Kerio Personal Firewall Bug????

[nemo99]

Uso KPF da qualche settimana e mi sono sempre trovato bene..
fino a quando non mi sono imbattuto in questi due test....

>>> http://tooleaky.zensoft.com/
FireHole: How to bypass your personal firewall outbound detection
>>> http://keir.net/firehole.html

la prima utility si è camuffata da IE e ha stabilito una connessione con un sito internet sia in andata che al ritorno..

in pratica mi ha bucato KPF
..nemmeno il MD5(che dovrebbe far uscire solo il vero IE) ha funzionato ...

sono io che non so applicare bene le regole di KPF o è un bug????

Bye

[Bilancino]

La conosco questa storia sinceramente questo programmino lancia explorer e avvia una connessione...........è come se tu installi un programma e lui vuole effettuare la registrazione in linea (cosa che avviene spesso) invece nel caso di un comportamento maligno magari si collega ad un server in cui viene scaricato qualcosa..............visto che la porta 80 è per navigare e explorer ha il permesso è difficile bloccare questa cosa............Un giorno per fare una prova dell'efficacia del md5 ho modificato flashget e quando la volta successiva è stato avviato kerio mi ha segnalato la cosa quindi se faccio un programmino che chiama IE per collegarsi a un sito quasta situazione è difficile da gestire perchè IE ha il permesso..............

Ciao

[nemo99]

quindi mi stai dicendo che non si può far nulla....

Se si, vorrei sapere se questo succede solo con Kerio?

Grazie

[thebol]

da quel che so dovrebbe essere un "bug" di tutti i programmi.

e cmq se si sta attenti a cio che si installa, questo nn dovrebbe capitare=)

alla fine e nn è piu ne meno di un trojan(a sua volta trojanizzato).

[nemo99]

Quote:

Originally posted by "thebol"

da quel che so dovrebbe essere un "bug" di tutti i programmi.

e cmq se si sta attenti a cio che si installa, questo nn dovrebbe capitare=)

alla fine e nn è piu ne meno di un trojan(a sua volta trojanizzato).

Benissimo
mal comune mezzo gaudio..

ma io ho trovato l'antidoto ,,
uso come browser OPERA e non IE per cui il permesso di andare in rete a IE non glielo dò....
l'utility usa IE per camuffarsi ed io ho risolto..

Ciao

[thebol]

si ma sei cmq vulnerabile, visto che basta fare un prg uguale che invece di mettersi dietro a explorer si metta dietro a opera=)

solo che opera lo usano in pochi e nn avrebbe senso farlo, percui

[nemo99]

Quote:

Originally posted by "thebol"

si ma sei cmq vulnerabile, visto che basta fare un prg uguale che invece di mettersi dietro a explorer si metta dietro a opera=)

solo che opera lo usano in pochi e nn avrebbe senso farlo, percui

E' la statistica che mi salva..
Ciao

[hannibal]

Quote:

Originally posted by "nemo99"


sono io che non so applicare bene le regole di KPF o è un bug????

Effettivamente se si autorizza il browser predefinito (qualunque esso sia, non solo IE!) ad accedere direttamente a internet i due programmini riescono a passare.

Usando un proxy locale come Privoxy (e autorizzando solo quello ad uscire su internet) entrambi i test falliscono (cioè Kerio se ne accorge).

[nemo99]

scusate, allora la tecnica del MD5, fiore al'occhiello di KPF, non serve a niente???

[Bilancino]

Serve se il file viene modificato............come ho fatto io con flahget e kerio mi ha segnalato la cosa ma se faccio un programma in C e mi appoggio a un file che ha il permesso è chiaro che non viene rilevato niente di insolito..........in teoria i filewall dovrebbero dire " il programma x ha chiesto l'uso del programma y che ha il permesso di accesso"

Ciao

[nemo99]

Hannibal se autorizzo solo Opera, il programmino non passa perchè Kerio mi chiede di far accedere IE ad internet.. ed io lo blocco..

Ciao

[hannibal]

Quote:

Originally posted by "nemo99"

Hannibal se autorizzo solo Opera, il programmino non passa perchè Kerio mi chiede di far accedere IE ad internet.. ed io lo blocco..

Dipende da quale browser è impostato come default. A me per esempio ha fatto partire Phoenix, che ho settato come default

[nemo99]

Quote:

Originally posted by "hannibal"

Quote:

Dipende da quale browser è impostato come default. A me per esempio ha fatto partire Phoenix, che ho settato come default

infatti io ho lasciato come browser di default IE..
ma uso sempre OPERA..
per cui l'ho fregato..

che dici potrebbe essere un "suggerimento" da diffondere per rendere più sicuro il ns PC???

Ciao

[nemo99]

Per chiudere questo thread in maniera costruttiva bisogna dire che tutti i firewall vi danno solo un falso senso di sicurezza..

l'utility "FIREHOLE" B U C A tutti i firewall attualmente in commercio...

ergo fate attenzione a quello che fate anche se avete un firewall installato..


la mia soluzione empirica funziona abbastanza bene..

ho IE come browser predefinito ma uso Opera per navigare..
la regola di permesso automatico l'ho dato solo per Opera..
ergo se IE mi chiede di andare sulla rete blocco tutto perchè potrebbe essere un backdoor che usa la tecnica di Firehole..

cosa ne pensi BILANCINO????

[Bilancino]

Quote:

Originally posted by "nemo99"




la mia soluzione empirica funziona abbastanza bene..

ho IE come browser predefinito ma uso Opera per navigare..
la regola di permesso automatico l'ho dato solo per Opera..
ergo se IE mi chiede di andare sulla rete blocco tutto perchè potrebbe essere un backdoor che usa la tecnica di Firehole..

cosa ne pensi BILANCINO????

L'idea è ottima visto che funziona....peccato solo per chi è affezionato a IE anche se poi il programmino potrebbe essere modificato per tutti i browser..........in questa situazione, visto che si appoggia a IE per mandare dati ma non per far impadronire il pc, si rischia che informazioni personali come password, account e cose simili memorizzate in zone standard del registro o in qualche files possono essere mandare in rete......ma per fare questo non basta 13k. Quindi bisogna stare sempre attenti a cosa si scarica.........

Ciao

[nemo99]

Da quello che ho capito il programmino funziona in questo modo:
verifica qual'è il browser predefinito (nel mio caso IE) e poi si camuffa con quel browser..

Blackhole non può essere modificato in base ad OPERA ma usa solo l'informazione del browser predefinito...

per cui blackhole non potrà mai freg*armi...

P.S.
chi è affezionato a IE dovrebbe fare il contrario..
avere OPERA come browser predefinito e poi usare IE ( a cui ha dato la regola automatica) per navigare..

E' un'idea...