Ste ob nakupu osebnega računalnika prodajalca že kdaj vprašali, kako je računalnik varovan in kako boste s takšnim računalnikom lahko varno komunicirali prek interneta? No, če ste na kaj podobnega že pomislili, potem vam je test osebnih požarnih zidov pisan na kožo. V nadaljevanju vam bom namreč opisal, kako kakovostna varnostna orodja vam posamezni prodajalci ponujajo in ali so res tako vsemogočna, kot trdijo.

KAJ JE »LEAK TEST« OSEBNEGA POŽARNEGA ZIDU?

Tovrstni testi so programi, ki so jih napisali strokovnjaki za informacijsko varnost in so namenjeni preizkušanju kakovosti osebnih požarnih zidov. Programi, ki vam jih bom predstavil, preverjajo učinkovitost osebnih požarnih zidov pri upravljanju odhodnih povezav iz računalnika. Logika je precej preprosta in temelji na predpostavki, da če je testni program sposoben komunicirati skozi osebni požarni zid, potem so česa takega sposobni tudi zlonamerni programi in napadalci. Vabim vas, da v nadaljevanju opisane programe, namenjene testiranju osebnih požarnih zidov, uporabite v svojih domačih računalnikih in presenečeni boste, kaj vse boste odkrili. Nato pokličite proizvajalca svojega osebnega požarnega zidu in mu povejte, da izdelek ne opravlja funkcij, ki so oglaševane. Bodite zahtevni, saj gre ne nazadnje za vašo varnost!

Testi, ki so opisani v nadaljevanju, ne pomenijo nobene nevarnosti za vaš računalnik, saj so le simulacije tehnik, ki jih uporabljajo trojanci in vohunski programi.

TEHNIKE TESTIRANJA OSEBNIH POŽARNIH ZIDOV

Ker se vsakodnevno srečujem z varnostnimi testi računalniških omrežij in spletnih aplikacij, moram seveda poznati tudi metode za »nevidnost« pred izdelki, kot so osebni požarni zidovi in sistemi za zaznavanje vdorov. Seznam vseh v nadaljevanju opisanih orodij in pripadajoče spletne povezave najdete na varnostnem portalu www.varnostne-novice.com v rubriki Orodja.

Zamenjava
Je ena najbanalnejših tehnik, ki pa je včasih presenetljivo uspešna. Napadalec v tem primeru svojega trojanca preimenuje v npr. iexplore.exe, ki je nenevarna sistemska datoteka. Osebni požarni zid, ki ne preverja podpisov ali pa podpise preverja prepozno, pogosto dovoli dostop do interneta napačni aplikaciji. Trojanca, ki uporabljata tovrstno tehniko, sta W32.Welchia.worm in The beast.

Zagon programa, ki mu osebni požarni zid zaupa
Je način, pri katerem zlonamerni program ali napadalec zažene aplikacijo, ki ji osebni požarni zid zaupa in ji dovoljuje dostop do interneta (brskalnik, odjemalec elektronske pošte ...). Tovrsten prijem prelisiči osebne požarne zidove, ki ne preverjajo starševskih procesov, preden določeni aplikaciji dovolijo dostop do interneta. Starševski proces aktivira program, ki mu osebni požarni zid zaupa. Praktičen primer bi bil npr. odjemalec elektronske pošte, ki nenadoma zahteva zagon brskalnika in dostop do nekega strežnika. Dober osebni požarni zid vas bo ob kliku na povezavo znotraj elektronskega sporočila opozoril, da poskuša odjemalec elektronske pošte na nenavaden način uporabiti brskalnik in se tako povezati v internet. Trojanec, ki tovrsten uporablja prijem, je W32.Vivael$aMM.

DLL injection
Gre za eno najbolj razširjenih tehnik, ki je med pisci trojancev izredno priljubljena. DLL injection poskuša naložiti datoteko DLL v procesni prostor aplikacije, ki ji osebni požarni zid zaupa. Ko je datoteka DLL naložena v zaupanja vreden proces, pridobi enake pravice dostopa kot npr. brskalnik ali odjemalec elektronske pošte. Osebni požarni zidovi, ki nimajo funkcije nadzora aplikacijskih komponent (application component monitoring), so pri tovrstnih napadih praktično nemočni. Trojanci, ki uporabljajo DLL injection, so: The Beast, Proxy-Thunker, W32/Bobax.worm.a. in drugi.

Proces injection
Gre za najnaprednejšo tehniko, pred katero večina današnjih osebnih požarnih zidov poklekne, pa čeprav jo uporablja kar nekaj trojancev. V tem primeru zlonamerni program svojo kodo vbrizga v procesni prostor programa, vrednega zaupanja, in tako postane sestavni del programa. V tem primeru ni potrebe po nalaganju datoteke DLL ali podobne komponente. Trojanec, ki tovrsten prijem uporablja, je npr. Flux.

Privzeta pravila
Nekateri osebni požarni zidovi privzeto dovoljujejo popoln dostop do interneta storitvam, kot so: DHCP, DNS in NetBIOS. Ker dostop omogočajo brez ustreznega preverjanja, lahko zlonamerni programi in napadalci brez velikih težav vzpostavijo komunikacijo. Trojanca, ki bi izkoriščal tovrstne pomanjkljivosti, ne poznam.

Lasten omrežni gonilnik
V sistemih Windows operacijskih se celoten omrežni promet odvija prek omrežnega gonilnika TCP/IP in njegovih storitev. Nekateri pisci trojancev so se domislili načina, kako se lahko filtriranju osebnega požarnega zidu v celoti izognejo. Za ta namen uporabijo gonilnik za kak drug protokol, ki ga osebni požarni zidovi ne razumejo preveč dobro.
Poleg opisanih tehnik jih seveda obstaja še cela vrsta, vendar bi s tem prešel okvire tokratnega članka, katerega namen je splošen pregled varnosti, ki nam jo dajejo osebni požarni zidovi. Poglejmo si raje, kako sem samo testiranje izvedel.

KAKO SMO TESTIRANJE IZVAJALI?

Vsak osebni požarni zid je bil preizkušen s privzetimi vrednostmi, saj te uporablja največ domačih uporabnikov. Vsakemu osebnemu požarnemu zidu sem nato dodelil točke glede na uspešno prestane teste. Višji kot je rezultat, bolje se je določen osebni požarni zid odrezal na posameznih testih. Za vsak uspešno opravljen test je osebni požarni zid dobil 1 točko, pri čemer je bilo največje mogoče število točk 76.
Zmagovalci našega primerjalnega testa so torej: Jetico Personal Firewall, ZoneAlarm Pro in Comodo Firewall Pro, ki je edini med zmagovalci na voljo brezplačno. Pri izvedbi testov smo vključili tudi orodje FPR (Fake Protection Revealer), ki omogoča zaznavanje osebnih požarnih zidov, ki so nagnjeni k goljufanju testov. Nekateri proizvajalci namreč v svoje izdelke vključujejo kodo, ki jim omogoča goljufanje testov, čeprav v resnici ne ponujajo zaščite pred določenimi vrstami napadov. Izdelek, ki je bil na našem testu sprva obtožen goljufanja, je Outpost Firewall PRO 4.0 (1007.591.145), saj je prestal vse teste, razen FPR-ja. Outpost si je pri tem pomagal s tehniko, imenovano ring3 hook, ki jo poleg FPR-ja brez težav zaobide tudi večina predstavnikov zlonamerne kode. Ko smo test ponovili na najnovejši različici Outpost Firewall PRO 4.0 (1007.7323.591), se je izkazalo, da je proizvajalec taktiko spremenil in prenehal potvarjati rezultate, zaradi česar se je tudi na lestvici pomaknil dve mesti navzdol. To pomeni, da je bila prejšnja različica Outpost Firewall PRO zelo odporna pri »leak testih«, medtem ko je bila pri zaustavljanju resnične zlonamerne kode zelo šibka.

Vsi testirani izdelki so bili nameščeni na operacijski sistem Windows XP Pro, saj lahko izdelke, ki delujejo na Windows Visti, v tem trenutku preštejemo na prste ene roke. Kljub temu pa se nismo mogli zadržati, da na Windows Visto ne bi namestili izdelkov Norton 360 (Symantec) in Internet Security 10 (Bitdefender). Rezultati »leak testov« so bili pri Nortonu 360 podobni kot pri testiranem izdelku Norton Personall Firewall medtem ko se je Bitdefender odrezal precej slabše, saj sploh ni bil sposoben aktivirati osebnega požarnega zidu, hkrati pa je ob namestitvi samodejno izklopil v Visto vdelano protivohunsko aplikacijo, Windows Defender. Osebni požarni zid, ki je vdelan v Windows Visto, je v bistvu enak kot tisti v Windows XP, saj privzeto ne omogoča nadziranja internetnih povezav navzven, zato se je na testih odrezal podobno kot Windows XP. V katerem izmed naslednjih člankov bomo pod drobnogled vzeli varnostno področje Windows Viste.