This is just to inform everybody about the current scenario.
Here it is:
http://www.matousec.com/projects/firewall-challenge/results.php

The topic is not new, but the results are. My intention is not to point your attention to the best scorer,:yahoo: but to the ones in the ... RED colour. :wantban: :rofl:
Post your opinions please...

Окончательно разочаровался в сравнительных тестированиях, делаемых на этом matousec.com. Полная лажа.

Тестировать файрволлы по методикам тестирования HIPS - бред чистой воды.

Возьму для сравнения два файра из тестирования - Comodo (который так уважает nabarunr.1 и Jetico, который уважаю лично я).

Плюсы и минусы каждого:

плюсы
Comodo
- имеет встроенный модуль HIPS
Jetico
- имеет ясную и понятную настройку в части правил (на основе таблиц)
- нет встроеного HIPS (!)

минусы
Comodo
- имеет явную склонность создавать необъяснимые проблемы при своей работе: начинает блокировать трафик без записи в логи и без явных на то причин; работающие приложения внезапно начинают переставать работать даже при создании явных разрешающих правил;
Это касает как части фильтрации пакетов, так и работы модуля HIPS. Подробности читайте на оффоруме, приводить я тут выдержки не собираюсь. Проблемы эти мигрируют из версии к версии. Пофиксив что-то в новом билде, возникают схожие проблемы в другом. Аналогично, кстати, себя ведет и outpost.
- непрозрачное создание правил - два уровня, разрешающие входящие надо разрешать и там и там. Правила часто создаются так, что непонятно что же они делают.

Jetico
- сложность в настройке для новичков.


Добивает Comodo, имеющий встроенный HIPS. Кривой и глючный. Зачем делать комбайны вида "все в одном" если не можешь сделать нормально ?

Загляните в pdf'ы с результатами тестрования. Что у нас там джетика завалила ? А, тесты на проводействие завершению процесса... Вопрос: а что, джетика должна быть хипсом, чтобы противодействовать завершению собственного процесса ? Достаточно того, что при завершении оного, она сразу блокирует весь трафик. А контроль над тем, что и кем завершается - задача проактивной защиты, но никак не файрволла. Иначе просто напросто фаер начинает првращаться в комбайн, который (и на сегодня это у всех, кто идет таким путем) становится глючным и непредсказуемым нагромождением все и вся.

Задача файрволла - работать с трафиком приложений. А не контроллировать межпроцессное взаимодействие, не имеющее отношение к хождению пакетов. Это задача HIPS'a. А его во всех "комбайнах" типа KIS, Outpost или Comodo нет и вряд ли будет.

По крайней мере за годы развития продуктов касперского и агнитума, которые так и не смогли создать нормальные неглючные продукты, можно сделать вывод что хорошо можно делать только что-то одно: либо трафик фильтровать, либо процессы защищать.

Лично мое мнение: джетика - отличный и лучший фаер на сегодня. В отличие от Comodo и подобных комбайнов, она не пытается реализовать все функции защиты в одном флаконе (как правило, кривом и глючном). Она просто работает с сетевым трафиком. И делает это отлично.

А защиту процессов от других процессов предоставьте специализированным, грамотно сделанным, некривым и безглючным хипсам типа ProSecurity HIPS. Они отлично выполняют свою (и только свою) работу, предоставляя другим приложениям выполнять свои функции.

Связка Jetico + ProSecurity HIPS - отличное (может даже идеальное) решение на сегодня. Оба продукта относительно безглючны, нересурсоемки и каждый занимается своим делом, не мешая друг другу (нет, конечно и в этой связке есть пара перекрывающихся функций, но они просто отключаются и никак не вляют друг на друга).

А Comodo на сегодняшний день ни нормальный фаер (потому что себе на уме и глюки) ни нормальный хипс (потому что тоже). Читаем оффорум в части глюков, кому интересно.

А сайт matousec просто разочаровал, проводя тестирования файрволлов по тестам HIPS'ов (межпроцессное взаимодействие) и сделав такие бредовые выводы.

Comodo is FREE! 100%. With NO limitations. Jetico is not free. Prosecurity HIPS is not free. You have to buy them both!
And configuring either of these two is not smooth either. It requires quite some knowledgebase for getting most out of these two combo. On the other hand, comodo (particularly v3.xx with Defence+) only requires some user input in the beginning, if you don't add rules manually. The comodo help file is the solution to most of the problems (if any) that a user may face initially. There is the forum for further help. I did face some problems in the beginning with the new version 3, but now after so many updates, it's finally shining as before, with absolutely no problem whatsoever.
There are bugs in EVERY software including Jetico and prosecurity. Saying that a software has bugs sounds like that statement by a Microsoft guy that IE is better than Firefox since Firefox frequently posts bug-fixes. Here's what I mean:
http://www.proactive-hips.com/yabb/yabb2/YaBB.pl?board=BUG (http://anonym.to/?http://www.proactive-hips.com/yabb/yabb2/YaBB.pl?board=BUG)
That said, Prosecurity HIPS can be compared to the Defence+ of the comodo combo suite, and not comodo firewall. Currently I hardly face any problem with Defence+, but if you dislike it so much, then you can ALSO use prosecurity HIPS with comodo's firewall, by disabling the Defence+. And configuring it is no problem at all. You can create one set of rules and export the configuration to a file, which can be imported and applied to a clean or updated install of the firewall.
The leak tests carried out by matousec clearly-mention WHAT is being tested, and test the FUNCTIONALITY of the features which the different vendors claim. The ease of use is not part of the test. I have also tried some tests from OTHER places.
Jetico referenced results on http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php and http://www.firewallleaktester.com
The 1st link is outdated, obviously. The 2nd link recommended these sites for online testing:

http://scan.sygate.com/ (http://scan.sygate.com)
Had to use IE with almost nil security/privacy settings to use this shit.
Did not do antivirus scan, because just yesterday I used DrWeb free tool to scan (with only some detections due to some of my experimenting :smiling:tools like John the ripper, ophcrack etc which were expected).
Everything passed.
http://i022.radikal.ru/0803/72/25bbc46ff4c3.gif

https://www.grc.com/x/ne.dll?bh0bkyd2
Everything passed, but apparently need to do better because:

