Da die Diskussionen zum Thema Sicherheitskonzepte auf diesem Board sich mit schöner Regelmäßigkeit im Kreise drehen, nicht wirklich vorankommen und in jedem Thread wieder bei Null beginnen, möchte ich jetzt einmal in die Runde fragen, ob es nicht eine Möglichkeit gibt, sich auf einen Minimalkonsens zu einigen, dem alle zustimmen können, egal welches Sicherheitskonzept sie für sich bevorzugen.
Bildlich gesprochen, hatten bislang alle Diskussionen hier eine V-Form: Einigkeit gab es nur auf dem alleruntersten Level. Jeder ist gegen Malware und für mehr Sicherheit - aber danach driften die Argumentationen schon munter auseinander. Mein Ziel ist es, von diesem V-förmigen Diskussions-Verlauf zu einer Y-Form zu kommen: Ein Stück weit gehen alle zusammen, und erst dann gabelt sich der Weg - je nachdem, wie die Vorlieben in Sachen Sicherheit sind.
Ob das mit Hilfe dieses Thread gelingt, kann ich nicht im voraus sagen - aber einen Versuch ist es mir wert. Wer weiß, vielleicht kann dieser Thread sogar die Grundlage für eine FAQ speziell für dieses Board bilden.
Um überhaupt in die Lage zu kommen, ein Sicherheitskonzept zu entwickeln, muss man sich die Frage stellen: Wer oder was bedroht überhaupt meine Sicherheit, wie, womit, auf welche Weise geschieht das? Dazu das folgende fiktive, aber nicht unwahrscheinliche Fallbeispiel von "Herrn X".
Herr X hat folgende Voraussetzungen:
- ein flottes AMD-System als Einzelplatzrechner, also kein Heimnetzwerk
- Betriebssystem: Windows XP ohne SP 1 und ungepatched
- Browser: Internet Explorer 6 ohne SP 1 und ungepatched
- Mailclient: Outlook Express 6, ebenfalls im "Urzustand"
- Werbeblocker: keine
- Virenscanner: keinen
- Firewall: keine
- sonstige Sicherheitsmaßnahmen: keine
Um es einmal salopp auszudrücken: Herr X kümmert sich einen Dreck um seine Sicherheit. Um das Maß vollzumachen: Er hat noch nicht einmal einen Gastaccount eingerichtet - er geht immer mit vollen Administratorrechten ins Internet... und doch, es gibt auch Positives zu berichten:
Herr X gibt seine eMail-Adresse nicht wahllos heraus. Als Resultat bekommt er kaum Spammails. EMails unbekannter Absender wandern ungelesen in den Müll. Mit Attachments und HTML-Mails ist Herr X äußerst vorsichtig - im Zweifel ebenfalls: Weg damit.
Gelegentlich lädt sich Herr X Software aus dem Internet herunter, Open Office z.B. oder Utilities wie den Acrobat Reader oder Total Commander. Immer vom Hersteller oder von renommierten PC-Zeitschriften. Dubiose Quellen oder Tauschbörsen meidet Herr X wie der Teufel das Weihwasser.
Auch Sex-, Porno-, Hacker- und WareZseiten sind Herrn X fremd. Dafür surft er umso häufiger Nachrichtenseiten, Firmenhomepages, politische, wissenschaftliche und literarische Seiten an.
Was den humanen Sicherheitsfaktor, also das Surfverhalten angeht, ist Herr X demnach geradezu ein Musterschüler des Internets. Vorbildlich ist auch seine Angewohnheit, seine Daten regelmäßig zu sichern. Nur seine Systemkonfiguration enthält keinerlei Merkmale eines sicheren Systems...
Frage an Euch: Was genau kann diesem Herrn X im Internet passieren? Wo lauern die Gefahren? Mit welchen mehr oder gravierenden Sicherheitsproblemen muss er rechnen, wenn er derart ungeschützt im Web auf die Reise geht? An welchen Stellen müsste er konkret den Hebel ansetzen, um Sicherheitslücken zu schließen?
Bitte an dieser Stelle noch keine Ratschläge posten. Zunächst geht es nur um mögliche Probleme - noch nicht um die Lösungen dazu.
Ich freue mich wie immer - aber diesmal ganz besonders! - auf Eure Anregungen.
Ich denke man sollte da noch unterscheiden wie Herr X mit dem Netz verbunden ist.
- DSL
- Einwahl über die "normale" Telefonleitung ( ISDN, MODEM )
- Über z.B. DSL und einen Router ( kleines Heimnetzwerk )
Das sollte noch irgendwie berücksichtigt werden, da es hier auch andere Möglichkeiten der Absicherung gibt.
Probleme könnten sein:
- Virenbefall durch infizierte Emails ( ist man trotz vorsichtigen Surfverhalten nicht geschützt )
- Spam ( kann auch jedem passieren, s. meinen Post weiter unten :-) )
- Spyware die er sich durch irgendein kleines Programm installiert ( ich kann mir vorstellen das auch bei "renommierten" Downloadquellen schon mal der ein oder andere Schund dabei ist )
- Sein WinXP telefoniert nach Hause
So, das wären meine laienhaften Vorschläge. Ob man die beiden letzten Punkte wirklich als Gefahr bezeichnen kann ist natürlich fraglich, mich würde es auf jeden Fall stören.
Einige Einwände von Zak sind durchaus relevant. Ich gehe einfach mal bei Herrn X von einem absoluten "Normalo" aus und unterstelle ihm T-DSL von der *Telenimm* und Router sagt ihm nix ausser das er mal von der Route 66 gehört hat. WinXP telefoniert nach Hause ... is ihm wurscht und findet er auch nix schlimmes bei.
Was der Mann haben sollte/müßte ist ein sog. Basispaket:
- Antivirensoftware von der Marke Virentod
- Firewall der Firma "All-Scanner-Blockes"
Nachdem man Herrn X mal gefragt hat ob ihn die Werbepopups nicht auch gehörig auf's schwein gehen stimmt dieser vehement zu und wir sagen ihm das seine Firewall die gleich mit ausblendet - eine große anzahl zumindest.
