Gravierende Schwachstellen in ZoneAlarm entdeckt

Software Volker Birk, ein Entwickler, hat vor kurzem eine kleine Anwendung zu Demonstrationszwecken veröffentlicht, die eigenen Angaben zu Folge mit sehr wenig Code trotz aktivierter ZoneAlarm-Firewall uneingeschränkt Kontakt mit einem Internetserver ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich dachte immer ZoneAlarm selber, wäre die Schwachstelle. =)
 
Dem ist ja auch so. Diese Software-Firewalls klemmen sich vor die Winsock-Schnittstelle und können so alles kontrollieren, was direkt auf Winsock zugreift (jeder Zugriff kann bspw. visualisiert werden, was sicher jeder kennt - diese Zulassen/Ablehnen-Dialoge...). Was aber nahezu unmöglich ist, ist die Kontrolle von "getunneltem Material". Ein solcher Angriffspunkt z.B. ist die COM-Schnittstelle des IE. Hier kann eine Firewall überhaupt nicht eingreifen, weil an der Stelle, wo die Firewall zur Überwachung ansetzt, nur noch "vorgekautes Material" vorbeikommt.
 
@ChieFwiGGum: schön wärs wenn sich SoftwareFirewalls einafch vor die Winsock hängen würden dann wäre es nämlich selbst für mich kein Problem diese zu umgehen wenns lang dauern würde vielleicht 3 minuten und ich hätte nen selbstgeschriebens programm das dran vorbeikommt die winsock.dll ist nichts weiter als eine abstractionsklasse die den programmieren das nutzen des netzwerks erleichtern soll so kümmert sie sich automatisch um alles was mit dem ethernet-Paket zu tun hat was du ohne alles im programm selbst machen müsstes und die Firewalls selbst sitzen an der untersten ebene also so einafch austricksen ist dann nun auch nicht. und mit deinem verschlüsselten kram is das genauso wenn nen programm verschlüsselten inhalt senden will erhält jede firewall nur die verschlüsselten daten weil die verschlüsselung im programm stattfindet da brauchstde also nicht auf com schnittstelle und ie rumhacken
 
aber sicher, manche firewalls fragen auch freundlich per mail beim programmierer nach, ob das program mit dem inet kommunizieren darf :) gute firewalls setzen sich nicht (nur) vor die winsock.dll, sondern arbeiten auf treiberebene. nix mit layer 6 oder 7, das ist schwachsinn, den man leider (auch im wf forum) immer wieder liest. layer 2 trifft es schon eher...
 
@sir-talis: Hey, leider ist es egal welcher Layer benutzt bzw. überwacht wird, denn wenn nunmal der IE in den Firewallregeln freigegeben wurde und in diesem Beispiel hier die Sache über den Active Desktop abläuft in einm IFrame und bei Windows nunmal alles standardmäßig über den iexplorer.exe läuft, da dieser so ins System eingebunden ist, kommen eben auch dort alle Daten durch.. Am besten sperrt man hier einfach die Möglichkeit den Active Desktop zu ändern..MfG CYA iNsuRRecTiON
 
nö, ist nicht egal. wer ist denn schon so dumm und gibt den ie standardmässig frei? btw: ich hasse zonealarm, aber nicht pfws allgemein
 
@sir-talis: ich würde mal einfach behaupten über 90% !! MfG CYA iNsuRRecTiON
 
Die Flamewars mögen beginnen...
 
@neo1976: Schreibt man das nicht mit z???
 
@ Junktyz : nö das ist schon richtig mit s
 
@neo1976: haha
 
@hauner du hast aber etwas vergessen. Der autor schrieb die erste version dieser Demo. Dabei stellte sich bei einem test herraus das alle getesten firewalls ausgetrickst werden konnten außer Zonealarm daraufhin schieb er eine neue Version die nun auch ZoneAlarm austricksen konnte
 
@Skippy: Richtig, ist aber meiner Meinung nicht so wichtig. Würde die News nur unnötig aufblähen. ;-)
 
@Hauner: ich finde es ist schon einen großen unterschied ob man schreibt er schrieb ein tool um zonealarm ganz einfach auszutricksen oder eben die news ordentlich abzuschreiben
 
@Hauner: Also wenn die meisten Firewalls diese Schwachstelle haben und in der Überschrift ausdrücklich nur ZoneAlarm erwähnt wird, halte ich das auch für irreführend und merkwürdig.
Zum Thema: Der beste Schutz ist halt Hardwarefirewall!
 
