Schon mal jemanden aufgefallen, die MD5-Checksumme vom InternetExplorer, die innerhalb ZoneAlarm generiert wird um damit auszuschließen das eine andere Anwendung sich als IE tarnt, ist immer gleich! Sie ist sogar identisch mit der auf einem völlig anderen Rechner erzeugten MD5-Summe des IEs durch ZoneAlarm!!!
Wie verhalten sich da andere Anwendungen, die ebenfalls MD5 Summen berechnen und auswerten, ich denke da an TinyPF, Sygate, NIS usw.?
(Anonym) Nachtrag zu: „MD5 sind immer gleich...“
Das sollte sie auch besser sein. Schließlich arbeiten verschiedene
Remote Update Programme mittels Vergleich von MD5 Summen. Sie sollten
also für eine bestimmte Datei auf allen Rechner identisch sein.
(Anonym) Nachtrag zu: „Das sollte sie auch besser sein. Schließlich arbeiten verschiedene Remote...“
Ist aber im Fall von ZoneAlarm bedenklich, denn wenn die MD5 gleich ist kann ich mir z.B. ZoneAlarm installieren und folgendes machen:
- eine weit verbreitete FileSharingAnwendung so konfigurieren, daß sie als Server für mich agiert
- ZoneAlarm bei mir beenden, die Regeldatenbank von ZA unter
C:\WINDOWS\Internet Logs\IAMDB.RDB in meinen Trojaner oder sonst einen Plagegeist einbauen
- diesen dann dem Opfer unterjubeln bei dem ich weiß er nutzt dieses FileSharingProgramm und wie hier schon einmal beschrieben, dessen Regeldatenkank einfach überschreiben
Da die MD5 für ZA gleich ist, merkt der User nichts davon, daß eine seiner Anwendungen nun mit anderen Regeln läuft!
(Anonym) Nachtrag zu: „Ist aber im Fall von ZoneAlarm bedenklich, denn wenn die MD5 gleich ist kann ich...“
Jup das kannst du. Ein weiterer Grund sich trotz ZoneAlarm nur
begrenzt sicher zu fühlen :)
