Ergebnis 1 bis 9 von 9

Thema: Firewalls unter Beschuss, neue Virenqualität ?

  1. #1
    Brummelchen

    Firewalls unter Beschuss, neue Virenqualität ?

    Da ich euch trotzdem gern habe, hier eine wichtige Mittteilung in Sachen FW, Viren

    -------------------------------------------------------------------
    Firewall unter Beschuß

    Backstealth Software deaktiviert Desktop-Firewalls

    > Firewall unter Beschuß
    >
    > Backstealth Software deaktiviert Desktop-Firewalls
    >
    > Im Internet ist ein neues Hackerprogramm aufgetaucht, welches in der
    > Demo Version von Backstealth zum Einsatz kommt. Damit ist man in der
    > Lage, die Kontrolle des Firewalls über ausgehende Daten zu deaktivieren.
    > Damit wird es Trojanern wieder ermöglich ohne Block, Daten ins Netz zu
    > versenden. Programme wie Kerio Personal Firewall, McAfee Personal
    > Firewall, Norton Internet Security 2002, Sygate Personal Firewall Pro
    > und Tiny Personal Firewall sind machtlos gegenüber diesem Programm. Nur
    > zwei Firewalls konnten der Software wiederstehen. Die Firewall-Software
    > "ZoneAlarm" und Tiny Personal Firewall (Update 3.0) konnten durch die
    > Software nicht überlistet werden.

    http://news.winhelpline.info/index.p...lenews&id=3080


    **** ZITAT *****

    Getunnelt

    Mit dem kostenlosen Tool HTTPort können Anwender hinter einer Firewall
    Internet-Programme nutzen, deren Ports für den Zugriff nach außen
    gesperrt wurden.

    Anwender, denen es aufgrund einer restriktiv konfigurierten Firewall
    nicht vergönnt ist, ihre Lieblings-Internet-Tools auch am Arbeitsplatz
    zu nutzen, können jetzt zur Selbsthilfe greifen: Das Tool HTTPort ist in
    der Lage, eine Client- Verbindung auf einem lokalen Port
    entgegenzunehmen und durch den Web-Proxy der Firewall hindurch ins Freie
    zum gewünschten Ziel zu leiten. Dies funktioniert nach Angaben des
    Entwicklers mit einer Vielzahl von Programmen - von News-Servern, IRC
    und ICQ bis hin zu Napster und Netzwerkspielen.

    Das Besondere an HTTPort ist, dass es dies sogar ohne die Hilfe eines
    externen Servers leistet. Dazu bedient sich das Tool der
    ‘CONNECT’-Methode des Proxy, die auch beim SSL-Protokoll für
    verschlüsselte Internetseiten (https://) zum Einsatz kommt. Für
    SSL-Verbindungen ist es nämlich notwendig, dass der Proxy die Verbindung
    auf den Zielport durchschaltet, ohne auf die übertragenen Daten Einfluss
    zu nehmen (die bei SSL ja verschlüsselt sind). Voraussetzung dafür ist,
    dass der Administrator den Proxy so konfiguriert hat, dass er den
    SSL-Connect auf dem gewünschten Ziel- Port erlaubt - eine wasserdichte
    Firewall lässt solche Connects nur auf dem Standard-SSL-Port 443 zu.

    Sollte dieser Weg verbaut sein, bietet der HTTPort-Entwickler mit dem
    Server HTTHost eine zweite Methode an, die immer funktioniert: Das
    Server-Programm wird auf einem im Internet zugänglichen Rechner
    gestartet und leitet die Datenpakete, die es von HTTPort durch den Proxy
    hindurch über Port 80 empfängt, an das gewünschte Ziel weiter. Die
    Verbindung zwischen HTTPort und HTTHost kann sogar verschlüsselt werden,
    sodass für den Firewall-Admin Inhalt und Ziel des Datenverkehrs nicht
    mehr nachvollziehbar sind. Der Betreiber bietet auch einen solchen
    Server an, der öffentlich zugänglich ist. Mit HTTPort lässt es sich
    völlig anonym und ungefiltert Surfen: Dazu stellt man mit dem Tool eine
    getunnelte Verbindung zu einem Web-Proxy außerhalb des geschützten
    Netzes her.