Unsolicited Packets: RECEIVED (FAILED) — Your system's personal security countermeasures unwisely attempted to probe us in response to our probes. While some users believe that "tracking down" the source of Internet probes is useful, experience indicates that there is little to gain and potentially much to lose. The wisest course of action is to simulate nonexistence — which your system has failed to do. Your counter-probes immediately reveal your system's presence and location on the Internet.
Too many different links for testing. So I'm not posting any images.
P.S.
I also did some custom probing on some custom ports, like 8080, 80, 81, 8090 etc and passed them all. I have removed the filtering proxy which I was using some time ago, because I can use comodo to restrict loading fraudulent sites etc, like http://pirateaccess.com (http://anonym.to/?http://pirateaccess.com)

In addition to these, I also did a detailed scan on http://www.speedguide.net/portscan.php (http://www.speedguide.net/portscan.php) (after registering and log in)
Results were satisfying indeed. And I also tested some additional udp/tcp ports. All filtered.
http://i011.radikal.ru/0803/9c/5107ea587e16.gif

This is just some of my personal experience with comodo. As a free tool, what more can you expect? Besides, I am unaware of the issues you are referring to for high bandwidth usage situations, because I only have a 256 kbps connection. But I must provide some info about usage of system resources with CPF 3, with Defence+ in paranoid mode and firewall in custom policy mode.
http://i034.radikal.ru/0803/29/2c8bce78605e.gif

I also tried running the game COD4 with all internet traffic on, like utorrent etc, and the game ran fine with absolutely no pop-ups etc. I had first put the game's files to BLOCKED apps in firewall, and TRUSTED app in Defence +
Can you please try the same using your combo suite and let us know the results? This is just a discussion to allow users a better choice in different situations. Not everybody has a high bandwidth leased line and most of us are gamers...
P.S.
Only 5 pics allowed? Including smilies? That's not fair. Size (in kb) should be the factor,...

Comodo is FREE! 100%. With NO limitations
А что, в том рассмотрении были сделаны какие-то послабления для платных или бесплатных прог ? Нет. Да, комод - фри. Джетика и ProSecurity платные. Но разве то, что комод бесплатный дает ему право иметь столько багов ? Нет. Защитные проги рассматриваются вне зависимости от того, платная она или нет. Защита либо надежна либо нет. Либо она работает без глюков либо нет.

Here's what I mean:
http://www.proactive-hips.com/yabb/yabb2/YaBB.pl?board=BUG
Стоит отличать баг (ошибка в ппрограмме) от недоработки (future request, желаемое видеть в будущих версиях). По твоей ссылки я увидел только 2 (два) совершенно несущественных бага. Остальное - либо неподвержденные единичные проблемы, которые как правило вызываются кривыми руками/индивидуальной непереносимостью либо пожелания на будущее.
И, кстати, одно дело, когда в программе 2 несущественных бага, и совсем другое, когда их десятки. Степень глючности отличается наверное ?

Prosecurity HIPS can be compared to the Defence+ of the comodo combo suite, and not comodo firewall.
Совершенно верно. Поэтому эти масутековцы и сделали хрень, сравнивая файрволлы и хипсы сразу по набору тестов для файров и хипсов. Давайте устроим гонки по пересеченной местности на обычных легковушках, джипах и амфибиях в одном заезде :bad:

then you can ALSO use prosecurity HIPS with comodo's firewall,
Ну уж нет. Лучше я буду использовать с хипсом Джетику как более стабильный, грамотный и менее глючный файрволл.

And configuring it is no problem at all. You can create one set of rules and export the configuration to a file, which can be imported and applied to a clean or updated install of the firewall.
Да не хочу я заниматься сексом с этим глючным, недоработанным, временами самодурствующим комбайном под названием Comodo. Я просматриваю иногда форум комодо и читаю проблемы, о которых пишут пользователи. Да в гробу я видел этот файр с его траблами. Есть нормальные альтернативы. И не бывает хороших комбайнов.
Кста, как-то решил все-таки поставить комод. Посмотреть. Когда обнаружил что он блокирует пакеты, не производя записи в лог (хотя полное логирование было настроено дополнительно: все что block писалось в лог) - удалил сразу. Зачем мне файр, который делает не то, что я от него хочу, а то, что он сам хочет ?

But I must provide some info about usage of system resources with CPF 3, with Defence+ in paranoid mode and firewall in custom policy mode.
Это неправильный способ оценивать ресурсы, занимаемые программой. Совершенно неправильный. Я 100% могу тебе доказать, что комод расходует не менее 50 MB памяти. Как проверить ? Очень просто: перезагрузи систему и посмотри, какой объем физической занят сразу после загрузки системы. Потом удали комод полностью. И снова перезагрузись и посмотри. Разница будет не менее 50-60 метров. Это я специально проверял под варой полгода назад. Не думаю что сейчас что-то изменилось. А смотреть в Task Manager сколько памяти расходует прога - совершенно несерьезно. Просто потому что он показывает далеко не все и совсем не то, на что стоит смотреть. Но посмотреть реально сколько занимает прога практически невозможно т.к. очень много факторов. Только замерив общий занимаемый объем памяти с прогой и без нее можно примерно узнать, сколько же она на самом деле жрет памяти. Но никак не через Task Manager.

PS: макс. кол-во картинок поправил.

Защита либо надежна либо нет. Либо она работает без глюков либо нет.
I personally find it reliable, compared to everything else I used before. I've tried everything, except PS+Jetico, because neither are free, and require too much aquaintance. Takes time to get used to. There were issues in the beginning with cfp when the v3 was first released, but now (v3.0.21.329) there are very few nuiances. They have done a lot of fixing, trust me!

Степень глючности отличается наверное ?
As for bugs, actually none is bugging me much. Yes, there are lots of threads in the forum, and bugs are there. But as soon as they are found, they are taken care of. It's not the bugs, but the working procedure of the suite that some find uncomfortable, in the same way that I find Jetico uncomfortable. The 2-layer firewall, application and network, takes some time to get used to. But I'm open to alternatives. Only problem is that this is the only freeware with so much security.

