Debasis Mohanty beschreibt in einem Security-Advisory, wie ein Trojaner an der Personal Desktop Firewall ZoneAlarm vorbei Informationen ins Internet senden kann. Darauf hat ZoneLabs mit einer eigenen Meldung reagiert. Nicht alle Versionen von ZoneAlarm sind davon betroffen, allerdings gibt es für die kostenlose Version keinen Workaround.

Das von Mohanty bereitgestellte Proof-of-Concept-Programm sendet beliebige Daten mittels einer Microsoft-API namens DDE-IPC (Direct Data Exchange -- Interprocess Communications) an Webserver. Die kostenpflichtige Version meldet dabei verdächtige Programmzugriffe, wenn die Option "Advanced Program Control" aktiviert ist.

Der Versuch, mit einer Personal Firewall einmal gestartete Programme an der Kommunikation mit dem Internet zu hindern, ist prinzipiell problematisch. Ein Angreifer findet immer eine Möglichkeit, die Sperrmechanismen der Personal Firewall auszutricksen. Beispielsweise könnte er über spezielle DNS-Anfragen Daten nach außen schmuggeln oder komplette TCP-Verbindungen tunneln.

(rb, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE