[Meltdown]

Zitat (simcard: 29.01.2004, 17:29)

ja, aber wie meint er das "noch mehr futter für den Desktop Firewall Ripper" ?
Meint er mich damit oder was? 
*immernochnichtkapier* 

Du hast ja die Liste hochgehalten... darauf wird es sich beziehen.
Und wenn einer ein DTF-Ripper ist, dann Rika.

Man kann sowas relativ leicht unterwandern, dazu brauchst Du allerdings
ein wenig mehr Erfahrung in NT-System und Netzwerktechnik.
Und 2000 und XP enthalten ja soviele Bugs, die sich bei geschickter
Ausnutzung dazu nutzen lassen, eine DTF relativ schnell alt aussehen zu lassen.

Und Patchen ist zwar wichtig - aber nicht alles!!
Das ist mit Sicherheit einer der Hauptpunkte, aber für Rika wird es wohl kein
Thema sein auch ein gepatchtes System zu unterwandern.

Es gibt weiß Gott noch genug Lücken... Man muß sie nur geschickt ausnutzen... (und das gilt nicht nur bei Windows-Systemen)

Und weil viele Newbies meinen, das eine DTF das Allheilmittel im Netz sind
(und diese sich auch nicht belehren lassen) ist es für Leute, die es darauf anlegen in
ein System reinzukommen auch kein großes Problem.

Wir reden hier bei gepatchten System vielleicht von erschwerten Bedingungen, aber
das macht Einbruchsversuche nicht unmöglich.

Und außerdem: Wieviel Windows-User tun ihr System patchen ?! Es sind zwar mehr geworden nach den Attacken im letzten Jahr - aber das ist noch immer die Minderheit.

Die meisten User wissen nicht mal was ein Patch überhaupt ist, geschweige denn wozu diese gebraucht werden.

Und solange das so ist, wird sich an der Sicherheitslage von Windows auch nichts
großartig ändern.

Das kann man glauben - oder auch nicht. An den Fakten ändert es nichts.

Mir könnte es eigentlich ja egal sein - ich weiß das, und sorge soweit es geht vor.

Nur - ich hab keine Lust, mir von anderen virenverseuchte Mails, CD ROMs, Disketten und sonstige Malware einzufangen. Und je mehr es von diesen Leuten
gibt, desto schwieriger wird es den eigenen Rechner sauber zu halten.

Ist reiner Egoismus also... Das könnt ihr mir von mir aus vorwerfen.
Nur den Ausdruck "Besserwisserei" - den behaltet bitte für Euch...

Dieser Beitrag wurde von Meltdown84 bearbeitet: 29. Januar 2004 - 18:01

[Meltdown]

Zitat (Rika: 29.01.2004, 17:50)

Rippen = Zerfetzen

Keine Selbstzerstümmelungen um diese Uhrzeit bitte.
Ist nicht jugendfrei...

[Rika]

Fünf Dinge:

1. Am meisten Spass machen Angriffe auf der Ebene der Netzwerkprotokolle, denn die lassen sich wirklich nur durch eine ausgeklügelte Konfiguration ausschließen. Z.B. Ident-Spoofing mittels ARP-Cache-Aktualisierung, wenn der ARP-Cache am Zentral-Gateway nicht als statisch deklariert ist.
2. Das Patch-Problem verursachen die meisten User selbst. Per Default läuft doch der Automatik-Update-Dienst und ist auf stündlichen Checken eingestellt. Da sind dumme User noch kein Problem. Ein Problem werden sie erst dann, wenn sie XP Antispy nutzen und den WU-Service auschalten, "weil der ja spyt" und sich anschließend nicht selber um Updates kümmern.
3. DTFs sind die häufigsten Gründen für Denial of Service Angriffe gegen das eigene System. Eine genügend große Menge kunterbunter durchwürfelt UDP-Pakete mit lauter verschiedenen gespooften IPs und lauter verschiedenen Ports lassen den User in Popups der DTF förmlich ersticken. Mit a bissl Glück treibt man das Log-File gleichzeitig in unbekannte Größen.
4. Ich habe schon mehr als genug Postings der Art "Hab Probleme mit DTF XYZ oder Virenscanner ABC (meist NAV). Runterfahren kann ich sie/ihn aber auch nicht, sonst kommt gleich wieder der Blaster-Wurm rein." gesehen.
5. Grundwissen der Ethologie: Egoismus wird meist mit Selbstinteresse verwechselt. Selbstinteresse ist anundfürsich moralisch nicht verwerflich, wohl aber Egoismus, denn das ist Selbstinteresse ohne Rücksicht auf andere.

