📰 Artículos

Nuevo xploit para evitar los firewalls personales

Joshua Llorach 6 mayo 2002 02:06

⋮

Paolo Iorio es el nombre del descubridor de una nueva técnica que permite a una aplicación, como puede ser spyware o un troyano, conectarse silenciosamente a un host remoto sin que nuestro firewall se percate y nos avise.

El autor ha escrito un pequeño programa para demostrarlo sobre los firewalls Sygate Personal Firewall Pro, McAfee Personal Firewall, Norton Internet Security 2002, Kerio Personal Firewall, y Tiny Personal Firewall. De momento el que se salva es ZoneAlarm.

La técnica consiste en engañar al proceso del firewall de tal forma que cree que el que se conecta a internet es el mismo y por tanto está autorizado. El programa de ejemplo, llamado backstealth.exe, demuestra como es capaz de, con el firewall activado, conectarse a un servidor remoto y bajar un fichero de texto.

Se puede bajar aquí.

💬 Comentarios

Kintups 6 mayo 2002 02:23

⋮

Hola Josh, interesante noticia desde luego, así que lo primero que he hecho es comprobar si es verdad lo que dice la noticia y de momento para mi satisfacción personal es falsa (en parte), me he bajado el fichero, lo he ejecutado y esta es la respuesta del programa:

Search Sygate Personal Firewall Pro ...
Sygate Personal Firewall Pro not running

Search McAfee Personal Firewall ...
McAfee Personal Firewall not running

Search Tiny Personal Firewall ...
--> Tiny Personal Firewall PRESENT! <--

Search Norton Internet Security 2002 ...
Norton Internet Security 2002 not running

Search Kerio Personal Firewall ...
Kerio Personal Firewall not running

DON'T CLOSE THIS WINDOW!I can't to open process token: 120
Failed enabling Debug privilege. Proceeding anyway
VirtualAllocEx failed: 120

Asi que de momento nada de nada, ni pudo meterse en el espacio de memoria ni bajo el fichero. Sobre los otros firewalls no se nada porque solo uso este que es "bueno" y "facil" de manejar, además, el xploit presupone que el Firewall en cuestión tiene permisos de entrada y salida del host lo que necesariamente no tiene porque ser cierto (llamemoslo "Paranoid Config"). Pero bueno, lo interesante sería que cada cual lo compruebe en su PC y diga si pasó o no y que firewall tenía.

✖

Josh 6 mayo 2002 02:53

⋮

Puede ser que tengas una versión diferente a la que a usado el programador o que no estes ejecutandolo como administrador

✖

Kintups 6 mayo 2002 09:52

⋮

El Tiny es el 2.0.15A (22-Oct-2001) y lo de permisos de administrador en un Win98SE pues como que siempre los tienes.

Sólo un inciso a nota personal sobre la noticia, me parece que sea lo que sea lo que ha codificado Paolo Iorio, lo que ha hecho es coger alguna versión de los firewalls y empezar a hacer pruebas para saltarse el sistema desde dentro, y posiblemente lo consiguió con versiones específicas, por eso lo interesante sería que cada cual lo pruebe con la suya y diga si funcionó el exploit o no, así como la versión del firewall y del SO (perdón por no poner los datos del mio antes, craso error por mi parte).

Así que de mometo el Tiny 2.0.15A sobre Win98SE se defiende perfectamente con una configuración estandar (el propio firewall no tiene vetada ni la entrada ni la salida del sistema).

xjpd 6 mayo 2002 06:13

⋮

Nada eso..que a mi si que me ha funcionado y se ha saltado al tiny....de todas maneras voy a comprobar con la version 3.0 que acabo de ver que ya ha salido...

salu2

BocaDePez 6 mayo 2002 16:49

⋮

Pues eso, que he hecho la pruebita con el Sygate Personal Firewall Pro version 5.0 Build 934 y no lo ha pasado.... sigo con este ;-)

