Hodnocení bezpečnosti firewallů pro systém Windows 7. Garion, Warlock

Vysoká škola –CENSORED– Fakulta –CENSORED– Katedra –CENSORED–

Rešeršní práce

Hodnocení bezpečnosti firewallů pro systém Windows 7 Garion, Warlock

Studijní program: –CENSORED– Obor: –CENSORED– 22. března 2010

Obsah 1 Úvod 2 Testovací programy 2.1 Popis testovacího balíku 2.2 Popis testů . . . . . . . 2.2.1 Úroveň 1 . . . . 2.2.2 Úroveň 2 . . . . 2.2.3 Úroveň 3 . . . . 2.2.4 Úroveň 4 . . . . 2.2.5 Úroveň 5 . . . . 2.2.6 Úroveň 6 . . . . 2.2.7 Úroveň 7 . . . . 2.2.8 Úroveň 8 . . . . 2.2.9 Úroveň 9 . . . . 2.2.10 Úroveň 10 . . . .

1

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

2 2 2 2 4 5 7 8 10 12 14 15 16

3 Testování firewallů 3.1 Základní nastevení . . . . . . . . . . . 3.2 Testy firewallů . . . . . . . . . . . . . 3.2.1 AVG Internet Security . . . . . 3.2.2 BitDefender Internet Security . 3.2.3 Comodo Internet Security . . . 3.2.4 ESET Internet Security . . . . 3.2.5 Jetico Personal Firewall . . . . 3.2.6 Kaspersky Internet Security . . 3.2.7 Norton Internet Security . . . . 3.2.8 Outpost Security Suite . . . . . 3.2.9 Trend Micro Internet Security . 3.2.10 ZoneAlarm Firewall . . . . . . 3.3 Celkové výsledky . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

17 17 18 18 20 22 25 27 30 32 35 37 40 43

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

4 Závěr

44

Literatura

45

iv

Seznam tabulek 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 3.13 3.14 3.15 3.16 3.17 3.18 3.19 3.20 3.21 3.22 3.23 3.24 3.25 3.26 3.27 3.28 3.29 3.30 3.31 3.32 3.33 3.34

AVG Internet Security 9.0 build 707 – úroveň 1, 2 . . . AVG Internet Security 9.0 build 707 – úroveň 3, 4 . . . AVG Internet Security 9.0 build 707 – úroveň 5, 6 . . . AVG Internet Security 9.0 build 707 – úroveň 7, 8 . . . AVG Internet Security 9.0 build 707 – úroveň 9, 10 . . . AVG Internet Security 9.0 build 707 – výsledky . . . . . BitDefender Internet Security 2010 – úroveň 1, 2 . . . . BitDefender Internet Security 2010 – úroveň 3, 4 . . . . BitDefender Internet Security 2010 – úroveň 5, 6 . . . . BitDefender Internet Security 2010 – úroveň 7, 8 . . . . BitDefender Internet Security 2010 – úroveň 9, 10 . . . BitDefender Internet Security 2010 – výsledky . . . . . . Comodo Internet Security 3.13 – úroveň 1, 2 . . . . . . . Comodo Internet Security 3.13 – úroveň 3, 4 . . . . . . . Comodo Internet Security 3.13 – úroveň 5, 6 . . . . . . . Comodo Internet Security 3.13 – úroveň 7, 8 . . . . . . . Comodo Internet Security 3.13 – úroveň 9, 10 . . . . . . Comodo Internet Security 3.13 – výsledky . . . . . . . . ESET Smart Security 4.0.474 – úroveň 1, 2 . . . . . . . ESET Smart Security 4.0.474 – úroveň 3, 4 . . . . . . . ESET Smart Security 4.0.474 – úroveň 5, 6 . . . . . . . ESET Smart Security 4.0.474 – úroveň 7, 8 . . . . . . . ESET Smart Security 4.0.474 – úroveň 9, 10 . . . . . . . ESET Smart Security 4.0.474 – výsledky . . . . . . . . . Jetico Personal Firewall 2.1.0.6 – úroveň 1, 2 . . . . . . Jetico Personal Firewall 2.1.0.6 – úroveň 3, 4 . . . . . . Jetico Personal Firewall 2.1.0.6 – úroveň 5, 6 . . . . . . Jetico Personal Firewall 2.1.0.6 – úroveň 7, 8 . . . . . . Jetico Personal Firewall 2.1.0.6 – úroveň 9, 10 . . . . . . Jetico Personal Firewall 2.1.0.6 – výsledky . . . . . . . . Kaspersky Internet Security 2010 9.0.0.736– úroveň 1, 2 Kaspersky Internet Security 2010 9.0.0.736 – úroveň 3, 4 Kaspersky Internet Security 2010 9.0.0.736 – úroveň 5, 6 Kaspersky Internet Security 2010 9.0.0.736 – úroveň 7, 8

v

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

18 18 19 19 19 20 20 21 21 22 22 22 23 23 24 24 24 25 25 26 26 27 27 27 28 28 29 29 29 30 30 31 31 32

SEZNAM TABULEK

3.35 3.36 3.37 3.38 3.39 3.40 3.41 3.42 3.43 3.44 3.45 3.46 3.47 3.48 3.49 3.50 3.51 3.52 3.53 3.54 3.55 3.56 3.57 3.58 3.59 3.60 3.61

Kaspersky Internet Security 2010 9.0.0.736 – úroveň 9, 10 Kaspersky Internet Security 2010 9.0.0.736 – výsledky . . Norton Internet Security 2010 17.0.0.136 – úroveň 1, 2 . . Norton Internet Security 2010 17.0.0.136 – úroveň 3, 4 . . Norton Internet Security 2010 17.0.0.136 – úroveň 5, 6 . . Norton Internet Security 2010 17.0.0.136 – úroveň 7, 8 . . Norton Internet Security 2010 17.0.0.136 – úroveň 9, 10 . Norton Internet Security 2010 17.0.0.136 – výsledky . . . Outpost Security Suite PRO 2009 10.0.2.15 – úroveň 1, 2 Outpost Security Suite PRO 2009 10.0.2.15 – úroveň 3, 4 Outpost Security Suite PRO 2009 10.0.2.15 – úroveň 5, 6 Outpost Security Suite PRO 2009 10.0.2.15 – úroveň 7, 8 Outpost Security Suite PRO 2009 10.0.2.15 – úroveň 9, 10 Outpost Security Suite PRO 2009 10.0.2.15 – výsledky . . Trend Micro Internet Security Pro 1.7 – úroveň 1, 2 . . . Trend Micro Internet Security Pro 1.7 – úroveň 3, 4 . . . Trend Micro Internet Security Pro 1.7 – úroveň 5, 6 . . . Trend Micro Internet Security Pro 1.7 – úroveň 7, 8 . . . Trend Micro Internet Security Pro 1.7 – úroveň 9, 10 . . . Trend Micro Internet Security Pro 1.7 – výsledky . . . . . ZoneAlarm Basic Firewall 9.0 – úroveň 1, 2 . . . . . . . . ZoneAlarm Basic Firewall 9.0 – úroveň 3, 4 . . . . . . . . ZoneAlarm Basic Firewall 9.0 – úroveň 5, 6 . . . . . . . . ZoneAlarm Basic Firewall 9.0 – úroveň 7, 8 . . . . . . . . ZoneAlarm Basic Firewall 9.0 – úroveň 9, 10 . . . . . . . . ZoneAlarm Basic Firewall 9.0 – výsledky . . . . . . . . . . Celkové výsledky . . . . . . . . . . . . . . . . . . . . . . .

vi

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

32 32 33 33 34 34 34 35 35 36 36 37 37 37 38 38 39 39 39 40 40 41 41 42 42 42 43

Kapitola 1

Úvod Již od prvopočátků vzniku sítí a Internetu vznikaly aplikace, které se těchto spojení mezi počítači a jinými zařízeními snažily využít, někdy i zneužít. Někdy šlo o nevinné žerty mezi kamarády, kdy se jeden druhému snažily nabourat do počítače, jindy se jednalo a vážné porušení bezpečnosti ať už státních či soukromých subjektů. Vzniklo tedy nové odvětví počítačového softwaru, které se zaměřuje právě na ochranu počítačů a sítí před nevyžádaným vnikem hackerů respektive programů jimy používaných. Jednou z těchto aplikací je také firewall. Jeho podstatou je přímé zabraňování aplikacím k přístupu do a ze sítě. Dále také ochrana proti spouštěním nevyžádaných aplikací, ochrana paměťového prostoru spuštěných aplikací před zásahem externích programů. Často obsahuje také nástroje pro ochranu registrů operačního systému a jeho důležitých souborů. Operační systém Windows 7 je novou generací operačních systémů od firmy Microsoft. S jeho příchodem se ovšem nevytracejí otázky bezpečnosti systému, spíše narůstají. S každou novou funkcí, dostupnou v operačním systému, také vzniká potenciální možnost tuto funkci zneužít pro zisk dat či kontroly nad systémem. Vzhledem k tomu, že Windows 7 jsou operačním systémem poměrně novým, nejsou jistě známa všechna bezpečností rizika s ním spojená. Dobrý firewall je tedy obzvláště v tomto případě prvním správným krokem při přechodu na tento operační systém.

1

Kapitola 2

Testovací programy 2.1

Popis testovacího balíku

Testovací programy byly převzaty z projektu matousec.com [1], konkrétně se jedná o Security Software Testing Suite [2], kterou tento projekt používá. Testy jsou koncipovány pro testování běžných i méně běžných chyb ve firewallech, ať už jako jednoduché programy napsané v jazyce C/C++ či jako jednoduchá systémová volání nebo separátní utility (Driver Verifier [3], BSODhook [4])1 . Testy jsou dle náročnosti na kvalitu firewallu rozděleny do deseti úrovní, tyto úrovně budou zachovány. Dle úrovní a počtu testů v úrovni budou jednotlivým testům přiděleny jejich procentuální váhy. Součtem těchto vah se určí konečné hodnocení jednotlivých firewallů.

2.2 2.2.1

Popis testů Úroveň 1

Breakout2 – 1,11% Breakout2 testuje možnost obejití firewallu pomocí rozhraní Active Desktop COM. Jeho účelem je změnit tapetu na ploše. Odstranění tapety je vyřešeno lokální, nová tapeta se stahuje z internetu. Jako neúspěch testu je tedy považována nová tapeta na ploše ve formě webové stránky s obsahem informujícím o neúspěšnosti testu. Coat – 1,11% Coat testuje možnost obejití firewallu pomocí identifikování sama sebe jako výchozí internetový prohlížeč, který je s největší pravděpodobností považován ve firewallu za důvěryhodný, a poté přistupování na webové stránky projektu matouse.com. Jako neúspěch testu je tedy považováno úspěšné načtení webové stránky a vypsání informace o neúspěchu do příkazové řádky. 1 V případě, že mají systémová volání pod systémem Windows 7 jiný název, než očekávaný, jsou testy provedeny pod systémem Windows XP na stejne konfigurace hardwaru se stejnou verzí firewallu.

