Problemdarstellung: Es wurden inzwischen mehrere Techniken entwickelt, um trotz Firewalls Daten "herauszuschmuggeln", zB. als Plugins oder durch Ausnutzen von Schwächen des Internetexplorers oder Tunneln eines Internet-Protokolls.

Auf der anschließend von Wo... genannten Webseite werden die bekanntesten fünf Tests zur Verfügung gestellt und die Ergebnisse zu den gängigen Firewalls genannt. Die nachfolgende Diskussion ist aufs Wesentliche verkürzt wiedergegeben, sie beginnt mit dem Testlink, dann meinen eigenen/abweichenden Testerfahrungen und verkehrt sich am Schluss fast ins Gegenteil, indem nämlich künftige perfide Möglichkeiten erörtert werden.

Meine einfachen Ratschläge:
-sich erstens nicht vom FachChinesisch einiger 'Experten' verrückt machen lassen [dient häufig genug nur dazu, Halbwissen zu kaschieren]. Ich selber habe zu diesem Thema auch nur oberflächliche Kenntnisse, aber ein paar grundlegende Sicherheitsmaßnahmen scheinen diese Techniken alt aussehen zu lassen (zB. das generelle Blocken von Outgoing TCP80 *] und über die Installation von Sandbox-Software etwa mit dem besonders einfachen SurfinGuard nachdenken - hat bei mir seit anderthalb Jahren auch schon einige ActiveX-Controls gestoppt)
-einige Methoden scheitern unter WinME und WinXP bereits an dem vergeblichen Versuch, Systemdateien durch kriminelle Teile auszutauschen, sofern die standardmäßige WindowsFileProtection-Aktivierung nicht ausgeschaltet wurde
-nicht jede Schutzmethode für sich allein mag 100%ig sein, aber in einer unkalkulierbaren Kombination dürften sich Angreifer verheddern / siehe meine Testergebnisse
-nicht jede suspicious Software herunterladen oder anklicken - das schwächste Glied bleibt der kritiklose Anwender. Doch lest selbst.

*] https://www.supernature-forum.de/sho...&threadid=8177 / Exkurs Firewalls

============================================================
http://www.trojaner-board.de/forum/u...c;f=4;t=001590
Erstellt von Wo... am 03. April 2002, 00:42:

Personal firewalls vs Leak Tests - http://www.pcflank.com/art21.htm
Übrigens, wer einen anderen Browser nutzt und die iexplore.exe blockt, bei dem haben IMO Leaktests keine Chance.
=====
Ein herzliches Danke für diese feine Webseite:
Was sind Firewall-Anwender auf diesem Board doch verfolgt worden - manchmal auch noch schärfer als paranoid angegriffen! Einzelne Anwender glänzen mit dem ewig falschen Spruch "Warum Firewalls fast überhaupt nichts nützen", und dann werden alle FÜNF Leaktests bei meiner Kombination GESTOPPT!!

1-3. LeakTest.exe - firehole.exe - tooleaky.exe
SurfinGuard Pro 5.51Beta-Build240 (www.Finjan.com, frei für Privatanwender) meldet:
The executable firehole.exe ist about to run from K:\firehole.exe on your computer with full rights to access your files. This active content may bei malicios.
Block - Monitor - Allow
----------------------------------------------------------
4. Yalta.exe - ZoneAlarmPro Program Alert (Version 2.6.357)
"Do you want to allow yalta.exe to access the Internet?
Destination IP: 127.0.0.1:Port 5555"
----------------------------------------------------------
5. Outbound.exe scheitert unter XP ganz schlicht an einer fehlenden Packet.dll, wäre aber vermutlich auch an anderen Sicherungen (siehe oben) gescheitert.
----------------------------------------------------------

Mein Facit: Ein bischen mehr Praxisnähe bei der Wertung von Firewalls würde solchen Postern gut tun.
SurfinGuard ist übrigens eine QuarantäneAnwendung und war mir schon mehrfach bei Active-X nützlich. Und es bleibt dabei, wer nicht unkritischen auf jeden Button klickt und startet, hat schon mal ganz gute Karten.
=====
"Ein bisschen mehr Praxisnähe" würde dir sagen, dass die überall heraufbeschworene Gefahr der "Firewall und Virenscanner ausknipsenden Viren/Trojaner/Würmer" eher als gering bis nicht existent einzustufen ist.

