Показано с 1 по 10 из 10.

Жесткий тест файрволов

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189

    Жесткий тест файрволов

    Сентябрьский тест журнала Спецвыпуск: Хакер (взяты тесты на пробиваемость изнутри, тесты снаружи стенки прошли успешно)

    Сегодня на суд общественности предстанут три продукта security-индустрии: ZoneAlarm Internet Security Suite 5.5.094, Kerio Personal Firewall 4.1.1 и OutPost Firewall Pro 2.7. Все они являются персональными файрволами и представляют собой целый набор разнообразных средств. Обязательными в них являются функции защиты компьютера от внешних и внутренних угроз, и сейчас мы узнаем, насколько качественно они реализованы.
    Первым испытанием стала программка по название Leak Test (http://grc.com/lt/leaktest.htm). Это простой тест на подстановку. Для проверки нужно просто переименовать эту программульку в приложение, которому доверяет стена. Если ей удастся установить соединение, то файрвол - полный лопух и не делает никаких проверок подлинности. Другими словами, троянец может запросто прикинуться браузером, просто назвав себя его именем. Все трое испытуемых удачно справились с этим коварным обманщиком и распознали измену.

    Следующим шагом была утилита TooLeaky (http://tooleaky.zensoft.com), которая относится к типу launcher. Программа запускает IE следующей командной строкой: iexplore.exe http://grc.com/lt/leaktest.htm?PersonalInfoGoesHere. Окно осла скрыто, и пользователь его не видит. Если TooLeaky удалось удачно загрузить бродилку и ей разрешен доступ к 80-му порту (что почти всегда и бывает), то на сервер GRC.com посылается специальное сообщение. Если бы это был троянец, то он явно воспользовался бы этим по-другому. Задача файрвола в этом тесте - не допустить запуска IE. И это испытание прошли все: сразу же засветилось окошко, гласящее, что TooLeaky пытается запустить Internet Explorer.
    Теперь усложним задание. Для этого нам понадобится утилита FireHole (http://keir.net/firehole.html). Она бьет сразу по двум местам в безопасности – это и лаунчер, и dll-инжектор. Утилита тоже использует стандартный браузер, но внедряет в него свою dll, а уже после этого пытается установить связь с сервером. Если файрвол начинает выкидывать тревожные окошки, все в порядке. В противном случае в окне программы появится надпись, говорящая, что сообщение отправлено в Сеть и файрвол не справился с поставленной задачей. Устойчивость к лаунчу мы уже проверяли, поэтому тестирование проводилось с уже работающей Opera. Эту проверку прошли все… кроме одного. Кроме Outpost - странно. Но ничего: у него еще будет шанс исправиться.

    Дальше мы продолжим мучить наши бедные брандмауэры программой под названием YALTA или Yet Another LeakTest Application (www.soft4ever.com/security_test/En/index.htm), которая имеет два типа тестов: классический и продвинутый. Классический ориентирован на проверку правил доступа к портам по умолчанию, а продвинутый использует специальный драйвер, чтобы посылать пакеты прямо на сетевой интерфейс. Удалось опробовать только первый тест, так как второй работает только под 9x. Для проверки были выбраны порты, рекомендованные разработчиками ЯЛТЫ (21, 53, 67, 1030, 5555). Если файрвол запищит на каждую из попыток посылки пакетов, то испытание можно считать пройденным успешно. Это удалось сделать только ZoneAlarm'у. Kerio потерпел неудачу на 53 порту, а Outpost пропустил пакеты к 53 и 67 портам, но при отправке данных на 53 порт сообщил о неверном DNS-запросе (конечно, "Does it leak?" никак не тянет на DNS-запрос).

    Следующим препятствием на пути файрволов к совершенству стали pcAudit и pcAudit2 (www.pcinternetpatrol.com). Обе программы проверяют DLL injection, но вторая отличается от первой тем, что пытается попасть не только в explorer.exe, но и во все другие запущенные в данный момент приложения. И если кому-нибудь из них разрешен доступ в Сеть, то при inject-уязвимости загрузится страничка со списком файлов папки "Мои документы" и скрином экрана (эффектно, неправда ли?). Оба теста провалил Kerio, но Outpost как раз справился. Результаты очень странные: FireHole делал то же самое, а вышло совсем наоборот. Возможно, методы внедрения dll разные. Но будем считать, что Outpost исправился. Да, чуть не забыл: ZoneAlarm выдержал все нападения с честью.

    Теперь проверим сетевые экраны на process injection. Для этого воспользуемся Thermite (www.firewallleaktester.com/leaks/thermite.exe). Утилита внедряет свой код непосредственно в адресное пространство удаленного процесса, создавая отдельный поток. В случае удачного внедрения и несрабатывания файрвола, на жестком диске, в директории с термитом, появляется файл securityfocus.html. Kerio снова провалил тест. Остальные справились.
    Copycat (http://mc.webm.ru) делает то же самое, что и Thermite, но не создает поток для своего кода. Испытание пройдено успешно всеми.

