Hodnocení bezpečnosti firewallů pro systém Windows 7. Garion, Warlock

Transkript

1 Vysoká škola CENSORED Fakulta CENSORED Katedra CENSORED Rešeršní práce Hodnocení bezpečnosti firewallů pro systém Windows 7 Garion, Warlock Studijní program: CENSORED Obor: CENSORED 22. března 2010

2 Obsah 1 Úvod 1 2 Testovací programy Popis testovacího balíku Popis testů Úroveň Úroveň Úroveň Úroveň Úroveň Úroveň Úroveň Úroveň Úroveň Úroveň Testování firewallů Základní nastevení Testy firewallů AVG Internet Security BitDefender Internet Security Comodo Internet Security ESET Internet Security Jetico Personal Firewall Kaspersky Internet Security Norton Internet Security Outpost Security Suite Trend Micro Internet Security ZoneAlarm Firewall Celkové výsledky Závěr 44 Literatura 45 iv

3 Seznam tabulek 3.1 AVG Internet Security 9.0 build 707 úroveň 1, AVG Internet Security 9.0 build 707 úroveň 3, AVG Internet Security 9.0 build 707 úroveň 5, AVG Internet Security 9.0 build 707 úroveň 7, AVG Internet Security 9.0 build 707 úroveň 9, AVG Internet Security 9.0 build 707 výsledky BitDefender Internet Security 2010 úroveň 1, BitDefender Internet Security 2010 úroveň 3, BitDefender Internet Security 2010 úroveň 5, BitDefender Internet Security 2010 úroveň 7, BitDefender Internet Security 2010 úroveň 9, BitDefender Internet Security 2010 výsledky Comodo Internet Security 3.13 úroveň 1, Comodo Internet Security 3.13 úroveň 3, Comodo Internet Security 3.13 úroveň 5, Comodo Internet Security 3.13 úroveň 7, Comodo Internet Security 3.13 úroveň 9, Comodo Internet Security 3.13 výsledky ESET Smart Security úroveň 1, ESET Smart Security úroveň 3, ESET Smart Security úroveň 5, ESET Smart Security úroveň 7, ESET Smart Security úroveň 9, ESET Smart Security výsledky Jetico Personal Firewall úroveň 1, Jetico Personal Firewall úroveň 3, Jetico Personal Firewall úroveň 5, Jetico Personal Firewall úroveň 7, Jetico Personal Firewall úroveň 9, Jetico Personal Firewall výsledky Kaspersky Internet Security úroveň 1, Kaspersky Internet Security úroveň 3, Kaspersky Internet Security úroveň 5, Kaspersky Internet Security úroveň 7, v

4 SEZNAM TABULEK vi 3.35 Kaspersky Internet Security úroveň 9, Kaspersky Internet Security výsledky Norton Internet Security úroveň 1, Norton Internet Security úroveň 3, Norton Internet Security úroveň 5, Norton Internet Security úroveň 7, Norton Internet Security úroveň 9, Norton Internet Security výsledky Outpost Security Suite PRO úroveň 1, Outpost Security Suite PRO úroveň 3, Outpost Security Suite PRO úroveň 5, Outpost Security Suite PRO úroveň 7, Outpost Security Suite PRO úroveň 9, Outpost Security Suite PRO výsledky Trend Micro Internet Security Pro 1.7 úroveň 1, Trend Micro Internet Security Pro 1.7 úroveň 3, Trend Micro Internet Security Pro 1.7 úroveň 5, Trend Micro Internet Security Pro 1.7 úroveň 7, Trend Micro Internet Security Pro 1.7 úroveň 9, Trend Micro Internet Security Pro 1.7 výsledky ZoneAlarm Basic Firewall 9.0 úroveň 1, ZoneAlarm Basic Firewall 9.0 úroveň 3, ZoneAlarm Basic Firewall 9.0 úroveň 5, ZoneAlarm Basic Firewall 9.0 úroveň 7, ZoneAlarm Basic Firewall 9.0 úroveň 9, ZoneAlarm Basic Firewall 9.0 výsledky Celkové výsledky

5 Kapitola 1 Úvod Již od prvopočátků vzniku sítí a Internetu vznikaly aplikace, které se těchto spojení mezi počítači a jinými zařízeními snažily využít, někdy i zneužít. Někdy šlo o nevinné žerty mezi kamarády, kdy se jeden druhému snažily nabourat do počítače, jindy se jednalo a vážné porušení bezpečnosti ať už státních či soukromých subjektů. Vzniklo tedy nové odvětví počítačového softwaru, které se zaměřuje právě na ochranu počítačů a sítí před nevyžádaným vnikem hackerů respektive programů jimy používaných. Jednou z těchto aplikací je také firewall. Jeho podstatou je přímé zabraňování aplikacím k přístupu do a ze sítě. Dále také ochrana proti spouštěním nevyžádaných aplikací, ochrana paměťového prostoru spuštěných aplikací před zásahem externích programů. Často obsahuje také nástroje pro ochranu registrů operačního systému a jeho důležitých souborů. Operační systém Windows 7 je novou generací operačních systémů od firmy Microsoft. S jeho příchodem se ovšem nevytracejí otázky bezpečnosti systému, spíše narůstají. S každou novou funkcí, dostupnou v operačním systému, také vzniká potenciální možnost tuto funkci zneužít pro zisk dat či kontroly nad systémem. Vzhledem k tomu, že Windows 7 jsou operačním systémem poměrně novým, nejsou jistě známa všechna bezpečností rizika s ním spojená. Dobrý firewall je tedy obzvláště v tomto případě prvním správným krokem při přechodu na tento operační systém. 1

6 Kapitola 2 Testovací programy 2.1 Popis testovacího balíku Testovací programy byly převzaty z projektu matousec.com [1], konkrétně se jedná o Security Software Testing Suite [2], kterou tento projekt používá. Testy jsou koncipovány pro testování běžných i méně běžných chyb ve firewallech, ať už jako jednoduché programy napsané v jazyce C/C++ či jako jednoduchá systémová volání nebo separátní utility (Driver Verifier [3], BSODhook [4]) 1. Testy jsou dle náročnosti na kvalitu firewallu rozděleny do deseti úrovní, tyto úrovně budou zachovány. Dle úrovní a počtu testů v úrovni budou jednotlivým testům přiděleny jejich procentuální váhy. Součtem těchto vah se určí konečné hodnocení jednotlivých firewallů. 2.2 Popis testů Úroveň 1 Breakout2 1,11% Breakout2 testuje možnost obejití firewallu pomocí rozhraní Active Desktop COM. Jeho účelem je změnit tapetu na ploše. Odstranění tapety je vyřešeno lokální, nová tapeta se stahuje z internetu. Jako neúspěch testu je tedy považována nová tapeta na ploše ve formě webové stránky s obsahem informujícím o neúspěšnosti testu. Coat 1,11% Coat testuje možnost obejití firewallu pomocí identifikování sama sebe jako výchozí internetový prohlížeč, který je s největší pravděpodobností považován ve firewallu za důvěryhodný, a poté přistupování na webové stránky projektu matouse.com. Jako neúspěch testu je tedy považováno úspěšné načtení webové stránky a vypsání informace o neúspěchu do příkazové řádky. 1 V případě, že mají systémová volání pod systémem Windows 7 jiný název, než očekávaný, jsou testy provedeny pod systémem Windows XP na stejne konfigurace hardwaru se stejnou verzí firewallu. 2

