Wallbreaker:i VS risultati

juninho85 · 02-04-2005, 12:38

A questo indirizzo viene data una soddisfacente presentazione di questo programma...ecco quanto viene detto:
"

Firewall : Funzionamento e caratteristiche

La quasi totalità dei firewall in circolazione basano il loro funzionamento attraverso il filtro delle applicazioni. Questo ha il compito di segnalare all’utente quali programmi vogliono accedere alla rete, per poi lasciare a quest’ultimo la facoltà di stabilire i criteri di accesso a internet. Il filtro delle applicazioni è utile per vedere se “applicazioni sconosciute” come programmi Troiani o Backdoor vogliono accedere a internet all’insaputa dell’utente. Negli ultimi due anni, tuttavia, si è riuscito a dimostrare che i firewall si possono “bucare” e il filtro delle applicazioni, di conseguenza, ha perso la sua validità. E’ possibile aggirare un firewall utilizzando programmi che avviano una connessione verso l’esterno utilizzando applicazioni che hanno l’accesso a internet, in questa situazione si parla di “privilegi rubati”. Le tecniche che permettono di aggirare un firewall sono fondamentalmente due ma esistono diverse varianti. La prima tecnica chiamata dll injection consiste “nell’iniettare”, appunto, del codice nello stesso spazio di indirizzamento di un qualche processo che e' in esecuzione nel sistema. Per esempio è possibile contaminare una dll. Lo scopo e' semplice: non far apparire un processo nella lista dei processi che potrebbe essere bloccato dal firewall. Nella seconda tecnica vengono manipolati i PID (Numero di identificazione) dei processi. In questo modo il firewall non è in grado di capire chi ha chiamato una applicazione con accesso a internet e viene, di conseguenza, aggirato facilmente. Diverse case produttrici, presa visione della situazione, hanno integrato nei loro prodotti delle funzionalità che cercano di arginare questo problema. Per una protezione globale molti firewall dispongo di ulteriori caratteristiche come la possibilità di bloccare i banner pubblicitari, le finestre pop up, gestire in modo efficiente i cookie e infine evitare l’invio di informazione riservate, ovvero il blocco dei Refferer. Un aspetto negativo che accomuna tutti i firewall esaminati è la mancanza di una protezione per l’accesso remoto, ovvero il blocco dei dialer. Per chi dispone di una connessione 56k o isdn, un firewall deve essere in grado di bloccare il tentativo di connessione dei dialer.

E' possibile testare il proprio firewall con i leaktest per verificare se è sicuro nei tentativi di aggiramento. Per ogni leaktest è spiegata la tecnica usata per aggirare il firewall.

Se l test dimostrano che il firewall che si utilizza viene aggirato significa che il programma usato non effettua veramente il controllo accurato del traffico in uscita ma si limita a permette l'accesso solo alle applicazioni che hanno il permesso senza preoccuparsi di segnalare chi chiama queste applicazioni.
AntiSpam Aziendale Consigliato

Leaktest

Tipo di Test : Sostiuzione

Funzionamento : In questo test viene rinominata l'applicazione (Leaktest) in una che ha l'autorizzazione per uscire e quindi per bypassare il firewall. Attualmente i firewall dispongono di una firma digitale per le applicazioni, in questo modo si accorgono del tentativo di aggiramento. Se il firewall viene aggirato dimostra che questo si limita ad lasciar passare tutte quelle applicazioni che hanno il nome nella lista di quelle permesse.

TooLeaky

Tipo di Test : Avvio Applicazione

Funzionamento : Viene aperta in modo nascosto una finestra di Internet Explorer e se il browser ha il permesso per accedere a internet trasmette le informazioni attraverso la porta 80. Se il test ha successo, significa che il firewall non controlla quale applicazione ha avviato un'altra con accesso a internet.

FireHole

Tipo di Test : Avvio Applicazione e DLL Injection

Funzionamento : In questo test viene usato il browser di default per inviare dati verso l'esterno. Per fare questo viene installata una DLL nello stesso spazio di indirizzamento di un processo che ha il permesso per uscire. Se il test ha successo indica che il firewall non controlla quali applicazioni chiamano quelle con accesso ad internet ed in più è vulnerabile al DLL Injection.

Yalta

Tipo di Test : Test su regole e su collegamento diretto alla rete

Funzionamento : Yalta si compone di due test, il primo cerca di trasmettere informazioni mediante pacchetti UDP attraverso porte che di solito hanno accesso ad internet. Nel secondo test viene utilizzato un driver apposito per mandare informazioni verso l'esterno usando il TCP/IP. Il test avanzato funziona solamente con Windows 98-Me.