Vorsoglich möchte Herr X auch noch Spyware unterbinden, nachdem wir ihn dahingehend aufgeklärt haben - bekommt er also noch das Progi "Add's-wech".
Datensicherheit ist für Herrn X ebenso neu wie vieles was wir ihm erzählen. Er versteht es aber soweit als das er solche Datenverluste wie letztes Jahr vor Weihnachten damit verhindern kann.
Wir stellen ihm also die Programme von Symontrix und PowerQuetsch vor und er beschließt sich dahingehen bis zum nächsten treffen zu infomieren und sich dann zu entscheiden.
Nach dem nächsten Treffen sollte unser Herr X dann eigentlich einigermaßen gut und sicher gerüstet sein und surft weiter fröhlich, mit einem Gefühl der Sicherheit durch's Netz :).
PS: Ja, manchmal achte ich ein (ein bisschen) auf die gRoß-, und kLeiNschreiBung ;)
...sollte man zwischen einem user, dem kiddie angriff und der profiatacke unterscheiden.
kiddie
* aus spaß
* um daten zu klauen
* um daten zu verändern
* um zugangsdaten auszuspähen
* das system zu sabottieren... usw usw
die opfer werden hierbei ungezielt ausgesucht und es trifft in aller regel den, der am wenigsten schwierigkeiten bereitet. ...hier helfen schon:
* dtfw
* virenscanner
* ad -ware scanner
* regelmäßige updates des os und des virenscanners
user
* unkenntnis
* unvorsichtigkeit
* nicht vorhandenes risikobewußtsein ...usw usw
ein solcher fängst sich eben auch "schnell mal was ein" - auch hier greifen einfache schutzmethoden... zusätzlich:
* dialerschutz
* spamschutz
profiatacke
* ausgesuchte ziele
* mit festgelegten, genau geplanten maßnahmen
* datenklau, spionage (besonders gern in der wirtschaft...)
* usw
einen solchen angriff "überlebt" das system nur mit harten gegenmaßnahmen:
* IPSec
* nat
* DMZ
absolut sensible daten packt man erst gar nicht auf rechner, die mit dem www direkt kommunizieren können...
grundsätzlich gilt also, dass eine kontrolle des datenstroms nach außen wie nach innen sinn macht - denn meine daten gehören mir (...oder der firma). gerade im privatbereich ist eine optimale sicherheit -zb hardwarefirewalls- kostengünstig nicht zu realisieren, deshalb haben in diesem bereich dtfw ihre absolute berechtigung. im profibereich werden solche lösungen nicht wirklich eingesetzt...
noch ein aspekt...
letztlich ist es auch völlig egal welches os man einsetzt - schwachstellen haben alle und der aufwand es zu administrieren ist bei allen mehr oder weniger hoch und erfordert einiges wissen. nun kann man aber nicht von jedem user verlangen, dass er erstmal einen lehrgang macht - hier sollen einfache benutzeroberflächen (a la zonealarm) den einsatz ermöglichen und weitestgehend vereinfachen.
einem user also einzureden, dass das weglassen jeder sicherheitslösung die sicherheit erhöht, das abschalten des nachrichtendienstes ausreichend ist, überflüssige dienste zu beenden (...welche dienste sind überflüssig), den internetexplorer zu meiden usw usw - der sieht die ganze geschichte etwas zu begrenzt... oder hat sie schlicht nicht verstanden.
Was Herrm X passieren kann, zumindest die wahrscheinlichsten Szenarios:
- ND-Nachrichten
- Zugriffe auf die Datei und Druckerfreigabe am Internetadapter
- Ausnutzung diverser Lücken im Browser: einmal bei der Eingabe einer URL vertippt und schon hat man irgendeine Werbesoftware auf dem Rechner, ActiveX sei dank, oder gleich nocht mehr, z.B. bestimmte Dateien gelöscht.
Da Herr X auch keine Patches installiert, gibt es sogar noch mehr Möglichkeiten für so etwas
- Malware einfangen: Mailwürmer und Viren mit den entsprechenden Mechanismen haben oft bekannte Adressen als Absender und es gibt mehrere Lücken in Outlook, mit denen Anhänge automatisch ausgeführt werden. (aktuelles Beispiel: Bugbear.B)
- Auch die Downloads von rennomierten Seiten können Adware etc. enthalten, Z.B. das tolle Norman Virus Control von PC Welt
Meiner Meinung nach gute Lösungen:
- Patchen
- NetBIOS am Internetadapter und den ND deaktivieren, er braucht den ND ofensichtlich nicht
- Browserwechsel. Selbst wenn man vom Sicherheitsaspekt absieht, Herr X ist offenabr kein Anfänger und auch willens, über den Windows-Tellerrand zu blicken, er dürfte deshalb die Zusatzfunktionen von IE-Alternativen zu schätzen wissen
- Virenscanner. Wie schon gesagt, man kann sich immer irgendwie etwas einfangen und ein Virenscanner ist auf jeden Fall eine gute Ergänzung zu Brain 1.0
- Mailclient wechseln oder zumindest sicher einstellen, sprich Mails als Plaintext anzeigen, patchen etc. (wobei auch die Einstellungen nicht gegen alles helfen, OE ist und bleibt die größte Virenschleuder des Internets)
- Ad-Aware oder Spybot gegen allerlei Müll, den man sich so einfängt.
- Kein Paketfilter, da erstens offensichtlich kein Bedarf besteht und zweitens X als "Sicherheitsmuffel" wohl kaum bereit sein dürfte, sich in die Konfiguration einzuarbeiten
Dann erläutere doch mal anhand des Beispiels von Herrm X ganz konkret, wofür er eine PF braucht und inwiefern ein Browserwechsel nicht ratsam ist, auch im Hinblick auf die Extrafeatures...
Wir können ja mal wieder eine gesittete Diskussion versuchen ;)
Das absichern eines rechner - ob server oder client - der direkt an der front (internet) steht ist nicht mit dem abschalten von netbios und dem ND getan. Abgesehen davon wäre das noch nicht mal sinnvoll, geschweige denn effektiv ...
Das ist doch eigentlich offensichtlich für jeden der sich auch nur ein bischen mit sicherheit beschäftigt hat - kann man sogar schon bei der *bildzeitung* (www.grc.com) nachlesen.
Mich wundert nur das du solch offensichtlich wirkungslosen tips gibst, die zudem auch noch die funktionalität erheblich einschränken ...
...der sinn dieses threads ist, konzepte zu diskutieren.
versuchen wir nun an wissenschaftlichen methoden eine struktur zu erabeiten...
1. problemstellung
2. problemanalyse
3. lösungsansätze suchen und finden
4. lösungsansätze diskutieren
wenn du mein vorposting aufmerksam gelesen hast - warum fragst du? ich habe klar, deutlich und mit einfachen worten erklärt, wo die unterschiedlichen schwerpunkte liegen.
mit der ablehnung von dtfw´s negierst du, dass ein user mehr kontrolle über sein system und seine daten bekommt.
das als fazit? ich sehe das anders.
darum werde ich nicht über den browser x oder die dtfw y mit dir diskutieren.
Nur finde ich in deiner Problemanalyse nichts, wofür man einen Paketfilter bräuchte...es ist ja nun nicht so, dass ein Scriptkiddie einfach in deinen PC reinspaziert, weil er eben da ist, sondern es muss immer ein Programm da sein, dass diesen Angriff auch "annimmt".
Gegen solche Programme hilft aber ein Virenscanner, Patchen und das allmächtige Nachdenken, da braucht es keine PF.
Und wie du schon sagtest, gegen professionelle Angriffe (sollte man jemals Opfer eines solchen werden, was doch ziemlich unwahrscheinlich ist) helfen wenn überhaupt "harten gegenmaßnahmen" wie ein Paketfilter auf einem seperaten System, DMZ und so weiter.
@Twista: Würde mich ja wirklich interessieren, wofür Herr X deiner Meinung nach einen Dienst benötigt, mit dem deine freigegeben Dateien für jedem im Internet erreichbar sind (und nichts anderes macht die Datei- und Druckerfreigabe am Internetadapter) oder wofür er an einem einzelnen PC einen Dienst für die Kommunikation im lokalen Netzwerk benötigt...und über meinem Posting stand eigentlich für jeden klar und deutlich zu lesen "die wahrscheinlichsten Szenarios".
Nun bin ja mal gespannt ....
Was bitte, hat NETBIOS und der Nachrichtendienst mit der aktivierung der Datei- und Druckerfreigabe zu tun ??
Über diesen punkt hatten wir doch gar nicht gesprochen. Sollte ich etwas übersehen haben ?
Ich kann nicht wirklich nachvollziehen warum du firewalls als "nicht notwendig" einstufst. Ohne dir zu nahe tretten zu wollen, wer heute noch ohne firewall im netzt der netze rumsurft ist, imho, einfach nur dumm.
Die vorschläge von garftermy sind eigentlich nicht falsch und wenn dann könnte man ihm lediglich vorwerfen "mit kanonen auf spatzen" zu schiessen und das aus allen rohren. Aber, hey, ich würde noch drastische mittel einsetzen wenn auch nur einer versucht meinen compy zu scannen - wenn es möglich wäre ;)
Es gibt meines wissens nach ein progi das bei scan's anspringt und den user dann MIT UNTER die möglichkeit gibt dem attacker so RICHTIG an's bei zu pi**en. Da hat man die möglichkeit die HD am anderen ende mal eben auf 50.000 U/min zu beschleunigen. Mein tschechisch ist leider nicht wirklich ausreichend für dieses progi und genau solche maßnahmen halt ich für *angemessen* ;)
- installation eines trojaners o.a., um seinen rechner als client für einen größeren angriff zu mißbrauchen. wie (dr|d)dos-attacken. tausende clients bombadieren einen server mit vorgesehenen paketen. winxp ist da mit dem "raw socket" wie geschaffen für.
- mißbrauch des rechners als fileserver für "z", wie filez, warez usw. okay, dann müßte herr x merken wie seine platte vollmüllt, aber wer weiß :)
- mißbrauch des rechners für andere straftaten und herr x die schuld zuschieben.
- evtl. auch mißbrauch des rechners als proxy für eigene machenschaften.
Herzlichen Dank für alle Antworten bis hierher. Lasst uns jedoch bitte die Frage nach zusätzlicher Sicherheits-Software bzw. Patches für vorhandene Software noch ein wenig zurückstellen. Mir geht es zunächst um nichts weiter als eine Gefahrenpotential-Analyse. In meinen Augen macht es erst dann wirklich Sinn, sich um einen Schutz des Systems Gedanken zu machen, wenn man genau weiß, wovor man sich schützen muss.
Herr X ist jemand, der sein System "as is" benutzt: Er downloaded und installiert nicht wahllos jeden Mist aus dem Internet - aber eben auch keine Security-Patches und keine Sicherheitssoftware. Auf der andren Seite ist er ein äußerst skeptischer und vorsichtiger Mensch mit einem geradezu vorbildlichen Surfverhalten.
@ZakMcCracken
> Make FAQ not War
You got it :-)
Nun, Herr X hat eine ADSL-Flatrate bei einem kleinen, krautigen Lokalanbieter, der bundesweit kaum bekannt ist. Vermutlich bekommt er deswegen keinen Winpopup-Spam.
- Virenbefall durch infizierte Emails: Wenn man nur reine Text-Mails akzeptiert und HTML-Mails ungelesen löscht, sollte nichts passieren können.
- Spam kann in der Tat jedem passieren und passiert auch - ungelesen löschen, dann besteht keine Gefahr.
- Spyware / XP telefoniert nach Hause: Ist Herrn X zwar nicht gerade sympatisch, kratz ihn aber auch nicht weiter - er hat ja keine spürbaren Nachteile dadurch...