@Hauner: Da täuschst Du Dich aber gewaltig! Deine Version suggeriert, dass nur Zonealarm so unsicher sei. Da muss man doch schlussfolgern, ZA sei Schrott, man kaufe in Zukunft besser was anderes. Wenn man nun aber erfährt, dass ZA immer noch schwieriger auszutricksen war als die anderen (getesteten) Software-"Firewalls", dann spricht das doch immer noch für ZA.
 
@Hauner: Skippys Kommentar muss ich mich leider anschliessen. In deiner Meldung wird ausschliesslich auf ZoneAlarm eingegangen und kein Wort darüber erwähnt dass andere PFWs die selbe Schwäche haben. Wenn Anwender anderer Firewalls diese Meldung lesen wägen sie sich in falscher Sicherheit was in diesem Falle tatsächlich Irreführung ist. Eine neue, korrigierte Meldung oder ein Statement was diese Meldung informell ergänzen würde, wäre ein netter und angebrachter Zug in diesem Fall um die Seriorität zu bewahren.
 
Moin! Das Problem liegt vor allem darin begraben, dass eine "PFW" grundsätzlich nicht bzw. kaum das erfüllen kann, was der Anwender von ihr erwartet, sich aber dennoch einer (trügerischen!) Sicherheit hingibt, welche nicht existent ist. Dennoch empfehlen viele Internetseiten, Zeitschriften und vor allem natürlich die Mundpropaganda vor allem eines: "Du *brauchst* eine PFW!" - und das ist leider Unsinn.
Einzig verwunderlich ist, dass es bisher kaum Viren gibt, die eines der schwächsten Glieder der Windowsarchitektur, nämlich unter anderem den Windows-Verarbeitungsstack und die Kommunikation der Anwendungen untereinander, wirklich aktiv zur Verbreitung ausnutzen. Dies wird sich aber wohl spätestens dann ändern, wenn sich ein größerer Teil der Systeme nicht eh schon durch einfaches "dummes Herumgklicke" (fast) selbstständig infiziert. Zum anderen dürfte eine Rolle spielen, dass viele, viele Viren einfach nur als Produkt eines Baukastens entstehen - die Anzahl der Leute, die sich *wirklich* auskennen, ist eher gen Null tendierend.
 
@LostSoul: Für mich ist _nicht die Sicherheit Grund_, dass ich eine Firewall einsetze, sondern weil ich einfach dadurch die Möglichkeit hab, Programme nach draußen zu lassen oder nicht... Ohne Firewall hätt ich darüber keine Kontrolle. Z.B. soll der Apache nicht von außen sichtbar sein, während ICQ das erfordert.
Für meinen Zweck ist die Windowsfirewall das Beste! Am katastrophalsten sind die Produkte von Symantec (Gründe sind bekannt).
 
@faceitreal: welche gründe ? du verwechselst das vll. mit dem antivirus aber die firewall war schon immer eine der besten.
 
Tja, da s ieht man es ja wieder: Finger weg von Softwarefirewalls!
 
@TobWen: was soll man sagen, besser ne software-firewall als gar keine.[ironie on] und die meisten leute sind sich leider eh zu schade für die sicherheit extra geld auszugeben, weil sie ned wirklich kapieren wieso sie jetzt ne firewall brauchen. feuer hab ich ja im kamin genug, und jetzt auch noch ne wand??? *hae* [/ironie off]
 
Hey, nicht unbedingt..ohne PF bietet man weniger Angriffsfläche, außerdem nützt sie nur als "Paket-Filter" bzw. Programmkontrolle.. MfG CYA iNsuRRecTiON
 
Ist nicht jede Firewall eine "Software-Firewall"? :)
 
@bloodygod: Nein, es gibt durchaus auch Hardwarefirewalls ( die wesentlich sicherer sind)
 
@bloodygod: aha und auf der "Hardware-Firewall" läuft keine Software? - überleg mal genau! Im Grunde ist eine "Hardwarefirewall" nichts anderes als eine Hardware auf der eine Software-Firewall läuft.
 
