Trojský kůň, který prochází firewally jako nůž máslem

Kde jde toto chytnout? Tezko to ziskam na zabezpecene komunikaci s bankou nebo z www.zive.cz. Chytnu to nekde z nejakych stupidnich www, ktere me uz tez cily tim, ze otviraji jedno okno za druhym. Jestli to je IE nebo Netscape? Kdyz ma IE vetsinu, delaji se prasarny na neho , az bude mit Mozilla 95% procent trhu, budou se delat tyhle blbosti na ni. Zivot je drsny, na nejlepsi je hon. Ostatne i toto lze dobre nakonfigurovanym firewalem na stanici ochranit, jen je otazka jestli misto honeni okenek kde o neco jde nebude lepsi udelat osvetu nejmene znalym uzivatelum jak pouzit antivir, kdyz si pritahnout 3 roky stary vir na diskete a ten jim smaze disk.

Autor neuvedl, nicméně bych si tipl, že byl myšlen tzv. "personal firewall", tj. software, který běží na počítači, a který dovede kontrolovat, která aplikace (=proces) právě komunikuje a selektivně jim omezovat možnost komunikace přes inet. Jinak by nemělo smysl vůbec otevírat nějaká okna IE a stačilo by prostě vytvořit odchozí HTTP spojení na vzdálený "anonymizer" přímo z trojana.

V případě, že firewall je schopen detekovat samotné spuštění trojana (což je nutné tak jako tak), jako podezřelou aktivitu, nemusí mu vůbec dovolit spustit IE, případně nemusí dovolit ani spuštění samotného trojana. Není to sice úplně triviální, ale udělat se to dá. Navíc, když si někdo na počítači spustí neznámou aplikaci, vždy si koleduje o průšvih.

Obecně, firewall, v klasickém pojetí (jako filtr na síťové vrstvě), není vhodná technologie na boj s trojany. K tomu slouží tzv. sandbox (filtr na aplikační vrstvě OS).

Pokud autora chapu dobre, tak zasadni problem neni to, ze by byl deravy IE, ale to, ze uzivatel pusti program ktery pouziva IE ke komunikaci (uplne stejne jako by mohl pouzivat Gecko). Fakt nechapu o co jde, IE je v popsanem scenari pouzit jako komunikacni knihovna, rozhodne pomoci neho neni delan zadny prunik. To samy de uplne bez problemu nakodovat pomoci Gecka a neznamena to, ze by Mozilla byla derava.

klasika... ie opravdu neni deravi - a co windows/vb/j script nebo jak se to menuje, ktery je diky "revolucni" techonologii ActiveX schopen prakticky ovladat cely pocitac - staci se podivat na blbou stranku s defautlnim nastavenim (nevim jak je to u 6, u petek to funguje) a utocnik ma vas citac jedna, dve. kdyz myslis, ze neco podobneho jde napsat v gecku, posli mne priklad, abych ho mohl reportovat na bugzillu.

Ale ze si neumis nastavit IE neni vina MS, ten k tomu poskytuje i navod. Co bys pak delal v Linuxu, kdyz nechces nic nastavovat?

nejde o to neco si nastovavat, jde o to vypinat si vsechny vymozenosti, ktere jsou potencialne nebezpecne. mj. jeste jsem nevidel projekt, ktery by vyuzival nezbytne technologii ActiveX, krome tech milonu viru

hm, tak to si asi upny ignorant, na activex je vytvorenych x aplikacii, za vsetky jenda. www.ephox.com. Activex je technologia, ktora ma svoje miesto, to ze sa da aj zneuzit je druha vec.

Ty evidentne vubec neumis cist. Precti si proboha ten clanek znova, jednoznacne se tam pise, ze bezi externi program, ktery si nastartuje IE a pomoci IE komunikuje. Uplne stejne jako by si mohl natahnout Gecko a pomoci neho komunikovat (a stahovat soubory a tak dal). To totiz neni vubec zadna chyba, to ze si uzivatel pusti program kterej mu pak stahuje dalsi je jeho problem - ale nikde se tam nepise, ze by IE neco poustel, ten vir/worm uz totiz uz davno bezi a IE si startuje az kdyz je spustenej. Nevim co je na tom k nepochopeni, ale tobe to evidentne nedochazi.

