Hallo Wizard,

das passiert mir ständig, daß jemand gleichzeitig postet.
</font><blockquote>Zitat:</font><hr />Erkläre mir hier bitte mal wovor ZoneAlarm eigentlich schützt?</font>[/QUOTE]Den Opasoft-Wurm hätten sich viele mit ZA nicht eingefangen.
(Ohne Dateifreigabe auch nicht)
Und einige haben ihn mit ZA aber ohne Stealth bei sich bemerkt.

Martin

</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH:
1. ZA ist nützlich, weil es einen Teil der möglichen Angriffe abwehrt.</font>[/QUOTE]Welche Angriffe "wehrt" das Ding denn ab?

2. ZA ist Mist, weil es einen Teil der möglichen Angriffe durchläßt.

</font><blockquote>Zitat:</font><hr />Vielleicht könnte man mal eine ganz konkrete Bedrohung nennen, gegen die ZA nicht hilft, am besten etwas, was hier schon einigen passiert ist.</font>[/QUOTE]

Viren, Würmer, Trojaner,...

wizard

</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH:
Den Opasoft-Wurm hätten sich viele mit ZA nicht eingefangen.</font>[/QUOTE]Mit der richtigen Konfiguration des Systems hätte sich keiner den Wurm eingefangen.

wizard

</font><blockquote>Zitat:</font><hr />Kannst du kontrollieren, ob das, was letztens auf der Rechnung der Kfz-Werkstatt stand, auch wirklich nötig war und gemacht wurde?</font>[/QUOTE]Nein, nicht ohne weiteres. Dafür gibt es Menschen, die aber genau das können. Und bevor ich mir den "Ultra-Super-Hyper-Mega-Booster" in den Tank kippe, frage ich erstmal die Werkstatt, weil dort kompetentere Leute sind; vielleicht gab es schon mal Motorschäden deswegen.
</font><blockquote>Zitat:</font><hr />viele haben schon ein Problem damit, ihren Rechner ordnungsgemäß herunterzufahren</font>[/QUOTE]"Gehen Sie mal ins Startmenü unter &gt;&gt;Ausführen&lt;&lt; und geben Sie cmd ein!" - "Ja wo is'n des?"

Hallo Martin!

</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH:
bei ZA stoßen zwei Sichtweisen aufeinander:

1. ZA ist nützlich, weil es einen Teil der möglichen Angriffe abwehrt.

2. ZA ist Mist, weil es einen Teil der möglichen Angriffe durchläßt.</font>[/QUOTE]Ich denke, das ist viel zu pauschal, ich erkläre auch gleich warum.

</font><blockquote>Zitat:</font><hr /> Vielleicht könnte man mal eine ganz konkrete Bedrohung nennen, gegen die ZA nicht hilft, am besten etwas, was hier schon einigen passiert ist. </font>[/QUOTE]Und zwar deswegen, weil das Hauptproblem die viel zu große Erwartungshaltung an diese "Firewall" ist. Das heißt, es wird erwartet, insbesondere von Anfängern, die sich mit der Materie nicht großartig auskennen, dass hier quasi automatisch eine Kotrolle von dieser Anwendung vorgenommen wird, die zwischen Malware und nützlichen Anwendungen unterscheidet.

Und auf Basis dieser trügerischen Annahme werden alle weiteren Sicherungsmaßnahmen außen vor gelassen, bzw. weitere Eigen-Information findet nicht statt.

So kommt es dann, dass der User sich selbst hereinkommene Malware installiert, weil er selbst dubiose Dateien anklickt, oder er verwendet einen alten, ungepatchten Internet Explorer, oft sogar noch in Verbindung mit einem löcherigen Outlook (Express), hat Active X freigegeben, etc.

Über diese Wege kommt massenweise Malware auf den Rechner, Dialer, die von der Firewall ebensowenig gestoppt werden wie ein Trojaner, der per Mail kommt oder vom User selbst aus einer Tausbörse heraus installiert wird...

Man könnte diese Aufzählung sicher noch weiter fortsetzen...

Viele Grüße, Markus

[ 06. Oktober 2002, 18:33: Beitrag editiert von: mmk ]

</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH:
[Opasoft]
Und einige haben ihn mit ZA aber ohne Stealth bei sich bemerkt.</font>[/QUOTE]Und, was bringt das?