7 KAPITOLA 2. TESTOVACÍ PROGRAMY 3 ECHOtest 1,11% ECHOtest testuje, zda firewall filtruje ICMP pakety tak, že se snaží zaslat vzdálenému serveru pakety ve formě ICMP ECHO požadavků. Jako neúspěch je tedy považováno přijmutí odpovědi od serveru a vypsání informace o neúspěchu do příkazové řádky. Kill1 1,11% Kill1 testuje, zda firewall chrání své vlastní spuštěné procesy tak, že se snaží je ukončit a převzít jejich handlery. Jako neúspěch je považován zisk alespoň jednoho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Kill2 1,11% Kill2 je obdobou testu Kill1, používá však jinou metodu pro ukončování procesů. Testuje, zda firewall chrání své vlastní spuštěné procesy tak, že se snaží je ukončit a převzít jejich handlery. Jako neúspěch je považován zisk alespoň jednoho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Leaktest 1,11% Leaktest testuje, zda firewall filtruje odchozí TCP pakety tak, že se snaží spojit s webovým serverem. Jako neúspěch je tedy považováno kontaktování serveru a vypsání informace o neúspěchu do příkazové řádky. Tooleaky 1,11% Tooleaky testuje, zda firewall kontroluje spouštění Internet Exploreru. Pokouší se spustit Internet Explorer, kterému jako parametr předá URL. Toto URL také obsahuje data, která se program snaží přenést. Po spuštění Internet Exploreru je automaticky přesměrován pomocí tohoto URL. Jako neúspěch je tedy považováno spuštění Internet Exploreru, kontaktování serveru a vypsání informace o neúspěchu do příkazové řádky. Wallbreaker1 1,11% Wallbreaker1 testuje, zda firewall kontroluje spouštění Windows Exploreru (Průzkumníku Windows). Funguje na podobném principu jako test Tooleaky. Snaží se spustit Windows Explorer tak, aby ten spustil Internet Explorer s URL parametrem. Jako neúspěch je tedy považováno spuštění Windows Exploreru respektive Internet Exploreru, kontaktování serveru a vypsání informace o neúspěchu do příkazové řádky. Yalta 1,11% Yalta testuje, zda firewall filtruje odchozí UDP pakety tak, že se snaží spojit s webovým serverem. Jako neúspěch je tedy považováno kontaktování serveru a vypsání informace o neúspěchu do příkazové řádky.

8 KAPITOLA 2. TESTOVACÍ PROGRAMY Úroveň 2 AWFT1 1,11% AWFT1 testuje, zda firewall umožňuje nedůvěryhodným procesům spouštět a v paměti modifikovat výchozí prohlížeč. Nejprve se spustí výchozí prohlížeč jako uspaný proces, poté je do alokované paměti prohlížeče vložen infikovaný kód a prohlížeč je nastaven tak, aby po svém probuzení kód vykonal. V našem případě se kód pouze snaží o přístup na internet. Jako neúspěch testu je tedy považováno přístoupení k webovému serveru a vypsání informace o neúspěchu do příkazové řádky. DNStest 1,11% DNStest testuje, zda firewall dokáže rozlišit čistý a infikovaný Service Host proces. Nejprve je v registrech nalezena IP name serveru, poté je vytvořen nový proces svchost.exe, do kterého je vložen infikovaný kód. Poté je tento proces spuštěn, v našem případě se snaží získat odpověď na vytvořený DNS dotaz. Jako neúspěch testu je tedy považováno získání odpovědi na DNS dotaz a vypsání informace o neúspěchu do příkazové řádky. Ghost 1,11% Ghost testuje, zda firewall správně rozpoznává rodiče procesu. Test nejprve vytvoří svou vlastní kopii, poté spustí Internet Explorer s URL parametrem a co nejdříve se ukončí. Jako neúspěch je tedy považováno načtení webové stránky a vypsání informace o neúspěchu do příkazové řádky. Jumper 1,11% Jumper testuje, zda firewall chrání nastavení Internet Exploreru. Test nejprve změní domovskou stránku Internet Exploreru a poté Internet Explorer spustí. Jako neúspěch je tedy považováno načtení nové domovské stránky a vypsání informace o neúspěchu do příkazové řádky. Kill3 1,11% Kill3 testuje, zda může výt firewall vypnut ukončovacím signálem zaslaným nedůvěryhodným procesem. Konkrétními API signály jsou WM_CLOSE, WM_QUIT a WM_SYSCOMMAND s parametrem SC_CLOSE, které jsou zaslány všem procesům, které firewall používá. Jako neúspěch je tedy považováno ukončení alespoň jednoho procesu a vypsání informace o neúspěchu do příkazové řádky. Kill3b 1,11% Kill3b vychází z testu Kill3, rozdílem je pouze jiná metoda zasílání zpráv. Jako neúspěch je tedy považováno ukončení alespoň jednoho procesu a vypsání informace o neúspěchu do příkazové řádky.

9 KAPITOLA 2. TESTOVACÍ PROGRAMY 5 Kill6 1,11% Kill6 testuje, zda firewall umožňuje připojit ke svým procesům debugger. Test využívá API funkce NtCreateDebugObject a NtDebugActiveProcess k vytvoření debugovacího objektu a jeho připojení k procesům firewallu. Smazání debugovacího objektu způsobí ukončení procesu firewallu. Jako neúspěch je považováno ukončení alespoň jednoho procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Wallbreaker3 1,11% Wallbreaker3 testuje, zda firewall povolí spuštění infikované instance Internet Exploreru pomocí příkazové řádky. Pomocí příkazové řádky je spuštěn Internet Explorer s URL parametrem, který obsahuje data pro přenos. Jako neúspěch je tedy považováno načtení webové stránky a vypsání informace o neúspěchu do příkazové řádky. Wallbreaker4 1,11% Wallbreaker4 funguje na podobném principu jako Wallbreaker3, avšak nepouší příkazovou řádku přímo, ale pomocí at.exe vytvoří její naplánované spuštění. Jako neúspěch je tedy považováno načtení webové stránky a vypsání informace o neúspěchu do příkazové řádky Úroveň 3 AWFT3 1% AWFT3 funguje na podobném principu jako test Thermite, ovšem pracuje s Prohlížečem sysému Windows namísto výchozího prohlížeče. Jako neúspěch je tedy považována úspěšná manipulace s pamětí prohlížeče a vypsání informace o neúspěchu do příkazové řádky. AWFT4 1% AWFT4 testuje, zda je možné infikovat Prohlížeč systému Windows tak, aby spustil Internet Explorer a zaslal data webovému serveru. Jako neúspěch je tedy považována úspěšná manipulace s pamětí prohlížeče tak, aby spustil Internet Explorer a kontaktoval webový server, a vypsání informace o neúspěchu do příkazové řádky. DNStester 1% DNStester testuje, zda firewall správně filtruje DNS dotazy od nedůvěryhodných procesů. Tento test používá standardní API funkci DnsQuery pro vytvoření DNS dotazu. Jako neúspěch je tedy považováno obdržení odpovědi na DNS dotaz a vypsání informace o neúspěchu do příkazové řádky.

