Firewalls unter Beschuss, neue Virenqualität ?

B

Brummelchen

Gast
Firewalls unter Beschuss, neue Virenqualität ?

Da ich euch trotzdem gern habe, hier eine wichtige Mittteilung in Sachen FW, Viren

-------------------------------------------------------------------
Firewall unter Beschuß

Backstealth Software deaktiviert Desktop-Firewalls

> Firewall unter Beschuß
>
> Backstealth Software deaktiviert Desktop-Firewalls
>
> Im Internet ist ein neues Hackerprogramm aufgetaucht, welches in der
> Demo Version von Backstealth zum Einsatz kommt. Damit ist man in der
> Lage, die Kontrolle des Firewalls über ausgehende Daten zu deaktivieren.
> Damit wird es Trojanern wieder ermöglich ohne Block, Daten ins Netz zu
> versenden. Programme wie Kerio Personal Firewall, McAfee Personal
> Firewall, Norton Internet Security 2002, Sygate Personal Firewall Pro
> und Tiny Personal Firewall sind machtlos gegenüber diesem Programm. Nur
> zwei Firewalls konnten der Software wiederstehen. Die Firewall-Software
> "ZoneAlarm" und Tiny Personal Firewall (Update 3.0) konnten durch die
> Software nicht überlistet werden.

http://news.winhelpline.info/index....lpline.info/index.php?show=singlenews&id=3080


**** ZITAT *****

Getunnelt

Mit dem kostenlosen Tool HTTPort können Anwender hinter einer Firewall
Internet-Programme nutzen, deren Ports für den Zugriff nach außen
gesperrt wurden.

Anwender, denen es aufgrund einer restriktiv konfigurierten Firewall
nicht vergönnt ist, ihre Lieblings-Internet-Tools auch am Arbeitsplatz
zu nutzen, können jetzt zur Selbsthilfe greifen: Das Tool HTTPort ist in
der Lage, eine Client- Verbindung auf einem lokalen Port
entgegenzunehmen und durch den Web-Proxy der Firewall hindurch ins Freie
zum gewünschten Ziel zu leiten. Dies funktioniert nach Angaben des
Entwicklers mit einer Vielzahl von Programmen - von News-Servern, IRC
und ICQ bis hin zu Napster und Netzwerkspielen.

Das Besondere an HTTPort ist, dass es dies sogar ohne die Hilfe eines
externen Servers leistet. Dazu bedient sich das Tool der
‘CONNECT’-Methode des Proxy, die auch beim SSL-Protokoll für
verschlüsselte Internetseiten (https://) zum Einsatz kommt. Für
SSL-Verbindungen ist es nämlich notwendig, dass der Proxy die Verbindung
auf den Zielport durchschaltet, ohne auf die übertragenen Daten Einfluss
zu nehmen (die bei SSL ja verschlüsselt sind). Voraussetzung dafür ist,
dass der Administrator den Proxy so konfiguriert hat, dass er den
SSL-Connect auf dem gewünschten Ziel- Port erlaubt - eine wasserdichte
Firewall lässt solche Connects nur auf dem Standard-SSL-Port 443 zu.

Sollte dieser Weg verbaut sein, bietet der HTTPort-Entwickler mit dem
Server HTTHost eine zweite Methode an, die immer funktioniert: Das
Server-Programm wird auf einem im Internet zugänglichen Rechner
gestartet und leitet die Datenpakete, die es von HTTPort durch den Proxy
hindurch über Port 80 empfängt, an das gewünschte Ziel weiter. Die
Verbindung zwischen HTTPort und HTTHost kann sogar verschlüsselt werden,
sodass für den Firewall-Admin Inhalt und Ziel des Datenverkehrs nicht
mehr nachvollziehbar sind. Der Betreiber bietet auch einen solchen
Server an, der öffentlich zugänglich ist. Mit HTTPort lässt es sich
völlig anonym und ungefiltert Surfen: Dazu stellt man mit dem Tool eine
getunnelte Verbindung zu einem Web-Proxy außerhalb des geschützten
Netzes her.

Die Konfiguration des Tunnels gestaltet sich recht einfach: Nach dem
Programmstart trägt der Nutzer den Proxy-Server der Firewall ein und
definiert die Port-Mappings. Ein solches Mapping besteht aus einer
lokalen Port-Nummer und der Angabe des entfernten Host samt Zielport,
auf den die Verbindung umgeleitet werden soll. Auf der ‘Proxy’-Seite
wird noch der Übertragungsweg eingestellt: ‘SSL (CONNECT)’ steht für die
Umleitung über SSL; ‘Remote Host’ übermittelt die Daten an einen
HTTHost-Server. Bleibt das Feld mit der Adresse für diesen Server leer,
so nimmt HTTPort den öffentlich zugänglichen Server des Entwicklers.
Nach einem Druck auf den Start-Knopf können die Client-Programme
Verbindungen über localhost herstellen.

Der potenzielle Nutzer sollte sich allerdings des Risikos und der
möglichen Konsequenzen bewusst sein, ein solches Tool unerlaubter Weise
in einem Firmennetzwerk einzusetzen. Neben den Beschränkungen hebelt
HTTPort auch die Sicherheit aus, die die Anwender hinter der Firewall
genießen. Einige Client-Programme stellen ein Sicherheitsrisiko für das
Netzwerk dar und werden aus gutem Grund verboten. Kommt es zu einem
Schaden, könnte es sehr unangenehm werden, dem Chef den Grund für das
Sicherheitsloch zu erklären.

Sicherheitsbewusste Netzwerk-Administratoren können vorbeugend den
SSL-Connect des Proxy auf Port 443 beschränken oder seine SSL-Funktion
gleich ganz abschalten und Verbindungen auf diesem Port direkt erlauben.
Die Nutzung eines externen HTTHost-Servers lässt sich auf technischem
Weg nicht vernünftig verhindern. (kav)
--------------------------------------------------------------------------------
HTTPort 3, HTTHost
Firewall-Tunnel
Systemanforderung Windows 95/98/ME/NT/2000
Download www.htthost.com
Preis kostenlos

**** ZITAT *****

Backstealth hier:

http://piorio.supereva.it/backstealth.zip (61kb)

Wird mit Referer abgefragt, daher funzt es nicht, wenn das nicht
freigegeben wurde in der Firewall.

Test
Was soll ich denn davon halten???

> BACKSTEALTH 1.1 Security Test --- (C) 2002 Paolo Iorio
>
> Search Sygate Personal Firewall Pro ...
> Sygate Personal Firewall Pro not running
>
> Search McAfee Personal Firewall ...
> McAfee Personal Firewall not running
>
> Search Tiny Personal Firewall ...
> Tiny Personal Firewall not running
>
> Search Norton Internet Security 2002 ...
> Norton Internet Security 2002 not running
>
> Search Kerio Personal Firewall ...
> Kerio Personal Firewall not running

PS ich wusste es schon länger - NIS sucks, selber schuld. Jeder Hacker
wird sich an den gängigen FWs messen wollen.
AG wird nicht mehr unterstützt - wenn die wüssten.
Aber komisch ist es schon, das die NIS auf dem Atguard-Engine beruht -
die haben es schlichtweg versaut.
--------------------------------------------------------------------
 
Oh Shit, diese Meldung is ja furchtbar. Dabei bin ich noch NIS2002 User, ich glabe da werde ich mal über einen Wechsel der FW nachdenken. Denn Angriffe aus dem Netz sind bei mir nich Unbekannt. :cry:
 
Danke für den Link.
Ein Freund sitzt hinter Proxy & SmartFilter, der wird das mal testen

Gruss
Tim

PS: Wir lieben Dich auch
 
Hi, Brummelchen,

ich verstehe da nur Bahnhof (kein Wunder, bin ja Neuling)...

aber es freut mich sehr, daß du wieder da bist!
 
Zu 1. Firewalls unter Beschuss - 2. Getunnelt

VorPosters tirolertypische Anmerkungen reizten mich, nehmt nicht alles allzu Ernst.

"Hi, Brummelchen, es freut mich sehr, dass du wieder da bist!" - dem schließe ich mich lebhaftest an.

"Ich verstehe da nur Bahnhof (kein Wunder, bin ja Neuling)... " - wers glaubt *g*.
Aber etwas Hintergrund ist nicht schlecht, auch wenn damit die Gefahr entsteht, durch zu vereinfachte Darstellung Halbwissen Vorschub zu leisten. Widerspruch/Korrektur ist automatisch erbeten!

