Local Security
_roro
- software
0 Sven Rautenberg0 _roro2 Jörg Lorenz0 _roro0 Der Martin0 _roro0 Jörg Lorenz0 _roro0 Jörg Lorenz0 _roro
0 Jörg Lorenz
hoho,
Frage zur Sicherheit, ist es möglich, dass ein Eindringling (Trojaner, Spyware) auf meinem PC den IE oder den Mozilla (o.a.) dazu verwendet, HTTP-Requests zu machen, ohne dass ich das am Monitor sehe?
Gibt es evntl. undokumentierte Kommandozeilen-Optionen?
--roro
Moin!
Frage zur Sicherheit, ist es möglich, dass ein Eindringling (Trojaner, Spyware) auf meinem PC den IE oder den Mozilla (o.a.) dazu verwendet, HTTP-Requests zu machen, ohne dass ich das am Monitor sehe?
Ja, sicher. Der IE läßt sich ja beispielsweise als Active-X-Komponente in andere Programme einbinden - und diese Programme können ihre Bildausgabe außerhalb deines Viewports verschieben, und sich auch in Taskleiste und Taskmanager ziemlich unsichtbar machen.
- Sven Rautenberg
Moin Sven!
Frage zur Sicherheit, ist es möglich, dass ein Eindringling (Trojaner, Spyware) auf meinem PC den IE oder den Mozilla (o.a.) dazu verwendet, HTTP-Requests zu machen, ohne dass ich das am Monitor sehe?
Ja, sicher. Der IE läßt sich ja beispielsweise als Active-X-Komponente in andere Programme einbinden - und diese Programme können ihre Bildausgabe außerhalb deines Viewports verschieben, und sich auch in Taskleiste und Taskmanager ziemlich unsichtbar machen.
Danke für Deine Info, interessant.
Hintergrund: Ich habe eine Firewall-SW auf meinem PC, die erlaubt es lediglich, dem Mozilla und dem IE, http-Requests zu machen.
Mal angenommen, es gibt so einen Wrapper, wie von Dir beschrieben, was meinst Du, wie würde der sich gegenüber der Firewall-SW zu erkennen geben, als Wrapper oder als IE?
--roro
Hi Rolf,
Mal angenommen, es gibt so einen Wrapper, wie von Dir beschrieben, was meinst Du, wie würde der sich gegenüber der Firewall-SW zu erkennen geben, als Wrapper oder als IE?
wenn ich den IE als Active-X-Komponente in einer VB-Anwendung einbinde, gibt der sich als IE aus.
Viele Grüße
Jörg
Hi Jörg,
Mal angenommen, es gibt so einen Wrapper, wie von Dir beschrieben, was meinst Du, wie würde der sich gegenüber der Firewall-SW zu erkennen geben, als Wrapper oder als IE?
wenn ich den IE als Active-X-Komponente in einer VB-Anwendung einbinde, gibt der sich als IE aus.
Vielen Dank!!!
--roro und schönen Sonntagabend noch!
Hallo Jörg,
wenn ich den IE als Active-X-Komponente in einer VB-Anwendung einbinde, gibt der sich als IE aus.
dem Server gegenüber im HTTP-Protokoll: Ja, selbstverständlich.
der Firewall gegenüber: Nein, die holt sich in der Regel den Namen des zugehörigen Prozesses und kümmert sich nicht um Protokoll-Inhalte wie etwa den HTTP-User-Agent. Und der Name des Prozesses ist dann eben nicht iexplore.exe, sondern z.B. wrapper.exe, weil der IE ja nur als Komponente von diesem Prozess benutzt wird.
Anders sieht es aus, wenn ein Schadprogramm den IE als selbständigen Prozess startet, evtl. sogar ohne sichtbares Programmfenster, und ihn dann per DDE fernsteuert. Dann würde die Firewall nicht bemerken, dass der IE in diesem Szenario nur ein Strohmann ist, und den Request bereitwillig zulassen.
Ciao,
Martin
hi Martin und Jörg,
Anders sieht es aus, wenn ein Schadprogramm den IE als selbständigen Prozess startet, evtl. sogar ohne sichtbares Programmfenster, und ihn dann per DDE fernsteuert. Dann würde die Firewall nicht bemerken, dass der IE in diesem Szenario nur ein Strohmann ist, und den Request bereitwillig zulassen.
Das wäre mal zu testen. Jörg hast Du Lust einen wrapper in VB zu schreiben, der über den IE einen http-request macht (http://example.com)?
Das würde ich gerne mal mit der Pers. FW von Tiny testen, was ihr auch könnt, falls Interesse, falls Zeit...
--roro
Hi Rolf,
Das wäre mal zu testen. Jörg hast Du Lust einen wrapper in VB zu schreiben, der über den IE einen http-request macht (http://example.com)?
Lust ja, aber Zeit nicht. ;-)
Hier ist eine Datei, die ich für mich selbst geschrieben habe: http://www.excel-vba.de/temp/Schlettau.exe
Sie macht nichts weiter, als Webcam-Bilder herunterzuladen, in einer HTML-Datei zu speichern und diese in einem IE-Element darzustellen. In diesem Element befinden sich aber noch ein paar Links - die dürften Dir nützlich sein.
Aber, wie geschrieben, die Datei war nur für mich - Debugging spielte da nicht gerade eine große Rolle.
Kannst ja mal schreiben, was Du herausgefunden hast.
Viele Grüße
Jörg
hi Jörg,
Hier ist eine Datei, die ich für mich selbst geschrieben habe: http://www.excel-vba.de/temp/Schlettau.exe
Sie macht nichts weiter, als Webcam-Bilder herunterzuladen, in einer HTML-Datei zu speichern und diese in einem IE-Element darzustellen. In diesem Element befinden sich aber noch ein paar Links - die dürften Dir nützlich sein.