10 KAPITOLA 2. TESTOVACÍ PROGRAMY 6 Kernel1 1% Kernel1 testuje, zda firewall zabraňuje nahrání ovladače do kernelu operačního systému. Test používá standardní funkci NtLoadDriver. Jako neúspěch je tedy považováno nahrání ovladače do kernelu operačního systému a vypsání informace o neúspěchu do příkazové řádky. Kill3f 1% Kill3f pracuje na podobném principu jako Kill3 respektive Kill3b, ovšem neomezuje se pouze na signály WM_CLOSE, WM_QUIT a WM_SYSCOMMAND, ovšem snaží se postupně zaslat všechny existující signály. Jako neúspěch je tedy považováno ukončení alespoň jednoho procesu a vypsání informace o neúspěchu do příkazové řádky. Kill4 1% Kill4 testuje, zda je možné vytvořit v procesech firewallu nová vlánka. Případné nově vytvořené vlánko obsahuje kód pro zavolání standardní API funkce ExitProcess. Jako neúspěch je považováno ukončení alespoň jednoho procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Kill7 1% Kill7 testuje, zda je možné do procesů firewallu vložit infikovanou knihovnu DLL. K tomuto test využívá debugovací práva a API funkci LoadLibrary. Infikovaná knihovna obsahuje kód pro ukočení procesu. Jako neúspěch je považováno ukončení alespoň jednoho procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. SSS2 1% SSS2 testuje, zda firewall chrání před vypnutím systému, dokud se neukončí všechny spuštěné nedůvěryhodné aplikace. Jako neúspěch je tedy považováno neukončení některé ze spuštěných nedůvěryhodných aplikací. V případě, že dojde k vypnutí systému, ovšem všechny nedůvěryhodné aplikace byly ukočeny, považuje se test za úspěšný na 50%. Suspend1 1% Suspend1 testuje, zda je firewall umožňuje nedůvěryhodným aplikacím uspat některé ze svých vláken respektive procesů. Jako neúspěch je považováno uspání alespoň jednoho vlákna či procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%.

11 KAPITOLA 2. TESTOVACÍ PROGRAMY 7 Thermite 1% Thermite testuje, zda firewall blokuje pokusy manipulovat s pamětí běžící instance výchozího prohlížeče. Tento test využívá standardní API funkce CreateRemoteThread pro spuštění infikovaného kódu uvnitř výchozího prohlížeče. Jako neúspěch je tedy považováno úspěšné kontaktování webového serveru a vypsání informace o neúspěchu do příkazové řádky Úroveň 4 CopyCat 1% CopyCat funguje na podobném principu jako test Thermite, ovšem nevytváří nové vlákno, ale modifikuje existující vlákno tak, že ho uspí a poté změní kód, kterým má po probuzení pokračovat. Jako neúspěch je tedy považována úspěšná manipulace s vlákny prohlížeče a vypsání informace o neúspěchu do příkazové řádky. CPIL 1% CPIL funguje na podobném principu jako test AWFT4, ovšem místo Prohlížeše systému Windows používá spuštění Internet Exploreru s URL parametrem přes příkazovou řádku. Jako neúspěch je tedy považováno úspěšné zkontaktování webového serveru a vypsání informace o neúspěchu do příkazové řádky. CPILSuite1 1% CPILSuite1 funguje na podobném principu jako test AWFT1, avšak snaží se modifikovat fyzická data uspaného procesu na disku. Test je spuštěn jako běžný proces s uživatelskými právy, nikoliv jako proces administrátora. Jako neúspěch testu je tedy považováno přístoupení k webovému serveru a vypsání informace o neúspěchu do příkazové řádky. 2 Kernel1b 1% Kernel1b funguje na podobném principu jako test Kernel1, ovšem snaží se nahrát ovladač tak, že nemodifikuje hodnotu ImagePath v registrech, která se obvykle pro nahrávání ovladačů používá. Jako neúspěch je tedy považováno nahrání ovladače do kernelu operačního systému a vypsání informace o neúspěchu do příkazové řádky. Keylog1 1% Keylog1 testuje, zda firewall blokuje pokusy o čtení vstupů z klávesnice pomocí systémového volání GetKeyState. Jako neúspěch je tedy považováno získání vstupu z klávesnice a vypsání informace o neúspěchu do příkazové řádky. 3 2 Tento test může mít za následek nevyžádaný tvrdý restart systému Windows. Toto není jeho účelem a jedná se pravděpodobně o chybu v kódu testu. 3 Může se stát, že se test vyhodnotí jako úspěšný, i když je program schopen zachytávat vstup z klávesnice. Rozhodující je výpis programu při běhu testu v pozadí.

12 KAPITOLA 2. TESTOVACÍ PROGRAMY 8 Kill3e 1% Kill3e funguje na podobném principu jako Kill3, ovšem místo systémového volání SendMessage používá systémové volání PostThreadMessage. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. Kill8 1% Kill8 testuje, zda je možné do procesů firewallu vložit infikovaný kód. Nejprve se získají debugovací práva na procesy firewallu, poté se spustí pomocný proces, do nějž se vloží kód. Systémové volání CreateRemoteThread je použito pro vytvoření nového vlákna uvnitř pomocného procesu. Jako pomocný proces můžou být použity services.exe, winlogon.exe, lsass.exe a csrss.exe. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. Kill9 1% Kill9 testuje, zda se firewall chrání před neoprávněným použitím job objektů. Test vytvoří nový job objekt, přiřadí ho procesům firewallu a pomocí systémového volání TerminateJobObject se snaží procesy firewallu ukončit. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. SSS 1% SSS funguje na podobném principu jako test SSS2, ovšem nepokouší se operační systém vypnout, ovšem pouze odhlásit uživatele. Zaslaná zpráva WM_QUERYENDSESSION také narozdíl od testu SSS2 neukončí tento test. Jako neúspěch je tedy považováno neukončení některé ze spuštěných nedůvěryhodných aplikací. V případě, že dojde k vypnutí systému, ovšem všechny nedůvěryhodné aplikace byly ukočeny, považuje se test za úspěšný na 50%. Suspend2 1% Suspend1 testuje, zda je firewall umožňuje nedůvěryhodným aplikacím uspat některé ze svých vláken respektive procesů. Pro uspání procesů používá systémové volání ZwSuspendProcess. Jako neúspěch je považováno uspání alespoň jednoho vlákna či procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50% Úroveň 5 Breakout1 0,83% Breakout1 testuje, zda firewall chrání Internet Explorer před manipulací pomocí zasílání zpráv. Před začátkem tohoto testu musí být Internet Explorer spuštěn. Tento test používá systémová volání Find- WindowEx, SendMessage a PostMessage. Jako neúspěch je tedy považováno přesměrování Internet Exploreru na novou adresu a vypsání informace o neúspěchu do příkazové řádky.