Поэтому эти масутековцы и сделали хрень, сравнивая файрволлы и хипсы сразу по набору тестов для файров и хипсов
Agreed. They should test the firewall with D+ disabled and test only firewall functionality - not HIPS. I would very much like to see how Jetico+PS scores in comparison to CPF with D+ ... Would it be possible to conduct such a test in this forum? May be you can arrange that?

Ну уж нет. Лучше я буду использовать с хипсом Джетику как более стабильный, грамотный и менее глючный файрволл.
No comments. ...err, it IS sweet, btw.

...что я от него хочу, а то, что он сам хочет ?
Logging is working here. May be it was a bug in the initial release. Serious bugs, if any, will definitely be taken care of if reported. Best freeware around.

Это неправильный способ оценивать ресурсы, занимаемые программой. Совершенно неправильный.
OK. I did some testing. First I completely disabled the firewall and the D+ and removed from startup list. Then on bootup, I checked the RAM usage in task manager as well as on another freeware, namely FreeRAM XP Pro (http://www.yourwaresolutions.com), and generated the report and saved in a txt file. I then enabled cfp with D+ in paranoid mode and got another memory report from freeramxppro. I also took the task manager screenshot in both cases, which was running during the generation of the above-mentioned reports, just to show that the same processes are running in the background.
CASE1 - comodo totally disabled:
--------------------------------------
FreeRAM XP Pro Report File
Generated 9:42:03 PM 3/31/2008
--------------------------------------
FreeRAM XP Pro Comprehensive Memory Report
Generated on: 9:41:57 PM 3/31/2008

Basic Memory Information
Current Amount of RAM Free: 1704 MB (83%)
Amount of Installed RAM: 2046 MB
Available Virtual Memory: 4045 MB (98%)
Total Virtual Memory: 4095 MB
Available Total Memory: 1654 MB (80%)
Total Memory: 2045 MB
Available Virtual Space: 1184 MB
Total Virtual Space: 2047 MB

Advanced Memory Information

Commit Limit, Bytes: 1986818048
Current Committed Bytes: 214212608
% Committed Bytes In Use: 3
Cache Bytes: 107327488
Cache Bytes Past Maximum: 110305280
Pool Paged Allocations: 53448
Pool Paged Bytes: 45821952
Free System Page Table Entries: 180715
Pool Nonpaged Allocations: 155733
Pool Nonpaged Bytes: 17670144
Total Working Set: 117395456
Total Working Set Past Maximum: 1015267328

Cache Statistics

Copy Read Hits %: 96
Data Map Hits %: 98
MDL Read Hits %: 0
Pin Read Hits %: 62

Paging File and Virtual Memory Details

Paging File Bytes in Use: 129675264
Paging File Bytes Past Maximum: 1053212672
Paging File in Use %: 1
Paging File in Use % Past Maximum: 1
Disk Page File Bytes in Use: 51593216
Total Disk Page File Bytes: 4293918720
Size of a Single Page: 4096
Total Virtual Space Bytes: 2532974592
Virtual Space Bytes Past Maximum: 2929217536

System

Current Number of Processes Running: 31
Current Number of Threads Running: 365
Current Number of Handles: 5481

task manager:
http://i008.radikal.ru/0803/5d/67c903de4e09.gif

CASE2- comodo firewall in custom mode, D+ in paranoid mode:

--------------------------------------
FreeRAM XP Pro Report File
Generated 9:45:00 PM 3/31/2008
--------------------------------------
FreeRAM XP Pro Comprehensive Memory Report
Generated on: 9:44:33 PM 3/31/2008

Basic Memory Information

Current Amount of RAM Free: 1704 MB (83%)
Amount of Installed RAM: 2046 MB
Available Virtual Memory: 4030 MB (98%)
Total Virtual Memory: 4095 MB
Available Total Memory: 1639 MB (80%)
Total Memory: 2045 MB
Available Virtual Space: 1187 MB
Total Virtual Space: 2047 MB

Advanced Memory Information

Commit Limit, Bytes: 1986818048
Current Committed Bytes: 237428736
% Committed Bytes In Use: 3
Cache Bytes: 110792704
Cache Bytes Past Maximum: 112865280
Pool Paged Allocations: 60346
Pool Paged Bytes: 49106944
Free System Page Table Entries: 180555
Pool Nonpaged Allocations: 159069
Pool Nonpaged Bytes: 18812928
Total Working Set: 110993408
Total Working Set Past Maximum: 1033891840

Cache Statistics

Copy Read Hits %: 97
Data Map Hits %: 98
MDL Read Hits %: 0
Pin Read Hits %: 84

Paging File and Virtual Memory Details

Paging File Bytes in Use: 148156416
Paging File Bytes Past Maximum: 1078558720
Paging File in Use %: 1
Paging File in Use % Past Maximum: 1
Disk Page File Bytes in Use: 68120576
Total Disk Page File Bytes: 4293918720
Size of a Single Page: 4096
Total Virtual Space Bytes: 2662043648
Virtual Space Bytes Past Maximum: 3087237120

System

Current Number of Processes Running: 32
Current Number of Threads Running: 390
Current Number of Handles: 5911

task manager:
http://i013.radikal.ru/0803/2e/ba7851911b05.gif

I don't understand every aspect of this report, but I think that the virtual memory is more utilised instead of the physical RAM. Note that I was not connected to the internet during this whole testing period. Of course the memory usage will be much higher when many apps like opera, utorrent qip etc will be running simultaneously.

Just my 2 cents... :)

OK, i read you post. But must fly to work :bad:
May be need to try latest version, may be.

Ну в общем решил попробовать этот фаер в действии. До этого несколько лет (и сейчас также) сидел/сижу на Jetico Personal Firewall.

Ну поехали.
Версия Comodo Firewall (далее просто комод. С маленькой буквы т.к. этот отстой фаером назвать я не могу). Версия последння стабильная 3.0.21.329

Проба первая. Firewall
Тестовая машина: установлен каспер (просто антивирус) с проверкой http трафика. Версия 7.0.0.125 (последний стабильный безглючный билд. 325 у многих глючит.).

Ставим комод, перегружаемся. Лезем в настройки. Удаляем все автосозданные правила (на всякий случай), включаем в настройках фаера Custom Policy Mode и Alert Very High. Проактивная защита Defense+ отключена - меня интересует только фаер, а проактивка используется иная (ProSecurity HIPS).

