[xploit]

sag mal Graumagier... irgendwie redest du die letzten paar Beiträge, ganz ernsthaft, nur noch Unsinn:

>> Jedes dieser Produkte ist definitv abschaltbar.
stimmt, vielleicht.. aber dazu muss die Malware erstmal auf den Rechner, und dann hilft eigentlich fast _nichts_ mehr weiter! (Wobei das ein Fakt ist, denn noch niemand bewiesen hat, bisher wurden nur einige wenige Vertretet getestet, aber adas scheinst du ja bewusst zu überlesen)

>> Wenn man ...eine PFW installiert, ist diese auf jeden Fall das größte Eingangstor für Malware.
niemals, wenn das jemand ohne Ahnung liest, denkt der, jeder kann deinen Rechner fernsteuern, nur weil ne FW drauf ist, dass ist Unsinn - denn dazu gehört noch mehr...und dann ist sowieso alles verloren.

Dieser Beitrag wurde von xploit bearbeitet: 24. Juni 2005 - 16:33

[shogun03]

@Graumagier

Zitat

Jedes dieser Produkte ist definitv abschaltbar.

ja eben nicht, die 2005er version verfügt über einen selbstschutz und ich arbeite im adminaccount.


wie du siehst lässt sich der applikationsmanager nicht beenden.


wie du siehst lässt sich der autoprotect ebenso wenig einfach beenden.

das könnte ich jetzt mit jeder symantec-ressource veranstalten es kommt immer dasselbe raus.
wie wärs wenn du dich auchmal informierst !? ich weiss das machst du sowieso nicht, du hast deine festgefahrene meinung und die willst du auch nicht relativieren.

[Graumagier]

xploit sagte:

irgendwie redest du die letzten paar Beiträge, ganz ernsthaft, nur noch Unsinn:

Das kann ich zurückgeben

xploit sagte:

stimmt, vielleicht.. aber dazu muss die Malware erstmal auf den Rechner, und dann hilft eigentlich fast _nichts_ mehr weiter! (Wobei das ein Fakt ist, denn noch niemand bewiesen hat, bisher wurden nur einige wenige Vertretet getestet, aber adas scheinst du ja bewusst zu überlesen)

Nicht selten ist das auch von außen möglich, siehe dazu einmal mehr Bugtraq.

xploit sagte:

niemals, wenn das jemand ohne Ahnung liest, denkt der, jeder kann deinen Rechner fernsteuern, nur weil ne FW drauf ist, dass ist Unsinn - denn dazu gehört noch mehr...und dann ist sowieso alles verloren.

Eine PFW ist in einem ansonsten dichten System die größte Schwachstelle, das ist einfach so.

xploit sagte:

ja eben nicht, die 2005er version verfügt über einen selbstschutz und ich arbeite im adminaccount.

Es gibt andere Methoden, einen Prozess zu beenden. Der "Selbstversuch" über den Taskmanager ist nicht gerade repräsentativ.

Dieser Beitrag wurde von Graumagier bearbeitet: 24. Juni 2005 - 16:36

[shogun03]

@Graumagier

Zitat

Es gibt andere Methoden, einen Prozess zu beenden. Der "Selbstversuch" über den Taskmanager ist nicht gerade repräsentativ.

ja soweit war ich auch schon und hab das mit dem tool "Advanced Process Termination" (apt.exe) auch probiert, es kommt aufs selbe ergebnis hinaus.
du kannst nicht immer recht behalten .

[shogun03]

@max

das meiste sind hier ehh nur behauptungen , die teilweise recht falsch oder inaktuell sind , mach dir nichts draus und behalte die software mit der du sehr gut zurechtkommst

[xploit]

Zitat (Graumagier: 24.06.2005, 18:35)

Das kann ich zurückgeben
<{POST_SNAPBACK}>

... alles eine Frage des Standpunktes....

naja, ich mach nicht mehr mit, wie max treffend konstatiert, gehts hier nur noch um Meinungen und Vermutungen und Pauschalisieren - und jedesmal auf irgendwelche halbgare Kommentare zu reagieren, macht keinen Spass. Soll halt jeder selber wissen, was für einen die beste Lösung ist.

Dieser Beitrag wurde von xploit bearbeitet: 24. Juni 2005 - 16:50

[shogun03]

so ist es , aber ich habs wenigstens versucht auf einige halbgare behauptungen einzugehen , sonst heisst es hinterher noch "siehste , der troll hat keine argumente" ect.
auch wenn ich glaube das die festgefahrenen meinungen der leute bleiben.

[flo]

@max

siehe die Sticky Threads im Sicherheitsforum!