</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH:
ZA ist nützlich, weil es einen Teil der möglichen Angriffe abwehrt.</font>[/QUOTE]Diese Diskussion hatten wir schon mal. Deshalb nochmal ganz langsam: Da Zonealarm keine Angriffe erkennt, ist es ihr auch nicht möglich, diese abzuwehren.
</font><blockquote>Zitat:</font><hr />Vielleicht könnte man mal eine ganz konkrete Bedrohung nennen, gegen die ZA nicht hilft, am besten etwas, was hier schon einigen passiert ist.</font>[/QUOTE]Nimda, Opasoft, Verbinden per NetBIOS...
</font><blockquote>Zitat:</font><hr /> Die meisten Anti-ZA Postings verweisen ja darauf, daß schon alles gesagt wurde,</font>[/QUOTE]&lt;aol/&gt;

Nunja, ich hatte das bereits in einem englischsprachigen Forum gepostet ... . Ich beziehe mich auf einen konkreten Testfall mit der kostenlosen ZoneAlarm 3.x Version, heruntergeladen am 06.10.2002 um 13:43.

Ich habe nur das getestet was meiner Ansicht nach extrem einfach zu realisieren ist und teilweise auch realisiert ist. Außerdem dazu natürlich ne Idee wie man diese "Unsicherheit" umgehen könnte ;o).

ZoneAlarm (und imho alle anderen Programme) haben von sich aus unsichere Standard Rulesets. So sind z.B. alle Ausgehenden Verbindungen zu Port 53 erlaubt für DNS.

Wenn ein Programm also eine Verbindung zu einem Port 53 aufbauen würde, wird diese Verbindung zugelassen. Im Zusammenhang mit Backdoors wie z.B. Assasin, die das Client-Server-Prinzip mal umdrehen und bei denen der "Server" den "Client" kontaktiert und nicht umgekehrt ist das ganze hochgradig gefährlich. Zone Alarm (und viele andere) würden nichts merken.

Um das ganze zu umgehen gibt es 2 Möglichkeiten. Einmal kann man alle standard Regeln löschen und für sich passende anlegen (so das man z.B. wirklich nur auf SEINE DNS Server zugreifen kann auf Port 53) oder die Hersteller ändern diese Funktion und lassen DNS Anfragen nur zu den aktuell angegebenen DNS Servern zu.

Außerdem genutzt ZoneAlarm und auch einige andere Programme für die Applikationsüberwachung einen sogenannten Socket Layer. Diesen Socket Layer kann man auf einfachste Weise raus kicken (sind nur einige Registry Einträge) und die Applikationsüberwachung funktioniert nicht mehr. Wird aber von keinem bekannten Backdoor gemacht. Ist aber recht einfach wie gesagt. Helfen könnte dabei von der Nutzung eines Protokoll Layers abzusehen.

Eine weitere Möglichkeit ZA und viele andere Walls zu umgehen ist der Einsatz eines eigenen Protokoll Stacks. Quasi eine eigene TCP/IP Implementierung auf Kernel Ebene. Das klingt kompliziert, ist aber EXTREM einfach. Entsprechende Bibiliotheken und Treiber sind Open Source zu finden samt Beispiele für so gut wie alle Programmiersprachen. Einige Trojaner (z.B. SubSeven) benutzen diese Bibliotheken schon (wenn auch dort als Sniffer). Verhindern könnte man dieses dadurch, daß man die Installation von Kernel Modulen unterbindet (macht Tiny z.B.).

Übrigens sind einige Firewalls (ZA ausnahmsweise nicht mehr) ebenso blind für Verbindungen, die mit RAW Sockets aufgebaut wurden.

ZoneAlarm und ALLE anderen Firewalls ohne Sandbox Komponente sind zudem anfällig für Code Injections. Damit meine ich nicht die DLL Injektion, sondern eine richtige Code Injektion. Einen Prozess suspended starten, Code an EIP austauschen und das wars. Keine zusätzliche DLL ). Zu verhindern wäre dies durch eine einfache Speicherprüfsumme ). Genutzt wird das bislang von einer Reihe von Viren/Hybriden.

Und das einfachste zu guter letzt. Zone Alarm (und so gut wie alle anderen Programme) können nicht überprüfen, ob der User oder eine Anwendung auf einen "Erlauben" Button geklickt haben. Ob der Klick simuliert oder echt ist wird nicht geprüft. Für MoSucker 2.3 existier dafür z.B. ein Plug In.

Es gibt da noch mehr Sachen die mir da spontan einfallen würden, aber mehr habe ich noch nicht getestet ). Z.B. eine Modifikation der entschlüsselten Rulesets im Speicher (ja, das geht, trotz Dienst *fg*) usw. usw. usw. . Aber das ist ein Anfang.

Na,

das nenn ich mal eine überzeugende Argumentation o

Domino

Stimmt. Schon beeindruckend.

Danke!

