Leak Tests - Ces tests cherchent à prendre les pare-feu (firewall) en défaut en les traversant ou les contournant.
leak test, leak tests, fuite, fuites, leak, leaks, évasion, évasions, testeur, testeurs, tester, leaktest, leaktests, pare-feu, firewall, firewalls, comparatif, comparative, classement, ranking, tooleaky, firehole, yalta, outbound, pcaudit, awft, atelier web firewall tester, thermite, copycat, mbtest, wallbreaker, pcaudit2, ghost, dnstester, wwdc, windows worms doors cleaner, gkweb, injection, dll, createemotethread, openprocess, setwindowshookex, writeprocessmemory, vulnerabilities, outbound, packet, port, ports, rpc, dcom, exploit, wwdc.exe, personal firewall, internet security, sandbox, sandboxes, jetico, agnitum, soft4ever, outpost, looknstop, zone alarm, zonealarm, kerio, tiny, kaspersky, sygate, norton, symantec
Leak Tests - Ces tests cherchent à prendre les pare-feu (firewall) en défaut en les traversant ou les contournant.
leak test, leak tests, fuite, fuites, leak, leaks, évasion, évasions, testeur, testeurs, tester, leaktest, leaktests, pare-feu, firewall, firewalls, comparatif, comparative, classement, ranking, tooleaky, firehole, yalta, outbound, pcaudit, awft, atelier web firewall tester, thermite, copycat, mbtest, wallbreaker, pcaudit2, ghost, dnstester, wwdc, windows worms doors cleaner, gkweb, injection, dll, createemotethread, openprocess, setwindowshookex, writeprocessmemory, vulnerabilities, outbound, packet, port, ports, rpc, dcom, exploit, wwdc.exe, personal firewall, internet security, sandbox, sandboxes, jetico, agnitum, soft4ever, outpost, looknstop, zone alarm, zonealarm, kerio, tiny, kaspersky, sygate, norton, symantec
Leak Tests - Ces tests cherchent à prendre les pare-feu (firewall) en défaut en les traversant ou les contournant.
leak test, leak tests, fuite, fuites, leak, leaks, évasion, évasions, testeur, testeurs, tester, leaktest, leaktests, pare-feu, firewall, firewalls, comparatif, comparative, classement, ranking, tooleaky, firehole, yalta, outbound, pcaudit, awft, atelier web firewall tester, thermite, copycat, mbtest, wallbreaker, pcaudit2, ghost, dnstester, wwdc, windows worms doors cleaner, gkweb, injection, dll, createemotethread, openprocess, setwindowshookex, writeprocessmemory, vulnerabilities, outbound, packet, port, ports, rpc, dcom, exploit, wwdc.exe, personal firewall, internet security, sandbox, sandboxes, jetico, agnitum, soft4ever, outpost, looknstop, zone alarm, zonealarm, kerio, tiny, kaspersky, sygate, norton, symantec
|
|
Leak Test FireHole (par Robin Keir)
|
|
|
|
|
Leak Test FireHole (par Robin Keir) |
Utiliser FireHole est très simple.
Téléchargez Leak Test FireHole de Robin Keir
Lancez le programme. Une fenêtre s’affiche permettant de saisir une adresse IP et un port TCP à utiliser. Par défaut, il est paramétré pour communiquer avec le site « keir.net » à l'adresse 66.39.30.176 sur le port 80.
Vérifiez que vous avez une connexion établie et lancez le test en cliquant sur le bouton Start.
L’application lance alors votre navigateur. Dès que le navigateur est lancé, une .dll furtive se charge automatiquement dans l'espace d'adressage du navigateur et vérifie que sa fenêtre est reconnue en tant que fenêtre du navigateur. Si c’est le cas, une connexion est établie avec le site « keir.net » et un petit message texte est envoyé comprenant votre nom d’utilisateur, le nom de votre PC, un message criant victoire sur le firewall et la date et l'heure d'envoi du message. Le message ressemblera à quelque chose comme ceci:
Message from user "rkeir" on computer WIN2K [192.168.1.100] at 11/06/01 19:37:38
***** I have successfully bypassed the personal firewall! *****
Peut-être pensez-vous que ce message contient trop d'informations personnelles et les révèle trop clairement. Ceci vous montre bien ce qu’un trojan utilisant cette technique peut envoyer comme fichiers, documents privés, mots de passe, N° de carte de crédit,…
FireHole garantit qu’il n'effectue aucune autre action que celles décrites plus haut. Ce n'est pas un trojan mais une simulation de ce qu’un tel programme malicieux pourrait être capable de faire.
