Der große "Personal Firewalls sind grundsätzlich sinnlos - ja/nein"-Thread

Andreas Haak

Nunja, ich hatte das bereits in einem englischsprachigen Forum gepostet ... . Ich beziehe mich auf einen konkreten Testfall mit der kostenlosen ZoneAlarm 3.x Version, heruntergeladen am 06.10.2002 um 13:43.

Ich habe nur das getestet was meiner Ansicht nach extrem einfach zu realisieren ist und teilweise auch realisiert ist. Außerdem dazu natürlich ne Idee wie man diese "Unsicherheit" umgehen könnte ;o).

ZoneAlarm (und imho alle anderen Programme) haben von sich aus unsichere Standard Rulesets. So sind z.B. alle Ausgehenden Verbindungen zu Port 53 erlaubt für DNS.

Wenn ein Programm also eine Verbindung zu einem Port 53 aufbauen würde, wird diese Verbindung zugelassen. Im Zusammenhang mit Backdoors wie z.B. Assasin, die das Client-Server-Prinzip mal umdrehen und bei denen der "Server" den "Client" kontaktiert und nicht umgekehrt ist das ganze hochgradig gefährlich. Zone Alarm (und viele andere) würden nichts merken.

Um das ganze zu umgehen gibt es 2 Möglichkeiten. Einmal kann man alle standard Regeln löschen und für sich passende anlegen (so das man z.B. wirklich nur auf SEINE DNS Server zugreifen kann auf Port 53) oder die Hersteller ändern diese Funktion und lassen DNS Anfragen nur zu den aktuell angegebenen DNS Servern zu.

Außerdem genutzt ZoneAlarm und auch einige andere Programme für die Applikationsüberwachung einen sogenannten Socket Layer. Diesen Socket Layer kann man auf einfachste Weise raus kicken (sind nur einige Registry Einträge) und die Applikationsüberwachung funktioniert nicht mehr. Wird aber von keinem bekannten Backdoor gemacht. Ist aber recht einfach wie gesagt. Helfen könnte dabei von der Nutzung eines Protokoll Layers abzusehen.

Eine weitere Möglichkeit ZA und viele andere Walls zu umgehen ist der Einsatz eines eigenen Protokoll Stacks. Quasi eine eigene TCP/IP Implementierung auf Kernel Ebene. Das klingt kompliziert, ist aber EXTREM einfach. Entsprechende Bibiliotheken und Treiber sind Open Source zu finden samt Beispiele für so gut wie alle Programmiersprachen. Einige Trojaner (z.B. SubSeven) benutzen diese Bibliotheken schon (wenn auch dort als Sniffer). Verhindern könnte man dieses dadurch, daß man die Installation von Kernel Modulen unterbindet (macht Tiny z.B.).

Übrigens sind einige Firewalls (ZA ausnahmsweise nicht mehr) ebenso blind für Verbindungen, die mit RAW Sockets aufgebaut wurden.

ZoneAlarm und ALLE anderen Firewalls ohne Sandbox Komponente sind zudem anfällig für Code Injections. Damit meine ich nicht die DLL Injektion, sondern eine richtige Code Injektion. Einen Prozess suspended starten, Code an EIP austauschen und das wars. Keine zusätzliche DLL ). Zu verhindern wäre dies durch eine einfache Speicherprüfsumme ). Genutzt wird das bislang von einer Reihe von Viren/Hybriden.

Und das einfachste zu guter letzt. Zone Alarm (und so gut wie alle anderen Programme) können nicht überprüfen, ob der User oder eine Anwendung auf einen "Erlauben" Button geklickt haben. Ob der Klick simuliert oder echt ist wird nicht geprüft. Für MoSucker 2.3 existier dafür z.B. ein Plug In.

Es gibt da noch mehr Sachen die mir da spontan einfallen würden, aber mehr habe ich noch nicht getestet ). Z.B. eine Modifikation der entschlüsselten Rulesets im Speicher (ja, das geht, trotz Dienst *fg*) usw. usw. usw. . Aber das ist ein Anfang.