@urban:

&gt;Hast du einen Führerschein? Fährst du Auto?
&gt;Weißt du, wie der Motor deines Autos
&gt;funktioniert? Kannst du kontrollieren, ob das,
&gt;was letztens auf der Rechnung der Kfz-Werkstatt
&gt;stand, auch wirklich nötig war und gemacht wurde?

Der Vergleich hinkt aber gewaltig. Sicher weiß ein Autofahrer meißt nicht wie ein Motor funktioniert. Allerdings wird auch niemand ohne ein Grundwissen über Sicherheit an das Rad eines Autos gelassen.

Es ist meiner Ansicht nach nicht notwendig das OSI Modell samt TCP und UDP Spezifikationen auswendig zu kennen nur um sein System zu sichern. Allerdings sollten bestimmte Sicherheitsbestimmungen gelernt und eingehalten werden.

Wenn Du Dir eine Kettensäge kaufst, dann liest Du Dir sicherlich auch die Sicherheitsbestimmungen durch, weil Du sicherlich nicht Gefahr laufen willst, daß Du Dir den Arm damit absäbelst. Wieso sollte dieses Verhalten beim PC dann nicht sinnvoll sein oder evtl. sogar gefordert werden?

Ich persönlich halte Personal Firewalls für die meisten eher für hinderlich ... . Sein wir mal ehrlich, sie nerven ;o). Der Schutzfaktor ist sehr umstritten. Teilweise reicht es einen simplen Registry Wert oder ein einziges Byte zu ändern und die Firewall gibt keinen Ton mehr von sich.

Es gibt da unendlich viele Möglichkeiten ).

Eine Firewall ist theoretisch MAXIMAL als eine Ergänzung hilfreich. Faktisch stoppt sie nicht mal Spyware (ja, Spyware benutzt solche Techniken wie oben - besonders beliebt sind da Browser PlugIns getarnt als "Toolbars" - COM Controls werden Großteils von Firewalls nicht korrekt erfaßt).

Sicherlich werden eine Reihe von uralt Backdoors erkannt. Sicher meldet die Firewall auch ganz normale Anwendungen (die haben schließlich auch nichts zu verbergen und versuchen nicht mal an der Wall vorbei zu kommen). Allerdings wird sich niemand sagen:

"Ja mei, meine Anti-Viren Software erkennt nur Viren von vor 2 Jahren, aber das reicht ja."

Jeder weiß wie groß die Verbreitung eines neuen Infektors sein kann (siehe z.B. aktuell Bugbear) und spätestens jetzt sollte klar werden, wieso ein Schutzprogramm nichts taugen kann, daß 2 Jahre alte Malware entdecken kann, bei neuerer allerdings versagt.

Ein NetBus ist keine Bedrohung mehr. Ein Optix Firewall Bypass oder ein Assasin aber. Und das sind dieses mal keine theoretischen Tests oder irgendwelche Leaktestspielereien, sondern wirkliche Malware, die da draußen wirklich anzutreffen ist.

Firewalls sind derzeit entweder kaum zu gebrauchen, da zu schnell zu umgehen (Outpost, ZA, Tiny 2.x usw.) oder sie sind derart komplex und umständlich, daß sie ein normaler User kaum in den Griff bekommt (Tiny 3.x).

Statt einem User den Rat zu geben eine Firewall zu installieren und ihm dabei stundenlang zu helfen (wie es oft geschieht) sollte man ihm lieber beibringen wie er sein System aktuell hält und was er grundlegend zu beachten hat, um "Unfälle" zu vermeiden.

Einen perfekten Schutz gibt es nicht. Allerdings gibt es einen guten Schutz und einen unzureichenden Schutz.

Eine Firewalls schützt weder vor Würmern, noch vor Backdoors noch vor Viren. Wer etwas anderes behaupten möchte, der kann das gerne tun. Danach soll er mir dann auch gleich sagen wo eine Firewall Loveletter, CIH oder Assasin bzw. Optix Lite FWB blockiert.

Firewalls sind meiner Ansicht nach eine Art Placebo. Allerdings richten echte Placebos keine Schäden an, Firewalls dagegen schon, da man sich schnell in falscher Sicherheit wiegt.

Fatal wird es dann, wenn die User Meldungen wie "Backdoor SubSeven blockiert" und ähnliches zu sehen bekommen, die komplett falsch sind und das Gefühl der Sicherheit des Users nur noch mehr verstärken. Wer sich zu sicher fühlt ist auch bereit schneller Risikos einzugehen. Das ist auch beim Auto nicht anders (mal zu Urban wink *fg*).

Genau deshalb halte ich die Benutzung von Firewalls für normale Anwender für "sinnfrei". Firewalls haben sicher ihre Berechtigung wenn es darum geht eintreffenden Verkehr zu überwachen (was bei "Home Usern" aber kaum der Fall ist).