Choses à essayer
- Pour mieux simuler l’action d’un trojan, vous pouvez choisir de cacher le navigateur avec lequel le programme va travailler. Vous pouvez le faire au départ de la fenêtre du programme. Naturellement un vrai trojan n'aurait pas cette commande visible; il agirait de façon totalement invisible, utilisant votre navigateur pour envoyer et recevoir ce qu’il choisit, alors que votre firewall vous indiquerait que c’est juste votre navigateur qui se connecte et qu’il n’y a pas de problème.
- Vous souhaitez peut-être voir s’il est possible de contourner votre firewall en envoyant le message à différentes adresses à travers un autre port. Pour envoyer des données par un port différent du port 80, vous devez autoriser votre navigateur à utiliser n’importe quel port. Comme la plupart des personnes ne sont pas assez expertes pour configurer leur firewall et n’autoriser leur navigateur qu’à utiliser certains ports, il réussira probablement. Pour ce faire vous avez besoin d’un autre PC ( pas spécialement sécurisé par votre firewall ) en attente sur l’adresse IP et le port que vous avez choisis. Une façon simple de faire cela est d’utiliser un « Netcat listener ». Télécharger Netcat ici et le lancer au moyen d’une commande comme celle-ci :-
nc -vLp 6666
Dans cet exemple, le port 6666 est utilisé. Quand FireHole envoie son message, vous le voyez apparaître dans la fenêtre DOS cible.
Pourquoi ça ne fonctionne pas?
Ce programme n'est pas parfait. Il a été écrit rapidement, uniquement pour prouver un point. S'il échoue à se connecter et envoyer un message, cela peut être pour plusieurs raisons.
- Si votre firewall repère la transmission alors il sera évident que cela n'a pas fonctionné.
- Peut-être avez-vous configuré votre firewall pour qu’il vous demande une autorisation quand votre navigateur démarre, ou peut-être l’avez-vous paramétré pour demander une autorisation pour chaque connexion. Si vous avez fait cela, vous faites partie d’une minorité et vous êtes extrêmement prudent et vigilant.
- Si votre firewall n’a pas repéré la communication mais que le programme n’a pas fonctionné, c’est peut-être parce qu’il n’a pas reconnu votre navigateur
Finalement...
Je veux réitérer ce que j’ai dit au début de cet article. Ce programme, et toutes les techniques semblables montrent ce qu’un programme malicieux peut faire sur votre système. Si vous pouvez arrêter ce programme, alors vous êtes en sécurité. Par contre, si ce n’est pas le cas, alors les jeux sont faits et un programme malicieux peut prendre le contrôle de votre PC.
Il est donc important de garder votre antivirus à jour, de garder votre logiciel de messagerie protégé avec un paramétrage de sécurité correct, de ne jamais ouvrir de fichiers attachés contenant des exécutables et enfin de restreindre les ports utilisés par votre navigateur et les autres applications qui peuvent utiliser une connexion Internet.
Addendum
A propos du paragraphe 4 :
"Bien sûr cela pourrait se faire par différentes méthodes mais pourquoi perdre son temps..."
Depuis que cette page, et cet exemple d’outil, a été publiée, il m'a été demandé par plusieurs personnes ce que j'ai voulu dire par ce commentaire. " Vous semblez dire que ceci n'est pas la seule manière de tromper un firewall?". Les différentes méthodes possibles semblent être une nouveauté dérangeante pour certaines personnes mais, pour d'autres, elles sont déjà bien connues. Je vous suggère de visiter quelques sites de sécurité connus ou faire une copie de Hacking Exposed et de la lire intégralement. Accordez une attention toute particulière au chapitre traitant des firewall. Après la lecture d'un livre comme celui-ci, les caractéristiques de blocage, par votre firewall, du trafic sortant seront probablement le dernier de vos soucis !
Encore plus fort!...
Pour vous, bidouilleurs:
- Essayez un scan à travers votre firewall en utilisant les ports source habituels comme TCP 20 (FTP data), TCP & UDP port 53 (DNS), UDP 67 & 68 (BootP et DHCP), UDP 69 (TFTP) et UDP 520 (RIP).
- Essayez d’envoyer des données avec UDP 53 (DNS) ou l'un des ports DHCP mentionnés plus haut.
- Avec Windows 2000 or XP, essayer d’envoyer des paquets TCP en utilisant les raw sockets.
J’ai testé et je confirme que finalement, au moins une de ces méthodes additionnelles parvient à passer à travers n’importe quel firewall malgré les détections de connexions sortantes. Vous pouvez être choqué et stupéfié de la façon dont votre firewall est réellement perméable :-)
|
Révision - 10.03.05
Rédigé en écoutant
|
|
|
|