@twista
Herr X hat eine große Geduld und Ausdauer mit dem Wegklicken von Werbepopups - dass es Browser gibt, die das automatisch machen, bzw. dass es für den IE Zusatzsoftware gibt, die das für ihn erledigt, ist ihm zum jetzigen Zeitpunkt noch gar nicht bekannt :-)
@garftermy
Erst einmal danke für Deine ausführliche Auflistung. Jetzt muss ich ein bisschen bohren:
Was genau passiert bei einer Scriptkiddie-Attacke? Auf welche Weise werden Daten geklaut oder verändert, das System ausspioniert oder verändert? Wie kommen die Kiddies an die IP-Adresse von Herrn X, und noch wichtiger - was genau machen sie damit, wenn sie sie haben?
Können wir die Gefahr einer "Profi-Attacke" im Fall von Herrn X vernachlässigen? Zu den letzten beiden Absätzen Deines Antwortpostst: Da kommen wir später noch zu :-)
@Tyrfing
Zugriffe auf die Datei und Druckerfreigabe am Internetadapter - wie funktioniert das, bzw wodurch fängt man sich so etwas ein?
> einmal... vertippt und schon hat man... Werbesoftware auf dem Rechner, ActiveX sei dank, oder noch mehr, z.B. bestimmte Dateien gelöscht
> es gibt mehrere Lücken in Outlook [Express??], mit denen Anhänge automatisch ausgeführt werden. (aktuelles Beispiel: Bugbear.B)
Okay - Herr X klebt nicht an IE und OE... er lädt sich Mozilla 1.4 herunter (gerade frisch erschienen :-) und benutzt den Mozilla-Browser und -Mailclient.
Damit ist die Active-X- und Express-Gefahr gebannt?
> Meiner Meinung nach gute Lösungen
Später :-) ... aber Mozilla-Browser/-Mail ist ja schon mal ein Anfang.
@garftermy & Tyrfing
Vertragt Euch! Dies ist der (Minimal-)Konsens-Thread :-)))
@Dumistvieh
> installation eines trojaners o.a.
Kann sich Herr X einen Trojaner installieren, ohne dass er davon erfährt bzw. vorher gewarnt wird? Was ist ein Raw Socket?
> mißbrauch des rechners als fileserver für "z", wie filez, warez usw.
> mißbrauch des rechners als proxy für eigene machenschaften
> mißbrauch des rechners für andere straftaten
Wie kann so etwas passieren, insbesondere ohne dass der User etwas davon bemerkt?
Sicherlich gibt es solche IE-hybriden(boliden), ich nutze selbst sogar einen solchen. Allerdings reicht eine solche lösung keinesfalls aus um alles auszublocken. Daher ist die kombination einer firewall mit add-blocker einfach sinnvoller. Am effektivsten wäre, imho, eh janaserver + addblocker, aber ich denke darauf kommen wir dann erst später.
Welche gefahr droht eigentlich Herrn X ...
Die scriptkiddies sind nur der anfang und diese, meist jugendlichen, laden sich einfach tools wie z.B. den Lanmanager aus dem netz und scannen nach freigaben in einer beliebigen range. Da sieht man dann schon mal wer/wo/was und mit welchen OS ist.
Solche dinge sind allerdings meiner meinung nach basiswissen und die gefahr das diese scriptkiddies ein destruktives script/toll finden und auch anwenden ist ebenso gegeben wie das scannen an sich. Somit kann man Herrn X pauschal die volle palette bis datenklau und hardwarebeschädigung zuordnen.
Zumindest bei den browsertechnischen Sachen wie Popups, gefährliche Scripts etc. halte ich es irgendwie für sinnvoller, wenn man alles aus einer Hand hat, statt diverse verschiedene Programme mit teilweise überlappenden Zustädigkeiten installieren, konfigurieren und auch warten zu müssen, zumal X wohl nicht bereit sein dürfte, für ein für ihn eher unwichtiges Thema so einen Aufwand zu betreiben
Außer für jemanden, der kein dreifach gesichertes System haben will und nicht in 3 verschiedenen Programmen nach der möglichen Fehlkonfiguration suchen will...das ist kein Unternehmensnetzwerk ;-)
* mit zb einem netzwerkscanner das netz (...zb nach netbios freigaben) durchsuchen
* die gefundenen ip´s nach sicherheitslücken scannen, dann
- system abschiessen, also zum absturz bringen
- daten in freigaben löschen und/oder verändern
- daten klauen, zugangsdaten, passwörter, bankdaten, eigene dateien...
- eigenen programmcode ausführen
oder auch
* dsl router suchen
- per telnet daten verändern, ein onlinezugang ist dann nicht mehr möglich
das sind nur einige varianten - ich möchte hier KEINE anleitung oder tips geben, die kiddies weiterbringen.
wichtig an diesem szenario ist die zufälligkeit, welcher computer opfer wird - wobei die regel gilt ...je einfacher das eindringen - desto wahrscheinlicher ein angriff. gut gesicherte systeme erfordern mehr wissen, geduld und zeit - das macht kiddies keinen spass.
> ich möchte hier KEINE anleitung oder tips geben, die kiddies weiterbringen
Mach das bloß nicht, sonst wird dieser Thread noch gelöscht ;-)
Ja, es ist schon ein Kreuz mit der Sicherheit, nicht nur in der IT: Um sich Gedanken um ein tragfähiges Konzept zu machen, muss man sich erst einmal darüber klar werden, wie die Bedrohung funktioniert. Je mehr man selbst darüber erfährt, desto mehr erfahren auch diejenigen, die einen bedrohen wollen...
Nun noch etwas zu Deinem ausführlichen Szenario weiter oben. Wenn ich so etwas lese, bin ich immer an zwei Programme erinnert, die bei uns in der Firma benutzt werden: VNC und PCAnywhere. Für alle, die nicht wissen, was das ist: Das sind Tools zur Fernsteuerung von PCs, die hauptsächlich zu Wartungszwecken eingesetzt werden. Der Supporter braucht dann nicht mehr persönlich vorbeizukommen, sondern kann alles von seinem Arbeitsplatz erledigen - sofern er nicht an die Hardware dran muss.