@ shogun03, Xpolit und Graumagier

Gegenseitige unterstellungen bringen nichts, entweder ihr habt ein sachliches Argument, oder ihr lasst das Posten einfach,


Wir sind hier nicht bei Wünsch dir was

Dieser Beitrag wurde von Flo bearbeitet: 24. Juni 2005 - 20:12

[xploit]

ich bin jetzt mal davon ausgegangen, dass die Frage auf deine IT-Struktur zu Hause ausgerichtet war:

Du kannst deinen Computer z.B. entsprechend www.dingens.org konfigurieren und dann darauf hoffen, dass dein Computer "zu" ist. Sollte dir das nicht genügen, bleibt eigentlich nur der Weg über eine PFW. Bevor du da aber wahllos eine auswählst, lass dich auf jedenfall beraten, die Unterschiede sind frappierend, was ressourcenverbrauch, usability und reliability angeht.

(Grossteil der Lücken im Rechner sind unnötig gestartete Dienste, achte aber darauf, dass du mit einem LAN zu Hause nicht alle dort erwähnten Dienste ungefragt abschaltest, viele benötigst du um im Netzwerk nach Freigaben zu suchen und drauf zuzugreifen)

ps:

ich empfehle auch zumindest auf Win2k oder WinXP umzusteigen, von der Ressourcenplanung sind beide ausgereifter als Win98 - und sicherer sowieso. Nach meinem Dafürhalten ist sogar WinXP nach sinnvoller Konfig auf gleichem System schneller als Win2k - ist aber geschmackssache.

Dieser Beitrag wurde von xploit bearbeitet: 24. Juni 2005 - 20:04

[Rika]

Intensiver Flame^WGedankenaustausch hier.
Ich teile dieses Posting mal etwas auf.

Zitat

Könnte man statt einem Virenscanner nicht einfach nur reg- und filemon installieren und da schauen, ob was unerwünschtes auf den PC kommt?

Ja, wobei hier ein richtiges hostbasierendes IDS geeigneter wäre. Ich empfehle "Snare".

Zitat

Kann man eigentlich von seinem OS eine Prüfsumme machen lassen, wenn alles so ist wie man möchte und nichts neues an Programmen drauf soll?

Ja. Prüfsummen sind auch gut, Veränderungen am System aufzudecken und damit auch Malware sauber entfernen zu können. Naja, ein paar kranke Sachen wie die Registry ändern sich leider ständig...

Zitat

Wenn man eine Prüfsumme von einem System erstellt, ist diese doch nach dem nächsten Neustart schon wieder anders. Wie soll das funktionieren?

Dateiweise!

Zitat

Unpraktisch - schon der Start eines einzigen Programmes erzeugt ein Log von mehreren MB (in beiden Tools) - wer soll das kontrollieren?

Wenn man einen eingeschränkten Benutzeraccount hat, kann man gezielt auf ACCESSDENIED, ACCDENIED und ACCERROR filtern. Hilft auch, um störrische Programme zu bändigen.

Zitat

Nicht jeder kann (will) sich einen 2. Rechner leisten und dass die Konfig einer professionellen Firewall etwas umfangreicher ist als die einer PFW dürfte klar sein.

Nein.
1. Kaum ein Anwender braucht eine Firewall.
2. Auch eine PFW muss ordentlich konfiguriert werden, die Anwender können das nicht selbst und die pseudointelligenten Wizards sind der letzte Dreck.

Zitat

Anders gesagt: Ja,er blockt auch ausgehenden. Fairerweise muss ich dazu sagen, das ich es weder beweisen noch widerlegen kann, soviel Ahnung hab ich dann doch nicht.

Ein Router mit Paketfilter, der nur eine DENY-Regel implementiert, funktioniert sehr zuverlässig. Aber warum nicht gleich das Kabel ziehen? Denn Tunnel sind immer ein Problem, wenn man nicht ein gut durchdachtes Application Layer Gateway hochzieht.

Zitat

Wenn du jetzt allerdings eine PFW einsetzt und auch befallsfrei bist, kann ich verstehen, warum du nicht umsteigen willst. Warum eine Konfiguration zerstören die funktioniert?

Weil sein Netzwerk kaputt ist? Weil er sich selbst künstlich ausbremst? Weil er vielleicht gar nicht mal merkt, daß sein System schon längst umgangen wurde?

Zitat

ich würde sagen du klickst die jetzt einfach nichtmehr aus den emails raus

Warum nicht? eMail sind zur einfachen Kommunikation da, und wenn mich eine eMail potentiell interessiert, dann will ich nicht darüber nachdenken müssen, ob ich sie nun anklicke oder nicht. Deshalb setze ich einen Mailclient ein, der nicht bekannte Sicherheitslücken implementiert und bezüglich Klickverhalten arg überraschend reagiert.

