Jan 21 2008

Comodo Memory Firewall: prevenção contra buffer overflow attacks

memoryfirewall.gif

Particularmente, gosto bastante das soluções e da filosofia de trabalho do Comodo Group, e pretendo postar alguns reviews, artigos e tutoriais aqui no Open2Tech a respeito dos aplicativos desenvolvidos pela empresa, uma das mais renomadas no mundo na área de certificados digitais. Já falei um pouco a respeito da empresa e sua filosofia de trabalho por aqui, mas vale lembrar que eles desenvolvem uma série de soluções voltadas à segurança de desktops, todas gratuitas e completas, tanto para uso pessoal quanto para uso comercial, uma grande vantagem quando lembramos que a maior parte dos anti-vírus, firewalls e softwares relacionados apresentados como “gratuitos” não passam de versões “castradas” das versões pagas. O Comodo Group possui uma ampla gama de soluções voltadas à segurança, como por exemplo o renomado e poderoso “Comodo Firewall Pro“, o “Comodo Anti-Malware“, também conhecido como BOClean (na verdade uma aquisição recente do Comodo Group que se encontra em constante aprimoramento), o “Comodo Anti-Virus“, cuja versão 3 está sendo aguardada para muito em breve, o “Comodo iVault“, um gerenciador de senhas similar ao “Keepass” (a respeito do qual já comentei aqui no Open2Tech), e o “Comodo Backup“, dentre outros. Mas o software que desejo apresentar a vocês neste artigo é o novo “Comodo Memory Firewall“, ou simplesmente CMF, lançado oficialmente em 16 de janeiro de 2008. Trata-se de um aplicativo cuja finalidade é a prevenção de “buffer overflow attacks“, um dos tipos de ataques mais perigosos e comuns contra computadores, e que pode causar danos e prejuízos seríssimos ao atacado. Este tipo de ataque ocorre quando um programa malicioso envia mais dados para um buffer de memória do que este pode manipular. Um buffer overflow (algo como “transbordamento de buffer) é também chamado de “estouro de pilha”, ou seja, literalmente, é uma situação onde um buffer ultrapassa sua capacidade de armazenamento. É uma situação que pode tanto ocorrer devido a erros de programação, quanto pode perfeitamente ser deliberadamente provocada, com fins maliciosos.

Falando um pouco a respeito de buffer overflow attacks

É interessante citarmos algo que o pessoal do Comodo Group diz a respeito deste tipo de ataque:

“To attack a computer, a malicious program or script deliberatpor nada…(Y)ely sends more data to its memory buffer than the buffer can handle leaving the system vulnerable to malware that can reformat the hard drive, steal sensitive user information, or even install programs that transform the machine into a Zombie PC.”

Ou, traduzindo:

“Para atacar um computador, um programa ou script malicioso envia deliberadamente mais dados para seu buffer de memória do que este pode manipular, deixando o sistema vulnerável a um malware que pode reformatar o disco rígido, roubar informações delicadas do usuário, ou mesmo instalar programas que transformam a máquina em um PC Zumbi.”

Ou, ainda:

“A buffer overflow is an anomalous condition where a process attempts to store data beyond the boundaries of a fixed-length buffer. The result is that the extra data overwrites adjacent memory locations. The overwritten data may include other buffers, variables and program flow data and may cause a process to crash or produce incorrect results. They can be triggered by inputs specifically designed to execute malicious code or to make the program operate in an unintended way. As such, buffer overflows cause many software vulnerabilities and form the basis of many exploits.”

E, traduzindo:

“Um buffer overflow é uma condição anômala onde um processo tenta armazenar dados além dos limites de um buffer com tamanho delimitado. O resultado é que os dados adicionais sobrepõem locais adjacentes na memória. Os dados sobrepostos podem incluir outros buffers, variáveis e fluxo de dados de programas, e podem causar danos a um processo ou produzir resultados incorretos. Eles podem ser desencadeados por entradas especificamente designadas para a execução de código malicioso, ou para fazer o programa funcionar de maneira involuntária. Assim sendo, os buffer overflows causam muitas vulnerabilidades de software, e formam a base de muitos exploits.”

