Większość rozwiązań firewall nie oferuje odpowiedniego poziomu zabezpieczeń

Zdaniem Steve Gibsona, amerykańskiego eksperta od zabezpieczeń, większość dostępnych na rynku programów zabezpieczających komputery przed wirusami i modułami typu "koń trojański" zawiera poważne luki, które umożliwiają względnie łatwe ominięcie zapór.

Znany amerykański programista, zajmujący się problemami bezpieczeństwa, Steve Gibson opracował i opublikował program testujący LeakTest, który wykazuje, że odpowiednio spreparowane oprogramowanie może łatwo przesyłać informacje z komputera PC wyposażonego w firewall. Dotyczy to programów typu "koń trojański" lub modułów szpiegujących aktywność użytkownika (tzw. Spyware), które zostały zainstalowane w komputerze np. podczas otwierania poczty elektronicznej lub przeglądania odpowiednio spreparowanych stron w Internecie.

Steve Gibson wykazuje, że prawie wszystkie dostępne na rynku i popularne pakiety praktycznie nie oferują żadnej ochrony przed takimi programami. Wyjątkiem, który oparł się testom, jest ZoneAlarm.

Analitycy twierdzą, że problem dotyczy wysyłania informacji z komputera PC na zewnątrz przez moduły wprowadzone do systemu - programy tego typu zabezpieczają natomiast do pewnego stopnia przed atakami z zewnątrz.

Przedstawiciele producentów przyznali, że S. Gibson rzeczywiście wykrył poważną lukę w systemach bezpieczeństwa i zapowiedzieli szybką modyfikację oprogramowania. Użytkownicy tego typu pakietów powinni obecnie zwrócić uwagę na dostępność aktualizacji, choć w niektórych przypadkach może być oferowany upgrade tylko do nowej wersji. Jednocześnie brak jest doniesień, by mechanizm wykorzystywany przez LeakTest został już wykorzystany przez hakerów.

Testy wykazały brak efektywnych mechanizmów ochrony m.in. w takich programach, jak AtGuard, Conseal Desktop, McAffe Firewall, Norton Internet Security, PC-Viper, Sygate Personal i Tiny Personal. Ten ostatni jest dostępny w wersji testowej, której domyślne ustawienia powodują zanik zapory zapobiegającej niekontrolowanemu wysyłaniu informacji. Ponieważ program wykorzystuje podobne mechanizmy identyfikacji programów do ZoneAlarm, pozwala on na uruchomienie odpowiednich zabezpieczeń.

Oprócz tego Steve Gibson wymienia programy, które w ogóle nie oferują mechanizmów zabezpieczania przed wypływem danych: BlackICE Defender, Conseal PC i Lockdown 2000.

<B>Jak działa LeakTest?</B>

Program testujący LeakTest.exe po zainstalowaniu w komputerze PC, nawiązaniu połączenia internetowego i uruchomieniu próbuje nawiązać łączność z jednym z serwerów domeny GRC (Gibson Research Corp.), a następnie informuje o powodzeniu takiej próby. Niektóre programy mogą blokować takie połączenie, ale istnieje bardzo prosta metoda ich "oszukania" przez zmianę nazwy LeakTest.exe np. na Winword.exe lub inną, która odpowiada standardowej aplikacji Windows. Tylko ZoneAlarm (i Tiny Peronal) wykorzystują kryptograficzny mechanizm identyfikacji programów MD5 zabezpieczający przed tego typu zamianą.

Steve Gibson nie publikuje dokładnych informacji o oprogramowaniu testującym, by nie zostały one wykorzystane przez hakerów. Pod adresem http://grc.com można jednak znaleźć obszerny opis problemów występujących w oprogramowaniu typu zapora, niektórych metod zwiększania poziomu zabezpieczeń, a także dostępny bezpłatnie program testujący LeakTest v. 1.0 (ma on objętość tylko 26 KB).