|
</font><blockquote>Zitat:</font><hr />Der Hersteller der Personal Firewall ZoneAlarm räumt die Existenz eines "theoretischen Sicherheitsproblems" in der kostenlosen Version seines Produkts ein. Zone Labs sieht aber keine Veranlassung, dieses zu beseitigen: Schließlich sei es in den kostenpflichtigen Versionen bereits behoben. Quelle: Heise </font>[/QUOTE]Gruß Hase |
Software Firewalls sind eh nur Scheinsicherheitsprogramme. Finde ich jedenfalls. Denn diese können von Malware heutzutage einfach beendet werden. Daher bringt es sowas ja nicht wirklich. Ausserdem bestehen Möglichkeiten DFW zu tunneln. Bei Hardware Firewalls(Router, Linux(richtig Konfiguriert)). Ist so was schwerer bis sehr schwer. Unmöglich ist nichts. [img]smile.gif[/img] Deswegen regt mich sowas wie die Meldung da oben schon garnicht mehr auf. Björn |
Bravo Lucky, doch ist es oft eine finanzielle Frage weshalb man(n)/frau auf kostenlose FW zurückgreift. Hardware FW sind für den einfachen Endanwender oft unverhältnißmäsig teuer. Liebe Grüße Frank |
Ja? wirklich? Wenn ich nur einen PC habe, den richtig absicher, dann braucht man eigentlich garkeine Firewall. Keine Software- und keine HardwareFirewall.... Wenn man was super wichtiges auf dem PC hat, würde ich eh ein System mit Wechselfestplatten kaufen. Eine Festplatte fürs Internet und spiele etc. und eine zum arbeiten. Ist im Endeffekt nämlich billiger. Björn /edit: Rechtschreibfehler verbesser [ 04. Juli 2003, 11:57: Beitrag editiert von: Lucky ] |
den richtig absicher, dann braucht man eigentlich garkeine Firewall. Keine Software und keine HardwareFirewall.... @Lucky, ist mir echt ein Rätsel, wie geht das? ein Rechner richtig abgesichert und obendrein ohne Software etc.? Ist ein BS keine Software? Klär mich doch bitte auf. LG Frank [img]smile.gif[/img] |
Hab ein - vergessen sollte Software- und keine HardwareFirewall heissen. |
Und nebenbei es ist eine kostenlose Version einer Firewall das sollte man nicht vergessen. Für mich irgendwo nachvollziehbar das dort nicht unbedingt gleich "Sicherheitslücken" behoben werden. Man hat ja irgendwo keinen Anspruch auf etwas das man nicht bezahlt hat :D ;) |
ZoneLabs hat angekündigt, doch ein Patch für die Sicherheitslücke raus zu bringen: http://www.heise.de/newsticker/data/jk-04.07.03-006/ Björn [img]smile.gif[/img] |
Ich verstehe nicht ganz, was an dieser Sicherheitslücke "neu" sein soll. Die Umgehung mit Hilfe des Browsers ist schon seit Jaaahren bekannt, es gibt auch schon ewig ein Proof-of-Concept dafür (TooLeaky). docprantl |
</font><blockquote>Zitat:</font><hr /> Die Umgehung mit Hilfe des Browsers ist schon seit Jaaahren bekannt, es gibt auch schon ewig ein Proof-of-Concept dafür (TooLeaky). </font>[/QUOTE]Das simple Tooleaky-Konzept wird aber schon seit einiger Zeit von PFWs 'beherrscht' (z.B. indem Programme daran gehindert werden, beliebige andere Programme zu starten...) Das hier ist einfach eine "neue" Methode - allerdings ist das Problem weder auf ZA Free beschränkt, noch ist es die derzeit einzige bekannte, und durch Demo-Tools belegte Methode, mit der PFWs getunnelt werden können... genau dieser Eindruck wird aber in dieser albernen " Zwei-Klassen-Diskussion" erweckt... [img]graemlins/balla.