Nun funktioniert diese "Fernbedienung" aber nur, wenn auch ich das entsprechende Programm auf meinem Rechner installiert habe. Das hat Herr X aber nicht. Deshalb meine Frage: Funktionieren die von Dir geschilderten Scriptkiddie-Attacken auch ohne ein bei ihm installiertes Remote-Tool? "Braucht" er dazu nicht erst ein Trojaner-Programm, das sich aber auch nicht von allein installieren kann?
"Funktionieren die von Dir geschilderten Scriptkiddie-Attacken auch ohne ein bei ihm installiertes Remote-Tool? "Braucht" er dazu nicht erst ein Trojaner-Programm, das sich aber auch nicht von allein installieren kann?"
ja.
angriffe über einen trojaner setzen voraus, das der trojaner als server (als ausgeführtes programm...) auf dem infizierten rechner läuft. ...gegenmaßnahme:
* aktueller virenscanner
* dtfw mit application control oder aplication blocker
* nicht alles downloaden
* ...aber das hatten wir weiter oben schon alles
angriffe auf verwundbare ports setzen keinen trojaner voraus. ...gegenmaßnahmen:
* dtfw mit diesen möglichkeiten
- schließen von ports
- konfiguration des verhaltens bei icmp paketen
(ja - man kann dienste, die ports öffnen auch beenden - user x hat aber keinen tieferen kenntnisse über die struktur seines betriebssystems... und einige dienste braucht man auch und kann sie nicht einfach schließen.)
die denke dabei? ...was ein kiddie nicht gleich sieht, greift es mit hoher wahrscheinlichkeit auch nicht an - es würde zu viel arbeit machen... und mehr wissen erfordern.
> Kann sich Herr X einen Trojaner installieren, ohne dass er davon erfährt bzw. vorher
> gewarnt wird? Was ist ein Raw Socket? Wie kann so etwas passieren, insbesondere ohne
> dass der User etwas davon bemerkt?
erstmal vorweg, ich bin kein sicherheitsexperte oder in der richtung ausgebildet. alles, was ich weiß, habe ich selber in der freizeit gelesen/ausprobiert (im eigenen LAN versteht sich) etc. "sicherheit" ist also nur ein hobby; schwerpunkt eher bei webanwendungen. also, nicht böse sein, wenn ich mal mist erzähle :)
jedes betriebssystem mit netzwerkkern hat einen tcp/ip-stack, mit dem man die benötigten netzwerkpakete erstellen kann. jedes paket hat, je nach protokoll, einen eigenen header, der die benutzerdaten umschließt. dieser enthält zielip und port sowie auch quellip und port. damit es für viele einfacher ist, sind diese header wie masken vorgestanzt, sodaß man die daten nur noch eintragen muß, falls ein programm netzwerkpakete versenden möchte. er braucht sich keine gedanken machen wie ein solches paket aussehen muß. unix, winnt und auch winxp (2000,2003 weiß ich nicht) haben nun einen raw socket. damit kann man vollständig eigene pakete erstellen - natürlich nur mit nötigem hintergrundwissen. damit hat man ein mächtiges werkzeug, um "gefälschte" pakete zu erstellen.
wenn nun erfahrene hacker einen angriff planen, könnten sie auf die idee kommen und viele rechner mit diesem raw socket zu mißbrauchen. sie müssen nur zugriff aufs betriebssystem erlangen und entsprechend kontrollieren. da natürlich nicht alle rechner zum angriffszeitpunkt online sind, werden viele gebraucht. ziel ist es natürlich immer den weg zu sich zu verschleiern, indem man auch gefälschte ip-adressen benutzt. mit einem raw socket kann man eintragen, was man möchte. dies kann, ein "berühmter" angriff auf steve gibson research company (grc.com, was man von der site hält sei jedem überlassen) hat dies bewiesen. ein 13-jähriger kiddie hat da mit einem tool raw sockets ausgenutzt und die site schlicht und einfach abgeschossen, indem das zielnetzwerk mit (für den server) sinnlosen paketen überschwemmt wurde - eine drdos-attacke.
ich denke man kann sich ein trojaner einschleppen ohne warnung oder daß man es großartig merkt. welcher normalo-benutzer sitzt schon mit einem sniffer an seinem internetanschluß und kontrolliert die ausgehenden daten? die einfachste möglichkeit ist es natürlich als nützliches tool wie "cracked dialer, free porn access etc." zu tarnen. da herr x aber vorsichtig ist, müßte man es ihm schon schmackhafter machen, bis er die "exe" ausführt. einmal installiert, glaube ich nicht, daß herr x etwas davon merkt. die hacker könnten die datenmenge bewußt klein halten oder ihr tool gleich mit allem ausstatten und bei der "installation" einrichten. das szenario dürfte von den wenigsten kiddies durchgeführt werden können - es sei denn es gäbe fertige lösungen dafür. kiddies mögen zwar nix "drauf" haben, aber klug genug, um den "roten" knopf zu drücken, ist jeder. ich schätze, daß sich wenige tausend oder gar hundertausende rechner so mißbrauchen ließen. wenn die (h|cr)acker vollen "root"-zugriff beim opfer haben (herr x surfte ja mit adminrechten) läßt sich der ip-stack bestimmt so umkrempeln, daß die pakete an eventuellen paketfiltern vorbei geht. ich denke, es gibt da diverse möglichkeiten. somit wäre eine pf dafür sinnlos. nur noch ein gateway/router könnte die pakete jetzt abfangen.
