[Frank3000]

Also ich war gerade auf Gurusheaven und außer den oben aufgeführten Dingen haben die nichts gesehen. Die Angabe der zuletzt besuchten Seiten waren komplett falsch.

[hans_maulwurf]

@rika kannst du mir mal helfen? Wenn ich bink.nu als zombie host benutz bekomme ich folgendes:

Zitat

WARNING: Many people use -P0 w/Idlescan to prevent pings from their true IP.  On the other hand, timing info Nmap gains from pings can allow for faster, more reliable scans.

Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-09-22 18:13 CEST
Idlescan using zombie 66.90.102.128 (66.90.102.128:80); Class: Incremental
Idlescan is unable to obtain meaningful results from proxy 66.90.102.128 (66.90.102.128).  I'm sorry it didn't work out.
QUITTING!

[Rika]

@ChrouCho:
Nein, sowas gibt es nicht, weil das nicht Aufgabe einer DTF sein kann. Eine Zugriffskontrolle auf Objekte kann nur das Betriebssystem durchsetzen, und das kann Windows durchaus und besser als jeder halbherzige Versuch durch $DTF oder $Pseudo-Sandbox, insbesondere weil $DTF keinen Einblick in die internen Statusinformationen des Policy Handler hat.
Trenne die Aufgaben vernünftigt, dann bleibt vor allem ein hostbasierender Paketfilter übrig, und da gibt's mit der IVFW bzw. dem IPFilter doch etwas brauchbares. (Entgegen mancher Dialoge und Behauptungen durch User behauptet Microsoft weiterhin daß die IVFW nicht als Application Control geeignet oder gar gedacht sei. Wowereit.)
Bösartige Programme lässt man dank Software Restriction Policy einfach nicht mehr starten (damit hat sich dann auch die Zugriffskontrolle für laufende Programme fast vollständig erledigt).
Filterung von HTTP-Traffic überlässt man lieber auch separaten Programmen und IDS sowieso.

@Frank3000: Warum liest du nicht mal was was bedeuten soll? Es geht um die Global History, d.h. auf Seiten die dein Browser irgendwann mal nach dem letzten Reset der History gesehen hat.

@hans_maulwurf: Naja, Idle-Scans sind auch nicht gerade stabil... für sowas sucht man sich normalerweise ungeschütze Windows-Mühlen im Netrange von irgendeinem großen ISP außer AOL.

Dieser Beitrag wurde von Rika bearbeitet: 22. September 2004 - 17:22

[Frank3000]

Zitat (Rika: 22.09.2004, 18:00)

@Frank300:

1. Nochmal für dich, damit du es kapierst: Ich muss nicht beweisen daß DTFs unsicher sind (denn das ist die Grundannahmen, schon allein weil sie die Komplexität des Systems steigern), sondern du mußt beweisen daß sie irgendeinen signifikanten Sicherheitsgewinn bieten, denn man nicht ohne sie erreichen kann.
2. Außerdem sieht man ja wie einfach es geht... deine Firewall wurde untertunnelt und man konnte dein System problemlos fingerprinten. Wenn dein darunterliegenden Windows-System absichtlich anfällig gelassen worden wäre... naja, die Firewall hat halt keine zusätzliche Schutzwirkung.

Hab ich doch bewiesen, wenn ich die Firewall deaktiviere sieht das Ergebnis bei sämtlichen Tests anders aus. Auch Ihr hättet vernünftige Infos über Eure Progs erhalten wenn ich die ausmache. Und mit den wenigen Infos die Ihr jetzt habt macht Ihr noch gar nichts. Ich warte ja immer noch daß es hier schwarz wird, Ihr mir einen Bildtitel von meiner Festplatte vorlest, mir eins meiner Passworte sagt o.ä. Aber noch passiert nichts.

[Hitmann]

zone alarm security suite kaufen
echt genial das ding ^^
kannst ja 15 tage testen

[Frank3000]

Zitat (Rika: 22.09.2004, 18:18)

@Frank3000: Warum liest du nicht mal was was bedeuten soll? Es geht um die Global History, d.h. auf Seiten die dein Browser irgendwann mal nach dem letzten Reset der History gesehen hat.

Da ware Seiten aufgeführt die ich noch nie besucht habe. Also irgendwas stimmt da nicht, sorry. Vielleicht ist das ein bischen im Trüben fischen wie bei der angeblichen Anzeige meiner Laufwerke?! Denn das ist ja auch nur Fake.

[Rika]

@ChrouCho: Leider keine. Und die IVFW würde ich wirklich lieber als HBPF denn als DTF sehen und nur entsprechend so benutzen.

