Hallo,
</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH:
Daraus folgt: ZA wehrt keinen einzigen Angriff ab. Der Angriff des Opasoft-Wurmes wird aber von ZA abgewehrt.</font>[/QUOTE]Ich halte den Vergleich für unzutreffend. Deiner Argumentation folgend gibt es noch weitere Möglichkeiten, Opasoft ohne ZA abzuwehren: Netzstecker ziehen, Festplatte formatieren, gar keinen PC besitzen oder ihn nie anschalten... Genau das ist jedoch nicht der Punkt. Wenn du den Rechner im Netz hast, erreichst du die 100% Sicherheit, in dem du die Schwachstelle beseitigst: du entfernst den Freigabedienst. Wie das geht, steht weiter oben. Alles andere (wie das Herumgepfusche mit ZA) ist Unsinn.
</font><blockquote>Zitat:</font><hr />Und besser, als den Wurm mittels ZA zu entdecken, findest du, den Rechner neu aufzusetzen.</font>[/QUOTE]Das war anders gemeint: bei einem Virus/Wurm/whatever-Befall ist es besser, das kompromittierte System neu zu installieren und aus den Fehlern zu lernen (so man nicht lernresistent ist), da du nur dann sicher sein kannst, daß wirklich alle Reste gelöscht sind und dir ein Hacker nicht noch was anderes untergeschoben hat.
</font><blockquote>Zitat:</font><hr />Meinst du wirklich, daß es nur ganz unsicher oder 100% sicher gibt?</font>[/QUOTE]Ja. Das bezieht sich auf bestimmte Bedrohungsszenarien.
Tip: http://www.iks-jena.de/mitarb/lutz/u...tml#Sicherheit
</font><blockquote>Zitat:</font><hr /> Soll das nur für Computer gelten oder in allen Lebensbereichen?</font>[/QUOTE]Ich denke nicht schwarz/weiß, falls du das meinst. Aber im Bereich der Computersicherheit halte ich Kompromisse für sinnfrei.
</font><blockquote>Zitat:</font><hr />Da anscheinend überhaupt niemand verstanden hat, warum ein unsicherer PC mit Zonealarm besser dran ist</font>[/QUOTE]s/dran_ist/dran_sein_sollte/
Nein, ich verstehe es auch nicht.

[ 08. Oktober 2002, 23:16: Beitrag editiert von: Dr Prantl ]

Hallo zusammen,
</font><blockquote>Zitat:</font><hr />
Andreas Haak: Angriffe sind anders definiert
</font>[/QUOTE]Ich hatte ja keine Ahnung, daß Angriff im Fachchinesisch ein reserviertes Wort ist.
Außerdem bestätigte mir Dr Prantl in einem anderen Thread am 4.10. auf meine
Nachfrage: "den Kopierversuch des Wurmes würde ich als Angriff werten".

Da mir klar ist, daß ich hier als Advocatus Diaboli mit besonderer Strenge zu rechnen habe, las ich die "sicher oder unsicher"-Passage mehrfach durch und dachte auch darüber nach, bevor ich nachfragte:
</font><blockquote>Zitat:</font><hr />
Meinst du wirklich, daß es nur ganz unsicher oder 100% sicher gibt?
</font>[/QUOTE] </font><blockquote>Zitat:</font><hr />
Dr Prantl: Ja. Das bezieht sich auf bestimmte Bedrohungsszenarien.
</font>[/QUOTE] </font><blockquote>Zitat:</font><hr />
Andreas Haak: Es gibt keinen 100% igen Schutz. Es gibt einen guten und es gibt einen unzureichenden.
</font>[/QUOTE]Bei so viel Verwirrung darf man doch wohl eine Erklärung bitten?
Die hat Dr Prantl dann ja auch mit seinem Link gegeben.
</font><blockquote>Zitat:</font><hr />
Andreas Haak: Ein unsicherer PC wird durch Zone Alarm nicht sicher.
</font>[/QUOTE]Das habe ich auch nie behauptet. Lesen lernen.
</font><blockquote>Zitat:</font><hr />
Andreas Haak: Ein Blindes Huhn findet auch mal ein Korn.
</font>[/QUOTE]Und um diese Körner ist ein unsicherer PC mit ZA besser dran als ohne.

Martin

edit: 4.9. in 4.10. berichtigt

[ 10. Oktober 2002, 07:17: Beitrag editiert von: MartinH ]

Nein - denn ZA macht andere Lücken dafür auf.

</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH:
Und um diese Körner ist ein unsicherer PC mit ZA besser dran als ohne.</font>[/QUOTE]Nein. Ist das eigentlich so schwer zu verstehen? Wer seinen Rechner nicht richtig konfiguriert, auf jeden Scheiß klickt wird früher oder später garantiert ein Opfer. ZA nützt da gar nichts. Außer das Leute wie Du glauben, dass es irgentwas "sicherer" macht und deswegen erst recht nichts mehr in Sachen Rechnersicherheit dazulernen wollen.

