Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> Infomatiker knackt Firewall, Experten entsetzt
Gast_SyXxPAC_*
Beitrag 05.02.2005, 18:02
Beitrag #1






Gäste






Siehe Hier

Der Beitrag wurde von SyXxPAC bearbeitet: 05.02.2005, 18:04
Go to the top of the page
 
+Quote Post
Gast_zipfelklatscher_*
Beitrag 05.02.2005, 18:05
Beitrag #2






Gäste






Ok, ok, SyXxPAC war schneller.
Go to the top of the page
 
+Quote Post
Philipp
Beitrag 05.02.2005, 18:11
Beitrag #3



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 220
Mitglied seit: 02.10.2004
Wohnort: Freiburg / Frankfurt
Mitglieds-Nr.: 1.427

Betriebssystem:
Mac OS X 10.4.9



Ich weiß nicht ob der Link hier schon bekannt ist, aber interessant ist er: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Gruß,
Philipp


--------------------
Go to the top of the page
 
+Quote Post
Gast_SHAKAL_*
Beitrag 05.02.2005, 18:16
Beitrag #4






Gäste






Ist ansich schon alles bekannt und das schon seit Jahren.
Wie man bei Donnermeister Lutz auf der Page sehen kann .... ;-)
Keine wirkliche Überraschung.
Normal sollte aber eben auch in-out-fw in einer FW laufen und so auch das Vertrauen in eigene Prozesse in Frage gestellt sein.

Edit: Wer Securityfocus / Bugtraq liest der weiss, dass ansich mehr als hunderte von Proof-of-Concepts dafür existieren aber bisher noch nicht wirklich praktisch umgesetzt wurden.

Der Beitrag wurde von SHAKAL bearbeitet: 05.02.2005, 18:18
Go to the top of the page
 
+Quote Post
christophs
Beitrag 05.02.2005, 18:44
Beitrag #5



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.410
Mitglied seit: 22.08.2004
Mitglieds-Nr.: 1.346

Betriebssystem:
Windows XP Pro SP 2
Virenscanner:
KIS 8.0



Danke für diese bedenklich stimmende Info!


--------------------
Gruß

Christoph
Go to the top of the page
 
+Quote Post
Ted
Beitrag 05.02.2005, 19:24
Beitrag #6



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 50
Mitglied seit: 08.06.2004
Mitglieds-Nr.: 965



QUOTE(http://www.tomsnetworking.de/index.php?id=a20050205a)
Kleins Trick: Er gab den hinter den elektronischen Firmentoren lagernden Programmen Anweisungen, mit denen er sich einen privaten Zugang durch die Schutzmauern bauen konnte. Da die "Firewalls" den eigenen Programmen blind vertrauten, reagierten sie nicht.

Dieser Artikel ist wirklich mehr als lächerlich. Hier wurde keine Firewall geknackt. Lediglich eine Lücke einer freigegebenen Anwenung wurde ausgenutzt, dass hat nun wirklich mit der Firewall gar nichts zu tun.

Wenn ich meinen Browser vollständig freigegeben habe und dann beim Surfen eine seiner Sicherheitslücken ausgenutzt wird, wurde meine FW ja auch nicht gehackt. Wenn ein/eine Dienst/Anwendung freigegeben ist, ist schliesslich alles so als hätte man gar keine FW.

Da das in dem Artikel ebenfalls noch dazu gesagt wird
QUOTE(http://www.tomsnetworking.de/index.php?id=a20050205a)
Es werden die hinter der Firewall arbeitenden Anwenderprogramme angegriffen und mit einer Kette vermeintlich harmlosen Befehlen zu schädlichem Verhalten bewegt", so Strobel.

handelt es sich dabei um peinlichstes Niveau. Ab damit in die Ablage P und sofort vergessen. stirnklatsch.gif
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 05.02.2005, 19:41
Beitrag #7



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



ich denke mal, das dies eher der springende punkt ist
QUOTE
Die "Zecke" operiert nur im flüchtigen Hauptspeicher des Computers

das ist ja so ähnlich wie mit dem JPG exploid (und dem AVscanner) , solang ein scanner das objekt nicht explizit bei lesen und schreiben auf HDD überwacht passiert nichts.
ist jetzt nur die frage des infektionsweges dieser "zecke" , ist das ein sich selbst verbreitender wurm kann er an der FW nicht vorbei, aber so wie´s aussieht ist das ein trojaner den der user selbst starten muss und laut dem vortrag kommt die "zecke" dann an jeder FW vorbei und schleusst sich bestimmt über schon längst freigegebene applikationen vorbei (explorer , dateiexplorer , browser) . womit wir bei dem thema leaktests wären.
aber wie war das gleich nochmal , mit programm und komponentenüberwachungen in der FW bleibt das leaktestobjekt auch nicht unerkannt.


