ZoneAlarm Free ausgehebelt
Debasis Mohanty präsentiert eine Methode, wie ein Trojaner an der Personal Desktop Firewall ZoneAlarm vorbei Informationen ins Internet senden kann.
In einem Security-Advisory beschreibt Debasis Mohanty, wie ein Trojaner an der Personal Desktop Firewall ZoneAlarm vorbei Informationen ins Internet senden kann. ZoneLabs hat mit einer eigenen Meldung reagiert. Die gute Nachricht: nicht alle Versionen von ZoneAlarm sind betroffen. Die Schlechte: für die kostenlose Firewall gibt es keinen Workaround.
Mohanty stellt in seinem Advisory ein Proof-of-Concept-Programm bereit. Das sendet beliebige Daten durch bekannte, vom Benutzer zugelassene Programme mittels einer Microsoft-API namens DDE-IPC (Direct Data Exchange -- Interprocess Communications) an Webserver. Die kostenpflichtigen ZoneAlarm-Versionen (Pro, Anti-Virus, Internet Security Suite) melden hierbei verdächtige Programmzugriffe, wenn die Option "Advanced Program Control" aktiviert ist, was ab Version 6 standardmäßig der Fall ist. Da viele Programme den Internet Explorer nutzen, führt dies aber auch häufig zu Alarmmeldungen, die durch harmlose Vorgänge ausgelöst werden.
ZoneLabs empfiehlt in seinem Advisory, dass Nutzer der älteren Firewall-Versionen die Option "Advanced Program Control" aktivieren oder auf die neuen Versionen der Software umsteigen sollen. Für die Nutzer der kostenlosen Version hat der Hersteller keinen guten Rat parat.
Der Versuch, mit einer Personal Firewall einmal gestartete Programme an der Kommunikation mit dem Internet zu hindern, ist grundsätzlich problematisch. Ein Angreifer, der sich Mühe gibt, findet immer eine Möglichkeit, die Sperrmechanismen der Personal Firewall auszutricksen. So könnte er beispielsweise über spezielle DNS-Anfragen Daten nach außen schmuggeln oder sogar komplette TCP-Verbindungen tunneln. Der Schutz vor unerwünschter Kommunikation "von drinnen nach draußen" ist somit ohnehin auf Spyware und Trojaner beschränkt, die sich keine große Mühe geben, von solchen Schutzprogrammen unbemerkt zu agieren.
Hierzu siehe auch: (dmk)
- Security Advisory von Debasis Mohanty
- Security Advisory von ZoneLabs
- Schleichpfade, Tunnel durch die Firewall auf heise Security