ZA (und die meisten anderen Personal Firewalls auch) sind nichts weiter als reine Plazebos. Sorry auch wenn Dir die Antwort (und auch einigen anderen) nicht gefällt, aber so ist es halt.

wizard

Hallo Wizard und ihr anderen,

was glaubt ihr denn, warum ich mich tagelang so intensiv mit diesem Thema beschäftigt habe?
Weil ich ein unbelehrbarer Anhänger von Zonealarm bin und meine, damit im Internet ein sicheres Versteck zu haben?
Das wurde mir nur immer wieder unterstellt, auch nachdem ich schrieb:
</font><blockquote>Zitat:</font><hr />Man kann ZA nicht zur Verbesserung der Sicherheit empfehlen.</font>[/QUOTE]Ich wollte lediglich dagegen angehen, daß hier sogar die geringen Fähigkeiten, die ZA tatsächlich hat, geleugnet werden.

Ich habe dazugelernt (vor allem, daß Programme, die ZA aushebeln, gar nicht mal so selten sind) und bin ich bereit, weiter dazuzulernen.

Zu diesem Zweck werde ich zum x-ten Male die einschlägigen FAQs und Links durchflöhen, um die zusätzlichen Lücken zu finden, die ZA aufmacht.

Und dabei werde ich ab und zu nachsehen, ob sie hier (nochmal?) erklärt werden.
Ich erinnere mich nur an den Hinweis, zusätzliche Software, die so tief ins System eingreift, sei grundsätzlich ein Risiko.

Martin

Hmm...die Mehrzahl scheint hier Firewalls für sinnlos zu halten. Da mir das noch nicht so ganz einleuchtet, hätte ich noch einige Fragen...

1. Warum setzen viele der Personalfirewallgegner selbst eine ein?

2. Warum mögen Scriptkiddies lieber ein Opfer ohne Firewall als ein Opfer mit Firewall?

3. Warum wird hier nicht zwischen Zone Alarm (ZA) und Zone Alarm Plus bzw. Pro (ZAP) unterschieden?

4. Welche neuen Lücken macht ZA oder ZAP auf?

5. Warum wird Assasin in einem PFW-Thread als firewalltunnelnder Trojaner bezeichnet und angedeutet, dass eine ganz normale PFW Assasin nicht blockieren würde?

6. Warum wird als Beweis für die Nutzlosigkeit ein teilweise relativ theoretisches Horrorszenario (allmächtiger Hacker, Code Injektion, Raw Sockets, etc. vs. total unerfahrenes Opfer)genannt?

7. Warum wird nicht darauf hingewiesen, dass die neue Firewallgeneration mit Optix Lite FWB fertig wird und in der Regel auch durch die Mehrzahl der sonst genannten Sicherheitslücken (Raw Sockets, Trojaner mit eigenem Stack, "Button klicken", etc.) nicht betroffen ist?

8. Warum wird nicht darauf hingewiesen, dass man mit einer Firewall einen Trojaner schon dadurch entlarven kann, dass man einmal für eine Weile ganz bewusst keine Daten überträgt (also nicht surft) und dann schaut, ob doch Daten übertragen werden?

9. Warum wird in diesem Thread von PFWs abgeraten, obwohl der Leser dieses Threads sich höchstwahrscheinlich für Sicherheit interessiert und deshalb voraussichtlich bereit ist, sich die Mühe zu machen, die Funktionsweise einer Firewall zu verstehen?

10. Wer von den ZA(P) Gegnern hat die ZA(P) schon einmal selbst in der aktuellsten Version auf seinem Rechner installiert und getestet?

11. Warum wird nicht darauf hingewiesen, dass sich Optix Lite FWB in der Praxis nur sehr schwer vor einem AV Scanner verbergen lässt und ausserdem einen so begrenzten Funktionsumfang hat, dass Scriptkiddies in der Regel doch lieber einen normalen Trojaner einsetzen?

12. Warum wird nicht darauf hingewiesen, dass die Verwendung von firewalltunnelnden Trojanern so kompliziert ist, dass viele Scriptkiddies damit überfordert sind?

13. Warum wird auf die Kombinationswirkung von AV Scanner, PFW und sonstigen Schutzvorrichtungen nicht eingegangen?

14. Warum werden nicht auch alle AV Scanner für sinnlos gehalten, obwohl man sie durch Packer/Crypter bzw. durch Patchen überwinden kann?

Mir fallen bestimmt gleich noch mehr Fragen ein...

