personal Firewalls sind KEINE richtigen Firewalls !

es müssen nicht alle durchkommen, einer reicht um schaden anzurichten,

und schaden richtet nur das restrisiko an, vom restrisiko gibt es mehr als genug im internet siehe patch zu XP_sp2 bei microsoft. ich würde das restrisiko in "alltäglichliches risiko" umbenennen.
es gibt offensichtlich user, die leben nach dem motto "no risk, no fun". die foren stehen voll davon

die beste fw ist das hirn.

 

Weil es also keine 100%ige Sicherheit gibt, auf Sicherheitsprogramme- wie eben eine FW-, verzichten... ?
Und ja, selbst XP hat Sicherheitslücken, und die wird auch Vista haben.
Ich kann Ihnen versichern, daß auch Linux Bugs und Lücken hat- ich habe das selbst testen können.
Der Hauptgrund, daß es sicherer eingestuft wird ist, daß es einfach nicht so verbreitet ist. Wenn sich die Hackergemeinde so auf dieses System stürzen würde...

Kaum. Das RESTrisiko wäre m. E. z. B. "frische" Schadprogramme, die gerade geproggt sind, und deshalb den Scannern noch nicht bekannt sind.
Die Hauptinfektionsquelle sind nach wie vor Mailanhänge, Dokumente, und heruntergeladene Software.

Das Betriebssystem meldet keine Aktivitäten an den Ports, keine Kontaktversuche, sperrt keine Ports oder IP- Bereiche...
...und Ihr Hirn- mögen Sie auch noch so viel Grips drin haben- auch nicht.
Wenn Sie sich nicht mit Ihrer Kiste wie beim EEG verkabeln- die entsprechende Software zwecks Interaktion sollte auch da sein-, siehts eher schlecht aus mit der "own-brain- firewall"...
Und ob Sie dann verkabelt wie ein Borg aus "Star Trek" an der Kiste sitzen möchten...
Na ja, dann aber bitte mit Webcam, für die SciFi- Fangemeinde macht's ja was her...

Wenn Sie also solche Infos und Reaktionen Ihres PC's wünschen, werden Sie schon solch ein Programm bemühen müssen.

ft16

 

@ ft16a

thema verfehlt, es geht darum
"personal Firewalls sind KEINE richtigen Firewalls ! "

das ist deine antwort auf das thema, nicht mehr und nicht weniger. dein motto: ..na ja, lieber auf 3 räder auto fahren als mit 4. solange nichts passiert ist das ja auch "noch" sicher

... auch das gilt nur für die bereits bekannten schadprogramme nicht für die unentdeckten. und da braucht man "fw"?, und die auch nur, damit man die eigene fw (das hirn) nicht belasten muss. welch eine traumwelt. (ich habe nicht behuptet, dass man auf virenwächter verzichten soll, aber auch der meldet nur das, was er kennt)

..aha, da gibt es nicht soviele davon, unentdeckte programme sind kein risiko, nur frische!? tolle logik.

den rest von deiner antwort möge verstehen wer will. ich will es nicht.

... so, und das was grips angeht, das möge jeder für sich selbst entscheiden, wieviel er davon benutzt. du verlässt dich offenbar mehr auf eine "sichere firewall". (siehe zitat ganz oben)

 

@deoroller

Das ist doch nicht der Punkt. Natürlich können Schadprogramme auch im Benutzerkontext in gewissen, aber sehr engen Grenzen aktiv werden. Entscheidend ist aber, dass ihr Schadpotential dann gering ist, weil sie eben keinen Systemzugriff bekommen. So wie du argumentierst, wäre es ja völlig egal, ob ich als Admin oder als eingeschränkter Benutzer arbeite. Das ist es aber keineswegs. Im Gegenteil : Es ist ein Riesenunterschied.

 

Den Hinweis, ohne Admin sei man sicher, kann ich nicht unterstützen.
Es laufen da auch die Dienste, die auch im Adminkonto laufen.
Die laufen mit Systemrechten, egal in welchem Konto.
Und die Angriffe richten sich auch gegen verwundbare Netzwerkdienste, um derüber direkt ins System zu gelangen
Dann spielt es keine Rolle, wo die Dienste angegriffen werden.
Oder meinst du, der Blaster wäre in einem Adminkonto unwirksam, wenn der PC gerade aufgesetzt wurde und XP noch nicht das SP2 hat?
Du kannst ja mal gerne den Versuch machen.

Du brauchst nicht damit zu argumentieren, die Firewall würde den schon aufhalten.
Die kann auch mal aus Versehen oder wegen technischer Probleme ausfallen. Oft kann eine Firewall gar nicht schützen, wenn Ports für den Zugriff auf dahinter lauschende Dienste freigegeben sind.
Der Blaster braucht nur wenige Minuten um anzuklopfen. Ich hatte ihn auch schon 48s nach Einwahl auf der Matte. Sasser klopfte nach 1:25min an.
Da muss man erst bemerken, dass die Firewall nicht läuft und schnellstens die Netzwerkverbindung kappen. Ansonsten ist es geschehen. Blaster und Sasser sind nur ein Beispiel. Jederzeit kann ein neuer Wurm mit solchem Schadenspotential auftauchen. World of Warcraft wäre ein lohnendes Angriffsziel.
Der Messenger ist bereits infiltriert.
Trojaner suchen darüber Chatrooms auf, um neue Befehle zu erhalten. Völlig unbemerkt an Firewalls vorbei.

 

Dass auch Systemdienste laufen ist doch selbstverständlich, tut aber in diesem Zusammenhang überhaupt nichts zur Sache. Entscheidend ist, dass diese Dienste unter einem normalen Userkonto nicht verändert werden können und dass keine neuen hinzugefügt werden können.

Tut mir leid; aber das ist ziemlicher Mist, was du da erzählst.

Was hat denn das jetzt mit dem hier diskutierten Problem zu tun ? Ich sag's dir : Nichts.

Du solltest dich mal etwas ausführlicher mit der Rechteverwaltung von NT-Systemdiensten beschäftigen, die nämlich von der Rechteverwaltung als eigenständige Objekte betrachtet werden (wie Dateien, Verzeichnisse, Registry-Einträge).

 

Das für dich unangenehme Argument hast du wieder einmal Außerachtgelassen.

Doch, bei Sicherheitslücken im Dienst. Das habe ich versucht zu erklären, aber du hast das anscheinend nicht verstanden.

 

Das ist doch eine ganz andere Situation. Wenn ohnehin Sicherheitslücken in einem Dienst existieren, dann stellt sich doch das Problem ganz anders. Es ist doch wirklich absurd, zu argumentieren, weil potentielle Sicherheitslücken in einem Dienst existieren, deshalb brauche ich mir nicht die Mühe zu machen, nur als normaler User aktiv zu sein; da kann ich dann genausogut als Admin aktiv werden; es kommt eh auf's selbe raus.

Wenn man diesen Standpunkt einnimmt, hat man das gesamte Sicherheitskonzept der Windows-Zugriffsrechte auf Objekte nicht verstanden.

 

Wenn mir eine Sicherheitslücke in einer laufenden Anwendung oder Dienst bekannt wird, die nicht geschlossen werden kann, werfe ich das Sicherheitskonzept nicht über Bord, sondern überlege, ob ich das Risiko der Lücke eingehen kann oder nicht. Wenn nicht, wird die Anwendung/Dienst nicht mehr genutzt und im Idealfall Alternativen ohne diese Lücke benutzt.

Denke bitte nicht von mir, ich würde alles nicht perfekte verteufeln. Ich mache da eine Risikoabwägung.
Natürlich sind eingeschränkte Rechte sicherer als grenzenlose.
Das Risko der Infektion ist mit Adminrechten höher.
Und es ist noch höher wenn unnötige Dienste laufen.

 

Hier noch mal ein Zitat aus dem aktuellen Artikel der PC-Welt zum Thema Rootkits :

http://www.pcwelt.de/tests/software-tests/datenschutz_privacy/76890/index3.html

 

@hans10:

Stand da nicht einige Postings vorher was dazu...
i

(Posting von red-chilly, 01.03.2007, 16:01 )

(Posting von mir, Gestern, 14:25)

@hans10:

Ich spruch von RESTrisiko, habe REST sogar groß geschrieben...
"Wer lesen kann, ist klar im Vorteil..."

Hmmm... ich frage mich mich immer noch, wie Sie ein bisher unentdecktes Schadprogramm, nehmen wir mal an, einen Trojaner, mittels der "own- brain- firewall" VOR dem Schaden ermitteln und abwehren...sollte selbiges Schadprogramm also einen Port benutzen wollen, werden Sie direkt über Prozessorkernel- Neuronen- Kopplung benachrichtigt ? Kabelgebunden oder drahtlos ? Wie schnell ist die Reaktionszeit ?

Nun, da wohl die wenigsten User Zugang zu solchen futuristischen Technologien, die Sie verwenden, haben, und das vielleicht auch nicht wollen (ich sehe vor meinem geistigen Auge die Tierexperiment- Katze mit dem D- Sub- Stecker auf dem Kopf...) werden eben Firewall- Programme- hauptsächlich wohl Desktop- Firewalls- Verbindungsversuche von Programmen nach draußen melden, Portzugriffe überwachen, und ggf. unterbinden.