    Далее в нашем арсенале появляется Wallbreaker (www.firewallleaktester.com). Утилита проводит четыре теста. Первый использует explorer.exe для вызова IE. Таким образом, получается, что браузер запустила не "вредоносная" программа, а проводник, и в случае доверия к нему со стороны файрвола информация с компьютера просочится в Сеть. Второе испытание по-хитрому запускает IE. Как сказал разработчик, "Это достаточно известная шутка, но многие firewalls на ней прокалываются". Третий тест – это модификация первого, но для вызова IE он использует следующую цепочку: Wallbreaker.exe-> cmd.exe-> explorer.exe-> iexplore.exe. Четвертый - расширение третьего теста. Wallbreaker, установивший запланированную задачу, использует AT.exe, который в свою очередь выполнит задачу через svchost. Цепочка такова: Wallbreaker.exe-> AT.exe-> svchost.exe-> cmd.exe-> explorer.exe-> iexplore.exe. Для добавления задания создается bat-файл с произвольным именем. Чтобы тест полноценно сработал, нужно чтобы планировщик задач Windows был запущен. Правда, ничто не мешает сделать это какой-нибудь вредоносной программе самой. Четвертое испытание провалили все, а Outpost ухитрился осрамиться на втором.

    Теперь мы попробуем провернуть фокус с саморестартингом. В этом нам поможет Ghost (www.firewallleaktester.com). Когда мы запускаем какое-нибудь приложение, для которого не установлены правила доступа в Сеть, файрвол при помощи WinAPI-функций получает PID и имя процесса, приостанавливает его и предлагает пользователю выбрать его дальнейшую судьбу. Ghost же, как только передает сведения о себе, сразу "убивает" себя и тут же снова стартует. Затем он запускает IE и передает на сервер указанную в начале теста строку. Если файрвол не следит за дочерними процессами или просто не успевает сработать вовремя, мы будем лицезреть страничку с наполовину затертыми IP-адресами таких же счастливых обладателей сетевых экранов. Это серьезное испытание прошли все: и ZoneAlarm, и Outpost, и Kerio Personal Firewall.

    Следующая программа называется DNS tester (www.klake.org/~jt/dnshell). В операционных системах w2k/WinXP имеется сервис DNS-клиента, который выполняет все DNS-запросы. Само собой, файрвол должен доверять этой службе (svchost.exe) по умолчанию, иначе для серфинга нам пришлось бы запоминать не имена сайтов типа www.xakep.ru, а их IP-адреса. DNS tester использует эту службу, чтобы передать данные на сервер (вовсе не DNS). Троянцы вполне могут послать пароли и еще что-нибудь своему хозяину. Как ни проста и ни опасна такая идея, сопротивляться программе, реализующей ее, смог только ZoneAlarm.

    Последней внутренней проверкой стал Surfer (www.firewallleaktester.com/leaks/surfer.exe). Утилита создает скрытый десктоп, затем запускает в нем IE, не передавая ему никакого url'а. После этого стартует новая копия IE, а первая уничтожается. Протокол url передается через DDE новой копии браузера. Все эти хитрые манипуляции были сделаны потому, что многие файволы контролируют прямой вызов ShellExecute или CreateProcess. Как оказалось, не зря мучились авторы утилиты: Outpost завалил финальный экзамен, а Kerio и ZoneAlarm устояли.
    Бесспорным лидером объявляем ZoneAlarm Security Suite. Kerio и Outpost - примерно на равных. Однако стоит обратить внимание на то, что Kerio практически совершенно не устойчив к inject'у, а у Outpost'а, хоть он и проваливался на некоторых тестах, не наблюдалось никаких тенденций к неудачам.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    74
    Сентябрьский тест журнала Спецвыпуск: Хакер
    Бл., SDA, а есть линк на первоисточник, я бы автору этой бредятины устроил полный разгром.
    А по поводу тестов и т.д., короче все эту х. - читать тут - http://www.virusinfo.info./showthread.php?t=4439
    Пользователям ОР - все настраивать как прописано там и не беспокоиться.
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    orvman, линка на первоисточник нет, я качал rdf файл спецвыпуска Хакер, если хочешь могу дать линк на скачку. Вообще автора я не видел, кто-то из работников "Хакера", правда емейл там какой-то есть. Да честно говоря извини забыл сразу пропросить тебя прокоментировать (сегодня как раз об этом вспомнил представив твою реакцию) эти посты в части Outpost, мне самому было очень интересно, все таки сидел на Outpost больше года пока не перешел на Зину. Кроме того версии стенок не последние. Кстати касперски можешь отписать свои доводы, он вроде бы считается специалистом в IT безопасности, частенько пишет статьи, где-то видел и его статью и по вирусам но скачивать было неохота. Надо будет попробовать потестить Зину. Хотелось бы проверить 6 версию на вызовы CreateRemoteThread/WriteProcessMemory.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от SDA
    ...
    Надо будет попробовать потестить Зину. Хотелось бы проверить 6 версию на вызовы CreateRemoteThread/WriteProcessMemory.
    Да ловится это все в 6-й версии ZA, насколько я помню. Да и странно было бы, если бы не ловилось.