Запускам Оперу (у меня основной браузер Опера и запасной FireFox). комод выкидывает алерт что процесс kav.exe пытается законнектиться на 80 порт куда-то там. Ну это понятно - в КАВе включена проверка http трафика. Он перехватывает все запросы от браузера на заданные порты (80 в том числе), скачивает от себя, проверяет и отдает браузеру.

Назначаем kav.exe дефолтовое правило Web Browser. Напоминаю, что помимо прочих там прописано разрешение на исходящие соединения на 127.0.0.1 (loopback), но разрешения на входящие там нет никакого.

Назначили КАВу правило. Серфим и удивляемся: про оперу комод ничего не спрашивает !!!
Лезем в список активных соединений: и там оперы нету. kav.exe, соединяющийся на 80 порты есть, а оперы нету.

Запускаем FireFox. И видим как он спокойно коннектится к сайтам а комод ничего, совершенно ничего не спрашивает. Никаких ни алертов, ни процесса firefox'a в списке соединений, ни правил каких-либо для него - ничего нету. А коннекты идут ! комод просто не видит браузер как процесс, использующий какие-либо соединения.

Нравится Вам ? И мне понравилось. Ибо это комодовская порнография спокойно позволяет любому процессу вылезать в инет через каспера. Любой троян, который не отловится каспером спокойненько отправит в инет всю что угодно а этот "фаер" даже не пикнет.

Даже Jetico еще первой версии 1.0.1.61 спокойно отлавливает такие коннекты, не говоря уже о второй версии этого файрволла. В тех же условиях тестирования в ней нужно создать одно правило для kav.exe (web browser) а второе для той проги, что лезет в инет. Для оперы, например, тоже как web browser.

Смысл в том, что даже старенький но нормальный фаер преспокойно отлавливает такого рода соединения в отличие от распиаренного файрволла №1. Который преспокойно позволит любому трояну вылезти в инет при наличии схожей конфигурации установленного софта (какое-либо приложение, которому разрешен доступ в инет и которое работает с помощью хуков как локальный прокси). Например, антивирус с проверкой http или pop3 или любого другого трафика. Или тот же популярный AdMuncher.

Вы хотите пользоваться файрволлом, который нихрена не контролирует ? Я нет.

PS: это была первая часть о тупом распиаренном говне под названием Comodo Firewall. Рассказ касался его файрволльной части. О том, какой бред его супер-пупер проактивная защита (Defense+) будет написано чуток попозже. Там ситуация еще смешнее.

Продолжение следует...

Жестко ты его =)

Действие второе: проактивная защита Defense+

На этот раз конфиг несколько иной:
стоит авира как антивирь. Без всяких проверок http трафика (WebGuard деинсталлирован). Обычный файловый антивирь. Больше нет ничего. Ну и комодушка той же версии что и в предыдущей моей пробе.
Все поставлено с нуля, комп перезагружен.

Настройки комода: фаер как и в первом тесте. Defense+ включена, режим Paranoid mode, режим контроля исполняемых файлов - Aggressive. В общем все настройки максимальные.

Запускаем оперу. Куча алертов от фаера и проактивки. Разрешаем, разрешаем, разрешаем.... Вроде разрешили все что нужно: серфим, перезагружаем браузер - алертов никаких.

Теперь берем и заменяем exe оперы (opera.exe) другим exe-шником. Я взял кейген какой-то. И запускаем его.
По идее проактивка должна выкинуть алерт что файл изменился и спросить что же ей делать ? Заблокировать, разрешить и т.д. У них даже в хелпе написано что должен выкинуть алерт. Но!

Вы думаете комод что-то спросил ? Он ничего не спросил. Новый файл спокойно запустился !

А если бы это был троян ?

Выводы напрашиваются сами собой: фаер этот не более чем заточка под те тесты, которые используются при сравнительных тестах файрволлов. В реальных условиях этот отстой создаст Вам ощущение защищенности но на самом деле любое вредоностное ПО будет иметь возможность спокойно делать что ему нужно без всякой реакции со стороны фаера.

А лично я доволен своей комбинацией из Jetico и ProSecurity HIPS, проверенной временем. Зверьки умирают на подлете :smiling:

ven1999,
Видя такое хочется выражовываться совершенно по другому. Только набор слов уже нецензурный получается...

Firstly, I was SHOCKED to read (well, after a lot of struggle, as usual) what you said about the functionality of the firewall and the HIPS of comodo. But I decided to verify the truth myself. So I read almost every topic related to this issue on a number of forums/sites including kaspersky and comodo. Then I contacted the comodo authority. Well, I think it will be better if I not quote them here. But the answer was encouraging enough for me to decide to perform some tests myself.
I downloaded kav-7.0.1.325 (no, no problems whatsoever, I'm still running it, but will replace with avira soon), avira (free AND premium with 6 month free license), and the latest cfp. (It's been updated, btw).
First I completely uninstalled cfp, rebooted, installed kav, rebooted, etc and then installed the latest cfp, reboot...
KAV is running as it should. Only the proactive part is disabled, since I'm using D+. Until now, every application which tried to run or connect to loopback/internet was intercepted by comodo. Yes, KAV is running and opera/firefox uses it as a proxy server, but BEFORE they do so, CFP asks my permission as it is supposed to.
As far as your replacing opera.exe test is concerned, I did it too. Only this time I used applications which actually do something worth intercepting. I used rapid uploader and bitcomet. Rapid Uploader was already a trusted app, so no allerts. So I downloaded bitcomet which was never installed in my pc after reinstalling windows and shifting to comodo (about 2 years ago). So, no existing rules for bitcomet. I renamed bitcomet.exe to opera.exe and replaced the original. I got more than a dozen allerts from both D+ and the firewall. I replaced it with original opera.exe to check the functionality, since I had disallowed all those allerts (but not remembered). Opera ran smoothly without any interruption. I again replaced it with the fake one and again allerts, allerts,...
I have screenshots of most of those allerts etc, but I'm very tired right now...:lazy:

Проверил на обновленном комоде 3.0.22.349 (сабж обновился вчера, 18 апреля). Каспер тот же (125 билд). Проверялось под vmware.
И все тоже самое !