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von forge77: ...von PFWs 'beherrscht' (z.B. indem Programme daran gehindert werden, beliebige andere Programme zu starten</font>[/QUOTE]Ist es denn generell schlecht, wenn ein Programm ein anderes aufrufen kann? Nehmen wir mal an, ich habe den WinCommander offen und ich möchte eine Textdatei bearbeiten. Dann klicke ich im WC unten auf "F4 Bearbeiten" und der WC startet mir das Windows Notepad (als Parameter wird der Name der Textdatei übergeben). Nach meinem Verständnis ist es das gleiche Prinzip, wie wenn die malware.exe den Internet Explorer startet und als Parameter eine URL übergibt, in der ein Paßwort steht. Ich sehe da echt kein neues Problem, weder bei der Schadsoftware noch bei Windows. Im Gegenteil, durch die Installation einer Pseudoschutzsoftware, die das Starten von Anwendungen aus anderen Anwendungen heraus unterbindet, wird das halbe Windows lahmgelegt. |
Sorry, hab mich etwas ungenau ausgedrückt... Natürlich wird nicht generell der Start eines Programms durch ein anderes unterbunden - das würde wirklich alles lahmlegen... ;) Afaik läuft das (z.B. bei ZA Pro, Look'n'Stop) so: will ein Programm, sagen wir der Browser, eine Verbindung starten, so wird einfach geprüft, welcher Prozess den Browser gestartet hat (sprich: der Parent-Prozess wird ermittelt.) Ist es die explorer.exe, wird davon ausgegangen, dass der User den Browser gestartet hat, und die Verbindung wird erlaubt (wenn für den Browser eine allow-Regel besteht.) Ist es dagegen irgendein anderer Prozess (z.B. toolekay.exe), fragt die PFW, ob dieser Prozess 'über den Browser' ins Internet darf. Die hier angesprochene "ZA free-Lücke" kann auf diese Weise von ZA Pro geblockt werden - allerdings nur, wenn der Browser nicht schon läuft, denn dann wird bei 'shell execute' einfach der bestehende Browser-Prozess benutzt, und ZA Pro sieht ebenfalls alt aus (hat natürlich noch keiner gemerkt/zugegeben... ;) ) |
</font><blockquote>Zitat:</font><hr />Original erstellt von forge77: Ist es dagegen irgendein anderer Prozess (z.B. toolekay.exe), fragt die PFW, ob dieser Prozess 'über den Browser' ins Internet darf.</font>[/QUOTE]Nehmen wir mal den folgenden Fall: jemand :D benutzt einen Browseraufsatz wie z.B. Crazy Browser. Der Crazy Browser benutzt komplett die Engine des Internet Explorers zum Darstellen der Webseiten. Genaugenommen ist es ja so, daß der Crazy Browser den IE direkt aufruft und dann die URL übergibt. Müßte dann jetzt Zonenalarm aufpoppen und den User fragen, ob er möchte, daß CrazyBrowser den Internet Explorer startet? |
zitiert von heise.de: Doch ein Patch für Personal Firewall ZoneAlarm Die Firma Zone Labs will nun doch die Schwachstelle in der kostenlosen Variante der Personal Firewall ZoneAlarm beseitigen. Zunächst hatte sich Zone Labs darauf zurückgezogen, dass in den kostenpflichtigen Versionen der Personal Firewall bereits Schutzmechanismen gegen diese Lecks eingebaut seien. hier geht es weiter [edit:] sorry, hat sich wohl vorhin erledigt - ich habe das obere posting von lucky nicht gelesen... und mich im datum geirrt (ich dachte, die heise-meldung wäre von heute) :( |
