WinFuture-Forum.de: ob/warum DTF's nichts taugen - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 16 Seiten +
  • « Erste
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • Letzte »

ob/warum DTF's nichts taugen oder: ein Kampf der Ideologien

#87 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.505
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 03. Februar 2004 - 10:10

http://www.pcflank.com/art21.htm

Soviel zu Outpost.

Mal ganz davon abgesehen, dass ein einfaches hwnd=getWHandleEX("Outpost*"); ManageProcess(hwnd, TM_TERMINATE_PROCESS); ausreicht um Outpost einfahc zzu beenden. Mit einem ähnlichen Trick kann man auch einfach dafür sorgen, dass die Abfrage-Dialoge von Outpost einfahc mit einem Zulassen beantwortet werden.

Oder DLL-Injection, HTTP-Tunneling, eigener IP-Stack - all das umgeht Outpost problemlos.

Ich hab schonmal mit IRON vor über 'nem Jahr darüber diskutiert, wie man es programmtechnisch umsetzen müsste, etwas davor zu schützen. Eins ist mit Sicherheit notwendig: Ein eingeschränktes Benutzerkonto. Der Rest muss in der DTF selber sauber programmiert sein - und selbst dann gibt es keinen Schutz gegen Mehrfach-DLL-Injection. Aber selbst die anderen Anforderungen werden selten, wenn überhaupt umgesetzt.

Dieser Beitrag wurde von Rika bearbeitet: 03. Februar 2004 - 10:10

Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

Anzeige



#88 Mitglied ist offline   Superia 

  • Gruppe: aktive Mitglieder
  • Beiträge: 369
  • Beigetreten: 19. August 03
  • Reputation: 0
  • Wohnort:Hannover

geschrieben 03. Februar 2004 - 11:06

Zitat (Rika: 03.02.2004, 10:10)

http://www.pcflank.com/art21.htm

Soviel zu Outpost.

Mal ganz davon abgesehen, dass ein einfaches hwnd=getWHandleEX("Outpost*"); ManageProcess(hwnd, TM_TERMINATE_PROCESS); ausreicht um Outpost einfahc zzu beenden. Mit einem ähnlichen Trick kann man auch einfach dafür sorgen, dass die Abfrage-Dialoge von Outpost einfahc mit einem Zulassen beantwortet werden.

Oder DLL-Injection, HTTP-Tunneling, eigener IP-Stack - all das umgeht Outpost problemlos.

Beachte doch bitte mal die Versionsnummern und dessen ChangeLog!!!!
Das wurde alles behoben!
Outpost Pro 1.0.1511 ->
Eingefügtes Bild


Sorry, aber dieses hier ist wieder mal typisch für Deine Beiträge!
>>hwnd=getWHandleEX("Outpost*"); ManageProcess(hwnd, TM_TERMINATE_PROCESS);

Dazu müsse ja erst einmal jemand Zugriff auf das System
erhalten...und das wird wohl etwas schwierig!
0

#89 _simcard_

  • Gruppe: Gäste

geschrieben 03. Februar 2004 - 12:08

Zitat

Mal ganz davon abgesehen, dass ein einfaches hwnd=getWHandleEX("Outpost*"); ManageProcess(hwnd, TM_TERMINATE_PROCESS); ausreicht um Outpost einfahc zzu beenden. Mit einem ähnlichen Trick kann man auch einfach dafür sorgen, dass die Abfrage-Dialoge von Outpost einfahc mit einem Zulassen beantwortet werden.

Na du kennst dich ja aus :D
Aber Zone Alarm Pro (zumindest die Version 4.5, bei deinem Link wurde nur die uralte 3.0 getestet) lässt sich zum Glück nicht beenden :P , das haben die Medien auch getestet. Aber was nützt einem schon ne DTF? Ich zumindest habe das Vertrauen in die Dinger verloren und nutze sie nurnoch dazu, dass Windows nicht nach Hause telefonieren kann :rolleyes:
EDIT: Die Stiftung Warentest hatte vor paar Monaten mal DTFs getestet, das Testergebniss habe ich mal hochgeladen (da ist auch gleich noch der Antivirentest mit dabei) :)

http://www.svgrimma....orwinfuture.jpg

Was auffällt: Zone Alarm ist zwar Testsieger, aber Outpost FREE (nicht die Pro die ist dann wohl noch besser...) hat eine größere Schutzwirkung !
Und jetzt behaupte bitte niemand, die Warentest sei nicht unabhängig :-)
Ahnung haben die auch, denn bei solchen Tests lassen die immer Experten ran.