No jasně, že to nemá si IE nic společnýho. Pokud mam na firewall povolenej treba GETRIGHT, GOTZILA nebo dokonce MOZILU, tak neni prblem, aby si trojan zjistil jaky program pouzivate pro vstup do internetu. Firwall prece nekontroluje data ktere tecou HTTP proudem protoze ty se daji kodovat, takze by z toho prt precetl. Takze pak staci pouzit jednu sikovnou API funkci windows, ktera spusti jakykoliv program treba i MOZILU ale tak aby nebyla ani v liště a pak ji používal ke komunikaci ze vzdalenym serverem pomoci HTTP protokolu. Jednu nevyhodu to ma pokud pouzijete ATL-CTRL-DEL tak tam bude vydet ze je neco spusteny treba GETRIGHT ale i to se da zamaskovat pomoci funkce KERNELu (pro lajky jadro systemu Windows). Takze clanek popisuje pouze jak projde IE pres firewall. Ale ve zkutecnosti tam projde jakykoliv program, ktery ma povoleni na firewall. A ten muze vyuzit prave trojan. Pokud tomu chcete zabranit, tak je tu velice jednoduche reseni. Na firewall zakazte protokoly HTTP, FTP a protokoly podle RFC 821 a 822. Pak pro jistotu odpojte i telefoni linku at mate jistotu ze je to 100%. Pokud nekdo z vas vubec programuje, tak by mel vedet, ze to co je popsano v clanku neni zadna veda. Dokonce se da i zmodifikovat kernel u tak bezpecneho LINUX. Proste kdys se chce, tak vsechno jde. Jak se rika nikdy se neda zabezbecit na 100%. Vzdy se to totiz da prolimit, akorat je to pokazdy jinak sloziti a casove narocny. Jako priklad lze i uves tolik primitivni ochrany proti kopirovani CD (vsechne se daji obejit). Nebo regionalni kod pro DVD (super propadak a zmakl to 15 letej kluk).

   Good Luck,

klasika... ie opravdu neni deravi - a co windows/vb/j script nebo jak se to menuje, ktery je diky "revolucni" techonologii ActiveX schopen prakticky ovladat cely pocitac - staci se podivat na blbou stranku s defautlnim nastavenim (nevim jak je to u 6, u petek to funguje) a utocnik ma vas citac jedna, dve. kdyz myslis, ze neco podobneho jde napsat v gecku, posli mne priklad, abych ho mohl reportovat na bugzillu.

Ne tak docela. Jedna se o to, ze v Mozille, Opere atp. toho moc nenapachas a tudiz je to naprosto zbytecne. V MSIE je mozne napr.
spoustet jine programy atd. O moznych nasledcich neni nutne se rozepisovat.

Jinak souhlasim, ze nejen MSIE je nakazitelny timto wormem, ale
jse s nim napachat nejvice skod

To ze v IE toho jde napachat hodne sem nezpochybnoval (ale ono trbea XPCOM v Mozille taky bude stat za pokuseni ;) ale tenhle trojan zadny diry v IE nevyuziva, jen pres nej komunikuje aby ta komunikace vypadala jako ze uzivatel brouzda s IE. Tohle konkretne zadna chyba neni a jak sem psal, neni problem to samy napsat s Geckem misto IE.

Pochopitelne, ale presto si myslim, ze praktickeho uplatneni bude mit tenhle trojan hlavne na MSIE...