    Die Konfiguration des Tunnels gestaltet sich recht einfach: Nach dem
    Programmstart trägt der Nutzer den Proxy-Server der Firewall ein und
    definiert die Port-Mappings. Ein solches Mapping besteht aus einer
    lokalen Port-Nummer und der Angabe des entfernten Host samt Zielport,
    auf den die Verbindung umgeleitet werden soll. Auf der ‘Proxy’-Seite
    wird noch der Übertragungsweg eingestellt: ‘SSL (CONNECT)’ steht für die
    Umleitung über SSL; ‘Remote Host’ übermittelt die Daten an einen
    HTTHost-Server. Bleibt das Feld mit der Adresse für diesen Server leer,
    so nimmt HTTPort den öffentlich zugänglichen Server des Entwicklers.
    Nach einem Druck auf den Start-Knopf können die Client-Programme
    Verbindungen über localhost herstellen.

    Der potenzielle Nutzer sollte sich allerdings des Risikos und der
    möglichen Konsequenzen bewusst sein, ein solches Tool unerlaubter Weise
    in einem Firmennetzwerk einzusetzen. Neben den Beschränkungen hebelt
    HTTPort auch die Sicherheit aus, die die Anwender hinter der Firewall
    genießen. Einige Client-Programme stellen ein Sicherheitsrisiko für das
    Netzwerk dar und werden aus gutem Grund verboten. Kommt es zu einem
    Schaden, könnte es sehr unangenehm werden, dem Chef den Grund für das
    Sicherheitsloch zu erklären.

    Sicherheitsbewusste Netzwerk-Administratoren können vorbeugend den
    SSL-Connect des Proxy auf Port 443 beschränken oder seine SSL-Funktion
    gleich ganz abschalten und Verbindungen auf diesem Port direkt erlauben.
    Die Nutzung eines externen HTTHost-Servers lässt sich auf technischem
    Weg nicht vernünftig verhindern. (kav)
    --------------------------------------------------------------------------------
    HTTPort 3, HTTHost
    Firewall-Tunnel
    Systemanforderung Windows 95/98/ME/NT/2000
    Download www.htthost.com
    Preis kostenlos

    **** ZITAT *****

    Backstealth hier:

    http://piorio.supereva.it/backstealth.zip (61kb)

    Wird mit Referer abgefragt, daher funzt es nicht, wenn das nicht
    freigegeben wurde in der Firewall.

    Test
    Was soll ich denn davon halten???

    > BACKSTEALTH 1.1 Security Test --- (C) 2002 Paolo Iorio
    >
    > Search Sygate Personal Firewall Pro ...
    > Sygate Personal Firewall Pro not running
    >
    > Search McAfee Personal Firewall ...
    > McAfee Personal Firewall not running
    >
    > Search Tiny Personal Firewall ...
    > Tiny Personal Firewall not running
    >
    > Search Norton Internet Security 2002 ...
    > Norton Internet Security 2002 not running
    >
    > Search Kerio Personal Firewall ...
    > Kerio Personal Firewall not running

    PS ich wusste es schon länger - NIS sucks, selber schuld. Jeder Hacker
    wird sich an den gängigen FWs messen wollen.
    AG wird nicht mehr unterstützt - wenn die wüssten.
    Aber komisch ist es schon, das die NIS auf dem Atguard-Engine beruht -
    die haben es schlichtweg versaut.
    --------------------------------------------------------------------

  2.   Anzeige

     
  3. #2
    dem Board verfallen Avatar von -=SubSys=-
    Registriert seit
    24.01.02
    Ort
    Matrix
    Beiträge
    1.955

    AW: Firewalls unter Beschuss, neue Virenqualität ?

    Oh Shit, diese Meldung is ja furchtbar. Dabei bin ich noch NIS2002 User, ich glabe da werde ich mal über einen Wechsel der FW nachdenken. Denn Angriffe aus dem Netz sind bei mir nich Unbekannt.