Gruss Nautilus

[ 10. Oktober 2002, 21:34: Beitrag editiert von: Nautilus ]

Hallo Nautilus,
</font><blockquote>Zitat:</font><hr />* quoting Nautilus:
1. Warum setzen viele der Personalfirewallgegner selbst eine ein?</font>[/QUOTE]Wer? Welche? Wie kommst du darauf?
</font><blockquote>Zitat:</font><hr />2. Warum mögen Scriptkiddies lieber ein Opfer ohne Firewall als ein Opfer mit Firewall?</font>[/QUOTE]Weil Scriptkids Spielkinder sind, denen bei gewissen Anstrengungen schnell der Spaß vergeht.
</font><blockquote>Zitat:</font><hr />3. Warum wird hier nicht zwischen Zone Alarm (ZA) und Zone Alarm Plus bzw. Pro (ZAP) unterschieden?</font>[/QUOTE]Weil letztere an den gleichen konzeptionellen Schwächen krankt.
</font><blockquote>Zitat:</font><hr />4. Welche neuen Lücken macht ZA oder ZAP auf?</font>[/QUOTE]Anfälligkeit für Flooding.
</font><blockquote>Zitat:</font><hr />6. Warum wird als Beweis für die Nutzlosigkeit ein teilweise relativ theoretisches Horrorszenario (allmächtiger Hacker, Code Injektion, Raw Sockets, etc. vs. total unerfahrenes Opfer)genannt?</font>[/QUOTE]Weil es darum geht, gegen gewisse Cyberthreats Sicherheit zu erlangen. Merke: Sicherheit ist binär.
</font><blockquote>Zitat:</font><hr />9. Warum wird in diesem Thread von PFWs abgeraten, obwohl der Leser dieses Threads sich höchstwahrscheinlich für Sicherheit interessiert und deshalb voraussichtlich bereit ist, sich die Mühe zu machen, die Funktionsweise einer Firewall zu verstehen?</font>[/QUOTE]Das verstehe ich ehrlich gesagt auch nicht.
</font><blockquote>Zitat:</font><hr />12. Warum wird nicht darauf hingewiesen, dass die Verwendung von firewalltunnelnden Trojanern so kompliziert ist, dass viele Scriptkiddies damit überfordert sind? </font>[/QUOTE]Ich will dir nicht unterstellen, daß du von dir auf andere schließt. Vielleicht könntest du diese deine Aussage mal mit entsprechenden Fakten untermauern.
</font><blockquote>Zitat:</font><hr />13. Warum wird auf die Kombinationswirkung von AV Scanner, PFW und sonstigen Schutzvorrichtungen nicht eingegangen?</font>[/QUOTE]Es wird.
</font><blockquote>Zitat:</font><hr />14. Warum werden nicht auch alle AV Scanner für sinnlos gehalten, obwohl man sie durch Packer/Crypter bzw. durch Patchen überwinden kann?</font>[/QUOTE]Das kommt auch noch irgendwann.

HTH, docp.

Hallo Prantl, da ich mich mit Trojanern etwas besser auskenne, als mit der Quote-Funktion schreibe ich mal ganz unelegant zwischen Deine Zeilen...

*******
1. Warum setzen viele der Personalfirewallgegner selbst eine ein?

Wer? Welche? Wie kommst du darauf?

Antwort: Iron schreibt dies z.B. auf seiner Homepage. Benutzt Du keine? Seltsam benutzt bestimmt eine. Wizard? Ken?
*******
2. Warum mögen Scriptkiddies lieber ein Opfer ohne Firewall als ein Opfer mit Firewall?

Weil Scriptkids Spielkinder sind, denen bei gewissen Anstrengungen schnell der Spaß vergeht.

Antwort: Ist es nicht gut, wenn man sich dann wenigstens vor diesen nicht mehr fürchten muss? Die geringere Anzahl der dann noch verbleibenden Hacker kann dann gar nicht mehr alles und jeden infizieren. Ausserdem wird es für Newcomer so immer schwerer in der RAT-Szene Fuss zu fassen (was ja vielleicht auch nicht so schlecht ist).
*********
3. Warum wird hier nicht zwischen Zone Alarm (ZA) und Zone Alarm Plus bzw. Pro (ZAP) unterschieden?

Weil letztere an den gleichen konzeptionellen Schwächen krankt.

Antwort: Welche Schwächen meinst Du genau? Warum spielen die erheblichen Vorteile (Konfigurierbarkeit) von ZAP gegenüber ZA keine Rolle?
*******
4. Welche neuen Lücken macht ZA oder ZAP auf?

Anfälligkeit für Flooding.

Antwort: Ich stimme Dir zu, dass Flooding ein ganz ernstes Problem ist, dass bei PFW Tests viel zu wenig untersucht wird. Allerdings ist es sehr schwer, über eine Floodingattacke in den Rechner einzudringen. Normalerweise wird der Rechner nur gebremst bzw. die Firewall zum Absturz gebracht. Im Bereich der PFWs, wo es nicht so sehr darauf ankommt, dass ein Server ständig erreichbar ist, ist Flooding daher IMHO nicht sooo schlimm. Man kann ja auch mal kurz die Internetverbindung trennen. Ausserdem gilt es noch zu belegen, wie anfällig ZAP für Flooding ist. Sind Dir aussagekräftige Tests bekannt?
*******
6. Warum wird als Beweis für die Nutzlosigkeit ein teilweise relativ theoretisches Horrorszenario (allmächtiger Hacker, Code Injektion, Raw Sockets, etc. vs. total unerfahrenes Opfer)genannt?

Weil es darum geht, gegen gewisse Cyberthreats Sicherheit zu erlangen. Merke: Sicherheit ist binär.

Antwort:
Meine Devise lautet: An dem Tag, an dem mein Rechner wirklich 100% sicher ist, werde ich bestimmt an der nächsten Ampel vom Auto überfahren. Ich (und viele andere User) können halt ganz gut damit leben, dass ihr Rechner ziemlich sicher ist und sich die Chance das Opfer eines erfolgreichen Hacks zu werden pro Jahr auf nicht mehr als - sagen wir mal - 0,1% beläuft. Lass uns doch wie im richtigen Leben auch im Bereich der Computer ein gewisses Risiko eingehen. By the way...die "sicherheitsbewussten" Linux User haben jetzt gerade ein Problemchen mit KDE...
****
9. Warum wird in diesem Thread von PFWs abgeraten, obwohl der Leser dieses Threads sich höchstwahrscheinlich
für Sicherheit interessiert und deshalb voraussichtlich bereit ist, sich die Mühe zu machen, die Funktionsweise einer Firewall zu verstehen?

Das verstehe ich ehrlich gesagt auch nicht.

Antwort: Dann sind wir schon zwei Bin übrigens auf Deinen anstehenden Firewalltest gespannt.
*********
12. Warum wird nicht darauf hingewiesen, dass die Verwendung von firewalltunnelnden Trojanern so kompliziert ist,
dass viele Scriptkiddies damit überfordert sind?

Ich will dir nicht unterstellen, daß du von dir auf andere schließt. Vielleicht könntest du diese deine Aussage mal mit entsprechenden Fakten untermauern.

Antwort: Hast Du Optix Lite FWB schon mal selbst ausprobiert? Und alle benötigten Webservices eingerichtet? Den Server dann so gepackt, dass ihn ein AV Scanner nicht mehr erkennt? Wenn Du die dabei auftretenden Praxisprobleme für sooo einfach lösbar hältst, bist Du ein Naturtalent Im Ernst...für ein Scriptkiddy ist das alles nicht so einfach. Ich mag die einzelnen Probleme hier nicht posten, nenne sie Dir aber gerne per PM oder Email, so dass Du meine Aussage besser verifizieren kannst. Vielleicht genügt es aber auch schon, wenn Du einen Blick in die Optix Lite FWB Helpfiles wirfst?
*******
13. Warum wird auf die Kombinationswirkung von AV Scanner, PFW und sonstigen Schutzvorrichtungen nicht
eingegangen?

Es wird.

Antwort: Hmm? IMHO ist es nämlich so, dass ein AV Scanner oder eine Firewall isoliert viel leichter zu umgehen sind, als eine sinnvolle Kombination aus FW, KAV, TrojanHunter, WinXP Pro (aber nicht im Adminmodus), usw.
**********
14. Warum werden nicht auch alle AV Scanner für sinnlos gehalten, obwohl man sie durch Packer/Crypter bzw.
durch Patchen überwinden kann?

Das kommt auch noch irgendwann.

Antwort: Ich glaube, dass der Kampf zwischen AV und VX noch für eine Weile andauern wird. Es wird immer derjenige Sieger bleiben, der schneller, schlauer und aktueller ist. Und das muss nicht immer das Scriptkiddy sein. AV Scanner werden vermutlich demnächst verstärkt als Behaviourscanner funktionieren.

HTH, docp.
Gruss Nautilus (auf die Hoffnung hin, dass HTH nicht wieder sowas wie FOAD bedeutet

@ Nautilus:
Zu 1.: Wo du schon meine Seite erwähntst - hast du auch genau gelesen?
Ich zitiere mal mich selbst:
Leider glauben die meisten Anwender den Versprechungen der Hersteller von Desktop-Firewalls blind und sind mit der sinnvollen Nutzung des Produkts mangels Wissen und aufgrund ihrer Bequemlichkeit meist hoffnungslos überfordert. Oft wissen die Anwender gar nicht, wie wenig ihnen die Software hilft, lassen sich von Alarmmeldungen aller Art beeindrucken, ohne deren wahren Informationsgehalt zu hinterfragen.
und weiter...
Der einzige, teilweise Nutzen einer Firewall besteht darin, dass sie (leider nicht zuverlässig) meldet, wenn ein Programm auf dem Rechner des Anwenders eine Verbindung zum Internet herstellen will. Dieser muss nun entscheiden, ob das Programm vertrauenswürdig ist und kann eine entsprechende Regel erstellen. Nachteil: Die meisten Anwender wissen nicht, ob die Programme vertrauenswürdig sind und sie wissen auch oft nicht, zu welchem Zweck die Verbindung aufgebaut wird und welche Daten hin und her fließen. Einige Programme tun dies, um nach Updates zu suchen, andere verifizieren Seriennummern oder übertragen Benutzerdaten. Dies ist nur selten klar ersichtlich. Daher entscheiden sich die Anwender meist falsch.
Und schließlich:
Ich habe einige dieser Desktop-Firewalls benutzt, allerhand dazugelernt und weiß ganz genau, was sie nicht können und wo sie sinnlos werden. Mittlerweile ist mein PC selbst dann sicher, wenn ich die Firewall abschalte.