Netrvdim, ze nepujde pouzit napr. na smirovani uzivatelu a pod i treba prave zminovanem Gecku

Pokud nekdo zacne delat trojany tohodle typu tak se budou muset chovat jako vsechny ostatni. Tudiz:
- bude je nutne spustit lokalne
- pokud nebudete mit otevreno okno IE tak se v seznamu procesu IE vyskytovat bude, coz je podezrele
- Trojan se bude muset uhnizdit aby se spustil po kazde se startem systemu, tudiz je jednoduche ho odhalit bud v registru apod.

Autor toho asi moc netusi o firewallech. Pro firewall jsou ty data nezavadne a jsou chapana, ze si je uzivatel vyzadal, tj. podival se na stranku s tim trojanem (jinak se k nemu nemozou dostat, diky koncepci http) - tim padem je jakykoliv fwall na prd. kdyz je uzivatel magor a pouziva deravy software, tak holt mu nepomuze ani firewall.


links -g rulez

myslim, ze spis ty nemas pojem o cem je clanek! autor nepsal nic o zpusobu nakazeni, ale komunikaci trojana s utocnikem skreze firewall.

(co je to za parametr 'rulez'?:)

ja jenom rikam, ze neni zadny duvod se tu bavit o firewallech, protoze to s nima nema nic spolecneho, to je uplne stejne, jak kdybych napsal clanek o trojskem koni, ktere ho si muj imunitni system vubec nevsimne

(jinak vyzkousej si prikaz # links -g na verzi 2.1pre a pak poznas co rulez)

...ze by grafickej links?

Okna prohlížeče, která jsou jako sub proces dobrý firewall stejně nepustí. Tak například mám Kerio Personal Firewall a Outlook Express. Outlook Express využívá instanci prohlížeče Internet Explorer. Je tu jediná smůla v tom, že Outlook Express má u mě zakázáno stahovat webové stránky, ale IE samotné to umožňuje bez jakéhokoliv přenastavování.

Jinak řečeno dobrý firewall tyhle fígle zná a dívá se vždy na hlavní proces. Bylo by nelogické aby tomu tak nebylo, to by pak někdo využil služeb WinSocket (které jsou povoleny :) a rovnou by se připojil na net. Bohužel Vám opravdu nepovím jak jsou na tom některé horší firewally, ale ty lepší si tohle opravdu nenechaj líbit. Tohle myslím dělá ZoneAlarm, on nebere tolik servítky a nějaké blokování subprocesů tam tuším nefunguje.

Ovšem proč nepoužít kvalitní firewall zdarma? www.kerio.cz :)

tohle je nesmysl, nebo lepe receno nepouzitelne. Nejde jednoznacne urcit, kdy muze subproces komunikovat s Inetem nebo ne. Navic taky pokud je FW separovan od pocitace. SW pro komunikaci s Inetem musi byt navrzen kvalitne a spolehat se na FW, je blahove.

Na Windows nejsou "subprocesy", všechny procesy jsou rovnocené, tj. pokud jeden proces vytvoří druhý proces, ten druhý je s tím prvním zcela rovnoprávný (až na malé drobnosti ). Pokud Outlook Express něco používá z IE tak to je:

1. V případě načítaní pošty v HTML Microsoft IE Control

2. V případě, že máte v poště HTML link, tak spustí normálně proces IE a v něm se otevře okno.

Obdobně, když v IE zvolíte například Send Link by E-mail, také se nespustí OE, ale pouze se v IE procesu použije OE COM.

Obecně lze samozřejmě udělat firewall tak, že při vytváření procesu jiným procesem je možné nastavit, zda nový proces má "zdědit" nastavení od procesu, který ho vytváří, nebo má použít vlastní. Je ovšem potřeba tyto závislosti nastavit individuálně.

