Сегодня мы проведем очередной поединок между
троянами-шпионами и файерволами. Это будет более серьезный тест на пробиваемость
изнутри файерволов. Более серьезный, чем несколько примитивных тестов проводимых
нами ранее. И сейчас вы в этом убедитесь... От имени шпионов-троянов будет
выступать
утилита AWFT 3.1.
Не волнуйтесь, это не троян и не шпион, это
демонстрационный образец, использующий технологии троянов. А как иначе проверить
файерволл? Только в условиях приближенных к реальным. Если у вас на компьютере
постоянно работает включенный антивирусный монитор, то для чистоты эксперимента
проведите соревнования несколько раз: первый раз с отключенным антивирусным
монитором, а второй раз с включенным (авось монитор-антивирусник где-то и
подстрахует ваш файервол).
Итак, как мы уже говорили, со стороны
троянов-шпионов выступает утилита
утилита AWFT 3.1. Со стороны файерволов в вашем случае будет
выступать ваш файервол, установленный на вашей машине (вот его и тестируйте).
Автор этой статьи использовал для тестирования наиболее популярный на
сегодняшний день в Рунете файервол Outpost Firewall Pro ver. 2.5.370.4626 (370).
На сегодняшний день в борьбе за лидерство, Outpost Firewall Pro пожалуй
чуть-чуть обходит предыдущего лидера ZoneAlarm Pro.
Итак, трояны против файервола-лидера,
использующего сегодня все передовые технологии защиты. Сразу оговорюсь, что
используется файервол "правильный, лицензионный, скачанный с сайта
производителя. Настройки оставлены по умолчанию (политика безопасности файервола:
в режиме обучения).
Итак,
утилита AWFT ... Расшифровывается, как Atelier Web Firewall Tester.
Имеет триальную лицензию (работы утилиты ограничена 10 запусками - вам для
тестирования хватит этого с головой!). Кстати, мой антивирус в скаченном файле
ничего не нашел подозрительного, не заподозрил внутри файлика никаких троянских
технологий. Что и говорить, внутренности сего псевдотроянского механизм сделаны
весьма добротно. :)
Технические требования для запуска Atelier Web
Firewall Tester.
- PC compatible with Pentium 250 or higher, 32 or more
megabytes of RAM.
- Windows NT (SP4 or later), Windows 2000, Windows XP or
Windows Server 2003.
- An active connection to the Internet.
Обратите внимание, на устаревшей Windows 98 не
запустится. И во время тестирования нужно будет соединение с интернетом.
AWFT
предлагает 6 тестов для проверки вашего фаервола на пробиваемость изнутри.
Technique 1 Attempts
to load a copy of the default browser and patch it in memory before it executes.
Defeats the weakest PFs.
Technique 2: Creates a thread on a loaded copy of the default browser.
Old trick, but most firewalls still fail.
Technique 3: Creates a thread on Windows Explorer. Another old trick, but
almost every firewall still fail.
Technique 4: Attempts to load a copy of the default browser from within
Windows Explorer and patch it in memory before execution. Defeats PFs which
require authorization for an application to load another one (succeeding on
Technique 1) - Windows Explorer is normally authorized. This test usually
succeeds, unless the default browser is blocked from accessing the Internet.
Technique 5: Performs an heuristic search for proxies and other software
authorized to access the Internet on port 80, loads a copy and patches it in
memory before execution from within a thread on Windows Explorer. Very difficult
test for PFWs!
Technique 6: Performs an heuristic search for proxies and other software
authorized to access the Internet on port 80, requests the user to select one of
them, then creates a thread on the select process. Another difficult nut to
crack for PFWs!
Обратите внимание на комментарии к тестам: второй
и третий тесты - старые трюки, пятый тест назван весьма сложным для файервола
Итак,
скачиваем утилиту AWFT 3.1. На всякий случай, если будут проблемы со
скачиванием или захотите подробнее почитать об этой программе, то вот
производитель:
http://www.atelierweb.com/awft/
Итак, инсталлируем и запускаем AWFT
3.1 (разумеется ваш фаерволл и соединение с интернетом также должны уже быть
запущены). После запуска AWFT видим такое окно:
Все просто: вверху кнопки тестов (будете их
нажимать и проходить их по очереди), внизу в черном узком поле вы можете ввести
свою интернет страницу или сайт (или оставить то что есть по умолчанию). Суть
тестов такова: утилита пытается обмануть файерволл и послать запрос в интернет и
загрузить к вам на компьютер информацию, в данном случае тестовую веб-страницу.
