Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

6

Nuevo xploit para evitar los firewalls personales

Paolo Iorio es el nombre del descubridor de una nueva técnica que permite a una aplicación, como puede ser spyware o un troyano, conectarse silenciosamente a un host remoto sin que nuestro firewall se percate y nos avise.

El autor ha escrito un pequeño programa para demostrarlo sobre los firewalls Sygate Personal Firewall Pro, McAfee Personal Firewall, Norton Internet Security 2002, Kerio Personal Firewall, y Tiny Personal Firewall. De momento el que se salva es ZoneAlarm.

La técnica consiste en engañar al proceso del firewall de tal forma que cree que el que se conecta a internet es el mismo y por tanto está autorizado. El programa de ejemplo, llamado backstealth.exe, demuestra como es capaz de, con el firewall activado, conectarse a un servidor remoto y bajar un fichero de texto.

Se puede bajar aquí.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Cerrado

    BocaDePez BocaDePez
    0

    posible solución para Norton Personal Firewall

    no soy experto y no se si esta es la mejor opción... pero bloqueando en el norton la regla que se crea para IAMAPP.EXE el bicho ese ya no lo penetra.

  • Cerrado

    No funciona con el Tiny :p

    :D

    Hola Josh, interesante noticia desde luego, así que lo primero que he hecho es comprobar si es verdad lo que dice la noticia y de momento para mi satisfacción personal es falsa (en parte), me he bajado el fichero, lo he ejecutado y esta es la respuesta del programa:

    BACKSTEALTH 1.1 Security Test --- (C) 2002 Paolo Iorio

    Search Sygate Personal Firewall Pro ...
    Sygate Personal Firewall Pro not running

    Search McAfee Personal Firewall ...
    McAfee Personal Firewall not running

    Search Tiny Personal Firewall ...
    --> Tiny Personal Firewall PRESENT! <--

    Search Norton Internet Security 2002 ...
    Norton Internet Security 2002 not running

    Search Kerio Personal Firewall ...
    Kerio Personal Firewall not running

    DON'T CLOSE THIS WINDOW!I can't to open process token: 120
    Failed enabling Debug privilege. Proceeding anyway
    VirtualAllocEx failed: 120

    Asi que de momento nada de nada, ni pudo meterse en el espacio de memoria ni bajo el fichero. Sobre los otros firewalls no se nada porque solo uso este que es "bueno" y "facil" de manejar, además, el xploit presupone que el Firewall en cuestión tiene permisos de entrada y salida del host lo que necesariamente no tiene porque ser cierto (llamemoslo "Paranoid Config"). Pero bueno, lo interesante sería que cada cual lo compruebe en su PC y diga si pasó o no y que firewall tenía.

    :D

    • Cerrado

      BocaDePez BocaDePez
      0

      Es cierto lo que se comenta algunos sitios colocan lo que se…

      Es cierto lo que se comenta algunos sitios colocan lo que se llama un bot espia, los hay de dos tipos, uno que funcionan de manera inocente, es decir se limitan a detectar el click cuando uno entra en su page web pero... otros van mas lejos, te instalan un pequeño programa, en teoria es un bot detector de acceso al lugar pero... en realidad funcionan en si como un programa detectando cada paso que damos por la red y enviando información de dichos pasos al lugar en el que nos han colocado el bot... esto es una practica ilegal pero diversas compañias lo estan usando... de nada sirven los cortafuegos, la orden es enviada desde nuestro equipo de una forma transparente para ellos.

      Cualquier analista de sistemas competente puede demostrarlo.

      Nada mas. Solo decir que entre todos debemos de acabar con este tipo de bots que encima consumen banda de nuestras conexiones y no nos pagan por hacer uso de ella, al contrario nosotros pagamos a una compañia para disponer de cierta capacidad y esos bots ilegales nos consumen recursos sin nosotros percatarnos de ello, todo esto es denunciable. Ruego se habra una investigacion por las partes competentes.

    • Cerrado

      BocaDePez BocaDePez
      0

      Pues eso, que he hecho la pruebita con el Sygate Personal…

      Pues eso, que he hecho la pruebita con el Sygate Personal Firewall Pro version 5.0 Build 934 y no lo ha pasado.... sigo con este ;-)

      P.D. Tengo win98a

    • Cerrado

      6

      Nada eso..que a mi si que me ha funcionado y se ha saltado al…

      Nada eso..que a mi si que me ha funcionado y se ha saltado al tiny....de todas maneras voy a comprobar con la version 3.0 que acabo de ver que ya ha salido...

      salu2

    • Cerrado

      6

      Puede ser que tengas una versión diferente a la que a usado…

      Puede ser que tengas una versión diferente a la que a usado el programador o que no estes ejecutandolo como administrador

      • Cerrado

        El Tiny es el 2.0.15A (22-Oct-2001) y lo de permisos de…

        El Tiny es el 2.0.15A (22-Oct-2001) y lo de permisos de administrador en un Win98SE pues como que siempre los tienes.

        Sólo un inciso a nota personal sobre la noticia, me parece que sea lo que sea lo que ha codificado Paolo Iorio, lo que ha hecho es coger alguna versión de los firewalls y empezar a hacer pruebas para saltarse el sistema desde dentro, y posiblemente lo consiguió con versiones específicas, por eso lo interesante sería que cada cual lo pruebe con la suya y diga si funcionó el exploit o no, así como la versión del firewall y del SO (perdón por no poner los datos del mio antes, craso error por mi parte).

        Así que de mometo el Tiny 2.0.15A sobre Win98SE se defiende perfectamente con una configuración estandar (el propio firewall no tiene vetada ni la entrada ni la salida del sistema).

    • Cerrado

      La respuesta es muy sencilla: Pasan esas cosas porque NO ES…

      La respuesta es muy sencilla:

      Pasan esas cosas porque NO ES UN SISTEMA OPERATIVO, es un cúmulo de mierda de código mal plateando, parches mal hecho e intereses financieros de por medio sin que importe la seguridad y la estabilidad.

  • Cerrado

    BocaDePez BocaDePez
    0

    Para que quereis un firewall ?????

    No comprendo como la gente se come la cabeza bajando y bajando firewalls.......
    Con lo sencillo que seria usar una maquina linux y configurar el ipchains o el iptables.....
    Os aseguro que es 100 millones de veces mas seguro ademas de no consumir recursos.

    Dejaros de gilipolleces y si quereis seguridad uniros a linux

    ñuuuuuuuuuuuuuuuuuuuuuuuuuuu

  • Cerrado

    Testeado con Outpost

    wenas

    Acabo de testear con el Agnitum Outpost Free y el xploit no va por que dice que no reconoce el firewall. Testeado sobre win98.

    Saludos

  • Cerrado

    y del blackice?

    ...por que cuando lo ejecuto me dice, pipas tijuana y etc... xDDD

    con el black ice o es mu bueno y no sabe saltarselo o no lo conoce ni su padre.

    Salu2

  • Cerrado

    BocaDePez BocaDePez
    0

    CON NORTON FIREWALL SI FUNCIONA

    Pues eso, que con el Norton si consigue saltarse la proteccion, la verdad es que no he mirao si hay alguna actualizacion actual, ahora lo vere, pero por lo pronto se ha bajado el ficherito ese sin problemas, el retrieve.dat.

    Otra cosa, a mi no me funciona el link de la pagina oficial, he tenido que ir a otra a bajarmelo, ¿es solo a mi?

    Salu2

1