Da auch externe Hardware- Firewalls softwaregesteuert funktionieren, und auch überlistet werden können (mittels manipulierter Datenpakete, und auch über die meist mögliche Fernsteuerung einer Hardware- FW wäre eine Beeinflussung denkbar !) sehe ich keinen so großen Unterschied, beide sind "richtige" FW's.

Daß Hacker nachziehen, um Lücken zu finden, und die Hersteller dann wieder Änderungen in ihrem Produkt implementieren, liegt in der Natur der Sache. Deswegen sind Desktop- Firewalls nicht per se unsicher, und schon gar nicht überflüssig.
Wenn man die Einwände wegen Sicherheitslücken liest... wer die Möglichkeiten der Datensicherung per Backup außen vor läßt, und überall nur noch diese Bedrohung sieht, dem sei eine Strecke von 2 cm Luft zwischen Modemstecker und TAE- Dose empfohlen, nach bisherigen wissenschaftlichen Erkenntnissen ist diese Art Firewall vom Internet aus nicht zu hacken.

Nochmal zu Schluß, zusammengefaßt von mir:
Desktop- FW's sind "richtige" FW's- Eine reine Software- FW funktioniert prinzipiell genau wie die Hardware- FW, die ja ebenfalls software- gesteuert wird.

Desktop- FW's bieten mehr Angriffsmöglichkeiten, da sie auf dem zu schützenden System installiert sind, jedoch sind auch Hardware- FW's überwindbar, bzw. angreifbar. Gut programmierte Desktop- FW's sind in der Lage, sich selbst zu schützen, und bieten Zusatzfunktionen.

Beide Arten FW's bieten allein keinen ausreichenden Schutz, weder dem Rechner, noch sich selbst.
Wenn keine Hardware- FW vorhanden ist, gehört die Kombination Desktop- Firewall + Antivirensoftware auf Internet- Rechner, ggf. auch in Netzwerken befindliche Rechner.
Diese Kombination und ein angemessener Umgang mit Software und Mails ist die beste Sicherung.

Desktop- FW's sind also Programme, die ihren Zweck erfüllen- mindestens den, Verbindungsversuche von Programmen zu verhindern und zu melden, das tun andere Programme nicht, solche Aktivitäten sind mit anderen Programmen, wie den Betriebssystem- Bordmitteln, schwer festzustellen,nachzuverfolgen und zu unterbinden...

...und damit sind Desktop- FW's- in Zusammenarbeit mit einem Antivirenprogramm- wichtige und nützliche Programme.

Und damit möchte ich mich aus dem Thread verabschieden.
"Schönen Tag !" in die Runde und Euren Datenpaketen einen "Guten Rutsch" durch die Router
und virenfreies Durchkommen ! !
ft16

 

Den Test halte ich nicht für sehr aussagekräftig.
Es fehlen die Namen der Rootkits.
Ich benutze zwar selbst KAV6, aber so richtig kann ich mich nicht über dessen 1. Platz freuen.
Ein Beta Tester im Kaspersky-Forums hat da mehr Ahnung als ich

http://forum.kaspersky.com/index.php?showtopic=36059

 

Was die Rootkits anbetrifft, würde ich es für sinnvoll halten, mit Blacklight von F-Secure zu arbeiten, das hat jedes aktive Rootkit im Test gefunden und ist überdies Freeware. Die Einschränkung (und damit auch die nicht optimale Platzierung) liegt darin, dass Blacklight nur bereits a k t i v e Rootkits findet, aber nicht welche, die in irgendwelchen Dateianhängen oder oder sonstwo versteckt sind. D.h., Blacklight kommt nicht mit einer prophylaktischen Funktion ( für sowas bräuchte man dann doch ein "normales" AV), kann mir aber ziemlich sicher sagen, ob ein Rootkit aktiv ist. Enttäuschend fand ich übrigens das miserable Abschneiden von RootkitRevealer von sysinternals bzw. heute MS.

 

Das könnte das schlechte Abschneiden von Rootkitrevealler erklären

http://www.heise.de/security/artikel/68822/1

Natürlich gilt bei Rootkits noch mehr wie bei AV-Scannern, dass die Werkzeuge zum Aufspüren topaktuell sein müssen.

Ich halte das Scannen von einem externen Bootmedium, von dem ein aktueller AV-Scanner gestartet wird, als erfolgversprechendste Methode Rootkits nachzuweisen.
Damit kann man auch die Anwesenheit unbekannter feststellen, da Schädlinge zum Vorschein kommen, die im laufenden Betrieb vom Rootkit versteckt werden.