Pokud je mi známo, tak využívání aplikací, které jsou uživatelem považovány za duvěryhodné jako subproces útočníkova programu je věc, která je známa relativně dlouho. Proti podobným praktikám už existuje i ochrana. Pokud má někdo zájem, podívejte se například na http://www.iss.net/support/documentation/docs.php?product=29 . Program používá seznam aplikací, které povolí spustit, ostatní blokuje a určitě jsou i sw jiných výrobců. Pokud je mi známo, tak ISS v současné době pracuje na rozšíření, které má umožnit detekci subprocesů. Zatím to ale nemají hotové. Pokud někdo zná nějaký sw, který to umí již teď, docela by mě to zajímalo

trochu podrobnější přehled k čemu se to vlastně normálně používá (kromě zmíněné Eudory) by neškodil

Nechapu, ze po tom co velky Bill Vrata vyhlasil brezen mesic bezpecnosti je jeste neco takoveho vubec mozne!!

Pokud vím tak březen je Měsíc Knihy a až duben je Měsíc Bezpečnosti ... aha to je asi na cestách. Ale jinak mám pro vás dobrou informaci. Microsoft hodlá vydat do konce roku nový IE se zabudovaným firewallem. Pak již nebudete potřebovat ty vaše Tiny a Zony.

Hm, moja Mozilla zatial rulez, ak aj na nu take nieco usiju, vratim sa ku lynx-u ;)

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


+ Title:
~~~~~~~~~~~~~~~~~
Mozilla FTP View Cross-Site Scripting Vulnerability


+ Date:
~~~~~~~~~~~~~~~~~
4 August 2002


+ Author:
~~~~~~~~~~~~~~~~~
Eiji James Yoshida [ptrs-ejy@bp.iij4u.or.jp]


+ Risk:
~~~~~~~~~~~~~~~~~
Medium


+ Vulnerable:
~~~~~~~~~~~~~~~~~
Windows2000 SP2 Mozilla 1.0


+ Not vulnerable:
~~~~~~~~~~~~~~~~~
Windows2000 SP2 Mozilla 1.1 Beta


+ Overview:
~~~~~~~~~~~~~~~~~
Mozilla allows running Malicious Scripts due to a bug in 'FTP view'.
If you click on a malicious link, the script embedded in URL will run.

* If the ftp server and the http server are the same address, it is dangerous.
Because the cookie may be modified by the attacker.


+ Detailes:
~~~~~~~~~~~~~~~~~
This problem is in 'FTP view'.
The 'URL' is not escaped.


+ Exploit code:
~~~~~~~~~~~~~~~~~
Exploit

Example:
Exploit


+ Demonstration:
~~~~~~~~~~~~~~~~~
http://www.geocities.co.jp/SiliconValley/1667/advisory03e.html


+ Workaround:
~~~~~~~~~~~~~~~~~
Use the latest version of Mozilla 1.1 Beta or disable JavaScript.


+ Vendor status:
~~~~~~~~~~~~~~~~~
The Mozilla security bug group was notified on 22 June 2002.
They have fixed the problem, and the fix will be included in Mozilla 1.0.1.
(The fix has already been included in the latest version of Mozilla 1.1 Beta.)


- -------------------------------------------------------------
Eiji "James" Yoshida
penetration technique research site
E-mail: zaddik@geocities.co.jp
URL: http://www.geocities.co.jp/SiliconValley/1667/index.htm
- -------------------------------------------------------------

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8ckt
Comment: Eiji James Yoshida

iQA/AwUBPUyPYTnqpMRtMot1EQKufACg1lz0PRFDXcb98rNGdrB+Jj+Y5B8AoILi
ks0Jo30ucn62VTWbRKeW22WO
=oarq
-----END PGP SIGNATURE-----

No, ze 1.1b je imunni asi bude znamenat, ze vyvojari o ty chybe vi (nebo emacs ;). A co ja zoufalec, s Mozillou 1.1b na Linuxu? Bojim, bojim. (BTW. SuSE personal fw, neni buhvi co, ale zatim staci ;)

Ale jinak diky za nfo, letim upgradovat Mozillu na druhem stroji s w2k.