Copycat

Tipo di Test : Process Injection

Funzionamento : Copycat inietta (Injection) direttamente del codice all'interno del processo del Browser con l'intento di evitare che il firewall blocchi il tentativo di uscita.

WallBreaker

Tipo di Test : Avvio Applicazione

Funzionamento : E' composto da tre test differenti; nel primo viene usato explorer.exe per avviare iexplore.exe e poi l'accesso ad internet. In questa situazione è una applicazione di Windows che chiama un'altra applicazione e non WallBreaker. Il secondo test è un trucco, semplicemente lancia IE direttamente, in una maniera tale da non farsi accorgere dai firewall. Il terzo test, infine, è una variante del primo in cui viene avviato prima cmd.exe (linea di comando) e poi successivamente explorer.exe e iexplore.exe.

PcAudit 3

Tipo di Test : DLL Injection

Funzionamento : Anche questo test usa la tecnica del DLL Injection, se il firewall non segnala il tentativo di accesso del file pcaudit.exe significa che il firewall è vulnerabile.

Ghost

Tipo di Test : Avvio applicazione e Timing Attack

Funzionamento : Quando una applicazione ha accesso a internet, il firewall usa le API di Windows per avere il PID (numero di identificazione del processo) e il nome. Ghost per aggirare il firewall cerca di modificare questo PID.

AWFT3 (numero test limitato)

Tipo di Test : Implementa diversi Test

Funzionamento : E' composto da 6 test che usano diverse tecniche già discusse in precedenza. Per mostrare l'efficacia del firewall viene dato un punteggio variabile da 1 a 10

Thermite

Tipo di Test : DLL Injection

Funzionamento : Come il test Copycat viene iniettato del codice nello spazio di indirizzamento di un processo che ha il permesso per uscire. In questo caso viene creato un nuovo processo (Thread) all'interno di quello che ha l'accesso alla rete."

juninho85 · 02-04-2005, 12:42

qui
potete scaricare il programmino...sono solo 44 kilobytes

juninho85 · 02-04-2005, 12:58

ho fatto i 4 test:in tutti i 4 test eseguiti con il solo sygate persona firewall pro 5.5 build 2710 con le firme aggiornate sono stati segnalati il tentativo di comunicazione con l'esterno,e solo una volta consentito l'accesso alla rete l'attacco è andato a "buon" fine