würde man herr x einen server installieren, um warez zu verbreiten, würde er es auch kaum merken. wenn er nicht die offenen ports kontrolliert, sieht er ihn zumindest nicht. obwohl ich denke, daß man auch diese angaben fälschen könnte (ähnlich linux-rootkits) und das entsprechende programm durch ein eigenes austauscht. in der prozessliste taucht er task dann auch nicht auf. in wie weit man das unter windows machen kann, weiß ich nicht. aber irgendeine routine wird da, ähnlich "ps", die liste schon auf den schirm zaubern. ob es solche "kits" für windows gibt (systemdateischutz?), weiß ich auch nicht. für linux gibt es da schon teilweise raffinierte. auffallen dürften ihm aber, daß seine verbindung manchmal lahmt. irgendwann würde ihn das stutzig machen. inwiefern das nun wahrscheinlich ist, daß einem sowas passiert, weiß ich nicht. letztlich sind meine szenarien wohl die seltenen, die nicht von einem freizeit-kiddie durchgeführt werden können. garftermys sind da schon eher anzutreffen. es sei denn, wie gesagt, für "härtere" angriffe gäbe es auch schon "klicki-fertig-lösungen". dennoch: gegen profis nützen auch nur profis auf der anderen seite. das ist wohl klar ;)
ich persönlich halte es u.a. für sinnvoll nicht mit der masse zu gehen. wenn alle dasselbe os, denselben browser etc. nutzen, ist es einfacher für kiddies. gäbe es einen gut "durchmischten garten", dann würde sich das ändern. zumindest eine teilschuld bei monopolkonzernen. auch tcg/ngscb (former known as tcpa/palladium) wird daran nichts ändern. bei technologien ist es immer so. erst können es nur wenige und später sehr viele, aber nicht *besonders* gut.
Danke für Deine ausführliche Antwort. Ich habe nicht alles auf Anhieb verstanden, da mir in Sachen Netzwerktechnik ein wenig die Grundlagen fehlen,aber das kommt mit der Zeit... mal eine ganz einfache Frage zu diesem Raw Socket: Wenn man sich damit so viel Ärger einfangen kann, wozu ist es dann überhaupt implementiert? Wo liegt für mich als Anwender der Nutzen? Lässt es sich bei Bedarf auch de-installieren?
> da herr x aber vorsichtig ist, müßte man es ihm schon schmackhafter machen, bis er die "exe" ausführt
Die Frage ist zunächst aber, zu welchem Zweck Herr X diese exe-Datei überhaupt herunterladen sollte...
> würde man herr x einen server installieren, um warez zu verbreiten, würde er es auch kaum merken
Müsste er diese Warez nicht sofort auf seiner Festplatte sehen? Und sei's nur daran, dass der Speicherplatz schrumpft?
> ich persönlich halte es u.a. für sinnvoll nicht mit der masse zu gehen. wenn
> alle dasselbe os, denselben browser etc. nutzen, ist es einfacher für kiddies.
Das leuchtet mir ein. Zu diesem Thema werde ich demnächst einen neuen Thread starten. Aber unser Herr X ist vorläufig ganz glücklich und zufrieden mit seinem Otto-Normalverbraucher-Gespann aus XP-IE-OE :-)
> um einen rechner wie beschrieben zu mißbrauchen, muß der trojaner
> erstmal aktiv sein.
jap. deswegen muß er die "exe" ja installieren. man könnte es einfach als tolles tool zum tweaken oder sonstwas tarnen. wenn man bei jemandem den punkt findet, was ihn interessiert, wird er evtl. lange genug schwach. irgendwas interessiert die "masse" immer :)
> Wenn man sich damit so viel Ärger einfangen kann, wozu ist es dann > überhaupt implementiert?
> Wo liegt für mich als Anwender der Nutzen?
das mußt du microsoft fragen. in einem serversystem macht dies schon sinn, wenn man wirklich benutzerdefinierte pakete benötigt, die nicht als "template" vorliegen. oder um halt sicherheitstechnische dinge zu lösen, rechner selber gezielt "angreifen", um schwachstellen zu finden etc. warum das in einem consumersystem ist, weiß ich auch nicht. an sich tut es ja nix böses, aber es kann dazu benutzt werden um spuren effektiver zu verwischen. und jede xp-installation auf der welt hat dieses potenzial, die jeden tag mehr werden.
> Lässt es sich bei Bedarf auch de-installieren?
denke, nein. dafür müßtest du wohl schon den windowskernel neu kompilieren. ohne quellcode siehts da schlecht aus.
> Müsste er diese Warez nicht sofort auf seiner Festplatte sehen?
> Und sei's nur daran, dass der Speicherplatz schrumpft?
ja natürlich. wenn er aufmerksam ist, dann würde er das zusammen mit der lahmen internetleitung merken. da er ja bei jeder einwahl eine neue ip bekäme, wäre er entweder nur ein "kurzzeitlager" oder müßte zusätzlich ein dyndns-client installiert bekommen. ich würde diese gefahr als sehr gering einstufen. der nutzen wäre die mühen wohl nicht wert. andere mißbraucharten sind wohl wahrscheinlicher.
Computer-Sicherheit ist fließend (panta rei), was heute noch inn ist, kann schon morgen überaltet sein, es kommen ständig neue Angriffs-Möglichkeiten hinzu.
1. Die Computer-Ausfallsicherheit kommt stets vor andere Sicherheitsmaßnahmen. Wenn der Computer nicht mehr funktioniert, können andere Maßnahmen logischerweise nicht mehr durchgeführt werden. Daraus folgt, dass zusätzliche Sicherheits -Programme oder besser -Dienste das System so wenig wie möglich belasten. Andererseits muss genau abgewogen werden, ob man Dienste deaktiviert oder nicht, falls diese zum Funktionieren benötigt werden.
2. Es zeugt nicht von Weisheit, wenn man davon ausgeht, dass der Eingang von Pings und anderen Paketen am Internetadapter in jedem Fall prinzipiell nichts Gefährliches ist.
3. Die Lösungen sollten für jeden insbesondere für Anfänger nachvollziehbar sein.
Wenden wir uns dem konkreten Sachverhalt zu, folgendes Firewallsicherheitskonzept läßt sich hier anwenden:
Win XP sollte, das folgt aus dem ersten Grundsatz, auf das neueste ServicePack gepatcht werden. Danach ist zwar z.B. die Spyware "Alexa" wieder aktiviert, das Entfernen der "Alexa"-Verknüpfung wird jedoch weiter unten behandelt.
