Infomatiker knackt Firewall, Experten entsetzt |
Willkommen, Gast ( Anmelden | Registrierung )
Infomatiker knackt Firewall, Experten entsetzt |
Gast_SyXxPAC_* |
05.02.2005, 18:02
Beitrag
#1
|
Gäste |
|
|
|
Gast_zipfelklatscher_* |
05.02.2005, 18:05
Beitrag
#2
|
Gäste |
Ok, ok, SyXxPAC war schneller.
|
|
|
05.02.2005, 18:11
Beitrag
#3
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 220 Mitglied seit: 02.10.2004 Wohnort: Freiburg / Frankfurt Mitglieds-Nr.: 1.427 Betriebssystem: Mac OS X 10.4.9 |
Ich weiß nicht ob der Link hier schon bekannt ist, aber interessant ist er: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
Gruß, Philipp -------------------- Apple iBook | Linux PC | | | Meine Homepage | PS-Webhosting
|
|
|
Gast_SHAKAL_* |
05.02.2005, 18:16
Beitrag
#4
|
Gäste |
Ist ansich schon alles bekannt und das schon seit Jahren.
Wie man bei Donnermeister Lutz auf der Page sehen kann .... ;-) Keine wirkliche Überraschung. Normal sollte aber eben auch in-out-fw in einer FW laufen und so auch das Vertrauen in eigene Prozesse in Frage gestellt sein. Edit: Wer Securityfocus / Bugtraq liest der weiss, dass ansich mehr als hunderte von Proof-of-Concepts dafür existieren aber bisher noch nicht wirklich praktisch umgesetzt wurden. Der Beitrag wurde von SHAKAL bearbeitet: 05.02.2005, 18:18 |
|
|
05.02.2005, 18:44
Beitrag
#5
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.410 Mitglied seit: 22.08.2004 Mitglieds-Nr.: 1.346 Betriebssystem: Windows XP Pro SP 2 Virenscanner: KIS 8.0 |
Danke für diese bedenklich stimmende Info!
-------------------- Gruß
Christoph |
|
|
05.02.2005, 19:24
Beitrag
#6
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 50 Mitglied seit: 08.06.2004 Mitglieds-Nr.: 965 |
QUOTE(http://www.tomsnetworking.de/index.php?id=a20050205a) Kleins Trick: Er gab den hinter den elektronischen Firmentoren lagernden Programmen Anweisungen, mit denen er sich einen privaten Zugang durch die Schutzmauern bauen konnte. Da die "Firewalls" den eigenen Programmen blind vertrauten, reagierten sie nicht. Dieser Artikel ist wirklich mehr als lächerlich. Hier wurde keine Firewall geknackt. Lediglich eine Lücke einer freigegebenen Anwenung wurde ausgenutzt, dass hat nun wirklich mit der Firewall gar nichts zu tun. Wenn ich meinen Browser vollständig freigegeben habe und dann beim Surfen eine seiner Sicherheitslücken ausgenutzt wird, wurde meine FW ja auch nicht gehackt. Wenn ein/eine Dienst/Anwendung freigegeben ist, ist schliesslich alles so als hätte man gar keine FW. Da das in dem Artikel ebenfalls noch dazu gesagt wird QUOTE(http://www.tomsnetworking.de/index.php?id=a20050205a) Es werden die hinter der Firewall arbeitenden Anwenderprogramme angegriffen und mit einer Kette vermeintlich harmlosen Befehlen zu schädlichem Verhalten bewegt", so Strobel. handelt es sich dabei um peinlichstes Niveau. Ab damit in die Ablage P und sofort vergessen. |
|
|
05.02.2005, 19:41
Beitrag
#7
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
ich denke mal, das dies eher der springende punkt ist
QUOTE Die "Zecke" operiert nur im flüchtigen Hauptspeicher des Computers das ist ja so ähnlich wie mit dem JPG exploid (und dem AVscanner) , solang ein scanner das objekt nicht explizit bei lesen und schreiben auf HDD überwacht passiert nichts. ist jetzt nur die frage des infektionsweges dieser "zecke" , ist das ein sich selbst verbreitender wurm kann er an der FW nicht vorbei, aber so wie´s aussieht ist das ein trojaner den der user selbst starten muss und laut dem vortrag kommt die "zecke" dann an jeder FW vorbei und schleusst sich bestimmt über schon längst freigegebene applikationen vorbei (explorer , dateiexplorer , browser) . womit wir bei dem thema leaktests wären. aber wie war das gleich nochmal , mit programm und komponentenüberwachungen in der FW bleibt das leaktestobjekt auch nicht unerkannt. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
05.02.2005, 19:57
Beitrag
#8
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 2 Mitglied seit: 04.02.2005 Mitglieds-Nr.: 1.825 Betriebssystem: XP pro Virenscanner: Kaspersky 5 |
....... und genau deshalb verwende ich Jetico!