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Flötenstingel
Beitrag 05.02.2005, 19:57
Beitrag #8



Ist neu hier


Gruppe: Mitglieder
Beiträge: 2
Mitglied seit: 04.02.2005
Mitglieds-Nr.: 1.825

Betriebssystem:
XP pro
Virenscanner:
Kaspersky 5



....... und genau deshalb verwende ich Jetico! thumbup.gif



Fötenstingel
Go to the top of the page
 
+Quote Post
forge77
Beitrag 05.02.2005, 20:13
Beitrag #9



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 439
Mitglied seit: 10.06.2003
Mitglieds-Nr.: 102



In dem Artikel stehen viel zu wenig relevante Infos, um daraus irgendwelche Schlüsse ziehen zu können. Wenn es sich tatsächlich um ein lokal laufendes Programm handelt (was ich aus den spärlichen Infos mal schließe), dann ist das ja wirklich eine bahnbrechende Neuigkeit, dass FWs getunnelt werden können... lmfao.gif

@bond7
QUOTE
ist das ein sich selbst verbreitender wurm kann er an der FW nicht vorbei, aber so wie´s aussieht ist das ein trojaner den der user selbst starten muss
Nur zur Klarstellung: Würmer muss man in den meisten Fällen auch selber starten (Mail-Attachments etc.). Evtl. verwechselst du das mit reinen Netzwerkwürmern (Blaster, Sasser,...)?

QUOTE
aber wie war das gleich nochmal , mit programm und komponentenüberwachungen in der FW bleibt das leaktestobjekt auch nicht unerkannt.
Nein, Programmstart- und Komponentenkontrolle reichen schon nicht aus, um die aktuellen Leaktests zu "bestehen", z.B. bei Anwendung direkter "code-injection" (Copycat, Thermite).
Und in dem berühmt-berüchtigten CCC-Video hast du doch gesehen, wie man es noch eleganter machen kann, wo vermutlich für eine PFW gar nix mehr zu machen sein wird (Simulation von User-Eingaben, Befehlübertragung per URL-Zeile im Browser etc.). rolleyes.gif


--------------------
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Go to the top of the page
 
+Quote Post
Gast_Jens1962_*
Beitrag 05.02.2005, 20:28
Beitrag #10






Gäste






QUOTE(forge77 @ 05.02.2005, 20:12)
In dem Artikel stehen viel zu wenig relevante Infos, um daraus irgendwelche Schlüsse ziehen zu können. Wenn es sich tatsächlich um ein lokal laufendes Programm handelt (was ich aus den spärlichen Infos mal schließe), dann ist das ja wirklich eine bahnbrechende Neuigkeit, dass FWs getunnelt werden können... 
[right][snapback]77168[/snapback][/right]

Wenn ich das so halbwegs verstanden habe, dann bastelt er sich im RAM ein Programm zusammen, mit dem er dann argen Unfug anrichten kann. So wie das klingt, läßt sich das Prog auch von außen steuern, was absolut mies wäre.
Einen guten Tip haben die ja extra nochmal aufgeführt: Die Userrechte auf das Notwendige beschränken und die erlaubten Administratoren auf das Minimum setzen.
Ich kann mir schlecht vorstellen, daß sich der Aufwand für einen Angriff auf einen Home-PC lohnt. In einem Firmennetzwerk sieht es da schon anders aus.

Jens
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 05.02.2005, 20:32
Beitrag #11



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



ich meinte natürlich "netzwerkwürmer"
wo ich die leaktests getestet hatte wurden alle erkannt.
simulation von eingaben (steuerung der meldefenster) hatte hier nicht funktioniert , Befehlübertragung per URL-Zeile im Browser (ohne geöffneten browser) hatte hier nicht funktioniert. smile.gif

aber bis jetzt ist das wirklich ja alles noch spekulation , welches programm in dieser zecke stecken könnte ...