Fakt ist, dass alle großen Mailwürmer der letzten 1-2 Jahre eben NICHT diese Funktion zum Verbreiten genutzt haben, sondern ganz einfach auf 08/15 Schwachstellen im OS/Browser/Mailprogramm und die Dummheit der User gesetzt haben.

Ich sage nicht, dass eine FW nichts bringt. Aber man sollte es mit dem Schutz und der Paranoia auch nicht übertreiben.
=====
Zitat: Was sind Firewall-Anwender auf diesem Board doch verfolgt worden stimmt, war ja ne richtige hexenjagd hier *fg* (nu übertreib mal nicht).

Zitat: Einzelne Anwender glänzen mit dem ewig falschen Spruch "Warum Firewalls fast überhaupt nichts nützen", und dann werden alle FÜNF Leaktests bei meiner Kombination GESTOPPT!! *glänz* was immernoch stimmt. s.u.

Zitat: 1-3. LeakTest.exe - firehole.exe - tooleaky.exe
SurfinGuard Pro 5.51Beta-Build240 (www.Finjan.com, frei für Privatanwender) meldet:
The executable firehole.exe ist about to run from K:\firehole.exe on your computer with full rights to access your files. This active content may bei malicios.
Block - Monitor - Allow 1) das ding ist keine firewall, das ist eine sandbox.
2) wenn ich mal übersetzen darf: "die ausführbare datei firehole.exe ist im begriff von k:\firehole.exe - mit vollen rechten auf ihre dateien - zu starten. dieser aktive inhalt könnte böswillig sein.

und das sagt genau gar nichts aus. unter windows hat jede ausführbare datei volle rechte und könnte bösartig sein. mit diesem wissen kannst du dir nun die tolle sandbox sparen, weil du dann gar nicht erst draufklicken musst.
=====
Betr. Sandbox: Schoen gesagt *grins*. Gleiches gilt IMHO auch fuer die .dll Ueberwachungsfunktion der Sygate Pro. Diese ist ebenfalls nicht wirklich nutzbringend. Sandboxen machen allerdings zum Testen von neuen Programmen (incl. Malware) einigen Sinn. Man findet ziemlich genau raus, was die nach dem Start machen (wollen).

FW/AV-ausknipsende Malware gibt es ja schon wie Sand am mehr. IMHO dauert es auch nicht mehr lange, bis Malware "offiziell" released wird, die FWs tunneln kann. (Inoffiziell gibt es das sogar schon ;-)

Allerdings muss man sich darueber im Klaren sein, dass die aufgedeckten FW-Leaks nur Outgoing Connections betreffen. Daher wuerde vor allem selbstaendig agierende Spyware a la Eblaster/Spector von dieser Sicherheitsluecke profitieren. Moeglicherweise liesse sich auch ein Webdownloader realisieren, der die FW zuerst tunnelt und anschliessend einen FW Killer samt Server auf den Rechner downloaded und ausfuehrt.

Ein richtiger Trojaner, der ohne direkte Inbound Connections auskommt und trotzdem interaktiv arbeitet, liesse sich IMHO jedoch nur mit erheblicher Muehe und ueber diverse Umwege programmieren.
=====
Hmmmmm - nein - nicht unbedingt.

Unter Win9x sollte es möglich sein eine DLL in die Firewall selbst zu injezieren. Das Problem ist, daß viele Firewalls ihre eigenen Interaktionen im Netzwerk nicht filtern. Daher sollte es gut gehen, wenn die DLL als Verbindungsserver agiert und dann über SharedMem oder vergleichbares mit dem eigentlichen Server agiert [[Verärgert]] ).
=====
Die vorstehenden Antworten treffen zu, und doch wiederum nicht so ganz.

Zur Sach-Nachklärung: NACH dem Herunterladen der fünf Leaktests habe ich diese durch Anklicken gestartet, also wie jede andere Anwendung einschließlich EXE-Files auch. Erst während des Ausführungsvorgangs hat SurfinGuard angeschlagen, dh. bei der Startprüfung etwas Verdächtiges festgestellt und GEWARNT - das ist jedenfalls bemerkenswert und wichtig. Im Verdachtsfall lasse man die Finger von solchen Kandidaten.