Dieser Beitrag wurde von Rika bearbeitet: 29. Januar 2004 - 18:17

[Rika]

1. Zitat aus der FAQ von de.comp.security.firewall:

Warum werden in Fachzeitschriften bestimmte "persönliche Firewalls" trotzdem so gelobt?
Die meisten Zeitschriften finanzieren sich über Werbung bis hin zum Abdruck von Werbetexten als redaktionelle Artikel. Aber auch seriöse Zeitschriften müssen Werbekunden berücksichtigen. Darüberhinaus urteilt der Großteil der Zielgruppe nur danach, ob

* bunte Bilder angezeigt werden,
* die "Firewall" nicht abschmiert,
* nach wie vor alle Verbindungen funktionieren, und
* hin und wieder eine Meldung über ganz gefährliche Portscans, die jedoch erfolgreich abgewehrt wurden, erscheint.

2. Verstehst du eigentlich selber, wovon du redest?
3. 1. Wenn erstmal Malware auf deinem Rechner ist, ist ZA Geschichte.
3. 2. Wenn jemand dich remote abscannt und merkt - aha, da sind Ports gefiltert, und zwar mit den typischen Standardregeln von *Listenvergleich* ZoneAlarm, dann fängt er gerade an, bekannte Fehler in ZoneAlarm auszunutzen. In diesem Falle hast du dir mit ZA ein Kuckucksei ins Nest geholt.
3. 3. Die meiste Malware kommt über für die DTF legitime Wege wie Browser, eMail, Fileshring-Client, Instant Messenger etc. rein. Da nützt eine DTF gar nix.
4. Es geht darum: Ohne ZoneAlarm lebt man keinen Deut unsicherer, ganz im Gegenteil. Deshalb ist sie schlicht und ergreifend überflüssig.
5. Es geht darum, die Nervtötung des Users der Firewall selbst auszunutzen, indem man sie alle möglichen unsinnigen Meldungen ausspucken lässt. Das hat mit Popups auf Webseiten nicht das geringste zu tun.
6. Popup-Blocker und Google-Bar braucht man doch nicht, ist doch alles in Mozilla/Firebird/Opera drin. Oder was benutzt du? So wie ich die Antwort einschätze, hast du damit ein weitaus größeres Einfallsloch für Malware als die <IRONIE>achso gefährlichen offenen Ports</IRONIE>.
7. Du nutzst ein Tool, um den Netzwerkverkehr auf Layer 2 und Layer 3 Ebene zu kontrollieren, weisst aber nicht mal, wie man sich überhaupt erstmal gegen Angriffe auf Layer 1 absichert? Da krall ich mir mit ARP in Nullkommanix deine IP im LAN und übernehme sämtliche Verbindungen... Oder mache ein schönes TCP-Hijacking, weil auch deine DTF dem Betriebssystem nicht beibringt, dass man ISNs nicht durchgehend numeriert.

Dieser Beitrag wurde von Rika bearbeitet: 29. Januar 2004 - 18:47

[Rika]

1.

Zitat (simcard: 29.01.2004, 18:52)

Naja, komm, wenn man nen trojaner drauf hat, dann fragt mich Zone Alarm ja (hoff ich zumindest) ob der ins Internet "telefonieren" darf und wenn mir das Programm unbekannt ist, sag ich nein...

