Debasis Mohanty beschreibt in
einem Security-Advisory,
wie ein Trojaner an der Personal Desktop Firewall ZoneAlarm vorbei
Informationen ins Internet senden kann. Darauf hat ZoneLabs mit
einer eigenen Meldung reagiert. Nicht alle Versionen von ZoneAlarm
sind davon betroffen, allerdings gibt es für die kostenlose
Version keinen Workaround.
Das von Mohanty bereitgestellte Proof-of-Concept-Programm sendet
beliebige Daten mittels einer Microsoft-API namens DDE-IPC (Direct
Data Exchange -- Interprocess Communications) an Webserver. Die
kostenpflichtige Version meldet dabei verdächtige Programmzugriffe,
wenn die Option "Advanced Program Control" aktiviert ist.
Der Versuch, mit einer Personal Firewall einmal gestartete Programme
an der Kommunikation mit dem Internet zu hindern, ist prinzipiell
problematisch. Ein Angreifer findet immer eine Möglichkeit, die
Sperrmechanismen der Personal Firewall auszutricksen. Beispielsweise
könnte er über spezielle DNS-Anfragen Daten nach außen schmuggeln
oder komplette TCP-Verbindungen tunneln.
(rb, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|