Hallo,

eben im Newsticker eingetrudelt:

http://www.pcwelt.de/news/sicherheit...tter&id=115556

Goodies:

- Automatische Konfiguration
- Antispyware-Programm
- Antispam-Modul
- Programmüberwachung
- Sicherheitsleistung

*yeah*
Wer heute noch nicht geschmunzelt hat, darf es jetzt nachholen.


Grüße, Torsten.

xPost2 d.c.s.m & d.c.s.f / f'up2 d.c.s.f

In de.comp.security.firewall Torsten Mann <nospam-dfn> wrote:
> [..]

Daraus:

------------------------------- schnipp ------------------------------------
Startet ein Anwender erstmals etwa einen Download-Manager, so fragt die
Firewall über eine bestehende Verbindung zum Internet bei Zonelabs nach, ob
es sich bei dem Programm um ein ungefährliches Tool handelt. Ist die Antwort
positiv, wird für den Downloader automatisch eine Regel erstellt und er darf
online gehen. Der Anwender muss selber keine Entscheidung treffen.
------------------------------- schnapp ------------------------------------

Das wird lustig, nochmal "Personal Firewalls" verarschen. Hoffentlich
verwenden sie DNS!!!1!111einself

------------------------------- schnipp ------------------------------------
Die Online-Datenbank mit erlaubten und verbotenen Anwendungen wird unter
anderem von den Anwendern selbst gespeist. Sie erlauben dem
Sicherheitspaket, ihre persönlichen Firewall-Regeln an den Hersteller zu
senden. Nach Aussage von Zonelabs werden diese Regeln aber nochmal
überprüft, bevor sie für andere Anwender abrufbar sind. Alle Online-Abrufe
und Reports lassen sich auch abstellen.
------------------------------- schnapp ------------------------------------

Das wird noch lustiger - bestimmt kann man da per Script Zonelabs
_umfassend_ informieren.

------------------------------- schnipp ------------------------------------
Das Antispam-Modul des Sicherheitspakets arbeitet mit Outlook und Outlook
Express zusammen.
------------------------------- schnapp ------------------------------------

Na, dann wird alles gut!

------------------------------- schnipp ------------------------------------
Die Security Suite ist bisher schon mit vielen Funktionen ausgestattet. Dazu
zählen natürlich ein Antiviren-Programm, aber auch ein Werbeblocker und
Schutz von sensiblen Daten wie Kreditkartennummer sind in der aktuellen
Version schon dabei.
------------------------------- schnapp ------------------------------------

"Schutz von sensiblen Daten wie Kreditkartennummer" - da wird's doch nicht
auch so eine tolle Geheime-Daten-Veröffentlichungsfunktion geben wie bei
Symantec?

------------------------------- schnipp ------------------------------------
Vor allem der Selbstschutz des Tools ist seit Jahren vorbildlich.
------------------------------- schnapp ------------------------------------

Ja. Bei unserem Test liess sich ZoneAlarm problemlos als normaler Benutzer
konfigurieren, und somit zwar nicht abschalten, aber beliebig weit öffnen.

Viele Grüße,
VB.

Volker Birk schrieb:

> In de.comp.security.firewall Torsten Mann <nospam-dfn> wrote:
>>
> Daraus:
>
> ------------------------------- schnipp ------------------------------------
> Startet ein Anwender erstmals etwa einen Download-Manager, so fragt die
> Firewall über eine bestehende Verbindung zum Internet bei Zonelabs nach, ob
> es sich bei dem Programm um ein ungefährliches Tool handelt. Ist die Antwort
> positiv, wird für den Downloader automatisch eine Regel erstellt und er darf
> online gehen. Der Anwender muss selber keine Entscheidung treffen.
> ------------------------------- schnapp ------------------------------------
>
> Das wird lustig, nochmal "Personal Firewalls" verarschen. Hoffentlich
> verwenden sie DNS!!!1!111einself

Interessant wäre, anhand was ZA ein Programm indentifiziert.
Prozessname? Wenn man entsprechenden String von $mean_program dem von
einem $trusted_program zuweist,... lustig;-)


> ------------------------------- schnipp ------------------------------------
> Die Online-Datenbank mit erlaubten und verbotenen Anwendungen wird unter
> anderem von den Anwendern selbst gespeist. Sie erlauben dem
> Sicherheitspaket, ihre persönlichen Firewall-Regeln an den Hersteller zu
> senden. Nach Aussage von Zonelabs werden diese Regeln aber nochmal
> überprüft, bevor sie für andere Anwender abrufbar sind. Alle Online-Abrufe
> und Reports lassen sich auch abstellen.
> ------------------------------- schnapp ------------------------------------
>
> Das wird noch lustiger - bestimmt kann man da per Script Zonelabs
> _umfassend_ informieren.

schon die Worte "persönliche", "Drittanbieter" in Verbindung mit dem
Wörtchen "Sicherheit" sorgen für Bauchschmerzen.