</font><blockquote>Zitat:</font><hr /> Genaugenommen ist es ja so, daß der Crazy Browser den IE direkt aufruft und dann die URL übergibt. Müßte dann jetzt Zonenalarm aufpoppen und den User fragen, ob er möchte, daß CrazyBrowser den Internet Explorer startet?</font>[/QUOTE]Wenn das wirklich so abläuft, d.h. CrazyBrowser startet einen IE-Prozess mit der URL als Parameter, dann würde ZA wohl meggern (allerdings könnte man dann mglw. Regeln dafür erstellen.) [img]smile.gif[/img] Aber bist du sicher, dass das so läuft? Hört sich a bisserl umständlich an... läuft denn ein IE-Prozess, wenn du mit dem CrazyBrowser surfst? Oder nur der CrazyBrowser-Prozess selbst? Im letzteren Fall würde die Kommunikation wohl nur über den CrazyBrowser-Prozess laufen (was man als PFW-Allergiker z.B. mit ActivePorts rauskriegen könnte... ;) ) </font><blockquote>Zitat:</font><hr /> Zunächst hatte sich Zone Labs darauf zurückgezogen, dass in den kostenpflichtigen Versionen der Personal Firewall bereits Schutzmechanismen gegen diese Lecks eingebaut seien. </font>[/QUOTE]Wie oben erwähnt, stimmt das auch nur zur Hälfte... ;) |
Ich seh´ gerade, bei den Processes im Task Manager läuft keine IEXPLORE.EXE, sondern nur eine Crazy Browser.e (ohne xe). Vermutlich greift der Crazy Browser nur auf die Renderingfunktionen und Fehlerbehandlungsroutinen zurück (mshtml.dll, urlmon.dll, shdoclc.dll). Es läuft aber eine Explorer.exe(?). Vielleicht liest hier ein ZA-Benutzer mit, der mal den Crazy Browser ausprobieren möchte und uns dann - auch ohne Active Ports - genaueres sagen kann. ;) docprantl [ 05. Juli 2003, 18:41: Beitrag editiert von: Dr Prantl ] |
Warum PFW nix taugen Vorüberlegung Zunächst einmal stellt sich die Frage, wovor dich eine PFW eigentlich schützen soll? Im wesentlichen werden zwei Ziele angestrebt: - Unerwünschten Datentransfer von innen nach außen unterbinden- Schutz vor unerwünschten Zugriffen von außen. Einige PF enthalten noch einen http-Proxy zur Filterung von Werbebannern oder Cokies.Datentransfer von innen nach außen. Einige Beispiele aus dem realen Leben: 1) Das trojanische Pferd der Firma Aureate basierte auf einem Netscape Navigator / Internet Explorer Plugin und kommuniziert somit nicht *direkt* mit dem Internet. Dadurch umgeht es auf einfache Weise die Probleme, die sonst bei einem Internetzugang über ein Netzwerk auftreten würden. Aurate ist nicht nur um einiges älter als ZoneAlarm, sondern wird von sehr vielen Freeware/Shareware-Programmen wie zum Beispiel von GoZilla und WebCopier verwendet. Anscheint greifen neuere Versionen des Trojanischen Pferdes über die Wirtsanwendung auf das Internet zu, sofern es sich bei diesen Programmen um "Internet-Software" handelt. Suchstichwörter: advert.dll, Radiate 2) Ich hab bei einem Bekannten vor einiger Zeit im Temp-Verzeichnis eine HTML-Datei gefunden, die ein paar Bilder aus dem Internet lädt. Die Bild-URLs waren dabei ganz besonders aufgebaut: Einige bestanden unter anderem aus den Dateinamen, die man unter {Start | Dokumente} findet. Der Realplayer kommuniziert übrigens auf diese Weise unter Umgehung der Firewall mit dem Internet (auch wenn ZA die "normale" Kommunikation erkannt und unterbunden hat): C:\WINDOWS\TEMP\RN7080.htm |<XXXX> |<XXXX