@bloodygod: Hey, also zuerst mal läuft das meistens in der Firmware (Flash-Chip) ab, dann kann man natürlich auch alte PCs dazu "missbrauchen".., aber es geht darum das die Firewall, in dem Fall also die sog. "Personal Firewall" nicht auf dem eigentlichen "Client"-PC läuft, an dem der Anwender arbeitet und surft, sondern halt an einem speziellen PC oder spezieller Hardware, auf der nix anderes läuft außer die Firewall und somit es sehr viel sicherer ist..! MfG CYA iNsuRRecTiON
 
Wie bitte: "ZoneLabs...will ihn schnellstmöglich beheben." Die meinen wohl kaschieren, besser verstecken und umschreiben...
 
Finde ich gut das Winfuture diese News zum Kommentieren frei gibt.Ich hoffe die Unterhaltung endet nicht wieder in sinnloses SW-pro-contra-gemetzel. Die Fakten dort oben sprechen allerdings für sich.
 
@einsteinchen: die fakten sprechen für einen fehler in einer software, der rest ist theater .
 
@voyager: Das ist falsch. Leider wurden diese Schwachstellen auch in anderen Firewalls entdeckt.
 
ZoneAlarm war so ziemlich die einzige FW, mit der ich Probleme beim Abmelden und beim Browser (ich habe Firefox) hatte. Zu dumm, dass Sygate dicht gemacht worden ist bzw. die freeware-FW nicht mehr zur Verfügung steht. Ansonsten beinhalten die meisten DSL-Modems auch schon Router mit einer Hardware-FW. Die Basismodelle von AVM (Fritz!Box) wenigstens. Und immer schön scannen bei den Downloads!:-)
 
@felix48: Wichtig ist lediglich, dass man nicht benötigte Dienste abschaltet. Ausser mein Router, habe ich keine Firewall installiert. Und siehe da, ich lebe noch. :-)
 
@einsteinchen: wenn du dann später mal programme installieren willst die zur funktionalität auf verschiedene windows dienste zurückgreifen kuckst du in den ofen und jammerst dann rum das die gerade installierte programmsoftware dreck ist und nicht geht. .
 
@voyager: Dienste ein- und ausschalten kann man sogar ohne Registrykenntnisse. Und nun hör auf mit deiner Verblödungstaktik. Wir wissen jetzt alle das du immer noch mit Norton rumkräpelst. Also sei glücklich.
 
neidisch? :D
 
@voyager. Ja. Auf Norton, die mit dir so viel Geld verdienen. Mehr sag ich dazu nicht, du willst sowieso nur provvozieren und die News ins niveaulose Nirvana posten. Viel Spass dabei.
 
@felix48:
AVM Router und Firewall??? Ich habe so ein Ding. Im Grunde ist es gar keine Firewall, sondern eher ein Nebeneffekt des NAT Routing Systems. Ums auf den Punkt zu bringen: Ohne Protforwarding weiss der Router ja garnicht, wohin mit den ankommenden Datenpackets. Somit kommt auch nichts durch. Das gleich als Firewall zu verkaufen, find ich schon etwas dreist.
 
Bin mit meiner Sygate Platinium 5.5 voll zufrieden.
Aber nachdem ja Norton alles an sich reist frage ich mich wie lang kann ich sie noch benutzen wenn der Support von Sygate eingestellt wird?
 
Gluecklicherweisse benutze ich sowas nicht, Hardware-Firewalls schlagen diese Dinger eh um Laengen, und jeder vernuenftige Router hat eine schon onboard....
 
Ich finde, die News und die Diskussion hier lassen eines ausser acht: Die Anwendung, die ZA austrickst, muss erstmal auf den Wirtsrechner kommen. Dazu muss sie erstmal von AUSSEN an ZA (oder anderer SW-"Firewall") vorbei. Und das ist dann vielleicht doch nicht ganz so einfach - wenn der User nicht durch Dummheit oder Nachlässigkeit nachhilft.
 
