Sono una serie di test, creati da
programmatori indipendenti, che mettono alla prova la capacità dei
Firewall Personali di filtrare il traffico in uscita (cioé di
distinguere il traffico normale da quello eventualmente pericoloso).
AWFT 4: E' composto da 6
test di crescente difficoltà (per il firewall), dal copiare il browser
predefinito in memoria e modificarlo prima che sia eseguito, fino ad una
ricerca di vari programmi che hanno accesso alla porta 80, caricandone
una copia in memoria e modificandola, prima di eseguirla in un processo
interno ad Explorer.
CopyCat: Inietta una DLL in un browser, in modo da accedere ad
internet sfuggendo al firewall (simile al Thermite, ma senza creare un
processo addizionale). DNS Tester: Trasmette dati tramite una
richiesta DNS in internet, sfuggendo così al controllo del firewall.
Ghost: Tenta di raggiungere una pagina in internet inviando una
stringa di testo (scritta da noi), lanciando un processo e subito dopo
nascondendosi (cambia il PID, numero del processo identificativo).
Pc Audit 3: Inietta una DLL in un'applicazione autorizzata,
invece di accedere direttamente. E' stato aggiornato nel PC Audit 6,
tuttavia alcuni firewall ancora si lasciano passare.
Pc Audit 6. E' uno dei
test più spettacolari, in cui se il firewall viene bucato si vede una
bella schermata con un'immagine del proprio desktop. Anch'esso utilizza
l'iniezione DLL come il precedente, ma in maniera più nascosta.
Surfer: usa un vecchio protocollo DDE (direct data Exchange), per
scambiare con un Explorer in un desktop nascosto che si è auto-creato.
Se il firewall non esegue un controllo DDE tra processi, o se il
controllo non è abbastanza forte, viene perforato.
Thermite: inietta
il suo codice direttamente nel processo destinazione (uno che ha il
permesso per uscire), senza passare per le DLL. In questo modo viene
creato un nuovo processo all'interno di questo, di cui il firewall non
si accorge, e che ha accesso alla rete.
WallBreaker: è formato da 4
test, in cui principalmente si lancia explorer in modo mascherato (in
genere attraverso un processo che lancia un altro processo che lancia il
browser), così che il firewall non se ne accorga, con alcune varianti.
PcFlank Test: test che al momento pochi firewall sono in grado di
superare. riesce a inviare dati al server di PcFlank attraverso
Explorer, senza che il firewall intervenga
Breakout 2: uno test
test più severi. Crea localmente una pagina html e la imposta come
desktop. Da qui riesce a inviare e ricevere dati all'insaputa del
firewall. Pochi firewall hanno superato questo test.
Jumper:
scrive una DLL particolare nel registro, poi chiude Explorer e lo
riapre, con questa dll caricata automaticamente. In questo modo Explorer
si collegherà ad una pagina predefinita, con tutti i dati che vorrà
trasmettere. Cpil (Comodo Parent Injection): è un test
della Comodo, la casa che produce anche il firewall. Cerca di infettare
la memoria di Explorer, riuscendo così a trasmettere dati attraverso il
browser predefinito.
Coat: è un test che quasi tutti i
firewall riescono a superare. Riscrive la propria memoria, e cerca di
collegarsi ad internet (cambia una serie di parametri per far sembrare
di essere il browser predefinito).
ZAbypass: Era un test in origine progettato per superare la
protezione di ZoneAlarm tramite DDE (Direct Data Exchange). Oggi quasi
tutti i firewall lo superano.
Runner: test molto interessante che rinomina il browser predefinito,
quindi esegue una copia di se stesso, avvia questa copia, la rinomina,
copia nuovamente l'originale eseguibile del browser predefinito e cerca
di collegarsi ad internet. Alcuni browser non se ne accorgono, o se ne
accorgono troppo tardi (quando i dati sono stati inviati)
torna al confronto firewall |