Eben nicht.
Entweder gibt sich der Trojaner als etwas anderes aus z.B. svchost.exe
oder macht kurzerhand 'n DLL-Injection in ein anderes Programm wie IE oder SvcHost
oder bringt einfach seinen eigenen IP-Stack mit
oder sorgt automatisch dafür, dass die Abfragen der Firewall mit Zulassen beantwortet werden
oder erstellt gleich selbst neue Zulassen-Regel für sich
oder beendet einfach die Firewall.

Jeder heilwegs moderne Trojaner beherrscht alle diese Methoden und selbst ziemlich alte Trojaner beherrschen mindestens eine dieser Methoden.

Außerdem Wenn erstmal Malware auf deinem Rechner läuft, sollte geschlossene Ports deine geringste Sorge sein.

2. Deinen Computer interessiert deine Meinung nicht. Es ist ein Faktum, dass deine Firewall dir kein bissl mehr Schutz bietet. Lies mal z.B. hier

3. Ein Hacker will gar nix auf deinem PC. Höchstens ein Cracker. Und der will
3. 1. nicht speziell was von dir, sondern sucht sich seine Opfer wahllos aus der großen Masse
3. 2. Kreditkartendaten, Passwörter, ISP-Zugangsdaten etc.
3. 3. mit Dialern Geld kassieren
3. 4. deinen Rechner als DDoS-Client, Warez-FTP, Spam-Relay missbrauchen
3. 5. was dir eine Menge Ärger einbringen kann.

Dieser Beitrag wurde von Rika bearbeitet: 29. Januar 2004 - 19:02

[Meltdown]

Zitat (Rika: 29.01.2004, 18:09)

2. Das Patch-Problem verursachen die meisten User selbst. Ein Problem werden sie erst dann, wenn sie XP Antispy nutzen und den WU-Service auschalten, "weil der ja spyt" und sich anschließend nicht selber um Updates kümmern.

5. Grundwissen der Ethologie: Egoismus wird meist mit Selbstinteresse verwechselt. Selbstinteresse ist anundfürsich moralisch nicht verwerflich, wohl aber Egoismus, denn das ist Selbstinteresse ohne Rücksicht auf andere.

zu 2)

Das dürfte Hacker ja eigentlich freuen. Gerade bei XP-AntiSpy, das ist ja
soweit ich das beurteilen kann, ganz beliebt. 1. Entweder patchen die User
also nicht selber, 2. schalten dann auch noch die entsprechenden AUTO-Dienste aus
- oder 3. sogar beides.

Und wenn Sie doch mal patchen sollten - dann 4. meistens so, das sich entsprechende
Patches auch noch gegenseitig überschrieben - und damit 5. womöglich hinterher noch
mehr Lücken haben als vorher. YES! Was will man mehr...

Das Windows XP-System (womöglich noch SP1) ist ein richtiges Paradies für Leute die es darauf anlegen PCs zu manipulieren. Naja, es gibt ja noch Mittel und Wege das
anders zu gestalten. Nur - wer macht das schon...

zu 5) Naja...

Wenn ich jemanden nicht helfe bei der Systemabsicherung - dann hat das für mein System bestenfalls keine Auswirkungen und schlimmstenfalls erwischt es mich selber hinterher deswegen. (was allerdings bedeuten würde, das ich bei meinem System selbst Mist gebaut habe. - Darüber dürfte ich mich dann allerdings auch nicht beschweren)

Hat aber immer noch nicht viel mit Rücksicht auf andere zu tun. Bestenfalls könnte ich verhindern, das es noch andere erwischt durch ungesicherte Systeme. Prophylaxe wäre da aber das bessere Wort dafür...

Fies wäre es hingegen wenn ich andere was absichtlich unterschmuggeln würde - und sie hinterher allein damit lasse. Das sollte man aus Rücksicht auf andere besser
unterlassen.

Und ich weiß nicht, ob das hier für alle verneinen kann...

Kontra....Re...

(Sorry...ging nicht schneller. Mir ist was dazwischengekommen...)

Dieser Beitrag wurde von Meltdown84 bearbeitet: 29. Januar 2004 - 19:37

[Rika]

100% aller getesteten Trojaner. Gegen gut gecrytete und modifzierte (VX-Patch+Armadillo+UPX/FARspecial+bigDeflate-Hack) nützt das auch nix.
Aber das ist ein prinzipielles Problem.

Statt zu frage, ob du einen Trojaner draufhaben könntest, solltest du dich besser fragen, woher du einen hättest bekommen können. Irgendwelche Warez in Tauschbörse gesaugt? Download von 'ner dubiosen Seite? IE benutzt und fernab der bekannten Seiten gewesen? 'n Trottel für 5 Minuten an deinen Rechner gelassen? etc.

[reiner]

Hi Rika !
Mal 'ne Frage - ist das von dir ? :
"[o4]
erstellt von Rika am 29.01.2004 um 10:04Uhr
1. Besser als Wurmvernichtung: Wurmvermeidung. 2. Hey, der Stinger findet sogar bei mir war... im Junkmail-Ordner von Thunderbird :-) "

http://www.winfuture...news,13031.html

PS. Hat "der" was angerichtet ?

[Rika]

@simcard:

1. KaZaA hat nix mit Webseiten zu tun.
2. Wenn du bei KaZaA nach Musik suchst, und wie ein vernünftiger Mensch erstmal aussortierst (überhaupt Bitrate angegeben, Bitrate >= 160 KBit/s, stimmt Dateiname, ist die Titellänge plausibel), dann wirst du dir garantiert keine Malware runterladen. Und selbst wenn, du brauchst ja nicht so dumm zu sein und sie ausführen.
3. Das ist nicht normal. Es sei denn er erkennt 'nen Failsafe-Mode, aber dann hast du eher ein Runterfahren-Problem.
4. Man kann das Prefetching doch deaktivieren. Und dann reicht es, wenn der Ordner ein einziges mal (nämlich das letzte mal) gelöscht wird.
5. Das Problem ist bei KAV eher ungewöhnlich. Ich hab sowas bisher nur bei BitDefender 7.x (nicht bei 6.5) erlebt.
6. Wenn noch was von Panda da ist, dann entferne es sauber. Gerätemanager, ausgeblendete Geräte anzeigen, Nicht-PnP-Treiber -> da ist sehr vieles drinne, was weg sollte. Aber vorher immer genau nachschauen, was das für ein Treiber ist, welche Datei mit welchem Hersteller und welcher Funktion er zugeordnet ist.

@reiner:
Natürlich nicht. Deshalb ja das Smilie.
Ich meine ja nur - wozu soll ich einen Mailchecker laufen lassen, wenn ich eh keine Mailanhänge blind öffne und eh kein Mailprogramm einsetze, dass gerne Sicherheitslücken hat? Sober und MyDoog landen bei mir automatisch im Junk-Ordner und trainieren nebenbei den Junkfilter sogar noch etwas. Und stören mich kein bissl. Warum muss Stinger mich also auf ein offensichtliches Nicht-Problem hinweisen?

[Meltdown]

Zitat (Rika: 29.01.2004, 20:27)

Ich meine ja nur - wozu soll ich einen Mailchecker laufen lassen, wenn ich eh keine Mailanhänge blind öffne und eh kein Mailprogramm einsetze, dass gerne Sicherheitslücken hat?

Ich dachte bei Dir geht Sicherheit vor ?

Das man also auch bei einer normalerweise sicheren Konstallation nie die Sicherheit ausser Acht lässt - eben weil man nie sicher sein kann, das nicht trotzdem irgendein Spinner sich wieder was Neues ausgedacht hat.

Dieser Satz passt eigentlich nicht zu Dir...

Aber wie Du schon sagtest....

"Ich meine ja nur..."