Firewalls machtlos gegen neue Trojaner :(

#1 Hiho

...es ist soweit lange Zeit war es nur Theorie - nun ist es leider immer mehr Realität, das Trojaner Firewalls und Virenprogramme tunneln und deaktivieren!

Trojaner wie Opix 3.0 deaktivieren nur Firewalls wie Kpf, Zonealarm, NIS
Schutz dafür gibt es für die Kpf z.B. hier: http://board.protecus.de/t211.htm

der neue Trojaner Setiri geht hier schon clevere Wege:

Zitat

Die Gefährlichkeit des neuartigen Trojaners "Setiri" wurde auf der Hackerkonferenz "Def Con" in Las Vegas demonstriert. Der Trojaner ist in der Lage von Firewalls unerkannt zu bleiben, indem er ein Sicherheitsloch in Microsofts Internet Explorer ausnutzt.

Einmal installiert, führt sich Setiri unsichtbar im Internet Explorer aus. Damit können Firewalls nicht mehr unterscheiden, ob es sich bei einem Datenverkehr um einen normalen Aufruf einer Webseite des Internet Explorer oder den Trojaner handelt und lassen einen Datenaustausch zum Hacker zu.

Dieses durchaus nicht ungefährliche Problem ließe sich beheben, indem Microsoft sogenannte "unsichtbaren IE-Fenstern" abschaltet. Doch das würde auch einige Features des Browsers beeinträchtigen und Microsoft will das Ausmaß des Risikos erst prüfen, bevor entsprechende Änderungen durchgeführt werden.

Setiri ist in der Lage zum Beispiel alle Tastatureingaben mitzuprotkollieren, oder Passwörter an Hacker zu versenden. Allerdings lässt sich eine Infizierung von Anfang an vermeiden, indem man unbekannte Mail-Attachments nicht öffnet. Wieder einmal ist Vorsicht gefragt, wenn man seine Daten vor neugierigen Blicken schützen will.
Quelle: http://www.tweakpc.de/mehr.php?news_id=2181&s=0&s1=10

...Okay, hier könnte man natürlich auf einen anderen Browser umsteigen aber
Wo das wohl hinführt??



Lukas

Zitat

Personal Firewalls mit Löchern
[Security-Software & -Tools] Software Firewalls, die von Millionen
von Internet Usern verwendet werden, bieten nur "illusorischen"
Schutz gegen Trojaner und andere Malware, werden Experten in einem
NewsBytes Artikel zitiert. Techniken um Outbound Filter
auszutricksen, wurden von mehreren Programmierern veröffentlicht.
Hierdurch kann eine eingepflanzte Software vertrauliche Daten nach
Draußen schicken, ohne von den Firewalls entdeckt zu werden.

Um den Firewalls nicht aufzufallen, wird für solche Daten-Spionage
ein unauffälliges Programm benutzt, mit am besten ist hierfür der
Microsoft Internet Explorer geeignet. "Wenn einem Programm das Senden
und Empfangen von Daten erlaubt ist, auf der anderen Seite dieses
Programm aber vom Internet aus ferngesteuert werden kann, nützt die
Firewall überhaupt nichts," schreibt Bob Sundling in der
Dokumentation zu TooLeaky, einem Firewall Testprogramm, das er zur
Demonstration dieser Probleme geschrieben hat.

FireHole, ein ähnliches Testwerkzeug, wurde von Robin Keir
bereitgestellt, einem Sicherheits-Experten bei Foundstone. Sowohl
TooLeaky als auch FireHole schlängeln sich durch die betroffenen
Firewalls um harmlose Testdaten zu übertragen. FireHole nutzt einen
bekannten Flaw in Windows namens SetWindowHookEx, der einer Anwendung
die Übergabe von Befehlen an ein anderes Programm erlaubt.

Gregor Freund von Zone Labs sagt, Zone Alarm würde in Wochenfrist
geupdated, um zumindest teilweisen Schutz unter Windows NT, 2000 und
XP zu erreichen. Ein vollständigerer Schutz werde in die nächste Zone
Alarm Vollversion (3.0) eingearbeitet, die im Januar 2002 fertig sein
soll. In der Zwischenzeit sollten Firewalls so konfiguriert werden,
dass der Internet Explorer nichts ohne ausdrückliche Genehmigung
übermitteln darf.

Keir sagte Newsbytes, es gebe noch andere Methoden, um Filter von
Firewalls zu überlisten und dass dies "ein Rennen sei, das die
Firewall-Hersteller nie gewinnen können." Nichtsdestotrotz sind
Firewalls ein unverzichtbarer Schutz gegen Angriffe von Außen.

Ein drittes Test Utility, YALTA, legt einen virtuellen Gerätetreiber
an, der Daten ohne entdeckt zu werden an eine Internet Adresse
schickt, so die Beschreibung der "Yet Another Leak Test Application".
Dies repräsentiert eine zweite Generation von Testprogrammen, die auf
Gibson Research Corps LeakTest von vor einem Jahr zurückgehen.
Nachdem Gibson damit die "Internal Extrusion" Fehler in den Firewalls
nachwies, haben die Hersteller schon erhebliche Anstrengungen
unternommen, um ihre Produkte nachzurüsten.