@Frank3000:
Blindfisch. Man kann in ein System nur eindringen, wenn er irgendwo entsprechende Lücken hat, d.h. ein Dienst läuft und dieser anfällig ist. Bei dir laufen einige Dienste, aber mir sind bislang keine Anfälligkeiten bekannt. Der vernünftige Ansatz wäre jetzt auch den nächsten Bug zu warten, schnell einen Exploit zu implementieren und ihn einzuschleusen, bevor Microsoft halt (meist wesentlich später) ein Update rausbringt.
Deine Pseudo-Firewall ändert an diesen Verhältnissen genau gar nix. Also bitte: Erst denken, dann schreiben, dann nochmal denken und dann erst posten.
Ach ja, dein IPC$-Share ist offen, ich dürfte also zumindest einen kleinen Eintrag im Syslog hinterlassen haben, sofern du sowas auch aktiviert hast. Nix füt ungut :-)

Das du angeblich deine Firewall ausgeschaltet haben sollst, davon habe ich nix gesehen. Bislang stand hier mein Ergebnis als einziges zuverlässiges dar (das von hans_maulwurf war bezüglich des Portscans ja nicht brauchbar, da Windows so kaputt ist daß es -sN nicht juckt, liefert aber bezüglich des TCP-Flag-Fingerprinting eindeutig das gleiche Ergebnis).

Und schwer von Begriff bist du nachwievor - du musst nicht auf diesen Seiten gewesen sein, sie müssen nur z.B. irgendwie mal in einem Frame o.ä. angesprochen worden sein. Daß der Part mit der lokalen Anzeige der Festplatte auch nur im kaputten IE funktioniert hast du wohl ebenfalls überlesen...

Dieser Beitrag wurde von Rika bearbeitet: 22. September 2004 - 17:34

[Rika]

Internetverbindungsfirewall, das Ding was standardmäßig in WinXP und WinSRV03 enthalten ist. Als DTF wie alle DTFs untauglich, als HBPF aber durchaus tauglich.

[hans_maulwurf]

Ist das nicht die interne windows Feuerwand?
Edit: ups dawar wär schneller

Dieser Beitrag wurde von hans_maulwurf bearbeitet: 22. September 2004 - 17:58

[TOMBIEST]

Net net ich habe nur irgentwann behaubtet das ich mit einer Firewall von McAfee zufrieden bin habe isdn dsl nicht möglich.Das ist zwar egal bei Syn Flood ABER ICH HEISSE JA NICHT BILL ......von MICRO.....!(lästern und besserwissen muss ja spass machen)

[Frank3000]

Mein Gott ist das schwer mit Dir. Ich habe das schon alles richtig gelesen, aber das war alles nicht aussagekräftig. Daß ich nicht unsichtbar bin wenn ich eine Seite aufrufe ist mir auch klar, wenn ich nicht gerade über einen Proxyserver gehe. "Das du angeblich deine Firewall ausgeschaltet haben sollst, davon habe ich nix gesehen. Bislang stand hier mein Ergebnis als einziges zuverlässiges dar (das von hans_maulwurf war bezüglich des Portscans ja nicht brauchbar, da Windows so kaputt ist daß es -sN nicht juckt, liefert aber bezüglich des TCP-Flag-Fingerprinting eindeutig das gleiche Ergebnis)." Was heißt das, daß mein Windows kaputt sein soll? Habe ich wirklich nicht verstanden was Du mir damit sagen möchtest. Und wieso glaubst Du nicht daß die Firewall aus war? Weil Du doch weißt das ein System ohne Desktopfirewall mehr Infos rausgibt als eins mit? Außer daß Du auf ein Windows XP System getippt hast wußtest Du auch nicht mehr als Maulwurf. Und das ist ja nun auch keine schlimme Info, da auf 80% der Rechner WinXP läuft. Und wie Du schon sagst sind Dir bei meinem System im Moment keine Anfälligkeiten oder Lücken bekannt, also doch eher ein Punkt für mich. Denn ohne Desktopfirewall würdest Du bestimmt Lücken finden, da ich nicht das Windowsupdate nutze, weil ich nicht Betatester für Microsoft spielen möchte.
Da kommen oft Patches die Probleme verursachen und dann mit einem späteren Update wieder entfernt werden. Also besser warten bis die Patches von tausenden Usern geteste wurden und dann per Hand installieren.

Dieser Beitrag wurde von Frank3000 bearbeitet: 22. September 2004 - 18:00

[hans_maulwurf]

Er meinte nicht dein windows sondern Windows generell in Bezug auf den Null Scan. sry verlesen

Dieser Beitrag wurde von hans_maulwurf bearbeitet: 22. September 2004 - 17:59