Das mit der reversen Verbindung ist mir bekannt. Da hilft natürlich kein Router. Wenn man wüßte, wohin die Verbindung geht oder über welchen Port, dann könnte man sperren, aber wenn überhaupt, dann weiß man das erst, wenns bereits passiert ist. So gesehen wird das mit dem Router natürlich übertrieben. Er schützt davor, dass auf den Rechner vom Internet aus direkt zugegriffen werden kann. Also davor, dass Fehler in der Netzwerksoftware ausgenutzt werden können, um den Rechner überhaupt erst mal zu infizieren. Wenn alle Updates zeitnah installiert werden, spielt das eine recht kleine Rolle, im Falle eines 0-Day-Exploits könnte es relevant werden. Liegt er allerdings im Browser, in einem ActiveX, wo auch immer, dann nützt er auch nichts.

Ein weiterer Pluspunkt auf dem Router ist noch, dass man dort die Verbindungen kontrollieren kann. Auf dem Rechner können Techniken eingesetzt werden, dass sie isch innerhalb des Systems nicht ermitteln lassen, wenn sie durch den Router gehen, liegen sie offen. Das habe ich schon auprobiert: ein Backdoor in einer VM, eine weitere VM (Linux, netfilter) durch die der Traffic der ersten VM Richtung Internet durch muss. In der erstem VM ist höchstens mit Rootkitscannern was zu ermitteln, Netstat und Tcpview zeigen nichts. In der zweiten ist es offensichtlich, da kann ich den Traffic mitschneiden. Oder auf dem Hostsystem, auf dem die VMs laufen, ich bevorzuge aber eine zweite VM, weil ich mit netfilter wesentlich besser filtern kann, will ja keinen Spam versenden.

Diese Versuche dem bereits installierten Backdoor die Verbindung in die Heimat zu verwehren, taugen nichts, das ist die falsche Herangehensweise. Es kommt einzig darauf an, ihn garnicht erst zu installieren. Wenn das erstmal passiert ist, dann hat man verloren, weder Softfirewall, noch Hardfirewall noch Router ändern da was dran.

Gerade heute in einem anderen Forum erlebt: Ein Backdoorserver als ADS an das system32-Verzeichnis gehängt, ein unsichtbarer Browser läuft und Zonealarm merkt nichts.

Selbst wenn so eine Firewall was meldet und man dann auf "verweigern" klickt: Es gibt viele Techniken, an der Firewall vorbei zu kommen. Nur weil eine auffliegt, heißt das nicht, dass die nächste nicht umso besser funktionieren kann. Anwender ist glücklich "meine Firewall hat mich beschützt" während die Daten rausfließen. Bisherige Vergleichstest auf solche Techniken (Stichwirt Leaktests) hat noch keine Firewall komplett bestanden. Und es lassen sich sicher neue Techniken entwickeln.


Die Homecalls legitimer Programme: Da kann man erwarten, dass sie sich ausschalten lassen. Wie z.B. die Anfragen, ob es Updates gibt. Programme, die das denooch gegen den Weillen des Anwenders tun, gehören nicht auf den Rechner. Das schlimmste Homecall-Problem hatte ich mal mit Zonealarm (ich bekenne, dieses Programm auch mal genutzt zu haben). Irgendwann ist es mir dann aufgefallen, dass Zonealarm verschlüsselte Daten zu seinem Hersteller überträgt. In Zonelalarm also Zonealalarm das Internet verboten. Alert-Advisor (hieß irgendwie so ähnlich) getestet: Richtig, Zonealalarm teilt mir mit, dass es mir keine Informationen leifern kann, da ich ihm ja die Verbindung ins Internet verboten habe. Gleichzeitig sch....t das Programm auf die erteilten Regeln, denn im Hintergrund telefoniert es fleißig weiter. Ruhe gab es erst, nachdem ich diverse Adressen von Zonelabs in der Hosts-Datei auf 127.0.0.1 umgelenkt habe. Kurz danach ist der Mist vom Computer geflogen, das war dann das nächste Abenteuer.

Zitat:

Zitat von KarlKarl

Das mit der reversen Verbindung ist mir bekannt. Da hilft natürlich kein Router.

Genau das ist der Punkt.

Üblicherweise nutzt jede moderne Schadsoftware eine reverse Verbindung, also ist ein normaler Router kein Schutz, der durch bloße Anwesenheit wirkt, leider wird es oft so vermittelt.

Zitat:

Die Homecalls legitimer Programme

Ich meinte weniger die automatischen Updates, als wie du schon meintest die verschlüsselten Daten. ICQ ist auch ein ganz großer Kandidat für verschlüsseltes Datensenden. Ist mir über meine Kis FW aufgefallen. Danach bin ich gaaaanz schnell auf qip umgestiegen.
Desweiteren gehen mir die zahlreichen online "Registrierungen" total auf den Senkel. Mal eins der vielen Beispiele: Logitech Sound Software vor kurzem installiert. Da wurde ich gefragt ob ich mich online registrieren möchte.?!. wozu denn bloß? Ich habe eindeutig verneint und siehe da: *Ploing* Logitech versucht trotzdem nach draußen zu kommen.. Was da dann noch gesendet werden sollte bleibt mir ein Rätsel. Vielleicht, dass User XY sich nicht registrieren möchte und wir ihn ab und zu mal auf die Vorteile einer solchen Registrierung hinweisen sollten?? Man man..


PS: Hat jemand Ahnung von der KIS FW? Scheint jedenfalls "besser"/intelligenter als die von NOD's SmartSecurity zu sein. Die hat ICQ und vieles andere nämlich nicht bemerkt/bemängelt.

Zitat:

Zitat von undoreal

PS: Hat jemand Ahnung von der KIS FW? Scheint jedenfalls "besser"/intelligenter als die von NOD's SmartSecurity zu sein. Die hat ICQ und vieles andere nämlich nicht bemerkt/bemängelt.

ich teste gelegentlich mal Firewalls. Grundsätzlich denke ich, der "Lernmodus" ist bei allen Firewalls der größte Mist den es gibt, einige Stilblüten sind mir da schon aufgefallen. (für Server, die in den IE injecten wird gleich eine Regel erstellt, die den Traffic zukünftig erlaubt)

vom "Entdecken" wäre eigentlich Comodo mein Favorit, nur die Logs gefallen mir so gar nicht.

<off-topic>


PC-Tools Firewall Plus installiert, Spyware Doctor installiert, Einstellungen auf default gelassen, Poison Ivy Server gestartet, remote auf den PC verbunden, ohne irgendeine Warnmeldung.

PC rebootet, könnte ja sein, Spyware Doctor hat den Start des Servers nach dem Reboot verhindert, nein, der Server connected wieder.

ganz normaler Poison Ivy Server, released vor über einem Monat.

klasse, oder?

Zitat:

ganz normaler Poison Ivy Server, released vor über einem Monat.

löl. das ist ja prima.

...und über allem schwebt halt immer noch das größte aller Sicherheitslöcher......
Der Administrator der in Zonealarm dann einen Prozess rausläßt und auf "frag mich nach diesem nie wieder" klickt,nur weil er so ähnlich heißt wie dieses Zeugs von Microsoft oder eben ,weil ja MS per se böse ist, ein Programm das sich "Zonalarm" nennt oder vielleicht so "Zonealam"...
Was mit den svchost exen geht,wird auch mit Programmnamen funzen...
Irrlicht

Zitat:

Zitat von irrlicht

.. ein Programm das sich "Zonalarm" nennt oder vielleicht so "Zonealam"... ...

Irrlicht, oder wie wir beide es nennen würden, Zonen-Alarm.. :aplaus: