PDA

Просмотр полной версии : В Agnitum Outpost v2-3 кажется найдена дыра



orvman
14.12.2005, 10:05
В Agnitum Outpost Firewall v2-3 кажется найдена дыра.
Однозначно говорить об этом пока рано, но все предпосылки и многие факторы говорят об этом.

Внимание!
Всем, у кого есть локальная сеть и желающим протестировать свою машину с включенным Agnitum Outpost Firewall v2-3 из своей локальной сети могут это сделать. Подчеркиваю - Особых навыков и знаний сетевых протоколов и т.д. и т.п. не нужно. Все идеально просто. А как это все сделать - написано на Неофициальном Русском Форуме Outpost.
http://forum.five.mhost.ru/showthread.php?t=2549&page=1&pp=5
Сообщений в той ветке Форума много, поэтому прочитайте все внимательно.

P.S. Я до последнего момента не верил в такие чудеса и беспомощность Агнитума. Но факты - вещь упрямая.

На данный момент времени ведется переписка с некоторыми бета-тестерами программы с английского форума Outpost для подтверждения или опровержения данной уязвимости.

Интересно, правда?

orvman
14.12.2005, 10:07
В Agnitum Outpost Firewall v2-3 кажется найдена дыра.
Однозначно говорить об этом пока рано, но все предпосылки и многие факторы говорят об этом.

Внимание!
Всем, у кого есть локальная сеть и желающим протестировать свою машину с включенным Agnitum Outpost Firewall v2-3 из своей локальной сети могут это сделать. Подчеркиваю - Особых навыков и знаний сетевых протоколов и т.д. и т.п. не нужно. Все идеально просто. А как это все сделать - написано на Неофициальном Русском Форуме Outpost.
http://forum.five.mhost.ru/showthread.php?t=2549&page=1&pp=5
Сообщений в той ветке Форума много, поэтому прочитайте все внимательно.

P.S. Я до последнего момента не верил в такие чудеса и беспомощность Агнитума. Но факты - вещь упрямая.

На данный момент времени ведется переписка с некоторыми бета-тестерами программы с английского форума Outpost для подтверждения или опровержения данной уязвимости.

Интересно, правда?

Geser
14.12.2005, 10:13
ПО идее при убиении ОП сеть должна исчезать. Если это не так, то это баг.

Geser
14.12.2005, 10:13
ПО идее при убиении ОП сеть должна исчезать. Если это не так, то это баг.

orvman
14.12.2005, 10:27
Вот именно! При убиении ОР насильно, или вообще - просто при решении юзера перезагрузиться/выключить Винду сеть должна вырубаться и ни один байт ни в одну сторону, ни в другую не должен приходить/уходить. И вообще по идее должно быть так. Решил юзер перезагрузиться или еще что, то ОР должен сам закрыть сетевое соединение, а только потом дать Винде команду перезагрузиться - вот это правильно решение. А тут мы видим наоборот. Вырубается ОР, а только потом сетевое подключение. В итоге - до 20 секунд открытых дверей - видать из-за механизма Винды и ключика в реестре "WaitToKillServiceTimeout"=20000

RiC
14.12.2005, 10:35
P.S. Я до последнего момента не верил в такие чудеса и беспомощность Агнитума. Но факты - вещь упрямая.
Интересно, правда?
У них ещё дыра в разборе пакетов должна где-то быть, у меня OP версии 2.7 неоднократно в синий экран уходил с криками на tcpip.sys (пакетный драйвер от OP).

Sanja
14.12.2005, 22:38
Все это глупо... проще убить процесс.. поправить ини и перезапустить процесс :)

Sanja
14.12.2005, 22:39
можно еще послать WM_QUERYENDSESSION окну оутпоста :)

IgorA
15.12.2005, 01:04
Sanja Вы это делали конкретно с OP 3?

