一、前言:
市面上的防火墙软体很多,有一些对个人使用者来说是免费的,
加上目前病毒、骇客消息不断,越来越多人开始使用个人防火墙软体。
这篇文章就是要告诉你,就算你用了市面上的个人防火墙软体,
骇客还是可以利用程式进入你的电脑、窃取你的资料,更惨的是,
可能你还活在这些防火墙的安全幻影中,沾沾自喜。
二、原始新闻:
The Register >>>
http://www.theregister.co.uk/
三、使用程式:
1.FireHole.exe >>>
http://keir.net/download/firehole.exe
2.LeakTest.exe >>>
http://grc.com/files/LeakTest.exe
3.TooLeaky >>>
http://tooleaky.zensoft.com/tooleaky.exe
四、防火墙软体:(按英文字母排列)
1.Kaspersky Anti-Hacker卡巴斯基
2.BlackICE 2.9cai
3.LockDown Millennium 8.1 (Build 8.1.
4.Norton Personal Firewall 2002
5.Sygate Personal Firewall Pro 4.2
6.Tiny Personal Firewall 2.0.15a
7.ZoneAlarm Pro 2.6.357
[本部分设定了隐藏,您已回复过了,以下是隐藏的内容]
四、测试环境设定:
1.设定 IE 6.0 可通过,不然你要一台不能上网的电脑干嘛。
2.如果软体中安全等级可调,皆调到最高值。
3.自 Windows 工作管理员读取资源使用大小,因佔用记忆体大小会变动,故为约略值。
4.所有软体皆在安装后重开机→上网→执行测试程式→反安装→重开机,
. 藉以排除软体间会有干扰、不相容等状况产生。
五、测试结果:
1. Kaspersky Anti-Hacker卡巴斯基
..(a) FireHole.exe >>> 防火墙有效
..(b) LeakTest.exe >>> 出现警告讯息
..(c) TooLeaky.exe >>> 防火墙有效..(d) 佔用资源:Anti-hacker.exe -> 5MB
2. BlackICE 2.9cai
. (a) FireHole.exe >>> 防火墙没用
. (b) LeakTest.exe >>> 防火墙没用
. (c) TooLeaky.exe >>> 防火墙没用
. (d) 佔用资源:Bkackd.exe ~ 6MB、BlackICE.exe ~ 4.5MB
. (e) 其他说明:安全等级调到「Paranoid」。
3. LockDown Millennium 8.1 (Build 8.1.
. (a) FireHole.exe >>> 防火墙没用,第一次执行时会出现警告画面,但无法阻挡。
. (b) LeakTest.exe >>> 防火墙没用
. (c) TooLeaky.exe >>> 防火墙没用
. (d) 佔用资源:Simple Mode ~ 7MB、
............... Advanced Mode ~ 第一次执行 3.9MB、关掉再执行 7.7MB
..(e) 其他说明:Advanced Mode 测试时將安全等级调到「High Security」。
..(f) 问题:第一次执行 Advanced Mode 后,关掉再执行,记忆体佔用了 3.x MB,
........... 如果第二次执行的为 Simple Mode,记忆体佔用 10MB 左右,
........... 可见得此程式第一次执行时会在记忆体中留下垃圾(或资讯)?而且清不掉。
4. Norton Personal Firewall 2002
..(a) FireHole.exe >>> 防火墙没用
..(b) LeakTest.exe >>> 出现警告讯息
..(c) TooLeaky.exe >>> 防火墙没用
..(d) 佔用资源:NISServ.exe ~ 4MB、NISum.exe ~ 3MB、IAMAPP.exe ~ 6.2MB、
............... SymProxySvc.exe ~ 7MB。
..(e) 其他说明:如果不关掉 Alert Tracker,多佔用 4.3MB。
5. Sygate Personal Firewall Pro 4.2
. (a) FireHole.exe >>> 防火墙没用
. (b) LeakTest.exe >>> 出现警告讯息
. (c) TooLeaky.exe >>> 防火墙没用
. (d) 佔用资源:SMC.exe ~ 7MB。
. (e) 其他说明:安全等级选择 Normal Mode。
6. Tiny Personal Firewall 2.0.15a
. (a) FireHole.exe >>> 防火墙没用
. (b) LeakTest.exe >>> 出现警告讯息
. (c) TooLeaky.exe >>> 防火墙没用
. (d) 佔用资源:Persfw.exe ~ 开机 5.5MB,进入网路 7MB。
. (e) 其他说明:安全等级选择 High。
7. ZoneAlarm Pro 2.6.357
. (a) FireHole.exe >>> 防火墙没用
. (b) LeakTest.exe >>> 出现警告讯息
. (c) TooLeaky.exe >>> 防火墙没用
. (d) 佔用资源:ZAPro.exe ~ 7MB。
. (e) 其他说明:区域网路与网际网路安全等级调到最高。
六、结论:
1.所有软体通通阵亡!几乎三个测试程式都有如入无人之境,
. 防火墙程式在程式肆虐下全变成哑巴。
2.这次的测试,主要是提醒大家电脑的网路安全是很脆弱的,就算你装了一堆防火墙软体,
. 如果你让厉害的木马跑进电脑里,还是只有等死的份。
. 因为这三个测试程式,就是藉由伪装成 Windows 瀏览器所需的程式(资源),
. 所以一旦你打开瀏览器的存取网路权限,就等於开了一扇大门。
. 就算你用 Port Monitor 等软体,如果骇客利用你瀏览网路的时候传资料也很难被发现。
. 加上如果只是传些流量不大的重要资料,如果不查 Log 档,可能也是闪一下就过去了…
. 还有,如果他想以捣蛋方式进入系统,杀个文件的,等你看到也来不及了。
3.一定有人会问如果这样,要装啥防火墙软体?我想,自己觉得好用就好了,
. 但如果您是负责公司机关团体的伺服器,还是要有相当的忧患意识才可。
七、相关网页:
1.Gibson Research Corporation >>>
http://grc.com/
2.Why your firewall sucks >>>
http://tooleaky.zensoft.com/
3.FireHole:How to bypass your personal firewall outbound detection
. >>>
http://keir.net/firehole.html
八、补充说明:
1.如果你有用区域网路(ADSL 也算)但没有把区域网路关掉,FireHole.exe
. 与 LeakTest.exe 程式还是会以为已经通过防火墙,我猜想他是以流过防火墙为基准,
. 只要过的去就算成功!
. 但 TooLeaky 这个程式会先传资料到 grc.com(即 Gibson Research 的网站),
. 然后等他回应回来,所以只要网路无法连出去,就会显示无法通过的讯息。
. 这样的测试比较准,但如果 grc.com 网路阻塞或当机,一时连不上,也会显示
. 无法通过之讯息,会造成误导!所以在测试时会先確认 grc.com 是否可连。
2.感谢 Lally (@无名英雄) 告知一个简单测试防火墙是否只认程式名称做判別的方式
. 简单测试法:
. (a) 使用 Tiny Personal Firewall 或其他防火墙软体。
. (b) 拒绝 IE 存取网路权限。
. (c) 允许以 IE 为核心的其他瀏览软体,如:Netcaptor、MyIE 等,存取网路。
. (d) 理论上 IE 被关掉,用他的核心的瀏览器也应该不能存取网路才对,但事实则否!
..... 可推知防火墙软体「仅」以程式判定通过与否。
