha ett proaktivt skydd mot denna typ av attack, oavsett vilket program attacken riktas mot, eller vilken sårbarhet i det programmet som utnyttjas.

Även om Systemskyddet i första hand är ett ”klassiskt” intrångsskydd (Classical HIPS), tillämpar det också beteendeanalys. Med heuristisk analys kan det bedöma att det troligen är fråga om ett skadligt beteende. Då denna varning visas, bör man avslå begäran, om man inte vet att det är ett säkert program som får Systemskyddet att detektera ett skadligt beteende. Denna heuristik lanserades med CFP 3.0, och vid lanseringen påstod Comodo att den detekterade ca 60 % av de okända virus de hade att tillgå vid testtillfället.

CIS tillämpar Default Deny Protection™, d.v.s. att programmets standardbeteende är att inte ge program några rättigheter. Detta är motsatsen till hur antivirusprogram, Default Allow-skydd, traditionellt fungerar.

Att ha som standardbeteende att inte ge program några rättigheter ger förvisso förutsättningar för ett oöverträffat skydd, men kan förstås leda till att antingen ingenting fungerar (allt spärras), eller att användaren själv får ge de program som så förtjänar, nödvändiga rättigheter. Det finns dock en lösning på detta problem, som effektivt minskar antalet frågor som programmet ställer till användaren. Eller rättare sagt: det finns två lösningar.

Den ena lösningen är en omfattande ”vitlista”, en förteckning över programfiler som Comodo har analyserat och certifierat som säkra. CIS har en vitlista som nu omfattar nära 5 000 000 programfiler, och flera läggs ständigt till. Detta innebär att ett vitlistat program automatiskt tillåts att installeras, startas och ges rätt att utföra”normala” aktiviteter. För mindre vanliga eller mer känsliga aktiviteter, ges fortfarande en varning, men den innehåller då också informationen att ”programmet.exe” är ett säkert program, och ofta att det som varningen gäller normalt sker vid installation eller uppdatering av program, och att om detta inte utförs bör man överväga att avslå begäran. Att skapa eller modifiera filer i skyddade mappar hör till denna kategori. 

Exempel på varning för ovanlig aktivitet utförd av ett säkert program

Varningarnas innehåll anpassas förstås efter om programmet i fråga är känt som säkert eller okänt.  De allvarligaste varningarna är mörkröda.

I programdatabasen finns dock inte endast säkra (vitlistade) program, utan även program som anses vara osäkra (svartlistade), t.ex. Microsoft ® HTML Application host (mshta.exe), som kan utnyttjas i skadliga syften. Denna svartlista skall dock ej förväxlas med virusdefinitionsdatabasen.

Att CIS (och tidigare CFP) ger ett proaktivt skydd i absolut toppklass framgår av Proactive Security Challenge, där programmet alltid har hört till de bästa, och tack vare förbättringar i version 3.12, återtog Comodo förstaplatsen, med ett perfekt resultat (100 %):

Föräldrarkontroll

CIS har en föräldrakontroll, med vilken det är möjligt att lösenordsskydda programmets inställningar, och att undertrycka programmets varningar. Detta kan aktiveras separat för antivirus, brandvägg och systemskydd. Detta är ett effektivt sätt att hindra att något otyg kommer in i systemet, utan att användare behöver ta ställning till om något okänt skall tillåtas eller inte. Perfekt om barn skall använda datorn.

Historik för Comodo Internet Security

CIS 3.5 (2008-10-23): En vidareutveckling av Comodo Firewall Pro 3.0 (2007-11-20). Första versionen som integrerar brandvägg, intrångsskydd och antivirus.

CIS 3.8 (2009-02-12): Introducerar minnesbrandvägg (buffertöverskridningsskydd), heuristik för virusskannern, snabbare virusskanning, snabbare definitionsuppdateringar, Threatcast (användarstatistik i varningsrutor), utökad lista med betrodda programutgivare.

CIS 3.9 (2009-05-15): CIS finns nu på flera språk, bl.a. svenska. ”Spårande” virusskanner (en fil skannas endast en gång, om den inte ändras, till nästa databasuppdatering), minnesskanner (skannar allt som laddas i arbetsminnet). Varningsrutor (brandvägg, systemskydd) är som standard ”kompakta” och ger då färre varningar per program. Första (inofficiellt) Windows 7-kompatibla versionen.

CIS 3.10 (2009-07-07): Comodo Secure DNS erbjuds under installationen. Comodo HopSurf ersätter Comodo SafeSurf. CIS känns igen korrekt i Säkerhetscentret i Vista SPx och Åtgärdscentret i 7. Utökad lista med betrodda programutgivare, nu 100 st.

CIS 3.11 (2009-08-25): Minnesskannern får mer avancerad teknik för att upptäcka virus i arbetsminnet.

CIS 3.12 (2009-09-18): Några orsaker till falsklarm elimineras.

CIS 3.13 (2009-11-17): Virusskannern inkluderar mer avancerad detektionsteknik och ett nytt definitionsformat. Sista planerade versionen av CIS 3.x.

Nästa steg är Comodo Internet Security 4.0.

Ovan information är ett kortare uttdrag av en av Comodos Heros och översättare i Sverige.

Besök gärna hans hemsida för mer ingående och teknisk information om Comodo Internet Security:

https://sites.google.com/site/joakimwallden/hem

Beställ Comodo Internet Security Pro via Internetfamiljen!  

Gå till fliken Beställningar och sedan vidare till vår Webshop!

Internetfamiljen © 2009