  4. #3
    Senior Member
    Registriert seit
    07.03.01
    Beiträge
    9.880

    AW: Firewalls unter Beschuss, neue Virenqualität ?

    Danke für den Link.
    Ein Freund sitzt hinter Proxy & SmartFilter, der wird das mal testen

    Gruss
    Tim

    PS: Wir lieben Dich auch

  5. #4
    Elder Statesman Avatar von little tyrolean
    Registriert seit
    21.03.02
    Ort
    auf der Alm
    Beiträge
    9.454

    AW: Firewalls unter Beschuss, neue Virenqualität ?

    Hi, Brummelchen,

    ich verstehe da nur Bahnhof (kein Wunder, bin ja Neuling)...

    aber es freut mich sehr, daß du wieder da bist!

  6. #5
    gehört zum Inventar Avatar von SilverSurfer99
    Registriert seit
    01.09.01
    Beiträge
    709

    AW: Firewalls unter Beschuss, neue Virenqualität ?

    Zu 1. Firewalls unter Beschuss - 2. Getunnelt

    VorPosters tirolertypische Anmerkungen reizten mich, nehmt nicht alles allzu Ernst.

    "Hi, Brummelchen, es freut mich sehr, dass du wieder da bist!" - dem schließe ich mich lebhaftest an.

    "Ich verstehe da nur Bahnhof (kein Wunder, bin ja Neuling)... " - wers glaubt *g*.
    Aber etwas Hintergrund ist nicht schlecht, auch wenn damit die Gefahr entsteht, durch zu vereinfachte Darstellung Halbwissen Vorschub zu leisten. Widerspruch/Korrektur ist automatisch erbeten!

    1. Firewalls unter Beschuss
    In den aktuellen Betriebssystemen werden Anwendungen von der Festplatte in einen eigenen Adressraum des Hauptspeichers kopiert und gestartet, damit
    a) Multitasking möglich ist - der Betriebssystem-Scheduler verwaltet die Tasks und gibt ihnen je nach Priorität nacheinander Zeitscheibenanteile im Millisekunden-Bereich, so dass alle Anwendungen "gleichzeitig" zum Zuge kommen
    b) Programmfehler sich nur auf den jeweiligen Anwendungs-Hauptspeicherbereich auswirken und somit nicht mehr das gesamte Betriebssystem herunterreissen (Speicherschutz).

    -Nach Postings in einem anderen Board könnte es Schadensprogrammen mit einer neuen Technik gelingen, zB. in den Adressraum einer laufenden Firewall-Anwendung irgendwie einzudringen und die Firewall-Hauptspeicherkopie so zu modifizieren, dass die FirewallKontrolle unwirksam wird. ZoneAlarm(Pro?) und Tiny3.0 haben offenbar Kontrollmöglichkeiten bzw. wirksame Gegenmittel [ZA-VSMON.DLL ist patentgeschützt].
    -An einem anderen Beispiel von vor anderthalb Jahren, wie Möglichkeiten der Betriebssysteme gegen Firewalls eingesetzt werden konnten - die "Mutex-Lücke": Eine Anwendung kann wie zB. Browser mehrfach gestartet werden dürfen oder aus Sicherheitsgründen nur einmal wie bei Firewalls (sie sind non-reentrant programmiert). Bald tauchte eine Schadensroutine auf, die sich im Systemstart zB. vor ZoneAlarm setzte und einen ZoneAlarm-DLL-Start vortäuschte - heute prüfen die Firewalls beim Start nicht nur auf den Namen zB. der vorgeschalteten ersten Schutz-DLL ab, sondern auch auf signifikante Merkmale, bevor sie programmmässig entscheiden "ok wurde schon gestartet."