@Iron Ja. Auch das hatte ich gelesen. Und diese Aussagen scheinen mir auch ganz vernünftig. (Die Seite zum Filesharing übrigens auch. Deine Kunst gefällt mir ebenfalls. Die DAU-Seiten weniger.)

Vielleicht sollten wir in diesem Thread weniger darauf hinwirken, dass sich niemand mehr eine Firewall installiert, sondern stattdessen in leicht verständlichen Worten (am besten mit Screenshots und anhand einiger praktischer Beispiele a la Optix Lite und Optix Lite FWB) erklären, wie man eine gute PFW sinnvoll einsetzt?

Gruss Nautilus

In leicht verständlichen Worten? Sorry, aber: WO LEBST DU?
Das wird immer wieder versucht und wird immer wieder scheitern. Je einfacher die Worte, desto unkonkreter sind die Informationen und damit auch desto unglaubwürdiger die Argumente. Wird man konkreter, kommt der Durchschnittsuser nicht mehr mit.
Darüberhinaus ist jedes System anders konfiguriert und bedarf anderer Regeln. Mit Screenshots dürfte das daher nichts werden.

</font><blockquote>Zitat:</font><hr />Thus spake Nautilus:
[Grund für PFW-Einsatz]
Benutzt Du keine?</font>[/QUOTE]Auf meiner Workstation habe ich tatsächlich keine, ich vermisse sie auch nicht. Mein Internetgateway ist anderweitig gesichert und bei Lanparties (eher selten) behelfe ich mir mit IPSec. Andere Szenarien kommen bei mir nicht vor. Ein Modem oder ähnliches Geraffel habe ich nicht.
</font><blockquote>Zitat:</font><hr />[Scriptkids]
Ist es nicht gut, wenn man sich dann wenigstens vor diesen nicht mehr fürchten muss?</font>[/QUOTE]Wenn das wirklich so ist? Wie häufig zu lesen ist, gibt es tunnelnde Trojaner, ein paar Scriptenkids werden wohl auch damit klarkommen.
</font><blockquote>Zitat:</font><hr />Ausserdem wird es für Newcomer so immer schwerer in der RAT-Szene Fuss zu fassen</font>[/QUOTE]Bei BuHa kann man sich nicht mehr registrieren, weil da schon zu viele Leute angemeldet sind. Das halte ich für kein gutes Zeichen.
</font><blockquote>Zitat:</font><hr />[ZA Pro]
Welche Schwächen meinst Du genau?</font>[/QUOTE]Die umständliche Handhabung, die kindische Oberfläche und das Hauptproblem zwischen Tastatur und Stuhl.
</font><blockquote>Zitat:</font><hr /> Warum spielen die erheblichen Vorteile (Konfigurierbarkeit) von ZAP gegenüber ZA keine Rolle?</font>[/QUOTE]Ich finde ZA(Pro) generell Mist, weil sie auch viel zu aufgeblasen ist. Tiny/Kerio ist deutlich schlanker.
</font><blockquote>Zitat:</font><hr />Allerdings ist es sehr schwer, über eine Floodingattacke in den Rechner einzudringen.</font>[/QUOTE]Ich wäre mir da nicht so sicher. man Buffer Overflow. Die Firewall muß die Pakete verarbeiten und "hineinsehen".
</font><blockquote>Zitat:</font><hr /> Normalerweise wird ... die Firewall zum Absturz gebracht.</font>[/QUOTE]In diesem Moment stehst du mit heruntergelassenen Hosen da, und eventuell laufende Dienste (Datei- und Druckerfreigabe) können angegriffen werden.
</font><blockquote>Zitat:</font><hr />wie anfällig ZAP für Flooding ist. Sind Dir aussagekräftige Tests bekannt? </font>[/QUOTE]Dr Seltsam hatte IIRC mal was getestet. Auch Ken kann dir dazu mehr sagen.
</font><blockquote>Zitat:</font><hr />Bin übrigens auf Deinen anstehenden Firewalltest gespannt.</font>[/QUOTE]Den werde ich Samstag durchführen. Ich kann mir fast vorstellen, daß du mir dabei sogar helfen könntest, da ich noch ein paar T00lz brauche.
</font><blockquote>Zitat:</font><hr />Hast Du Optix Lite FWB schon mal selbst ausprobiert?...</font>[/QUOTE]Nein, nie. Kein Bedarf und keine Notwendigkeit.
</font><blockquote>Zitat:</font><hr />Gruss Nautilus (auf die Hoffnung hin, dass HTH nicht wieder sowas wie FOAD bedeutet </font>[/QUOTE]Dann hätte ich sicher einen entsprechenden Smiley gesetzt. [img]smile.gif[/img]

ciao
[img]graemlins/teufel3.gif[/img]

&gt;1. Warum setzen viele der Personalfirewallgegner
&gt;selbst eine ein?

Ich setze keine ein ). Für andere kann ich nicht spechren.

&gt;2. Warum mögen Scriptkiddies lieber ein Opfer
&gt;ohne Firewall als ein Opfer mit Firewall?

