Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Nuevo xploit para evitar los firewalls personales

Josh

Paolo Iorio es el nombre del descubridor de una nueva técnica que permite a una aplicación, como puede ser spyware o un troyano, conectarse silenciosamente a un host remoto sin que nuestro firewall se percate y nos avise.

El autor ha escrito un pequeño programa para demostrarlo sobre los firewalls Sygate Personal Firewall Pro, McAfee Personal Firewall, Norton Internet Security 2002, Kerio Personal Firewall, y Tiny Personal Firewall. De momento el que se salva es ZoneAlarm.

La técnica consiste en engañar al proceso del firewall de tal forma que cree que el que se conecta a internet es el mismo y por tanto está autorizado. El programa de ejemplo, llamado backstealth.exe, demuestra como es capaz de, con el firewall activado, conectarse a un servidor remoto y bajar un fichero de texto.

Se puede bajar aquí.

Kintups

:D

Hola Josh, interesante noticia desde luego, así que lo primero que he hecho es comprobar si es verdad lo que dice la noticia y de momento para mi satisfacción personal es falsa (en parte), me he bajado el fichero, lo he ejecutado y esta es la respuesta del programa:

BACKSTEALTH 1.1 Security Test --- (C) 2002 Paolo Iorio

Search Sygate Personal Firewall Pro ...
Sygate Personal Firewall Pro not running

Search McAfee Personal Firewall ...
McAfee Personal Firewall not running

Search Tiny Personal Firewall ...
--> Tiny Personal Firewall PRESENT! <--

Search Norton Internet Security 2002 ...
Norton Internet Security 2002 not running

Search Kerio Personal Firewall ...
Kerio Personal Firewall not running

DON'T CLOSE THIS WINDOW!I can't to open process token: 120
Failed enabling Debug privilege. Proceeding anyway
VirtualAllocEx failed: 120

Asi que de momento nada de nada, ni pudo meterse en el espacio de memoria ni bajo el fichero. Sobre los otros firewalls no se nada porque solo uso este que es "bueno" y "facil" de manejar, además, el xploit presupone que el Firewall en cuestión tiene permisos de entrada y salida del host lo que necesariamente no tiene porque ser cierto (llamemoslo "Paranoid Config"). Pero bueno, lo interesante sería que cada cual lo compruebe en su PC y diga si pasó o no y que firewall tenía.

:D

🗨️ 5
Josh

Puede ser que tengas una versión diferente a la que a usado el programador o que no estes ejecutandolo como administrador

🗨️ 1
Kintups

El Tiny es el 2.0.15A (22-Oct-2001) y lo de permisos de administrador en un Win98SE pues como que siempre los tienes.

Sólo un inciso a nota personal sobre la noticia, me parece que sea lo que sea lo que ha codificado Paolo Iorio, lo que ha hecho es coger alguna versión de los firewalls y empezar a hacer pruebas para saltarse el sistema desde dentro, y posiblemente lo consiguió con versiones específicas, por eso lo interesante sería que cada cual lo pruebe con la suya y diga si funcionó el exploit o no, así como la versión del firewall y del SO (perdón por no poner los datos del mio antes, craso error por mi parte).

Así que de mometo el Tiny 2.0.15A sobre Win98SE se defiende perfectamente con una configuración estandar (el propio firewall no tiene vetada ni la entrada ni la salida del sistema).

xjpd

Nada eso..que a mi si que me ha funcionado y se ha saltado al tiny....de todas maneras voy a comprobar con la version 3.0 que acabo de ver que ya ha salido...

salu2

BocaDePez
BocaDePez

Pues eso, que he hecho la pruebita con el Sygate Personal Firewall Pro version 5.0 Build 934 y no lo ha pasado.... sigo con este ;-)

P.D. Tengo win98a

BocaDePez
BocaDePez

Es cierto lo que se comenta algunos sitios colocan lo que se llama un bot espia, los hay de dos tipos, uno que funcionan de manera inocente, es decir se limitan a detectar el click cuando uno entra en su page web pero... otros van mas lejos, te instalan un pequeño programa, en teoria es un bot detector de acceso al lugar pero... en realidad funcionan en si como un programa detectando cada paso que damos por la red y enviando información de dichos pasos al lugar en el que nos han colocado el bot... esto es una practica ilegal pero diversas compañias lo estan usando... de nada sirven los cortafuegos, la orden es enviada desde nuestro equipo de una forma transparente para ellos.

Cualquier analista de sistemas competente puede demostrarlo.

Nada mas. Solo decir que entre todos debemos de acabar con este tipo de bots que encima consumen banda de nuestras conexiones y no nos pagan por hacer uso de ella, al contrario nosotros pagamos a una compañia para disponer de cierta capacidad y esos bots ilegales nos consumen recursos sin nosotros percatarnos de ello, todo esto es denunciable. Ruego se habra una investigacion por las partes competentes.

BocaDePez
BocaDePez

Pues eso, que con el Norton si consigue saltarse la proteccion, la verdad es que no he mirao si hay alguna actualizacion actual, ahora lo vere, pero por lo pronto se ha bajado el ficherito ese sin problemas, el retrieve.dat.

Otra cosa, a mi no me funciona el link de la pagina oficial, he tenido que ir a otra a bajarmelo, ¿es solo a mi?

Salu2

🗨️ 1
Kintups

:D

El enlace si que va, yo lo bajé de ahí.

PD: ¿no van los smilies?

:D

Sammi

...por que cuando lo ejecuto me dice, pipas tijuana y etc... xDDD

con el black ice o es mu bueno y no sabe saltarselo o no lo conoce ni su padre.

Salu2

BocaDePez
BocaDePez

Pero que mierda de sistema operativo es ese? Como puede un proceso hacer eso? Es ridiculo, patetico.

🗨️ 1
gorrister

La respuesta es muy sencilla:

Pasan esas cosas porque NO ES UN SISTEMA OPERATIVO, es un cúmulo de mierda de código mal plateando, parches mal hecho e intereses financieros de por medio sin que importe la seguridad y la estabilidad.

Zapato

wenas

Acabo de testear con el Agnitum Outpost Free y el xploit no va por que dice que no reconoce el firewall. Testeado sobre win98.

Saludos

BocaDePez
BocaDePez

No comprendo como la gente se come la cabeza bajando y bajando firewalls.......
Con lo sencillo que seria usar una maquina linux y configurar el ipchains o el iptables.....
Os aseguro que es 100 millones de veces mas seguro ademas de no consumir recursos.

Dejaros de gilipolleces y si quereis seguridad uniros a linux

ñuuuuuuuuuuuuuuuuuuuuuuuuuuu

🗨️ 3
caradriel

el ipchains que es? ¿un desfeiser?¿un lenbreunken? ¿un treunin?....a mi me parece que es otro firewall pa linux

🗨️ 2
alidhaey

Queda claro?

NetVicious

ipchains = firewall del kernel de Linux 2.2.x

iptables = firewall del kernel de Linux 2.4.x

PiTu

con el Kerio Personal Firewall 2.1.4 el backsealth pasa hasta la cocina... o mas.

BocaDePez
BocaDePez

no soy experto y no se si esta es la mejor opción... pero bloqueando en el norton la regla que se crea para IAMAPP.EXE el bicho ese ya no lo penetra.