Fötenstingel |
|
|
05.02.2005, 20:13
Beitrag
#9
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 439 Mitglied seit: 10.06.2003 Mitglieds-Nr.: 102 |
In dem Artikel stehen viel zu wenig relevante Infos, um daraus irgendwelche Schlüsse ziehen zu können. Wenn es sich tatsächlich um ein lokal laufendes Programm handelt (was ich aus den spärlichen Infos mal schließe), dann ist das ja wirklich eine bahnbrechende Neuigkeit, dass FWs getunnelt werden können...
@bond7 QUOTE ist das ein sich selbst verbreitender wurm kann er an der FW nicht vorbei, aber so wie´s aussieht ist das ein trojaner den der user selbst starten muss Nur zur Klarstellung: Würmer muss man in den meisten Fällen auch selber starten (Mail-Attachments etc.). Evtl. verwechselst du das mit reinen Netzwerkwürmern (Blaster, Sasser,...)?QUOTE aber wie war das gleich nochmal , mit programm und komponentenüberwachungen in der FW bleibt das leaktestobjekt auch nicht unerkannt. Nein, Programmstart- und Komponentenkontrolle reichen schon nicht aus, um die aktuellen Leaktests zu "bestehen", z.B. bei Anwendung direkter "code-injection" (Copycat, Thermite).Und in dem berühmt-berüchtigten CCC-Video hast du doch gesehen, wie man es noch eleganter machen kann, wo vermutlich für eine PFW gar nix mehr zu machen sein wird (Simulation von User-Eingaben, Befehlübertragung per URL-Zeile im Browser etc.). -------------------- "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
|
|
|
Gast_Jens1962_* |
05.02.2005, 20:28
Beitrag
#10
|
Gäste |
QUOTE(forge77 @ 05.02.2005, 20:12) In dem Artikel stehen viel zu wenig relevante Infos, um daraus irgendwelche Schlüsse ziehen zu können. Wenn es sich tatsächlich um ein lokal laufendes Programm handelt (was ich aus den spärlichen Infos mal schließe), dann ist das ja wirklich eine bahnbrechende Neuigkeit, dass FWs getunnelt werden können... [right][snapback]77168[/snapback][/right] Wenn ich das so halbwegs verstanden habe, dann bastelt er sich im RAM ein Programm zusammen, mit dem er dann argen Unfug anrichten kann. So wie das klingt, läßt sich das Prog auch von außen steuern, was absolut mies wäre. Einen guten Tip haben die ja extra nochmal aufgeführt: Die Userrechte auf das Notwendige beschränken und die erlaubten Administratoren auf das Minimum setzen. Ich kann mir schlecht vorstellen, daß sich der Aufwand für einen Angriff auf einen Home-PC lohnt. In einem Firmennetzwerk sieht es da schon anders aus. Jens |
|
|
05.02.2005, 20:32
Beitrag
#11
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
ich meinte natürlich "netzwerkwürmer"
wo ich die leaktests getestet hatte wurden alle erkannt. simulation von eingaben (steuerung der meldefenster) hatte hier nicht funktioniert , Befehlübertragung per URL-Zeile im Browser (ohne geöffneten browser) hatte hier nicht funktioniert. aber bis jetzt ist das wirklich ja alles noch spekulation , welches programm in dieser zecke stecken könnte ... -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
05.02.2005, 21:21
Beitrag
#12
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 439 Mitglied seit: 10.06.2003 Mitglieds-Nr.: 102 |
QUOTE(bond7 @ 05.02.2005, 20:31) wo ich die leaktests getestet hatte wurden alle erkannt. Du hattest die aber auf einem System getestet, wo viele andere Programme installiert waren und vermutlich auch sonst etliches "verstellt" war (z.B. der Standardbrowser). So macht das Testen mit den möglichst simpel gestrickten Leaktests aber nicht viel Sinn - die sollen ja schließlich nur die PFW testen, und nicht irgendwelche Systemeigenheiten...Um solche Tests sinnvoll durchzuführen, braucht man eine frische Win-Installation, auf der außer der Firewall nix installiert oder verstellt ist. Außerdem hattest du Copycat damals doch gar