Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 3 subscribers
  • Views 7558 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A little disgusted.

techtwo
Been using Astaro at home for a while, nice bit of software, running 7.503.

Today, at a clients, an ids triggered on scareware.
The client had done a search for "american country music awards 2010"
The browser showed the 'virus scan' and gave a popup to repair, so they left it for me to look at without following through.

That office and the ids sit behind Untangle, and the Untangle install didn't even notice.

Later I spent some time with these sites and downloading these installers from behind untangle, occasionally the Untangle Phishing module would throw a block page, since it's block db comes from google, those would correlate with the search links in the google results that were marked with "this site may harm your computer".

Not real impressed with the Untangle solution.

Went home, and ran the same 'test' from behind my Astaro install.

Downloaded over a dozen of these installers, Astaro didn't even notice, just happily passed along every single request and downloaded installer.
2010:04:19-18:58:18 astaro httpproxy[12865]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.115" user="" statuscode="200" cached="0" 
profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter 
action)" size="535" time="211 ms" request="0xad561060" url="www2.secyresyscare2.com/build9_195.php
cmd=sendFile&counter=1&=p52dcWltbV%2FCj8bYbnOCdVik12qbVp%2FZatrauJ%2BCoKXcz4mbm5h2lpd6fl%2FVodCjZGGRaGRvll7IaWGMoNfF16aqb1zWnomtm6ilmXVanqLNkqGMp5mSq29ezZ2fZmiUX5aVkWVlY2ebh9WemHGhqKykcmiQpNvdX5eco5mkyVv
Fn52VoMjF1ZSfcaeiwtCepJ2claZfm6jWm9jYqluaqaWhx1jDp5HYkdaPlWFoYlzGztN0lKine3WHnZrTkMyMkp2db5qkoZLQVpHTnZ7Hz5qcoKqix8
yrl5qorGWVXprOnZ%2FOpG1moIBexZrSa6LSoKDH0p5lp5jaz9euV2d6maZhjYyGYKXVl5aWl5uZ0FPDnaChoMShlVerpXOWk5pqaWZxanBoXq3UX6GXY2dea2RwmmWWVpPJari3iaiglnOdk5U" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized" content-type="text/html"

The only current tools I have running at home or these offices that do trigger are the snort installations with emerging-virus.rules, as well as the desktop av's NOD32 and Prevx3.

Since Untangle uses Clam and Kaspersky, and Astaro uses Clam and Antivir?,  it's no wonder that neither of their AV catch these installers, but nothing in Astaro content filter or ips triggers either. Of the three installer I uploaded to virustotal, only 7 of 41 av would trigger, additionally, neither do the other two desktop AV's I use here and there, MSE and Norton 2010, as verified by virustotal.com.

This entire business is lame, they shouldn't be clicking through these stupid links but these gateway solutions ought to be doing something, from everything I read on the net this is becoming the most prevalent attack vector and has been for some time.

When are security solutions going to actually start catching up with these attack methods?


This thread was automatically locked due to age.
  • 0 in reply to Coder68
    Nice post C68. I will try out sandboxie sounds like worth the time.
     
    I usually disregard posts now when someone with less than 10 posts starts writing something about being disgusted with a software solution. Obviously the software is not for them and they need to move on. [H]
  • 0 in reply to Billybob
    Hey, Bill, he said something nice to me, so he may not be someone we want to boot! [;)]

    Seriously, the "promise" of Astaro is broad, so, when someone calls us on that, we shoudn't be hesitant to say, "Hell, yeah!"
  • 0 in reply to BAlfson
    Hey, Bill, he said something nice to me, so he may not be someone we want to boot! [[;)]]

    I noticed the extra love[[;)]] I have the tendency to take things a little too serious once in a while. I love astaro and its free for home use. I have used untangle (nice interface), smoothie etc but I like astaro the best. Its my personal choice, its not perfect but no software is. 

    If you have mastered something and constantly get the same problems like some of us do version after version then you have the right to be disgusted. But installing 7.502 for the first time and getting disgusted just says to me that he is just starting trouble and I have been down that path before.

    Thanks for your post, it made me smile.
  • 0
    My low post count is because I didn't have any issue installing Astaro months ago, in fact it was so easy that I only had to reference the manual a few times and didn't use the forums at all. Not because I'm brilliant, I'm actually kinda dense, but because the software is well presented.

    I'm late to IT, it's been thrust upon me, and is only a portion of my income, but I feel a responsibility to ensure the small networks I've accepted responsibility for are secure.

    My frustration comes from spending all my free time researching these attack vectors and putting 27 different security solutions in place, and I'm lucky if one of them triggers when they're finally put to the test.

    I'll have to checkout this Sandboxie.

    I'm also old school, and can proudly attest that I've smashed the hands of two wanna be hacker script kiddies with their own keyboards, and I'm keen to do it again.
  • 0
    good point - I forgot to mention patch manglement - very important in your layered approach...

    sandboxie - that is a little extreme for me but good write-up...
  • 0 in reply to Kingbuzzo
    I'll throw in a few points (interesting discussion here!).

    1) Patch management is something I never see enough of by customers, for something so crucial (since so much affects "older" versions of things) its not very focused on. You should check out Secunia, they have a whole business off of scanning your computer and auto-applying patches for versions of products you have, its really cool. They recently just added support for Windows Update, so now all the "program" patches in their business version even show up as windows updates. Its darn neat. For those unfamiliar with this, the approach is "if you have the latest versions of things, much less can affect you" and seeing things like updates for flash, java, Firefox etc..all on the windows update list is cool.