По прежнему пускает в инет через каспера без всяких правил.
По прежнему перезапись экзешника другим не вызывает никакой реакции со стороны комода.

Вот те скрины:

1

2

Лажа какая-то а не фаер. Объяснишь мне почему так происходит ?

Never used vmware. May be that can disrupt a proper testing? Don't know... May be it's opera's cache you're seeing?
Opera can run without any setting in network security policy. All it needs is D+ permission. Even to connect to loopback it needs that. Then to DNS/RPC etc it must have firewal's go ahead. There are many settings etc in cfp which you or anybody could have missed. May be CFP did throw an allert which you allowed? You"ll not see opera in the active connections list because all that http traffic is hijacked and routed by KAV through avp.exe. Some apps which "act as server" will, however, show up. Firefox connects very differently than opera. There are many factors, many settings etc. Not that I consider myself uber geek or something - I hardly have a fraction of your network-related knowledge. I would strongly urge you to have a good look at the comodo docs/forums etc for answers or may be you should contact comodo yourself if you think that you did not do any mistake and there is such a tremendous flaw in their firewall. The truth needs to be made known to everybody. As for myself, I removed ALL firewall rules and all D+ rules and couldn't even run opera/firefox without allerts. I made KAV "trusted", changed D+ to "paranoid", firewall to "custom" etc and practically tweaked everything so that only the OS runs smoothly, and no network apps. Also, allerts for loopback are enabled. Opera must ask permission from firewall before trying to connect. Then, instead of going out directly via port 80, the connection will be actually made by avp.exe through a different port. This is what I found in all my tests. Try a clean install on a real, freshly installed os and see if the same thing happens. I don't know what else to say. Because I see a totally different picture.
About file modification allerts:
Is opera a protected file? I don't think so. Put it in comodo's protected files group and then try changing it. You are manually overwriting a non-protected, not-running file with another and running that. Is it a brand new application or anything? And is it trying to connect to internet or hijack something or inject dll or anything into any important process? Then why should there be any allert at all? If this was a trojan, then it would be first stopped by D+. Even without HIPS, the firewall would definitely allert you when it would try to connect. Try it with bitcomet or anything instead of a real trojan and you"ll see it. Try my test with bitcomet.exe renamed to opera.exe.:lazy:

Не смешите. Фаер неправильно работает т.к. запущен под виртуальной машиной ? А как же другие нормальные фаеры, которые работают ? Грош цена такому файрволлу.

Повторил (в последний раз т.к тратить время на этот отстой больше совершенно неохота.) тесты.
комод последний (3.0.22.349), KAV 325 билд. Проверка http трафика включена.
Любое приложение без всяких алертов вылезает в инет через каспера.
И не надо говорить что при таком конфиге приложение не должно быть видно в списке активных процессов, создающих соединения. Оно должно быть видно и должно перехватываться. Потому что даже старенькие, но нормальные фаеры типа первой джетики влегкую все перехватывают и требуют создания правил и показывают процессы в списке.
Просто комод, как я уже свое имхо высказывал, затачивается под тесты, а не под реальную работу. Отсюда и такие дырищи.

Что же касается D+ - то повторил следующее: отключил проверку http трафика, перегрузился, запустил оперу, комод ессно перехватил что она лезет на 80-й порт, назначил правило web browser, закрыл, заменил exe-шник оперы на wget и загрузил страницу с инета. Думаете комод что-то спросил ? Думаете он увидел что exe файл изменился и полез что-то отправлять в инет ? Неа. Полная тишина. Данный случай проверялся на трех машинах. На двух стояла авира (без http проверки), на третьей - каспер, опять же без http проверки. Везде результаты идентичны.

Кстати, занесение файла opera.exe в список защищаемых приложений в настройках D+ ничего не дала - никакой реакции со стороны комода.

Обращаю внимание, что при совершенно тех же условиях связка Jetico + ProSecurity HIPS (оба нормальные продукты в своих областях) прекрасно все перехватывает и выбрасывает алерты при замене exe-шника.

Допускаю, что это какая - то несовместимость комода с фаерами. Допускаю что это мне так неповезло и конфигурация установленного софта как - то мешает работе комода (хотя под варой стоит чистая ось на которой основное тестирование и делалось).
Но.
Нормальные продукты почему то в тех же условиях работают нормально.

Короч, я завязываю пробовать этот ГОВНОФАЕР. И совершенно не собираюсь связываться с разработчиками для выяснения всего этого - у меня есть дела и более лично для меня важные и нужные. Меня лично эта поделка более не интересует. Есть нормальные, надежные и проверенные варианты, не имеющие таких дебильных глюков.

Просьба не терроризировать меня предложениями попробовать так, попробовать этак... Не буду. Лично мне достаточно увиденного чтобы поставить крест на таком продукте.

Sorry, for the late reply. I was out of station for some time and had no access to internet.
Firstly, I don't understand 90% of the translated text. But I guess you're quite pissed off. Understandable. It's a very tedious and laborious process.
Secondly, I am still quite satisfied with comodo. Because ever since I am using it, I have NEVER had any malware infection and I never had to reinstall windows (except on one occation when I had some hardware problem). The firewall is excellent. Every application that I want to deny network access is perfectly blocked. As far as the HIPS is concerned, it is rather complicated. The method of creating rules is also complicated. But the combination of the firewall and HIPS is working fine, although I am open to alternatives, and apparently some good ones are emerging.
Anyway, I will do some more fiddling with the D+ file protection settings and provide some screenshots.
As far as KAV is concerned, I don't use that shit and so it is not a problem for me. And if I remember correctly, you don't use it either. So why bother anyway? BTW, I have also removed Avira which was slowing down everything. I am getting too allergic to antivirus and/or antimalware. Even Spybot with Teatimer seems too bothersome. I think sandboxes (like Sandboxie, as you recommended) is a smarter approach.
..

