Jefferson, 
08 de setembro de 2017, 
Nota: Este post ainda está em rascunho, com muitas informações “jogadas”. Certamente não ganharia uma boa nota em redação por ele.
A última vez que eu falei sobre isso aqui foi em 2011. E novamente estou usando a versão gratuita do Comodo Internet Security (CIS). Para quem não está familiarizado, HIPS é um tipo especifico de sistema de detecção de intrusos onde um software instalado observa todos os eventos que ocorrem na máquina à procura de atividades suspeitas. O que eu acho especialmente interessante no CIS é que no modo Paranóico ele dá ao usuário uma visão impressionante dos eventos que ocorrem na máquina e a capacidade de proibir que ocorram.
Por exemplo, você precisa dar permissão quando um programa estranho é executado e mesmo que você autorize é avisado também se esse programa tentar acessar uma funcionalidade suspeita ou executar outro programa. Infelizmente isso vem com o preço da complicação: são muitas perguntas que ele faz e para muitas delas eu tenho que consultar o Google (que processo é esse?). O maior problema é estar no modo Paranóico com a opção de criar regras para aplicações seguras desligada;
E como eu programo e testo software, novos executáveis e novos comportamentos vão aparecendo o tempo todo, havendo inclusive o risco de algo não funcionar como deveria porque o CIS está bloqueando algo, possivelmente devido a uma resposta errada que dei dias antes. E é justamente quando eu esbarro em um problema desses que o CIS é desinstalado. E quando isso acontece leva meses ou anos para eu dar outra chance. Pelas minhas anotações, a última vez que usei o CIS foi no final de 2015 .
Eu não uso antivírus no PC principal há anos mas a constante ameaça dos ransonwares me deixa preocupado e o monitoramento de um HIPS me dá alguma tranqüilidade.
A instalação
Você pode perder o acesso à rede após instalar e até reiniciar o computador, por isso não comece a instalação se estiver fazendo algo que não pode parar.
A falta de um instalador offline
Nota: isso parece estar errado. Veja comentários.
A primeira coisa que me incomoda é que agora o CIS não tem mais um instalador standalone disponível. Você tem que baixar um instalador online de 5MB que se encarrega de instalar para você. A última vez que encontrei uma versão standalone disponível no site foi em novembro de 2016. O que você só descobre depois de instalar é que poder obter o instalador em dois lugares:
- Uma cópia é deixada em %ProgramData%\Comodo\Installer
- Um log é criado durante a instalação que mostra de onde o instalador é baixado. Espere a instalação estar lá pelos 80% (muito cedo e o log não terá o link ainda e muito tarde e poderá ter sido apagado) e usando o Voidtools Everything procure por um arquivo de extensão .log ou .7z cujo nome começa com “cmdinstall.exe_” (exemplo: cmdinstall.exe_17-09-05_18.50.58.log). Ele provavelmente estará no diretório TEMP. Em 05/09/2017 os caminhos indicados nos logs eram estes:
Se você não tomar cuidado vão ser instalados diversos “extras” que você provavelmente não vai querer, como o “navegador Dragon”, o “geekbuddy”, etc. Observe com cuidado as opções de instalação.
Os modos de proteção HIPS (da forma que os entendo)
- Training (Treinamento) – Este modo é para ser usado temporariamente e nele o CIS apenas observa tudo o que ocorre na máquina e vai marcando como permitido. Útil quando você está começando com uma instalação sabidamente segura e tem um ou mais softwares “incomuns” que precisa evitar que o CIS bloqueie. Depois que o CIS aprender e você colocar no modo Safe, a quantidade de perguntas feitas ao usuário em condições normais será mínima, se não for zero;
- Safe (Seguro) – O CIS mantém uma lista de aplicações “seguras” e nesse modo todas elas são autorizadas enquanto que as que ele não conhecer vão gerar alertas para o usuário.
- Paranoid (Paranóico) – O CIS não parte de nenhuma lista de aplicações seguras. Tudo ele vai perguntar a você
Meu desktop:
- Windows 8.1 x64
- Intel Core i3-3220 3.30GHz – O mesmo hardware básico desde 2013
- 8GB de RAM – Podendo ir a 12GB a qualquer momento
Meu notebook (o que levo para a rua)
- dual boot Windows 7 32 bits e Windows XP
- Intel Pentium T4300 2.10GHz
- 3GB de RAM
No desktop eu rodo no modo paranóico. No notebook no modo Seguro. Isso parece ilógico porque meu notebook está exposto a mais perigos mas é porque o modo Paranóico é essencialmente o modo Seguro com a possibilidade de você ver o que está ocorrendo e a chance de desbloquear algo. Na rua eu não tenho tempo para isso e quero que toda atividade desconhecida seja bloqueada por default mesmo.
Problemas já encontrados (provavelmente por estar no modo paranóico)
- Ao voltar da hibernação era preciso esperar um longo tempo até poder desbloquear o Windows. A imagem aparecia mas onde deveria aparecer o lugar para digitar minha senha não havia nada. Enquanto isso eu ficava ouvindo o som do CIS pedindo autorização para algo. Quando finalmente consegui entrar eu vi nos logs que o último programa bloqueado havia sido logonui.exe e depois de desbloqueá-lo o problema sumiu.
- Houve um momento que o kmplayer não aceitava mais executar vídeo algum via duplo clique. Clicar no vídeo fazia o kmplayer abrir, mas nada mais acontecia. Após coçar um pouco a cabeça descobri que isso ocorreu porque eu mandei o CIS tratar o kmplayer como “contained app” e nesse modo entre outras coisas o programa fica proibido de receber mensagens do tipo “abra isso”.
Eu irei adicionando mais impressões sobre minha experiência com o CIS nos comentários, à medida que as novidades surgirem.
Como é que é? CIS tem sim instalador offline.
Ou sempre olha o tópico do último release no fórum deles, sendo o atual este.
Só mesmo eu errando para fazer esse pessoal que comenta pouco aparecer.
Em março eu procurei bastante por isso e não achei. Fiquei indignado com a Comodo. Mas parece que meu Google-Fu falhou.
Uma coisa me parece certa: se há um link para isso no site está bem escondido.
O post da Comodo com o link para baixar a versão offline mais recente em maio de 2019 está aqui.
Tive o primeiro aborrecimento com o CIS agora há pouco. Quando instalei eu explicitamente declarei não querer o antivírus, nem o GeekBuddy, desativei o Viruscope e o Auto-Containment e ainda assim ao executar um programa que uso de vez em quando o CIS bloqueou meu acesso a ele dizendo que era malicioso e oferecendo ajuda (paga) de “experts” via GeekBuddy.
Como eu não instalei Antivírus, não existe a opção Antivirus no menu, nem opções óbvias para colocar o programa em uma WhiteList. A opção “Quarentine” estava vazia. Eu já estava ficando irritado com o CIS e contemplando a idéia de desinstalá-lo quando encontrei a opção de que eu precisava em Advanced Settings -> File Rating -> File List. Lá aparece uma lista dos executáveis analisados e o programa estava marcado como malicioso. Bastou trocar para “Trusted”. Depois eu coloquei como “Unrecognized”.
Eu uso esse programa há uns doze anos e há mais de dez os antivírus insistem que ele é malicioso. Mas nem mesmo o HIPS do CIS é capaz de me mostrar a malícia dele.
Para registro, o malware detectado é chamado de TrojWare.win32.Genome.~kkt@1, que supostamente baixa e executa outros programas.
Tem certas perguntas malucas que o HIPS faz…
Mandei apagar o conteúdo do backup de um cliente, em um HDD secundário que eu acabara de conectar à minha máquina. A operação de apagamento parou com o HIPS alertando que o Explorer estava tentando modificar as configurações do Chrome e perguntando se eu queria continuar.
O arquivo a ser apagado era o “preferences”, que supostamente guarda as configurações do Chrome.
Por um lado, eu estou com o HIPS no modo “paranóico”.
Por outro lado, é o EXPLORER, numa operação de apagamento em massa, apagando o arquivo, em outro HDD.
Olá, Jefferson. Muito legal as informações que vc postou nesta página sobre o firewall do Comodo. É algo difícil dese encontrar no gúgol… Brother, cheguei aqui no teu site procurando uma solução para um pequeno probleminha com o visualizador de relatórios deste software.Na janela dos relatórios dos ventos do HIPS, para visualizar toda a informação, eu tentei “redimensionar” a coluna Aplicativo, na qual aparece o caminho dos aplicativos que lá estão listados. Tentei fazer isso clicando (no limite entre uma coluna e outra, quando o ponteiro do mouse assume a forma de uma seta que aponta ao mesmo tempo para a direita e para a esquerda) e arrastando. Só que a coluna deu um salto, digo, abriu em demasia, e a cada vez que eu tentava voltar para a dimensão original, acontecia um novo salto da coluna…Agora fica até difícil encontrar esta coluna Aplicativos(e as demais que ficam depois desta). Vc já tinha visto ou ouvido falar de algo parecido?… Por acaso vc sabe como resolver isso, ou seja, fazer essas colunas voltarem para as dimensões originais?…