Resumindo, um ataque deste tipo cria uma oportunidade “fantástica” (no mal sentido, claro) para que alguém mal intencionado comprometa o sistema do atacado, e o Comodo Memory Firewall, segundo o próprio Comodo Group, tem a capacidade de prevenir mais de 90% destes ataques. Vamos agora falar a respeito do software e suas funcionalidades.

Instalando o Comodo Memory Firewall

A instalação (e a utilização do software) é bem simples. Basta efetuar o download do instalador e clicar nos botões “Next” (próximo), conforme imagem abaixo:

Início da instalação:

cmf1.jpg

Tela de aceitação da licença (clique em “I ACCEPT”):

cmf2.jpg

Tela de ativação (não obrigatória):

cmf3.jpg

Na tela acima você pode, opcionalmente, inserir seu e-mail e marcar a opção “Sign me up for the news about COMODO products (Optional)”, caso queira receber novidades a respeito dos produtos Comodo em seu e-mail. Clique mais uma vez no botão “Next”. Feito isto, o software está instalado em seu sistema, e automaticamente é criado um ícone na bandeja do sistema, similar ao abaixo:

cmf-systray.jpg

Clicando no ícone acima com o botão direito do mouse, você obtém acesso às seguintes opções:

  • Open (abrir): para abrir a tela principal do software
  • Exit (sair): para encerrar o software

Ao escolher a opção “Open”, é aberta a janela principal do Comodo Memory Firewall, conforme imagem abaixo:

cmf4.jpg

Na janela principal do software, encontramos os seguintes botões/opções:

  • Settings (configurações): aqui você acessa as configurações do software, e pode escolher, por exemplo, se deseja que o mesmo busque por atualizações automaticamente, se deseja que ele seja iniciado automaticamente junto com o windows, etc.

cmf5.jpg

  • Update (atualizar): aqui você pode “forçar” a procura por novas atualizações do software.
  • Help (ajuda): acesso à ajuda do software.
  • About (sobre): informações sobre o Comodo Group e sobre a versão do aplicativo.
  • Applications (aplicações): opção que lista todas as aplicações monitoradas pelo CMF. Por padrão, ele já está pré-configurado desde a instalação para monitorar “All the other applications” (todas as outras aplicações), e ao se clicar no botão “Edit” (editar), pode-se visualizar a regra definida para a opção (que pode também ser modificada pelo usuário, caso este assim deseje), a qual define como o CMF irá se comportar quando detectar um ataque.

Existem três “atitudes” que podem ser tomadas pelo CMF quando um ataque é detectado, e que podem ser pré-configuradas através das regras, pelo usuário:

  1. Do Nothing (não fazer nada): neste caso, o CMF não fará nada.
  2. Ask the user (perguntar ao usuário): opção recomendada e pré-configurada durante a instalação. Recomendável para a maioria das situações.
  3. Perform the following actions (executar as seguintes ações): neste caso, são disponibilizadas sub-opções como por exemplo “terminate the application” (finalizar a aplicação), “restart the application” (reiniciar a aplicação), etc.

De qualquer forma, a melhor opção é a padrão, ou seja, ” ask the user ” (perguntar ao usuário):

app-config.jpg

OBS: o CMF também pode ser configurado, como pode ser visto na imagem acima, para enviar “alertas por e-mail” quando da ocorrência de um ataque. Ainda dentro da opção “Applications”, pode-se adicionar novas aplicações e regras, através do botão “Add” (adicionar), bem como editar as já existentes, através do botão “Edit” (editar).

Vamos ao restante dos botões/opções do CMF

  • Exclusions (exclusões): através desta opção é possível definir-se aplicações que não serão monitoradas pelo CMF (use com cuidado). Por padrão, nenhuma aplicação é inicialmente excluída.
  • Logs: aqui o usuário pode conferir detalhes sobre os ataques detectados pelo aplicativo.

cmf-logs.jpg

Importante

É interessante ressaltar que o CMF já é instalado com a configuração ideal para utilização na maioria das situações, ou seja, monitorando todas as aplicações (Applications ==> All the other applications), e sem nenhuma aplicação na lista de exclusões (Exclusions). Não modifique estas configurações a menos que tenha total certeza do que está fazendo.