P.S.
You said that you put opera.exe to the "protected files" category in D+ but still you could overwrite it with a different file. It occurs to me that you did not read the help file in details. When you REALLY want to protect a particular file from modification, there are some things you need to tweak. In the D+ security policies (both predefined and custom) you need to modify the "access rights" for all the policies like "Windows system application", "Trusted application" etc, so that they are not allowed to access or modify the protected files/folders without your permission. There are some check-boxes which you need to choose. I think the default setting is "allow", and so you were able to replace opera.exe without any allerts. Because, trust me, I cannot do it it my pc. May be you can kindly try this one more time when you have time and energy. There is nothing to hurry.

Долго не писал - не было как-то времени.
Со времен билда 349 воды утекло немало.

Итак. Два момента: в последующем или через билд (непомню точно уже) дырищу с локальными проксями пофиксили (не прошло и полгода!). Теперь, во всяком случае, доступ в инет в той же конфигурации с каспером отлавливается этим чудовым фаером и вроде как в этом плане все окей. Хотя и настораживает, что эта дыра была на протяжении как минимум двух билдов и есть ли гарантия что подобного не будет в дальнейшем ? Во всяком случае, та же джетика такого себе никогда не позволяла. Иначе говоря, нет уверенности что при обновлении фаера не получим нснова чего-то похожего.

Второй момент - я лоханулся с особенностями работы хипса. Имея несколько лет в пользовании классический хипс, привык к тому, что при изменении файла какого-либо приложения он выкидывает алерт что файл был изменен. Комод же контрольные суммы приложений вообще не контролирует, а контролирует только попытки модификации файлов этих самых приложений.

Например.
Берем opera.exe и заменяем его другим файлом (или модифицируем каким-либо образом).
Классический хипс, при попытке запуска этого измененного файла, будет выкидывать алерт, что файл изменен и что делать дальше: разрешить, запретить, создать правило и т.д.

Комод же будет выдавать алерт в тот момент, когда мы перезаписываем или меняем экзешник. У меня в предыдущих пробах не выдавал по той причине, что экзешник перезаписывался фаром, который был в доверенных приложениях.

А теперь смотрим какие минусы есть у такого способа контроля целостности файлов.

Прдеположим, есть у нас инсталлятор чего-либо достаточно большого пакета, который при инсталляции создает немало модификаций в системе. Ну, например, инсталляха фотошопа. И предположим что инсталлятор модифицирован и в него внедрен троян, который инфицирует код дефолтового браузера. Оперы, например. Причем запуск троя производится в самом конце инсталляции.
Смотрим: запускаем инсталлятор, пошел процесс. Комод много-много раз выкидывает алерты о попытках модификации того, сего, тут, там, в рееестре, в файлах... После нескольких нажатий кнопки ОК, что бы избавится от этих алертов, выбираем специально предназначенный для подобных случаев режим инсталляции (набор правил вроде "Installer or updater application". Как то так он называется).
Вот троянораспространители своего и добились: надоедливых алертов нету, инсталляция прошла успешно. Троян запущен и прописан в opera.exe. Ситуация самая обыденная - при инсталляции больших прог практически всегда либо врубается режим инсталляции либо временно вырубается комодовский хипс.

И в отличие от классического хипса с контролем контрольных сумм, который при запуске этого модифицированного экзешника выдал бы алерт, чудовый комод ничего никак на это не отреагирует.

Или другой случай.
Берем системную тулзу по оптимизации и чистке системы. Например, jv16 power tools. Внедряем в нее троян, который активизируется не при первом запуске, а например, при 10-м. Или активизируется после 10 минут работы. Не приципиально. Задача троя та же - модифицировать код дефолтового браузера.

Инсталлируем, запускаем jv16. Начинаем работать. Так как пакет работает с системой и производит массу модификаций в реестре и файловой системе при работе (ну в зависимости от того, что вы в нем делаете ессно), ему назначается набор правил "Trusted application" или даже "Windows system application". Логично ? Логично.
И теперь через некоторое время это доверенное приложение внедряет свой троянский код в экзешник браузера.
При следующем запуске этого браузера комод спросит что-нибудь на предмет того, что файл браузера изменился ? Неа. Классический хипс с контрольными суммами спросит. А чудофаер нет. Потому как нет ему дела до изменившихся файлов.

Ну а при желании, думаю, можно найти массу других способов обхода хипса комода методами социального инжиниринга. Просто убивает отсутствие проверки контрольных сумм. Все-таки, имхо, лучшая связка - это нормальный фаер типа джетики + нормальный классический хипс типа ProSecurity, SSM или, возможно, китайского EQSecure.

OK. I have done my best to decipher the machine translation from both google and altavista with little success. So, I think it's about time I got a "true" translator.:help:

Долго не писал - не было как-то времени.
Со времен билда 349 воды утекло немало.

Итак. Два момента: в последующем или через билд (непомню точно уже) дырищу с локальными проксями пофиксили (не прошло и полгода!). Теперь, во всяком случае, доступ в инет в той же конфигурации с каспером отлавливается этим чудовым фаером и вроде как в этом плане все окей. Хотя и настораживает, что эта дыра была на протяжении как минимум двух билдов и есть ли гарантия что подобного не будет в дальнейшем ? Во всяком случае, та же джетика такого себе никогда не позволяла. Иначе говоря, нет уверенности что при обновлении фаера не получим нснова чего-то похожего.

Второй момент - я лоханулся с особенностями работы хипса. Имея несколько лет в пользовании классический хипс, привык к тому, что при изменении файла какого-либо приложения он выкидывает алерт что файл был изменен. Комод же контрольные суммы приложений вообще не контролирует, а контролирует только попытки модификации файлов этих самых приложений.

Например.
Берем opera.exe и заменяем его другим файлом (или модифицируем каким-либо образом).
Классический хипс, при попытке запуска этого измененного файла, будет выкидывать алерт, что файл изменен и что делать дальше: разрешить, запретить, создать правило и т.д.

Комод же будет выдавать алерт в тот момент, когда мы перезаписываем или меняем экзешник. У меня в предыдущих пробах не выдавал по той причине, что экзешник перезаписывался фаром, который был в доверенных приложениях.

А теперь смотрим какие минусы есть у такого способа контроля целостности файлов.