Weil sie Scriptkiddies sind. So einfach wie möglich soll das gehen.

&gt;3. Warum wird hier nicht zwischen Zone Alarm
&gt;(ZA) und Zone Alarm Plus bzw. Pro (ZAP)
&gt;unterschieden?

Ich sprach von der KOSTENLOSEN ZA Version. Die Lücken die ich aufgezählt habe gelten für beide ZA Versionen.

&gt;4. Welche neuen Lücken macht ZA oder ZAP auf?

Fehler im Treiber und Layer bei hoher Belastung.

&gt;5. Warum wird Assasin in einem PFW-Thread als
&gt;firewalltunnelnder Trojaner bezeichnet und
&gt;angedeutet, dass eine ganz normale PFW Assasin
&gt;nicht blockieren würde?

Weil viele Firewalls eine recht unsichere Standardkonfiguration haben und ausgehende Verbindungen zu gewissen Ports (DHCP, DNS usw.) ist erlaubt sind und man mit Hilfe von Assasin diese Lücken ausnutzen kann.

&gt;6. Warum wird als Beweis für die Nutzlosigkeit
&gt;ein teilweise relativ theoretisches
&gt;Horrorszenario (allmächtiger Hacker, Code
&gt;Injektion, Raw Sockets, etc. vs. total
&gt;unerfahrenes Opfer)genannt?

Weil sie nicht theoretisch sind. Code Injection wird von vielen Viren und Würmern genutzt. RAW Sockets werden z.B. von ACKCMD genutzt (ist allerdings nur ein Testtrojaner). Du wirst wohl kaum bestreiten, daß Firewall Tunnelnde Trojaner itw sind, oder?

&gt;7. Warum wird nicht darauf hingewiesen, dass die
&gt;neue Firewallgeneration mit Optix Lite FWB
&gt;fertig wird und in der Regel auch durch die
&gt;Mehrzahl der sonst genannten Sicherheitslücken
&gt;(Raw Sockets, Trojaner mit eigenem
&gt;Stack, "Button klicken", etc.) nicht betroffen
&gt;ist?

Weil sie davon eben doch noch betroffen sind. RAW Sockets wird von vielen noch immer nicht beherrscht. Der eigene Stack wird auch nur von 2 - 3 erkannt. Das mit dem Button Klicken funktioniert sogar bei allen die ich so getestet habe (Tiny, Kerio, Agnitum, ZoneLabs).

Optix tunnelt immer noch die meisten FW Systeme.

&gt;8. Warum wird nicht darauf hingewiesen, dass man
&gt;mit einer Firewall einen Trojaner schon dadurch
&gt;entlarven kann, dass man einmal für eine Weile
&gt;ganz bewusst keine Daten überträgt (also nicht
&gt;surft) und dann schaut, ob doch Daten übertragen
&gt;werden?

Dazu brauchst Du keine Firewall.

&gt;10. Wer von den ZA(P) Gegnern hat die ZA(P)
&gt;schon einmal selbst in der aktuellsten Version
&gt;auf seinem Rechner installiert und getestet?

Ich - anders hätte ich es nicht testen können, odeR?

&gt;11. Warum wird nicht darauf hingewiesen, dass
&gt;sich Optix Lite FWB in der Praxis nur sehr
&gt;schwer vor einem AV Scanner verbergen lässt und
&gt;ausserdem einen so begrenzten Funktionsumfang
&gt;hat, dass Scriptkiddies in der Regel doch lieber
&gt;einen normalen Trojaner einsetzen?

Weil sich Optix prima dazu eignet die Schutz Software abzuschalten auf dem Rechner. Optix Aufgabe dient ja nur dazu einen "umfangreicheren" Backdoor auf dem System zu platzieren.

In der Praxis lässt sich Optix Lite recht einfach verstecken - finde ich.

&gt;12. Warum wird nicht darauf hingewiesen, dass
&gt;die Verwendung von firewalltunnelnden Trojanern
&gt;so kompliziert ist, dass viele Scriptkiddies
&gt;damit überfordert sind?

Wieso wird vor Viren gewarnt aber nicht darauf hingewiesen, daß sie so kompliziert sind, daß ein Scriptkiddie nicht mal wüsste wie man ihn verbreiten soll? Ob Person xy nun weiß wies geht oder nicht - die Gefahr bleibt.

&gt;13. Warum wird auf die Kombinationswirkung von
&gt;AV Scanner, PFW und sonstigen
&gt;Schutzvorrichtungen nicht eingegangen?

Ein guter AV Scanner macht eine Firewall für den normal Anwender imho überflüssig.

&gt;14. Warum werden nicht auch alle AV Scanner für
&gt;sinnlos gehalten, obwohl man sie durch
&gt;Packer/Crypter bzw. durch Patchen überwinden
&gt;kann?

Weil im Gegensatz zu Firewalls neue Konzepte existieren, die diese Probleme nicht haben *fg*.

