Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

So tunnelt man Eure Firewall:

Harry Hunger / 9 Antworten / Baumansicht Nickles

OK, ein bisschen reisserisch die Überschrift, aber es is schon was dran. Bei meinen Experimenten mit eBlaster und Spector (nachzulesen auf meiner Seite) ist mir eine Möglichkeit aufgefallen, wie man in Verbindung mit der Unerfahrenheit vieler Anwender von Personal Firewalls eben solche
umgehen kann. Eine Sicherheitslücke in Windows oder dem Windows Explorer erlaubt es scheinbar Programmen, die in der Firewall nicht freigegeben sind, eine Verbindung über das Internet über den Umweg des Windows Explorers herzustellen. Wenn eBlaster versucht seine ausspionierten Daten per eMail zu verschicken, meldeten bei meinen Versuchen sowohl Tiny als auch Zonealarm, dass der Windows Explorer und eben nicht eBlaster, versuchte auf das Internet zuzugreifen. Dieser ZDNet Artikel beschreibt das gleiche Phänomen bei eBlaster und ATGuard.

Scheinbar gibt es wirklich eine Möglichkeit ein Programm, speziell wohl Server von Trojanern, so zu programmieren, dass diese den Windows Explorer als Umweg ins Internet nutzen. Und wie viele würden beim Windows Explorer schon Verdacht schöpfen? Nicht wenige würden ihn sogar mit dem Internet Explorer verwechseln und in ihrer PE freischalten.

Aus diesem Grund sollte der Windows Explorer (c:\\Windows\\Explorer.exe) niemals für das Internet freigeschaltet werden!

bei Antwort benachrichtigen
Anonym Harry Hunger „So tunnelt man Eure Firewall:“
Optionen

Es ist doch gar nicht nötig über den WindowsExplorer zu senden!

Entwickele einfach einen Server(Trojaner) der seinen eigenen TCP/IP Stack aufmacht und nicht den nutzt, den deine DFÜ-Verbindung angelegt hat!

Nahezu alle (mir bekannten) PersonalFirewalls filtern nur den Stack der von der DFÜ-Verbindung aufgemacht wurde, jeder parallel angelegte TCP/IP Stack geht spurlos an der PersonalFirewall vorbei!

Um das Anlegen seperater TCP/IP Stacks zu verhindern, müßte eine PersonalFirewall bei ihrer Installation die winsock.dll von Windows durch eine eigene ersetzen, bei der dieses neue Anlegen von Stacks expliziet verhindert wird! Da steht aber M$ mit erhobenen Zeigefinger davor, weil das ein Eingriff ihn deren Systemressourcen wäre!

bei Antwort benachrichtigen
Keiner Niemand (Anonym) Harry Hunger „So tunnelt man Eure Firewall:“
Optionen

Hallo erstmal!

Ihr seid zwar mit Sicherheit schlauer als ich , aber erstens ist bei mir der Windows Explorer nicht freigegeben. Ich gebe nur Netscape 6.01, PSM (gehört dazu), Liveupdate frei. Bei allen sind jeweils nur die nötigen Ports und Protokolle offen. ICMP ist komplett blockiert. Alle anderen Ports und Protokolle sind geschlossen. DNS-Anfragen gibts nur an eingetragene Server (auch wenns überflüssig ist).
Den Browser richtig einzuschränken geht leider nicht - das ist sicherlich die größte Schwachstelle in meinem System.
Der Spaß scheint auch zu funktionieren: habe mal aus Spaß Netbus Pro 2.10 installiert. Beim Versuch, Kontakt herzustellen wird Netbus schon offline blockiert (Verkehr zwischen localhost(127.0.0.1)Port 10xy und 10xz)- auch wenn da noch nix ins Netz geht. Das halbe Regelwerk umzukrempeln scheint etwas gebracht zu haben.
Ich glaube nicht, daß da ein Trojaner (mit veränderten Einstellungen) so leicht nach Hause telefonieren kann.
Und wenn ein Proggi sich als Netscp6.exe tarnt und sich and die alte Stelle setzt, merke ich ja nach dem Hochfahren, daß irgendetwas fehlt.
Leider nützt der Paketfilter wenig, da erstens über eMail alles gesendet werden kann und zweitens bei "billigster" Verschlüsselung sowieso alles durch den Filter gehen würde.