Прдеположим, есть у нас инсталлятор чего-либо достаточно большого пакета, который при инсталляции создает немало модификаций в системе. Ну, например, инсталляха фотошопа. И предположим что инсталлятор модифицирован и в него внедрен троян, который инфицирует код дефолтового браузера. Оперы, например. Причем запуск троя производится в самом конце инсталляции.
Смотрим: запускаем инсталлятор, пошел процесс. Комод много-много раз выкидывает алерты о попытках модификации того, сего, тут, там, в рееестре, в файлах... После нескольких нажатий кнопки ОК, что бы избавится от этих алертов, выбираем специально предназначенный для подобных случаев режим инсталляции (набор правил вроде "Installer or updater application". Как то так он называется).
Вот троянораспространители своего и добились: надоедливых алертов нету, инсталляция прошла успешно. Троян запущен и прописан в opera.exe. Ситуация самая обыденная - при инсталляции больших прог практически всегда либо врубается режим инсталляции либо временно вырубается комодовский хипс.

И в отличие от классического хипса с контролем контрольных сумм, который при запуске этого модифицированного экзешника выдал бы алерт, чудовый комод ничего никак на это не отреагирует.

Или другой случай.
Берем системную тулзу по оптимизации и чистке системы. Например, jv16 power tools. Внедряем в нее троян, который активизируется не при первом запуске, а например, при 10-м. Или активизируется после 10 минут работы. Не приципиально. Задача троя та же - модифицировать код дефолтового браузера.

Инсталлируем, запускаем jv16. Начинаем работать. Так как пакет работает с системой и производит массу модификаций в реестре и файловой системе при работе (ну в зависимости от того, что вы в нем делаете ессно), ему назначается набор правил "Trusted application" или даже "Windows system application". Логично ? Логично.
И теперь через некоторое время это доверенное приложение внедряет свой троянский код в экзешник браузера.
При следующем запуске этого браузера комод спросит что-нибудь на предмет того, что файл браузера изменился ? Неа. Классический хипс с контрольными суммами спросит. А чудофаер нет. Потому как нет ему дела до изменившихся файлов.

Ну а при желании, думаю, можно найти массу других способов обхода хипса комода методами социального инжиниринга. Просто убивает отсутствие проверки контрольных сумм. Все-таки, имхо, лучшая связка - это нормальный фаер типа джетики + нормальный классический хипс типа ProSecurity, SSM или, возможно, китайского EQSecure.

Класс :wink2: ну ты Найт выдал, показательный пост :good:
Местный ФлудЁр жжот :yes:
ыВот, довожу до сведения еще и английский вариант вышенаписанного,
это так сказать эксклюзивчик, потом мне наЭрно будет лень это делать :lazy: так что:
English-speaking, or simply at least understanding this language, madams and misters it is for you...
It is translation of that is written above..:smiling:


I long did not write, because time was not much.
There has passed a lot of time since 349 build.

So. Two moments: in the following or through build (I don't remember exactly already) the hole with local proxies was fixed (there has not passed half a year!). Now, in any case, access to the Internet with the same configuration with antivirus Kaspersky is caught by it (firewall, which behaves in a queer way) and like in this situation all is OK. Though it guards, what this hole was on an extent at least two builds and whether there is a guarantee that it to repeat in future? Anyway, Jetico Firewall never allowed such things to be. In other words, there is no confidence that at updating this Firewall will not receive again something similar.

The second moment - I fucked up (made a mistake) with features of HIPS work. Having some years in using classical HIPS, I’m used to it, which at change of a file of any application it throws out the warning of alarm that the file has been changed. Comodo Firewall doesn’t control the control sums of applications at all, and control only attempts of modification of files of these applications.

For example:
We take opera.exe and would replace it by other file (or it’s modified somehow). Classical HIPS, at attempt of start of this changed file, will throw out the warning of alarm, that the file is changed and what to do: to resolve, forbid, create a rule etc.

Comodo Firewall will give out the warning of alarm while we rewrite or we change *.exe file. In my (case (P.S.: or may be better to translate: At me)), in the previous tests Firewall did not give out for the reason, that *.exe file was rewritten by Firewall which was in the entrusted applications.

And now we’ll look what minuses is at such way of the control of integrity of files.

Let's assume, we have installer of something enough big of big package, which at installation creates many modifications in system. Well, for example, installer of the Photoshop. And we will assume that the installer is modified and in it is instilled trojan which infects a code of the browser, which we use in default. Opera, for example. And start of trojan is made at the end of installation.

We look: we start installer, process begins. Comodo Firewall many times throws out the warnings of alarm about attempts of modification of that, this, here, there, in the register, in files... After several pressing on a button OK that would will get rid of these warnings of alarm, we choose mode of installation specially intended for similar cases (the set of rules like "Installer or updater application". It’s called so like).

Here, people who extend trojans have achieved the objective: annoying warnings of alarm is not present, installation has passed successfully. Trojan was started and registered in opera.exe. The situation the most ordinary - at installation of the big programs practically always: or switched on a mode of installation or is temporarily switched off the HIPS of Comodo Firewall. And unlike classical HIPS with the control of the control sums, which at start of this modified *.exe file would give out the warning of alarm, Comodo Firewall, which behaves in a queer way in any way will not react on it.

Or other case:
We take the system tool of optimisation and system cleaning. For example, jv16 power tools. We introduce in it a Trojan, which becomes more active not at the first start, and for example, at 10th. Or it becomes more active after 10 minutes of work. Not essentially. The problem of the trojan the same - to modify a code of browser, which we use in default.

We install, and then we start jv16. We begin to work. Because the package works with system and makes weight of modifications in the register and file system at work (well, it’s depends on that you in it do, obviously), to it is appointed the set corrected "Trusted application" or even "Windows system application". Logically? Logically. And now after a while this entrusted application introduces the Trojan code in *.exe file of a browser. At following start of this browser Comodo Firewall will ask something about what the browser file has changed? Not. Classical HIPS with the control sums will ask. And Comodo Firewall, which behaves in a queer way, will not ask. Because it doesn’t have affairs with the changed files. Well and at desire, I think, it is possible to find weight of other ways of detour HIPS a Comodo Firewall methods of social engineering. Simply kills absence of check of the control sums. All the same, especially personal opinion, the best sheaf is normal Firewall such as Jetico Personal Firewall + normal classical HIPS such as ProSecurity, SystemSafetyMonitor or, probably, Chinese EQSecure.