Пытаться обманывать файерволл, утилита будет шестью разными способами. Здесь
будут как старые трюки, так и более современные методики обхода фаерволов.
И в самом низу вы сможете наблюдать результаты
дуэли между файерволом и утилитой AWFT , т.е. набранные очки. Кнопка Reset
Points позволяет сбросить набранные очки и повторить тест заново (например,
можно изменить настройки файервола или усилить его запущенным антивирусным
монитором и стартовать снова тестирование).
Итак, начинаем... Вроде все готово: файервол
запущен и работает в реальном режиме, интернет подключен, утилита AWFT также
запущена. На всякий случай, для чистоты эксперимента, в утилите AWFT изменяем
адрес загружаемой страницы на http://www.izcity.com
Тест 1
Страница с
http://www.izcity.com/ успешно загрузилась в окно программы AWFT, а
файерволл Outpost Firewall Pro ver. 2.5.370.4626 даже не шелохнулся :)
Использован прием с загрузкой скрытой копии браузера и перед запуском браузера
патчится-изменяется память.
Как видите, на счет AWFT начислено 1 очко.
Тест 2
Как предупреждают авторы утилиты - это старый и
давно известный трюк. Outpost Firewall Pro ver. 2.5.370.4626 немедленно
реагирует. Первым вылетает грозное сообщение:
Блокируется доступ к сети для браузера, а затем
появляется еще одно окно, предлагающее пользователю принять дальнейшее решение.
Выбираем блокирование... И закрываем окно
браузера. Для продолжения тестов нам понадобится новое свежее окно.
Тест 3
Фаервол не выдает никаких предостережений, а
просто молча блокирует. В окне утилиты AWFT, на счету файервола появляется уже 2
очка.
2 : 1 в пользу фаервола... Правда обольщаться не стоит, третий тест - это тоже
старый известный трюк.
Тест 4
Аналогичен первому тесту с запуском скрытой копии
браузера и пропатчиванием памяти перед его запуском. На этот раз браузер
запускается через Windows Explorer. Outpost Firewall Pro ver. 2.5.370.4626
опять прохлопал ушами и пропустил информацию с компьютера наружу.
Счет становится 2 : 2
Тест 5
Тут есть особенность. Сейчас утилита AWFT будет
пытаться дурить нас на ходу, во время серфинга. Нужно запустить браузер,
загрузить в него какой-то (любой сайт) и немного подвигать мышью. Затем нажимаем
в окне AWFT кнопку пятого теста. И что?
С нашего компьютера и без нашего ведома
отправляется наружу запрос и в качестве доказательства несостоятельности нашего
файервола, в окно утилиты AWFT нагло загрузилась тестовая страница... В данном
тесте AWFT выполняет эвристический поиск установленного у вас на компьютере (или
в сети) разрешенного программного обеспечения, имеющего доступ к Internet через
порт 80, затем запускает копию разрешенной программы и перед самым запуском
патчит память занимаемую этой программой (т.е. AWFT запускает и саму себя в
памяти разрешенной программы). Весьма сложный тест для файерволла. Outpost
Firewall Pro ver. 2.5.370.4626 проваливается на этом тесте.
За этот тест AWFT начислила себе сразу 3 очка. Итак, трояны лидируют со счетом 5
: 2
Тест 6
Последний тест AWFT. Аналогичен предыдущему
пятому тесту. Используется тот же прием с эвристическим поиском установленного
софта, имеющего право выходить наружу через порт 80. Только способ взлома сейчас
изменен - используется пользовательский запрос. Попутно с этим AWFT пытается
прилепить к браузеру хиджек, т.е. левый скрытный тулбар.
Для правильного прохождения теста нужно запустить браузер, загрузить в него
какой-то (любой сайт) и немного подвигать мышью. Затем нажимаем в окне AWFT
кнопку шестого теста. Что на этот раз?
На этот раз Outpost Firewall Pro ver.
2.5.370.4626 среагировал четко: действия утилиты AWFT были немедленно
заблокированы. Поскольку тест считается сложным, то файерволл также получил 3
балла за этот тест.
Итоги:
5 : 5. Веселого мало... Разработчики теста AWFT
советуют для начала пройти все тесты с теми настройками файервола, которые
используются на вашей машине. Затем, в случае неудач, измените настройки
файервола на самые жесткие - и снова пройдите все тесты. В крайнем случае, если
проблемы с безопасностью остаются, то подумайте о смене файервола на другой.
Дополнительно также можете провести тестирование и с включенным антивирусным
монитором вашего антивируса.
Удачи!