2

KAPITOLA 2. TESTOVACÍ PROGRAMY

3

ECHOtest – 1,11% ECHOtest testuje, zda firewall filtruje ICMP pakety tak, že se snaží zaslat vzdálenému serveru pakety ve formě ICMP ECHO požadavků. Jako neúspěch je tedy považováno přijmutí odpovědi od serveru a vypsání informace o neúspěchu do příkazové řádky. Kill1 – 1,11% Kill1 testuje, zda firewall chrání své vlastní spuštěné procesy tak, že se snaží je ukončit a převzít jejich handlery. Jako neúspěch je považován zisk alespoň jednoho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Kill2 – 1,11% Kill2 je obdobou testu Kill1, používá však jinou metodu pro ukončování procesů. Testuje, zda firewall chrání své vlastní spuštěné procesy tak, že se snaží je ukončit a převzít jejich handlery. Jako neúspěch je považován zisk alespoň jednoho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Leaktest – 1,11% Leaktest testuje, zda firewall filtruje odchozí TCP pakety tak, že se snaží spojit s webovým serverem. Jako neúspěch je tedy považováno kontaktování serveru a vypsání informace o neúspěchu do příkazové řádky. Tooleaky – 1,11% Tooleaky testuje, zda firewall kontroluje spouštění Internet Exploreru. Pokouší se spustit Internet Explorer, kterému jako parametr předá URL. Toto URL také obsahuje data, která se program snaží přenést. Po spuštění Internet Exploreru je automaticky přesměrován pomocí tohoto URL. Jako neúspěch je tedy považováno spuštění Internet Exploreru, kontaktování serveru a vypsání informace o neúspěchu do příkazové řádky. Wallbreaker1 – 1,11% Wallbreaker1 testuje, zda firewall kontroluje spouštění Windows Exploreru (Průzkumníku Windows). Funguje na podobném principu jako test Tooleaky. Snaží se spustit Windows Explorer tak, aby ten spustil Internet Explorer s URL parametrem. Jako neúspěch je tedy považováno spuštění Windows Exploreru respektive Internet Exploreru, kontaktování serveru a vypsání informace o neúspěchu do příkazové řádky. Yalta – 1,11% Yalta testuje, zda firewall filtruje odchozí UDP pakety tak, že se snaží spojit s webovým serverem. Jako neúspěch je tedy považováno kontaktování serveru a vypsání informace o neúspěchu do příkazové řádky.

KAPITOLA 2. TESTOVACÍ PROGRAMY

2.2.2

4

Úroveň 2

AWFT1 – 1,11% AWFT1 testuje, zda firewall umožňuje nedůvěryhodným procesům spouštět a v paměti modifikovat výchozí prohlížeč. Nejprve se spustí výchozí prohlížeč jako uspaný proces, poté je do alokované paměti prohlížeče vložen infikovaný kód a prohlížeč je nastaven tak, aby po svém probuzení kód vykonal. V našem případě se kód pouze snaží o přístup na internet. Jako neúspěch testu je tedy považováno přístoupení k webovému serveru a vypsání informace o neúspěchu do příkazové řádky. DNStest – 1,11% DNStest testuje, zda firewall dokáže rozlišit čistý a infikovaný Service Host proces. Nejprve je v registrech nalezena IP name serveru, poté je vytvořen nový proces svchost.exe, do kterého je vložen infikovaný kód. Poté je tento proces spuštěn, v našem případě se snaží získat odpověď na vytvořený DNS dotaz. Jako neúspěch testu je tedy považováno získání odpovědi na DNS dotaz a vypsání informace o neúspěchu do příkazové řádky. Ghost – 1,11% Ghost testuje, zda firewall správně rozpoznává rodiče procesu. Test nejprve vytvoří svou vlastní kopii, poté spustí Internet Explorer s URL parametrem a co nejdříve se ukončí. Jako neúspěch je tedy považováno načtení webové stránky a vypsání informace o neúspěchu do příkazové řádky. Jumper – 1,11% Jumper testuje, zda firewall chrání nastavení Internet Exploreru. Test nejprve změní domovskou stránku Internet Exploreru a poté Internet Explorer spustí. Jako neúspěch je tedy považováno načtení nové domovské stránky a vypsání informace o neúspěchu do příkazové řádky. Kill3 – 1,11% Kill3 testuje, zda může výt firewall vypnut ukončovacím signálem zaslaným nedůvěryhodným procesem. Konkrétními API signály jsou WM_CLOSE, WM_QUIT a WM_SYSCOMMAND s parametrem SC_CLOSE, které jsou zaslány všem procesům, které firewall používá. Jako neúspěch je tedy považováno ukončení alespoň jednoho procesu a vypsání informace o neúspěchu do příkazové řádky. Kill3b – 1,11% Kill3b vychází z testu Kill3, rozdílem je pouze jiná metoda zasílání zpráv. Jako neúspěch je tedy považováno ukončení alespoň jednoho procesu a vypsání informace o neúspěchu do příkazové řádky.

KAPITOLA 2. TESTOVACÍ PROGRAMY

5

Kill6 – 1,11% Kill6 testuje, zda firewall umožňuje připojit ke svým procesům debugger. Test využívá API funkce NtCreateDebugObject a NtDebugActiveProcess k vytvoření debugovacího objektu a jeho připojení k procesům firewallu. Smazání debugovacího objektu způsobí ukončení procesu firewallu. Jako neúspěch je považováno ukončení alespoň jednoho procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Wallbreaker3 – 1,11% Wallbreaker3 testuje, zda firewall povolí spuštění infikované instance Internet Exploreru pomocí příkazové řádky. Pomocí příkazové řádky je spuštěn Internet Explorer s URL parametrem, který obsahuje data pro přenos. Jako neúspěch je tedy považováno načtení webové stránky a vypsání informace o neúspěchu do příkazové řádky. Wallbreaker4 – 1,11% Wallbreaker4 funguje na podobném principu jako Wallbreaker3, avšak nepouší příkazovou řádku přímo, ale pomocí at.exe vytvoří její naplánované spuštění. Jako neúspěch je tedy považováno načtení webové stránky a vypsání informace o neúspěchu do příkazové řádky.

2.2.3

Úroveň 3

AWFT3 – 1% AWFT3 funguje na podobném principu jako test Thermite, ovšem pracuje s Prohlížečem sysému Windows namísto výchozího prohlížeče. Jako neúspěch je tedy považována úspěšná manipulace s pamětí prohlížeče a vypsání informace o neúspěchu do příkazové řádky. AWFT4 – 1% AWFT4 testuje, zda je možné infikovat Prohlížeč systému Windows tak, aby spustil Internet Explorer a zaslal data webovému serveru. Jako neúspěch je tedy považována úspěšná manipulace s pamětí prohlížeče tak, aby spustil Internet Explorer a kontaktoval webový server, a vypsání informace o neúspěchu do příkazové řádky. DNStester – 1% DNStester testuje, zda firewall správně filtruje DNS dotazy od nedůvěryhodných procesů. Tento test používá standardní API funkci DnsQuery pro vytvoření DNS dotazu. Jako neúspěch je tedy považováno obdržení odpovědi na DNS dotaz a vypsání informace o neúspěchu do příkazové řádky.

KAPITOLA 2. TESTOVACÍ PROGRAMY

6

Kernel1 – 1% Kernel1 testuje, zda firewall zabraňuje nahrání ovladače do kernelu operačního systému. Test používá standardní funkci NtLoadDriver. Jako neúspěch je tedy považováno nahrání ovladače do kernelu operačního systému a vypsání informace o neúspěchu do příkazové řádky. Kill3f – 1% Kill3f pracuje na podobném principu jako Kill3 respektive Kill3b, ovšem neomezuje se pouze na signály WM_CLOSE, WM_QUIT a WM_SYSCOMMAND, ovšem snaží se postupně zaslat všechny existující signály. Jako neúspěch je tedy považováno ukončení alespoň jednoho procesu a vypsání informace o neúspěchu do příkazové řádky. Kill4 – 1% Kill4 testuje, zda je možné vytvořit v procesech firewallu nová vlánka. Případné nově vytvořené vlánko obsahuje kód pro zavolání standardní API funkce ExitProcess. Jako neúspěch je považováno ukončení alespoň jednoho procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Kill7 – 1% Kill7 testuje, zda je možné do procesů firewallu vložit infikovanou knihovnu DLL. K tomuto test využívá debugovací práva a API funkci LoadLibrary. Infikovaná knihovna obsahuje kód pro ukočení procesu. Jako neúspěch je považováno ukončení alespoň jednoho procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. SSS2 – 1% SSS2 testuje, zda firewall chrání před vypnutím systému, dokud se neukončí všechny spuštěné nedůvěryhodné aplikace. Jako neúspěch je tedy považováno neukončení některé ze spuštěných nedůvěryhodných aplikací. V případě, že dojde k vypnutí systému, ovšem všechny nedůvěryhodné aplikace byly ukočeny, považuje se test za úspěšný na 50%. Suspend1 – 1% Suspend1 testuje, zda je firewall umožňuje nedůvěryhodným aplikacím uspat některé ze svých vláken respektive procesů. Jako neúspěch je považováno uspání alespoň jednoho vlákna či procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%.

KAPITOLA 2. TESTOVACÍ PROGRAMY

7

Thermite – 1% Thermite testuje, zda firewall blokuje pokusy manipulovat s pamětí běžící instance výchozího prohlížeče. Tento test využívá standardní API funkce CreateRemoteThread pro spuštění infikovaného kódu uvnitř výchozího prohlížeče. Jako neúspěch je tedy považováno úspěšné kontaktování webového serveru a vypsání informace o neúspěchu do příkazové řádky.