Zitat

Wie gesagt, ich will Rika & Co. nicht vom Gegenteil überzeugen, sondern nicht einfach Argumente ungefragt im Raum stehen lassen. Die Grünen/Roten Felder sollen nicht in erster Linie als Kontra, sondern als Antwort dienen.

Hast du das von mir verlinkte Posting im Usenet überhaupt gelesen?
Deshalb mal als Zusammenfassung: PFWs wären akzeptabel, wenn sie den User auf die richtige Art und Weise konditionieren würden. Nur welche PFW bringt denn die Meldung "Hier, ich habe dies und jenes blockiert. Du hats noch mal Glück gehabt, das hätte nämlich auch verdammt ins Auge gehen können. Pass das nächste mal etwas besser auf, aus welchen Quellen du deine Programme beziehst!.
[ NEIN, mein System und andere Systeme im Netz sind mir scheißegal] [ok]"?

Zitat

Jeder der das Schema liest, muss sich selber klar werden, zu welcher Lösung er sich entscheidet. DesktopFirewall, Router mit Firewall, Firewall auf 2. Rechner und und und - das sind alles mögliche Lösung, und ich will KEINE davon grundsätzlich verteufeln. Es gibt einfach zu viele Anwendungsgebiete, dass sich diese Frage nicht pauschalisieren lässt.

Du hast das interessanteste Schema vergessen: Gar keine (|Pseudo-)Firewall. Braucht man idR nämlich gar nicht, und die User haben doch eh keine Ahnung von der Verwendung.

Zitat

Ich surfe inzwischen seit 1997 und hatte in der ganzen Zeit nicht einmal eine Viren-Mail.

Du bist nicht sonderlich offen für eMail-Kommunikation und verwendest auch kein OpenPGP?

Zitat

Bestes Beispiel:Blaster
Dagegen war meine Norton-PFW damals machtlos.

ROFL!

Zitat

klar, und vor allem dann wenn Client-seitig der betreffende Port offen ist.

Dann hast du offenbar nicht mal von PFWs was verstanden.

Zitat

Zur Blaster Zeit hatte ich ZA und die konnte rein gar nix machen.

Jep, weil die genauso inkompetent ist. Oder deine Konfiguration gezielt Scheiße war.

[Rika]

Zitat

Du hast in dem Punkt ja sicherlich Recht, welcher Schutz lässt sich nicht umgehen?

Es gibt auch Schutz, der nicht prinzipbedingt versagen muss, sondern bestenfalls gegen zufällige Programmierfehler oder Fehlkonfiguration anfällig ist.

Zitat

100%ige Sicherheit ist de facto schwer zu erreichen, da sind wir uns ja alle einig.

Und? Sicherheitsmaßnahmen müssen vor allem zuverlässig und kalkulierbar sein.

Zitat

Aber einerseits wird richtige Malware (oder sollte sie zumindest) auch vom Virenscanner schon vorher blockiert werden, und andererseits kann man doch zwischen verschiedenen Typen von Software unterscheiden:

Gaobot? Try again!

Zitat

hat hier schonmal jemand mit der Erfahrung gemacht? Ein grosser Schlachtruf von Opensource ist ja die Sicherheit, ob des offenen Quellecodes

Hier läuft win-ipfw. Die arbeitet als Kernelmode-Treiber + nichtinteraktiver Dienst, lässt sich nur als Admin konfigurieren, das Configtool läuft ordentlich im Usermode, die Logdaten landen im Systemlog... alles in allem das, was eine ordentliche Implementierung ausmacht.
(Zumal ist der Syntax dem originalen ipfw entspricht, mit cygwin kann man bereits erstellte Scripte nahezu 1:1 übernehmen. Oder halt als cmd-Batch neuimplementieren.)

Zitat

bzw sind durch Sicherheitsmaßnahmen, sie sich ein Privatanwender gar nicht leisten kann ohne pleite zu gehn, dann schaffen sie es garantiert auch in mein supersicheres System einzudringen.

Firmennetze sind was ganz ganz anderes. Bitte keine Apfel-Birne-Vergleiche!

Zitat

(Neuerdings benutz ich Linux, da gibt's kein ZA o.Ä.)

Also xinet.d sollte schon konfiguriert werden. tcpwrapper ist besser, netfilter sollte man durchaus auch verwenden - wobei dort vor allem die Filterung nach (Effective) UID/GID einen Anklang von Application Control hat, wie sie sein sollte, Sinn ergibt und zuverlässig arbeitet.
Und sei's nur, um Traffic zu sparen, indem man den TCP/IP-Stack auf die üblichen Verdächtigen gar nicht erst reagieren lässt.

