Firewall FAQ für Fortgeschrittene - Beitrag #111 - Post 283223 - Computer Hardware Forum - TweakPC -

Invicta · 12.08.2005, 15:08

Hallo zusammen.
Ich werde nun erläutern, wie man Desktop-Firewalls umgehen kann – auch ohne Einsetzen von „The Hack“. Denn die große Masse solcher Firewalls bietet auch so nicht optimalen Schutz und lässt den normalen - User mit mehreren Sicherheitsrisiken allein – obwohl die Hersteller jener Firewalls deren Benutzern optimale Sicherheit versprechen.
So ist es für den „bösen Hacker“ oftmals nicht einmal notwendig, die Firewall im Sinne eines Hacks zu umgehen.

Vorher noch eine kleine Anmerkung am Rande:
Ich habe darauf geachtet, diesen Beitrag so zu gestalten, dass meiner Meinung nach keine große Nachahmungsgefahr von Seiten unserer werten r00t-Kids vorliegt. Sollte einer der hiesigen Foren-Mitarbeiter trotzdem der Meinung sein, dass irgendetwas davon hier nicht richtig aufgehoben sei, so möge er/sie es mir bitte mitteilen, damit ich es entsprechend „entschärfen“ kann.

Man kann ja nie wissen.
Wenn deswegen etwas ein wenig ungenau oder weniger konkret ausgefallen ist, wäre ich natürlich auch noch zu ein paar Erklärungen betreffend das Thema bereit.

1.
Als Beispiel möchte ich hier Zone Labs ZoneAlarm Pro aufführen.
Jeder, der diese Personal-Firewall benutzt, kennt deren Anfragen, ob neu installierten Programmen der Zugriff nach außen gestattet werden soll und die Kontrolle des Applikationsfilters, ob es das darf.
Nun wird natürlich nicht jeder weniger aufgeklärte Internet-Nutzer wissen, dass hinter z.B. einer „kernel.exe“ seine T-Online-Software steckt oder was eine „svchost.exe“ ist.
Ich wage also anzunehmen, dass es Leute geben wird, die deshalb allen Programmen den Zugriff nach innen/außen gestatten werden (dass Gegenteil würde schlecht funktionieren, denn dann würden sie ihrer Internet-Software Knüppel zwischen die Beine werfen – und da das kein Newbie möchte…*schmunzel*), aber kommen wir zum Hauptpunkt dieses Abschnitts zurück: Wenn sich nun das Programm trickler.exe anmeldet, hinter dem ein Virus steckt, was dem Anwender allerdings nicht bekannt ist, wird dieser dem Programm den Zugriff ins Netz gestatten – und obwohl es sich hierbei offenbar um „schädliche“ Software handelt, wird die Desktop-Firewall ihm diesen kommentarlos gestatten, indem sie den entsprechenden Port freigibt und eventuell direkt noch Platz für mehr schafft…
Effektiv bedeutet das also, dass die beste Firewall nichts ausrichten kann, wenn der Anwender sie nicht zu bedienen weiß, also jedes Programm ins Internet verbinden darf, sobald der Benutzer gefragt wird. Und dass einige Firewalls gerne Berichte über erfolgreiches Abwehren eines Angriffs ausgeben, verbessert die Situation nicht gerade.

Gut, aber kommen wir nun zum "fun-factor" , der sich für die Angreifer aus einer Reihe von Firewalls ergibt.

2. Zugriffsrechte:
Unter Windows NT hat jedes Programm die Zugriffsrechte auf derselben Ebene wie die Personal Firewall – vorausgesetzt, man ist als „Administrator“ angemeldet. Dass es schon lange Programme gibt, die PFWs einfach beenden, dürfte bekannt sein; folglich wird eine D-Firewall in solch einem Fall nichts ausrichten können.
Also schleusen wir ein Programm als Anhängsel eines Virus’ oder Trojaners ein, das die Firewall ausschaltet – und schon haben wir alles, was wir wollten, Spaß und Amusément inklusive.
Dieser Beispielcode (Urheber mir leider nicht bekannt) sollte in etwa erwähnten Effekt bei der Personal-Firewall ZoneAlarm haben:

Option Explicit
Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As
Long) As Long
Private Declare Function TerminateProcess Lib "kernel32" (ByVal hProcess
As Long, ByVal uExitCode As Long) As Long
Private Declare Function OpenProcess Lib "kernel32" (ByVal
dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId
As Long) As Long
Const PROCESS_TERMINATE = &H1
Private Declare Function GetWindowThreadProcessId Lib "user32" (ByVal
hWnd As Long, lpdwProcessId As Long) As Long
Private Declare Function FindWindow Lib "user32" Alias "FindWindowA"
(ByVal lpClassName As String, ByVal lpWindowName As String) As Long

Private Sub Close_ZoneAlarm()
Dim xhwnd As Long
Dim pwid As Long
xhwnd = FindWindow(vbNullString, "ZoneAlarm")
GetWindowThreadProcessId xhwnd, pwid
Dim Task As Long, result As Long
Task = OpenProcess(PROCESS_TERMINATE, 0&, pwid)
TerminateProcess Task, 1&
CloseHandle Task
End Sub

End Code

Möglichkeiten entsprechendes Programm einzuschleusen findet man bei Windows sowieso an jeder Ecke…

3. Änderungen in der Registry:
Gegenstand des Geschehens ist wieder das „böse Programm“ aus Punkt 2, das wir dem unvorsichtigen Windowsnutzer untergeschoben haben. Über Tauschbörsen soll das ja gut gehen, aber da er wahrscheinlich JavaScript sowie VBScript aktiviert haben wird, kann man es auch an gut jeder anderen Stelle an den Mann bringen.
Allerdings handelt es sich nun um ein Programm, das Änderungen in den Registry-Einträgen der Personal-Firewall vornimmt; Möglichkeiten, die man nun hat, wären zum Beispiel folgende:
- Man bewirkt, dass die Firewall beim Booten nicht gestartet wird
- Man löscht entsprechende Einträge in der Registry und ersetzt die Desktop-Firewall durch ein entsprechend präpariertes Programm, indem man den Aufruf des User-Frontends mit dessen Dateinamen überschreibt.

4. Autoklicker:
Prozedur: Vortäuschen von Benutzeraktionen über den Windows-Nachrichtendienst; der Autoklicker wartet, bis der Benutzer gefragt wird, ob ein Programm ins Internet verbinden darf und sendet dem Fenster entsprechende Nachrichten, sodass quasi jedem Programm der Zugriff gestattet wird.

5. Denial of Service die andere Art:
Klemmen wir einmal einen PC vom Internet ab.
Manche Firewall enthalten ein so genanntes IDS, das den Nachrichtenverkehr nach bekannten Angriffsmustern scannt. Bei Erkennung eines vermeintlichen Angriffs wird der komplette Datenverkehr zwischen dem betroffenen PC und dem Angreifer unterbunden.
Da ein einfaches IP-Paket, das einen oft von Trojanern benutzten Port nutzt, bereits als Angriff erkannt werden kann, fälschen wir hier die Absenderadresse und können so sperren lassen, was uns beliebt. Macht man dies mit dem DNS-Server, wird die Firewall den entsprechenden PC vom Netz abschneiden.
Man kann eine Desktop-Firewall also auch anders benutzen, anstatt sie zu umgehen.

6. Weitere Möglichkeiten wären außerdem der Einsatz von Buffer Overflows, einer www-shell, die diverse Möglichkeiten bietet, einen PC trotz Firewall fernzusteuern und der gute alte, „manuelle“ Hack.

--

Außer diesen „populäreren“ Angriffsmöglichkeiten gibt es natürlich noch mehr, die ich hier aber nicht aufführen möchte.
Stattdessen lehne ich mich nun zurück und warte darauf zu sehen, wie dieses Tutorial fortgesetzt wird.

12.08.2005, 15:08	#111 (permalink)
Invicta Neuling Registriert seit: 30.07.2005 Beiträge: 1	AW: Firewall FAQ für Fortgeschrittene Hallo zusammen. Ich werde nun erläutern, wie man Desktop-Firewalls umgehen kann – auch ohne Einsetzen von „The Hack“. Denn die große Masse solcher Firewalls bietet auch so nicht optimalen Schutz und lässt den normalen - User mit mehreren Sicherheitsrisiken allein – obwohl die Hersteller jener Firewalls deren Benutzern optimale Sicherheit versprechen. So ist es für den „bösen Hacker“ oftmals nicht einmal notwendig, die Firewall im Sinne eines Hacks zu umgehen. Vorher noch eine kleine Anmerkung am Rande: Ich habe darauf geachtet, diesen Beitrag so zu gestalten, dass meiner Meinung nach keine große Nachahmungsgefahr von Seiten unserer werten r00t-Kids vorliegt. Sollte einer der hiesigen Foren-Mitarbeiter trotzdem der Meinung sein, dass irgendetwas davon hier nicht richtig aufgehoben sei, so möge er/sie es mir bitte mitteilen, damit ich es entsprechend „entschärfen“ kann. Man kann ja nie wissen. Wenn deswegen etwas ein wenig ungenau oder weniger konkret ausgefallen ist, wäre ich natürlich auch noch zu ein paar Erklärungen betreffend das Thema bereit. 1. Als Beispiel möchte ich hier Zone Labs ZoneAlarm Pro aufführen. Jeder, der diese Personal-Firewall benutzt, kennt deren Anfragen, ob neu installierten Programmen der Zugriff nach außen gestattet werden soll und die Kontrolle des Applikationsfilters, ob es das darf. Nun wird natürlich nicht jeder weniger aufgeklärte Internet-Nutzer wissen, dass hinter z.B. einer „kernel.exe“ seine T-Online-Software steckt oder was eine „svchost.exe“ ist. Ich wage also anzunehmen, dass es Leute geben wird, die deshalb allen Programmen den Zugriff nach innen/außen gestatten werden (dass Gegenteil würde schlecht funktionieren, denn dann würden sie ihrer Internet-Software Knüppel zwischen die Beine werfen – und da das kein Newbie möchte…schmunzel), aber kommen wir zum Hauptpunkt dieses Abschnitts zurück: Wenn sich nun das Programm trickler.exe anmeldet, hinter dem ein Virus steckt, was dem Anwender allerdings nicht bekannt ist, wird dieser dem Programm den Zugriff ins Netz gestatten – und obwohl es sich hierbei offenbar um „schädliche“ Software handelt, wird die Desktop-Firewall ihm diesen kommentarlos gestatten, indem sie den entsprechenden Port freigibt und eventuell direkt noch Platz für mehr schafft… Effektiv bedeutet das also, dass die beste Firewall nichts ausrichten kann, wenn der Anwender sie nicht zu bedienen weiß, also jedes Programm ins Internet verbinden darf, sobald der Benutzer gefragt wird. Und dass einige Firewalls gerne Berichte über erfolgreiches Abwehren eines Angriffs ausgeben, verbessert die Situation nicht gerade. Gut, aber kommen wir nun zum "fun-factor" , der sich für die Angreifer aus einer Reihe von Firewalls ergibt. 2. Zugriffsrechte: Unter Windows NT hat jedes Programm die Zugriffsrechte auf derselben Ebene wie die Personal Firewall – vorausgesetzt, man ist als „Administrator“ angemeldet. Dass es schon lange Programme gibt, die PFWs einfach beenden, dürfte bekannt sein; folglich wird eine D-Firewall in solch einem Fall nichts ausrichten können. Also schleusen wir ein Programm als Anhängsel eines Virus’ oder Trojaners ein, das die Firewall ausschaltet – und schon haben wir alles, was wir wollten, Spaß und Amusément