nicht ausprobiert, wenn ich mich nicht irre? QUOTE simulation von eingaben (steuerung der meldefenster) hatte hier nicht funktioniert[right][snapback]77173[/snapback][/right] Hier gilt das gleiche: nur weil einige Mini-Demos auf deinem "verhunzten" (ist nicht negativ gemeint) System nicht klappen, heißt das noch gar nix. Ein echter Trojaner ist möglicherweise weitaus weniger empfindlich gegenüber systemspezifischen Konfigurationen! Außerdem meinte ich ja konkret diesen einen Trojaner ("wwwsh"), der beim CCC-Seminar vorgeführt wurde. Den kannst du ohne weiteres ja gar nicht getestet haben, weil du dazu noch einen "Gegenpart" brauchst. QUOTE Befehlübertragung per URL-Zeile im Browser (ohne geöffneten browser) hatte hier nicht funktioniert. Welches Tool meinst du denn hier? Und was heißt hier "ohne geöffneten browser"?
-------------------- "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
|
|
|
05.02.2005, 21:34
Beitrag
#13
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
hmm...die leaktest-teile hatten sich die zu umgehenden programme selbst rausgesucht , egal welchen standartbrowser ich hab. es wurde auch die explorer.exe missbraucht, bzw. den dateimanager (totalcommander) . nachdem ich aber beispielweise verboten hatte das eines der leaktestprogramme über den totalcommander ins netz geht kam schon die nächste meldung das dasselbe tool dann über trillian ein connectversuch wagte.
ich glaub daher weniger , das das eine rolle spielt welche standartanwendungs-verknüpfungen ich verbogen hab oder nicht. zum letzten, weisst du das nichtmehr das das nicht ohne schon geöffnetem IE6 ging? man braucht ja eigentlich nur den beitrag hier nochma raussuchen, da müsste das stehen. Hier sagtest du das sogar selber... Der Beitrag wurde von bond7 bearbeitet: 05.02.2005, 21:55 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
05.02.2005, 23:28
Beitrag
#14
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 439 Mitglied seit: 10.06.2003 Mitglieds-Nr.: 102 |
QUOTE(bond7 @ 05.02.2005, 21:33) hmm...die leaktest-teile hatten sich die zu umgehenden programme selbst rausgesucht , egal welchen standartbrowser ich hab. Ja, das machen aber nur manche Leaktests (z.B. pcAudit), andere benutzen generell den Standardbrowser oder aber nur den IE. Zumindest der IE muss also in der PFW freigegeben sein.Es geht aber nicht nur um Standardbrowser: wenn ich mich recht erinnere, wurde bei dir damals viel DNS-Verkehr blockiert, was auf andere, für Leaktests "ungünstige" Einstellungen hindeutete - denn der DNS-Verkehr hat mit den allermeisten Leaks gar nix direkt zu tun. Da war einiges an deinem System etwas ungewöhnlich, weshalb ja auch teilweise falsche Ergebnisse rausgekommen sind (z.B. bei Thermite, dessen Methode von der NPF rein technisch gar nicht bestanden werden _kann_, weil sie keine direkt code-injection erkennt/blockiert). QUOTE Ok, jetzt weiß ich was du meinst. Aber ich hoffe, dich wundert es nicht wirklich, dass das Programm nicht funktioniert, wenn kein Browser - und damit keine URL-Zeile - vorhanden ist... Steht ja auch extra in der Messagebox, die erscheinen sollte: "Mach einen IE auf für diesen Test, sonst komm ich noch auf die Idee, und mach selber einen auf ;-)" Sprich, natürlich könnte der Test auch selber den IE aufmachen, nur erwartet der Coder halt ein kleines bißchen Eigeninitiative vom User, der den Test ausführt. Der o.g. wwsh-Trojaner startet den IE dagegen selber per User-Simulation, also keine Chance für (aktuelle) PFWs... Der Beitrag wurde von forge77 bearbeitet: 05.02.2005, 23:43 -------------------- "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
|
|
|
05.02.2005, 23:56
Beitrag
#15
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
DNS-verkehr blockiert?