Außerdem wird ziemlich oft darauf aufmerksam gemacht und auch diskutiert und beraten und man glaube es kaum, es wird sogar an lösungen gearbeitet *fg*.

@Iron: Ich sprach nicht von einem weiteren Tutorial zur Konfiguration von Firewalls. Davon gibt es in der Tat schon viele. Ich will auch nicht argumentieren oder ins Abstrakte abgleiten.

Woran ich dachte, ist Folgendes: Es wird beispielhaft ein klassischer Infektionsvektor dargestellt (z.B. das Starten einer Anwendung namens xyzinstall.exe, die man per Email erhalten oder in Kenntnis des damit verbundenen Risikos aus einer Filesharingbörse gesaugt hat) und dem User erklärt, wie man in einer solchen Situation sinnvoll vorgeht (wenn der Verzicht auf ein Ausführen des Programmes nicht in Betracht kommt). So ein Tutorial habe ich noch nicht oft gesehen und es würde eigentlich gut zum Trojaner-Board passen. Es könnte dabei ganz konkret die Vorgehensweise zur Erkennung eines im Installer potentiell vorhandenen Trojaners (sogar die eines firewalltunnelnden Trojaners) per AV Scanner, Firewall, Cleansweep bzw. Registryüberwachungstool, etc. veranschaulicht werden.
*******
*******
*******

@Prantl

Stichwort BuHa-Board...wenn Du dort mal in den Trojaner-Thread schaust, wirst Du sehen, dass es total verödet ist. Da bekommt kaum noch jemand Hilfe. Aber ich stimme Dir zu, es gibt immer noch genug Boards, wo man Hilfe bekommt...
*****
"Die umständliche Handhabung, die kindische Oberfläche und das Hauptproblem zwischen Tastatur und Stuhl...Ich finde ZA(Pro) generell Mist, weil sie auch viel zu aufgeblasen ist. Tiny/Kerio ist deutlich schlanker."

Antwort: Das sind aber relativ "weiche" Argumente. Dafür besteht die Kerio 2 viele Leaktests nicht. (Ich will damit keineswegs sagen, dass ZAP die beste aller Firewalls ist, sondern nur für eine differenzierte, faire Beurteilung plädieren. Wenn ZAP beispielsweise allzu tief ins System eingreift und sich nicht mehr vernünftig deinstallieren laesst, wäre das für mich durchaus als wirklicher Minuspunkt dieser Wall anzusehen. Andere Walls sind aber auch nicht perfekt.)
******
Stichwort: Buffer Overflow -- In der Tat ist das nicht gänzlich auszuschliessen. Aber wohl eher eine theoretische Gefahr. Bislang wurde eine Wall IMHO noch nie erfolgreich aus dem Internet heraus exploited. Anders sieht es bei Webbrowsern aus etc.
*****
"Normalerweise wird ... die Firewall zum Absturz gebracht.
...
In diesem Moment stehst du mit heruntergelassenen Hosen da, und eventuell laufende Dienste (Datei- und Druckerfreigabe) können angegriffen werden."

Wenn man sogar solche Dienste auf dem Rechner laufen hat, dann sollte man auf jeden Fall eine FW installieren (wenn das Geld nicht für Deine Lösung reicht). Die FW wird zwar evt. mal "abgeschossen"...aber wenn man sie deshalb erst gar nicht laufen lässt, ist es ja noch schlimmer. Du wolltest aber wahrscheinlich sagen, dass man sich primär darum kümmern soll, dass die Datei- und Druckerfreigabe deaktiviert ist (wenn man sie nicht braucht). Da stimme ich Dir natürlich zu. Die Firewall ersetzt keine vernünftige Systemkonfiguration, sondern ergänzt sie.
********
Stichwort: Firewalltest. Sag mir doch per Email Bescheid, welche Tools Du benötigst. Vielleicht habe ich sie ja. Rokop und Wizard haben meine Email. Ich möchte sie hier nicht ständig im Forum posten, sonst bekomme ich bald wieder Spam. (Ansonsten PM.)
*****
*****
*****

@Seltsam

"Ich setze keine [Personal Firewall] ein [img]redface.gif[/img] ). Für andere kann ich nicht spechren." -- Kein Wunder, dass sich dann Dein TDS immer wieder deaktiviert hat )))

****
"Weil sie Scriptkiddies sind. So einfach wie möglich soll das gehen." -- Genau das ist ja mein Punkt.

***
"Welche neuen Lücken macht ZA oder ZAP auf?

Fehler im Treiber und Layer bei hoher Belastung."

Antwort: Das Problem haben Kerio und Outpost wohl auch. In der Praxis wird man als Normalsurfer, der keinen Webserver betreibt, aber sehr sehr selten das Opfer eines gezielten, lang andauernden Floods. Ausserdem kann man dann immer noch wie oben bereits beschrieben vorgehen.
*******
"5. Warum wird Assasin in einem PFW-Thread als
&gt;firewalltunnelnder Trojaner bezeichnet und
&gt;angedeutet, dass eine ganz normale PFW Assasin
&gt;nicht blockieren würde?