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
forge77
Beitrag 05.02.2005, 21:21
Beitrag #12



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 439
Mitglied seit: 10.06.2003
Mitglieds-Nr.: 102



QUOTE(bond7 @ 05.02.2005, 20:31)
wo ich die leaktests getestet hatte wurden alle erkannt.
Du hattest die aber auf einem System getestet, wo viele andere Programme installiert waren und vermutlich auch sonst etliches "verstellt" war (z.B. der Standardbrowser). So macht das Testen mit den möglichst simpel gestrickten Leaktests aber nicht viel Sinn - die sollen ja schließlich nur die PFW testen, und nicht irgendwelche Systemeigenheiten...
Um solche Tests sinnvoll durchzuführen, braucht man eine frische Win-Installation, auf der außer der Firewall nix installiert oder verstellt ist. smile.gif
Außerdem hattest du Copycat damals doch gar nicht ausprobiert, wenn ich mich nicht irre?

QUOTE
simulation von eingaben (steuerung der meldefenster) hatte hier nicht funktioniert[right][snapback]77173[/snapback][/right]
Hier gilt das gleiche: nur weil einige Mini-Demos auf deinem "verhunzten" (ist nicht negativ gemeint) System nicht klappen, heißt das noch gar nix. Ein echter Trojaner ist möglicherweise weitaus weniger empfindlich gegenüber systemspezifischen Konfigurationen! sad.gif
Außerdem meinte ich ja konkret diesen einen Trojaner ("wwwsh"), der beim CCC-Seminar vorgeführt wurde. Den kannst du ohne weiteres ja gar nicht getestet haben, weil du dazu noch einen "Gegenpart" brauchst.

QUOTE
Befehlübertragung per URL-Zeile im Browser (ohne geöffneten browser) hatte hier nicht funktioniert.
Welches Tool meinst du denn hier? Und was heißt hier "ohne geöffneten browser"? confused.gif


--------------------
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 05.02.2005, 21:34
Beitrag #13



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



hmm...die leaktest-teile hatten sich die zu umgehenden programme selbst rausgesucht , egal welchen standartbrowser ich hab. es wurde auch die explorer.exe missbraucht, bzw. den dateimanager (totalcommander) . nachdem ich aber beispielweise verboten hatte das eines der leaktestprogramme über den totalcommander ins netz geht kam schon die nächste meldung das dasselbe tool dann über trillian ein connectversuch wagte.
ich glaub daher weniger , das das eine rolle spielt welche standartanwendungs-verknüpfungen ich verbogen hab oder nicht.

zum letzten, weisst du das nichtmehr das das nicht ohne schon geöffnetem IE6 ging? man braucht ja eigentlich nur den beitrag hier nochma raussuchen, da müsste das stehen.

Hier sagtest du das sogar selber...

Der Beitrag wurde von bond7 bearbeitet: 05.02.2005, 21:55


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
forge77
Beitrag 05.02.2005, 23:28
Beitrag #14



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 439
Mitglied seit: 10.06.2003
Mitglieds-Nr.: 102



QUOTE(bond7 @ 05.02.2005, 21:33)
hmm...die leaktest-teile hatten sich die zu umgehenden programme selbst rausgesucht , egal welchen standartbrowser ich hab.
Ja, das machen aber nur manche Leaktests (z.B. pcAudit), andere benutzen generell den Standardbrowser oder aber nur den IE. Zumindest der IE muss also in der PFW freigegeben sein.
Es geht aber nicht nur um Standardbrowser: wenn ich mich recht erinnere, wurde bei dir damals viel DNS-Verkehr blockiert, was auf andere, für Leaktests "ungünstige" Einstellungen hindeutete - denn der DNS-Verkehr hat mit den allermeisten Leaks gar nix direkt zu tun. Da war einiges an deinem System etwas ungewöhnlich, weshalb ja auch teilweise falsche Ergebnisse rausgekommen sind (z.B. bei Thermite, dessen Methode von der NPF rein technisch gar nicht bestanden werden _kann_, weil sie keine direkt code-injection erkennt/blockiert).