1. Firewalls unter Beschuss
In den aktuellen Betriebssystemen werden Anwendungen von der Festplatte in einen eigenen Adressraum des Hauptspeichers kopiert und gestartet, damit
a) Multitasking möglich ist - der Betriebssystem-Scheduler verwaltet die Tasks und gibt ihnen je nach Priorität nacheinander Zeitscheibenanteile im Millisekunden-Bereich, so dass alle Anwendungen "gleichzeitig" zum Zuge kommen
b) Programmfehler sich nur auf den jeweiligen Anwendungs-Hauptspeicherbereich auswirken und somit nicht mehr das gesamte Betriebssystem herunterreissen (Speicherschutz).

-Nach Postings in einem anderen Board könnte es Schadensprogrammen mit einer neuen Technik gelingen, zB. in den Adressraum einer laufenden Firewall-Anwendung irgendwie einzudringen und die Firewall-Hauptspeicherkopie so zu modifizieren, dass die FirewallKontrolle unwirksam wird. ZoneAlarm(Pro?) und Tiny3.0 haben offenbar Kontrollmöglichkeiten bzw. wirksame Gegenmittel [ZA-VSMON.DLL ist patentgeschützt].
-An einem anderen Beispiel von vor anderthalb Jahren, wie Möglichkeiten der Betriebssysteme gegen Firewalls eingesetzt werden konnten - die "Mutex-Lücke": Eine Anwendung kann wie zB. Browser mehrfach gestartet werden dürfen oder aus Sicherheitsgründen nur einmal wie bei Firewalls (sie sind non-reentrant programmiert). Bald tauchte eine Schadensroutine auf, die sich im Systemstart zB. vor ZoneAlarm setzte und einen ZoneAlarm-DLL-Start vortäuschte - heute prüfen die Firewalls beim Start nicht nur auf den Namen zB. der vorgeschalteten ersten Schutz-DLL ab, sondern auch auf signifikante Merkmale, bevor sie programmmässig entscheiden "ok wurde schon gestartet."

2. Getunnelt
Auch wenn der Vorgang im Detail sehr komplex ist, gibt es auch hierzu einfache Grunderklärungen:
Angenommen in der zentralen Firewall ist nur HTTP (TCP80) zugelassen, können damit auch nur die weltweit GENORMTEN Internet-Funktionen von HTTP genutzt werden.
-Wird jetzt auf dem lokalen PC ein Spezialprogramm benutzt, das mit einem präparierten Server im Internet zusammenarbeitet, so können Internet-Pakete problemlos HTTP-like an den präparierten Server gesendet und dort in andere Internet-Unterfunktionen zB. das risikobehafte Chatten (TCP xxx, ich glaub 119) umgesetzt werden. ACHTUNG: Sowohl vorsätzlichen als auch fahrlässigen Usern 'winkt das Entlassen in den freien Arbeitsmarkt!'
-Angenommen die zentrale Firewall "ist schlau", bemerkt, dass bestimmte gesendete Befehle nicht zu HTTP passen und blockt, dann ist der nächste Versuch per HTTPS[ecure] (TCP 443): Es handelt sich um die HTTP-Funktion, aber eben verschlüsselt. Ist nun die zentrale Firewall 'stupid' ausgelegt und entscheidet "TCP 443 - verschlüsselter Datenverkehr, da kann ich eh nichts auf Logik überprüfen", dann rutscht diese risikobehaftete Verbindung ebenfalls durch. 'Wirklich schlaue zentrale Firewalls' prüfen vor HTTPS-Absenden der Datenpakete ab, ob die Gegenseite über ein vertrauenswürdiges und noch gültiges Zertifikat verfügt.