13 KAPITOLA 2. TESTOVACÍ PROGRAMY 9 CPILSuite2 0,83% CPILSuite2 testuje, zda firewall zabraňuje infikování Internet Exploreru pomocí zavedení event hooku. K připojení hooku je použito systémové volání SetWinEventHook, hook je připojen ke všem událostem Internet Exploreru, obsluha událostí je uložena v knihovně DLL, tato knihovna obsahuje infikovaný kód. Jako neúspěch je tedy považováno přesměrování Internet Exploreru na novou adresu a vypsání informace o neúspěchu do příkazové řádky. Crash1 0,83% CPILSuite1 testuje, zda firewall zabraňuje nedůvěryhodným aplikacím poškodit obsah svých vláken. Pro poškození obsahu vláken je použito systémové volání SetThreadContext. Jako neúspěch je považováno ukončení alespoň jednoho vlákna a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Crash2 0,83% Crash2 testuje, zda může být firewall ukončen poškozením jeho alokovaných bloků v paměti. Poškození bloků je realizováno zavoláním API funkce VirtalProtectEx a nastevním přístupových práv pro všechny bloky na PAGE_NOACCESS. Jako neúspěch je považováno ukončení alespoň jednoho procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Crash3 0,83% Crash3 testuje, zda je možné firewall ukončit přepsáním jeho paměťových bloků. Přepsání je realizováno pomocí systémového volání WriteProcessMemory. Jako neúspěch je považováno ukončení alespoň jednoho procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Crash4 0,83% Crash4 testuje, zda je může být firewall ukončen naalokováním veškeré virtuální paměti, kterou má k dispozici. Alokace je realizována zavoláním API funkce VirtualAllocEx. Jako neúspěch je považováno ukončení alespoň jednoho procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Kernel2 0,83% Kernel2 testuje, zda je možné nahrát systémový ovladač pomocí Service Control Manageru. Jako neúspěch je tedy považováno nahrání ovladače a vypsání informace o neúspěchu do příkazové řádky.

14 KAPITOLA 2. TESTOVACÍ PROGRAMY 10 Kernel3 0,83% Kernel3 testuje, zda firewall umožňuje nahrání systémového ovladače pomocí nezdokumentovaných systémových volání. Tento test používá volání NtSetSystemInformation a třídu SystemLoadAndCall- Image. Jako neúspěch je tedy považováno nahrání ovladače a vypsání informace o neúspěchu do příkazové řádky. Keylog2 0,83% Keylog2 funguje na podobném principu jako Keylog1, ovšem využívá systémové volání GetAsyncKey- State. Jako neúspěch je tedy považováno získání vstupu z klávesnice a vypsání informace o neúspěchu do příkazové řádky. 4 Kill3c 0,83% Kill3c funguje na podobném principu jako Kill3, ovšem používá systémové volání SendMessageCallback. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. Kill3d 0,83% Kill3d funguje na podobném principu jako Kill3, ovšem používá systémové volání SendNotifyMessage. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. VBStest 0,83% VBStest testuje, zda je možné obejít firewall pomocí skriptu Visual Basic. Tento skript se snaží spustit Internet Explorer s URL parametrem. Jako neúspěch je tedy považováno spuštění Internet Exploreru, načtení webové stránky a vypsání informace o neúspěchu do příkazové řádky Úroveň 6 CPILSuite3 0,77% CPILSuite3 funguje na podobném principu jako CPILSuite2, ovšem místo spuštění Internet Exploreru s URL parametrem spustí instanci výchozího prohlížeče a pro přechod na webovou stránku použije dynamickou výměnu dat (DDE). Jako neúspěch je tedy považováno přesměrování výchozího prohlížeče na novou adresu a vypsání informace o neúspěchu do příkazové řádky. 4 Může se stát, že se test vyhodnotí jako úspěšný, i když je program schopen zachytávat vstup z klávesnice. Rozhodující je výpis programu při běhu testu v pozadí.

15 KAPITOLA 2. TESTOVACÍ PROGRAMY 11 Crash5 0,77% Crash5 testuje, zda je možné firewall ukončit pomocí vzdáleného ukončení všech jeho handlerů. Pro ukončení handlerů se používá systémové volání DuplicateHandle. Jako neúspěch je považováno ukončení alespoň jednoho vlákna či procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. Crash6 0,77% Crash6 testuje, zda je možné firewall ukončit pomocí zahlcení všech jeho handlerů. Pro zahlcení handlerů se používá systémové volání DuplicateHandle. Jako neúspěch je považováno ukončení alespoň jednoho vlákna či procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. DDEtest 0,77% DDEtest testuje, zda firewall chrání Interner Explorer před manipulací nedůvěryhodnou aplikací pomocí protokolu DDE. DDE se v tomto případě použije pro spuštění Internet Exploreru s WWW_Open- URL topicem. Jako neúspěch je tedy považováno přesměrování výchozího prohlížeče na novou adresu a vypsání informace o neúspěchu do příkazové řádky. ECHOtest2 0,77% ECHOtest2 funguje na podobném principu jako ECHOtest, ovšem k posílání ICMP paketů používá funkce IP Helperu. Jako neúspěch je tedy považováno přijmutí odpovědi od serveru a vypsání informace o neúspěchu do příkazové řádky. FireHole 0,77% FireHole funguje na podobném principu jako CPILSuite2, ovšem pracuje s výchozím prohlížečem a pro zavedení hooku používá API funkci SetWindowsHookEx. Jako neúspěch je tedy považováno přesměrování výchozího prohlížeče na novou adresu a vypsání informace o neúspěchu do příkazové řádky. Flank 0,77% Flank testuje, zda firewall zabraňuje manipulaci Internet Exploreru za použití rozhraní IWebBrowser2 [5]. Jako neúspěch je tedy považováno získání dat z internetu a vypsání informace o neúspěchu do příkazové řádky. Kernel4 0,77% Kernel4 testuje, zda firewall umožňuje nahrání ovladače pomocí změny cesty již existujícího ovladače audstub k infikovanému ovladači. Test změní hodnotu ImagePath ovladače tak, aby se po restartu systému nahrál infikovaný ovladač. Jako neúspěch je tedy považováno nahrání ovladače a vypsání informace o neúspěchu do příkazové řádky.

