Порадовал очередной интереснейшей статьёй наш соотечественник 3APA3A, опубликовавший на своём нижегородском сайте (в соавторстве с offtopic, известный посетителямм сайта коллег SecurityLab ;)) анализ исследования, посвящённого возможности обхода средств защиты клиентских приложений. Как пишут авторы, возможность подобного обхода подтверждена в следующих Windows-продуктах: CheckPoint VPN-1(TM) & FireWall-1(R) NG with Application Intelligence (R55) HFA 9, Microsoft Windows XP SP2, Agnitum Outpost Pro 2.1.x, Tiny Firewall Pro v6.0.100, ZoneAlarm Pro with Web Filtering v4.5.594, BlackICE PC Protection 3.6, Kerio Personal Firewall 4.0, WRQ ATGuard v3.2. "Эта статья не является попыткой научить скрипт-кидди писать троянские программы, и уж тем более не попытка создать подобную программу авторами. Это предложение сообществу специалистов в области безопасности начать осуждение механизмов защиты клиентских приложений. Авторы приносят свои извинения тем производителям, продукты которых содержат описанные в статье уязвимости. Авторы уверены, что решать надо не конкретные проблемы, но менять отношение к защите клиентских приложений, что требует архитектурных модификаций средств защиты. Если ситуация не изменится, любой школьник, умеющий писать программы на Бейсике сможет получить доступ в защищенную сеть". В статье продемонстрированы следующие техники: обход фильтров содержимого на персональных и корпоративных межсетевых экранах; обход защиты сетевого взаимодействия на персональных межсетевых экранах; обход контроля целостности на персональных межсетевых экранах. В качестве инструмента демсонстрации возможностей обхода защиты использовалась CAT (Client Application Trojaning), использующая COM для запуска и контроля клиентского приложения (Internet Explorer).
Cтатья