Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 3 subscribers
  • Views 7559 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A little disgusted.

techtwo
Been using Astaro at home for a while, nice bit of software, running 7.503.

Today, at a clients, an ids triggered on scareware.
The client had done a search for "american country music awards 2010"
The browser showed the 'virus scan' and gave a popup to repair, so they left it for me to look at without following through.

That office and the ids sit behind Untangle, and the Untangle install didn't even notice.

Later I spent some time with these sites and downloading these installers from behind untangle, occasionally the Untangle Phishing module would throw a block page, since it's block db comes from google, those would correlate with the search links in the google results that were marked with "this site may harm your computer".

Not real impressed with the Untangle solution.

Went home, and ran the same 'test' from behind my Astaro install.

Downloaded over a dozen of these installers, Astaro didn't even notice, just happily passed along every single request and downloaded installer.
2010:04:19-18:58:18 astaro httpproxy[12865]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.115" user="" statuscode="200" cached="0" 
profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter 
action)" size="535" time="211 ms" request="0xad561060" url="www2.secyresyscare2.com/build9_195.php
cmd=sendFile&counter=1&=p52dcWltbV%2FCj8bYbnOCdVik12qbVp%2FZatrauJ%2BCoKXcz4mbm5h2lpd6fl%2FVodCjZGGRaGRvll7IaWGMoNfF16aqb1zWnomtm6ilmXVanqLNkqGMp5mSq29ezZ2fZmiUX5aVkWVlY2ebh9WemHGhqKykcmiQpNvdX5eco5mkyVv
Fn52VoMjF1ZSfcaeiwtCepJ2claZfm6jWm9jYqluaqaWhx1jDp5HYkdaPlWFoYlzGztN0lKine3WHnZrTkMyMkp2db5qkoZLQVpHTnZ7Hz5qcoKqix8
yrl5qorGWVXprOnZ%2FOpG1moIBexZrSa6LSoKDH0p5lp5jaz9euV2d6maZhjYyGYKXVl5aWl5uZ0FPDnaChoMShlVerpXOWk5pqaWZxanBoXq3UX6GXY2dea2RwmmWWVpPJari3iaiglnOdk5U" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized" content-type="text/html"

The only current tools I have running at home or these offices that do trigger are the snort installations with emerging-virus.rules, as well as the desktop av's NOD32 and Prevx3.

Since Untangle uses Clam and Kaspersky, and Astaro uses Clam and Antivir?,  it's no wonder that neither of their AV catch these installers, but nothing in Astaro content filter or ips triggers either. Of the three installer I uploaded to virustotal, only 7 of 41 av would trigger, additionally, neither do the other two desktop AV's I use here and there, MSE and Norton 2010, as verified by virustotal.com.

This entire business is lame, they shouldn't be clicking through these stupid links but these gateway solutions ought to be doing something, from everything I read on the net this is becoming the most prevalent attack vector and has been for some time.

When are security solutions going to actually start catching up with these attack methods?


This thread was automatically locked due to age.
Parents
  • 0
    I disagree about not being able to use Sandboxie in a small business or even a large business.  It is all but transparent to the end user.  The only time the user has any interaction is if they save something.  In most bigger companies, that ability is blocked anyway.  For other users, it is just one dialog box to save the file. 

    And yes, you have to use a layered approach. IMHO the last line of defense is the sandbox. For me it starts with the users, which I agree only gets you so far, and not very far at that. I say it starts here because they initiate the web connection. (You hope!) The second layer is patching EVERYTHING, not just Windows but all software. The next layer is your border security.  Routers, Firewalls, Proxy servers, AV's, IPS/IDS etc.  The next layer would be a DIFFERENT av on the desktop.  After that UAC and NOT letting users run with any privileges they do not need. DO NOT RUN AS ADMINISTRATOR! Only run instances of programs as admin when needed.  That will stop 90% of infections from happening. The last layer for me is the sandbox and the browser.  (The browser can run several security add ons that do not require user intervention.) If something gets by all of my other layers, then my last hope is the sandbox. While the proper "use" of the sandbox requires a little user training, it is worth it.  There are no steps for the users to use it per say... just that if they are surfing the net and then decide to do some work... close that browsers instance and open a new one. And the saving of any files, if that is allowed requires 1 dialog box. Of course, for me being strict on where users can go (Block uncategorized sites) is another layer that enhances security.

    I run all this at home, and my girl friend has no issues using any of it.  She is not computer person either. And none of my customers have issues using it either. Not all of them have border security either. (Small biz running DSL with just a router, Kaspersky Internet Security, Firefox with a few add ons and Sandboxie.) One of them likes to surf adult material at work (he owns the place) and has gotten one fake AV pop that was not blocked by KIS.  He just closed the sandbox and lt delete and gives me a call with the URL that he was at.  I checked it out with Linux, and reported it to several AV companies.  Once there was a def, he scaned again and was not infected.

    The people I have had get infected have admitted they were not in Sandboxie. They usually do not make that mistake again. 

    At home, I have yet to have anything get past Astaro and set off my desktop AV/IDS/IPS/Firewall.  I regularly boot to a boot CD and scan Windows when it is not running.  I do this to maximize the chance of finding any root kits. I have not found anything. No cookies, nothing.  (Thank you Sandboxie!) I also monitor traffic and scan my network with NMap looking for changes.  Am I overly cautious? Paranoid? Maybe, but I do not have any issues on my network... 

    Just my experience and my opinion. And you know what that is worth! [;)]

    C68
  • 0 in reply to Coder68
    Nice post C68. I will try out sandboxie sounds like worth the time.
     
    I usually disregard posts now when someone with less than 10 posts starts writing something about being disgusted with a software solution. Obviously the software is not for them and they need to move on. [H]
Reply
  • 0 in reply to Coder68
    Nice post C68. I will try out sandboxie sounds like worth the time.
     
    I usually disregard posts now when someone with less than 10 posts starts writing something about being disgusted with a software solution. Obviously the software is not for them and they need to move on. [H]
Children
  • 0 in reply to Billybob
    Hey, Bill, he said something nice to me, so he may not be someone we want to boot! [;)]

    Seriously, the "promise" of Astaro is broad, so, when someone calls us on that, we shoudn't be hesitant to say, "Hell, yeah!"
  • 0 in reply to BAlfson
    Hey, Bill, he said something nice to me, so he may not be someone we want to boot! [[;)]]

    I noticed the extra love[[;)]] I have the tendency to take things a little too serious once in a while. I love astaro and its free for home use. I have used untangle (nice interface), smoothie etc but I like astaro the best. Its my personal choice, its not perfect but no software is. 

    If you have mastered something and constantly get the same problems like some of us do version after version then you have the right to be disgusted. But installing 7.502 for the first time and getting disgusted just says to me that he is just starting trouble and I have been down that path before.

    Thanks for your post, it made me smile.