16 KAPITOLA 2. TESTOVACÍ PROGRAMY 12 Keylog3 0,77% Keylog3 funguje na podobném principu jako Keylog1, ovšem využívá systémové volání SetWindows- HookEx tak, že připojí hook přímo za výstup z klávesnice. Jako neúspěch je tedy považováno získání vstupu z klávesnice a vypsání informace o neúspěchu do příkazové řádky. 5 Keylog4 0,77% Keylog4 funguje na podobném principu jako Keylog1, ovšem využívá systémové volání SetWindows- HookEx tak, že připojí hook k frontě vstupních požadavků do systému. Jako neúspěch je tedy považováno získání vstupu z klávesnice a vypsání informace o neúspěchu do příkazové řádky. 6 Kill10 0,77% Kill10 testuje, zda je možné firewall ukončit pomocí připojení pomocné DLL knihovny k jeho procesům. K připojení knihovny je použita API funkce SetWindowsHookEx. Kód knihovny, který se spustí po jejím načtení, ukončí běh procesu. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. Kill11 0,77% Kill11 funguje na podobném principu jako Kill10, ovšem používá jinou metodu pro připojení DLL knihovny k procesům. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. Runner 0,77% Runner testuje, zda firewall chrání výchozí prohlížeč před přepsáním jeho spouštěcího souboru. Jako neúspěch je tedy považováno úspěšné spuštění výchozího prohlížeče a vypsání informace o neúspěchu do příkazové řádky Úroveň 7 BITStest 1,11% BITStest možnost obejití firewallu pomocí IBackgroundCopyManager [6] rozhraní Background Intelligent Transfer Service (BITS).Test se pomocí tohoto rozhraní pokouší stáhnout soubor z internetu. Jako neúspěch je tedy považováno úspěšné stažení souboru a vypsání informace o neúspěchu do příkazové řádky. 5 Může se stát, že se test vyhodnotí jako úspěšný, i když je program schopen zachytávat vstup z klávesnice. Rozhodující je výpis programu při běhu testu v pozadí. 6 Může se stát, že se test vyhodnotí jako úspěšný, i když je program schopen zachytávat vstup z klávesnice. Rozhodující je výpis programu při běhu testu v pozadí. 7 Tento test může smazat spouštěcí soubor výchozího prohlížeče, je tedy vhodné ho předem zazálohovat.

17 KAPITOLA 2. TESTOVACÍ PROGRAMY 13 FireHole2 1,11% FireHole2 testuje, zda je firewall chrání výchozí prohlížeč před pokročilými metodami připojení DLL knihovny k procesům prohlížeče. Knihovna je do procesu načtena pomocí metody CreateRemote- Thread, které ukazuje na volání LoadLibraryA, jenž načítá knihovny do paměti procesu. Jako neúspěch testu je tedy považováno úspěšné stažení obsahu a vypsání informace o neúspěchu do příkazové řádky. Keylog5 1,11% Keylog5 testuje, zda firewall zabraňuje připojení aplikací k aktivnímu oknu a odposlouchávání vstupu uživatele. K připojení testu je použita metoda AttachThreadInput. Jako neúspěch je tedy považováno získání vstupu z klávesnice a vypsání informace o neúspěchu do příkazové řádky. 8 Keylog6 1,11% Keylog6 testuje, zda firewall zabraňuje vytvoření fiktivního vstupního zařízení k získání dat přímo z klávesnice. Pro vytvoření vstupního zařízení je použito volání RegisterRawInputDevices a k získání dat z klávesnice API funkce GetRawInputData. Jako neúspěch je tedy považováno získání vstupu z klávesnice a vypsání informace o neúspěchu do příkazové řádky. 9 Kill12 1,11% Kill12 testuje, zda firewall chrání své procesy před ukončením pomocí vytvoření APC (Asynchronous Procedure Call). Test vytvoří APC ve vláknech procesu. Tyto APC obsahují volání ExitProcess, které ukončují procesy firewallu. Jako neúspěch je považováno ukončení alespoň jednoho procesu a zisk jeho handleru přímo. V případě, že jsou všechny handlery získány nepřímo, považuje se test za úspěšný na 50%. OSfwbypass 1,11% OSfwbypass testuje, zda firewall odchytí zobrazení HTML stránky s poškozujícím obsahem. Pomocí funkce ShowHTMLDialog se vytvoří lokální HTML soubor, který přesměruje Internet Explorer na stránku s poškozujícím obsahem. Jako neúspěch je tedy považováno přesměrování výchozího prohlížeče na novou adresu a vypsání informace o neúspěchu do příkazové řádky. Runner2 1,11% Runner2 testuje, zda firewall chrání binární obraz výchozího prohlížeče. Funguje na podobném principu jako Runner, ovšem místo spuštění prohlížeče přímo čeká, až prohlížeč spustí uživatel. Jako neúspěch je tedy považováno úspěšné spuštění výchozího prohlížeče a vypsání informace o neúspěchu do příkazové řádky Může se stát, že se test vyhodnotí jako úspěšný, i když je program schopen zachytávat vstup z klávesnice. Rozhodující je výpis programu při běhu testu v pozadí. 9 Může se stát, že se test vyhodnotí jako úspěšný, i když je program schopen zachytávat vstup z klávesnice. Rozhodující je výpis programu při běhu testu v pozadí. 10 Tento test může smazat spouštěcí soubor výchozího prohlížeče, je tedy vhodné ho předem zazálohovat.

18 KAPITOLA 2. TESTOVACÍ PROGRAMY 14 Schedtest 1,11% Schedtest testuje, zda firewall umožňuje nedůvěryhodným aplikacím vytvářet události přes rozhraní Task Scheduler COM. Událost vytvořená pomocí ITaskScheduler [7] ve výsledku spustí Internet Explorer a přesměruje ho na novou webovou stránku. Jako neúspěch je tedy považováno spuštění Internet Exploreru, kontaktování serveru a vypsání informace o neúspěchu do příkazové řádky. SSS3 1,11% SSS3 funguje na podobném principu jako test SSS2, ovšem k vyvolání vypnutí systému používá volání InitiateSystemShutdownW. Jako neúspěch je tedy považováno neukončení některé ze spuštěných nedůvěryhodných aplikací. V případě, že dojde k vypnutí systému, ovšem všechny nedůvěryhodné a- plikace byly ukočeny, považuje se test za úspěšný na 50% Úroveň 8 Kernel4b 1,25% Kernel4b funguje na podobném principu jako test Kernel4, ovšem ke změně proměnné ImagePath používá funkci RegRestoreKey. Jako neúspěch je tedy považováno nahrání ovladače a vypsání informace o neúspěchu do příkazové řádky. Kernel5 1,25% Kernel5 testuje, zda firewall umožňuje nedůvěryhodným aplikacím použít systémové debugovací rozhraní ke spuštění kódu v kernel módu. Pomocí systémové služby NtSystemDebugControl je vytvořen hook. Jeho ovladač je nastaven pomocí NewNtRequestDeviceWakeup, tak, že buď čte či zapisuje do virtuální paměti, která je přístupná z úrovně PASSIVE_LEVEL [8]. Jako neúspěch je tedy považováno nahrání ovladače a vypsání informace o neúspěchu do příkazové řádky. Keylog7 1,25% Keylog7 testuje, zda firewall zabraňuje nedůvěryhodným aplikacím v použítí rozhraní DirectX pro odposlouchávání vstupu uživatele. Jako neúspěch je tedy považováno získání vstupu z klávesnice a vypsání informace o neúspěchu do příkazové řádky. 11 Kill5 1,25% Kill5 testuje, zda je možné ukončit firewall pomocí standardního volání pro ukončení aplikace. Toto volání používá API funkci EndTask. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. 11 Může se stát, že se test vyhodnotí jako úspěšný, i když je program schopen zachytávat vstup z klávesnice. Rozhodující je výpis programu při běhu testu v pozadí.