@Aspartam: Zum Beispiel durch angucken einer "bösen" Seite, die ein manipuliertes WMF-File enthält...? Und das muss noch nichteinmal per Browser geschehen, gerüchteweise klappt das auch ganz hervorragend mittels HTML-Mail und Outlook. Und die Frage ist letztlich nicht, ob ein paar User sich davor schützen (können), sondern was mit der Masse der Leute ist, die sich "immerhin" eine PFW installiert haben, weil man damit ja vermeindlich "ach so sicher wäre".
 
@Aspartam: für etwas gibt es die automatischen updates die jeder leichfüssige user besser eingeschaltet haben sollte.
 
@Eagle: Wahrscheinlich geht der Kommentar an Lost Soul, oder?
@Lost Soul: Und wie viele Leute sind schon über eine manipulierte WMF-Datei gestolpert? Der Fehler ist doch nicht mal durch Mißbrauch, sondern durch nennen wir es "Forschung" herausgekommen.
 
@Aspartam: wo du recht hast, Lost Soul war der empfänger des letzten comments :P
 
Euch ist schon die zeitliche Differenz zwischen Veröffentlichung(!) der Lücke und dem Patch aufgefallen, ja? Darüber hinaus: Natürlich kann man es immer von der Seite betrachten, dass ja "kaum jemand" betroffen ist. I.d.R. betreffen fast alle Würmer/Viren/... immer nur einen Teil der Nutzer - nur summiert sich das halt leider, weswegen es nunmal ein paar Millionen infizierte PCs weltweit gibt.
 
nur wegen ein fehler in einem produkt wird gleich wieder die ganze software-rubrik durch den kakao gezogen und WF macht da kräftig mit.
 
@voyager: der Fehler ist prinzipbedingt - somit ist die ganze Softwarekategorie "Personal Firewall" dafür anfällig. Bei Heise liest sich zusätzlich noch, dass der Autor des Tools dieses schon erfolgreich bei diversen anderen PFWs eingesetzt hat, sich nur für ZA einen anderen Weg suchen musste.
 
@voyager: das wird wohl daran liegen das Software-Firewalls einfach in den Kakao gehören. Da sie selbst auf dem zu schützenden System laufen können sie dies niemals zuverlässig schützen. Ein Türsteher steht ja auch nicht innerhalb des Gebäudes vor dem Hintereingang.
 
Für Ihre Sicherheit und den Schutz Ihrer Daten verfügt ein Router über eine echte Firewall mit SPI und NAT. Ihre Wireless-Verbindungen können mit WEP (Wired Equivalent Privacy) oder WPA-PSK (Wi-Fi Protected Access, Pre-Shared Key) gegen unautorisierten Zugriff geschützt werden.

PS: keine Werbung :)
 
@RCyberRM:
Was soll die Werbung hier?! Überlege mal bevor du postest!
 
@RCyberRM: das braucht hier wirklich keiner, lösch dein thread wieder!
 
dass personal firewalls kinderleicht umgangen werden können ist imho keine neuigkeit. die frage ist ob sie überhaupt dafür da sind gewieften schadcode-programme zu stoppen. imho nicht. mir reichts wenn ich dumme programme blocken kann. (iTunes sendet z.b. ohne zu fragen benutzerdaten ins netz).
 
@krusty: Richtig, iTunes sendet nach hause. Aber man kann diese Funktion auch ausschalten. Dennoch war mein Vertrauen in Apple erschüttert.
 
sage ich doch auch und deswegen SPI und NAT (Router) !!

die wesentlich sicherer sind !!
 
wiso
Werbung ?? war doch nur so Eine Meinung
 
@RCyberRM: Das war Werbung und damit ein Verstoß gegen die Regeln! Übrigens, ein wenig deutsch wäre auch nicht schlecht :-) Und zur Antwort auf einen Beitrag bitte den blauen Pfeil benutzen.
 