Wertungen:
1. Die Programmierung solcher Firewall-Beschuss-Schädlinge ist nicht ganz trivial und wird sich zunächst gegen die Internet-Teilnehmer richten, bei denen der Aufwand für die Programmierung der Schädlinge in Bares umzusetzen ist, also noch etwas Schonzeit für Privatanwender, und bis dahin werden hoffentlich alle PersonalFirewall-Anbieter ihr Schutzkonzept nachgezogen haben.
2. Tunnelung ist kein neues Phänomen, gute zentrale Firewalls mit Administratoren, die nicht wie Kesselflicker bezahlt werden, sind wirksame Schutzmittel, auch zusätzliche IntrusionDetectionSysteme, die auf aussergewöhnliche Aktivitäten/Datenströme reagieren.
Im Privatbereich ist dieses Risiko "mangels Rendite" vorerst hypothetisch, trotzdem sollte man/frau Firewalls bevorzugen, die IDS-Features mitbringen - ZAP ab 2.6.3xx sowie Sygate ab 4.2 oder den lizenzpflichtigen BlackIceDefender zusätzlich installieren.

PS1: Was ihr von mir nicht erwarten könnt - Kommentare zu Firmen abzugeben, deren Produkte allzu oft nur zweiter Sieger werden.
PS2 - Disclaimer: Im Detail bin ich kein Praktiker und habe den Beitrag nach bestem Wissen und Gewissen recherchiert. Aber auch nach dem dritten Durchlesen vor Absenden klingt er nach wie vor logisch. Doch macht euch selbst euer Bild.
PS3: Stellt solche Fragen ruhig drängender, auch komplexe Sachzusammenhänge lassen sich (fast immer) prinzipiell einfach darstellen, ansonsten verbirgt der sogenannte Experte sein Halbwissen mit Nebelkerzen oder seine Schlagwörter sollen ihn größer machen als er ist...
 
Zuletzt bearbeitet:
Hi, SilverSurfer,

ganz tirolertypisch:

seit 21.3.2002 online, davor null Interesse für Internet und was dazugehört, und da soll ich eine Ahnung haben?
Vielleicht verstehe ich gerade noch "Hauptbahnhof", mehr aber auch nicht....
Ich wollte, daß es mehr so gut gemachte Erklärungen gäbe wie eben deine!

THX
 
Tirolertypische Untertreibung?

"Erst seit 21.3.2002 online, davor null Interesse für Internet und was dazugehört.."
Damit meinte ich auch nicht punktgenaue Kenntnisse, aber die Menge deiner sachkundigen Antworten belegt eindeutig, dass du dich schnell in Themen reinfindest. Im Grunde steht doch fast jede(r) vor immer neuen Herausforderungen, ob es denn die neue Programm-XYZ-Version ist, die Rätsel aufgibt, oder das Betriebssystem mit den nicht immer nachvollziehbaren Eigentümlichkeiten,

Geeignete Erklärungen gibt es beim SN-Board viele, das ist ja hier die Stärke neben der Boardkontinuität und der moderaten Tonlage: Jede(r) gibt sein Fachwissen weiter und kann bei Bedarf auf das Knowhow von anderen bauen. Ich bin zB. kein PC-Schrauber (da hält mich eher die Haustechnik in Trab) und habe hier schon manche Lösung gefunden.
 
Hmm...

@SilverSurfer: Ich habe Deinen Beitrag nur kurz ueberflogen. Vermutlich stimmt alles, nur ist es vielleicht fuer manchen etwas kompliziert ;)

@Alle

Blackstealth ist wirklich eine ganz ernst zu nehmende Gefahr. Ich habe es inzwischen auch einmal selbst getestet. Blackstealth tunnelt beispielsweise die Keriofirewall perfekt. Das heisst: Ein Trojaner a la Blackstealth kann saemtliche Daten (etwa Passwoerter) unbemerkt durch die Firewall ins Internet schicken.

Aber es kommt noch Schlimmer: Blackstealth ist auch ein Webdownloader, d.h. Blackstealth kann beliebige Files (etwa Firewallkiller oder Viren) unbemerkt von der Firewall aus dem Netz downloaden (und theoretisch auch ausfuehren).

HTTPort ist dagegen etwas ganz anderes und im Prinzip ungefaehrlich. HTTPort tunnelt keine privaten Desktopfirewall (Application Firewall), sondern nur in Unternehmen verwendete Portfirewalls.

Gruss Devlin
 
Danke herzlich "Teufelchen".

Damit ist doch auch die Frage wieder erlaubt, ob nicht zwei unterschiedliche Personal-Firewalls mehr technische Ausfallsicherheit bringen als nur eine (sofern sie sich vertragen! aber die Sygate 4.2. ist ja sehr verträglich)?

Grüße SilverSurfer99
 
Oben