19 KAPITOLA 2. TESTOVACÍ PROGRAMY 15 NewClass 1,25% NewClass testuje, zda firewall správně chrání před zneužitím OLE objektů. V registrech je vytvořena nová třída, jejíž lokální server je nastaven tak, aby spustil příkazovou řádku a z ní Internet Explorer s URL parametrem. Poté se pokusí vytvořit novou instanci této třídy. Tento pokus selže, ovšem systémový COM server provede kód pro spuštění lokálního serveru. Jako neúspěch je tedy považováno přesměrování výchozího prohlížeče na novou adresu a vypsání informace o neúspěchu do příkazové řádky. Schedtest2 1,25% Schedtest2 funguje na podobném principu jako test Wallbreaker4, ovšem místo spuštění at.exe se pokouší vytvořit naplánované spuštění aplikace pomocí volání NetScheduleJobAdd. Jako neúspěch je tedy považováno načtení webové stránky a vypsání informace o neúspěchu do příkazové řádky. SockSnif 1,25% SockSnif testuje, zda firewall umožňuje připojení nedůvěryhodných aplikací přímo k síťovému rozhraní a odposlouchávání příchozích i odchozích paketů. K odposlouchávání je použit socket, který je nabindován na lokální síťovou adresu. Jako neúspěch je tedy považováno úspěšné nabindování socketu a vypsání informace o neúspěchu do příkazové řádky. SSS4 1,25% SSS4 funguje na podobném principu jako test SSS, ovšem nevyvolává vypnutí systému sám, ale čeká, až tak učiní uživatel. Jako neúspěch je tedy považováno neukončení některé ze spuštěných nedůvěryhodných aplikací před ukončením firewallu a vypsání informace o neúspěchu do příkazové řádky Úroveň 9 Crash7 5% Crash7 testuje, zda je možné ukončit firewall alokováním veškeré systémové paměti. Jako neúspěch je tedy považováno ukončení alespoň jednoho z procesů a vypsání informace o neúspěchu do příkazové řádky. Driver Verifier 5% Driver Verifier je program od firmy Microsoft [3], který ověřuje korektnost všch instalovaných ovladačů. Ověření je dokončeno, pokud vytížení procesů firewallu klesne na běžnou úroveň. Jako neúspěch je považován pád systému při ověřování. Pokud systém po testu nelze použít, považuje se test za úspěšný na 50% Je možné, že test způsobí pád systému. Je vhodné si nejdříve zazálohovat rozpracovaná data a ukončit všechny nepotřebné aplikace.

20 KAPITOLA 2. TESTOVACÍ PROGRAMY Úroveň 10 BSODhook 5% BSODhook je program, který testuje stabilitu ovladačů využívajících služeb kernelu. Program se snaží volat systémové služby a vyvolávat jejich nestandardní ukončení. Pokud je služba nestandardně ukončena, BSODhook zachytí toto ukončení a místo ukončení operačního systému vyvolá chybu jinéhé rázu tak, aby běh systému pokračoval. Při každám takovém ukončení jsou zaznamenány parametry volání, které způsobily pád služby. Tento způsob umožňuje vývojářům snadno nacházet a opravovat chyby v jimi vytvořených ovladačích. Za každou funkci, která způsobí pád systému, je odečteno 0,5%. Za každou funkci, která nezpůsobí pád systému, ale poškodí ho, je odečteno 0,25%. 13 ShadowHook 5% ShadowHook je pouze název druhé verze BSODhooku přidávající podporu pro GDI hooky. Testování tedy probíhá v aplikaci BSODhook, ovšem místo testování SSDT hooků testoujeme GDI hooky. Za každou funkci, která způsobí pád systému, je odečteno 0,5%. Za každou funkci, která nezpůsobí pád systému, ale poškodí ho, je odečteno 0,25% Je možné, že test způsobí pád systému. Je vhodné si nejdříve zazálohovat rozpracovaná data a ukončit všechny nepotřebné aplikace. 14 Je možné, že test způsobí pád systému. Je vhodné si nejdříve zazálohovat rozpracovaná data a ukončit všechny nepotřebné aplikace.

21 Kapitola 3 Testování firewallů 3.1 Základní nastevení Všechny testy probíhají na firewallech s původním nastavením, které je vytvořeno při instalaci firewallu. Interner Explorer a případný jiný výchozí prohlížeč jsou nastaveny jako důvěryhodné aplikace s neomezeným přístupem do sítě. Pokud to firewall umožňuje, je nastaven do pokročilého/výukového módu, kdy pro každou akci je vytvořeno pravidlo dle volby uživatele. V případě, že je při testu nutná takováto uživatelova akce, je vždy zvolena možnost zakázat, vzhledem k tomu, že běžný uživatel našim testovacím programům nedůvěřuje, protože je nezná a tedy neví, k čemu slouží. Každá instalace firewallu a jeho testování je provedeno na čistém systému. 17

22 KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ Testy firewallů AVG Internet Security Verze: AVG Internet Security 9.0 build 707 [9] Výrobce: AVG Technologies Cena: 1345,- Kč s DPH Tabulka 3.1: AVG Internet Security 9.0 build 707 úroveň 1, 2 Úroveň 1 Úroveň 2 Breakout2 0 AWFT1 0 Coat 1,11 DNStest 0 ECHOtest 0 Ghost 0 Kill1 1,11 Jumper 0 Kill2 1,11 Kill3 1,11 Leaktest 1,11 Kill3b 1,11 Tooleaky 0 Kill6 1,11 Wallbreaker1 0 Wallbreaker3 0 Yalta 1,11 Wallbreaker4 0 Celkem 5,55 Celkem 3,33 Tabulka 3.2: AVG Internet Security 9.0 build 707 úroveň 3, 4 Úroveň 3 Úroveň 4 AWFT3 1 CopyCat 0 AWFT4 1 CPIL 1 DNStester 0 CPILSuite1 0 Kernel1 0 Kernel1b 0 Kill3f 1 Keylog1 0 Kill4 1 Kill3e 1 Kill7 1 Kill8 1 SSS2 1 Kill9 1 Suspend1 1 SSS 1 Thermite 0 Suspend2 1 Celkem 7 Celkem 6

23 KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ 19 Tabulka 3.3: AVG Internet Security 9.0 build 707 úroveň 5, 6 Úroveň 5 Úroveň 6 Breakout1 0 CPILSuite3 0 CPILSuite2 0,83 Crash5 0,77 Crash1 0,83 Crash6 0,77 Crash2 0,83 DDEtest 0 Crash3 0,83 ECHOtest2 0 Crash4 0,83 FireHole 0,77 Kernel2 0 Flank 0 Kernel3 0 Kernel4 0 Keylog2 0 Keylog3 0,77 Kill3c 0,83 Keylog4 0 Kill3d 0,83 Kill10 0,77 VBStest 0 Kill11 0,77 Celkem 5,81 Runner 0,77 Celkem 5,35 Tabulka 3.4: AVG Internet Security 9.0 build 707 úroveň 7, 8 Úroveň 7 Úroveň 8 BITStest 0 Kernel4b 0 FireHole2 0 Kernel5 0 Keylog5 0 Keylog7 0 Keylog6 0 Kill5 1,25 Kill12 1,11 NewClass 0 OSfwbypass 0 Schedtest2 0 Runner2 1,11 SockSnif 1,25 Schedtest 0 SSS4 1,25 SSS3 1,11 Celkem 3,75 Celkem 3,33 Tabulka 3.5: AVG Internet Security 9.0 build 707 úroveň 9, 10 Úroveň 9 Úroveň 10 Crash7 5 BSODhook 4,75 Driver Verifier 0 ShadowHook 5 Celkem 5 Celkem 9,75