    2. Getunnelt
    Auch wenn der Vorgang im Detail sehr komplex ist, gibt es auch hierzu einfache Grunderklärungen:
    Angenommen in der zentralen Firewall ist nur HTTP (TCP80) zugelassen, können damit auch nur die weltweit GENORMTEN Internet-Funktionen von HTTP genutzt werden.
    -Wird jetzt auf dem lokalen PC ein Spezialprogramm benutzt, das mit einem präparierten Server im Internet zusammenarbeitet, so können Internet-Pakete problemlos HTTP-like an den präparierten Server gesendet und dort in andere Internet-Unterfunktionen zB. das risikobehafte Chatten (TCP xxx, ich glaub 119) umgesetzt werden. ACHTUNG: Sowohl vorsätzlichen als auch fahrlässigen Usern 'winkt das Entlassen in den freien Arbeitsmarkt!'
    -Angenommen die zentrale Firewall "ist schlau", bemerkt, dass bestimmte gesendete Befehle nicht zu HTTP passen und blockt, dann ist der nächste Versuch per HTTPS[ecure] (TCP 443): Es handelt sich um die HTTP-Funktion, aber eben verschlüsselt. Ist nun die zentrale Firewall 'stupid' ausgelegt und entscheidet "TCP 443 - verschlüsselter Datenverkehr, da kann ich eh nichts auf Logik überprüfen", dann rutscht diese risikobehaftete Verbindung ebenfalls durch. 'Wirklich schlaue zentrale Firewalls' prüfen vor HTTPS-Absenden der Datenpakete ab, ob die Gegenseite über ein vertrauenswürdiges und noch gültiges Zertifikat verfügt.

    Wertungen:
    1. Die Programmierung solcher Firewall-Beschuss-Schädlinge ist nicht ganz trivial und wird sich zunächst gegen die Internet-Teilnehmer richten, bei denen der Aufwand für die Programmierung der Schädlinge in Bares umzusetzen ist, also noch etwas Schonzeit für Privatanwender, und bis dahin werden hoffentlich alle PersonalFirewall-Anbieter ihr Schutzkonzept nachgezogen haben.
    2. Tunnelung ist kein neues Phänomen, gute zentrale Firewalls mit Administratoren, die nicht wie Kesselflicker bezahlt werden, sind wirksame Schutzmittel, auch zusätzliche IntrusionDetectionSysteme, die auf aussergewöhnliche Aktivitäten/Datenströme reagieren.
    Im Privatbereich ist dieses Risiko "mangels Rendite" vorerst hypothetisch, trotzdem sollte man/frau Firewalls bevorzugen, die IDS-Features mitbringen - ZAP ab 2.6.3xx sowie Sygate ab 4.2 oder den lizenzpflichtigen BlackIceDefender zusätzlich installieren.

    PS1: Was ihr von mir nicht erwarten könnt - Kommentare zu Firmen abzugeben, deren Produkte allzu oft nur zweiter Sieger werden.
    PS2 - Disclaimer: Im Detail bin ich kein Praktiker und habe den Beitrag nach bestem Wissen und Gewissen recherchiert. Aber auch nach dem dritten Durchlesen vor Absenden klingt er nach wie vor logisch. Doch macht euch selbst euer Bild.
    PS3: Stellt solche Fragen ruhig drängender, auch komplexe Sachzusammenhänge lassen sich (fast immer) prinzipiell einfach darstellen, ansonsten verbirgt der sogenannte Experte sein Halbwissen mit Nebelkerzen oder seine Schlagwörter sollen ihn größer machen als er ist...
    Geändert von SilverSurfer99 (04.05.02 um 15:36 Uhr)

  7. #6
    Elder Statesman Avatar von little tyrolean
    Registriert seit
    21.03.02
    Ort
    auf der Alm
    Beiträge
    9.454

    AW: Firewalls unter Beschuss, neue Virenqualität ?

    Hi, SilverSurfer,

    ganz tirolertypisch:

    seit 21.3.2002 online, davor null Interesse für Internet und was dazugehört, und da soll ich eine Ahnung haben?
    Vielleicht verstehe ich gerade noch "Hauptbahnhof", mehr aber auch nicht....
    Ich wollte, daß es mehr so gut gemachte Erklärungen gäbe wie eben deine!