Zitat

Ja, ich auch. Kannst ja mal hier im Forum etwas darüber berichten

Klaro, die werden den Artikel bestimmt auch Online auf chip.de veröffentlichen, falls nicht werde ich mir die Mühe machen und den kompletten Artikel einscannen und hochladen :)

Dieser Beitrag wurde von simcard bearbeitet: 03. Februar 2004 - 12:44

0

#90 Mitglied ist offline   Meltdown 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.216
  • Beigetreten: 02. November 03
  • Reputation: 0
  • Geschlecht:Männlich

  geschrieben 03. Februar 2004 - 12:34

Zitat (simcard: 03.02.2004, 12:08)

nutze sie nurnoch dazu, dass Windows nicht nach Hause telefonieren kann  :rolleyes:

:P

Dafür brauchst Du nun wirklich keine Firewall, diese Dienste lassen sich
sowieso abschalten.

Das einzig Wichtige wo Windows drauf besteht nach Hause zu telefonieren,
ist beim Online-Update. Aber das lässst sich wohl schwer vermeiden, wenn
die Patch-Situation auf Deinem Rechner ermitelt werden soll.

Da sei als Warnung noch dazu gesagt, das auch die SN und Hardware gecheckt wird.

Dieser Beitrag wurde von Meltdown84 bearbeitet: 03. Februar 2004 - 12:38

0

#91 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.505
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 03. Februar 2004 - 12:38

@Superia:

1. Das ist doch die einzige Funktion, die bei DTFs wirklich vielversprechend ist: Applikationskontrolle. Und genau die funktioniert aus obengenannten Gründen nicht.

Alles andere wie Portfilter ist doch sinnlos - was zu ist, bleibt zu, was offen ist, bleibt trotz DTF weiterhin offen.

2. Jede Version von Outpost hat dieses Problem.

@simcard:

1. TerminateProcess ist nur eine von hunderten Möglichkeiten, Prozesse zu beenden. Viele dieser Möglichkeiten funktionieren auch bei ZA 4.5 - hab ich slebst ausgetestet.

2. Statt 'ne DTF zu verwenden kannst du WIndows auch einfach korrekt konfigurieren, dass er nicht mehr ungewollt Daten über's Netz transferiert.

@Meltdown:

Benutze doch einfach das MS Download Center. Da kannste alle Patches offline specihern, es werden alle Patches angezeigt und keine Daten erfasst.

Dieser Beitrag wurde von Rika bearbeitet: 03. Februar 2004 - 12:40

Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#92 _simcard_

  • Gruppe: Gäste

geschrieben 03. Februar 2004 - 12:39

Zitat

Dafür brauchst Du nun wirklich keine Firewall, diese Dienste lassen sich
sowieso abschalten.

Das einzig Wichtige wo Windows drauf besteht nach Hause zu telefonieren,
ist beim Online-Update. Aber das lässst sich wohl schwer vermeiden, wenn
es die Patch-Situation auf Deinem Rechner erfahren soll.

Da sei als Warnung noch dazu gesagt, das auch die SN und Hardware gecheckt wird.

Eben hat mich Zone Alarm gefragt, ob der Generic Host Process für Win32 Services ob das Internet zugreifen darf, da habe ich NEIN gesagt und das Internet ging nicht mehr :D
Aber manchmal versucht der Media Player (auch ne Sicherheitslücke? - verwende inzwischen ja schon winamp) aufs Internet zuzugreifen, da ist Zone Alarm schon ganz nützlich und vielleicht hält es ja doch den ein oder anderen Anfänger-Hacker ab mich zu attackieren, sodass der sich lieber jemanden ohne Firewall sucht :)
Und: Es hat schon jede Menge Zugriffsversuche auf meinen PC verhindert :rolleyes: (siehe Foto)
EDIT:

Zitat

2. Statt 'ne DTF zu verwenden kannst du WIndows auch einfach korrekt konfigurieren, dass er nicht mehr ungewollt Daten über's Netz transferiert.

EINFACH? Wenn ich das mache, geht hinterher bestimmt nix mehr, wo müsste man denn anfangen? Daran wage ich mich lieber nicht :P

Zitat

1. TerminateProcess ist nur eine von hunderten Möglichkeiten, Prozesse zu beenden. Viele dieser Möglichkeiten funktionieren auch bei ZA 4.5 - hab ich slebst ausgetestet.

na da gehen sie dann bei Version 5.0 nicht mehr *g*

Angehängte Miniaturbilder

  • Angehängtes Bild: za.jpg

Dieser Beitrag wurde von simcard bearbeitet: 03. Februar 2004 - 12:55

0

#93 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.505
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 03. Februar 2004 - 12:46

1. Der WMP ist der einzige, bei dem es nicht ganz so einfach ist. Die versteckten Optionen kann man aber mit XSetup alle erreichen.

2. Es wird immer gehen. Zur not kann man immer noch NTDLL:TerminateProcess einbinden - das ist der direkteste Aufurf, den man nicht unterbinden kann. Sorry, aber solange der Benutzer Adminrechte (Standardbenutzer) oder zumindest Prozessverwaltungsrechte hat (Template: Hauptbenutzer), hat er immer die Möglichkeit, Prozesse zu beenden.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#94 _simcard_

  • Gruppe: Gäste

geschrieben 03. Februar 2004 - 12:55

Zitat

2. Es wird immer gehen. Zur not kann man immer noch NTDLL:TerminateProcess einbinden - das ist der direkteste Aufurf, den man nicht unterbinden kann. Sorry, aber solange der Benutzer Adminrechte (Standardbenutzer) oder zumindest Prozessverwaltungsrechte hat (Template: Hauptbenutzer), hat er immer die Möglichkeit, Prozesse zu beenden

Schön, das zu hören :rolleyes:
Mal noch was aus der Computerbild 2/2004:(testbericht ZAP)
Zone Alarm Pro ist fast so einfach zu bedienen wie der Testsieger.Im Sicherheitstest schnitt das Programm sogar noch besser als "Buhl Data Fire Alarm" ab: Es lässt sich von Spionage-Programmen nicht abschalten, sodass diese den Schutz nicht umgehen können.Ausserdem verhindert "Zone Alarm Pro 4.0" Computer-Abstürze durch groß angelegte Internet-Attacken ("Denial of Service") Allerdings lässt sich der PC wärend der Dauer des Angriffes nicht benutzen.Auch vor Angriffsversuchen von Trojanern und Würmern schützt die Software:Hintergrundprogramme haben keine Chance, Daten ins Internet zu schicken.
0

#95 Mitglied ist offline   Meltdown 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.216
  • Beigetreten: 02. November 03
  • Reputation: 0
  • Geschlecht:Männlich

  geschrieben 03. Februar 2004 - 13:14

Zitat (simcard: 03.02.2004, 12:55)

Schön, das zu hören  :rolleyes:

Beschwer Dich deswegen nicht bei uns... :P

Das ist nicht unsere Schuld.

Nebenbei: Es muß doch lästig sein, ständig dafür sorgen zu müssen,
das irgendein Tool im Hintergrund läuft. Dazu dann der ganze Rattenschwanz
an Aktualisierungsaufwand, der sich da mit dranhängt. Schon Windows allein herzurechten - da will ich gar nicht mehr drüber...

Du machst Dich so nur abhängig von etwas.
0

#96 _simcard_

  • Gruppe: Gäste

geschrieben 03. Februar 2004 - 13:27

Zitat

Beschwer Dich deswegen nicht bei uns... :rolleyes:

Das ist nicht unsere Schuld.

weiß ich doch :D

Zitat

Nebenbei: Es muß doch lästig sein, ständig dafür sorgen zu müssen,
das irgendein Tool im Hintergrund läuft. Dazu dann der ganze Rattenschwanz
an Aktualisierungsaufwand, der sich da mit dranhängt. Schon Windows allein herzurechten - da will ich gar nicht mehr drüber...

Wie meinst du das?
Zone Alarm startet automatisch, das dauert zwar etwas aber ich bin geduldig :)
Und Updaten tut es sich auch selbstständig.