Zitat

hehe.. siehst du: Ansichtssache! Ich geb halt nicht mehr als nötig von mir Preis

Offensichtlich doch, wenn du solche Software auf deinem System tolerierst.

Zitat

Soll heissen, dieses Programm muss erst auf den Rechner gelangen, oder?

Warum setzt du nochmal eine PFW ein?

Zitat

und dann noch, trotz ApplicationFilter der Firewall, durch den Anwender vorsätzlich ausgeführt werden?

Was hat die Application Control damit zutun?
Was willst du mit Programmen, die du nicht ausführst? Merkwürdiger Kauz.
Wie kommt ein Programm definitiv unfreiwillig auf den Rechner und wird dann nicht ausgeführt? Merkwürdiger Exploit.

Zitat

Es gibt noch unzählig andere DesktopFirewall - und nur 5 von vielleicht 20 System zu testen... ich glaube das ist noch eine der grössten Schwächen des Berichts, hier wurden nur die populärsten Firewalls angesprochen.

Meinst du, daß die anderen weniger Scheiße sind? Oder prinzipiell unlösbare Probleme lösen können?

Zitat

Nun, was heisst das für die PFW? Ohne PFW (und vielleicht noch ohne Router) stünden meine Freigaben gänzlich ungeschützt da

Quatsch. Selbst Win98 bindet keine Freigaben an DFÜ-Adapter, und im LAN sind sie durch den Router maskiert.

Zitat

fatal, gerade im WLAN, oder

Wenn du Freigaben im WLAN willst, dann hilft eine PFW nicht.
Wenn du keine willst, dann biete keine an. CIFS lässt sich in Windows hervorragend an Netzschnittstellen binden.

Zitat

(Die Lösung nur FTP nutzen hilft nicht immer, Beispiel: DBoxII kann nur NFS/CIFS nutzen.

Was für ein Quatsch, FTP arbeitet mit direkten Verbindungen.

Zitat

-Die genutze Schadsoftware musste bei den Test bereits auf den Systemen aktiv

Warum benutzt du PFWs nochmal?

[Rika]

Zitat

du möchtest das system nach jeder AV-meldung von kaspersky formatieren, dann tuh das !

Wenn ein Realtime-Dingens mich davon abhält, Malware auszuführen, dann würde mir verdammt mulmig werden, was ich denn da für Scheiße baue.
BTW, du plenkst!

Zitat

wer sich hier schon nicht die mühe machen will die informationen auf aktualität zu überprüfen , der ist weder an wissen noch an sachlichkeit interessiert.

Die Informationen sind aktuell.
Oder existiert der Zweite Weltkrieg nicht mehr, weil er schon 60 Jahre her ist?

Zitat

25 Stellen mit Sonderzeichen und Groß-/Kleinschreibung - juhuu, der PC, der das in annehmbarer Zeit knackt, muss erst noch gebaut werden.

Wie wurde es generiert? Geringe Entropie ist immer angreifbar.

AtGuard 3.22 (leider nicht mehr weiterentwickelt, trotzdem recht gut) -> Nein, veraltet.
Securepoint Firewall 3.7 -> == Outpost
602ProLanSuite -> Trivial abzuschalten. Einfach alle Dateien zu löschen versuchen, Treiber entfernen, rebooten, Rest löschen.
iSafer Winsock Firewall -> Schau dir den Quellkot an. Vor allem funktioniert das DLL-Injection mit eingeschränkten Benutzerrechten logischerweise nicht.
Jetico PFw -> s.o.
Look'n'Stop (schön klein..) -> s.o.
SoftPerfect PFw -> s.o.

Falls du es immernoch nicht begriffen hast: Man kann ein prinzipiell unlösbares Problem nicht lösen, egal was man programmiert.

Zitat

iSafer ist ganz ok

Das will ich mal überlesen haben.

Zitat

niemals, wenn das jemand ohne Ahnung liest, denkt der,

Es ist egal, was er denkt. Das System wird dadurch komplexer und somit fehleranfälliger. Sichere Systeme sind vor allem einfach und schlank.

Zitat

ja eben nicht, die 2005er version verfügt über einen selbstschutz und ich arbeite im adminaccount.

Weil du es ja gar nicht ernsthaft versucht. Einen Hook auf ntdll::TerminateProcess zu setzen kann ich auch. Was hält mich davon ab, einfach die Syscalls direkt zu nutzen? Oder gleich einen Treiber in den Kernelmode zu laden und direkt an Kernelstrukturen rumzupfuschen? Oder einen Treiber laden, der beim nächsten Systemstart die PFW einfach löscht? Du meine Güte, ist das denn so schwer zu begreifen? Adminrechte -> You loose.