[Graumagier]

Abgesicherter Modus? Linux? Wiederherstellungskonsole?

Passenger82 sagte:

Und warum ist ein so "beliebter" Leaktest so unsauber !?!?

Wer sagt denn dass der Fehler beim Programm liegt?

[Graumagier]

_maggus_ sagte:

Anscheinend ist er aber nicht beliebt, weil dein Bitdefender ihn als Spyware klassifiziert hatte..

Das kann aber auch durchaus mit der ureigenen Funktion des Programms zusammenhängen...

[phreazer]

Nun, ich kann problemlos nachvollziehen, dass ein Plus an Code ebenso ein Plus an potentiellen Sicherheitlücken bedeutet. Ich verstehe auch, dass PF durch Ihre Kontrollstellung im System ein attraktives Angriffsziel bieten und demnach das Risiko erhöhen Opfer eines Angriffs werden. Außerdem erlebe ich selbst beim Programmieren diverser Software, wieviel Probleme sogenannte Personal Firewalls mit sich bringen.

Mein Problem, und das ist im Grunde ein ganz banales, besteht darin, dass ich darüber entscheiden will welche Programme Zugriff zum Internet haben sollten und welche nicht. Mit Ports sperren und Dienste abschalten, ist es ja noch lange nicht getan, im Gegenteil, zumeist beschwört man damit neue Probleme herauf, deren Ursachen durch die Verkettung diverser Abhängigkeiten immer unklarer werden.

Natürlich muss ich dem Betriebssystem vertrauen können, was bei Closed-Source-Software ohnehin nicht möglich ist. Selbiges gilt für Personal Firewalls. Dass Windows als kommerzielle, geschlossene Software grundlegend nicht dafür geeignet ist, Transparenz und damit auch Sicherheit für den User zu gewährleisten ist logisch und im Grunde gilt dieses Prinzip auf für PF.

Da die Notwendigkeit Windows zu nutzen aber in vielen Fällen besteht, bräuchte ich dennoch ein Konzept die bestmöglichste Kontrolle über den Netzwerk-, bzw. Internetzugriff einzelner Anwendungen zu besitzen. Welche Alternativen gibt es?

[ShadowHunter]

Mit einer PFW funktioniert das auch nicht mal wirklich.

1. Zum überwachen "netstat" oder "TCPView" von Sysinternals
2. In den Progammmen aus dem Handbuch/Manual die Funktion ausschalten, dass es ins Internet etwas sendet, wobei das nur normale Updateanfragen sein sollten
3. Wenn eine Software sonstigen Mist im Internet treiben will, runter damit, solch eine Software nutzt man erst garnicht.

[phreazer]

Die Lösungen dürften nun aber ähnlich befriedigend sein, wie das Nutzen einer Personal Firewall (mal abgesehen von den neu entstehenden Sicherheitslücken und der im System verwurzelten, missbrauchbaren Kontrollfunktion):

TCPView oder netstat gibt wenig Auskunft darüber, was gesendet wird, es zeigt lediglich an, dass eine Verbindung besteht bzw. eine Verbindung aufgebaut oder abgebrochen wird. Beide Programme sind im Übrigen, soweit ich das bei TCPView nachvollziehen kann (Der Quellcode von Netstatp, auf das TCPView aufbaut, ist einsehbar), keine Open-Source-Programme. Die Transparenz ist nun auch nicht unbedingt gegeben.

Möchte ich generell sehen, was ein Programm denn eigentlich so versendet, würde ich Wireshark (www.wireshark.org) verwenden. Die Software und die benötigte Programmbiliothek "WinPcap" ist Open Source und gewährleistet Transparenz. Außerdem unterstützt das Programm eine Vielzahl an Protokollen.

Bisher bin ich aber lediglich soweit, dass ich sehe wenn ein Programm etwas verschickt und was es verschickt. Um dieses Wissen zu erlangen ist aber die Installation bzw. das Ausführen der Software die Vorraussetzung dafür.

