Полоса препятствий

Крис Касперски

Спецвыпуск: Хакер, номер #058, стр. 058-058-6

Как затоптать SyGate

Sygate Personal Firewall 5.0, сконфигурированный по умолчанию, пропускает UDP-пакеты на любой заблокированный порт, если порт отправителя равен 137 или 138. Проверить можно командой "nmap -vv -P0 -sU 192.168.0.1 -g 137".

Один за всех и все за одного

Многие брандмауэры (в частности SPF) при первом обращении программы в Сеть выбрасывают диалоговое окно, в котором сообщается имя приложения, IP-адрес и порт, на который оно ломится. Если пользователь разрешает доступ, дальнейшие запросы больше не появляются, даже если приложение устремится совсем на другой порт! Это значит, что, "впрыснув" хакерский код в Лиса или IE, можно работать не только через HTTP, но и, например, висеть на IRC. А для ботнетов это самое что надо! Конечно, если пользователь поднимет логи, он сильно удивится, что же стало с его любимой Лисой. Да только кто в те логи смотрит?

Многие брандмауэры и по сей день легко пробиваются фрагментированным TCP-пакетом.

Пока прогружаются различные драйверы (сетевухи в том числе), а брандмауэр еще не загружен, можно спокойно атаковать.

Универсальный способ обхода файрвола - травля троянами программ, которым разрешен беспрепятственный выход в Сеть.

Обмануть брандмауэр тупо и элегантно можно командой "explorer.exe http-адрес", выйдя в Сеть без лишних вопросов :).

Выбор брандмауэра зависит от целей и имеющихся критериев, есть по-своему хорошие варианты.

По-хорошему, ни один брандмауэр не устоит перед целенаправленной атакой, но поможет в повседневной жизни.