HTTP-EQUIV="refresh" CONTENT="0;URL=http://presets6.real |.com/sitesmenu/rphurl.html?xx00xx00x0X0xxx00xXxxxx0x0xxxxxxxXx |xxxxxxxx0xxxxxx0xx0xxxxxxXxxxx0x00xx0x0xx00xxx0xxxxx0X0X0x0X0x |xx0X0xxx0X0000xx0xxx0X0xxx0X0xxx0X0X0x0X0Xxx00xxxxxXxxx0xx0x0x |xx0xx0x00xxxxX00xxXx0xXxxxx0xxXx0X0X0x0x00x00x0Xxxx"> |</XXXX> Anonymisierung: Zahlen: 0 Großbuchstaben: X Kleinbuchstaben: x 3) |Do you want Microsoft Internet Explorer to access the internet? |Do you want Netscape Navigator to access the internet? |Do you want Microsoft Windows 95 to access the internet? |Do you want DFÜ-Netzwerk to access the internet? |Do you want Zone Alarm to access the internet? Vernünftig programmierte Spyware wird sich ja kaum als "The ultimative hacking tool" in Windows anmelden. 4) Protokoll-Tunnel (Verallgemeinerung von 1.): zum Beispiel IP over E-Mail oder http. Für einen http-Proxy [1] sieht das wie ein ganz normale Web-Seiten-Anforderung aus. Theoretisch kann man jedes Protokoll über jedes andere tunneln, solange man Einfluss auf eine entsprechende Gegenstelle hat. Bei DNS-Abfragen zum Beispiel geht das auch über "viele Ecken". [1] Proxys verstehen im Gegensatz zu Packetfiltern das jeweilige Protokoll und sind trotzdem gegen Tunnel (fast) machtlos, da sich diese auf Protokollebene korrekt verhalten und lediglich unerwünschte Inhalte transportieren. 5) Jedes Programm hat unter Windows 9x die Zugriffs-Rechte auf der selben Ebene wie die PF mit dem Netzwerk zu kommunizieren (also nebenher). Unter Windows NT (2000, XP) gilt das gleiche, wenn man sich als "Administrator" angemeldet hat; z.B. um Soft- ware im guten Glauben zu installieren. Happy99 und Hybris kommen dem recht nah, in dem sie die WSock32.dll ersetzen. Mittlerweile gibt es einen Proof-Of-Concept 6) Mittlerweile gibt es auch die ersten bösen Programme [tm], die einige Desktop-Firewalls (bzw. bestimmte Versionen) einfach beenden: Theoretisch dürften im Worst Case (also wenn das böse Programm [tm] Administrator- bzw. Root-Rechte auf dem Rechner hat) alle PFs ziemlich machtlos sein. Außerdem kann man viele Desktop-Firewalls durch ähnlich-aussehende Programme ersetzen, indem man im simpelsten Fall den Treiber-Aufruf in der Registry löscht und den Aufruf des User-Frontends mit dem Datei- namen eines entsprechend präparierten Programmes überschreibt. Normale Benutzerrechte reichen bei den meisten PFs, um neue Regeln einfügen: Und zum Schluss sind da noch die bösen Programme, die überhaupt nicht mit dem Internet kommunizieren. z.B.: Ein Trojanische Pferd, das angeblich ein Virenscanner ist (und auch wirklich andere Viren findet) allerdings zusätzlich Zifferndreher in Excel-Tabellen verursacht. Zugriffsmöglichkeiten von außen Von außen, gibt es grob gesagt drei Möglichkeiten, Zugriff auf dein System zu erlangen: Eine Fehlkonfiguration, bei der zum Beispiel die Datei- und Druckerfreigabe nicht nur an die lokale Netzwerkkarte, sondern auch an das Internet-Interface gebunden ist. (Bei diesem Beispiel sind PFW recht erfolgreich) Bugs und Fehlkonfiguration (Default) z.B. in Browsern und Mailprogrammen. Gegen erstere haben PFW nur dann eine Chance, wenn diese Fehler den Herstellern bekannt sind. Bevor diese allerdings ihre Produkte angepasst haben, hat