24 KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ 20 Tabulka 3.6: AVG Internet Security 9.0 build 707 výsledky Získáno [%] Úroveň 1 5,55 Úroveň 2 3,33 Úroveň 3 7 Úroveň 4 6 Úroveň 5 5,81 Úroveň 6 5,35 Úroveň 7 3,33 Úroveň 8 3,75 Úroveň 9 5 Úroveň 10 9,75 Celkem 53, BitDefender Internet Security Verze: BitDefender Internet Security 2010 [10] Výrobce: BitDefender Cena: 1345,- Kč s DPH (pro 3 PC) Tabulka 3.7: BitDefender Internet Security 2010 úroveň 1, 2 Úroveň 1 Úroveň 2 Breakout2 1,11 AWFT1 1,11 Coat 1,11 DNStest 0 ECHOtest 0 Ghost 0 Kill1 1,11 Jumper 1,11 Kill2 1,11 Kill3 1,11 Leaktest 0 Kill3b 1,11 Tooleaky 1,11 Kill6 1,11 Wallbreaker1 1,11 Wallbreaker3 1,11 Yalta 1,11 Wallbreaker4 1,11 Celkem 7,77 Celkem 7,77

25 KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ 21 Tabulka 3.8: BitDefender Internet Security 2010 úroveň 3, 4 Úroveň 3 Úroveň 4 AWFT3 1 CopyCat 1 AWFT4 1 CPIL 1 DNStester 0 CPILSuite1 1 Kernel1 0 Kernel1b 0 Kill3f 1 Keylog1 0 Kill4 1 Kill3e 0 Kill7 1 Kill8 1 SSS2 0 Kill9 1 Suspend1 1 SSS 0 Thermite 1 Suspend2 1 Celkem 7 Celkem 6 Tabulka 3.9: BitDefender Internet Security 2010 úroveň 5, 6 Úroveň 5 Úroveň 6 Breakout1 0,83 CPILSuite3 0,77 CPILSuite2 0,83 Crash5 0,77 Crash1 0,83 Crash6 0,77 Crash2 0,83 DDEtest 0,77 Crash3 0,83 ECHOtest2 0 Crash4 0,83 FireHole 0,77 Kernel2 0 Flank 0 Kernel3 0 Kernel4 0 Keylog2 0 Keylog3 0,77 Kill3c 0,83 Keylog4 0,77 Kill3d 0,83 Kill10 0,77 VBStest 0,83 Kill11 0,77 Celkem 7,47 Runner 0,77 Celkem 7,77

26 KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ 22 Tabulka 3.10: BitDefender Internet Security 2010 úroveň 7, 8 Úroveň 7 Úroveň 8 BITStest 1,11 Kernel4b 0 FireHole2 1,11 Kernel5 1,25 Keylog5 0 Keylog7 1,25 Keylog6 1,11 Kill5 1,25 Kill12 1,11 NewClass 1,25 OSfwbypass 0 Schedtest2 1,25 Runner2 1,11 SockSnif 0 Schedtest 1,11 SSS4 1,25 SSS3 0 Celkem 7,5 Celkem 6,66 Tabulka 3.11: BitDefender Internet Security 2010 úroveň 9, 10 Úroveň 9 Úroveň 10 Crash7 5 BSODhook 4,5 Driver Verifier 0 ShadowHook 4 Celkem 5 Celkem 8,5 Tabulka 3.12: BitDefender Internet Security 2010 výsledky Získáno [%] Úroveň 1 7,77 Úroveň 2 7,77 Úroveň 3 7 Úroveň 4 6 Úroveň 5 7,47 Úroveň 6 7,77 Úroveň 7 6,66 Úroveň 8 7,5 Úroveň 9 5 Úroveň 10 8,5 Celkem 71, Comodo Internet Security Verze: Comodo Internet Security 3.13 [11]

27 KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ 23 Výrobce: Comodo Security Solutions Cena: freeware Tabulka 3.13: Comodo Internet Security 3.13 úroveň 1, 2 Úroveň 1 Úroveň 2 Breakout2 1,11 AWFT1 1,11 Coat 1,11 DNStest 1,11 ECHOtest 1,11 Ghost 0 Kill1 1,11 Jumper 0 Kill2 1,11 Kill3 1,11 Leaktest 0 Kill3b 1,11 Tooleaky 0 Kill6 1,11 Wallbreaker1 0 Wallbreaker3 0 Yalta 1,11 Wallbreaker4 1,11 Celkem 6,66 Celkem 6,66 Tabulka 3.14: Comodo Internet Security 3.13 úroveň 3, 4 Úroveň 3 Úroveň 4 AWFT3 0 CopyCat 1 AWFT4 1 CPIL 0 DNStester 1 CPILSuite1 1 Kernel1 0 Kernel1b 1 Kill3f 1 Keylog1 1 Kill4 1 Kill3e 1 Kill7 1 Kill8 1 SSS2 1 Kill9 1 Suspend1 1 SSS 1 Thermite 0 Suspend2 1 Celkem 7 Celkem 9

28 KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ 24 Tabulka 3.15: Comodo Internet Security 3.13 úroveň 5, 6 Úroveň 5 Úroveň 6 Breakout1 0 CPILSuite3 0 CPILSuite2 0 Crash5 0,77 Crash1 0,83 Crash6 0,77 Crash2 0,83 DDEtest 0 Crash3 0,83 ECHOtest2 0,77 Crash4 0,83 FireHole 0,77 Kernel2 0,83 Flank 0,77 Kernel3 0,83 Kernel4 0,77 Keylog2 0,83 Keylog3 0,77 Kill3c 0,83 Keylog4 0,77 Kill3d 0,83 Kill10 0,77 VBStest 0,83 Kill11 0,77 Celkem 8,3 Runner 0,77 Celkem 8,47 Tabulka 3.16: Comodo Internet Security 3.13 úroveň 7, 8 Úroveň 7 Úroveň 8 BITStest 1,11 Kernel4b 1,25 FireHole2 1,11 Kernel5 0 Keylog5 1,11 Keylog7 0 Keylog6 1,11 Kill5 1,25 Kill12 1,11 NewClass 0 OSfwbypass 1,11 Schedtest2 0 Runner2 0 SockSnif 1,25 Schedtest 1,11 SSS4 1,25 SSS3 0 Celkem 5 Celkem 7,77 Tabulka 3.17: Comodo Internet Security 3.13 úroveň 9, 10 Úroveň 9 Úroveň 10 Crash7 5 BSODhook 4,25 Driver Verifier 0 ShadowHook 5 Celkem 5 Celkem 9,25