:wink2:

DeNi
Вау ! Ну ты выдал :wink2: Я бы умер столько переводить. Спасиб :drinks:

Firstly, thank you VERY much, DeNi. A lot of users who don't understand Russian, and are pissed of by google's and yahoo's "translations", will find your hard work invaluable. I hope you will continue to help us in the future too. Spasibo!:drinks:

And thank you NightHorror for taking the time to test and review comodo and other security applications. Your hard work is much appreciated.

Now lets come to the topic. I am glad to know that comodo has fixed the proxy-related problems. But I am not installing KAV or Avira again. I'm done with them. More problems than help. Just my opinion, though.
But, as it appears, the Firewall part of CFP is kind of working, right? Sure, there are problems, but considering it's being so new compared to other heavy-weight names, I think it deserves more chances. And, obviously, it's improving quite rapidly. And, talking about holes, I hope you"ll agree that even Jetico had quite a serious feature lacking a few versions ago, namely, self-protection. It is because of this that it failed most leak-tests by Matousec. It is Jetico's explanation, not mine. Nothing is perfect. And as far as security is concerned, firewall can't be the ultimate protection. A solid HIPS is a must. Now, D+ is not, one of the so called "classical" HIPS. But it does have some extra features compared to a classic one. For example, it has an in-built scanner for malware. And a huge database of white-listed and black-listed stuff. But I agree that, that is not the job of a HIPS. And it is also true that it cannot detect the change in applications, if they are modified when D+ is in a disabled state. I think CRC checking is a very essential feature which comodo must implement in the new cfp3. It is very frustrating to not find it in this otherwise excellent free suite. I have contacted them, and I seriously hope they will come up with something. If not, then I think it's time I found a Chinese translator!:smiling:

NightHorror please keep us updated about your current configuration and why you are not using prosecurity or eqsecure.
Comodo is absolutely adamant about not using any crc techniques. All they say is that if you allow a malware to run, then it can do many things and so it's useless to detect any executable modifications. I told them that not all malwares are designed to destroy everything, and that early detection of any modification can prevent a lot of potential troubles. But they just don't seem to understand.:request:

nabarunr.1,

Hello!
Now i have neither ProSecurity (project down and i cant activate it) nor EQSecure (too much glucks).
I absolutely lazy now - i have KIS 2009 on one comp and Comodo on second :)
And waiting for EQSecure 4.0 Final.

Comodo staff dont right, i think. If you occasionally run malware and it occasionally modify some critical files - its better if you have an alert after run this modifyed .exe

Make CRC check of executables is not havy system load function and may implement easy. Possible he can make it optional (in settings).
But if he adamant about not using crc - its his choise.

In some future i going to try Online Armour.

All they say is that if you allow a malware to run, then it can do many things and so it's useless to detect any executable modifications.
Hmmm. Useless ? User will be know that executable is modyfied (without sanction) and can will be do some additional check on modifyed execs.

NightHorror,
Thanks for the quick reply.
Trying comodo? HaHa.. May be you"ll come up with some more holes (and make me a little more paranoid):fellow:
Tell me about the impact of the new KIS on surfing speed and overal computer reactivity. The earlier versions were very intrusive.
You are right about crc. Comodo says they "have a file filter driver", and so they can detect any changes to a file and so they don't need any crc technique. But obviously their claims are ridiculously untrue. Malware writers particularly try to omit patterns matching any "protocols". crc32 too is far from perfect. Any malware can change a file and then pad it to match the crc. But a combination of detection techniques could be much more effective. I wonder why people are so dumb. I think EQSecure v4 final would be worth trying out. Updates (with proper translations) seem to take ages though.:brick:

комод по мимо глючности ! сливет еще + всю инфу с компа !

nabarunr.1, hi i didn't know who to contact so ill go with u i really appreciate what u bring to us "the users" so i want to share my ftp with u download as much as u want from it cause when u give something we give back

ftp://Leecher:Leecher@78.90.190.18:21

Share only with friends ;)

http://www.matousec.com/projects/proactive-security-challenge/results.php - Последние результаты тестинга от Матусек. КИС 2010 - на высоте! Второе место! Такого ещё не было ;) Раньше только в "зелёном Good" находился!:yahoo:

Каспер рулит УРААА!!!

Чего-то меня разочаровали тесты Avira,а AVG я вообще не нашел:shok:

Чего-то меня разочаровали тесты Avira,а AVG я вообще не нашел:shok:
После последнего каспера я вообще на другие не смотрю!!!

garry1126, АВГ и Авира - никогда не славились своими файрволлами. Комодо что-то на третьем месте, странно..Хотя учитывая тот факт, что сейчас продукт постоянно обновляется, думаю скоро будет суперзащита для компа.

А , вообще, big спасибо за эту инфу. Мне кажется очень полезной.

from my personal experience - ESET v4 is one of the best personal one. and less terrible in tuning up settings. AVG is good too - so good, you have to turn it off in order to use network at all.
they both mainly AV, firewalls is an extra option, but its really well though do.

журнал Хакер тестировал их,описано очень подробно

но не помню где ссыль

Аутпост - наиболее надёжный и профессиональный из общедоступных.

I was surprised that ESET scored so low, on this other site it usually scores really high :p

But that was antivirus and not firewall so I don't know.

AVG firewall is about as effective as AVG anti-virus IMO

from my personal experience - ESET v4 is one of the best personal one. and less terrible in tuning up settings. AVG is good too - so good, you have to turn it off in order to use network at all.
they both mainly AV, firewalls is an extra option, but its really well though do.

Right, actually switched from Comodo to Eset and i am happy with it. Many settings and rules to control internet access and traffic.

My opinion is based on very big experience with all kind of threats for
the security and for the general work of many version of Windows:

this total security software is not responding adequate to some major threats like info stealing viruses, addware and malware including fake antivrus programs that downloads viruses and stealling info from your PC.
It fails to protect mainly Windows 2000/XP based systems and Server 2000/2003 systems.
There are 4 very bad Autorun viruses and the ESET program detects only one of them, for example Norton 360 v4.0 detects only one of them too, but Avira, McAfee and Kaspersky detects them all.