In der alltäglichen Realität sieht es mit Dokumentationen und Handbüchern außerdem eher mager aus. Sollten einmal etwaige Dokumente vorhanden sein, sind diese in diesem Kontext häufig viel zu oberflächlich gehalten und gehen auf das angesprochene Thema noch nicht einmal ein. Man muss schon froh sein überhaupt zu erfahren, wie das Programm sich bedienen lässt (natürlich spreche ich hier von komplexeren Anwendungen). Selbst wenn Internetzugriffe dokumentiert sein sollten, muss man dem Programm (sofern nicht durch Quellcode nachvollziehbar) zunächst glauben schenken, bis man evtl. durch einen Network Sniffer bemerkt, dass da doch Daten verschickt werden. Dann wäre es schlimmstenfalls aber sowieso schon zu spät.

Natürlich will ich mit dem Aufzeigen dieser Mängel nicht irgendwelche Personal Firewalls hochloben, immerhin gilt dort das selbe Vertrauensprinzip und ich kann auch erst im Nachhinein feststellen, ob die Datenpakete nun versendet wurden oder nicht. Allerdings möchte ich als User generell das Recht besitzen im Voraus festzulegen welche Programme Internetzugriff besitzen sollen, bevor Selbige Daten losschicken.

An dieser Stelle fehlt mir eine vernünftige Lösung.

Dieser Beitrag wurde von phreazer bearbeitet: 30. September 2006 - 14:29

[ShadowHunter]

netstat ist teil von Windows. ANsonsten gibt es VMware dort kannst das ganze testen ohne dein System mit der Software zu belasten. Reicht es nicht zu sehen erstmal welche Programme etwas senden? Dort sollten einfach nur Dinge wie den Browser oder Email Client stehen und sonst nichts. Den Rest kannst du wie erwähnt konfigurieren.

Ansonsten sind es wie bereits gesagt nur Anfragen für ein neues Update oder sonstiges. Und eine PFW ist da auch keine Lösung, da sie es nicht sinnvoll schafft den Traffic zu blockieren.

[flo]

Zitat

TCPView oder netstat gibt wenig Auskunft darüber, was gesendet wird, es zeigt lediglich an, dass eine Verbindung besteht bzw. eine Verbindung aufgebaut oder abgebrochen wird. Beide Programme sind im Übrigen, soweit ich das bei TCPView nachvollziehen kann (Der Quellcode von Netstatp, auf das TCPView aufbaut, ist einsehbar), keine Open-Source-Programme. Die Transparenz ist nun auch nicht unbedingt gegeben.

Eine PFW zeigt dir aber auch nicht an was genau gesendet wird.

Zitat

Möchte ich generell sehen, was ein Programm denn eigentlich so versendet, würde ich Wireshark (www.wireshark.org) verwenden. Die Software und die benötigte Programmbiliothek "WinPcap" ist Open Source und gewährleistet Transparenz. Außerdem unterstützt das Programm eine Vielzahl an Protokollen.

Richtig, wobei um 100% sicher zu gehen müsste man Wireshark auf einem PC laufen lassen der zwischen dem PC und der Internetverbindung ist, bzw ein HUB verwenden.

Zitat

An dieser Stelle fehlt mir eine vernünftige Lösung.

Die einzig mögliche Lösung um zu kontrollieren ob ein Programm etwas nach außen senden darf oder nicht, ist ein Application Proxy, der zwischen PC und WAN geschaltet ist.

Und selbst da hat man keine 100% sicherheit, denn wenn ein Böses Programm etwas senden will, kann es auch genausogut die verbindung des Webbrowsers nutzen...

[phreazer]

Zitat

netstat ist teil von Windows.

Ich weiß (cmd->netstat), heißt aber auch nur, dass ich keine Transparenz erwarten darf.

Zitat

Reicht es nicht zu sehen erstmal welche Programme etwas senden?

Naja, angenommen ich lade ein beliebiges Programm herunter und sehe dann beim Programmstart , dass es ne Http-Verbindung aufbaut. Kann gut sein, dass es nach Aktualisierungen über ne Httpget-Request sucht, ist aber auch möglich, dass es irgendwelche Parameter nem Skript übergibt. Beispielsweise deine gespeicherten Passwörter, irgendwelche Registryeinträge die Keys enthalten, usw.. Und je geschickter der Algorithmus desto gleichgültiger ist es, ob du nun eingeschränkte Rechte besitzt oder nicht. Aber darauf kommt es jetzt auch nicht an.