 

Das ist eine Zusammenfassung deiner Argumente. Ich bin immer noch der Meinung, dass sie
a) überflüssig ist und
b) beim Laien schnell mehr Schaden als Nutzen hat.

Notfalls wird der Zweck in der Marketingabteilung kreiert.

Meine Software darf funken. Ich würde sowieso nicht rauskriegen, was sie funkt, wenn sie funkt. Also kaufe ich mir diese, der ich vertraue, und wäge ab, ob ich einen Autostart von ihr erlaube. Geht auch ohne Firewall.

Wenn du meinst...darf ich fragen, was und für wen du programmierst? Ach, sehe, du hatest dich verabschiedet, na gut.

Ich frage mich zwar immer noch, was der Normaluser mit den, wie du irgendwo schreibst, hunderten von Angriffsmeldungen täglich (?) anfangen soll, er versteht sie doch nicht, also kann er niemals angemessen darauf reagieren.

Wie ich bereits schrieb: ich habe hier schon zig Male erlebt, dass Firewallbenutzer frisch-fröhlich einer gefakten iexplore.exe Vollzugriff gewährt haben. Das ist doch Alltag beim Durchschnitts-Zonealarm-Fan. Warum ignorierst du das? Mir kommt das so vor, als riete man meiner Oma, nur noch mit M16 vor die Tür zu gehen. Ist sie damit wirklich sicherer? Und wie man damit umgeht?

Für den interessierten Mitleser:
Sinn und Unsinn von Firewalls

 

Ja wirklich schade, ich hätte ihm gern noch diesen Thread "http://www.pcwelt.de/forum/tests/227425-fuenf-kostenlose-firewalls-im-test.html" empfohlen und etwas mitdiskutiert.

 

@ steppl und mylin

ft16a - erst große töne spucken, und wenn die argumente ausgehen, vom acker machen.

ich glaube der hat schon einige fw programiert. wäre zu überprüfen, ob die ihren zweck erfüllen. bei der einstellung die er hat?

 

@steppl:

Ich hab' nochmal ins Forum geguckt...... 'ne Antwort auf mein Posting mit 'ner Frage... kein Problem... antworte ich doch mal.
Weiterdiskutieren kein Problem... hoffentlich schweifen wir nicht soweit ab, daß uns der Forenadmin haut...

@hans10:

Nö... hab' ich nicht nötig.
Aber eine Frage aus meinen Vorpostings haben Sie noch nicht beantwortet...

Nein, ich geb's zu... FW's habe ich nicht programmiert.

@steppl:

Sie dürfen fragen. Ich bin Elektroniker und Programmierer (Anwendungsentwickler), selbständig, erstelle
Internetpräsenzen, erstelle und administriere Netzwerke. Ich habe an Teilen von Fahrzeug- Simulator- Programmen (keine Spiele) mitgearbeitet. Ich schreibe kundenspezifische Programme.

@steppl:

Immerhin gibt's von der FW eine Meldung, weil es eben nicht mehr die Original- Exe ist. Das funktioniert recht
zuverlässig !

Ich programmiere oft an Proggis, die mit der FW müssen... nach jeder Änderung muß ich dann den Zugriff neu gestatten. Wenn ein Proggi, das bisher durfte, und nicht gerade aktualisiert wurde, neu anfragt, ist beim Normaluser sehr wahrscheinlich etwas faul. Da sollte dann vielleicht irgendwas auftauchen, das den User wachrüttelt... aber das wird dann wieder als Nerv- Screen verdammt...

Sicher, das ist ein Problem... aber weniger der Erkennungs- und Meldefunktionen der FW.
Eher ein Problem des Systemdateischutzes.

OK, dann werden andere Dateien gefakt, etwa die firefox.exe... dann erlebt der User eben dann sein blaues Wunder, wenn er die Warnungen der FW ignoriert, und doch der Neu- Anfrage seines vermeintlichen Lieblingsbrowsers Internet- Zugriff gestattet.

Ich weiß auch nicht, wie man Prüfen, Warnen, automatisches Sperren, Informieren usw. unter einen Hut bringen soll, wenn der User dann doch OK sagt... ich denke, das wird bei Antivirenprogrammen ähnlich sein.

Ich las schon von FW's mit Zusatzfunktionen, die Dateien und/ oder Verzeichnisse auf Veränderungen überwachen, aber die müssen auch erst mal mitgeteilt bekommen, was sie wie überwachen dürfen.
Und wenn der User "Ja !" sagt: Dasselbe. Uuuuund Tschüs !