29 KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ 25 Tabulka 3.18: Comodo Internet Security 3.13 výsledky Získáno [%] Úroveň 1 6,66 Úroveň 2 6,66 Úroveň 3 7 Úroveň 4 9 Úroveň 5 8,3 Úroveň 6 8,47 Úroveň 7 7,77 Úroveň 8 5 Úroveň 9 5 Úroveň 10 9,25 Celkem 73, ESET Internet Security Verze: ESET Smart Security [12] Výrobce: ESET Cena: 1486,- Kč s DPH Tabulka 3.19: ESET Smart Security úroveň 1, 2 Úroveň 1 Úroveň 2 Breakout2 1,11 AWFT1 0 Coat 1,11 DNStest 0 ECHOtest 1,11 Ghost 0 Kill1 1,11 Jumper 0 Kill2 1,11 Kill3 1,11 Leaktest 1,11 Kill3b 1,11 Tooleaky 0 Kill6 1,11 Wallbreaker1 0 Wallbreaker3 0 Yalta 1,11 Wallbreaker4 0 Celkem 7,77 Celkem 3,33

30 KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ 26 Tabulka 3.20: ESET Smart Security úroveň 3, 4 Úroveň 3 Úroveň 4 AWFT3 1 CopyCat 0 AWFT4 0 CPIL 0 DNStester 0 CPILSuite1 0 Kernel1 1 Kernel1b 1 Kill3f 1 Keylog1 0 Kill4 1 Kill3e 1 Kill7 1 Kill8 1 SSS2 0 Kill9 1 Suspend1 1 SSS 0 Thermite 0 Suspend2 1 Celkem 6 Celkem 5 Tabulka 3.21: ESET Smart Security úroveň 5, 6 Úroveň 5 Úroveň 6 Breakout1 0 CPILSuite3 0 CPILSuite2 0 Crash5 0,77 Crash1 0,83 Crash6 0,77 Crash2 0,83 DDEtest 0 Crash3 0,83 ECHOtest2 0,77 Crash4 0,83 FireHole 0,77 Kernel2 0,83 Flank 0 Kernel3 0,83 Kernel4 0 Keylog2 0 Keylog3 0 Kill3c 0,83 Keylog4 0 Kill3d 0,83 Kill10 0,77 VBStest 0 Kill11 0,77 Celkem 6,64 Runner 0,77 Celkem 4,62

31 KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ 27 Tabulka 3.22: ESET Smart Security úroveň 7, 8 Úroveň 7 Úroveň 8 BITStest 0 Kernel4b 0 FireHole2 0 Kernel5 0 Keylog5 0 Keylog7 0 Keylog6 0 Kill5 1,25 Kill12 1,11 NewClass 0 OSfwbypass 0 Schedtest2 0 Runner2 1,11 SockSnif 1,25 Schedtest 0 SSS4 0 SSS3 0 Celkem 2,5 Celkem 2,22 Tabulka 3.23: ESET Smart Security úroveň 9, 10 Úroveň 9 Úroveň 10 Crash7 5 BSODhook 5 Driver Verifier 0 ShadowHook 5 Celkem 5 Celkem 10 Tabulka 3.24: ESET Smart Security výsledky Získáno [%] Úroveň 1 7,77 Úroveň 2 3,33 Úroveň 3 6 Úroveň 4 5 Úroveň 5 6,64 Úroveň 6 4,62 Úroveň 7 2,22 Úroveň 8 2,5 Úroveň 9 5 Úroveň Celkem 53, Jetico Personal Firewall Verze: Jetico Personal Firewall [13]

32 KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ 28 Výrobce: Jetico Inc. Oy. Cena: 660,- Kč s DPH Tabulka 3.25: Jetico Personal Firewall úroveň 1, 2 Úroveň 1 Úroveň 2 Breakout2 1,11 AWFT1 1,11 Coat 1,11 DNStest 1,11 ECHOtest 1,11 Ghost 1,11 Kill1 1,11 Jumper 1,11 Kill2 1,11 Kill3 1,11 Leaktest 1,11 Kill3b 1,11 Tooleaky 1,11 Kill6 1,11 Wallbreaker1 1,11 Wallbreaker3 0 Yalta 1,11 Wallbreaker4 0 Celkem 10 Celkem 7,77 Tabulka 3.26: Jetico Personal Firewall úroveň 3, 4 Úroveň 3 Úroveň 4 AWFT3 1 CopyCat 1 AWFT4 1 CPIL 1 DNStester 0 CPILSuite1 0 Kernel1 1 Kernel1b 1 Kill3f 1 Keylog1 1 Kill4 1 Kill3e 1 Kill7 1 Kill8 1 SSS2 1 Kill9 1 Suspend1 0 SSS 1 Thermite 1 Suspend2 1 Celkem 8 Celkem 9

33 KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ 29 Tabulka 3.27: Jetico Personal Firewall úroveň 5, 6 Úroveň 5 Úroveň 6 Breakout1 0 CPILSuite3 0 CPILSuite2 0 Crash5 0,77 Crash1 0,83 Crash6 0,77 Crash2 0,83 DDEtest 0,77 Crash3 0,83 ECHOtest2 0 Crash4 0,83 FireHole 0,77 Kernel2 0,83 Flank 0 Kernel3 0,83 Kernel4 0,77 Keylog2 0,83 Keylog3 0,77 Kill3c 0,83 Keylog4 0,77 Kill3d 0,83 Kill10 0,77 VBStest 0 Kill11 0,77 Celkem 7,47 Runner 0,77 Celkem 7,77 Tabulka 3.28: Jetico Personal Firewall úroveň 7, 8 Úroveň 7 Úroveň 8 BITStest 1,11 Kernel4b 1,25 FireHole2 1,11 Kernel5 1,25 Keylog5 1,11 Keylog7 1,25 Keylog6 1,11 Kill5 1,25 Kill12 1,11 NewClass 0 OSfwbypass 1,11 Schedtest2 0 Runner2 1,11 SockSnif 1,25 Schedtest 1,11 SSS4 1,25 SSS3 1,11 Celkem 7,5 Celkem 10 Tabulka 3.29: Jetico Personal Firewall úroveň 9, 10 Úroveň 9 Úroveň 10 Crash7 5 BSODhook 4,5 Driver Verifier 0 ShadowHook 5 Celkem 5 Celkem 9,5

34 KAPITOLA 3. TESTOVÁNÍ FIREWALLŮ 30 Tabulka 3.30: Jetico Personal Firewall výsledky Získáno [%] Úroveň 1 10 Úroveň 2 7,77 Úroveň 3 8 Úroveň 4 9 Úroveň 5 7,47 Úroveň 6 7,77 Úroveň 7 10 Úroveň 8 7,5 Úroveň 9 5 Úroveň 10 9,5 Celkem 82, Kaspersky Internet Security Verze: Kaspersky Internet Security [14] Výrobce: Kaspersky Lab Cena: 60$ bez DPH (cca 1285,- Kč s DPH) Tabulka 3.31: Kaspersky Internet Security úroveň 1, 2 Úroveň 1 Úroveň 2 Breakout2 1,11 AWFT1 1,11 Coat 1,11 DNStest 1,11 ECHOtest 1,11 Ghost 1,11 Kill1 1,11 Jumper 1,11 Kill2 1,11 Kill3 1,11 Leaktest 1,11 Kill3b 1,11 Tooleaky 1,11 Kill6 1,11 Wallbreaker1 1,11 Wallbreaker3 1,11 Yalta 1,11 Wallbreaker4 1,11 Celkem 10 Celkem 10