Zurück

G Data Firewall – Irreführende Werbung

03.12.2013 23:35 von Samuel

Als ich neulich den PCtipp gelesen hatte, entdeckte ich folgende Werbung von G Data:

G Data wirbt mit einer “lückenlosen Firewall”. Das hört sich doch eigentlich gut an. Um dieser Aussage des Antivirus-Herstellers zu galuben, musste ich diese “lückenlose Firewall” selbst einmal testen. Um die Glaubwürdigkeit der Leser noch zu erhöhen, wurde ein Gütesiegel der Stiftung Warentest eingebunden.

Firewall Test

Um die Firewall zu testen, habe ich ein Programm gestartet, welches eine Verbindung via TCP-Protokoll aufnimmt. Im Taskmanager sehen wir nun den Prozess der Firewall und das Programm welches eine Verbindung erstellt. Die Firewall sollte nun nachfragen ob die Verbindung dieses unbekannten Prozesses erlaubt werden soll.

Wie erwartet fragt uns G Data nun ob diese Verbindung blockiert oder akzeptiert werden soll. Soweit so gut. Das sollte jede Personal Firewall können. Dieser Test hat die Firewall von G Data bestanden. Gehen wir zum nächsten..

G Data Firewall im Härtetest

Wenn wir nun die Standard-Regeln der G Data-Firewall anschauen sehen wir einige Prozesse die standardmässig erlaubt sind. Das heisst: Nach den Verbindungen dieser Prozesse wird nie nachgefragt. Das Ziel ist nun, dass unser Programm sich als diesen Prozess ausgibt und daraus die TCP-Verbindung herstellt.

Firewall Bypass

Unser Programm gibt sich nun als einen Prozess aus der bereits standardmässig von G Data auf der “Whitelist” (erlaubte Programme) steht. Dazu injizieren wir den Code des Programms in den erlaubten Prozess. In userem Beispiel ist es “explorer.exe”. An dieser Grafik sehen wir wie das Ganze genau funktioniert. Soweit die Theorie. Jetzt wird getestet ob die G Data Firewall nun wirklich “lückenlos” ist, wie es die Werbung verspricht.

Ich wähle nun die Datei aus die eine TCP-Verbindung aufbauen soll. Bei den Prozessen wählen ich einen Prozess aus der Whitelist. (Hier explorer.exe).

Jetzt läuft der Prozess als “explorer.exe”. Und erstaunt stelle ich fest, dass G Data mich nicht fragt ob ich die Verbindung akzeptieren möchte.. Obwohl es Möglichkeiten gibt, diesen einfachen Firewall-Bypass, welcher in sehr vielen Schadprogrammen existiert, zu erkennnen, lässt sich G Data einfach täuschen.

Das Wiki von Hackerboard.de schreibt unter anderem:

 

Die Entwickler von Desktopfirewalls lernen von den Tricks diverser Malware. So fangen einige der Firewalls Systemfunktionen ab, die verwendet werden, um eine Applikation aus einer anderen Applikation heraus zu starten. So können sie erkennen, wenn z.B. der Standardbrowser nicht von dem Anwender, sondern aus einer Fremdapplikation heraus gestartet wurde, um eine Verbindung mit dem Internet zu erhalten. Per Dialog kann der Anwender dies nun erlauben oder verbieten.

 

In anderen Worten: Um solche Vorgehensweisen von Schadsoftware zu erkennen, versuchen einige Personal-Firewalls APIs zu hooken (z.B. WriteProcessMemory oder OpenProcess) und auf die eigene Funktionen zu verweisen. Auch diese Sicherheitsvorkehrungen der Firewalls könnte eine Schadsoftware umgehen. Jedoch mit erheblichem Mehraufwand. Aber bei G Data ist es nicht nötig, da G Data erst gar nicht eine Injection erkennt.

Alternative

Es gibt durchaus bessere Firewalls als die von G Data. Einer von diesen ist die “Comodo Firewall”. Diese hat die Prüfung bei diesem Test gut bestanden. Im Test erkannte die Firewall den “gefälschten Prozess”.

Alternative

Auch hier erkennt die Firewall, dass der Prozess versucht eine Datei vom Prozess “explorer.exe” heraus auszuführen.

Für die G Data Firewall bleibt wohl nichts anderes übrig als…

G Data Deinstallation

Fazit

Die Werbung von G Data wirkt sehr irreführend. G Data verfolgt hier nur das Ziel, sehr viele Produkte zu verkaufen. Um das Ziel zu erreichen lügen sie dazu noch die Kunden an. Die Methode um die Firewall zu umgehen ist nicht etwa neu. In diesem Beitrag von “Carrumba” im Jahre 2009 wurde bereits die gleiche Methode verwendet.

Externe Links:

http://wiki.hackerboard.de/index.php/Desktop_Firewal/_Applikationszugriffskontrolle_umgehen http://www.pctipp.ch/

Zurück

Einen Kommentar schreiben