QUOTE
Hier sagtest du das sogar selber...
[right][snapback]77193[/snapback][/right]
Ok, jetzt weiß ich was du meinst. Aber ich hoffe, dich wundert es nicht wirklich, dass das Programm nicht funktioniert, wenn kein Browser - und damit keine URL-Zeile - vorhanden ist... wink.gif
Steht ja auch extra in der Messagebox, die erscheinen sollte:
"Mach einen IE auf für diesen Test, sonst komm ich noch auf die Idee, und mach selber einen auf ;-)"
Sprich, natürlich könnte der Test auch selber den IE aufmachen, nur erwartet der Coder halt ein kleines bißchen Eigeninitiative vom User, der den Test ausführt. wink.gif

Der o.g. wwsh-Trojaner startet den IE dagegen selber per User-Simulation, also keine Chance für (aktuelle) PFWs...

Der Beitrag wurde von forge77 bearbeitet: 05.02.2005, 23:43


--------------------
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 05.02.2005, 23:56
Beitrag #15



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



DNS-verkehr blockiert?
du meinst sicher wenn ein programm XY eine URL aufruft wird der ISP auf port 53 angefragt und wenn das passiert greift der applikationswizzard der firewall , der dann eine freischaltung des programmes erwünscht.
ansonsten wüsste ich nicht was du sonst meinst, ich hab nichts "verdreht" um irgend einen verkehr zu blockieren.


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 06.02.2005, 05:45
Beitrag #16



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



hier ist eine etwas genauere beschreibung der zecke .
http://www.counter-strike.de/content/gener.../it-defense.php
QUOTE
Er hatte ein Programm namens Gen1 Zecke (Gen1 steht für Generation 1) entwickelt, das er auf folgendes Setting losließ:

Apache (mit der Buffer-Overflow-Schwachstelle CAN-2002-0656)
CheckPoint FW R55W mit Deep Protocol Inspection
Die Zecke marschierte durch die Firewall, nutzte den Buffer-Overflow aus, startete eíne Shell, lud einen weiteren Exploit, machte sich zum root und war Herr des Systems. Das alles mit netter Menuführung auf Konsolenebene. Was zeigten die Logs der Firewall: nichts. Was enthüllten uns forensische Tools: ebenfalls nichts, keine Datei war geändert.
Denn das Programm von Tobias nutzte keines der vorhandenen Programme sondern hatte diese in Form von Syscalls nachgebildet (via Syscall Redirection). Es lief einzig und allein im Hauptspeicher als geforkter Prozess des Apachen und war damit sehr sicher vor Entdeckungen.
Glücklicherweise gibt es dieses Programm nirgends zum herunterladen; aber es macht deutlich, dass Abwehrstrategien auf Netzwerkebene nicht ausreichend sind und eher trügerische Sicherheit vorgaukeln.


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Gast_Kurt W_*
Beitrag 06.02.2005, 11:34
Beitrag #17






Gäste






Und was will uns dieser Beitrag mitteilen? So wenig wie möglich als Admin Arbeiten, bzw. nur mir benötigten Rechten. Aber das wußten wir doch schon alle, oder? whistling.gif

Wer innerhalb eines Netzwerkes jedem Admin Rechte gibt, der braucht sich dann auch nicht wundern, wenn jeder und das trifft auch auf schädliche Programme zu, alles verändern kann. Da hilft dann auch keine noch so gute Firewall. Egal ob es sich dabei um eine Software Firewall oder um ein Konzept zum Schutz vor Eindringlingen oder Schädlingen handelt. wink.gif

Gruß Kurt
Go to the top of the page
 
+Quote Post
forge77
Beitrag 06.02.2005, 12:02
Beitrag #18



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 439
Mitglied seit: 10.06.2003
Mitglieds-Nr.: 102



Nach dem Link von bond7 zu urteilen, geht es darum, dass ein exploitbarer(!) (ungepatchter) Webserver nicht vollständig durch eine FW (trotz SPI/DPI und IDS/IPS) geschützt werden kann. Also kein lokal vom User gestartetes Programm (Thema: Leaktest), sondern durchaus ein remote-exploit eines verwundbaren Dienstes.

Naja, darüber braucht sich Otto-Normal-User keinen Kopf machen. smile.gif

Der Beitrag wurde von forge77 bearbeitet: 06.02.2005, 12:02


--------------------
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 28.03.2024, 09:31
Impressum