27 ответов в этой теме

[basid]

DrWeb целиком и полностью полагается на системную криптографию.
Если система не умеет TLS 1.3 (W7, как пример), то и сайты требующие этой версии протокола работать не будут, вне зависимости от способностей браузера. ECH, насколько я понимаю, на системном уровне вообще нигде нет.
При этом DrWeb настолько системен, что не работает даже c "наложенной" криптографией (хотя бы - КРИПТОПРО/ViPNet CSP в режимах поддержки MS Crypto API).
В этом случае, как я понимаю, нежелание "получить иньекцию" - как минимум, КРИПТОПРО CSP загружает в процессы собственные библиотеки. Плюс, в любом случае, придётся работать с дополнительными опциям, полями и значениями. Ну и всякие ньюансы встраивания.
С другой стороны, в DrWeb ES ГОСТ-овая криптография, вроде как, имеется и работает.

Сообщение было изменено basid: 23 Август 2023 - 08:29

[Konstantin Yudin]

>DrWeb целиком и полностью полагается на системную криптографию.

 

в бете уже нетфильтр без связей с виндой. ну и говорить за весь продукт не корректно, все защитные фичи как в юзермоде так и в ядре работают со своим апи, без использования ОС с года так 2008. крипто апи остался только пожалуй в апдейтере.

[basid]

Windows 7 с обновлениями до декабря 2019, dwnetfilter.exe (12.5.14.06201), включена проверка шифрованного трафика.
Пришлось создать пачку исключений для Firefox. Например:

  acs5.sbrf.ru:443
, curl.se:443
, fssp.gov.ru:443
, learn.microsoft.com:443
, qemu-project.gitlab.io:443
, support.microsoft.com:443
, support.mozilla.org:443
, web1-new.online.sberbank.ru:443

Попробовал убрать:

При соединении с curl.se произошла ошибка. PR_END_OF_FILE_ERROR

curl и wget исключены из проверок (шифрованного) трафика:

> curl -kvI https://curl.se/
*   Trying 151.101.193.91:443...
* Connected to curl.se (151.101.193.91) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN: server accepted h2
* Server certificate:
*  subject: CN=curl.se
*  start date: Aug 21 07:12:50 2023 GMT
*  expire date: Nov 19 07:12:49 2023 GMT
*  issuer: C=US; O=Let's Encrypt; CN=R3
*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* using HTTP/2
* h2 [:method: HEAD]
* h2 [:scheme: https]
* h2 [:authority: curl.se]
* h2 [:path: /]
* h2 [user-agent: curl/8.1.2]
* h2 [accept: */*]
* Using Stream ID: 1 (easy handle 0x35c810)
> HEAD / HTTP/2
> Host: curl.se
> User-Agent: curl/8.1.2
> Accept: */*
>
< HTTP/2 200
HTTP/2 200
< server: nginx/1.21.1

Может, конечно, проблема не в криптографии (TLS 1.3), а в HTTP/2, но вопрос-то прежний: зачем перехватывать то, что не можете обработать?
Обломились один раз, повторили запрос без перехвата и (ненадолго) запомнили, что "этого не трогать".
Для сервера - один лишний запрос, для клиента - небольшая задержка и большие удобства.

[Konstantin Yudin]

В текущей реализации нельзя без перехвата, апи винды с redirection records-ми привел к полному фиаску. В новой схеме мы за процесс в сеть не ходим, надеюсь оно скоро дойдет до беты.

[Konstantin Yudin]

Так же в бете уже новый режим проверки защищённого трафика, он позволяет не исключать а наоборот включать процессы в которых будет разбор трафика делаться, если он себя зарекомендует, то проверка защищённого трафика будет по умолчанию включена для определенной группы приложений, которые можно добавлять удалять админу будет.

[VVS]

Так же в бете уже новый режим проверки защищённого трафика, он позволяет не исключать а наоборот включать процессы в которых будет разбор трафика делаться, если он себя зарекомендует, то проверка защищённого трафика будет по умолчанию включена для определенной группы приложений, которые можно добавлять удалять админу будет.

В интерфейсе это когда будет, или речь про ES?

[Konstantin Yudin]

Задумано для всех

[basid]

Так же в бете уже новый режим проверки защищённого трафика, он позволяет не исключать а наоборот включать процессы в которых будет разбор трафика делаться, если он себя зарекомендует, то проверка защищённого трафика будет по умолчанию включена для определенной группы приложений, которые можно добавлять удалять админу будет.

Группы, конечно, нужны, но механизм, позволяющий динамически включать и выключать проверку - нужен гораздо больше.

А ещё было бы неплохо организовать взаимодействие между экземпляром агента конкретного пользователя и ядрёно-драйверной обвязкой, чтобы агент мог "оперативно" задать вопрос пользователю и передать ответ в "недра" антивируса. Или чтобы агент мог работать с сертификатами УЦ и даже с личными ключами конкретного пользователя.

Как пример - у конкрентного пользователя установлен сертификат какого-нибудь тестового УЦ, агент передаёт ядру антивируса дополнительный "корень доверия" и у пользователя всё работает "автомагически".

Сообщение было изменено basid: 01 Сентябрь 2023 - 08:24