Sanja
15.12.2005, 02:49
Да :) Мало того.. у меня есть приватный троян который этим активно пользуется Ж)

orvman
15.12.2005, 03:55
Sanja, дружище.
Мало того.. у меня есть приватный троян который этим активно пользуется Никто не спорит. Есть коды. Это правда. А есть элементарные пути обхода, я уже писал об этом - вариантов путей обхода абсолютно любых программных фаеров изнутри очень много. Делается это очень элементарно даже через wscript, cscript - через имитацию ключей ввода клавы или мыши. Еще в январе встречал уже готовые примеры (*.vbs) для многих фаеров (ОР, ZA и т.д.). Не знаю как сейчас, но раньше прокатывало на ура. Могу (если найду) выложить если кому нужно.
А в данном случае в этой ветке имеется ввиду совсем другое. Не убитие ОР как процесса или его принудительная выгрузка, а элементарная зияющая дыра при выгрузке/перезагрузке самой Винды. При этом теоретически может быть до 20 секунд открытых дверей (всем известный ключ в реестре), в практике меньше, но и этого по уши хватит...
Проверено.
По идее фаер должен работать как сервис Винды и грузиться на этапе загрузки виндовых драйверов -полный перечень последовательности, если не ошибаюсь SDA вылаживал здесь на Форуме. Так вот. ОР так и делает. Все нормально. Но. Стоит юзеру самому нажать перезагрузку или еще что (подробности на русском форуме Outpost - ссылка на ветку выше), как сначала выгружается ОР, а только потом Винда сама закрывает все сетевые подключения.
Разве это правильно? Итог - до 20 секунд открытой и никак и ничем не защищенной системы. Проверить можно простым пингом (подробности выше).
Вывод очевиден.

IgorA
15.12.2005, 04:11
Sanja троян воткнуть еще надо, речь то другом, похоже Вы не читали , увидели лишь что об ОР.

Sanja
15.12.2005, 16:57
ну воткнуть ето уже другая забота.. сейчас вроде речь о дырявости..

ту орвман - дырки есть везде но там где есть текстовый конфиг - из больше.. что дрвеб что оутпост Ж) обход защиты иника и его правка вот и все - путь свободен :)

>Делается это очень элементарно даже через wscript, cscript

Не все так просто... ЗА не обходися так - надо только поставить галочку - Protect Zone Alarm Client :) Больше никакая эмуляция на окне неработает :) я даде знаю как такая защита устроена :) все просто но эффективно!

Хотя ОП с ЗА сравнивать вобще несерьезно.. второй хоть пытается защищатся.. например невозможностью грохнуть всмон стандартными методами

Sanja
15.12.2005, 16:57
ЗЫ - неизвестно еще как ведет себя ОП если его треады затормозить.. может драйвер недождавшись ответа пропустит все нафиг Ж)

Geser
15.12.2005, 17:22
Хотя ОП с ЗА сравнивать вобще несерьезно..Несерьёзно. С ЗА практически невозможно работать. ПОставил его на комп, можно выключать и идти гулять. Никакие трояны точно не пролезут :)

Sanja
15.12.2005, 19:17
Может просто ненадо ставить ZA Security Suite с интрегированным антивирусом? Ж) А ставить ZA Pro

Geser
15.12.2005, 19:34
Может просто ненадо ставить ZA Security Suite с интрегированным антивирусом? Ж) А ставить ZA Pro
А я поставил ЗА про. ФТП клиент работать отказался напрочь. И какие я уже только правила ему не прописывал... а он(ЗА), падла, соединение с ФТП клиентом не асоциирует. Так что или открывать порт для всех, что полный бред, или сиди без ФТП. Короче глюкало, ОП по сравнению с ним верх стабильности.
ОП у меня больше 2 лет. Пытался перейти на разные стенки, но глюки или невозможность нормальной настройки доставали так что всегда возвращался обратно. Лучше чуть меньше защиты чем постоянная война со стенкой вместо работы.

SDA
15.12.2005, 19:59
Geser, у меня стоит ЗА про последней 6 версии, проблем не наблюдается, поставил последний catlict к радеону, так ЗА даже игру запускать не давал, пока не прописал разрешение. Это я к тому, что Зина с его проактивной защитой контролирует любой процесс и только его надо правильно настроить, хотя глюки бывают,впрочем как и любой подобной проге,правда повторяюсь в последней про версии глюков не наблюдал (с ФТП клиентом опытов не производил подтвердить глючность или опровергнуть не могу).

Geser
15.12.2005, 20:06
Ну так и у меня стоял ЗА про 6. Была тема в которой я писал про глюки его.
Короче ЗА это как КАВ. У кого-то хорошо работает, а у кого-то тормоза да глюки. Глубокая интеграция в систему зачастую вылазит боким.

SDA
15.12.2005, 20:24
В общем, как повезет, но хорошая защита это оправдывает.

