El firewall dice que un programa que estoy desarrollando está intentando conectarse a Internet

Navega tus respuestas
8

Estoy realmente confundido acerca de esto, ya que el programa está desarrollado completamente por mí mismo y no tiene medios / funcionalidad para conectarse a ninguna red / Internet en absoluto.

Soy un ingeniero de software pero no tengo conocimientos sobre seguridad informática, así que mientras lo ejecuto en el depurador de Visual Studio en Windows XP Professional, Comodo Firewall muestra una alerta que lo llama "MyProgram.exe" está intentando conectarse a internet.

Como no hay razón para que este programa se conecte a Internet, elijo bloquearlo. Al final de los registros del servidor de seguridad, se registran 5 intentos de conexión de MyProgram.exe en un lapso de tiempo de unos pocos minutos y todo el incidente aparece como "El servidor de seguridad ha bloqueado 1 intrusión hasta el momento".

(Por cierto, el nombre real del programa y la carpeta de residencia es muy singular y definitivamente no puedo confundir un programa diferente con esto).

Escribo el código fuente completo, excepto un analizador y un lexer que fueron generados automáticamente por antlr. La fuente desde la cual se generan automáticamente también la escribo yo.

Una búsqueda inversa de ambas IP, que aparentemente intentó conectarse, aparece como perteneciente a la misma gran empresa de Internet.

(Estoy usando un escáner de virus actualizado y nunca tuve problemas de virus con esta PC. Revisé los procesos en ejecución con el explorador de procesos y no encontré nada inusual.)

¿Podría ser un error en el firewall, como un falso positivo?

¿Podría ser que el intento de conexión provenga de una aplicación diferente y no coincida con mi programa debido a que se ejecuta en el depurador?

¿Cuáles serían tus pensamientos / pasos en tal situación?

Supongo que se necesita mucha más información para responder esto, pero no estoy seguro de qué es relevante y qué es crítico o no crítico publicar, por lo tanto, ¿qué sería importante?

Actualizar

Muchas gracias por las respuestas.

Estoy escribiendo un poco más detallado sobre mis hallazgos en caso de que alguien más tenga un problema similar para que sea más fácil de encontrar.

Lo principal que me había confundido era la combinación de lo siguiente:

  • Parecía aleatorio; en otras palabras, no podría hacerlo coincidir con algo que hice que podría haberlo provocado
  • No pude reproducirlo (ni con el depurador ni con el exe independiente)
  • Estoy desarrollando este programa desde hace más de un año y esto nunca ha sucedido
  • Poco antes, otro programa (que descargué hace unos días) intentó conectarse a Internet, lo cual no me pareció necesario / tampoco lo activé.

Para que sea breve , el intento de conexión de otros programas definitivamente no tenía relación con eso y muy probablemente solo una comprobación de actualización.

La empresa a la que pertenecen los IP era Akamai y después de buscar nuevamente encontré un artículo que describe una" alianza entre Akamai y Microsoft "y" servicio disponible para ... .NET developer tools como Visual Studio (R) "

Después de eso, pensé que es muy probable que fuera Visual Studio e intenté reproducirlo nuevamente y finalmente lo hice accidentalmente al hacer clic en el símbolo + para expandir una variable CommonTree en la ventana de visualización durante la depuración . Como ahora siempre puedo reproducirlo con eso, esto debe haber sido lo que lo activó la primera vez también.

Entonces, en retrospectiva, lo que sucedió la primera vez que diría es que hago clic en él para activar el intento de conexión y, como lo bloqueo o lo dejo fuera, estos cinco intentos pertenecen a un intento de conexión de Visual Studio y expanden o colapsan el CommonTree -variable después de que un intento de conexión no active otro, lo que hace que se vea muy aleatorio.
Todo esto y el hecho de que un "debug-run en sí mismo" (sin el clic) no se dispare, es la razón por la que no pude asignarlo al principio a este disparador muy específico:
"durante la depuración expandiendo una variable CommonTree en la ventana de visualización".

    
pregunta Jennifer Owens 01.12.2011 - 03:01
fuente

3 respuestas

5

Un par de preguntas primero:

  1. ¿Qué quiere decir con "la misma gran empresa de Internet"?
  2. ¿Se está intentando conectar MyProgram.exe o MyProgram.vshost.exe?
  3. ¿Qué sucede cuando ejecuta la aplicación en modo de lanzamiento sin el depurador?

Es posible que el depurador de Visual Studio esté intentando descargar archivos de depuración para ensamblajes CLR y que el firewall confunda la solicitud como proveniente de su aplicación en lugar del depurador que la aloja.

    
respondido por el Steve 01.12.2011 - 03:31
fuente
3

La conexión entre el código de depuración, inyectada en su programa y Visual Studio puede estar basada en el protocolo de Internet y el firewall puede confundir esto con una conexión a Internet. Ya sabes, esos firewalls de escritorio tienen que mostrarle al usuario que valen la pena.

Se sabe que el Firewall de Windows muestra una advertencia cuando uno depura un programa Java a través del IDE de Eclipse. El Firewall de Windows proporciona suficiente información para que la causa sea obvia.

Si bien la conexión de depuración es la razón más probable, todavía puede haber una amenaza real, como un virus que infecta su programa. Pero sin los detalles de lo que descubrió exactamente el cortafuegos (protocolo, dirección IP de origen, dirección IP de destino, puerto de origen, puerto de destino), es imposible responder.

    
respondido por el Hendrik Brummermann 01.12.2011 - 11:56
fuente
2

Es muy posible que sea un falso positivo.

Si es posible, puedes deshabilitar la regla de bloqueo y ejecutar (ya que eres el desarrollador de la aplicación) 

netstat -anob

Esto mostrará si MyProgram.ext está haciendo una conexión y con qué.

Si de hecho se está haciendo una conexión, puedes buscar la IP con la que se está comunicando (por ejemplo, algo pertenece a MS o IP extraña).

    
respondido por el Bassec 01.12.2011 - 03:46
fuente

Lea otras preguntas en las etiquetas

¿Por qué hay "t = [su dispositivo]" en la URL de consulta de duckduckgo? ¿Por qué el reenvío del puerto 80 es más inseguro que los otros?