Personal Firewalls mit Löchern
[Security-Software & -Tools] Software Firewalls, die von Millionen
von Internet Usern verwendet werden, bieten nur "illusorischen"
Schutz gegen Trojaner und andere Malware, werden Experten in einem
NewsBytes Artikel zitiert. Techniken um Outbound Filter
auszutricksen, wurden von mehreren Programmierern veröffentlicht.
Hierdurch kann eine eingepflanzte Software vertrauliche Daten nach
Draußen schicken, ohne von den Firewalls entdeckt zu werden.
Um den Firewalls nicht aufzufallen, wird für solche Daten-Spionage
ein unauffälliges Programm benutzt, mit am besten ist hierfür der
Microsoft Internet Explorer geeignet. "Wenn einem Programm das Senden
und Empfangen von Daten erlaubt ist, auf der anderen Seite dieses
Programm aber vom Internet aus ferngesteuert werden kann, nützt die
Firewall überhaupt nichts," schreibt Bob Sundling in der
Dokumentation zu TooLeaky, einem Firewall Testprogramm, das er zur
Demonstration dieser Probleme geschrieben hat.
FireHole, ein ähnliches Testwerkzeug, wurde von Robin Keir
bereitgestellt, einem Sicherheits-Experten bei Foundstone. Sowohl
TooLeaky als auch FireHole schlängeln sich durch die betroffenen
Firewalls um harmlose Testdaten zu übertragen. FireHole nutzt einen
bekannten Flaw in Windows namens SetWindowHookEx, der einer Anwendung
die Übergabe von Befehlen an ein anderes Programm erlaubt.
Gregor Freund von Zone Labs sagt, Zone Alarm würde in Wochenfrist
geupdated, um zumindest teilweisen Schutz unter Windows NT, 2000 und
XP zu erreichen. Ein vollständigerer Schutz werde in die nächste Zone
Alarm Vollversion (3.0) eingearbeitet, die im Januar 2002 fertig sein
soll. In der Zwischenzeit sollten Firewalls so konfiguriert werden,
dass der Internet Explorer nichts ohne ausdrückliche Genehmigung
übermitteln darf.
Keir sagte Newsbytes, es gebe noch andere Methoden, um Filter von
Firewalls zu überlisten und dass dies "ein Rennen sei, das die
Firewall-Hersteller nie gewinnen können." Nichtsdestotrotz sind
Firewalls ein unverzichtbarer Schutz gegen Angriffe von Außen.
Ein drittes Test Utility, YALTA, legt einen virtuellen Gerätetreiber
an, der Daten ohne entdeckt zu werden an eine Internet Adresse
schickt, so die Beschreibung der "Yet Another Leak Test Application".
Dies repräsentiert eine zweite Generation von Testprogrammen, die auf
Gibson Research Corps LeakTest von vor einem Jahr zurückgehen.
Nachdem Gibson damit die "Internal Extrusion" Fehler in den Firewalls
nachwies, haben die Hersteller schon erhebliche Anstrengungen
unternommen, um ihre Produkte nachzurüsten.
Symantec Product Manager Tom Powledge teillte Newsbytes mit, die
Norton Personal Firewall sei dementsprechend in Bearbeitung. Er
betonte aber auch, User müssten sich mit Antiviren-Programmen und
sicherer PC-Praxis davor schützen, dass Angriffsprogramme auf ihrem
Rechner einen Brückenkopf installieren könnten. "Hat ein Angreifer
erst einmal Code auf dem PC eingeschleust, hat er ungeheure
Möglichkeiten," so Powledge, "wir haben immer betont, dass der
effektivste Schutz immer die Anwendung aller zur Verfügung stehenden
Maßnahmen sei."
Alle drei der ICSA-zertifizierten Produkte, Zone Alarm, Norton
Personal Firewall und dieTiny Personal Firewall können unter gewissen
Umständen von solchen Angriffen ausgetrickst werden, so die Autoren
der Utilities. Ein ICSA Sprecher wollte die Situation nicht vor
Abschluss der laufenden Tests kommentieren. // CyberCrime-Alerts ::
[dre].
http://www.rotalarm.de