2.2.4

Úroveň 4

CopyCat – 1% CopyCat funguje na podobném principu jako test Thermite, ovšem nevytváří nové vlákno, ale modifikuje existující vlákno tak, že ho uspí a poté změní kód, kterým má po probuzení pokračovat. Jako neúspěch je tedy považována úspěšná manipulace s vlákny prohlížeče a vypsání informace o neúspěchu do příkazové řádky. CPIL – 1% CPIL funguje na podobném principu jako test AWFT4, ovšem místo Prohlížeše systému Windows používá spuštění Internet Exploreru s URL parametrem přes příkazovou řádku. Jako neúspěch je tedy považováno úspěšné zkontaktování webového serveru a vypsání informace o neúspěchu do příkazové řádky. CPILSuite1 – 1% CPILSuite1 funguje na podobném principu jako test AWFT1, avšak snaží se modifikovat fyzická data uspaného procesu na disku. Test je spuštěn jako běžný proces s uživatelskými právy, nikoliv jako proces administrátora. Jako neúspěch testu je tedy považováno přístoupení k webovému serveru a vypsání informace o neúspěchu do příkazové řádky.2 Kernel1b – 1% Kernel1b funguje na podobném principu jako test Kernel1, ovšem snaží se nahrát ovladač tak, že nemodifikuje hodnotu „ImagePath” v registrech, která se obvykle pro nahrávání ovladačů používá. Jako neúspěch je tedy považováno nahrání ovladače do kernelu operačního systému a vypsání informace o neúspěchu do příkazové řádky. Keylog1 – 1% Keylog1 testuje, zda firewall blokuje pokusy o čtení vstupů z klávesnice pomocí systémového volání GetKeyState. Jako neúspěch je tedy považováno získání vstupu z klávesnice a vypsání informace o neúspěchu do příkazové řádky.3 2 Tento test může mít za následek nevyžádaný tvrdý restart systému Windows. Toto není jeho účelem a jedná se pravděpodobně o chybu v kódu testu. 3 Může se stát, že se test vyhodnotí jako úspěšný, i když je program schopen zachytávat vstup z klávesnice. Rozhodující je výpis programu při běhu testu v pozadí.

KAPITOLA 2. TESTOVACÍ PROGRAMY

8

Kill3e – 1% Kill3e funguje na podobném principu jako Kill3, ovšem místo systémového volání SendMessage používá systémové volání PostThreadMessage. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. Kill8 – 1% Kill8 testuje, zda je možné do procesů firewallu vložit infikovaný kód. Nejprve se získají debugovací práva na procesy firewallu, poté se spustí pomocný proces, do nějž se vloží kód. Systémové volání CreateRemoteThread je použito pro vytvoření nového vlákna uvnitř pomocného procesu. Jako pomocný proces můžou být použity „services.exe”, „winlogon.exe”, „lsass.exe” a „csrss.exe”. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. Kill9 – 1% Kill9 testuje, zda se firewall chrání před neoprávněným použitím job objektů. Test vytvoří nový job objekt, přiřadí ho procesům firewallu a pomocí systémového volání TerminateJobObject se snaží procesy firewallu ukončit. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. SSS – 1% SSS funguje na podobném principu jako test SSS2, ovšem nepokouší se operační systém vypnout, ovšem pouze odhlásit uživatele. Zaslaná zpráva WM_QUERYENDSESSION také narozdíl od testu SSS2 neukončí tento test. Jako neúspěch je tedy považováno neukončení některé ze spuštěných nedůvěryhodných aplikací. V případě, že dojde k vypnutí systému, ovšem všechny nedůvěryhodné aplikace byly ukočeny, považuje se test za úspěšný na 50%. Suspend2 – 1% Suspend1 testuje, zda je firewall umožňuje nedůvěryhodným aplikacím uspat některé ze svých vláken respektive procesů. Pro uspání procesů používá systémové volání ZwSuspendProcess. Jako neúspěch je považováno uspání alespoň jednoho vlákna či procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%.

2.2.5

Úroveň 5

Breakout1 – 0,83% Breakout1 testuje, zda firewall chrání Internet Explorer před manipulací pomocí zasílání zpráv. Před začátkem tohoto testu musí být Internet Explorer spuštěn. Tento test používá systémová volání FindWindowEx, SendMessage a PostMessage. Jako neúspěch je tedy považováno přesměrování Internet Exploreru na novou adresu a vypsání informace o neúspěchu do příkazové řádky.

KAPITOLA 2. TESTOVACÍ PROGRAMY

9

CPILSuite2 – 0,83% CPILSuite2 testuje, zda firewall zabraňuje infikování Internet Exploreru pomocí zavedení event hooku. K připojení hooku je použito systémové volání SetWinEventHook, hook je připojen ke všem událostem Internet Exploreru, obsluha událostí je uložena v knihovně DLL, tato knihovna obsahuje infikovaný kód. Jako neúspěch je tedy považováno přesměrování Internet Exploreru na novou adresu a vypsání informace o neúspěchu do příkazové řádky. Crash1 – 0,83% CPILSuite1 testuje, zda firewall zabraňuje nedůvěryhodným aplikacím poškodit obsah svých vláken. Pro poškození obsahu vláken je použito systémové volání SetThreadContext. Jako neúspěch je považováno ukončení alespoň jednoho vlákna a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Crash2 – 0,83% Crash2 testuje, zda může být firewall ukončen poškozením jeho alokovaných bloků v paměti. Poškození bloků je realizováno zavoláním API funkce VirtalProtectEx a nastevním přístupových práv pro všechny bloky na PAGE_NOACCESS. Jako neúspěch je považováno ukončení alespoň jednoho procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Crash3 – 0,83% Crash3 testuje, zda je možné firewall ukončit přepsáním jeho paměťových bloků. Přepsání je realizováno pomocí systémového volání WriteProcessMemory. Jako neúspěch je považováno ukončení alespoň jednoho procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Crash4 – 0,83% Crash4 testuje, zda je může být firewall ukončen naalokováním veškeré virtuální paměti, kterou má k dispozici. Alokace je realizována zavoláním API funkce VirtualAllocEx. Jako neúspěch je považováno ukončení alespoň jednoho procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Kernel2 – 0,83% Kernel2 testuje, zda je možné nahrát systémový ovladač pomocí Service Control Manageru. Jako neúspěch je tedy považováno nahrání ovladače a vypsání informace o neúspěchu do příkazové řádky.

KAPITOLA 2. TESTOVACÍ PROGRAMY

10

Kernel3 – 0,83% Kernel3 testuje, zda firewall umožňuje nahrání systémového ovladače pomocí nezdokumentovaných systémových volání. Tento test používá volání NtSetSystemInformation a třídu SystemLoadAndCallImage. Jako neúspěch je tedy považováno nahrání ovladače a vypsání informace o neúspěchu do příkazové řádky. Keylog2 – 0,83% Keylog2 funguje na podobném principu jako Keylog1, ovšem využívá systémové volání GetAsyncKeyState. Jako neúspěch je tedy považováno získání vstupu z klávesnice a vypsání informace o neúspěchu do příkazové řádky.4 Kill3c – 0,83% Kill3c funguje na podobném principu jako Kill3, ovšem používá systémové volání SendMessageCallback. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. Kill3d – 0,83% Kill3d funguje na podobném principu jako Kill3, ovšem používá systémové volání SendNotifyMessage. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. VBStest – 0,83% VBStest testuje, zda je možné obejít firewall pomocí skriptu Visual Basic. Tento skript se snaží spustit Internet Explorer s URL parametrem. Jako neúspěch je tedy považováno spuštění Internet Exploreru, načtení webové stránky a vypsání informace o neúspěchu do příkazové řádky.

2.2.6

Úroveň 6

CPILSuite3 – 0,77% CPILSuite3 funguje na podobném principu jako CPILSuite2, ovšem místo spuštění Internet Exploreru s URL parametrem spustí instanci výchozího prohlížeče a pro přechod na webovou stránku použije dynamickou výměnu dat (DDE). Jako neúspěch je tedy považováno přesměrování výchozího prohlížeče na novou adresu a vypsání informace o neúspěchu do příkazové řádky. 4 Může se stát, že se test vyhodnotí jako úspěšný, i když je program schopen zachytávat vstup z klávesnice. Rozhodující je výpis programu při běhu testu v pozadí.

KAPITOLA 2. TESTOVACÍ PROGRAMY

11

Crash5 – 0,77% Crash5 testuje, zda je možné firewall ukončit pomocí vzdáleného ukončení všech jeho handlerů. Pro ukončení handlerů se používá systémové volání DuplicateHandle. Jako neúspěch je považováno ukončení alespoň jednoho vlákna či procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Crash6 – 0,77% Crash6 testuje, zda je možné firewall ukončit pomocí zahlcení všech jeho handlerů. Pro zahlcení handlerů se používá systémové volání DuplicateHandle. Jako neúspěch je považováno ukončení alespoň jednoho vlákna či procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. DDEtest – 0,77% DDEtest testuje, zda firewall chrání Interner Explorer před manipulací nedůvěryhodnou aplikací pomocí protokolu DDE. DDE se v tomto případě použije pro spuštění Internet Exploreru s WWW_OpenURL topicem. Jako neúspěch je tedy považováno přesměrování výchozího prohlížeče na novou adresu a vypsání informace o neúspěchu do příkazové řádky. ECHOtest2 – 0,77% ECHOtest2 funguje na podobném principu jako ECHOtest, ovšem k posílání ICMP paketů používá funkce IP Helperu. Jako neúspěch je tedy považováno přijmutí odpovědi od serveru a vypsání informace o neúspěchu do příkazové řádky. FireHole – 0,77% FireHole funguje na podobném principu jako CPILSuite2, ovšem pracuje s výchozím prohlížečem a pro zavedení hooku používá API funkci SetWindowsHookEx. Jako neúspěch je tedy považováno přesměrování výchozího prohlížeče na novou adresu a vypsání informace o neúspěchu do příkazové řádky. Flank – 0,77% Flank testuje, zda firewall zabraňuje manipulaci Internet Exploreru za použití rozhraní IWebBrowser2 [5]. Jako neúspěch je tedy považováno získání dat z internetu a vypsání informace o neúspěchu do příkazové řádky. Kernel4 – 0,77% Kernel4 testuje, zda firewall umožňuje nahrání ovladače pomocí změny cesty již existujícího ovladače audstub k infikovanému ovladači. Test změní hodnotu ImagePath ovladače tak, aby se po restartu systému nahrál infikovaný ovladač. Jako neúspěch je tedy považováno nahrání ovladače a vypsání informace o neúspěchu do příkazové řádky.

KAPITOLA 2. TESTOVACÍ PROGRAMY

12

Keylog3 – 0,77% Keylog3 funguje na podobném principu jako Keylog1, ovšem využívá systémové volání SetWindowsHookEx tak, že připojí hook přímo za výstup z klávesnice. Jako neúspěch je tedy považováno získání vstupu z klávesnice a vypsání informace o neúspěchu do příkazové řádky.5 Keylog4 – 0,77% Keylog4 funguje na podobném principu jako Keylog1, ovšem využívá systémové volání SetWindowsHookEx tak, že připojí hook k frontě vstupních požadavků do systému. Jako neúspěch je tedy považováno získání vstupu z klávesnice a vypsání informace o neúspěchu do příkazové řádky.6 Kill10 – 0,77% Kill10 testuje, zda je možné firewall ukončit pomocí připojení pomocné DLL knihovny k jeho procesům. K připojení knihovny je použita API funkce SetWindowsHookEx. Kód knihovny, který se spustí po jejím načtení, ukončí běh procesu. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. Kill11 – 0,77% Kill11 funguje na podobném principu jako Kill10, ovšem používá jinou metodu pro připojení DLL knihovny k procesům. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. Runner – 0,77% Runner testuje, zda firewall chrání výchozí prohlížeč před přepsáním jeho spouštěcího souboru. Jako neúspěch je tedy považováno úspěšné spuštění výchozího prohlížeče a vypsání informace o neúspěchu do příkazové řádky.7

2.2.7

Úroveň 7

BITStest – 1,11% BITStest možnost obejití firewallu pomocí IBackgroundCopyManager [6] rozhraní Background Intelligent Transfer Service (BITS).Test se pomocí tohoto rozhraní pokouší stáhnout soubor z internetu. Jako neúspěch je tedy považováno úspěšné stažení souboru a vypsání informace o neúspěchu do příkazové řádky. 5 Může se stát, že se test vyhodnotí jako úspěšný, i když je program schopen zachytávat vstup z klávesnice. Rozhodující je výpis programu při běhu testu v pozadí. 6 Může se stát, že se test vyhodnotí jako úspěšný, i když je program schopen zachytávat vstup z klávesnice. Rozhodující je výpis programu při běhu testu v pozadí. 7 Tento test může smazat spouštěcí soubor výchozího prohlížeče, je tedy vhodné ho předem zazálohovat.

KAPITOLA 2. TESTOVACÍ PROGRAMY

13

FireHole2 – 1,11% FireHole2 testuje, zda je firewall chrání výchozí prohlížeč před pokročilými metodami připojení DLL knihovny k procesům prohlížeče. Knihovna je do procesu načtena pomocí metody CreateRemoteThread, které ukazuje na volání LoadLibraryA, jenž načítá knihovny do paměti procesu. Jako neúspěch testu je tedy považováno úspěšné stažení obsahu a vypsání informace o neúspěchu do příkazové řádky. Keylog5 – 1,11% Keylog5 testuje, zda firewall zabraňuje připojení aplikací k aktivnímu oknu a odposlouchávání vstupu uživatele. K připojení testu je použita metoda AttachThreadInput. Jako neúspěch je tedy považováno získání vstupu z klávesnice a vypsání informace o neúspěchu do příkazové řádky.8 Keylog6 – 1,11% Keylog6 testuje, zda firewall zabraňuje vytvoření fiktivního vstupního zařízení k získání dat přímo z klávesnice. Pro vytvoření vstupního zařízení je použito volání RegisterRawInputDevices a k získání dat z klávesnice API funkce GetRawInputData. Jako neúspěch je tedy považováno získání vstupu z klávesnice a vypsání informace o neúspěchu do příkazové řádky.9 Kill12 – 1,11% Kill12 testuje, zda firewall chrání své procesy před ukončením pomocí vytvoření APC (Asynchronous Procedure Call). Test vytvoří APC ve vláknech procesu. Tyto APC obsahují volání ExitProcess, které ukončují procesy firewallu. Jako neúspěch je považováno ukončení alespoň jednoho procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. OSfwbypass – 1,11% OSfwbypass testuje, zda firewall odchytí zobrazení HTML stránky s poškozujícím obsahem. Pomocí funkce ShowHTMLDialog se vytvoří lokální HTML soubor, který přesměruje Internet Explorer na stránku s poškozujícím obsahem. Jako neúspěch je tedy považováno přesměrování výchozího prohlížeče na novou adresu a vypsání informace o neúspěchu do příkazové řádky. Runner2 – 1,11% Runner2 testuje, zda firewall chrání binární obraz výchozího prohlížeče. Funguje na podobném principu jako Runner, ovšem místo spuštění prohlížeče přímo čeká, až prohlížeč spustí uživatel. Jako neúspěch je tedy považováno úspěšné spuštění výchozího prohlížeče a vypsání informace o neúspěchu do příkazové řádky.10 8 Může se stát, že se test vyhodnotí jako úspěšný, i když je program schopen zachytávat vstup z klávesnice. Rozhodující je výpis programu při běhu testu v pozadí. 9 Může se stát, že se test vyhodnotí jako úspěšný, i když je program schopen zachytávat vstup z klávesnice. Rozhodující je výpis programu při běhu testu v pozadí. 10 Tento test může smazat spouštěcí soubor výchozího prohlížeče, je tedy vhodné ho předem zazálohovat.

KAPITOLA 2. TESTOVACÍ PROGRAMY

14

Schedtest – 1,11% Schedtest testuje, zda firewall umožňuje nedůvěryhodným aplikacím vytvářet události přes rozhraní Task Scheduler COM. Událost vytvořená pomocí ITaskScheduler [7] ve výsledku spustí Internet Explorer a přesměruje ho na novou webovou stránku. Jako neúspěch je tedy považováno spuštění Internet Exploreru, kontaktování serveru a vypsání informace o neúspěchu do příkazové řádky. SSS3 – 1,11% SSS3 funguje na podobném principu jako test SSS2, ovšem k vyvolání vypnutí systému používá volání InitiateSystemShutdownW. Jako neúspěch je tedy považováno neukončení některé ze spuštěných nedůvěryhodných aplikací. V případě, že dojde k vypnutí systému, ovšem všechny nedůvěryhodné aplikace byly ukočeny, považuje se test za úspěšný na 50%.

2.2.8

Úroveň 8

Kernel4b – 1,25% Kernel4b funguje na podobném principu jako test Kernel4, ovšem ke změně proměnné ImagePath používá funkci RegRestoreKey. Jako neúspěch je tedy považováno nahrání ovladače a vypsání informace o neúspěchu do příkazové řádky. Kernel5 – 1,25% Kernel5 testuje, zda firewall umožňuje nedůvěryhodným aplikacím použít systémové debugovací rozhraní ke spuštění kódu v kernel módu. Pomocí systémové služby NtSystemDebugControl je vytvořen hook. Jeho ovladač je nastaven pomocí NewNtRequestDeviceWakeup, tak, že buď čte či zapisuje do virtuální paměti, která je přístupná z úrovně PASSIVE_LEVEL [8]. Jako neúspěch je tedy považováno nahrání ovladače a vypsání informace o neúspěchu do příkazové řádky. Keylog7 – 1,25% Keylog7 testuje, zda firewall zabraňuje nedůvěryhodným aplikacím v použítí rozhraní DirectX pro odposlouchávání vstupu uživatele. Jako neúspěch je tedy považováno získání vstupu z klávesnice a vypsání informace o neúspěchu do příkazové řádky.11 Kill5 – 1,25% Kill5 testuje, zda je možné ukončit firewall pomocí standardního volání pro ukončení aplikace. Toto volání používá API funkci EndTask. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. 11 Může se stát, že se test vyhodnotí jako úspěšný, i když je program schopen zachytávat vstup z klávesnice. Rozhodující je výpis programu při běhu testu v pozadí.

KAPITOLA 2. TESTOVACÍ PROGRAMY

15

NewClass – 1,25% NewClass testuje, zda firewall správně chrání před zneužitím OLE objektů. V registrech je vytvořena nová třída, jejíž lokální server je nastaven tak, aby spustil příkazovou řádku a z ní Internet Explorer s URL parametrem. Poté se pokusí vytvořit novou instanci této třídy. Tento pokus selže, ovšem systémový COM server provede kód pro spuštění lokálního serveru. Jako neúspěch je tedy považováno přesměrování výchozího prohlížeče na novou adresu a vypsání informace o neúspěchu do příkazové řádky. Schedtest2– 1,25% Schedtest2 funguje na podobném principu jako test Wallbreaker4, ovšem místo spuštění at.exe se pokouší vytvořit naplánované spuštění aplikace pomocí volání NetScheduleJobAdd. Jako neúspěch je tedy považováno načtení webové stránky a vypsání informace o neúspěchu do příkazové řádky. SockSnif – 1,25% SockSnif testuje, zda firewall umožňuje připojení nedůvěryhodných aplikací přímo k síťovému rozhraní a odposlouchávání příchozích i odchozích paketů. K odposlouchávání je použit socket, který je nabindován na lokální síťovou adresu. Jako neúspěch je tedy považováno úspěšné nabindování socketu a vypsání informace o neúspěchu do příkazové řádky. SSS4 – 1,25% SSS4 funguje na podobném principu jako test SSS, ovšem nevyvolává vypnutí systému sám, ale čeká, až tak učiní uživatel. Jako neúspěch je tedy považováno neukončení některé ze spuštěných nedůvěryhodných aplikací před ukončením firewallu a vypsání informace o neúspěchu do příkazové řádky.

2.2.9

Úroveň 9

Crash7 – 5% Crash7 testuje, zda je možné ukončit firewall alokováním veškeré systémové paměti. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. Driver Verifier – 5% Driver Verifier je program od firmy Microsoft [3], který ověřuje korektnost všch instalovaných ovladačů. Ověření je dokončeno, pokud vytížení procesů firewallu klesne na běžnou úroveň. Jako neúspěch je považován pád systému při ověřování. Pokud systém po testu nelze použít, považuje se test za úspěšný na 50%.12 12 Je možné, že test způsobí pád systému. Je vhodné si nejdříve zazálohovat rozpracovaná data a ukončit všechny nepotřebné aplikace.

KAPITOLA 2. TESTOVACÍ PROGRAMY

2.2.10

16

Úroveň 10

BSODhook – 5% BSODhook je program, který testuje stabilitu ovladačů využívajících služeb kernelu. Program se snaží volat systémové služby a vyvolávat jejich nestandardní ukončení. Pokud je služba nestandardně ukončena, BSODhook zachytí toto ukončení a místo ukončení operačního systému vyvolá chybu jinéhé rázu tak, aby běh systému pokračoval. Při každám takovém ukončení jsou zaznamenány parametry volání, které způsobily pád služby. Tento způsob umožňuje vývojářům snadno nacházet a opravovat chyby v jimi vytvořených ovladačích. Za každou funkci, která způsobí pád systému, je odečteno 0,5%. Za každou funkci, která nezpůsobí pád systému, ale poškodí ho, je odečteno 0,25%.13 ShadowHook – 5% ShadowHook je pouze název druhé verze BSODhooku přidávající podporu pro GDI hooky. Testování tedy probíhá v aplikaci BSODhook, ovšem místo testování SSDT hooků testoujeme GDI hooky. Za každou funkci, která způsobí pád systému, je odečteno 0,5%. Za každou funkci, která nezpůsobí pád systému, ale poškodí ho, je odečteno 0,25%.14

13 Je možné, že test způsobí pád systému. Je vhodné si nejdříve zazálohovat rozpracovaná data a ukončit všechny nepotřebné aplikace. 14 Je možné, že test způsobí pád systému. Je vhodné si nejdříve zazálohovat rozpracovaná data a ukončit všechny nepotřebné aplikace.