Das gleiche gilt für die Windows-Updates, die sollten möglichst immer aktuell sein, über Autoupdate und QoS ist das kein Problem und die Systemressourcen werden kaum belastet.
IE sollte ebenfalls das neueste ServicePack und die aktuellen Updates haben.
Sicherheits- und Datenschutzstufe des IE auf Mittel stellen. Darüber hinaus ist das wenig Systemressourcen verwendende PlugIn Adshield empfehlenswert, weil dadurch keine Browser-PopUps angezeigt werden und die Geschwindigkeit und somit die Performance verbessert wird.
Adshield: http://www.internettechs.net/utilities/AdShield.exe
Ob zusätzliche Browser installiert werden, kann der Anwender selber entscheiden, der IE muss mindestens für die Windows-Updates vorhanden sein.
Outlook Express kann unter der Bedingung, dass das System möglichst aktuell ist und ein Virenschutz (s.u.) installiert ist, weiter verwendet werden. Häuft sich E-Mail-Spam, kann man den Einsatz eines pflegeleichten Spamfilters empfehlen.
Z.B. Spampal: http://www.spampal.de
Die Netbios-Bindung des Intenetadapters sollte aufgehoben werden, in dem man die Datei- und Druckerfreigabe am Internetadapter deaktiviert.
Werbeblocker kann man mit Hilfe von Hosts-Datei-Einträgen (im Verzeichnis \WINDOWS\system32\drivers\etc) wie:
127.0.0.1 as1.falkag.de
(thx an Christoph Maus)
oder mit Adshield realisieren.
Ein effektiver Virenschutz ist unvermeidbar. Der Virenschutz AVG6 FreeEdition von Grisoft verwirklicht vor allem den ersten Grundsatz der minimalen Systemressourcenverwendung und dass auch die E-Mail bei einem Client wie Outlook Express geschützt ist. http://www.grisoft.com
Erfolgt die Einwahl über ISDN oder analog, ist die Installation von 0190Alarm oder 01920Warner notwendig.
Die Malware-Entfernungsprogramme Spybot S&D sowie Ad-Aware sollten unbedingt installiert werden. Installieren, starten, Gefundenes entfernen und den Einsatz regelmäßig planen. Damit wird u.a. die "Alexa" - Verknüpfung entfernt.
Die Installation eines Firewalldienstes ist unumgänglich, wenn man direkte Netzwerkangriffe wirklich fern halten will, das folgt unmittelbar aus dem zweiten Grundsatz (s.o.).
Bei XP:
Netzwerkeigenschaften für die Internet-DFÜ-Verbindung bzw. -Breitband > Erweitert >Haken im oberen Abschnitt bei Firewall setzen.
Selbstverständlich können auch andere Firewalls besonders von Fortgeschrittenen eingerichtet werden, unter XP sollte man die Firewall immer als Dienst einrichten. Besonders die ICMP-Einstellungen sollten, wie folgt, vorgenommen werden:
# 8 Echo Request eingehend nicht zulassen
# 13 Timestamprequest eingehend nicht zulassen
# 17 Mask Request eingehend nicht zulassen RFC 950
# Routeranforderung eingehend nicht zulassen RFC 1256
# 3 Destination unreachable ausgehend nicht zulassen
# 4 Source Quench ausgehend nicht zulassen
# 12 Parameter Problem ausgehend nicht zulassen
# 11 Zeitüberschreitung ausgehend nicht zulassen
# 5 Redirect (Umleiten) nicht zulassen
Alle anderen ICMP-Typen zulassen.
Wichtig ist, dass die Firewall in der Netzwerkschicht arbeitet. Die angegebenen ICMP-Einstellungen bewirken, dass beim Ping-Sender "Zeitüberschreitung der Anforderung" genauso erscheint, als wenn die IP nicht online wäre und hält somit Direktangriffe über das Netzwerk fern. Diese ICMP-Einstellingen sind beim XP-Firewalldienst Standard und brauchen nicht extra eingestellt werden, das ist für Anfänger besonders interessant.
Für mehrere Computer im Intranet gekoppelt mit dem Internet ist eine externe Router/Firewall-Lösung in Bezug auf Internet-Angriffe günstiger, hat jedoch den Nachteil, dass Webfunktionen wie Webserver, FTP-Server, Netmeeting, Messenger u.v.a.m. durch Port-Forwarding erst aufwändig freigeschaltet werden müssen.
Eine Backup-Strategie ist ebenso notwendig wie auch wichtig. Mindestens EruNT mit EruTask installieren, damit wird täglich die Registry gesichert.
Der menschliche Faktor ist das wichtigste Sicherheitskriterium im Umgang mit Computern. Grundsatz ist hier: Nicht auf jedes "Klickmich" klicken und sich äußerst umsichtig im Internet verhalten. Ohne diese menschliche Grundeinstellung nutzen die oben beschriebenen Sicherheits-Maßnahmen auch nicht viel. Man sollte stets beachten, dass es eine 100%ige Sicherheit nie gibt.
Also, für alle noch einmal drei Sachen zum Mitbeten:
-Damit ein Angriff mit den Mitteln von Scriptkiddies möglich ist, muss ein entsprechendes Programm auf dem Rechner vorhanden sein, dass den Angriff annimmt.
-Solche Programme kommen nicht einfach so auf den Rechner, sondern werden vom User installiert und dagegen schützt keine Firewall, weil die Übertragung dann ja angefordert wurde.
-Ein Port ist exakt dann offen, wenn er von einem Programm geöffnet wurde. Wenn kein entsprechendes Programm aktiv ist, ist der Portscan harmlos.
Amen
Vor der Instalation von Trojanern gibt es natürlich keinen 100%igen Schutz, solange ein Mensch vor dem Computer sitzt, aber durch die ziemlich konsequente Haltung von Hermm X, abgesichert durch einen Virenscanner kann man das Risiko ziemlich minimieren.