Zitat

Du machst Dich so nur abhängig von etwas.

Bin von nix abhängig :P
0

#97 Mitglied ist offline   Meltdown 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.216
  • Beigetreten: 02. November 03
  • Reputation: 0
  • Geschlecht:Männlich

  geschrieben 03. Februar 2004 - 13:37

Zitat (simcard: 03.02.2004, 13:27)

Bin von nix abhängig  :rolleyes:

Kontra! :P
Natürlich bist Du das, weil Du es ohne offensichtlich nicht hinkriegst.

Und ICH (zumindest - man beachte die Betonung!) hätte echt keine Lust bei jedem Mayor-Update einer Firewall erst die die Kurierung der Kinderkrankheiten abzuwarten, nur weil der Hersteller mal wieder meinte er müsste (um seine Kassen aufzubessern)
eine neue Version herausbringen...

Dieser Beitrag wurde von Meltdown84 bearbeitet: 03. Februar 2004 - 13:49

0

#98 _simcard_

  • Gruppe: Gäste

geschrieben 03. Februar 2004 - 14:05

Zitat

Natürlich bist Du das, weil Du es ohne offensichtlich nicht hinkriegst.

:rolleyes: Noch nicht, warten wir mal ab was in der CHIP steht, da bekommen das dann auch Anfänger wie ich hin :P

Zitat

Und ICH (zumindest - man beachte die Betonung!) hätte echt keine Lust bei jedem Mayor-Update einer Firewall erst die die Kurierung der Kinderkrankheiten abzuwarten, nur weil der Hersteller mal wieder meinte er müsste (um seine Kassen aufzubessern)
eine neue Version herausbringen...

Nagut, stimmt auch wieder :D

Dieser Beitrag wurde von simcard bearbeitet: 03. Februar 2004 - 14:06

0

#99 Mitglied ist offline   Meltdown 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.216
  • Beigetreten: 02. November 03
  • Reputation: 0
  • Geschlecht:Männlich

  geschrieben 03. Februar 2004 - 14:10

Zitat (simcard: 03.02.2004, 14:05)

:rolleyes: Noch nicht, warten wir mal ab

Wenn Du das wirklich willst, hab ich da nicht die geringsten Zweifel... :P :D

Aber je mehr irgendwie "verwandte" Windows-Systeme auf dem Markt
kommen, desto mehr muß man sich Aufbau, Organisation, Bugs und Besonderheiten dieser Systeme einprägen...

Wie lange das noch gut gehen soll, frage ich mich auch allmählich.
Microsoft hat da ja selbst schon Probleme die Sache vor die Reihe zu bekommen...
0

#100 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.505
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 03. Februar 2004 - 17:41

@simcard:

1. Wie ich schon sagte: Solange du mindestens Hauptbenutzer bist, kannst du alles killen. Wenn die Leute sich dort so dämlich anstellen - Trojaner stellen sie geschickter an.

2. Wesentlich einfacher: Einfach automatisch Zulassen an den Abfrage-Dialog schicken. Das geht so schnell, da sieht der User den Dialog nichtmal.

3. ZoneAlarm ist saudumm. Ports sind immer Stealth, und dieses unsinnige Verhalten lässt sich nicht abstellen. Zudem funktionieren die Filteregel für UDP-Pakete nachweislich nicht.

@Meltdown:

Ist dir schon mal aufgefallen, dass viele begründen können, warum DTFs unsicher sind und warum praktisch niemand (besonders niemand, der sie tatsächlich einsetzt) bergünden kann, warum sie den Rechner sicher machen sollen?
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#101 Mitglied ist offline   Meltdown 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.216
  • Beigetreten: 02. November 03
  • Reputation: 0
  • Geschlecht:Männlich

  geschrieben 03. Februar 2004 - 17:52

Zitat (Rika: 03.02.2004, 17:41)

@Meltdown:
Ist dir schon mal aufgefallen, dass viele begründen können, warum DTFs unsicher sind und warum praktisch niemand (besonders niemand, der sie tatsächlich einsetzt) bergünden kann, warum sie den Rechner sicher machen sollen?

Nach 14 Thread-Seiten ist es auch zu mir durchgedrungen... :rolleyes:
0

Thema verteilen:


  • 16 Seiten +
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • Letzte »

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0