[...]
> ------------------------------- schnipp ------------------------------------
> Vor allem der Selbstschutz des Tools ist seit Jahren vorbildlich.
> ------------------------------- schnapp ------------------------------------
>
> Ja. Bei unserem Test liess sich ZoneAlarm problemlos als normaler Benutzer
> konfigurieren, und somit zwar nicht abschalten, aber beliebig weit öffnen.

Eben: broken_by_design.

Grüße, Torsten.

Torsten Mann <nospam-dfn>:
> Volker Birk schrieb:
>
> Interessant wäre, anhand was ZA ein Programm indentifiziert.
> Prozessname? Wenn man entsprechenden String von $mean_program dem von
> einem $trusted_program zuweist,... lustig;-)

URL-vergleich?

>> ------------------------------- schnipp ------------------------------------
>> Die Online-Datenbank mit erlaubten und verbotenen Anwendungen wird unter
>> anderem von den Anwendern selbst gespeist. Sie erlauben dem
>> Sicherheitspaket, ihre persönlichen Firewall-Regeln an den Hersteller zu
>> senden. Nach Aussage von Zonelabs werden diese Regeln aber nochmal
>> überprüft, bevor sie für andere Anwender abrufbar sind. Alle Online-Abrufe
>> und Reports lassen sich auch abstellen.
>> ------------------------------- schnapp ------------------------------------
>>
>> Das wird noch lustiger - bestimmt kann man da per Script Zonelabs
>> _umfassend_ informieren.
>
> schon die Worte "persönliche", "Drittanbieter" in Verbindung mit dem
> Wörtchen "Sicherheit" sorgen für Bauchschmerzen.

NAja, ICh sehe darin schon den aller ersten, offensichtlichen
Angriffspunkt: Man "submittet" Harmlose Software an Zonelabs, damit
diese die Download-URL als "sauber" in ihre DB aufnimmt. Danach
ersetzt man diese durch ein Schadprobgramm und hat Freie Bahn bei
allen Zonelabskunden.

Und falls sie Checksummen verwenden (MD5 hashes etc.), dann baut man
halt einen Trigger in das Programm, dass erst unter bestimmten
Bedingungen (halt nach Aufnahme als "sauber" in die Zonelabs-DB) seine
Schadfunktoinen ausfuehrt.

Das duerfte dann auch interessante Haftungsfragen aufwerfen ;-)

(Die Haftungsausschlussklauseln der EULA koennten eine Humoristische
Kurzgeschichte werden ;)

Juergen

Juergen P. Meier wrote:

> Und falls sie Checksummen verwenden (MD5 hashes etc.), dann baut man
> halt einen Trigger in das Programm, dass erst unter bestimmten
> Bedingungen (halt nach Aufnahme als "sauber" in die Zonelabs-DB) seine
> Schadfunktoinen ausfuehrt.

Wenn sie MD5 verwenden, dann kannst du auch zwei Programme mit der gleichen
Prüfsumme generieren, von denen eines gut und eines böse ist.

> (Die Haftungsausschlussklauseln der EULA koennten eine Humoristische
> Kurzgeschichte werden ;)

Nein. Es handelt sich um Software, dort existieren neben landespezifischen
Regelungen (in Deutschland: grobe Fahrlässigkeit) in der EU keine
Haftungsansprüche. In den USA sowieso nicht.

Sebastian Gottschalk <seppi>:
> Juergen P. Meier wrote:
>
>> Und falls sie Checksummen verwenden (MD5 hashes etc.), dann baut man
>> halt einen Trigger in das Programm, dass erst unter bestimmten
>> Bedingungen (halt nach Aufnahme als "sauber" in die Zonelabs-DB) seine
>> Schadfunktoinen ausfuehrt.
>
> Wenn sie MD5 verwenden, dann kannst du auch zwei Programme mit der gleichen
> Prüfsumme generieren, von denen eines gut und eines böse ist.

ACK.

>> (Die Haftungsausschlussklauseln der EULA koennten eine Humoristische
>> Kurzgeschichte werden ;)
>
> Nein. Es handelt sich um Software, dort existieren neben landespezifischen
> Regelungen (in Deutschland: grobe Fahrlässigkeit) in der EU keine
> Haftungsansprüche. In den USA sowieso nicht.

Falsch. Es ist eine Dienstleistung. Die Software (Zonealarm) ist hier
nur Mittel zur Erbringung dieser Dienstleistung.

Anderes Feld. aber IANAL.

Juergen

Hallo Torsten,

Am Tue, 12 Jul 2005 10:02:40 +0200 schrieb Torsten Mann:

> [..]
>
> Goodies:
>
> - Automatische Konfiguration
> - Antispyware-Programm
> - Antispam-Modul
> - Programmüberwachung
> - Sicherheitsleistung
>
> *yeah*
> Wer heute noch nicht geschmunzelt hat, darf es jetzt nachholen.