Wichtig wäre doch die Option festzulegen, ob die Anwendung überhaupt das jeweilige Protokoll benutzen darf.
Mir bringt es nicht so viel festzustellen, dass ein Programm Informationen versendet, denn die Infos sind dann schon beim Empfänger eingetroffen.

Und wie du und ich bereits festgestellt haben:

Zitat

[...]eine PFW ist da auch keine Lösung[...]

[fineliner]

ich probier recht gerne viele gratis-programme aus, die mir meinen computer alltag erleichtern könnten und komme selbst bei open source programmen (da ich nicht alle programmiersprachen beherrsche (ja auch nicht lesen kann)) in die verlegenheit, dass ich nicht wirklich weiß wass diese Programme machen werden.

Und irgendwie hab ich die verrückte idee, dass meine desktop firewall ,durch das Anzeigen von zugriffen meiner Programme auf das Internet oder auf andere Programme (Dateien wäre auch noch toll) einen gewissen Schutzt bietet, der erst verloren geht wenn das "böse" Programm lücken in meiner FW ausnützt (halte ich für recht unwarscheinlich) die FW von sich aus nicht zuverlässig die Zugriffe erkennt (kann ich nicht überprüfen) oder die Anfrage des "bösen"Programms so getarnt ist, dass ich es für ein update halte und durchlasse (meine eigene Schuld)

was ich sagen möchte ist, dass von meinem Verständnis her meine desktop FW schon zusätzlichen schutz bringt (trotz des mehr an code)

[flo]

Zitat (fineliner: 30.09.2006, 16:31)

ich probier recht gerne viele gratis-programme aus, die mir meinen computer alltag erleichtern könnten und komme selbst bei open source programmen (da ich nicht alle programmiersprachen beherrsche (ja auch nicht lesen kann)) in die verlegenheit, dass ich nicht wirklich weiß wass diese Programme machen werden.

Und irgendwie hab ich die verrückte idee, dass meine desktop firewall ,durch das Anzeigen von zugriffen meiner Programme auf das Internet oder auf andere Programme (Dateien wäre auch noch toll) einen gewissen Schutzt bietet, der erst verloren geht wenn das "böse" Programm lücken in meiner FW ausnützt (halte ich für recht unwarscheinlich) die FW von sich aus nicht zuverlässig die Zugriffe erkennt (kann ich nicht überprüfen) oder die Anfrage des "bösen"Programms so getarnt ist, dass ich es für ein update halte und durchlasse (meine eigene Schuld)

was ich sagen möchte ist, dass von meinem Verständnis her meine desktop FW schon zusätzlichen schutz bringt (trotz des mehr an code)

Hm aber wozu brauchst du dafür eine PFW? das zeigt dir netstat -anob auch an...

[Graumagier]

fineliner sagte:

was ich sagen möchte ist, dass von meinem Verständnis her meine desktop FW schon zusätzlichen schutz bringt (trotz des mehr an code)

Nun, die drei von dir genannten Contras hättest du ohne PFW aber schon mal nicht.

[Rika]

Zitat

der erst verloren geht wenn das "böse" Programm lücken in meiner FW ausnützt (halte ich für recht unwarscheinlich)

Zum Glück interessieren sich die Programme nicht für deine Ansichten und machen es einfach, meist auch nur einfach aus der Motivation zur Umgehung von Netzwerkfehlern oder -beschränkungen. Warum auch nicht?

Zitat

oder die Anfrage des "bösen"Programms so getarnt ist, dass ich es für ein update halte und durchlasse (meine eigene Schuld)

Es gibt sogar beweisbar sichere Tunnel.

[Gitarremann]

Zitat (Rika: 01.10.2006, 19:57)

<style type="text/css">
.t p:first-letter { border-bottom: 1px solid; }
</style>
<div class="t"><p><strong>a</strong></p></div>

Wo kann man CSS abschalten? Und nein, User Stylesheets gehen auch nicht, alle geladenen Styles werden gnadenlos interprettiert und dann nicht gebraucht.

man erkennt doch am link, ob es eine html-seite oder eine css-seite ist und wenn man im zweifel ist, dann geht man nicht auf die seite und dan gibts ja immernoch die firewehr.