  6. #5
    Sanja_Guest
    Guest
    Цитата Сообщение от aintrust
    Да ловится это все в 6-й версии ZA, насколько я помню. Да и странно было бы, если бы не ловилось.
    Пользователям ОР - все настраивать как прописано там и не беспокоиться.

    Стоит стоит... SDT unhook + code inject еще никто не отменял Ж)

  7. #6
    Ms-Rem
    Guest
    Имхо прохождение фаерволлом стандартных тестов не гарантирует никакой безопасности. При тестировании надо рассматривать особенности каждого фаерволла по отдельности, и находить методы его обхода. Ни один из распостраненных фаерволлов сейчас не может дать полноценной защиты изнутри.
    Оутпост кстати один из самых простых для обхода фаерволлов (проще только разве антихакер каспермского).

  8. #7
    Geser
    Guest
    Насколько я знаю, во всех существующих стенках конроль компонентов работает так, что нормальный человек не имеет возможности держать его включённым. Так что особо извращаться и не нужно. dll injection скорее всего сработает в 99% случаев.

  9. #8
    Ms-Rem
    Guest
    Более того, даже если контроль компонентов включен, то обойти его можно буквально в несколько строк.



    HideFromPeb: ; hInstance
    push esi
    push ebx
    mov esi, [esp+0Ch]
    mov eax, [fs:30h]
    mov eax, [eax+PEB.LoaderData]
    add eax, PEB_LDR_DATA.InLoadOrderModuleList
    @@:
    mov eax, [eax+LDR_MODULE.InLoadOrderModuleList.Flink]
    cmp esi, [eax+LDR_MODULE.BaseAddress]
    jnz @B
    mov esi, [eax+LIST_ENTRY.Flink]
    mov ebx, [eax+LIST_ENTRY.Blink]
    mov [ebx+LIST_ENTRY.Flink], esi
    mov esi, [eax+LIST_ENTRY.Blink]
    mov ebx, [eax+LIST_ENTRY.Flink]
    mov [ebx+LIST_ENTRY.Blink], esi
    lea eax, [eax+LDR_MODULE.InMemoryOrderModuleList]
    mov esi, [eax+LIST_ENTRY.Flink]
    mov ebx, [eax+LIST_ENTRY.Blink]
    mov [ebx+LIST_ENTRY.Flink], esi
    mov esi, [eax+LIST_ENTRY.Blink]
    mov ebx, [eax+LIST_ENTRY.Flink]
    mov [ebx+LIST_ENTRY.Blink], esi
    pop ebx
    pop esi
    ret

    Я собираюсь скоро выпустить статью с анализом всех распостраненных фаерволов на возможность их обхода.

  10. #9
    Geser
    Guest
    Я собираюсь скоро выпустить статью с анализом всех распостраненных фаерволов на возможность их обхода.
    Статья это всегда интересно. Буду рад если кинешь копию и на наш форум, или хотя бы ссылку.

  11. #10
    baracuda
    Guest
    Помогите найти сравнительную таблицу межсетевых экранов, не пресональных. Или хотя их описание эффективности.... Заранее спасибо!!!!

Похожие темы

  1. жесткий диск
    От serobai в разделе Аппаратное обеспечение
    Ответов: 3
    Последнее сообщение: 15.02.2011, 14:25
  2. жесткий перезапускается
    От Lost в разделе Аппаратное обеспечение
    Ответов: 2
    Последнее сообщение: 11.08.2010, 21:16
  3. Жесткий вирус
    От Janik в разделе Помогите!
    Ответов: 29
    Последнее сообщение: 22.02.2009, 05:09
  4. Жесткий диск IBM
    От Montazar в разделе Аппаратное обеспечение
    Ответов: 15
    Последнее сообщение: 16.10.2006, 02:11
  5. Преодоление файрволов снаружи и изнутри
    От SDA в разделе Межсетевые экраны (firewall)
    Ответов: 12
    Последнее сообщение: 30.01.2006, 23:17

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01229 seconds with 19 queries