Жесткий тест файрволов

Deeoni$

Спецвыпуск: Хакер, номер #058, стр. 058-044-2

Теперь усложним задание. Для этого нам понадобится утилита FireHole (http://keir.net/firehole.html). Она бьет сразу по двум местам в безопасности – это и лаунчер, и dll-инжектор. Утилита тоже использует стандартный браузер, но внедряет в него свою dll, а уже после этого пытается установить связь с сервером. Если файрвол начинает выкидывать тревожные окошки, все в порядке. В противном случае в окне программы появится надпись, говорящая, что сообщение отправлено в Сеть и файрвол не справился с поставленной задачей. Устойчивость к лаунчу мы уже проверяли, поэтому тестирование проводилось с уже работающей Opera. Эту проверку прошли все… кроме одного. Кроме Outpost - странно. Но ничего: у него еще будет шанс исправиться.

Дальше мы продолжим мучить наши бедные брандмауэры программой под названием YALTA или Yet Another LeakTest Application (www.soft4ever.com/security_test/En/index.htm), которая имеет два типа тестов: классический и продвинутый. Классический ориентирован на проверку правил доступа к портам по умолчанию, а продвинутый использует специальный драйвер, чтобы посылать пакеты прямо на сетевой интерфейс. Удалось опробовать только первый тест, так как второй работает только под 9x. Для проверки были выбраны порты, рекомендованные разработчиками ЯЛТЫ (21, 53, 67, 1030, 5555). Если файрвол запищит на каждую из попыток посылки пакетов, то испытание можно считать пройденным успешно. Это удалось сделать только ZoneAlarm'у. Kerio потерпел неудачу на 53 порту, а Outpost пропустил пакеты к 53 и 67 портам, но при отправке данных на 53 порт сообщил о неверном DNS-запросе (конечно, "Does it leak?" никак не тянет на DNS-запрос).

Следующим препятствием на пути файрволов к совершенству стали pcAudit и pcAudit2 (www.pcinternetpatrol.com). Обе программы проверяют DLL injection, но вторая отличается от первой тем, что пытается попасть не только в explorer.exe, но и во все другие запущенные в данный момент приложения. И если кому-нибудь из них разрешен доступ в Сеть, то при inject-уязвимости загрузится страничка со списком файлов папки "Мои документы" и скрином экрана (эффектно, неправда ли?). Оба теста провалил Kerio, но Outpost как раз справился. Результаты очень странные: FireHole делал то же самое, а вышло совсем наоборот. Возможно, методы внедрения dll разные. Но будем считать, что Outpost исправился. Да, чуть не забыл: ZoneAlarm выдержал все нападения с честью.

Теперь проверим сетевые экраны на process injection. Для этого воспользуемся Thermite (www.firewallleaktester.com/leaks/thermite.exe). Утилита внедряет свой код непосредственно в адресное пространство удаленного процесса, создавая отдельный поток. В случае удачного внедрения и несрабатывания файрвола, на жестком диске, в директории с термитом, появляется файл securityfocus.html. Kerio снова провалил тест. Остальные справились.