Weil viele Firewalls eine recht unsichere Standardkonfiguration haben und ausgehende Verbindungen zu gewissen Ports (DHCP, DNS usw.) ist erlaubt sind und man mit Hilfe von Assasin diese Lücken ausnutzen kann."

Antwort: Der Hinweis auf den potentiellen Konfigurationsfehler in Sachen DNS ist gut und richtig. Man kann ihn aber leicht abstellen. Wer diesen Thread liesst, sollte dies tun.

Ich sehe Assasin vor allem als Gefahr für LANs und Unternehmen an, die keine PFW (Applicationfirewall) einsetzen. (Schönen Gruss an Prantl Eine normale PFW meldet dagegen bei Assasin, dass die Datei msspool32.exe (falls sie nicht umbenannt wurde) ins Web will. Das liegt daran, dass Assasin IMHO nicht die Technik der .dll Injektion unterstützt.
****
"Weil sie nicht theoretisch sind. Code Injection wird von vielen Viren und Würmern genutzt. RAW Sockets werden z.B. von ACKCMD genutzt (ist allerdings nur ein Testtrojaner). Du wirst wohl kaum bestreiten, daß Firewall Tunnelnde Trojaner itw sind, oder?"

Antwort: Nein. Das bestreite ich nicht. Habe selbst auch gerade wieder einige dau-taugliche Tools zur .dll Injizierung gefunden. Aber noch sind die entsprechenden Trojaner nicht sehr verbreitet und ausserdem bietet die neue Firewallgeneration insoweit schon wieder etwas Schutz. Also kein Grund zu verzweifeln. (Raw Sockets werden meines Wissens zumindest von ZA, Kerio und Sygate überwacht?) Nur nochmal zur Klarstellung: Die Warnhinweise und die Sicherheitstips in Deinen beiden Threads unterstütze ich voll uns ganz.
*****
Stichwort Button-Click:

Mein Tip...Administrationspasswort setzen (um ein Allow All oder ein Manipulation der Rules zu verhindern); bei Kerio 2 den DisableAllUponTermination Regkey aktivieren; darauf achten, ob das Firewall- bzw. AV Scanner- Icon in der Taskleiste erlischt. (IMHO sind Firewallkilling-Techniken viel zu auffällig und führen dazu, dass ein Trojaner binnen kürzester Zeit entdeckt wird.)
****
"Weil sich Optix prima dazu eignet die Schutz Software abzuschalten auf dem Rechner. Optix Aufgabe dient ja nur dazu einen "umfangreicheren" Backdoor auf dem System zu platzieren.
In der Praxis lässt sich Optix Lite recht einfach verstecken - finde ich."

Antwort: Ich gehe davon aus, dass wir immer noch von Optix Lite FWB (und nicht Optix Lite) sprechen. Das Abschalten der Schutzsoftware ist IMHO auf Dauer sehr auffällig und stellt deshalb den Sinn dieser Schutzsoftware nicht in Frage. Natürlich ist es aber wieder richtig, dass Du auf diese Gefahr hinweist.

Schicke mir doch einmal einen ungepatchten, aber dennoch unerkennbaren Optix Lite FWB. Meine Email hast Du ja. Ich wäre sehr überrascht, wenn Du das mit konventionellen Methoden hinbekommst
*****
"Wieso wird vor Viren gewarnt aber nicht darauf hingewiesen, daß sie so kompliziert sind, daß ein Scriptkiddie nicht mal wüsste wie man ihn verbreiten soll? Ob Person xy nun weiß wies geht oder nicht - die Gefahr bleibt."

Antwort: Die Gefahr bleibt in der Tat bestehen. Der Unterschied ist aber, dass sich Viren und Würmer sehr schnell und automatisch verbreiten. Trojaner in der Regel nicht.
****
"Ein guter AV Scanner macht eine Firewall für den normal Anwender imho überflüssig."

IMHO bieten PFWs selbst für sehr unerfahrene Anwender einen gewissen Zusatzschutz, wenn nach der simplen Methode verfahren wird: "Im Zweifel blocken (es sei denn der Computer funktioniert dann nicht mehr wie gewünscht)". Je mehr der Anwender dann die Funktionsweise einer PFW versteht, desto mehr Sinn macht sie auch. So war es zumindest bei mir. Gäbe es ZoneAlarm nicht, hätten viele Leute vielleicht niemals eine PFW installiert und gelernt, sie zu verstehen.
****
Weil im Gegensatz zu Firewalls neue Konzepte existieren, die diese Probleme nicht haben *fg*.

Konzepte...*ggg*. Was hältst Du von Bitdefender?

Gruss Nautilus

[ 11. Oktober 2002, 20:25: Beitrag editiert von: Nautilus ]

&gt;Ich wollte lediglich dagegen angehen, daß hier
&gt;sogar die geringen Fähigkeiten, die ZA
&gt;tatsächlich hat, geleugnet werden.

Du meinst die Fähigkeit selbst zur Lücke zu werden und selbst sogar Sicherheitslücken zu haben die teilweise gefährlicher sind als die des ungepatchten Systems selbst?