Автор статьи затронул интересную тему, но привел не
убедительные примеры, поэтому и поднялся такой флейм.

Чтобы хоть как-то снизить флейм поделюсь своим опытом и
расскажу как все же спрятать активность трояна от любых
имеющихся на данный момент PF.

Допустим, существует способ выполнить/установить на
удаленной системе backdoor. Рассмотрим способы его
взаимодействия со взломщиком в обход PF.

Очевидно, что backdoor должен быть реверсивным, т.e.
должен сам как-то связываться с системой взломщика и
обходить всевозможные правила фильтрации firewall'а.
Мною найдено и протестированно несколько эффективных
методов обхода правил фильтрации. Расскажу кратко об одном
из них (самом очевидном).

По пунктам:
1. Главный модуль backdoor'а (bd) постоянно ищет в системе
загруженные пользователем процессы которым по
предположению "доверяет" firewall. Такими процессами, как
правило, являются - icq, miranda, outlook, the bat,  
iexplore, opera и т.п.
2. Далее, в зависимости от найденного процесса, в него
внедряется модуль "связи" который начинает работать уже в
его контексте (обнаруженного процесса). Далее, для примера,
будем рассматривать outlook и icq. Для каждого процесса
можно использовать свой модуль связи ориентированный на
его особенности (например протокол связи).
ICQ:
3. Модуль, если нужно, определяет настройки icq (сервер для
передачи сообщений, порт, логин -uin, пароль, и т.д.).
Далее связывается с серверной частью взломщика, в данном
случае это uin и передает данные и получает команды.
Outlook:
3. Так же определяются настройки программы (сервер на
котором создан ящик, и тп) и по тойже схеме происходит
взаимодействие с системой взломщика, только тут
используются протоколы smtp, pop3.

Для обхода NIDS можно также использовать шифрование
трафика.

Я уже не первый год занимаюсь pen-test'ами и постоянно
использую такую систему и на данный момент ни один из
имеющихся PF даже с самымим параноидальными настройками
не сможет определить зловредный трафик.
Если кому-то нужны детали/доказательства, то я готов
написать (в виде статьи) подробно как это делается и готов
протестировать эту схему на любых PF с любыми (разумными)
правилами фильтрации.
P.S. Конечно, для этого нужно "обладать" лицензионной
версией, поэтому буду рад, если кто-нибудь предложит такой
продукт для проведения теста.

ну и повторюсь _обычно_ интернерт трафик почтовый и хттп мониторитса, и заметить "рабочий" трафик такова бэк дора не составит труда...
я согласен что PF это не в коем случаи не панацей, да и почму рассматриваем полное отсутствие антивируса на машине ? из серии  - на винду поставим патч но толька вот этот чтоб та дырка была открытой иначе у нас нифига не получитса....

2 r00t:
А что мешает отправлять и получать почту авторизуясь от
имени пользователя, предварительно узнав все настройки?
Читай мой предыдущий пост повнимательнее.

2 Anatoly Skoblov:

В этом случае конечно же задача "скрытия" усложняется, а в
_теории_ становится и не возможной. Но на практике даже
такие системы можно обойти, например, Antihacker Каспера
лугко обезоруживается путем выгрузки его dll'ек из
контролируемого процесса. Да и такие системы как
PathFinder, которые в принципе должны отлавливать любые
хуки и методы скрытия процессов (которые используют
большинство руткитов), при некоторых не очень сложных
манипуляциях обманываются. А если еще использовать пути
для перехода в Ring-0, то задача упрощается.

Не всем приложениям запретишь доступ к registry и к файлам.
Например, почтовый клиент, очевидно должен обращаться к
файлам и registry, что собственно и делает модуль "связи" -
обращается только к registry которые принадлежат этому
процессу.

Достаточно сложно себе представить (в жизни) такую политику
которая запрещает любые каналы связи пользователя с
интернетом, даже smtp и pop3. Зачем тогда нужен доступ к
интернету? Можно смело выдергивать сетевой кабель.
И тем более сложно себе представить как может быть такое,
что smtp разрешен, а pop3 нет?

Конечно же пионерский задор все погубил. Можно было все
описать/протестировать более правильно, скорее всего просто
автору не хватило определенных навыков.

А зачем он какие-то DLL в процесс подгружает?? Это же персональный фаервол?


Пардон, а что это такое? Почему-то мне это словосочетание ничего ен говорит, не попадалось на горизонте.


Зато можно запретить доступ со стороны к тем ключам и файлам, которые необходимы для инжекта в такой процесс.


Никто не говорил про то, что они запрещены. Я говорил, что отослав письмо через SMTP, неплохо бы ответ "из центра получить". А вот использоваться для этого клиентский POP3, как мне кажется, весьма проблематично. Можно, конечно, заслать в центр e-mail клиента и отбирать свою почту, чтобы клиент не увидел, но уж больно это муторно.

2 Anatoly Skoblov:
Эта задача не такая уж сложная. Можно написать свой "движок" smtp&pop3 и забирать/отсылать самим модулем.

Ну как на счет независимого тестирования? Был бы рад, если вы предоставите на время последнию PRO версию.

Если у админа свой SMTP сервер.
Запрещен выход на сторонние SMTP сервера. И под "левыми" пользователями(под валидным именем заберешь почту только со своего ящика).
Остаеться действовать через асю, которой может не оказаться.
И тогда, думаем про HTTP. Через него всегда проще. Даже если браузер написал корпоративный программист. Вытаскиваем адрес проксика. И через него посылаем запросы на наш сервер.
Остаеться надеяться, что у админа открыт доступ ко всем сайтам(ну или почти ко всем), а то, что он закроет сайты по которым еще небыло перерасхода, это мало вероятно.
Еще бывает антиспуфинг.
И вообще главное, чтоб пользователь запустил пагу.

Это делает также и BlackICE.

2anonymous: насколько я помню, можно снять привелегию у юзера "take ownership" и поставить через ту же GPO System: Full Control / Everyone: Read