Utilizando o aplicativo

O Comodo Memory Firewall quando ativo possui dois processos rodando, o cmfs32.exe e o cmf.exe. Os dois juntos não chegam a ocupar 2 Mb’s na memória. O software é super leve, não interfere em nada na utilização do computador e cumpre muito bem o seu papel. Quando uma tentativa de buffer overflow attack é identificada, ele imediatamente a bloqueia e exibe ao usuário, conforme as regras pré-definidas, a tela abaixo:

attack-detect.jpg

É claro que, na ocorrência de uma mensagem como a acima, você deve clicar na opção “kill” (matar), para que o CMF impeça a tentativa de ataque. Além disso, existe a opção “Remember my answer“, ou “lembrar minha resposta” (existente em qualquer bom firewall), para que o CMF não exiba o mesmo aviso para a mesma tentativa de ataque, “matando” a mesma automaticamente. Na mesma tela, ainda, existe a opção “Attack details” (detalhes do ataque), para que você possa visualizar maiores informações a respeito da tentativa de ataque.

Testando a eficiência da solução

Você pode testar a eficiência do CMF utilizando uma ferramena desenvolvida pelo próprio Comodo Group, que simula 3 tipos de buffer overflow attacks, o “Comodo BO Tester”, que pode ser obtido nos links abaixo:

Para sistemas de 32 bits

Para sistemas de 64 bits

Efetue o download do Comodo BO Tester e instale o mesmo em seu computador, executando todos os testes antes de instalar o Comodo Memory Firewall: possivelmente o mesmo demonstrará que seu sistema está vulnerável (vulnerable) a todos os 3 tipos de ataque executados, conforme a tela abaixo:

botester.jpg

Em seguida, instale o CMF, e execute os testes do Comodo BO Tester novamente. Você obterá então o seguinte resultado (lembrando que agora o aplicativo irá lhe apresentar a tela de detecção do ataque, e você deverá escolher a opção “Kill”):

botester2.jpg

Ou seja, todas as tentativas de ataque foram barradas pelo CMF. :) Como podemos ver, o Comodo Memory Firewall é uma ferramenta poderosíssima, gratuita tanto para uso pessoal quanto para uso comercial, leve e de fácil utilização e configuração. Aliás, chego a dizer que em 99% dos casos não é necessário efetuar nenhuma alteração na configuração padrão. Ou seja, apenas instale e desfrute. :)

Observação importante

Existe ainda um pequeno bug nesta versão, no módulo de atualizações automáticas, que faz com que o computador reinicie sempre que o CMF tenta buscar por novas atualizações. Mas basta desmarcar a opção “Automatically check for the updates” dentro das configurações (Settings), até que seja liberado um novo release pelo Comodo Group, que tudo transcorre numa boa. :)

settings.jpg

Informações adicionais

Site oficial do Comodo Group:

http://www.comodo.com/

Links para download do Comodo Memory Firewall:

Maiores informações sobre a solução:

http://www.memoryfirewall.comodo.com/

Fórum de suporte:

http://forums.comodo.com/

Gostou? Compartilhe:
  • B!Links
  • Ueba
  • Linkk
  • Rec6
  • diHitt
  • Print this article!
  • E-mail this story to a friend!
  • Link Loko
  • Do Melhor
  • Digg
  • del.icio.us
  • Google
  • Furl
  • Reddit
  • StumbleUpon
  • Technorati

Leia também os seguintes artigos relacionados:

  1. ESET SysInspector - Informações precisas sobre seu sistema
  2. Comodo lança TestMyPcSecurity
  3. Deixe um técnico do Comodo Group verificar seu PC
  4. Comodo group - Segurança gratuita para todos
  5. KeePass - Tutorial - Parte 1

Assine o Feed RSS do Open2Tech

Gostou do artigo? Aproveite e assine gratuitamente nosso Feed!
Se preferir, assine também por e-mail!


LEAVE A COMMENT

Subscribe Form

Assine nosso feed

Se preferir, receba por e-mail

Digite seu e-mail:

Fornecido por FeedBurner

Categorias

Artigos recentes

Redes sociais


Uêba - Os Melhores Links



hit counters

Recomendo

Hospedagem


125x125

Em defesa da sua privacidade


Assine a petição online
Diga não ao projeto do Senador Azeredo

Compre no Submarino