P.D. Tengo win98a

BocaDePez 7 mayo 2002 11:14

⋮

Es cierto lo que se comenta algunos sitios colocan lo que se llama un bot espia, los hay de dos tipos, uno que funcionan de manera inocente, es decir se limitan a detectar el click cuando uno entra en su page web pero... otros van mas lejos, te instalan un pequeño programa, en teoria es un bot detector de acceso al lugar pero... en realidad funcionan en si como un programa detectando cada paso que damos por la red y enviando información de dichos pasos al lugar en el que nos han colocado el bot... esto es una practica ilegal pero diversas compañias lo estan usando... de nada sirven los cortafuegos, la orden es enviada desde nuestro equipo de una forma transparente para ellos.

Cualquier analista de sistemas competente puede demostrarlo.

Nada mas. Solo decir que entre todos debemos de acabar con este tipo de bots que encima consumen banda de nuestras conexiones y no nos pagan por hacer uso de ella, al contrario nosotros pagamos a una compañia para disponer de cierta capacidad y esos bots ilegales nos consumen recursos sin nosotros percatarnos de ello, todo esto es denunciable. Ruego se habra una investigacion por las partes competentes.

BocaDePez 6 mayo 2002 02:33

⋮

Pues eso, que con el Norton si consigue saltarse la proteccion, la verdad es que no he mirao si hay alguna actualizacion actual, ahora lo vere, pero por lo pronto se ha bajado el ficherito ese sin problemas, el retrieve.dat.

Otra cosa, a mi no me funciona el link de la pagina oficial, he tenido que ir a otra a bajarmelo, ¿es solo a mi?

Salu2

✖

Kintups 6 mayo 2002 02:39

⋮

El enlace si que va, yo lo bajé de ahí.

PD: ¿no van los smilies?

Sammi 6 mayo 2002 03:34

⋮

...por que cuando lo ejecuto me dice, pipas tijuana y etc... xDDD

con el black ice o es mu bueno y no sabe saltarselo o no lo conoce ni su padre.

Salu2

BocaDePez 6 mayo 2002 04:35

⋮

Pero que mierda de sistema operativo es ese? Como puede un proceso hacer eso? Es ridiculo, patetico.

✖

gorrister 7 mayo 2002 04:17

⋮

La respuesta es muy sencilla:

Pasan esas cosas porque NO ES UN SISTEMA OPERATIVO, es un cúmulo de mierda de código mal plateando, parches mal hecho e intereses financieros de por medio sin que importe la seguridad y la estabilidad.

Zapato 6 mayo 2002 07:49

⋮

wenas

Acabo de testear con el Agnitum Outpost Free y el xploit no va por que dice que no reconoce el firewall. Testeado sobre win98.

Saludos

BocaDePez 6 mayo 2002 13:03

⋮

No comprendo como la gente se come la cabeza bajando y bajando firewalls.......
Con lo sencillo que seria usar una maquina linux y configurar el ipchains o el iptables.....
Os aseguro que es 100 millones de veces mas seguro ademas de no consumir recursos.

Dejaros de gilipolleces y si quereis seguridad uniros a linux

ñuuuuuuuuuuuuuuuuuuuuuuuuuuu

✖

caradriel 6 mayo 2002 13:41

⋮

el ipchains que es? ¿un desfeiser?¿un lenbreunken? ¿un treunin?....a mi me parece que es otro firewall pa linux

✖

alidhaey 6 mayo 2002 14:48

⋮

Queda claro?

NetVicious 6 mayo 2002 17:51

⋮

ipchains = firewall del kernel de Linux 2.2.x

iptables = firewall del kernel de Linux 2.4.x

PiTu 7 mayo 2002 06:56

⋮

con el Kerio Personal Firewall 2.1.4 el backsealth pasa hasta la cocina... o mas.

BocaDePez 7 mayo 2002 13:30

⋮

no soy experto y no se si esta es la mejor opción... pero bloqueando en el norton la regla que se crea para IAMAPP.EXE el bicho ese ya no lo penetra.