Kapitola 3

Testování firewallů 3.1

Základní nastevení

Všechny testy probíhají na firewallech s původním nastavením, které je vytvořeno při instalaci firewallu. Interner Explorer a případný jiný výchozí prohlížeč jsou nastaveny jako důvěryhodné aplikace s neomezeným přístupem do sítě. Pokud to firewall umožňuje, je nastaven do pokročilého/výukového módu, kdy pro každou akci je vytvořeno pravidlo dle volby uživatele. V případě, že je při testu nutná takováto uživatelova akce, je vždy zvolena možnost „zakázat”, vzhledem k tomu, že běžný uživatel našim testovacím programům nedůvěřuje, protože je nezná a tedy neví, k čemu slouží. Každá instalace firewallu a jeho testování je provedeno na čistém systému.

17

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

3.2 3.2.1

Testy firewallů AVG Internet Security

• Verze: AVG Internet Security 9.0 build 707 [9] • Výrobce: AVG Technologies • Cena: 1345,- Kč s DPH

Tabulka 3.1: AVG Internet Security 9.0 build 707 – úroveň 1, 2 Úroveň 1 Úroveň 2 Název testu Získáno [%] Název testu Získáno [%] Breakout2 0 AWFT1 0 Coat 1,11 DNStest 0 ECHOtest 0 Ghost 0 Kill1 1,11 Jumper 0 Kill2 1,11 Kill3 1,11 Leaktest 1,11 Kill3b 1,11 Tooleaky 0 Kill6 1,11 Wallbreaker1 0 Wallbreaker3 0 Yalta 1,11 Wallbreaker4 0 Celkem 5,55 Celkem 3,33

Tabulka 3.2: AVG Internet Security 9.0 build 707 – úroveň 3, 4 Úroveň 3 Úroveň 4 Název testu Získáno [%] Název testu Získáno [%] AWFT3 1 CopyCat 0 AWFT4 1 CPIL 1 DNStester 0 CPILSuite1 0 Kernel1 0 Kernel1b 0 Kill3f 1 Keylog1 0 Kill4 1 Kill3e 1 Kill7 1 Kill8 1 SSS2 1 Kill9 1 Suspend1 1 SSS 1 Thermite 0 Suspend2 1 Celkem 7 Celkem 6

18

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

Tabulka 3.3: AVG Internet Security 9.0 build 707 – úroveň 5, 6 Úroveň 6 Úroveň 5 Název testu Získáno [%] Název testu Získáno [%] CPILSuite3 0 Breakout1 0 Crash5 0,77 CPILSuite2 0,83 Crash6 0,77 Crash1 0,83 DDEtest 0 Crash2 0,83 ECHOtest2 0 Crash3 0,83 FireHole 0,77 Crash4 0,83 Flank 0 Kernel2 0 Kernel4 0 Kernel3 0 Keylog3 0,77 Keylog2 0 Keylog4 0 Kill3c 0,83 Kill10 0,77 Kill3d 0,83 Kill11 0,77 VBStest 0 Runner 0,77 Celkem 5,81 Celkem 5,35

Tabulka 3.4: AVG Internet Security 9.0 build 707 – úroveň 7, 8 Úroveň 7 Úroveň 8 Název testu Získáno [%] Název testu Získáno [%] BITStest 0 Kernel4b 0 FireHole2 0 Kernel5 0 Keylog5 0 Keylog7 0 Keylog6 0 Kill5 1,25 Kill12 1,11 NewClass 0 OSfwbypass 0 Schedtest2 0 Runner2 1,11 SockSnif 1,25 Schedtest 0 SSS4 1,25 SSS3 1,11 Celkem 3,75 Celkem 3,33

Tabulka 3.5: AVG Internet Security 9.0 build 707 – úroveň 9, 10 Úroveň 9 Úroveň 10 Název testu Získáno [%] Název testu Získáno [%] Crash7 5 BSODhook 4,75 Driver Verifier 0 ShadowHook 5 Celkem 5 Celkem 9,75

19

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

20

Tabulka 3.6: AVG Internet Security 9.0 build 707 – výsledky Získáno [%] Úroveň 1 Úroveň 2 Úroveň 3 Úroveň 4 Úroveň 5 Úroveň 6 Úroveň 7 Úroveň 8 Úroveň 9 Úroveň 10 Celkem

3.2.2

5,55 3,33 7 6 5,81 5,35 3,33 3,75 5 9,75 53,87

BitDefender Internet Security

• Verze: BitDefender Internet Security 2010 [10] • Výrobce: BitDefender • Cena: 1345,- Kč s DPH (pro 3 PC)

Tabulka 3.7: BitDefender Internet Security 2010 – úroveň 1, 2 Úroveň 1 Úroveň 2 Název testu Získáno [%] Název testu Získáno [%] Breakout2 1,11 AWFT1 1,11 Coat 1,11 DNStest 0 ECHOtest 0 Ghost 0 Kill1 1,11 Jumper 1,11 Kill2 1,11 Kill3 1,11 Leaktest 0 Kill3b 1,11 Tooleaky 1,11 Kill6 1,11 Wallbreaker1 1,11 Wallbreaker3 1,11 Yalta 1,11 Wallbreaker4 1,11 Celkem 7,77 Celkem 7,77

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

Tabulka 3.8: BitDefender Internet Security 2010 – úroveň 3, 4 Úroveň 3 Úroveň 4 Název testu Získáno [%] Název testu Získáno [%] AWFT3 1 CopyCat 1 AWFT4 1 CPIL 1 DNStester 0 CPILSuite1 1 Kernel1 0 Kernel1b 0 Kill3f 1 Keylog1 0 Kill4 1 Kill3e 0 Kill7 1 Kill8 1 SSS2 0 Kill9 1 Suspend1 1 SSS 0 Thermite 1 Suspend2 1 Celkem 7 Celkem 6

Tabulka 3.9: BitDefender Internet Security 2010 – úroveň 5, 6 Úroveň 6 Úroveň 5 Název testu Získáno [%] Název testu Získáno [%] CPILSuite3 0,77 Breakout1 0,83 Crash5 0,77 CPILSuite2 0,83 Crash6 0,77 Crash1 0,83 DDEtest 0,77 Crash2 0,83 ECHOtest2 0 Crash3 0,83 FireHole 0,77 Crash4 0,83 Flank 0 Kernel2 0 Kernel4 0 Kernel3 0 Keylog3 0,77 Keylog2 0 Keylog4 0,77 Kill3c 0,83 Kill10 0,77 Kill3d 0,83 Kill11 0,77 VBStest 0,83 Runner 0,77 Celkem 7,47 Celkem 7,77

21

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

22

Tabulka 3.10: BitDefender Internet Security 2010 – úroveň 7, 8 Úroveň 7 Úroveň 8 Název testu Získáno [%] Název testu Získáno [%] BITStest 1,11 Kernel4b 0 FireHole2 1,11 Kernel5 1,25 Keylog5 0 Keylog7 1,25 Keylog6 1,11 Kill5 1,25 Kill12 1,11 NewClass 1,25 OSfwbypass 0 Schedtest2 1,25 Runner2 1,11 SockSnif 0 Schedtest 1,11 SSS4 1,25 SSS3 0 Celkem 7,5 Celkem 6,66

Tabulka 3.11: BitDefender Internet Security 2010 – úroveň 9, 10 Úroveň 9 Úroveň 10 Název testu Získáno [%] Název testu Získáno [%] Crash7 5 BSODhook 4,5 Driver Verifier 0 ShadowHook 4 Celkem 5 Celkem 8,5

Tabulka 3.12: BitDefender Internet Security 2010 – výsledky Získáno [%] Úroveň 1 Úroveň 2 Úroveň 3 Úroveň 4 Úroveň 5 Úroveň 6 Úroveň 7 Úroveň 8 Úroveň 9 Úroveň 10 Celkem

3.2.3

Comodo Internet Security

• Verze: Comodo Internet Security 3.13 [11]

7,77 7,77 7 6 7,47 7,77 6,66 7,5 5 8,5 71,44

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

• Výrobce: Comodo Security Solutions • Cena: freeware

Tabulka 3.13: Comodo Internet Security 3.13 – úroveň 1, 2 Úroveň 1 Úroveň 2 Název testu Získáno [%] Název testu Získáno [%] Breakout2 1,11 AWFT1 1,11 Coat 1,11 DNStest 1,11 ECHOtest 1,11 Ghost 0 Kill1 1,11 Jumper 0 Kill2 1,11 Kill3 1,11 Leaktest 0 Kill3b 1,11 Tooleaky 0 Kill6 1,11 Wallbreaker1 0 Wallbreaker3 0 Yalta 1,11 Wallbreaker4 1,11 Celkem 6,66 Celkem 6,66

Tabulka 3.14: Comodo Internet Security 3.13 – úroveň 3, 4 Úroveň 3 Úroveň 4 Název testu Získáno [%] Název testu Získáno [%] AWFT3 0 CopyCat 1 AWFT4 1 CPIL 0 DNStester 1 CPILSuite1 1 Kernel1 0 Kernel1b 1 Kill3f 1 Keylog1 1 Kill4 1 Kill3e 1 Kill7 1 Kill8 1 SSS2 1 Kill9 1 Suspend1 1 SSS 1 Thermite 0 Suspend2 1 Celkem 7 Celkem 9

23

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

24

Tabulka 3.15: Comodo Internet Security 3.13 – úroveň 5, 6 Úroveň 6 Úroveň 5 Název testu Získáno [%] Název testu Získáno [%] CPILSuite3 0 Breakout1 0 Crash5 0,77 CPILSuite2 0 Crash6 0,77 Crash1 0,83 DDEtest 0 Crash2 0,83 ECHOtest2 0,77 Crash3 0,83 FireHole 0,77 Crash4 0,83 Flank 0,77 Kernel2 0,83 Kernel4 0,77 Kernel3 0,83 Keylog3 0,77 Keylog2 0,83 Keylog4 0,77 Kill3c 0,83 Kill10 0,77 Kill3d 0,83 Kill11 0,77 VBStest 0,83 Runner 0,77 Celkem 8,3 Celkem 8,47