Nun zu HubbaBubba:
Du magst ja recht haben, aber dein Vorhaben setzt doch sicher voraus, daß ich mir irgendein Proggi auf meine Internet-Partition draufmache - das mache ich aber nicht.

Übrigens: Refferrer, Scripte und Browserdaten gibts nur noch in Ausnahmefällen, IGMP und fragmentierte Pakete haben auch schlechte Karten.

Dummerweie habe ich noch keinen Patches installiert - muß ich demnächst noch machen.

Wenn ihr mir sagen könnt, wo noch die Lücken in meinem System sind, bin ich euch sehr dankbar.

Ich weiß auch, daß man den Browser "von außen" manipulieren kann - dagegen habe ich leider noch gar kein Mittel.

MfG


Keiner Niemand

bei Antwort benachrichtigen
Anonym Keiner Niemand (Anonym) „Hallo erstmal! Ihr seid zwar mit Sicherheit schlauer als ich , aber erstens ist...“
Optionen

Diesen lobenswerten Aufwand den du betreibst machen leider die meisten Internetuser nicht und da ist die Schwachstelle wo die besagten Methoden ansetzen können um die PFW zu umgehen oder zu tunneln!

Das mit dem "irgendein Proggi auf meine Internet-Partition draufmachen" ist irrelevant, ... installiere ein Programm was eine Olineverbindung nutzen kann (IE, Netscape, FTP oder was weiß ich)auf Partition XYZ und nicht auf deiner Internetpartition und du wirst sehen es kannst trotzdem komunizieren.
Es sei denn du meintest mit dem Satz, deinen PC als ganzes!


bei Antwort benachrichtigen
Keiner Niemand (Anonym) Anonym „Diesen lobenswerten Aufwand den du betreibst machen leider die meisten...“
Optionen

Hallo Frank Kaune!

Dein Einwand ist zwar berechtigt, aber Du kennst ja noch nicht meine ganze Konfiguration. Ich habe zweimal Windows. Einmal die "Internet-Partition" - mit Browser, DFÜ-Verbindung usw. und noch eine "Standard-Partition" - Windows ohne DFÜ. Nach dem Booten ist jeweils die andere versteckt. Ich installiere "unbekannte Programme" ausschließlich auf der "Standard-Partition" - wenn da ein Programmm ins Internet will, muß es schon selbst eine DFÜ-Verbindung erstellen und sich bei einem "kostenlosen" Provider anmelden - das wird schwierig. Um selbst starten zu können, benötigt es ja Windows (Registry, Autostart oder sowas). Das hat es dann zwar, aber eben noch kein Internet. Daß ein Trojaner den MBR verändert, damit den Bootmanager killt, irgendwie die Registry der vorher versteckten Partition hochlädt (ohne daß es tierisch knallt) ist sehr unwahrscheinlich. Außerdem habe ich ein Analoges Modem in Sicht- und Hörweite - wenn das ungefragt piepst, bin ich in fünf Sekunden an der Telefondose und habe den Stecker herausgezogen (das hatte ich schon mal). Ein Handshake dauert bei analogen Modems ca. 20 Sekunden - egal ob FAX oder Internet - da habe ich noch Reserve.
Übrigens habe ich noch weitere Partitionen für "Eigene Dateien", Programme und anderes (ist hier aber weniger von Bedeutung). Ich starte auch von diesen Laufwerken keine unbekannten Proggis, wenn das "Internet-Windows" geladen ist.
Falls doch mal etwas passiert (oder ich etwas ausprobiere - siehe Netbus) pfeife ich einfach ein Image drüber - da sind gerade mal knapp zwei CDs.

Es ist technisch sicher möglich, über die Möglichkeiten der Viren, sich im MBR einzunisten (mit Sprungbefehl, den eigentlichen Code in "defekten Sektoren" der Platte abzulegen, den Sprungbefehl zurück zum Bootmanager zu machen und somit Laufwerksübergreifend zu arbeiten.
Allerdings ist dies erstens (noch) nicht üblich und zweitens merkt dies der Virenscanner (wenn dieser noch nicht unschädlich gemacht wurde - einfache Funktionssperre fällt mir ja auf), da er den MBR und die Bootsektoren mit den gespeicherten Kopien vergleicht (Ich weiß ja, wann ich etwas umpartitioniert habe bzw. ein Image mit anderer Größe eingespielt habe.). Die Virensignatur muß dazu ja gar nicht bekannt sein. Der Virenscanner läuft ca. ein Mal pro Woche komplett durch.

Ich glaube, daß ich mit dieser Grundausstattung für zwei, drei oder auch mehr Jahre einen brauchbaren Grundschutz habe (danach haben vielleicht auch mal die Zeitlichen Beschränkungen der Demo-Versionen etwas mehr Sinn - allerdings gäbe es da ja noch die LLF und den Reset - ich habe somit noch ein paar Asse im Ärmel).

So, jetzt habe ich lange genug genervt. Wenn euch trotzdem noch was einfällt, könnt ihr das ruhig posten.

MfG

Keiner Niemand

bei Antwort benachrichtigen
ShipHank Keiner Niemand (Anonym) „Hallo Frank Kaune! Dein Einwand ist zwar berechtigt, aber Du kennst ja noch...“
Optionen

Ca. 1 Meter Vakuum zw. deinem PC und der TAE Dose, würde dein Sicherheitslevel noch drastisch erhöhen - denk mal drüber nach!

bei Antwort benachrichtigen
Keiner Niemand (Anonym) ShipHank „Ca. 1 Meter Vakuum zw. deinem PC und der TAE Dose, würde dein Sicherheitslevel...“
Optionen

Vielen Dank für den Tip, ShipHank. Ich könnte genauso auch alle Kabel durschschneiden. Bei dem Vakuum fehlt allerdings noch ein guter Schirm, da sich bekanntlich elektromagnitische Strahlung auch im Vakuum ausbreitet.

bei Antwort benachrichtigen
vp_gore2000 Keiner Niemand (Anonym) „Hallo Frank Kaune! Dein Einwand ist zwar berechtigt, aber Du kennst ja noch...“
Optionen

Hmmmmm, ich weiß nicht. Irgendwie finde ich die Beschreibung schon lustig. Beunruhigen tut mich nur das so viele, die anscheinend große Ahnung haben so einen Aufwand betreiben, um ihr System sicher zu bekommen. Ich weiß nich mir reicht meine Firewall, meine täglichen Scans mit meinen zwei Virenscannern und einem Trojanerscanner. Ich bin doch nicht die Bank von England. Oder habt ihr auf der Festplatte irgendwelche Codes für Atomraketen??? Naja, live long and prosper.

bei Antwort benachrichtigen
(Anonym) vp_gore2000 „Hmmmmm, ich weiß nicht. Irgendwie finde ich die Beschreibung schon lustig....“
Optionen

Hallo vp_gore2000!
Schätze mal, daß deine Virenscanner nicht viel erkennen werden. Selbst die Updates sind ziemlich zwecklos. Installier Dir mal zum Spaß Netbus Pro 2.10. NAV erkennt den überhaupt nicht (bei Subseven sieht das schon besser aus).

bei Antwort benachrichtigen
(Anonym) Harry Hunger „So tunnelt man Eure Firewall:“
Optionen

ja aber warum benutzt du denn windows, wenn dir sicherheit schon so wichtig ist?

bei Antwort benachrichtigen