MS (bzw. der Herstellers des fehlerhaften Programms) idR. ihre Sicherheitspatches schon längst veröffentlicht. Zu guter letzt könntest du dir noch eine Fernwartungssoftware oder ein anderes böses Programm installiert haben (wahrscheinlich eher unbewußt z.B. über Mail-Attachments, aktive Web-Inhalte (ActiveX), oder im guten Glauben ein nützliches Programm zu installieren). Dagegen sind PF ebenfalls machtlos: Es befindet sich in diesem Fall bereits ein Programm auf deinem Rechner, das die PF so verändern kann, dass sie Verbindungsaufbauten von außen ohne Rückfrage annehmen. Oder noch leichter: Es baut selbst eine Verbindung nach außen auf und holt sich seine Befehl ab. (Damit fällt es in den ersten Abschnitt). Die "Zonealarm-FAQ" von Utz Pflock aus news:de.comp.security.firewall enthält einige Informationen darüber, wie man als Privatanwender einen Kompromiss zwischen Funktionaliät und angestrebter Sicherheit erreichen kann. Situationen, die einige PFs als "Angriff" fehlinterpretieren (engl.) Schlussüberlegung Desktop-Firewalls können für den Fall als Sicherheitsnetz dienen, dass man die "Datei- und Druckerfreigabe" falsch konfiguriert hat oder sich in der Vertrauens-Einschätzung eines sehr schlampig programmierten bösen Programmes vertan hat. Diese Netz ist allerdings sehr weitmaschig, so dass man sich darauf *nicht* verlassen kann. Daraus ergibt sich eine nicht zu unter- schätzende neue Gefahr: Viele Leute werden mit dem Wissen, eine PF und einen Virenscanner zu haben, ausnahmsweise ein einziges Mal ein nicht vertrauenswürdiges Programm starten, ... Zu guter letzt handelt es sich bei PFW (von ipchains/iptables mal abgesehen) meist um closed-source Produkte, bei denen sich wieder die Vertauensfrage stellt. Die einer PF zur Verfügung stehenden Daten sind marketingtechnisch sicherlich nicht uninteressant. __________________ Ähnlich wie mit dem Tee: die Idioten tun Zucker rein (ZA), die Pseudokenner tun Kandis rein (Tiny), und die wahren Kenner _garnichts_! |
|
|
</font><blockquote>Zitat:</font><hr />Original erstellt von Minos: Ähnlich wie mit dem Tee: die Idioten tun Zucker rein (ZA), die Pseudokenner tun Kandis rein (Tiny), und die wahren Kenner _garnichts_! </font>[/QUOTE]Doch, nen Löffel (ordentliches AV-Programm)!! :D ciao |
@Minos: Hast du den Text selbst verfasst oder ihn von hier bloß abkopiert? Wenn ich Texte kopieren und hier Veröffentlichen würde müßte ich das zu Kopierende nicht lange suchen. Ich kann dir aber gern den Originaltext zukommen lassen, wurde 1996 bei PC-Tricks abgedruckt, allerdings in einer gekürzten Fassung und im Original (English) Heft. Außerdem bezog sich der damalige Text nicht auf die heute angewante Technik (Software) aber daran hat sich leider bis zum heutigen Tag wenig geändert. Es soll ja noch gelegendlich Mumien wie mich geben die schon in den 80er jahren das machten (nur mit DOS) was andere heutzutage hier (mit Win-Linox etc)versuchen. [ 28. Juli 2003, 16:53: Beitrag editiert von: Minos ] |
ah, wieder entfernt, habe meinen fehler entdeckt... ;) Fehlte das QUOTE beim Minos... Daher war ich leicht irritiert.... Björn |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:52 Uhr. |
Copyright ©2000-2025, Trojaner-Board