Tabulka 3.16: Comodo Internet Security 3.13 – úroveň 7, 8 Úroveň 7 Úroveň 8 Název testu Získáno [%] Název testu Získáno [%] BITStest 1,11 Kernel4b 1,25 FireHole2 1,11 Kernel5 0 Keylog5 1,11 Keylog7 0 Keylog6 1,11 Kill5 1,25 Kill12 1,11 NewClass 0 OSfwbypass 1,11 Schedtest2 0 Runner2 0 SockSnif 1,25 Schedtest 1,11 SSS4 1,25 SSS3 0 Celkem 5 Celkem 7,77

Tabulka 3.17: Comodo Internet Úroveň 9 Název testu Získáno [%] Crash7 5 Driver Verifier 0 Celkem 5

Security 3.13 – úroveň 9, 10 Úroveň 10 Název testu Získáno [%] BSODhook 4,25 ShadowHook 5 Celkem 9,25

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

25

Tabulka 3.18: Comodo Internet Security 3.13 – výsledky Získáno [%] Úroveň 1 Úroveň 2 Úroveň 3 Úroveň 4 Úroveň 5 Úroveň 6 Úroveň 7 Úroveň 8 Úroveň 9 Úroveň 10 Celkem

3.2.4

6,66 6,66 7 9 8,3 8,47 7,77 5 5 9,25 73,04

ESET Internet Security

• Verze: ESET Smart Security 4.0.474 [12] • Výrobce: ESET • Cena: 1486,- Kč s DPH

Tabulka 3.19: ESET Smart Security 4.0.474 – úroveň 1, 2 Úroveň 1 Úroveň 2 Název testu Získáno [%] Název testu Získáno [%] Breakout2 1,11 AWFT1 0 Coat 1,11 DNStest 0 ECHOtest 1,11 Ghost 0 Kill1 1,11 Jumper 0 Kill2 1,11 Kill3 1,11 Leaktest 1,11 Kill3b 1,11 Tooleaky 0 Kill6 1,11 Wallbreaker1 0 Wallbreaker3 0 Yalta 1,11 Wallbreaker4 0 Celkem 7,77 Celkem 3,33

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

Tabulka 3.20: ESET Smart Security 4.0.474 – úroveň 3, 4 Úroveň 3 Úroveň 4 Název testu Získáno [%] Název testu Získáno [%] AWFT3 1 CopyCat 0 AWFT4 0 CPIL 0 DNStester 0 CPILSuite1 0 Kernel1 1 Kernel1b 1 Kill3f 1 Keylog1 0 Kill4 1 Kill3e 1 Kill7 1 Kill8 1 SSS2 0 Kill9 1 Suspend1 1 SSS 0 Thermite 0 Suspend2 1 Celkem 6 Celkem 5

Tabulka 3.21: ESET Smart Security 4.0.474 – úroveň 5, 6 Úroveň 6 Úroveň 5 Název testu Získáno [%] Název testu Získáno [%] CPILSuite3 0 Breakout1 0 Crash5 0,77 CPILSuite2 0 Crash6 0,77 Crash1 0,83 DDEtest 0 Crash2 0,83 ECHOtest2 0,77 Crash3 0,83 FireHole 0,77 Crash4 0,83 Flank 0 Kernel2 0,83 Kernel4 0 Kernel3 0,83 Keylog3 0 Keylog2 0 Keylog4 0 Kill3c 0,83 Kill10 0,77 Kill3d 0,83 Kill11 0,77 VBStest 0 Runner 0,77 Celkem 6,64 Celkem 4,62

26

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

27

Tabulka 3.22: ESET Smart Security 4.0.474 – úroveň 7, 8 Úroveň 7 Úroveň 8 Název testu Získáno [%] Název testu Získáno [%] BITStest 0 Kernel4b 0 FireHole2 0 Kernel5 0 Keylog5 0 Keylog7 0 Keylog6 0 Kill5 1,25 Kill12 1,11 NewClass 0 OSfwbypass 0 Schedtest2 0 Runner2 1,11 SockSnif 1,25 Schedtest 0 SSS4 0 SSS3 0 Celkem 2,5 Celkem 2,22

Tabulka 3.23: ESET Smart Security 4.0.474 – úroveň 9, 10 Úroveň 9 Úroveň 10 Název testu Získáno [%] Název testu Získáno [%] Crash7 5 BSODhook 5 Driver Verifier 0 ShadowHook 5 Celkem 5 Celkem 10

Tabulka 3.24: ESET Smart Security 4.0.474 – výsledky Získáno [%] Úroveň 1 Úroveň 2 Úroveň 3 Úroveň 4 Úroveň 5 Úroveň 6 Úroveň 7 Úroveň 8 Úroveň 9 Úroveň 10 Celkem

3.2.5

Jetico Personal Firewall

• Verze: Jetico Personal Firewall 2.1.0.6 [13]

7,77 3,33 6 5 6,64 4,62 2,22 2,5 5 10 53,08

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

• Výrobce: Jetico Inc. Oy. • Cena: 660,- Kč s DPH

Tabulka 3.25: Jetico Personal Firewall 2.1.0.6 – úroveň 1, 2 Úroveň 1 Úroveň 2 Název testu Získáno [%] Název testu Získáno [%] Breakout2 1,11 AWFT1 1,11 Coat 1,11 DNStest 1,11 ECHOtest 1,11 Ghost 1,11 Kill1 1,11 Jumper 1,11 Kill2 1,11 Kill3 1,11 Leaktest 1,11 Kill3b 1,11 Tooleaky 1,11 Kill6 1,11 Wallbreaker1 1,11 Wallbreaker3 0 Yalta 1,11 Wallbreaker4 0 Celkem 10 Celkem 7,77

Tabulka 3.26: Jetico Personal Firewall 2.1.0.6 – úroveň 3, 4 Úroveň 3 Úroveň 4 Název testu Získáno [%] Název testu Získáno [%] AWFT3 1 CopyCat 1 AWFT4 1 CPIL 1 DNStester 0 CPILSuite1 0 Kernel1 1 Kernel1b 1 Kill3f 1 Keylog1 1 Kill4 1 Kill3e 1 Kill7 1 Kill8 1 SSS2 1 Kill9 1 Suspend1 0 SSS 1 Thermite 1 Suspend2 1 Celkem 8 Celkem 9

28

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

Tabulka 3.27: Jetico Personal Úroveň 5 Název testu Získáno [%] Breakout1 0 CPILSuite2 0 Crash1 0,83 Crash2 0,83 Crash3 0,83 Crash4 0,83 Kernel2 0,83 Kernel3 0,83 Keylog2 0,83 Kill3c 0,83 Kill3d 0,83 VBStest 0 Celkem 7,47

29

Firewall 2.1.0.6 – úroveň 5, 6 Úroveň 6 Název testu Získáno [%] CPILSuite3 0 Crash5 0,77 Crash6 0,77 DDEtest 0,77 ECHOtest2 0 FireHole 0,77 Flank 0 Kernel4 0,77 Keylog3 0,77 Keylog4 0,77 Kill10 0,77 Kill11 0,77 Runner 0,77 Celkem 7,77

Tabulka 3.28: Jetico Personal Firewall 2.1.0.6 – úroveň 7, 8 Úroveň 7 Úroveň 8 Název testu Získáno [%] Název testu Získáno [%] BITStest 1,11 Kernel4b 1,25 FireHole2 1,11 Kernel5 1,25 Keylog5 1,11 Keylog7 1,25 Keylog6 1,11 Kill5 1,25 Kill12 1,11 NewClass 0 OSfwbypass 1,11 Schedtest2 0 Runner2 1,11 SockSnif 1,25 Schedtest 1,11 SSS4 1,25 SSS3 1,11 Celkem 7,5 Celkem 10

Tabulka 3.29: Jetico Personal Firewall 2.1.0.6 – úroveň 9, 10 Úroveň 9 Úroveň 10 Název testu Získáno [%] Název testu Získáno [%] Crash7 5 BSODhook 4,5 Driver Verifier 0 ShadowHook 5 Celkem 5 Celkem 9,5

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

30

Tabulka 3.30: Jetico Personal Firewall 2.1.0.6 – výsledky Získáno [%] Úroveň 1 Úroveň 2 Úroveň 3 Úroveň 4 Úroveň 5 Úroveň 6 Úroveň 7 Úroveň 8 Úroveň 9 Úroveň 10 Celkem

3.2.6

10 7,77 8 9 7,47 7,77 10 7,5 5 9,5 82,01

Kaspersky Internet Security

• Verze: Kaspersky Internet Security 2010 9.0.0.736 [14] • Výrobce: Kaspersky Lab • Cena: 60$ bez DPH (cca 1285,- Kč s DPH)

Tabulka 3.31: Kaspersky Internet Security 2010 9.0.0.736– úroveň 1, 2 Úroveň 1 Úroveň 2 Název testu Získáno [%] Název testu Získáno [%] Breakout2 1,11 AWFT1 1,11 Coat 1,11 DNStest 1,11 ECHOtest 1,11 Ghost 1,11 Kill1 1,11 Jumper 1,11 Kill2 1,11 Kill3 1,11 Leaktest 1,11 Kill3b 1,11 Tooleaky 1,11 Kill6 1,11 Wallbreaker1 1,11 Wallbreaker3 1,11 Yalta 1,11 Wallbreaker4 1,11 Celkem 10 Celkem 10

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

Tabulka 3.32: Kaspersky Internet Security 2010 9.0.0.736 – úroveň 3, 4 Úroveň 3 Úroveň 4 Název testu Získáno [%] Název testu Získáno [%] AWFT3 1 CopyCat 1 AWFT4 1 CPIL 1 DNStester 0 CPILSuite1 0 Kernel1 1 Kernel1b 1 Kill3f 1 Keylog1 1 Kill4 1 Kill3e 1 Kill7 1 Kill8 1 SSS2 1 Kill9 1 Suspend1 1 SSS 1 Thermite 1 Suspend2 1 Celkem 9 Celkem 9

Tabulka 3.33: Kaspersky Internet Security 2010 9.0.0.736 – úroveň 5, 6 Úroveň 6 Úroveň 5 Název testu Získáno [%] Název testu Získáno [%] CPILSuite3 0,77 Breakout1 0 Crash5 0,77 CPILSuite2 0,83 Crash6 0,77 Crash1 0,83 DDEtest 0 Crash2 0,83 ECHOtest2 0 Crash3 0,83 FireHole 0,77 Crash4 0,83 Flank 0 Kernel2 0,83 Kernel4 0 Kernel3 0,83 Keylog3 0,77 Keylog2 0,83 Keylog4 0,77 Kill3c 0,83 Kill10 0,77 Kill3d 0,83 Kill11 0,77 VBStest 0 Runner 0,77 Celkem 8,3 Celkem 6,93