02-04-2005, 12:38	#1
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 29023	Wallbreaker:i VS risultati A questo indirizzo viene data una soddisfacente presentazione di questo programma...ecco quanto viene detto: " Firewall : Funzionamento e caratteristiche La quasi totalità dei firewall in circolazione basano il loro funzionamento attraverso il filtro delle applicazioni. Questo ha il compito di segnalare all’utente quali programmi vogliono accedere alla rete, per poi lasciare a quest’ultimo la facoltà di stabilire i criteri di accesso a internet. Il filtro delle applicazioni è utile per vedere se “applicazioni sconosciute” come programmi Troiani o Backdoor vogliono accedere a internet all’insaputa dell’utente. Negli ultimi due anni, tuttavia, si è riuscito a dimostrare che i firewall si possono “bucare” e il filtro delle applicazioni, di conseguenza, ha perso la sua validità. E’ possibile aggirare un firewall utilizzando programmi che avviano una connessione verso l’esterno utilizzando applicazioni che hanno l’accesso a internet, in questa situazione si parla di “privilegi rubati”. Le tecniche che permettono di aggirare un firewall sono fondamentalmente due ma esistono diverse varianti. La prima tecnica chiamata dll injection consiste “nell’iniettare”, appunto, del codice nello stesso spazio di indirizzamento di un qualche processo che e' in esecuzione nel sistema. Per esempio è possibile contaminare una dll. Lo scopo e' semplice: non far apparire un processo nella lista dei processi che potrebbe essere bloccato dal firewall. Nella seconda tecnica vengono manipolati i PID (Numero di identificazione) dei processi. In questo modo il firewall non è in grado di capire chi ha chiamato una applicazione con accesso a internet e viene, di conseguenza, aggirato facilmente. Diverse case produttrici, presa visione della situazione, hanno integrato nei loro prodotti delle funzionalità che cercano di arginare questo problema. Per una protezione globale molti firewall dispongo di ulteriori caratteristiche come la possibilità di bloccare i banner pubblicitari, le finestre pop up, gestire in modo efficiente i cookie e infine evitare l’invio di informazione riservate, ovvero il blocco dei Refferer. Un aspetto negativo che accomuna tutti i firewall esaminati è la mancanza di una protezione per l’accesso remoto, ovvero il blocco dei dialer. Per chi dispone di una connessione 56k o isdn, un firewall deve essere in grado di bloccare il tentativo di connessione dei dialer. E' possibile testare il proprio firewall con i leaktest per verificare se è sicuro nei tentativi di aggiramento. Per ogni leaktest è spiegata la tecnica usata per aggirare il firewall. Se l test dimostrano che il firewall che si utilizza viene aggirato significa che il programma usato non effettua veramente il controllo accurato del traffico in uscita ma si limita a permette l'accesso solo alle applicazioni che hanno il permesso senza preoccuparsi di segnalare chi chiama queste applicazioni. AntiSpam Aziendale Consigliato Leaktest Tipo di Test : Sostiuzione Funzionamento : In questo test viene rinominata l'applicazione (Leaktest) in una che ha l'autorizzazione per uscire e quindi per bypassare il firewall. Attualmente i firewall dispongono di una firma digitale per le applicazioni, in questo modo si accorgono del tentativo di aggiramento. Se il firewall viene aggirato dimostra che questo si limita ad lasciar passare tutte quelle applicazioni che hanno il nome nella lista di quelle permesse. TooLeaky Tipo di Test : Avvio Applicazione Funzionamento : Viene aperta in modo nascosto una finestra di Internet Explorer e se il browser ha il permesso per accedere a internet trasmette le informazioni attraverso la porta 80. Se il test ha successo, significa che il firewall non controlla quale applicazione ha avviato un'altra con accesso a internet. FireHole Tipo di Test : Avvio Applicazione e DLL Injection Funzionamento : In questo test viene usato il browser di default per inviare dati verso l'esterno. Per fare questo viene installata una DLL nello stesso spazio di indirizzamento di un processo che ha il permesso per uscire. Se il test ha successo indica che il firewall non controlla quali applicazioni chiamano quelle con accesso ad internet ed in più è vulnerabile al DLL Injection. Yalta Tipo di Test : Test su regole e su collegamento diretto alla rete Funzionamento : Yalta si compone di due test, il primo cerca di trasmettere informazioni mediante pacchetti UDP attraverso porte che di solito hanno accesso ad internet. Nel secondo test viene utilizzato un driver apposito per mandare informazioni verso l'esterno usando il TCP/IP. Il test avanzato funziona solamente con Windows 98-Me. Copycat Tipo di Test : Process Injection Funzionamento : Copycat inietta (Injection) direttamente del codice all'interno del processo del Browser con l'intento di evitare che il firewall blocchi il tentativo di uscita. WallBreaker Tipo di Test : Avvio Applicazione Funzionamento : E' composto da tre test differenti; nel primo viene usato explorer.exe per avviare iexplore.exe e poi l'accesso ad internet. In questa situazione è una applicazione di Windows che chiama un'altra applicazione e non WallBreaker. Il secondo test è un trucco, semplicemente lancia IE direttamente, in una maniera tale da non farsi accorgere dai firewall. Il terzo test, infine, è una variante del primo in cui viene avviato prima cmd.exe (linea di comando) e poi successivamente explorer.exe e iexplore.exe. PcAudit 3 Tipo di Test : DLL Injection Funzionamento : Anche questo test usa la tecnica del DLL Injection, se il firewall non segnala il tentativo di accesso del file pcaudit.exe significa che il firewall è vulnerabile. Ghost Tipo di Test : Avvio applicazione e Timing Attack Funzionamento : Quando una applicazione ha accesso a internet, il firewall usa le API di Windows per avere il PID (numero di identificazione del processo) e il nome. Ghost per aggirare il firewall cerca di modificare questo PID. AWFT3 (numero test limitato) Tipo di Test : Implementa diversi Test Funzionamento : E' composto da 6 test che usano diverse tecniche già discusse in precedenza. Per mostrare l'efficacia del firewall viene dato un punteggio variabile da 1 a 10 Thermite Tipo di Test : DLL Injection Funzionamento : Come il test Copycat viene iniettato del codice nello spazio di indirizzamento di un processo che ha il permesso per uscire. In questo caso viene creato un nuovo processo (Thread) all'interno di quello che ha l'accesso alla rete."

02-04-2005, 12:42	#2
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 29023	qui potete scaricare il programmino...sono solo 44 kilobytes

02-04-2005, 12:58	#3
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 29023	ho fatto i 4 test:in tutti i 4 test eseguiti con il solo sygate persona firewall pro 5.5 build 2710 con le firme aggiornate sono stati segnalati il tentativo di comunicazione con l'esterno,e solo una volta consentito l'accesso alla rete l'attacco è andato a "buon" fine

Strumenti
Mostra una versione stampabile Invia questa pagina per email