Sanja
15.12.2005, 22:11
глубокая - понятие относительное :) не глубже чем например у ProcessGuard or DefenseWall ot rav ;)

orvman
16.12.2005, 05:10
Sanja
дырки есть везде но там где есть текстовый конфиг - из больше.. что дрвеб что оутпост Ж) обход защиты иника и его правка вот и все - путь свободен Согласен. Правда Агнитум изменил свой конфиг. Теперь критичные настройки прописываются в другом формате и при запуске ОР их проверяет. Если видит изменение, то выдает сообщение, что конфиг поврежден и восстанавливает из резервной копии, прикольно будет если и резервную копию подменить...
Теперь насчет ini. Если ты имеешь ввиду файлик update.ini, то тут действительно зияет дыра. Достаточно сменить параметр Server=www.agnitum.com на другой и дело в шляпе, дальше все будет зависеть от квалификации и фантазии.

ЗА не обходися так - надо только поставить галочку Не знаю как сейчас, а раньше обходился.
Хотите потестить свои фаеры? - все старо, конечно, но смысл понятен.
http://www.securitylab.ru/vulnerability/204921.php
http://www.firewallleaktester.com - тесты и пояснения как это делается, а исходники большинства из этих тестов я уже видел в интернете. Любопытно. А в ОР если стоят настройки по дефолту несколько штук пропускает. Поэтому все настройки нужно ручками править.

orvman
16.12.2005, 05:30
Обзор уязвимости при reboot/shutdown и итоги читаем тут:
http://forum.five.mhost.ru/showthread.php?t=2549&page=16&pp=5 - мой пост №76

Sanja
16.12.2005, 22:17
Sanja Согласен. Правда Агнитум изменил свой конфиг. Теперь критичные настройки прописываются в другом формате и при запуске ОР их проверяет. Если видит изменение, то выдает сообщение, что конфиг поврежден и восстанавливает из резервной копии, прикольно будет если и резервную копию подменить...
Теперь насчет ini. Если ты имеешь ввиду файлик update.ini, то тут действительно зияет дыра. Достаточно сменить параметр Server=www.agnitum.com на другой и дело в шляпе, дальше все будет зависеть от квалификации и фантазии.
Не знаю как сейчас, а раньше обходился.
Хотите потестить свои фаеры? - все старо, конечно, но смысл понятен.
http://www.securitylab.ru/vulnerability/204921.php
http://www.firewallleaktester.com - тесты и пояснения как это делается, а исходники большинства из этих тестов я уже видел в интернете. Любопытно. А в ОР если стоят настройки по дефолту несколько штук пропускает. Поэтому все настройки нужно ручками править.
1. Голочке этой уже лет 7 :) Просто про нее мало кто знает :)
2. Скорее outpost.ini :)
3. Немогу... нету у меня файрвалла на компе вобще :)

Minos
17.12.2005, 00:12
Возможно еще одна дыра, на этот раз для DoS. В чем петрушка, так и не понял, однако замечен трабл при работе связки Outpost + Shareaza, через несколько минут Outpost начинает отгрызать вычислительные ресурсы огромными ломтями. Через 20 минут работы на P IV 3000, процесор занят на 95-99%. Сеть блокируется, а если недай бог вызовешь контекстное меню файла, то и Explorer глохнет. После завершения Shareaza нормальная работа налаживается только через 3-7 минут...

Geser
17.12.2005, 01:18
А если отключить ведение логов?

orvman
17.12.2005, 02:45
Sanja
Скорее outpost.ini update.ini
Немогу... нету у меня файрвалла на компе вобще Нереальный IP (провайдер помогает) или что-то другое? Minos
Возможно еще одна дыра, на этот раз для DoS Какой еще DOS? Это не дыра в безопасности, а неправильная работа, это совсем другое. Есть у ОР траблы с интенсивно юзающимися p2p-приложениями. Когда они открывают кучу портов, делаются тайм-ауты при их открытии/закрытии, ОР не успевает это все регистрировать, загрузка камня увеличивается, а журнал пухнет.

Sanja
17.12.2005, 18:26
>Нереальный IP (провайдер помогает) или что-то другое? Minos
Реальный, порты открыты.. патчи ставить вовремя надо :)

WaterFish
18.12.2005, 00:17
>Нереальный IP (провайдер помогает) или что-то другое? Minos
Реальный, порты открыты.. патчи ставить вовремя надо :)
У каждого своя дорога.:)

Minos
18.12.2005, 20:18
А если отключить ведение логов?
То же самое, но немного позже.