Wenn mich jemand fragen würde, wie er sein System absichern sollte, dann würde ich ihm derzeit (derzeit, weil ich kann meine Meinung ja auch mal ändern *fg*) wahrscheinlich folgendes antworten:

1. Benutze möglichst ein ECHTES Multiuser System wie z.B. Windows 2000 oder Windows XP professional. Dabei aber aufpassen, daß man es nicht nur benutzen sondern auch ausnutzen sollte. Sprich:

Nicht ständig als Admin arbeiten usw. .

2. Mach windowsupdate.microsoft.com zu deiner Startseite, selbst wenn Du nicht den Internet Explorer oder Outlook benutzt. Man glaubt gar nicht wieviele vermeintlich sichere Mailer zum Anzeigen von HTML Mails die IE Engine nutzen und somit die selben Lücken haben wie Outlook oder wieviele Programme intern die IE Engine nutzen für HTML Seiten (WinAMP, Real One, KAZAA, eDonkey usw.).

3. Mache Dir Gedanken über das was Du im Netz tust. Es gibt kein Patentrezept das auf alle Bedürfnisse passt. Wenn jemand z.B. kommt und sagt: "Hallo. Ich surfe viel im Netz und schreibe häufig Mails mit meinen Kollegen. Was würdet ihr mir zum Schutz vorschlagen?" ist ihm und uns mehr geholfen als wenn er sagt: "Ja, welcher Scanner ist der Beste?".

4. Erwähnte ich schon das mit dem windowsupdate? *fg*

5. Ein Virenscanner bietet nur solange Schutz wie er aktuell ist. Die meisten Scanner sind mittlerweile darauf gekommen, daß man inkrementelle Updates anbieten kann. Daher halte ich persönlich es für sinnvoll den Planer des AV Programmes auf stündliches Update zu stellen. Das selbe würde ich auch jedem anderen empfehlen ).

6. Hmmm - das mit dem windowsupdate sagte ich schon, oder?

7. Sei misstrauisch und informier Dich. Wenn der Kollege aus Deutschland plötzlich eine englischsprachige Mail schickt, ist das extrem auffällig und da sollte man dann nicht denken: "Na, das wird schon ok sein. Ich kenn den ja.". Am besten die Mail direkt löschen, nochmal beim Kollegen nachfragen oder aber sie an jemanden weiterleiten der sich damit auskennt. Niemand wird jemanden hier den Kopf abreißen wenn jemand höflich eine Frage stellt. Allerdings darf man dann auch nicht rummotzen, wenn man nach 1 - 2 Stunden noch keine Antwort hat.

Ja, das wäre es erstmal ). Ich hab jetzt sooooooo viel offtopic geschrieben *fg*. Aber vielleicht bringts ja was *fg*.

@Andreas: Na, das ist doch mal ein schöner Beitrag!!!

Allerdings behagt mir das mit dem Windowsupdate nicht. Leider lassen sich imho manche Updates nur mit ActiveX-Erlaubnis herunterladen, also mit dem IE ... und den will ich nicht benutzen. Korrigiere mich bitte, falls ich irren sollte. Kann man die Updates auch so herunterladen, dass sie später offline ausführbar sind? (Das ist auch bei Neuinstallationen recht praktisch!).

Gruß!
MyThinkTank

</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank:
Kann man die Updates auch so herunterladen, dass sie später offline ausführbar sind?</font>[/QUOTE]Ja, das kann man. Dazu gehst du in das "Download Center" von Microsoft, zu finden auf deren Homepage.
</font><blockquote>Zitat:</font><hr />Das ist auch bei Neuinstallationen recht praktisch!</font>[/QUOTE]Nein, ist es nicht, da es sich um mehrere hundert Updates handelt.

&gt;Kann man die Updates auch so herunterladen, dass
&gt;sie später offline ausführbar sind? (Das
&gt;ist auch bei Neuinstallationen recht praktisch!).

Ja, dann musst Du sie aber per Hand zusammensuchen. Oder Du benutz ein Programm wie BigFix, daß alle Updates für dein System anzeigt. Benutzt kein Active X, allerdings die IE Engine.

Allerdings frage ich mich, wieso Leute kein Active X nutzen wollen, aber keine Skrupell vor XPI und Netscape PlugIns haben.

Du kannst ja nur die Nutzung von Active X gestatten, aber die Installation neuer Controls deaktivieren. Dann gehst Du einmal auf WindowsUpdate, lässt das Update Control installieren und danach kannst Du die Installation neuer Controls einfach abschalten.