MEINE Zielsetzung ist: Mit geeigneten Instrumenten sicherstellen, dass mir nichts unbemerkt untergejubelt werden kann, und genau das erreichte ich mit dieser Kombination von Quarantäne-Funktion und geeignet konfigurierter Firewall.

Der Grundsatzfehler liegt eigentlich schon beim Privat-Anwender selbst, indem nämlich Tests von neuen/geänderten Anwendungen und Produktion aus Kostengründen auf dem gleichen Rechner laufen - keine Firmen-EDV-Revision würde solches Verfahren zulassen, oder die Firma wäre schon pleite!

Ausser solchen Leakprozeduren gibt es zahllose andere unbeabsichtigte als auch vorsätzliche Schädigungsmöglichkeiten, die mit KEINEM Instrumentarium in den Griff zu bekommen sind, also sowieso UNVERMEIDBAR sind

-MS-Patches für den Patch des Patches, die manchmal nur wirkungslos sind oder die IE-Sprache auf englisch umstellen, schlimmstenfalls aber die PC-Nutzung unbrauchbar machen
-Fehler in ALLEN Betriebssystemen, auch in seriösen Anwendungsprogrammen und... und...
-selbst bei täglicher Virenprüfer-Signaturaktualisierung könnte eine fehlende neue Signatur-Variante tödlich sein.

Dagegen hilft nur ein ausgefeiltes Datensicherungs-Management sowie Informationsaustausch durch die Internet-Community! Und Adreas hat ja zu recht aus seiner Sicht zusammengefasst, wo die strategisch VERMEIDBAREN Risiken der letzten Zeit lagen - oder anders formuliert: Wer kritisch bleibt und nicht auf alles klickt, was schön bunt ist und sich bewegt, hat schon halb gewonnen.
=====
Zitat: IMHO dauert es auch nicht mehr lange, bis Malware "offiziell" released wird, die FWs tunneln kann. (Inoffiziell gibt es das sogar schon ;-) Ich wäre da an mehr informationen interressiert. Wenn nicht mögl. hier zu posten schick mir doch bitte email oder PM.
=====
Ich kann Dir leider weder Samples noch Sourcecode zukommen lassen (wuerde mir Aerger einbringen - zumal Du ja quasi die Gegenseite repraesentierst ;-). Ist aehnlich wie mit dem polym. Mem-Crypter von Se.... Den rueckt der bestimmt auch nicht raus (falls er denn funzt...)
Allgemeine Infos kann ich natuerlich posten (auch wenn die nicht besonders spannend seien duerften).

Zur Beruhigung: Wenn die Outpost irgendwann mit saemtlichen Leaktests fertig wird, braucht sie (meines Wissens) jedenfalls in Bezug auf den Internet Exploer nichts zu befuerchten.
Zur Beunruhigung: Andere Programme kann man natuerlich ebenfalls zum Tunneln einer Wall "missbrauchen" (banales Beispiel: mIRC) *g*.
=====
Hmm...mit Google wirst da wohl nicht viel finden, da ich keine konkreten Namen nennen moechte und ich mich ausserdem wundern wuerde, falls im Web Details veroeffentlich worden waeren. Am erfolgversprechendsten duerfte die Suche in englischsprachigen Foren (insbes. Codingforen sein, wo gewisse Ansaetze - idR. etwas getarnt - diskutiert worden sind).

Nun zum Thema. Mir sind folgende "Sachen" naeher bekannt, ueber die ich allgemein berichten kann:

1. Bei der ersten Sache handelt es sich im Grunde um nichts anderes als eine Windows-Umsetzung von Mixters ICMP Linux Trojan bzw. Chat. Es handelt sich dabei um einen recht einfachen Server mit Screenshotfunktion, der nicht besonders zuverlaessig laeuft. Er wurde "in the wild" getestet, wird aber nicht weiterentwickelt und meines Wissens auch nicht mehr verwendet, da viele Firewalls inzwischen ICMP unterstuetzen. Da der Server ausserdem eine Art "Selbstzerstoerungsfunktion" (begrenzte Zahl von Starts) hat, duerfte davon "in the wild" nicht mehr viel uebrig geblieben sein. (Die Sache wurde mal in Snakebytes Cryptoforum vor mehr als einem Jahr angedacht und dann stillschweigend verwirklicht (und wieder begraben).

2. Hiervon unabhaengig gibt es ein phantastisches Tool mit eigenem Stack, das aber leider nicht mehr verwendet werden kann (wegen Implementierung der Kerneldriverueberwachung in einige Walls). Mehr sage ich dazu nicht...ausser snief :-(

3. Ebenfalls schon aelter ist die Idee, eine Anwendung mit Internetzugriff zu patchen/infizieren und sich auf diese Weise an der Wall vorbeizumogeln (IMHO eine "Brutalo-Loesung" ;-). Ein mir vorliegendes Sample arbeitet sehr unzuverlaessig. Das Projekt ist wohl auch aufgegeben worden, da viele Firewalls inzwischen Checksummen erstellen.
Aus dieser Ecke stammt auch die Idee, auf einen Autostart des Servers per Registry zu verzichten und stattdessen den MBR zu modifizieren oder andere Anwendungen (wie den IE) so zu patchen, dass sie beim Start den Server "mitausfuehren".

4. Es gibt Experimente, die darauf angelegt sind, die FW bzw. die Rules einer FW so zu veraendern, dass der Server weder geblockt (und am besten auch nicht mehr geloggt wird). Zwei Bekannte arbeiten da sehr engagiert dran...und es klappt auch. Aber bislang eben nur mit bestimmten Walls.

Ich halte von dem Ansatz nicht so viel: Erstens werden sich die Walls versuchen zu schuetzen (bzw. tun es bereits), d.h. man muss staendig "nachbessern", wenn man nicht Gefahr laufen will, dass der Server entdeckt wird. Zweitens gibt es inzwischen so viele Application-Firewalls, dass die Sache extrem aufwendig wird (Servergroesse, Programmieraufwand, Ueberwachung der aktuellen FW Builds, usw...)

5. Ich habe "aufgeschnappt", dass sich einige Coder (die ihre Sachen auch veroeffentlichen), um eine Umsetzung der "neu entdeckten" IE-Sicherheitsluecken bemuehen. Es geht insbesondere um TooLeaky (fuer einen Passwortspy) und Firehole. Mal sehen, ob was daraus wird...

Konkret weiss ich von einem einem Tool, dass unter Verwendung des IE automatisch Screenshots, Passwoerter, Keylogs sowie .doc .txt und .rtf files versendet (aehnlich wie eblaster). Die letzte Version, die ich getestet habe, lief nicht vollstaendig zuverlaessig, war aber ziemlich brauchbar. Glaube aber nicht, dass daran weitergearbeitet wird, jetzt wo alle davon reden und Sygate sowie Look'n'Stop bereits etwas dagegen tun.

6. To come: Ausweichen auf andere Applicationen/Ports/Protokolle (DNS??) Es gibt z.B. etwas fuer ICQ und natuerlich auch fuer mIRC und Outlook Express.

7. "Verbesserung" des Gesamtkonzepts: Anstatt aktiv gegen die FWs zu kaempfen, werden IMHO in Zukunft auch die Scriptkiddies bessere Infektionsstrategien verwenden, da das schwaechste Glied in der Kette oft der User ist. Dies beginnt beispielsweise damit, eine bekannte Webseite zu rippen und dort (scheinbar "offiziell") verseuchte Downloads anzubieten. Der eigentliche Server ist dann speziell an die downgeloadete Software angepasst und in das Installerpaket integriert (also keine Verwendung von Joinern mehr). Der Server kann somit kaum noch von der eigentlichen Software, die ja ueberlicherweise aus diversen Dateien und Programmen besteht, unterschieden werden, siehe etwa Kazaa. Oft wird der User die FW daher freiwillig oeffnen. Falls dies nicht geschieht, wird er eher mit Phonehome, als mit einem Trojaner rechnen.

Glaube daher, dass dieses Forum auch in Zukunft seine Berechtigung haben wird... ;-)
================