@RCyberRM: wenn das mal kein nachschlag provoziert :-) ...oder reden wir hier von vorschlägen. egal, reichtschreibung is ja nicht so wichtig. aber gewisse dinge provozieren einfach augenkrebs :P
 
also von zone alarm halte ich sowieso nix, Als ich das einmal deinstall. habe muss ich formatieren weil garnix mehr ging. Ich kahm nicht mehr ins inet weil irgentwelche reste aus C: geblieben sind die das noch verhindert haben... und lahm is das prog. auch noch..
 
Erstaunlich - wieder mal ein Anti-Personal-Firewall-Artikel. Dass aber solche Schwachstellen wie oben geschildert durch externe Firewalls, etwa in Routern, ebenfalls nicht kontrolliert werden können (eher noch weniger - weil ohne Personal Firewall nicht mal applikationsabhängige Entscheidungen möglich sind, sondern ein Port - der von verschiedenen Programmen genutzt werden kann - entweder gesperrt oder nicht gesperrt sein kann), wird natürlich nicht erwähnt... Manchmal habe ich den Eindruck, die Hardware-Firewall-Lobby ist auch auf dem Gebiet der Gehirnwäsche tätig...
 
@BartS: eben, es gibt genug würmer die ihre runden über standardports drehen , mich würde bestimmt schon interessieren wieviele router und kastrierte dienste user reine zombies im netz sind.
 
@BartS: Nur was bringt es dir, wenn die Firewall selbst eine Gefahr ist? Garnichts, ganz im Gegenteil du bietest nur noch mehr Angriffsfläche. Man sollte sich im übrigen Programme von seriösen Herstellern runterladen und nicht jede *.exe ausführen. Ich empfehle diese Seite: http://www.ntsvcfg.de/ ... Sehr gut dokumentiert und nachvollziehbar.Interessant auch am ende der Dokumentation der Artikel über Personalfirewalls.
 
@einsteinchen:
Eine gute Personal Firewall stellt aber nun mal keine zusätzliche Gefahr dar. Mag sein, dass das bei Zone Alarm, welches ohnehin nicht den besten Ruf hat, anders ist. Aber generell stimmt das einfach nicht. Über die Schutzwirkung kann man dagegen streiten - das kann man aufgrund der Inflexibilität einer reinen Hardwarelösung ohne Personal Firewall aber auch, denn es gibt nun mal i.d.R. mehrere Programme, die ein- und denselben Port verwenden, und wie in der Meldung geschildert, können auch Sicherheitslücken in einer Applikation denselben Port nutzen.
 
@BartS: Wenn eine Firewall zum Wirt wird, ist das sehr wohl eine Gefahr. Darüber muss man sich nicht streiten.
 
ich sag nur "monowall"
 
Wer installiert sich so etwas eigentlich noch??? Habe mit meiner Kerio Firewall keinerlei Probleme :-))
 
@alle: ich gebs gleich zu, ich verwende zonealarm. dieses nicht nur weil ich finde, dass eine firewall/paketfilter auf applikationsebene wichtig ist, sondern auch, weil man durch eine software-firewall zumindest nicht sehr ausgefuchste würmer aufspüren kann, soferne man sie bereits auf seinem rechner hat. zu dem ist zonealarm die einzige softwarefirewall die sich selbst schützt. das habe ich selbst anhand eines vnc-servers mit anderen und mit zonealarm getestet. verbindet man sich zum rechner auf dem der vnc läuft, ist es bei nicht-zonealarm-firewalls ohne probleme möglich, parameter der firewall zu verändern, wogegen man bei zonealarm nicht einmal einen zulassen/verweigern dialog bestätigen kann. von der windows-firewall brauch ich gar nicht erst anfangen, denn bei jener ist es sogar möglich einen eintrag in die ausnahmeliste mit einfachsten mitteln zu tätigen. wer immer noch ohne pf irgendwo in einem netzwerk rumhantiert lebt auf heißen kohlen. am besten man zieht sich das kondom gleich ganz über: über router/nat mit spi ins internet und dann auf seinem os noch ne applikations-ebene-firewall drauf (vielleicht noch einen antiviren-shield dazu), dann kannst du dich als safer-surfer bezeichnen! schöne grüße aus der security-schmiede österreichs
 