Nemas zac, ja jen informuji ze i Mozzila je derava a bude v ni jeste mnohem vice der, budou odhlaeny casem. Jinak je hezke ze Mozilla 1.1 tuto chybu jiz nema ale je to beta ze :). Sem si vsiml ze Mozilla nez aby vydala hotfix udela "novou" verzi prohlizece :)))))

jsou to take psychologicke duvody - kazdy si driv vsimne ze vysla nova verze a apgrejduje, nez ze vysel novy path - pro BFU je to rozhodne lepsi

Ale co takovy BFU s modemem? Kdo to ma porad stahovat? :))))

Este jedna vec :)) Kdyz se najde chyba v IE okamzite o tom vsichni vi. Ted se nasla Mozille a kdybych ji tu ted nezkopiroval vedel bys o ni? Jak si sam napsal nevedel. Zamysli se :))) IE Rulezzzzz

a naopak. kvuli male rozsirenosti mozilly se teto chyby prakticky nikdo bat nemusi...

Ale jaka je nebezpecnost te chyby? Umozni smazat soubory, siri nejake cervy nebo vytaci cislo do Singapuru? Spusti akorat tak nejky blby Javascript. Zvlast na Linuxu pod normalnim uzivatelem bych se toho moc nebal...

No nektere javascripty dokazi byt pekne zakerne :)

Takze zasa nic, pouzivam mozillu a IE mam vo fiwally bloknute :))

presne tak, serfuju jedine s mozillou a na firewallu mam IE uplne zakazanej.. jedine tak je mozne bezpecne surfovat s IE - zakazat...

Asi jsem to nepochopil, ale jak se da zakazat IE na firewallu?

Ja jsem na bezpecnost totalni BFU, ale aplikaci iexplore.exe jsem uz pred pulrokem zakazal prochazet svym Tiny Personal (ted tusim Kerio) firewallem velice jednoduse. Mozilla mi bohate staci, a ty zalozky s oknama pri brouzdani...zkuste, na IE vam po pripadnem navratu jiste budou shcazet

Aha! pochopil jsem - bohuzel mam firewall vestavenej v routeru, takze tam se mi to zakazat nepodari

Mozillu pouzivam od 0.9.1 a uz si na ni zvykla i moje manzelka

No ten firewall by mel bejt nastavitelnej ne? Tak co treba zakazat tcp na portu ktery pouziva IE?  (ktery to je nevim, ale urcite se to da celkem snadno dohledat).

Tak ted nevim - bud mi neco uniklo anebo si ze me delas soufky
Jasne ze muzu zakazat port, kterej pouziva IE - port 80, bohuzel tim si odstrihnu celej http protokol.

na porte 80 poslouchaji vetsinou www servery (ostatni najdes v souboru services). netscape a mozilla pouzivaji pokud vim porty nekde nad 1024 a to ke vsemu nejakej rozsah. ie nevim, nicmene se da nastavit treba aby komunikoval jen s proxyserverem a ten je vetsinou na 8080 (takze pokud pouzivas proxy a zakazes komunikaci na 80 tak se nic nestane).

 obecne probiha komunikace tak, ze spustis program a prostrednictvim jeho posles zadost o spojeni tcp a to tak, ze klientsky program z pocitace DOMA z portu X posle pozadavek na server SERVER kde bezi dana sluzba na portu Y. pokud je vsechno ok odpovi SERVER z portu Y na port X na pocitaci DOMA. mezitim stoji tvuj firewall. kdyz mu reknes ze ma zahazovat pakety z DOMA portu X kamkoliv a popripade odkudkoliv na port X na DOMA, ani si neskrtne, ale ostatni sluzby bezi nerusene dal.

je to srozumitelnejsi?

S.

No jestli tusim spravne, "zakazano IE na firewallu" ma znamenat totez co "v nastaveni osobniho firewallu mam zakazan pristup IE k internetu".

Treba se ale pletu :o)
if(document.layers){document.captureEvents(Event.MOUSEUP);}document.onmouseup=PrxOMUp;

Jo, diky, kolega mi to uz objasnil - nedoslo mi, ze mysli SW firewall, neb ja mam firewall v maly modry skatulce na stole

jo ja to tak resim taktez