31

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

32

Tabulka 3.34: Kaspersky Internet Security 2010 9.0.0.736 – úroveň 7, 8 Úroveň 7 Úroveň 8 Název testu Získáno [%] Název testu Získáno [%] BITStest 0 Kernel4b 1,25 FireHole2 0 Kernel5 0 Keylog5 1,11 Keylog7 1,25 Keylog6 1,11 Kill5 1,25 Kill12 1,11 NewClass 1,25 OSfwbypass 0 Schedtest2 1,25 Runner2 1,11 SockSnif 1,25 Schedtest 1,11 SSS4 1,25 SSS3 1,11 Celkem 8,75 Celkem 6,66

Tabulka 3.35: Kaspersky Internet Security 2010 9.0.0.736 – úroveň 9, 10 Úroveň 9 Úroveň 10 Název testu Získáno [%] Název testu Získáno [%] Crash7 5 BSODhook 5 Driver Verifier 0 ShadowHook 5 Celkem 5 Celkem 10

Tabulka 3.36: Kaspersky Internet Security 2010 9.0.0.736 – výsledky Získáno [%] Úroveň 1 Úroveň 2 Úroveň 3 Úroveň 4 Úroveň 5 Úroveň 6 Úroveň 7 Úroveň 8 Úroveň 9 Úroveň 10 Celkem

3.2.7

10 10 9 9 8,3 6,93 6,66 8,75 5 10 83,64

Norton Internet Security

• Verze: Norton Internet Security 2010 17.0.0.136 [15]

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

• Výrobce: Symantec • Cena: 1589,- Kč s DPH

Tabulka 3.37: Norton Internet Security 2010 17.0.0.136 – úroveň 1, 2 Úroveň 1 Úroveň 2 Název testu Získáno [%] Název testu Získáno [%] Breakout2 1,11 AWFT1 0 Coat 0 DNStest 0 ECHOtest 0 Ghost 0 Kill1 1,11 Jumper 0 Kill2 1,11 Kill3 1,11 Leaktest 0 Kill3b 1,11 Tooleaky 1,11 Kill6 1,11 Wallbreaker1 1,11 Wallbreaker3 1,11 Yalta 1,11 Wallbreaker4 1,11 Celkem 7,77 Celkem 5,55

Tabulka 3.38: Norton Internet Security 2010 17.0.0.136 – úroveň 3, 4 Úroveň 3 Úroveň 4 Název testu Získáno [%] Název testu Získáno [%] AWFT3 0 CopyCat 0 AWFT4 0 CPIL 0 DNStester 0 CPILSuite1 0 Kernel1 1 Kernel1b 1 Kill3f 1 Keylog1 0 Kill4 1 Kill3e 1 Kill7 1 Kill8 1 SSS2 0 Kill9 1 Suspend1 1 SSS 0 Thermite 0 Suspend2 1 Celkem 5 Celkem 5

33

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

Tabulka 3.39: Norton Internet Security 2010 17.0.0.136 – úroveň 5, 6 Úroveň 6 Úroveň 5 Název testu Získáno [%] Název testu Získáno [%] CPILSuite3 0 Breakout1 0 Crash5 0,77 CPILSuite2 0 Crash6 0,77 Crash1 0,83 DDEtest 0 Crash2 0,83 ECHOtest2 0 Crash3 0,83 FireHole 0,77 Crash4 0,83 Flank 0 Kernel2 0,83 Kernel4 0 Kernel3 0,83 Keylog3 0 Keylog2 0 Keylog4 0 Kill3c 0,83 Kill10 0,77 Kill3d 0,83 Kill11 0,77 VBStest 0,83 Runner 0,77 Celkem 7,47 Celkem 4,62

Tabulka 3.40: Norton Internet Security 2010 17.0.0.136 – úroveň 7, 8 Úroveň 7 Úroveň 8 Název testu Získáno [%] Název testu Získáno [%] BITStest 0 Kernel4b 0 FireHole2 0 Kernel5 0 Keylog5 0 Keylog7 0 Keylog6 0 Kill5 1,25 Kill12 1,11 NewClass 0 OSfwbypass 0 Schedtest2 0 Runner2 0 SockSnif 1,25 Schedtest 0 SSS4 0 SSS3 0 Celkem 2,5 Celkem 1,11

Tabulka 3.41: Norton Internet Security 2010 17.0.0.136 – úroveň 9, 10 Úroveň 9 Úroveň 10 Název testu Získáno [%] Název testu Získáno [%] Crash7 5 BSODhook 5 Driver Verifier 0 ShadowHook 5 Celkem 5 Celkem 10

34

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

35

Tabulka 3.42: Norton Internet Security 2010 17.0.0.136 – výsledky Získáno [%] Úroveň 1 Úroveň 2 Úroveň 3 Úroveň 4 Úroveň 5 Úroveň 6 Úroveň 7 Úroveň 8 Úroveň 9 Úroveň 10 Celkem

3.2.8

7,77 5,55 5 5 7,47 4,62 1,11 2,5 5 10 54,02

Outpost Security Suite

• Verze: Outpost Security Suite PRO 2009 10.0.2.15 [16] • Výrobce: Agnitum • Cena: 40$ bez DPH (cca 850,- Kč s DPH)

Tabulka 3.43: Outpost Security Suite PRO 2009 10.0.2.15 – úroveň 1, 2 Úroveň 1 Úroveň 2 Název testu Získáno [%] Název testu Získáno [%] Breakout2 1,11 AWFT1 1,11 Coat 1,11 DNStest 1,11 ECHOtest 1,11 Ghost 0 Kill1 1,11 Jumper 1,11 Kill2 1,11 Kill3 1,11 Leaktest 1,11 Kill3b 1,11 Tooleaky 0 Kill6 1,11 Wallbreaker1 0 Wallbreaker3 0 Yalta 1,11 Wallbreaker4 0 Celkem 7,77 Celkem 6,66

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

Tabulka 3.44: Outpost Security Suite PRO 2009 10.0.2.15 – úroveň 3, 4 Úroveň 3 Úroveň 4 Název testu Získáno [%] Název testu Získáno [%] AWFT3 1 CopyCat 1 AWFT4 1 CPIL 1 DNStester 0 CPILSuite1 1 Kernel1 1 Kernel1b 1 Kill3f 1 Keylog1 0 Kill4 1 Kill3e 1 Kill7 1 Kill8 1 SSS2 1 Kill9 1 Suspend1 1 SSS 1 Thermite 1 Suspend2 1 Celkem 9 Celkem 9

Tabulka 3.45: Outpost Security Suite PRO 2009 10.0.2.15 – úroveň 5, 6 Úroveň 6 Úroveň 5 Název testu Získáno [%] Název testu Získáno [%] CPILSuite3 0 Breakout1 0 Crash5 0,77 CPILSuite2 0 Crash6 0,77 Crash1 0,83 DDEtest 0 Crash2 0,83 ECHOtest2 0,77 Crash3 0,83 FireHole 0 Crash4 0,83 Flank 0 Kernel2 0,83 Kernel4 0,77 Kernel3 0,83 Keylog3 0 Keylog2 0 Keylog4 0 Kill3c 0,83 Kill10 0,77 Kill3d 0,83 Kill11 0,77 VBStest 0 Runner 0,77 Celkem 6,64 Celkem 4,62

36

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

37

Tabulka 3.46: Outpost Security Suite PRO 2009 10.0.2.15 – úroveň 7, 8 Úroveň 7 Úroveň 8 Název testu Získáno [%] Název testu Získáno [%] BITStest 0 Kernel4b 1,25 FireHole2 1,11 Kernel5 1,25 Keylog5 0 Keylog7 0 Keylog6 0 Kill5 1,25 Kill12 1,11 NewClass 1,25 OSfwbypass 0 Schedtest2 0 Runner2 1,11 SockSnif 1,25 Schedtest 1,11 SSS4 1,25 SSS3 1,11 Celkem 7,5 Celkem 5,55

Tabulka 3.47: Outpost Security Suite PRO 2009 10.0.2.15 – úroveň 9, 10 Úroveň 9 Úroveň 10 Název testu Získáno [%] Název testu Získáno [%] Crash7 5 BSODhook 5 Driver Verifier 0 ShadowHook 5 Celkem 5 Celkem 10

Tabulka 3.48: Outpost Security Suite PRO 2009 10.0.2.15 – výsledky Získáno [%] Úroveň 1 Úroveň 2 Úroveň 3 Úroveň 4 Úroveň 5 Úroveň 6 Úroveň 7 Úroveň 8 Úroveň 9 Úroveň 10 Celkem

3.2.9

7,77 6,66 9 9 6,64 4,62 5,55 7,5 5 10 71,74

Trend Micro Internet Security

• Verze: Trend Micro Internet Security Pro 1.7 [17]

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

• Výrobce: Trend Micro Inc. • Cena: 1020,- Kč s DPH

Tabulka 3.49: Trend Micro Internet Security Pro 1.7 – úroveň 1, 2 Úroveň 1 Úroveň 2 Název testu Získáno [%] Název testu Získáno [%] Breakout2 0 AWFT1 1,11 Coat 1,11 DNStest 1,11 ECHOtest 0 Ghost 1,11 Kill1 1,11 Jumper 1,11 Kill2 1,11 Kill3 1,11 Leaktest 0 Kill3b 1,11 Tooleaky 1,11 Kill6 1,11 Wallbreaker1 1,11 Wallbreaker3 1,11 Yalta 1,11 Wallbreaker4 1,11 Celkem 6,66 Celkem 10

Tabulka 3.50: Trend Micro Internet Security Pro 1.7 – úroveň 3, 4 Úroveň 3 Úroveň 4 Název testu Získáno [%] Název testu Získáno [%] AWFT3 1 CopyCat 0 AWFT4 1 CPIL 1 DNStester 1 CPILSuite1 0 Kernel1 0 Kernel1b 1 Kill3f 1 Keylog1 1 Kill4 1 Kill3e 1 Kill7 1 Kill8 1 SSS2 0 Kill9 1 Suspend1 1 SSS 1 Thermite 0 Suspend2 0 Celkem 7 Celkem 7