Symantec Product Manager Tom Powledge teillte Newsbytes mit, die
Norton Personal Firewall sei dementsprechend in Bearbeitung. Er
betonte aber auch, User müssten sich mit Antiviren-Programmen und
sicherer PC-Praxis davor schützen, dass Angriffsprogramme auf ihrem
Rechner einen Brückenkopf installieren könnten. "Hat ein Angreifer
erst einmal Code auf dem PC eingeschleust, hat er ungeheure
Möglichkeiten," so Powledge, "wir haben immer betont, dass der
effektivste Schutz immer die Anwendung aller zur Verfügung stehenden
Maßnahmen sei."

Alle drei der ICSA-zertifizierten Produkte, Zone Alarm, Norton
Personal Firewall und dieTiny Personal Firewall können unter gewissen
Umständen von solchen Angriffen ausgetrickst werden, so die Autoren
der Utilities. Ein ICSA Sprecher wollte die Situation nicht vor
Abschluss der laufenden Tests kommentieren. // CyberCrime-Alerts ::
[dre]. http://www.rotalarm.de

__________
Gruß Lukas

#2 Jaja, die bösen Trojaner ))

Ich hoffe, daß es nun langsam allen klar wird, daß eine PFW nicht das Allheilmittel gegen die Gefahren auf dem Datenhighway ist. Es gehören dazu noch mindestens ein Viren- und Trojanerscanner mit aktuelle Signatur und die Disziplin den Rechner mind. wöchentlich zu übprüfen. Des weiteren ist ein verantwortungsvoller Umgang mit dem Medium Internet von Vorteil!

Ich empfehle als Lektüre: http://www.protecus.de/hosting/robert/firewall.html

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 Darum verkaufen ja auch viele Firmen wie Symantec und McAfee
Komplett-Pakete, die aus Firewall und Virenscanner bestehen.

Außerdem sollte man nicht nur wöchentlich scannen, sondern alle Downloads und E-Mails direkt überprüfen lassen.

Darum bieten die meisten downloadmanager auch die option an runtergeladene
dateien direkt zu scannen.

Damit ist dann eigentlich die größte Gefahr ausgeschlossen.
__________
So wird mein Post von allen gelesen..

#4 Aber gerade die Produkte von Symantec und McAfee sind nicht grad die besten - das ist das Problem. Es kommt halt drauf an wie sensibel die Umgebung ist in der man arbeitet. Beispielsweise habe ich in meinem Firmennetz einen Gateway, der jeglichen Verkehr untersucht. Dann noch einen zusätzlichen Virenscanner für Mails und Rechner, sowie ein drittes Produkt auf allen Notebooks.
Bei mir zu Hause schau ich einmal in der Woche nach, eMails werden sofort untersucht.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#5 Bei mir in der Firma haben wir ein schwules McAfee Teil, welches man
kaum konfigurieren kann und außerdem nie die aktuellen Virendefinitionen hat.
Das lädt einfach irgendwelche vom Server runter.
__________
So wird mein Post von allen gelesen..

#6 Hi,

Firmen wie Symantec und & verkaufen Komplett-Pakete in erster Linie um Geld zu machen!Der Schutz der Anwender ist zweitrangig und seine Aufklärung meistens unerwünscht.Panikmache und irreführende Sprüche sollen das Geschäft beleben.Das mit dem stealth-Modus wodurch der Surfer für einen potenziellen Angreifer unsichtbar gemacht wird, ist nur ein kleines Beispiel dafür, wie man mit dem Unwissen der User umgeht.
Für Trojaner sind sowieso AV-Programme(gute Erkennungsrate,tägliche Updates) und keine FW's zuständig.
Um Homephone zu unterbinden sind FW's auch in den meisten Fällen nicht tauglich.Praktisch müssten die FW-Hersteller auf neue umgehungs- und tunneling-Techniken sofort Lösungen finden und das ist unmöglich.(wäre auch wirtschaftlich ein Fiasko)
Mails kann man in aller Ruhe auf dem Mailserver begutachten,lesen oder löschen.Unbekannte Mail wird sowieso gleich gebounct. Mail Washer z.B ist
dafür bestens geeignet(Freeware)

Gruß
Ajax

#7 Ich möchte noch kurz folgendes anmerken:

Der Trojaner soll aber auch in der Lage sein, Unternehmens-Firewalls mit weitergehenden Prüfungsverfahren zu umgehen. Explizit genannt werden Network Address Translation (NAT), Statefull Inspection Firewalls (Dynamic Packet Filtering), Intrusion Detection Systems (IDS), Firewalls auf Proxy-Basis und Systeme, die auf Content Level überprüfen. Der Trojaner kann als Mail-Attachement getarnt diese Firewalls nicht nur umgehen, sondern danach auch (via anonymizer.com) Kontakt zu einem anderen Rechner aufnehmen und mit diesem bi-direktional kommunizieren.


Somit geht von diesem Sicherheitsloch im IE (die Darstellung von unsichtbaren Fenstern) auch Gefahr für Unternehmen aus.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...