OK... das wäre ein Thema für "Was sollten Sicherheitsprogramme (noch) können ?".

@steppl:

Interessanter Link... ob die Aussagen des Autor von fundierte Sachkenntnisse geprägt sind... ich bezweifle dies, immerhin hat er auch nur aus einem anderem Forum zitiert, gibt aber die Quelle an (Vimes - Tutorial zur Sicherheit). Das sind zwar erfahrene User, aber Experten...?
Aber etliches ist gut erklärt.

Ja, das ist eine Möglichkeit, so ziemlich alles auf einem fremden Rechner tun zu können... wenn man die Software erst mal dorthin bekommen hat.

Können wir gern drüber diskutieren... ich habe ein Programm mit genau dieser Funktionalität selbst geschrieben. Diverse Virenscanner erkennen (Heuristik- Überprüfung !!!) signifikante Befehlsstrukturen, und lösen eine Warnung aus.
Als Virus ist es übrigens untauglich, da dank grafischer Oberfläche zu groß.

Das möchte ich nicht unterschreiben. Wenigstens ist ein solcher Befehl im Programmcode nachweisbar.
Dies zu erkennen, ist allerdings Aufgabe des Virenscanners, nicht der FW !

Immer dasselbe... weil Programme Schwachstellen haben, durch noch nicht bekannte Tricks unterlaufen werden können, sollte man sie vom Rechner fernhalten...

Fährt der Verfasser eigentlich Auto ?
...um Gottes Willen !!!!
Immerhin sind schon Autoreifen geplatzt, Achsen gebrochen... !!!!!!

Laß' ich mal gelten... aber gleich kommt's richtig gut:

Na, dazu kein Kommentar.

ft16

 

@ ft16

deine ausführungen mögen insider beeindrucken, aber was soll "otto-normal-user" mit deiner hinreichen dargelegten meinung? nicht jeder hat so tiefen einblick in die materie wie du.

ich finde es halt nicht gut wenn einem "otto-normal-user" durch eine fw sicherheit vorgegaukelt wird. wie weiter vorn bereits angesprochen wurde, erzeugen fw's meldungen die "otto-normal-user" zwar beeindrucken, er aber nicht viel damit anfangen kann. siehe die vielen fragen in den foren, sie lauten : mein fw hat folgende meldung ................ ist das gefährlich, gefolgt von einer reihe fragezeichen.

tatsache ist, nicht alle schädlinge weden von der fw erkannt.
virenscanner ist unbedingt notwendig, das möchte ich nicht in frage stellen. auch wenn bei vs "falschmeldungen" vorkommen, dann kann man immer noch prüfen, was ursache ist.

und beleidigen will ich auch niemand, ich schreibe hier nur meine meinung, nicht mehr und nicht weniger.

 

@hans10
Sie beleidigen mich doch gar nicht... und klar sollen Sie Ihre Meinung posten.
Sie haben schon recht, die verunsichernden Meldungen sind ein Problem. Aber wenn denn der User diese wünscht...
Ich weiß auch nicht, wie man das am besten macht... "Aufklärung- Dr. Sommer für Firewall- Nutzer" oder so... ?

Zone Alarm als eine der am weitesten verbreiteten FW's läßt bei Normalinstallation erst mal keine Warner für Anfragen von draußen aufpoppen.
(Ist nur ein Radiobutton in den Konfig- Einstellungen, kann in den Setups verschiedener Versionen natürlich anders sein).
Norton (ich hatte eine ans Mainboard gebundene Version) schiebt am Bildschirmrand ein relativ unauffälliges kleines Fenster rein, das den User informiert, daß es den angesprochenen Port für eine halbe Stunde sperrt, und nach ein paar Sekunden verschwindet.

Die Meldungen von Scans, Pings usw. kann man getrost ignorieren. Die Warnmeldungen, wenn ein Programm "raus will", nicht. Das ist ein Warnsignal, und da ist jede Anfrage in Foren berechtigt.

Nein, eine FW erkennt nicht alle Schädlinge. Virenscanner auch nicht. Eine FW hat ja auch gar nicht diese Aufgabe. Fragen in Foren bei Meldungen gibt's massig bei beiden... besser, die Leute nutzen Sicherheitsprogramme und fragen, als daß ihre Kiste als "Zombie- Rechner" Spam und Viren verbreitet.

Aber immerhin kann die FW noch einen Kontakt eines Schädlings nach draußen unterbinden und den Kontaktversuch melden, bevor der Schädling sich "Verstärkung" heruntergeladen hat, oder sensible Daten an seinen Meister gefunkt hat.

ft16