38

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

Tabulka 3.51: Trend Micro Internet Security Pro 1.7 – úroveň 5, 6 Úroveň 6 Úroveň 5 Název testu Získáno [%] Název testu Získáno [%] CPILSuite3 0 Breakout1 0 Crash5 0,77 CPILSuite2 0 Crash6 0,77 Crash1 0,83 DDEtest 0 Crash2 0,83 ECHOtest2 0 Crash3 0,83 FireHole 0,77 Crash4 0,83 Flank 0 Kernel2 0 Kernel4 0,77 Kernel3 0,83 Keylog3 0 Keylog2 0,83 Keylog4 0 Kill3c 0,83 Kill10 0,77 Kill3d 0,83 Kill11 0,77 VBStest 0 Runner 0,77 Celkem 6,64 Celkem 5,39

Tabulka 3.52: Trend Micro Internet Security Pro 1.7 – úroveň 7, 8 Úroveň 7 Úroveň 8 Název testu Získáno [%] Název testu Získáno [%] BITStest 0 Kernel4b 1,25 FireHole2 1,11 Kernel5 1,25 Keylog5 1,11 Keylog7 1,25 Keylog6 1,11 Kill5 1,25 Kill12 1,11 NewClass 0 OSfwbypass 0 Schedtest2 0 Runner2 0 SockSnif 1,25 Schedtest 0 SSS4 1,25 SSS3 1,11 Celkem 7,5 Celkem 5,55

Tabulka 3.53: Trend Micro Internet Security Pro 1.7 – úroveň 9, 10 Úroveň 9 Úroveň 10 Název testu Získáno [%] Název testu Získáno [%] Crash7 5 BSODhook 4 Driver Verifier 0 ShadowHook 5 Celkem 5 Celkem 9

39

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

40

Tabulka 3.54: Trend Micro Internet Security Pro 1.7 – výsledky Získáno [%] Úroveň 1 Úroveň 2 Úroveň 3 Úroveň 4 Úroveň 5 Úroveň 6 Úroveň 7 Úroveň 8 Úroveň 9 Úroveň 10 Celkem

3.2.10

6,66 10 7 7 6,64 5,39 5,55 7,5 5 9 69,74

ZoneAlarm Firewall

• Verze: ZoneAlarm Basic Firewall 9.0 [18] • Výrobce: Check Point Software Technologies • Cena: freeware

Tabulka 3.55: ZoneAlarm Basic Firewall 9.0 – úroveň 1, 2 Úroveň 1 Úroveň 2 Název testu Získáno [%] Název testu Získáno [%] Breakout2 0 AWFT1 1,11 Coat 0 DNStest 1,11 ECHOtest 1,11 Ghost 0 Kill1 1,11 Jumper 0 Kill2 1,11 Kill3 1,11 Leaktest 1,11 Kill3b 1,11 Tooleaky 0 Kill6 1,11 Wallbreaker1 1,11 Wallbreaker3 1,11 Yalta 1,11 Wallbreaker4 1,11 Celkem 6,66 Celkem 7,77

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

Tabulka 3.56: ZoneAlarm Basic Firewall 9.0 – úroveň 3, 4 Úroveň 3 Úroveň 4 Název testu Získáno [%] Název testu Získáno [%] AWFT3 0 CopyCat 0 AWFT4 1 CPIL 0 DNStester 1 CPILSuite1 1 Kernel1 0 Kernel1b 0 Kill3f 1 Keylog1 1 Kill4 1 Kill3e 1 Kill7 1 Kill8 1 SSS2 0 Kill9 1 Suspend1 1 SSS 0 Thermite 0 Suspend2 1 Celkem 6 Celkem 6

Tabulka 3.57: ZoneAlarm Basic Firewall 9.0 – úroveň 5, 6 Úroveň 6 Úroveň 5 Název testu Získáno [%] Název testu Získáno [%] CPILSuite3 0 Breakout1 0 Crash5 0,77 CPILSuite2 0 Crash6 0,77 Crash1 0,83 DDEtest 0 Crash2 0,83 ECHOtest2 0 Crash3 0,83 FireHole 0,77 Crash4 0,83 Flank 0 Kernel2 0 Kernel4 0,77 Kernel3 0,83 Keylog3 0 Keylog2 0,83 Keylog4 0 Kill3c 0,83 Kill10 0,77 Kill3d 0,83 Kill11 0,77 VBStest 0 Runner 0 Celkem 6,64 Celkem 4,62

41

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

42

Tabulka 3.58: ZoneAlarm Basic Firewall 9.0 – úroveň 7, 8 Úroveň 7 Úroveň 8 Název testu Získáno [%] Název testu Získáno [%] BITStest 0 Kernel4b 1,25 FireHole2 1,11 Kernel5 1,25 Keylog5 1,11 Keylog7 0 Keylog6 0 Kill5 1,25 Kill12 1,11 NewClass 0 OSfwbypass 0 Schedtest2 0 Runner2 0 SockSnif 1,25 Schedtest 0 SSS4 1,25 SSS3 1,11 Celkem 6,25 Celkem 4,44

Tabulka 3.59: ZoneAlarm Basic Firewall 9.0 – úroveň 9, 10 Úroveň 9 Úroveň 10 Název testu Získáno [%] Název testu Získáno [%] Crash7 5 BSODhook 4,5 Driver Verifier 0 ShadowHook 4 Celkem 5 Celkem 8,5

Tabulka 3.60: ZoneAlarm Basic Firewall 9.0 – výsledky Získáno [%] Úroveň 1 Úroveň 2 Úroveň 3 Úroveň 4 Úroveň 5 Úroveň 6 Úroveň 7 Úroveň 8 Úroveň 9 Úroveň 10 Celkem

6,66 7,77 6 6 6,64 4,62 4,44 6,25 5 8,5 61,88

KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ

3.3

43

Celkové výsledky

Pořadí 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Tabulka 3.61: Celkové výsledky Firewall Kaspersky Internet Security 2010 9.0.0.736 Jetico Personal Firewall 2.1.0.6 Comodo Internet Security 3.13 Outpost Security Suite PRO 2009 10.0.2.15 BitDefender Internet Security 2010 Trend Micro Internet Security Pro 1.7 ZoneAlarm Basic Firewall 9.0 Norton Internet Security 2010 17.0.0.136 AVG Internet Security 9.0 build 707 ESET Smart Security 4.0.474

Získáno [%] 83,64 82,01 73,04 71,74 71,44 69,74 61,88 54,02 53,87 53,08

Kapitola 4

Závěr Při porovnání našich výsledků s výsledky na oficiálních webových stránkách je vidět, že kvalita firewallů není tak propastná, jak by se mohlo z původních výsledků zdát a i ty nejhorší firewally mají při novém způsobu testování solidní výsledky s větší než poloviční úspěšností. Celkové pořadí firewallů však zůstavá až na výjimky, v našem případě firewall Norton Internet Security 2010, stejné. Laický názor, že placená řešení jsou vždy lepší, je zde také vyvrácen. Jako první se sice umístil placený firewall, ale hned na třetím místě a s velmi malým odstupem od prvních dvou je firewall distribuovaný zcela zdarma, který tak představuje skvělou alternativu k placeným řešením. Mnohé oblíbené firewally od renomovaných firem na tom jsou o dost hůře. Potvrzuje se tedy, že při výběru softwaru pro zabezpečení počítače je potřeba brát ohledy na kvalitu a ne značku. Překvapujícím zjištěním je, že více než polovina firewallů si nedokázala poradit s nějakou z verzí, většinou se všemi, z keyloggerů. Tyto programy jsou tedy stálou hrozbou pro všechny uživatele a vzhledem k tomu, že v dnešní době používáme Internet například i k převodu peněz, by jim měla být věnována větší pozornost. Dále se u většiny firewallů objevila možnost firewall obejít pomocí některého ze standardních nástrojů systému Windows, jako například pomocí Visual Basic skriptu. Skripty jsou součástí mnoha webových prezentací a může se tedy snadno stát, že se při brouzdání sítí stáhne infikovaný skript do cache prohlížeče a z lokálního disku bude odesílat citlivé informace svému programátorovi.

44

Literatura [1] Different Internet Experience Ltd. Project matousec.com. http://www.matousec.com, stav z 1. 11. 2009. [2] Different Internet Experience Ltd. Security Software Testing Suite. http://www.matousec.com/projects/security-software-testing-suite/, stav z 1. 11. 2009. [3] Microsoft. Driver Verifier. http://www.microsoft.com/whdc/DevTools/tools/DrvVerifier.mspx, stav z 1. 11. 2009. [4] Different Internet Experience Ltd. BSODhook. http://www.matousec.com/downloads/bsodhook.zip, stav z 1. 11. 2009. [5] Microsoft Developer Network. IWebBrowser2 Interface. http://msdn2.microsoft.com/en-us/library/aa752127.aspx, stav z 1. 11. 2009. [6] Microsoft Developer Network. IBackgroundCopyManager Interface. http://msdn.microsoft.com/en-us/library/aa363050.aspx, stav z 1. 11. 2009. [7] Microsoft Developer Network. ITaskScheduler Interface. http://msdn2.microsoft.com/en-us/library/aa381811.aspx, stav z 1. 11. 2009. [8] Microsoft Developer Network. Managing Hardware Priorities. http://msdn.microsoft.com/en-us/library/ms795133.aspx, stav z 1. 11. 2009. [9] AVG Technologies. AVG Internet Security. http://www.avg.com/cz-cs/product-avg-internet-security, stav z 1. 11. 2009. [10] BitDefender. BitDefender Internet Security 2010. http://www.bitdefender.com/solutions/internet-security.html, stav z 1. 11. 2009. [11] Comodo Security Solutions. Comodo Internet Security. http://www.comodo.com/home/internet-security/free-internet-security.php, 1. 11. 2009. [12] ESET. ESET Smart Security. http://www.eset.cz/produkty/eset-smart-security, stav z 1. 11. 2009. [13] Jetico Inc. Oy. Jetico Personal Firewall. http://www.jetico.com/firewall-jetico-personal-firewall/, stav z 1. 11. 2009.

45

stav

z

LITERATURA

46

[14] Kaspersky Lab. Kaspersky Internet Security 2010. http://www.kaspersky.com/kaspersky_internet_security, stav z 1. 11. 2009. [15] Symantec. Norton Internet Security 2010. http://www.symantec.com/cs/cz/norton/internet-security, stav z 1. 11. 2009. [16] Agnitum Ltd. Outpost Security Suite PRO 2009. http://www.agnitum.com/products/security-suite/, stav z 1. 11. 2009. [17] Trend Micro Inc. Trend Micro Internet Security Pro. http://us.trendmicro.com/us/products/personal/internet-security-pro/, 1. 11. 2009.

stav

z

[18] Check Point Software Technologies. ZoneAlarm Basic Firewall. http://www.zonealarm.com/security/en-us/free-upgrade-security-suite-zonealarm-firewall. htm, stav z 1. 11. 2009.