    2) Web filter Monitoring is never going to be an exact science, since if you download something like an installer which is then malicious/spyware/trojan style, its up to a REACTIVE pattern to find it, not a proactive approach. Businesses who really value security and get sick of educating end users reverse their approach (which Astaro can easily do for you); they spend some time and define the 50-100 sites the average SMB needs to do business and keep employees happy (CNN etc...). From there, they BLOCK everything else. If that is too strict, you can even "allow" categories which are essential to your business. This means nothing will be surfed you didn't consider, and most admins find it much easier to go through a few month "teething period" where they are adding sites to the allow list vs. constantly trying to walk the fences and deal with things they didnt think of or something which is causing them havoc. I'll admit, its a bit different to get used to, but web-filter white-listing approach can be very beneficial to those that really implement it and stick with it, in the long run saving a lot of admin time and security headaches.

    Just my 2 cents...
  • 0
    Been using Astaro at home for a while, nice bit of software, running 7.503.

    Today, at a clients, an ids triggered on scareware.
    The client had done a search for "american country music awards 2010"
    The browser showed the 'virus scan' and gave a popup to repair, so they left it for me to look at without following through.

    That office and the ids sit behind Untangle, and the Untangle install didn't even notice.

    Later I spent some time with these sites and downloading these installers from behind untangle, occasionally the Untangle Phishing module would throw a block page, since it's block db comes from google, those would correlate with the search links in the google results that were marked with "this site may harm your computer".

    Not real impressed with the Untangle solution.

    Went home, and ran the same 'test' from behind my Astaro install.

    Downloaded over a dozen of these installers, Astaro didn't even notice, just happily passed along every single request and downloaded installer.
    2010:04:19-18:58:18 astaro httpproxy[12865]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.1.115" user="" statuscode="200" cached="0" 
    profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter 
    action)" size="535" time="211 ms" request="0xad561060" url="http://www2.secyresyscare2.com/build9_195.php?
    cmd=sendFile&counter=1&=p52dcWltbV%2FCj8bYbnOCdVik12qbVp%2FZatrauJ%2BCoKXcz4mbm5h2lpd6fl%2FVodCjZGGRaGRvll7IaWGMoNfF16aqb1zWnomtm6ilmXVanqLNkqGMp5mSq29ezZ2fZmiUX5aVkWVlY2ebh9WemHGhqKykcmiQpNvdX5eco5mkyVv
    Fn52VoMjF1ZSfcaeiwtCepJ2claZfm6jWm9jYqluaqaWhx1jDp5HYkdaPlWFoYlzGztN0lKine3WHnZrTkMyMkp2db5qkoZLQVpHTnZ7Hz5qcoKqix8
    yrl5qorGWVXprOnZ%2FOpG1moIBexZrSa6LSoKDH0p5lp5jaz9euV2d6maZhjYyGYKXVl5aWl5uZ0FPDnaChoMShlVerpXOWk5pqaWZxanBoXq3UX6GXY2dea2RwmmWWVpPJari3iaiglnOdk5U" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized" content-type="text/html"

    The only current tools I have running at home or these offices that do trigger are the snort installations with emerging-virus.rules, as well as the desktop av's NOD32 and Prevx3.

    Since Untangle uses Clam and Kaspersky, and Astaro uses Clam and Antivir?,  it's no wonder that neither of their AV catch these installers, but nothing in Astaro content filter or ips triggers either. Of the three installer I uploaded to virustotal, only 7 of 41 av would trigger, additionally, neither do the other two desktop AV's I use here and there, MSE and Norton 2010, as verified by virustotal.com.

    This entire business is lame, they shouldn't be clicking through these stupid links but these gateway solutions ought to be doing something, from everything I read on the net this is becoming the most prevalent attack vector and has been for some time.

    When are security solutions going to actually start catching up with these attack methods?

    Want to know the easiest way to avoid getting these scareware products?  

    1. Don't use IE.  Activex even with all it's "fixes" is still a direct conduit to ring zero.  The administrator is not god on the box..SYSTEM is and activex can get to system.  SYSTEM will bypass everything..including client based and server based(AKA UTM most times)security software.  Be aware that security software is like law enforcement..they are REACTIVE not PROACTIVE by nature.

    2.  Use google chrome or Firefox.  They do NOT have access to SYSTEM.

    3.  If you have AD remove the ability for folks to install anything via Group Policy.  This is done two fold.  First of all don't allow anyone but admins to run as admin.  This means BOTH network admin AND local admin(which windows runs everyone as local admin by default).  Secondly as noted remove the ability for users to install anything via Group Policy.

    Follow these three steps and your need for anti-anything will be reduced by up to 90%.  The only thing you'll need to be wary of is usb based devices and external sources of files(aka cd's. flash drives, ext hard disks..etc etc.  If you follow the above you also won't need a/v on your servers provided you have proper physical access controls in place and strictly enforced.  I have not run desktop, server a/v for nearly 7 years now...
  • 0 in reply to William Warren
    Want to know the easiest way to avoid getting these scareware products?  

    1. Don't use IE..........


    Once I started testing, I surfed to these web pages, clicked through the dialogs and dl'd every one of these samples from a Ubuntu 9.10 live boot disk using Firefox. So I'm not clear on how that's a solution.

    While none of my offices use IE, there are some installs, but by and large it's all FF, I won't use chrome, or google's dns, because, google has quite enough info already and I have an attitude problem towards them. I understand there's a chrome derivative whereby the authors have attempted to strip all the tracking functionality from chrome, but I haven't had time to research it. Regardless, there are some governmental/ Customs applications that require IE.
  • 0 in reply to techtwo
    Not using IE would be silly...especially in the enterprise

    Any modern version in conjunction with UAC stops active-x installs cold...
  • 0
    wrong-o  Look at the latest few rounds of exploits..they are activex that bypass UAC.  Nice try..[:)]