du meinst sicher wenn ein programm XY eine URL aufruft wird der ISP auf port 53 angefragt und wenn das passiert greift der applikationswizzard der firewall , der dann eine freischaltung des programmes erwünscht. ansonsten wüsste ich nicht was du sonst meinst, ich hab nichts "verdreht" um irgend einen verkehr zu blockieren. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
06.02.2005, 05:45
Beitrag
#16
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
hier ist eine etwas genauere beschreibung der zecke .
http://www.counter-strike.de/content/gener.../it-defense.php QUOTE Er hatte ein Programm namens Gen1 Zecke (Gen1 steht für Generation 1) entwickelt, das er auf folgendes Setting losließ:
Apache (mit der Buffer-Overflow-Schwachstelle CAN-2002-0656) CheckPoint FW R55W mit Deep Protocol Inspection Die Zecke marschierte durch die Firewall, nutzte den Buffer-Overflow aus, startete eíne Shell, lud einen weiteren Exploit, machte sich zum root und war Herr des Systems. Das alles mit netter Menuführung auf Konsolenebene. Was zeigten die Logs der Firewall: nichts. Was enthüllten uns forensische Tools: ebenfalls nichts, keine Datei war geändert. Denn das Programm von Tobias nutzte keines der vorhandenen Programme sondern hatte diese in Form von Syscalls nachgebildet (via Syscall Redirection). Es lief einzig und allein im Hauptspeicher als geforkter Prozess des Apachen und war damit sehr sicher vor Entdeckungen. Glücklicherweise gibt es dieses Programm nirgends zum herunterladen; aber es macht deutlich, dass Abwehrstrategien auf Netzwerkebene nicht ausreichend sind und eher trügerische Sicherheit vorgaukeln. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Kurt W_* |
06.02.2005, 11:34
Beitrag
#17
|
Gäste |
Und was will uns dieser Beitrag mitteilen? So wenig wie möglich als Admin Arbeiten, bzw. nur mir benötigten Rechten. Aber das wußten wir doch schon alle, oder?
Wer innerhalb eines Netzwerkes jedem Admin Rechte gibt, der braucht sich dann auch nicht wundern, wenn jeder und das trifft auch auf schädliche Programme zu, alles verändern kann. Da hilft dann auch keine noch so gute Firewall. Egal ob es sich dabei um eine Software Firewall oder um ein Konzept zum Schutz vor Eindringlingen oder Schädlingen handelt. Gruß Kurt |
|
|
06.02.2005, 12:02
Beitrag
#18
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 439 Mitglied seit: 10.06.2003 Mitglieds-Nr.: 102 |
Nach dem Link von bond7 zu urteilen, geht es darum, dass ein exploitbarer(!) (ungepatchter) Webserver nicht vollständig durch eine FW (trotz SPI/DPI und IDS/IPS) geschützt werden kann. Also kein lokal vom User gestartetes Programm (Thema: Leaktest), sondern durchaus ein remote-exploit eines verwundbaren Dienstes.
Naja, darüber braucht sich Otto-Normal-User keinen Kopf machen. Der Beitrag wurde von forge77 bearbeitet: 06.02.2005, 12:02 -------------------- "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 28.03.2024, 09:31 |