Aber, wie geschrieben, die Datei war nur für mich - Debugging spielte da nicht gerade eine große Rolle.
Kannst ja mal schreiben, was Du herausgefunden hast.
Gerne! Habs x+ runtergeladen und getestet:
Tiny Personal Firewall (TPFW) meldet mir, was "Schlettau.exe" machen will. Also keine Rede vom IE, den ich in TPFW zugelassen habe, http-Requests zu machen.
Das macht TPFW interessant versus Firewalls, die lediglich Ports blocken, eine Personal FW kann auch die Anwendung erkennen, weilse auf dem PC lauft.
Hier der gesamte Hintergrund:
http://rolfrost.de/cgi-bin/blog.cgi?list=1165657818
In Fact ist eine FW unwirksam gegen trojaner, die http-requests machen über ports die ohnehin freigegeben sind (port 80 z.B.).
--roro
Hi Rolf,
danke für die IOnfo.
Tiny Personal Firewall (TPFW) meldet mir, was "Schlettau.exe" machen will. Also keine Rede vom IE, den ich in TPFW zugelassen habe, http-Requests zu machen.
Hast Du auch die Links angeklickt? Der Download der Fotos erfolgt noch nicht über das IE-Element.
Viele Grüße
Jörg
hi Jörg,
danke für die IOnfo.
Tiny Personal Firewall (TPFW) meldet mir, was "Schlettau.exe" machen will. Also keine Rede vom IE, den ich in TPFW zugelassen habe, http-Requests zu machen.
Hast Du auch die Links angeklickt? Der Download der Fotos erfolgt noch nicht über das IE-Element.
Jow, die rufen den Standardbrowser, das ist Interaktion, funktioniert und somit ok.
Ansonsten sehe ich ab heute ein Plus in der Tiny Personal Firewall gegenüber anderen FWs, mit denen ich bisher zu tun hatte. Ich werde einen kleinen Artikel darüber schreiben und das Ergebnis dieses Threads da einfließen lassen.
Danke und viele Grüße, Rolf (früher Erfurt, heute Karlsruhe)
Moin!
Tiny Personal Firewall (TPFW) meldet mir, was "Schlettau.exe" machen will. Also keine Rede vom IE, den ich in TPFW zugelassen habe, http-Requests zu machen.
Das würde ich als Zufall betrachten. Offenbar hat der Ersteller von "Schlettau.exe" nicht so genau drauf geachtet, dass die Requests als echter "IE" erscheinen.
Ansonsten sehe ich ab heute ein Plus in der Tiny Personal Firewall gegenüber anderen FWs, mit denen ich bisher zu tun hatte. Ich werde einen kleinen Artikel darüber schreiben und das Ergebnis dieses Threads da einfließen lassen.
Vergiß es! Es ist prinzipiell nicht möglich, Personal Firewalls so zu schreiben, dass diese sicher verhindern, dass auf dem Rechner ausgeführter Schadcode keinen Internetzugriff hat bzw. dass sich die Firewall meldet, weil unerlaubte Programme Internetaktivitäten starten.
Der Grund ist, dass Windows grundsätzlich und unabhängig von irgendwelchen Useraccounts erlaubt, dass jegliches Programm simulierte Mausklicks und Tastendrücke in die Queue von Windows einschleusen kann. Ein Schadprogramm kann also problemlos so tun, als würde der User den IE starten, eine böse URL ansurfen und Viruscode nachladen - oder seine Passwortsammlung in ein Formular tippen und wegschicken.
Ich würde allerdings auch bei Linux der Firewall kein Stückchen über den Weg trauen, dass sie ausgeführten Schadcode sicher eindämmen und Netzzugriffe verhindern kann. Der Schutz muß lange vorher greifen: Schadcode darf gar nicht erst ausgeführt werden!
- Sven Rautenberg
Moin Rolf,
Jow, die rufen den Standardbrowser, das ist Interaktion, funktioniert und somit ok.
ja, das hat aber nichts zu sagen. Du schreibst selbst, das es Interaktion ist - man könnte dem IE-Element auch beibringen, selbstständig Dinge zu tun - das ist in dieser kleinen exe gar nicht eingebaut. Selbst die Grafiken werden in diesem Fall nicht per IE heruntergeladen - was aber problemlos möglich wäre.
Ansonsten sehe ich ab heute ein Plus in der Tiny Personal Firewall gegenüber anderen FWs, mit denen ich bisher zu tun hatte. Ich werde einen kleinen Artikel darüber schreiben und das Ergebnis dieses Threads da einfließen lassen.
Naja, aber betrachte diesen Test nicht als repräsentativ - dazu ist diese exe nicht geeignet.
Viele Grüße
Jörg
Hallo Martin,
der Firewall gegenüber: Nein, die holt sich in der Regel den Namen des zugehörigen Prozesses und kümmert sich nicht um Protokoll-Inhalte wie etwa den HTTP-User-Agent. Und der Name des Prozesses ist dann eben nicht iexplore.exe, sondern z.B. wrapper.exe, weil der IE ja nur als Komponente von diesem Prozess benutzt wird.
ja, sicher. Aber hier spielt dann wieder eine Rolle: Wenn der Schädling auf dem System aktiv wurde, hat er noch ganz andere Möglichkeiten. Ich finde es gerade nicht, aber vor längerer Zeit hatte ich mal ein kleines "Tool" geschrieben, das die gängigen PFWs und Antivirenprogramme einfach beendet. Ich kann mich erinnern, dass es bei ZoneAlarm sogar den Effekt hatte, dass das Symbol für ZA neben der Uhrzeit noch sichtbar blieb, obwohl ZA schon längst "abgeschossen" war.
Viele Grüße
Jörg