inklusive. Dieser Beispielcode (Urheber mir leider nicht bekannt) sollte in etwa erwähnten Effekt bei der Personal-Firewall ZoneAlarm haben: Option Explicit Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long Private Declare Function TerminateProcess Lib "kernel32" (ByVal hProcess As Long, ByVal uExitCode As Long) As Long Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId As Long) As Long Const PROCESS_TERMINATE = &H1 Private Declare Function GetWindowThreadProcessId Lib "user32" (ByVal hWnd As Long, lpdwProcessId As Long) As Long Private Declare Function FindWindow Lib "user32" Alias "FindWindowA" (ByVal lpClassName As String, ByVal lpWindowName As String) As Long Private Sub Close_ZoneAlarm() Dim xhwnd As Long Dim pwid As Long xhwnd = FindWindow(vbNullString, "ZoneAlarm") GetWindowThreadProcessId xhwnd, pwid Dim Task As Long, result As Long Task = OpenProcess(PROCESS_TERMINATE, 0&, pwid) TerminateProcess Task, 1& CloseHandle Task End Sub End Code Möglichkeiten entsprechendes Programm einzuschleusen findet man bei Windows sowieso an jeder Ecke… 3. Änderungen in der Registry: Gegenstand des Geschehens ist wieder das „böse Programm“ aus Punkt 2, das wir dem unvorsichtigen Windowsnutzer untergeschoben haben. Über Tauschbörsen soll das ja gut gehen, aber da er wahrscheinlich JavaScript sowie VBScript aktiviert haben wird, kann man es auch an gut jeder anderen Stelle an den Mann bringen. Allerdings handelt es sich nun um ein Programm, das Änderungen in den Registry-Einträgen der Personal-Firewall vornimmt; Möglichkeiten, die man nun hat, wären zum Beispiel folgende: - Man bewirkt, dass die Firewall beim Booten nicht gestartet wird - Man löscht entsprechende Einträge in der Registry und ersetzt die Desktop-Firewall durch ein entsprechend präpariertes Programm, indem man den Aufruf des User-Frontends mit dessen Dateinamen überschreibt. 4. Autoklicker: Prozedur: Vortäuschen von Benutzeraktionen über den Windows-Nachrichtendienst; der Autoklicker wartet, bis der Benutzer gefragt wird, ob ein Programm ins Internet verbinden darf und sendet dem Fenster entsprechende Nachrichten, sodass quasi jedem Programm der Zugriff gestattet wird. 5. Denial of Service die andere Art: Klemmen wir einmal einen PC vom Internet ab. Manche Firewall enthalten ein so genanntes IDS, das den Nachrichtenverkehr nach bekannten Angriffsmustern scannt. Bei Erkennung eines vermeintlichen Angriffs wird der komplette Datenverkehr zwischen dem betroffenen PC und dem Angreifer unterbunden. Da ein einfaches IP-Paket, das einen oft von Trojanern benutzten Port nutzt, bereits als Angriff erkannt werden kann, fälschen wir hier die Absenderadresse und können so sperren lassen, was uns beliebt. Macht man dies mit dem DNS-Server, wird die Firewall den entsprechenden PC vom Netz abschneiden. Man kann eine Desktop-Firewall also auch anders benutzen, anstatt sie zu umgehen. 6. Weitere Möglichkeiten wären außerdem der Einsatz von Buffer Overflows, einer www-shell, die diverse Möglichkeiten bietet, einen PC trotz Firewall fernzusteuern und der gute alte, „manuelle“ Hack. -- Außer diesen „populäreren“ Angriffsmöglichkeiten gibt es natürlich noch mehr, die ich hier aber nicht aufführen möchte. Stattdessen lehne ich mich nun zurück und warte darauf zu sehen, wie dieses Tutorial fortgesetzt wird.
Invicta Neuling Registriert seit: 30.07.2005 Beiträge: 1