URL: http://home.arcor.de/nhb/pf-umgehen.txt
URL: http://home.arcor.de/nhb/pf-austricksen.html
Im Wesentlichen werden zwei Ziele angestrebt:
Dadurch umgeht es auf einfache Weise die Probleme, die sonst bei einem Internetzugang über ein Netzwerk auftreten würden. Aureate ist nicht nur um einiges älter als ZoneAlarm, sondern wird von sehr vielen Freeware/Shareware-Programmen wie zum Beispiel von GoZilla und WebCopier verwendet.
Anscheinend greifen neuere Versionen des Werbeflächen-Tools über
die Wirtsanwendung auf das Internet zu, sofern es sich bei diesen Programmen
um "Internet-Software" handelt. Suchstichwörter: advert.dll, Radiate
Der Realplayer kommuniziert übrigens auf diese Weise unter Umgehung der Firewall mit dem Internet:
C:\WINDOWS\TEMP\RN7080.htm
<HEAD>
<META HTTP-EQUIV="CONTENT="refresh";
CONTENT="0;URL=http://presets6.real.com/sitesmenu/rphurl.html?
xx00xx00x0X0xxx00xXxxxx0x0xxxxxxxXxxxxxxxxx0xxxxxx0xx0xxxx
xxXxxxx0x00xx0x0xx00xxx0xxxxx0X0X0x0X0xxx0X0xxx0X0000xx0xx
x0X0xxx0X0xxx0X0X0x0X0Xxx00xxxxxXxxx0xx0x0xxx0xx0x00xxxxX0
0xxXx0xXxxxx0xxXx0X0X0x0x00x00x0Xxxx">
</HEAD>
0, X, x repräsentieren Zahlen, Großbuchstaben und Kleinbuchstaben
Besonders heimtückisch ist hierbei, dass ZA vorher die "normale"
Kommunikation (Update-Suche?) erkannt und unterbunden hat.
Do you want Microsoft Internet Explorer to access the internet?Vernünftig programmierte Spyware wird sich selbst ja kaum als "The ultimative hacking tool" in Windows anmelden.
Do you want Netscape Navigator to access the internet?
Do you want Microsoft Windows 95 to access the internet?
Do you want DFÜ-Netzwerk to access the internet?
Do you want Zone Alarm to access the internet?
[1] Proxys verstehen im Gegensatz zu Packetfiltern das jeweilige Protokoll
und sind trotzdem gegen Tunnel (fast) machtlos, da sich diese auf Protokollebene
korrekt verhalten und lediglich uner- wünschte Inhalte transportieren.
Die Würmer Happy99 und Hybris kommen dem recht nah, in dem sie
die WSock32.dll ersetzen. Mittlerweile gibt es auch einen Proof-Of- Concept:
http://www.securityfocus.com/archive/1/244026
(Englisch)
Theoretisch dürften im Worst Case (also wenn dasböse Programme Administrator- bzw. Root-Rechte auf dem Rechner hat) alle PFs ziemlich machtlos sein.
Außerdem kann man viele Desktop-Firewalls durch ähnlich aussehende Programme ersetzen, indem man im simpelsten Fall den Treiber-Aufruf in der Registry löscht und den Aufruf des User-Frontends mit dem Dateinamen eines entsprechend präparierten Programmes überschreibt.
Normale Benutzerrechte reichen bei den meisten PFs aus, um neue Regeln
einzufügen. Natürlich ist das auch automatisch möglich:
http://www.heise.de/newsticker/data/pab-18.05.01-001
http://my-forum.netfirms.com/zone/zcode.htm
(bestätigt "Yes-Button")
Viele Fehlkonfigurationen spielen sich auch auf Anwendungs- ebene ab; zum Beispiel im Browser oder Mailprogramm. Leider sind solche Geschichten (z.B. automatisches Starten von Programmen) häufig die Standard-Einstellung, die man erst mehr oder weniger mühsam ändern muss.
Hier sieht es mit dem Schutz durch PFs sehr schlecht aus, da die PF
nicht mitbekommt, wenn ein Programm ungewollt Daten verändert oder
löscht. Und wenn das Mailprogramm plötzlich Mails senden will,
dann wird die PF es nicht davon abhalten.
Wenn in einer der dahinterliegenden Speicherzellen ein Verweis auf eine
Speicheradresse mit Programmcode liegt (Rücksprung- adresse bei Funktionen),
dann kann diese überschrieben werden. Im simpelsten Fall steht dann
dort Müll und es gibt einen "Fehler in Anwendungsprogramm". Mit etwas
Mühe ist es in dieser Situation häufig möglich, in die eigenen
Daten zu springen, die in Wirklichkeit Programm-Anweisungen in Maschinensprache
sind.
Technische Hintergrundinformationen dazu: "Smashing
The Stack For Fun And Profit" (Englisch)
Eine Personal Firewall könnte theoretisch solche "zu langen" Daten erkennen und abfangen. Das geht allerdings nur, wenn sie weiß, wonach sie suchen muss. Bevor die Personal Firewall- Hersteller ihre Programme angepasst haben, hat MS (bzw. die Hersteller des fehlerhaften Programms) idR. ihre Sicherheitspatches schon längst veröffentlicht.
Da solche Fehler auch immer mal wieder in Personal Firewalls gefunden
werden, kann der vermeintliche Schutz das Loch auch erst aufreißen:
http://cert.uni-stuttgart.de/ticker/article.php?mid=888
Dagegen sind PF ebenfalls machtlos: Es befindet sich in diesem Fall bereits ein Programm auf deinem Rechner, das die PF so verändern kann, dass sie Verbindungs- aufbauten von außen ohne Rückfrage annehmen. Oder noch leichter: Es baut selbst eine Verbindung nach außen auf und holt sich seine Befehle ab. (Damit fällt es in den ersten Abschnitt.)
Die "Zonealarm-FAQ" von Utz Pflock enthält einige Informationen darüber, wie man als Privatanwender einen Kompromiss zwischen Funktionalität und angestrebter Sicherheit erreichen kann. http://www.pflock.de/computer/za_faq.htm
Situationen, die einige PFs als "Angriff" fehlinterpretieren (engl.): http://www.dslreports.com/forum/remark,2169468~root=security,1~mode=flat
http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm#Firewall
http://www.team-cauchy.de/personal/
http://www.fefe.de/pffaq/halbesicherheit.txt
http://www.samspade.org/d/persfire.html
(Englisch)
Dieses Netz ist allerdings sehr weitmaschig, so dass man sich darauf nicht verlassen kann. Daraus ergibt sich eine nicht zu unterschätzende neue Gefahr: Viele Leute werden mit dem Wissen, eine PF und einen Virenscanner zu haben, ausnahmsweise ein einziges Mal ein nicht vertrauenswürdiges Programm starten, ...
Zu guter Letzt handelt es sich bei Personal-Firewalls (von ipchains/iptables mal abgesehen) meist um closed-source Produkte, bei denen sich wieder die Vertrauensfrage stellt. Die einer PF zur Verfügung stehenden Daten sind marketingtechnisch sicherlich nicht uninteressant.
Ergänzungen, Kritik, Flames, Rächtschreibveler bitte an Hendrik Brummermann <nhb_web@nexgo.de