| |
|
Acunetix Web Vulnerability
Scanner |
|
|
|
|
|
| |
|
|
Firewall : Funzionamento e caratteristiche
La quasi totalità dei
firewall in circolazione
basano il loro funzionamento attraverso il filtro delle
applicazioni. Questo ha il compito di segnalare all’utente
quali programmi vogliono accedere alla rete, per poi lasciare a
quest’ultimo la facoltà di stabilire i criteri di accesso a
internet. Il filtro delle applicazioni è utile per vedere se
“applicazioni sconosciute” come programmi Troiani o
Backdoor vogliono accedere a internet all’insaputa dell’utente.
Negli ultimi due anni, tuttavia, si è riuscito a dimostrare che
i firewall si possono “bucare” e il filtro delle
applicazioni, di conseguenza, ha perso la sua validità. E’
possibile aggirare un firewall utilizzando programmi che avviano
una connessione verso l’esterno utilizzando applicazioni che
hanno l’accesso a internet, in questa situazione si parla di
“privilegi rubati”. Le tecniche che permettono di aggirare
un firewall sono fondamentalmente due ma esistono diverse
varianti. La prima tecnica chiamata dll injection
consiste “nell’iniettare”, appunto, del codice nello
stesso spazio di indirizzamento di un qualche processo che e'
in esecuzione nel sistema. Per esempio è possibile contaminare
una dll. Lo scopo e' semplice: non far apparire un processo
nella lista dei processi che potrebbe essere bloccato dal
firewall. Nella seconda tecnica vengono manipolati i PID (Numero
di identificazione) dei processi. In questo modo il firewall non
è in grado di capire chi ha chiamato una applicazione con
accesso a internet e viene, di conseguenza, aggirato facilmente.
Diverse case produttrici, presa visione della situazione, hanno
integrato nei loro prodotti delle funzionalità che cercano di
arginare questo problema.
| |
|
AntiSpam Aziendale Server Consigliato |
|
|
|
|
|
|
|
| |
|
|
| |
|
|
Elenco Test per la sicurezza
dei Firewall
|
Leaktest |
 |
|
|
|
Tipo di Test : Sostiuzione |
|
|
|
Funzionamento : In questo test viene rinominata
l'applicazione (Leaktest) in una
che ha l'autorizzazione per uscire e quindi per bypassare il
firewall. Attualmente i firewall dispongono di una firma
digitale per le applicazioni, in questo modo si accorgono del
tentativo di aggiramento. Se il firewall viene aggirato dimostra
che questo si limita ad lasciar passare tutte quelle
applicazioni che hanno il nome nella lista di quelle permesse. |
|
|
|
|
|
TooLeaky |
|
|
|
|
|
Tipo di Test : Avvio
Applicazione |
|
|
|
Funzionamento : Viene aperta in modo nascosto una
finestra di Internet Explorer e se il browser ha il permesso per
accedere a internet trasmette le informazioni attraverso la
porta 80. Se il test ha successo, significa che il firewall non
controlla quale applicazione ha avviato un'altra con accesso a
internet. |
|
|
|
|
|
FireHole |
|
|
|
|
|
Tipo di Test : Avvio
Applicazione e DLL Injection |
|
|
|
Funzionamento : In questo test viene usato il
browser di default per inviare dati verso l'esterno. Per fare
questo viene installata una DLL nello stesso spazio di
indirizzamento di un processo che ha il permesso per uscire. Se
il test ha successo indica che il firewall non controlla quali
applicazioni chiamano quelle con accesso ad internet ed in più è
vulnerabile al DLL Injection. |
|
|
|
|
|
Yalta |
|
|
|
|
|
Tipo di Test : Test su regole e su collegamento diretto
alla rete |
|
|
|
Funzionamento : Yalta si compone di due test, il primo
cerca di trasmettere informazioni mediante pacchetti UDP
attraverso porte che di solito hanno accesso ad internet. Nel
secondo test viene utilizzato un driver apposito per mandare
informazioni verso l'esterno usando il TCP/IP. Il test avanzato
funziona solamente con Windows 98-Me. |
|
|
| |
|
WallBreaker |
|
|
| |
|
Tipo di Test : Avvio
Applicazione |
| |
|
Funzionamento :
E' composto da tre test differenti;
nel primo viene usato explorer.exe per avviare iexplore.exe e
poi l'accesso ad internet. In questa situazione è una
applicazione di Windows che chiama un'altra applicazione e non
WallBreaker. Il secondo test è un trucco,
semplicemente lancia IE direttamente, in una maniera tale da non
farsi accorgere dai firewall.
Il terzo test, infine, è
una variante del primo in cui viene avviato prima cmd.exe (linea
di comando) e poi successivamente explorer.exe e iexplore.exe. |
| |
| |
|
PcAudit 3 |
|
|
| |
|
Tipo di Test : DLL Injection |
| |
|
Funzionamento : Anche questo test usa la tecnica del DLL Injection,
se il firewall non segnala il tentativo di accesso del file
pcaudit.exe significa che il firewall è vulnerabile. |
| |
| |
|
Ghost |
|
|
| |
|
Tipo di Test : Avvio applicazione
e Timing Attack |
| |
|
Funzionamento : Quando una applicazione ha accesso a
internet, il firewall usa le API di Windows per avere il PID
(numero di identificazione del processo) e il nome. Ghost per
aggirare il firewall cerca di modificare questo PID. |
| |
| |
|
AWFT3
(numero test limitato) |
|
|
| |
|
Tipo di Test : Implementa diversi
Test |
| |
|
Funzionamento : E' composto da 6 test che usano diverse
tecniche già discusse in precedenza. Per mostrare l'efficacia
del firewall viene dato un punteggio variabile da 1 a 10 |
| |
| |
|
Thermite |
|
|
| |
|
Tipo di Test : DLL Injection |
| |
|
Funzionamento : Come il test Copycat viene iniettato del
codice nello spazio di indirizzamento di un processo che ha il
permesso per uscire. In questo caso viene creato un nuovo
processo (Thread) all'interno di quello che ha l'accesso alla
rete. |
| |
Anonimato & Privacy