Ist es nicht schön, das es pcwelt.de gibt? Sicherheit ohne groß
nachzudenken. Dann kann ja bald ein WCC (Wild Click Contest) gestartet
werden. Wer innheralb einer festgelegten Zeit mit der Maus die meisten
und unterschiedlichsten Links angeklickt hat, gewinnt irgendwas
(angefangen bei Spyware und Trojanern).

Am Tue, 12 Jul 2005 11:34:04 +0200 schrieb Sebastian Gottschalk:

> Wenn sie MD5 verwenden, dann kannst du auch zwei Programme mit der gleichen
> Prüfsumme generieren, von denen eines gut und eines böse ist.

Mach vor.
Ein CLI-Programm was GOOD aus gibt und eines was BAD ausgibt und die die
gleiche MD5SUM haben.

Gruß Carsten

Sebastian Gottschalk wrote:
> Juergen P. Meier wrote:
> Wenn sie MD5 verwenden, dann kannst du auch zwei Programme mit der gleichen
> Prüfsumme generieren, von denen eines gut und eines böse ist.

Das dürfte imho nahezu unmöglich sein.

Carsten Krueger wrote:

>> Wenn sie MD5 verwenden, dann kannst du auch zwei Programme mit der gleichen
>> Prüfsumme generieren, von denen eines gut und eines böse ist.
>
> Mach vor.
> Ein CLI-Programm was GOOD aus gibt und eines was BAD ausgibt und die die
> gleiche MD5SUM haben.

#define X aaaaaaaaaaaaaaaa
__align(64) __pragma(code)
include <stdio>
int main(int a, char**b) {
puts((static1==static2)?"GOOD":"BAD");
return 0;
}
__align(64) __pragma(data)
char[128] static1="XXXXXXXX";
__align(64) __pragma(data)
__align(64) char[128] static2="XXXXXXXX";

gcc -a this.c this.out
strip this.out this
stripwire this this1 this2 -l ($size(this)-256) -m $2 $3
sed (this1,this2) -b "s/[a]{64}/$2"

Du mögest die bekannten Angriffe auf MD5 nochmal Reveue passieren lassen.
Du ersetzt einfach einen Datenblock von 128 Byte innerhalb des Programmes
durch zwei verschiedene Datenblöcke, die die gleiche MD5-Summe erzwingen.
Einen dieser Datenblöcke schreibst du dann in beide Ausgaben, was die
Prüfsumme der Daten vor diesem Datenblock nicht ändert und ab diesem
Datenblock auf den gleichen Wert ändert (MD5(a)=MD5(b) ->
MD5(a.append(x))=MD5(b.append(x))). Und dann vergleichst du einfach auf
Übereinstimmung.

Moin!

Carsten Krueger schrieb:

>> Wenn sie MD5 verwenden, dann kannst du auch zwei Programme mit der gleichen
>> Prüfsumme generieren, von denen eines gut und eines böse ist.
> Mach vor.
> Ein CLI-Programm was GOOD aus gibt und eines was BAD ausgibt und die die
> gleiche MD5SUM haben.

Man könnte den variablen Schadcode ja in einer dynamisch nachladbaren
DLL halten....

Kai

Am Tue, 12 Jul 2005 14:05:29 +0200 schrieb Sebastian Gottschalk:

> Du mögest die bekannten Angriffe auf MD5 nochmal Reveue passieren lassen.

prima

> Du ersetzt einfach einen Datenblock von 128 Byte innerhalb des Programmes
> durch zwei verschiedene Datenblöcke, die die gleiche MD5-Summe erzwingen.

Dafür bist du zuständig, du wolltest zeigen wie trivial das ist.

Gruß Carsten

Am Tue, 12 Jul 2005 13:48:53 +0200 schrieb Andreas Richter:

> Das dürfte imho nahezu unmöglich sein.

Nein, das geht.
Aber AFAIK nicht mal eben so.

http://www.heise.de/security/meldung...sh-140261.html

Carsten Krueger wrote:
> Nein, das geht.
> Aber AFAIK nicht mal eben so.
>
> [..]

Ahjo. Das ist mir wohl entgangen. Thx.

On 2005-07-12, Carsten Krueger <cakruege> wrote:
>> Du ersetzt einfach einen Datenblock von 128 Byte innerhalb des Programmes
>> durch zwei verschiedene Datenblöcke, die die gleiche MD5-Summe erzwingen.
> Dafür bist du zuständig, du wolltest zeigen wie trivial das ist.

Ein nettes praktisches Beispiel (mit zwei PS-Dokumenten) findest du hier:
[url down]

Regards,
Stefan.