Firewar, nuovo buca-firewall italiano

Un esperto di sicurezza italiano ha scoperto una nuova tecnica attraverso cui è possibile mettere k.o. la maggior parte dei firewall personali oggi sul mercato. Uno dei problemi nel sistema operativo

Roma - Paolo Iorio, consulente informatico ed analista di sicurezza, ha sviluppato un nuovo tool di sicurezza chiamato Firewar capace di disabilitare la protezione del firewall attivo sul proprio computer. La scorsa primavera Iorio aveva ottenuto simili risultati con un altro exploit di sicurezza chiamato BackStealth che sfruttava una debolezza contenuta nella maggior parte dei personal firewall all'epoca sul mercato.

Iorio ha spiegato a Punto Informatico che questa volta la tecnica utilizzata per superare le difese dei firewall personali è profondamente diversa e sfrutta le modalità con cui Windows gestisce i servizi software.

Firewar è in grado di agire in due modi: attraverso l'esecuzione di codice locale, come quello contenuto nella versione stand-alone del programma, o attraverso l'esecuzione di un componente ActiveX direttamente da una pagina Web. Nel primo caso il pericolo potrebbe derivare dalla possibilità, per un malintenzionato, di allegare il codice malevolo all'interno di un programma apparentemente innocuo: questa sorta di cavallo di Troia potrebbe disattivare il firewall in modo silenzioso ed inviare verso l'esterno qualsiasi tipo di dato; nel secondo caso, il rischio è di tipo analogo, ma questa volta l'aggressore potrebbe essere in grado di "far fuori" le difese del firewall direttamente da remoto, attraverso una semplice pagina HTML contenente un ActiveX malevolo.
A mitigare almeno parzialmente i rischi provenienti dalla versione ActiveX c'è da precisare che questa, a seconda della versione di Windows e di Internet Explorer che si possiede (nonché delle impostazioni di sicurezza di quest'ultimo), potrebbe non funzionare.

Iorio sostiene tuttavia che il problema è grave perché la tecnica da lui utilizzata per "spegnere" i personal firewall renderebbe assai più problematica, in futuro, l'implementazione di tali protezioni sotto Windows.

"Senza alcune accortezze, come un hooking globale sui messaggi, - ha commentato Iorio - il firewall può essere ingannato e disabilitato con gli stessi diritti che avrebbe il sistema operativo".

Sebbene il programma sia gratuito, Iorio ha deciso di distribuire il codice sorgente solo a pagamento. L'autore ha spiegato di essere giunto ad una tale scelta dopo essere venuto a sapere che il suo precedente exploit, BackStealth, è stato utilizzato da alcune organizzazioni di certificazione, come gli ICSA Labs, per verificare la vulnerabilità dei personal firewall sul mercato.

"Altri hanno utilizzato un mio prodotto ottenendo un ritorno economico, - ha detto Iorio - perché come autore dell'exploit non dovrei fare lo stesso?".
TAG: sicurezza
77 Commenti alla Notizia Firewar, nuovo buca-firewall italiano
Ordina
  • I personal firewall sono oggetti complessi per gente "semplice".
    E proteggono l'utente dalle aggressioni via internet ma nessuno protegge loro delle agressioni dell'utente.

    I firewall aziendali su pc o hardware dedicato devono proteggere la rete interna dagli attacchi in arrivo da Internet, proteggersi da tentativi di scasso o uscite non autrizzate da parte degli utenti della rete interna.

    I secondi sono piu' sicuri ma posso chiedere ad un cliente con alice di spedere 500 euro di firewall oppure di imparare ad utilizzare le iptables?

    Inoltre occorre comunque tenere d'occhio i log per capire se qualcuno sta tentando operazioni sospette.

    In azienda i firewall tra installazione, manutenzione, formazione personale i firewall possono rappresentare un costo notevole Triste
    non+autenticato
  • scaricando tale FIREWAR debitamente zippato, nella decompressione il mio buon Norton ha individuato il virus "Trojan Horse" nel file exe... attenti.
    Maurizio75
    non+autenticato
  • E' normale, tranquillo... Siccome questo programma può essere riutilizzato dai creatori di virus per disattivare i firewall, viene riconosciuto come codice malevolo da tutti i maggiori antivirus. Cmq il programma in sé, se scaricato dal sito originale, è innocuo.
    Ciao.

    - Scritto da: Anonimo
    > scaricando tale FIREWAR debitamente zippato,
    > nella decompressione il mio buon Norton ha
    > individuato il virus "Trojan Horse" nel file
    > exe... attenti.
    > Maurizio75
    non+autenticato
  • è sicuro il firewall di windows XP?
    quali sono le differenze rispetto agli altri?
    non+autenticato
  • premesso che i firewall dovrebbero evitare una simile azione, questa "rivoluzionaria" tecnologia non mi sembra altro che un kill process fatto in vb con tre righe di codice...
    maH!
    non+autenticato
  • test pagina web: su w98 explorer6 sp1 protezione media non permette esecuzione activex; portando protezione a bassa chiede comunque 2 conferme prima di tentare di disabilitare firewall, ammesso di essere rintontito e dato autorizzazioni se tiny2 è protetto con password richiede la password per disabilitarlo ...... a questo punto chiunque, anche mia nonna, dovrebbe essersi vagamente accorto che c'è una attività strana sul PC;
    test su eseguibile: con tiny2 protetto da password richiede la password per disabilitarlo .... nonostante non la dia (e che quindi il firewall non venga disabilitato) il report dell'exploit di Iorio dice che ha disabilitato il firewall (e non è vero).
    non+autenticato


  • - Scritto da: genio63
    > test pagina web: su w98 explorer6 sp1
    > protezione media non permette esecuzione
    > activex; portando protezione a bassa chiede

    Beh, penso che la pagina web serva solo a dimostrare qual è il problema.....

    > comunque 2 conferme prima di tentare di
    > disabilitare firewall, ammesso di essere
    > rintontito e dato autorizzazioni se tiny2 è
    > protetto con password richiede la password

    Oppure elimina la chiave dal registro e al prossimo avvio addio al firewall....

    Certo, molti si accorgerebbero della mancanza del firewall, ma probabilmente continuerebbero ad usare il PC per un po' prima di reinstallare "quella schifezza di tiny2 che smette di funzionare da solo"....

    non+autenticato
  • Oppure elimina la chiave dal registro e al prossimo avvio addio al firewall....
    ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    Vorrei precisare per chiarezza su windows che puoi configurare le ACL anche sul registro nello stesso modo delle cartelle del disco, quindi, se non sei amministratore, niente operazioni di cancellazione! Chi produce software o chi amministra farm di web server forse queste cose neanche le conosce...
    non+autenticato


  • >
    > Vorrei precisare per chiarezza su windows
    > che puoi configurare le ACL anche sul
    > registro nello stesso modo delle cartelle
    > del disco, quindi, se non sei
    > amministratore, niente operazioni di
    > cancellazione! Chi produce software o chi
    > amministra farm di web server forse queste
    > cose neanche le conosce...

    scusa cosa sono le acl??
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 17 discussioni)