Immer diese Klugscheißer "Softwarefirewalls sind sinnlos" - LOL. Welches Programm sonst, wenn nicht eine Firewall meldet Progs/Dienste/Prozesse, die aufs Netz zugreifen, ohne zu fragen? Und dass eine Sicherheitslücke entdeckt wird, wird es immer geben. Das stellt aber nicht den Sinn in Frage sondern fördert die sicherheitstechniche Weiterentwicklung des Produkts. Die Veröffentlichung dieser Sache wird den Machern von ZA schon Beine machen, oder? Ich nutze übrigens Kerio und bin zufrieden. Auch kerio wird irgendwo eine Lücke haben und irgendwann wird einer diese finden und dann wird diese gestopft werden, und wenn nicht, gibts andere Produkte. Dann ist ZA vielleicht sicherer und bietet eine Alternative:-)
 
@mcbit: Warum setzt Du überhaupt Software ein der Du nicht vertraust?
 
@Alirion: Verstehe ich nicht. WAs hat das mit "nicht vertrauen" zu tun, wenn ich bestimmen will, wann eine Software Updates macht oder in irgendeiner anderen From mit seinem Hersteller Verbindung aufnimmt? Mich kotzte es eben an, dass man die Verbindung ins Netz macht und schon stehen 5,6,7.... Programme bei Fuß und wollen nach hause telefonieren.
 
"Als Softwarefehler deklariert." Ist eine moderne Art zu antworten. Da die Windowsnutzer sowieso schon Fehler-verwöhnt sind, macht sich die Ausrede ausgezeichnet und fällt überhaupt nicht auf. // Die Softwarehersteller möchten bestimmt dringend wissen, wie stark der Verbreitungsgrad ihrer Software wirklich ist. Deshalb baut fast jeder Hersteller eine Nach-Hause-Funktion ein - meist gekoppelt mit einem automatischen Update.
 
Eine Firewall kann man von innen nach aussen durchtunneln. Wow, das ist mal was neues...
 
Ich bin eigentlich kein PFW Fan. Ich gehe über einen Router mit
Paket Firewall + NAT ins Internet. Aber ich habe trotzdem die Kerio PFW installiert. Für mich ist Kerio eigentlich kein Bestandteil meines Firewall
Konzepts. Für mich erfüllt sie nur den Zweck, dass sie meldet, welches Programm, welches starten will und welches Zugang ins Internet wünscht. Dadurch habe ich festgestellt, dass gewisse Programme, die ich deinstalliert habe, totzdem Zugang ins Internet wünschen. Da ich diese Programme eh nie brauche, habe ich diese vom System deinstall-iert. Ich gehe zudem einfach von der Annahme aus, dass sich auf meinem System keine Malware befindet, die sich an der Firewall vorbei ins Internet schleicht. Wenn das so wäre, dann hat mein Firewallkonzept
eh versagt.
 
Also zum leidigen Dauterthema SW Firewalls möchte ich auch mal meinen Senf dazugeben. Die ewigen HW Firewalls-Hymnen sind echt schon lächerlich. Als ob die Software darin von ner guten Fee programmiert worden wäre :) Ihr werdet wahrscheinlich lächeln wenn ich verrate wie meine Firewall aussieht: 1. Verteidigungslinie: ausgiebig und kenntnisreich konfigurierte Kerio. 2. Linie Windows Firewall über Gruppenrichtlichtlinie für alle Verbindungen aktiv, Ausnahmen Kerio (sonst bekriegen sich die SW Firewalls) und Skype, sonst bisher nix. 3. Linie: IPSec ausgiebig, z.b. DCOM, CIS, bestimmte Protokolle, z.B. IGMP, in/out TCP auf bestimmte Ports. Dann habe ich natürlich diiverse Dienste deaktiviert, Telnet, Remotedesktop gelöscht/deregistriert. Viele Änderungen in der Registry vorgenommen (keinen einzigen 'performance-tip" übrigens. Und ich muss sagen, soweit so gut!
WildTbag :)

ps. der ActiveDesktop durfte über meine Gruppenrichtlinien noch nie Inhalte installieren, die einzige Funktion die der noch hat ist jpg oder bmp-hintergrundbild... die Gruppenrichtlichtlinen durchzugehen lohnt sich halt.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Forum