    THX

  8. #7
    gehört zum Inventar Avatar von SilverSurfer99
    Registriert seit
    01.09.01
    Beiträge
    709

    AW: Firewalls unter Beschuss, neue Virenqualität ?

    Tirolertypische Untertreibung?

    "Erst seit 21.3.2002 online, davor null Interesse für Internet und was dazugehört.."
    Damit meinte ich auch nicht punktgenaue Kenntnisse, aber die Menge deiner sachkundigen Antworten belegt eindeutig, dass du dich schnell in Themen reinfindest. Im Grunde steht doch fast jede(r) vor immer neuen Herausforderungen, ob es denn die neue Programm-XYZ-Version ist, die Rätsel aufgibt, oder das Betriebssystem mit den nicht immer nachvollziehbaren Eigentümlichkeiten,

    Geeignete Erklärungen gibt es beim SN-Board viele, das ist ja hier die Stärke neben der Boardkontinuität und der moderaten Tonlage: Jede(r) gibt sein Fachwissen weiter und kann bei Bedarf auf das Knowhow von anderen bauen. Ich bin zB. kein PC-Schrauber (da hält mich eher die Haustechnik in Trab) und habe hier schon manche Lösung gefunden.

  9. #8
    kennt sich schon aus
    Registriert seit
    31.03.01
    Beiträge
    44

    Hmm...

    @SilverSurfer: Ich habe Deinen Beitrag nur kurz ueberflogen. Vermutlich stimmt alles, nur ist es vielleicht fuer manchen etwas kompliziert ;-)

    @Alle

    Blackstealth ist wirklich eine ganz ernst zu nehmende Gefahr. Ich habe es inzwischen auch einmal selbst getestet. Blackstealth tunnelt beispielsweise die Keriofirewall perfekt. Das heisst: Ein Trojaner a la Blackstealth kann saemtliche Daten (etwa Passwoerter) unbemerkt durch die Firewall ins Internet schicken.

    Aber es kommt noch Schlimmer: Blackstealth ist auch ein Webdownloader, d.h. Blackstealth kann beliebige Files (etwa Firewallkiller oder Viren) unbemerkt von der Firewall aus dem Netz downloaden (und theoretisch auch ausfuehren).

    HTTPort ist dagegen etwas ganz anderes und im Prinzip ungefaehrlich. HTTPort tunnelt keine privaten Desktopfirewall (Application Firewall), sondern nur in Unternehmen verwendete Portfirewalls.

    Gruss Devlin

  10. #9
    gehört zum Inventar Avatar von SilverSurfer99
    Registriert seit
    01.09.01
    Beiträge
    709

    AW: Firewalls unter Beschuss, neue Virenqualität ?

    Danke herzlich "Teufelchen".

    Damit ist doch auch die Frage wieder erlaubt, ob nicht zwei unterschiedliche Personal-Firewalls mehr technische Ausfallsicherheit bringen als nur eine (sofern sie sich vertragen! aber die Sygate 4.2. ist ja sehr verträglich)?

    Grüße SilverSurfer99

Ähnliche Themen

  1. alte Festplattendaten auf neue kopieren inkl. allem?
    Von bincue im Forum Allgemeine Computerfragen
    Antworten: 10
    Letzter Beitrag: 05.04.05, 21:04
  2. [WinXP] Echtes Problem: Betriebssystem auf neue Platte verschieben
    Von Ancient im Forum Alles rund um Windows
    Antworten: 13
    Letzter Beitrag: 03.01.04, 20:52
  3. [Firewall] Systemfirewall/Tiny
    Von salamanderstein im Forum Sicherheit am PC
    Antworten: 34
    Letzter Beitrag: 12.11.02, 22:43
  4. [Tip] Personal firewalls vs Leak Tests
    Von SilverSurfer99 im Forum WWW News und Gerüchteküche
    Antworten: 0
    Letzter Beitrag: 06.04.02, 22:20
  5. [Sport] Das neue Stadion des FCB (((+1860)))
    Von TheWonder im Forum Das Sportstudio
    Antworten: 12
    Letzter Beitrag: 12.02.02, 11:12

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •