I personal firewall non fermano i ladri

Diversi esperti di sicurezza sostengono che l'efficacia dei firewall personali è spesso sopravvalutata e, per dimostrarlo, hanno rilasciato alcuni test sul Web. Caccia alle falle

Roma - Fidarsi è bene, non fidarsi è meglio... soprattutto nel campo dei firewall personali. E' questo il messaggio che molti esperti di sicurezza vogliono trasmettere agli utenti, troppo spesso vittime di quella falsa tranquillità derivante dal possedere uno di quei piccoli "scudi" per Internet - tra i cui più noti si trovano quelli prodotti da ZoneLabs, Symantec, Tiny Software, Sygate e Network ICE - che sebbene utili, di certo non danno al PC la dote dell'invulnerabilità.

Sulla scia degli ormai celebri test di sicurezza dell'esperto Steve Gibson, ed in particolare di LeakTest, con cui qualche tempo fa Gibson dimostrò alcune grosse vulnerabilità presenti un po' in tutti i firewall personali in circolazione, sulla Rete si sono affacciati ora altri tool che svelano come, nonostante lo sforzo delle case per migliorare i loro prodotti, sia ancora possibile "rubare" dati e informazioni dal PC di un utente con relativa facilità.

Nonostante la maggior parte dei firewall personali integri ormai un sistema per la firma digitale delle applicazioni, molti esperti di sicurezza hanno dimostrato come sia possibile aggirare questa tecnica pilotando applicazioni legittimate ad operare su di una data porta TCP/IP, come ad esempio un browser Web sulla porta 80, per forzarle a inviare dati verso l'esterno per conto di un assalitore.
"Se un firewall - ha spiegato l'esperto di sicurezza Bob Sundling - ha legittimato un programma a trasmettere e ricevere dati su Internet, e questo programma consente ad altri programmi di controllare le proprie azioni, allora non c'è nessun modo di bloccare alcunché".

A suffragio delle proprie affermazioni Sundling ha sviluppato TooLeaky, un programma gratuito per il test dei firewall che mette in evidenza come sia possibile "penetrare qualsiasi firewall sul mercato, incluso Zone Alarm, e inviare dati verso un server esterno bypassando completamente i filtri del firewall".

FireHole è un software simile al precedente rilasciato sul Web dal suo autore, Robin Keir, uno sviluppatore di strumenti per la sicurezza di rete presso una firma di consulenza nel settore della infosecurity. Keir si è avvalso di una funzione messa a disposizione dalle API di Windows, "SetWindowsHookEx", per mascherare attività di rete maliziose all'interno di connessioni legittime.

Sebbene Keir sostenga che la corsa dei produttori per bloccare ogni falla è persa in partenza, egli ritiene che i firewall personali si rivelino comunque strumenti preziosi per bloccare gli attacchi esterni.

Un altro test, chiamato YALTA, dichiara invece di poter inviare dati, attraverso l'utilizzo di un driver di periferica virtuale, a qualsiasi indirizzo IP senza essere intercettato dai firewall. Il firewall gratuito di Tiny utilizzato sul PC di chi scrive ha però superato brillantemente il test.

Un po' tutti i principali produttori di firewall personali, fra cui Zone Labs e Symantec, hanno fatto sapere che sono in arrivo nuove versioni e aggiornamenti che metteranno fine a queste vulnerabilità e implementeranno filtri in->out (dall'interno verso l'esterno) più sofisticati di quelli attuali. Basta non dimenticare mai - sostengono gli esperti - che nel campo della sicurezza non si fanno miracoli.

"Una volta che un hacker riesce a far girare del codice nel vostro computer ha nelle proprie mani un potere terrificante", ha affermato Tom Powledge, product manager di Symantec. "Noi diciamo sempre che la più efficace sicurezza per Internet è quella che contempla un insieme combinato di tattiche". O, come sostengono altri, staccare la spina.
TAG: sicurezza
60 Commenti alla Notizia I personal firewall non fermano i ladri
Ordina
  • Se deisderi "perle di saggezza" sull'argomento
    scrivi a :
    strano36@hotmail.com


    By----> Strano
    non+autenticato
  • vuoi sapere i siti ?
    ecchesssono un motore di ricerca ?Sorpresa)
    non+autenticato
  • se vuoi altri bugs ...fammi sapereSorpresa)

    By-------> Strano
    non+autenticato
  • Name: Multiple Vulnerabilities in ZoneAlarm

    Application: ZoneAlarm 2.1.44

    Platforms: Windows 9x, ME, NT, 2000

    Severity: ZoneAlarm does not detect several types of common Nmap scans. It is also possible for a remote attacker, under certain circumstances, to gain complete access to the file system and disable ZoneAlarm.

    Author: The WolfPak, alerts@wolfpak.dynip.com

    ZoneAlarm (http://www.zonelabs.com) is marketed as a personal firewall and threat detection/prevention tool. It is directed at the Windows-based home user with a constant connection to the Internet with a DSL or Cable modem service.

    Unfortunately, ZoneAlarm does not allow its users to maintain a true understanding of their threat level and exposure. Attackers scanning a system employing ZoneAlarm will go unnoticed when using the common Nmap scan types ACK, FIN, Xmas, Window & Null. While these scans do not return lists of open ports to the attacker, the ZoneAlarm user is not aware of the probe or the possibility of attacks being directed against them.

    In addition, a window of opportunity exists during the boot process, which allows a remote attacker access to shared resources available on the ZoneAlarm protected device. If file sharing is enabled via Windows Networking and proper Access Controls (ACL) are not utilized, complete access to all shared resources can be obtained through simple NetBIOS drive mapping (tools such as Legion have proven the existence and viability of this threat). Attackers gaining access to the install location of ZoneAlarm (C:\Program Files\Zone Labs\ZoneAlarm by default) using such a share, it is possible for the attacker to disable ZoneAlarm by deleting or renaming either the executable or its associated DLL files. In an NTFS partition, the entire directory, and all associated files, are installed with 'Everyone:Full Control' as permissions. The registry keys created by ZoneAlarm (HKLM\Software\Zone Labs) also have weak permissions, being set at 'Everyone:Special Access', including SetValue, CreateSubkey & Delete. Note that users do receive a pop-up dialog window asking for the location of the deleted or renamed file, however, the message is sufficiently ambiguous to confuse most basic users into just clicking CANCEL.

    Once ZoneAlarm is disabled, complete unmitigated access to the file system is obtained. Data may be removed, copied, modified, deleted or otherwise manipulated. From this point, normal remote code execution attacks can be utilized to further compromise the system.

    According to the manufacturer, "More than 8 million PC users have downloaded ZoneAlarm", making it a very popular target indeed. Zone Labs has been advised of these vulnerabilities and no patch or work around has been provided.

    bY ----> Strano
    non+autenticato
  • Internet/Local problem with ZoneAlarm Pro
    Posted on 9.11.2001


    ZoneAlarm Pro is firewall for Windows home-users.

    The following was tested with ZoneAlarm Pro latest version: 2.6.357

    I`m not sure if it also works with the free version but I can't imagine why it wouldn't.

    Similair to Internet Explorer ZoneAlarm Pro (ZAP) has security settings for Local and Internet.

    However ZAP in certain cases classifies connections as Local when they really aren't Local. All connections that have the same 2 octets as your IP (ex. Your ip 123.123.123.123 -> 123.123.*.*) are also considered Local.

    This means everyone on with the same two first octet's of your IP can connect to your computer under local level security settings instead of the internet level security settings.

    With default settings this will expose your computer and all it's ports plus opening and allow access to windows services and shares. Users to customize local level security to allow (and block) whatever they want.

    How did I discover this?

    I installed a webserver and asked some friends to view some pages but they weren't able to connect. Zone Alarm Pro blocked the http port I found out. But this surprised me since I viewed my http.acces and http.error logife before I enabeled port 80 in ZAP and already had a lot of requests from servers infected with nimba. After looking at the IP's the first two octets were all the same.. the same as mine


    By ----> Strano
    non+autenticato
  • è da sempre che il "zone allarm " a dei grossi bugs . IL firewall serve solamente per avere l'ip del lamer + velocementeSorpresa)

    su alcuni siti (non dico quali) sono pubblicati tutti i bugs dei rispottivi firewall e il zone è il più a rischio
    saluti
    Strano
    non+autenticato
  • Come trovo 'sti siti?
    Grazie
    - Scritto da: Strano
    > è da sempre che il "zone allarm " a dei
    > grossi bugs . IL firewall serve solamente
    > per avere l'ip del lamer + velocementeSorpresa)
    >
    > su alcuni siti (non dico quali) sono
    > pubblicati tutti i bugs dei rispottivi
    > firewall e il zone è il più a rischio
    > saluti
    > Strano
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 17 discussioni)