Weiter minimieren könnte man es durch einen Wechsel des Mailclients, um die Ausnutzung von Lücken bei Outlook (Express) wie z.B. durch Bugbear zu verhindern.
Was die schon auf dem System aktiven Komponenten angeht:
-NetBIOS/ Datei- und Druckerfreigabe am Internetadapter zu deaktivieren, ist wohl kein großer Auswand aber eine durchaus effiziente Maßnahme
- der vieldiskutierte ND ist für X definitiv sinnlos, da er nur einen einzelnen PC hat und auch sein Provider früher oder später heimgesucht werden könnte -> deaktivieren, geht per GUI ohne größeren Aufwand
- Wenn er schon einmal in der Diensteverwaltung ist, könnte X auch gleich einige andere Dienste abdrehen, die allerdings weniger oder gar nicht sicherheitskritisch sind, insofern ist das nicht unbedingt nötig.
Aber kommen wir mal zu den Punkten, wo wir uns einig sind:
- Patchen
- Virenscanner
- Ad-Aware, Spybot o.Ä.
- nach Bedarf auch Werbeblocker/Popupblocker, bleibt nur die Frage, ob im Browser oder lieber in diversen Zusatzprogrammen.
...eigentlich wollte ich jetzt auf dein posting noch einmal mit viel text antworten - aber ich lass es lieber. ich wiederhole nur noch einmal...
kiddies greifen exakt nach dem von mir angeführten szenario an - dazu muß eben NICHT explizit eine programm etwas "annehmen" - es reicht völlig aus, das windows einen port NICHT schließt.
und nu´???
gegen offene PORTS hilft eine firewall.
gegen nicht autorisierten progammcode hilft eine firewall, die fremde apps erkennt und blockt.
und für dich explizit nochmal das:
mit der ablehnung von dtfw´s negierst du, dass ein user mehr kontrolle über sein system und seine daten bekommt.
Also wiederhole ich mich auch noch einmal, auch wenn diese Digne eigentlich altbekannt sind:
Ports sind standardmäßg geschlossen und nur dann geöffnet, wenn ein Programm auf dem System aktiv ist, dass daran lauscht und Daten, also auch potentielle Angriffe, annimmt.
Wenn die Kommunikation unerwünscht ist, beendet man das entsprechende Programm, und der Port ist wieder zu, wenn danach an diesen Port Daten gesendet werden, egal ob Portscan oder sonst etwas, werden die Daten verworfen und der Absender bekommt die Nachricht, dass der Port geschlossen ist.
Wenn man die Kommunikation nicht abdrehen kann, weil sie fürs System wichtig ist, kann man sie logischerweise auch nicht per PF abdrehen.
>>gegen nicht autorisierten progammcode hilft eine Firewall, die fremde apps erkennt und blockt. Gegen unauthorisierten Code hilft kein Paketfilter, sondern ein Konzept das dafür sorgt, dass nur authorisierter Code aufs System kommt, also sich nichts automatisch durch Sicherheitslücken in Programmen oder eine gewisse Browsertechnik installiert.
Gegen authorisierten und trotzdem gefährlichen Code (sprich: der User hat z.B. den "verseuchten" Anhang einer Mail bewusst geöffnet, weil die ihm einen Sicherheitspatch oder sonstwas versprach) helfen Programme, die so etwas erkennen und unschädlich machen oder zumindest den User warnen, und zwar während oder bevor das Programm ausgeführt wird.
Eine Pf kann erstens nicht das Problem selbst bekämpfen, sondern nur ein Symptom (eben die Verbindungsversuche)und zweitens erst dann aktiv werden, wenn das Programm schließlich versucht, eine Internetverbindung aufzubauen. Zu diesem Zeitpunkt kann das Programm aber schon lange Zeit aktiv sein und problemlos die "Firewall" kompromittiert haben oder seine Verbindungen so gestalten, dass sie von der Firewall nicht geblockt werden.
>>gegen nicht autorisierten progammcode hilft eine Firewall, die fremde apps erkennt und blockt.
wie schon oft besprochen hat zb der blackice defender eine auf md5 basierte erkennung von app´s - wird eine app verändert oder kommt eine neue hinzu, wird entsprechend der konfiguration sofort terminiert - oder nachgefragt. ...tiny kann das ähnlich.
ergebnis - fremder oder veränderter programmcode wird schlicht und ergreifend nicht ausgeführt.
wenn du keine ahnung von hash algo´s hast - nicht weißt wie eine app geblockt wird - dann red´halt einfach nicht drüber! (nerv)
> Aber kommen wir mal zu den Punkten, wo wir uns einig sind:
> - Patchen
> - Virenscanner
> - Ad-Aware, Spybot o.Ä.
> - nach Bedarf auch Werbeblocker/Popupblocker, bleibt nur die Frage, ob im Browser oder > lieber in diversen Zusatzprogrammen.
>
> Oder?
jap, stimme dir zu. jede datei aus dem netz sollte gescannt werden. wenn man den luxus hat, kann man sie auch erst auf einem zweiten, isolierten rechner ausprobieren, wo man ruckzuck ein image zurückspielen kann. sites, denen ich nicht vertraue, verwende ich einen anderen browser als den internet explorer. eigentlich nutze ich den nur bei meinen eigenen seiten und denen von freunden/bekannten. notfalls tut es auch lynx - rein textbasiert ohne scripting und co. spyware-scanner gehören leider auch zur grundausstattung.
> gegen offene PORTS hilft eine firewall....
wieso ist ein offener port ein problem? verstehe ich nicht. das einzige, was man dann weiß, ist daß auf dieser ip ein rechner aktiv ist. solange da kein dienst horcht, entsteht in meinem verständnis keine sicherheitslücke. laß die kiddies doch scannen. mir ist das jedenfalls schnurz. beim zweiten icmp-ping landen sie endgültig im paketfilter und können nach hause gehen. einen richtigen profi finde ich eh nicht vor meiner haustür. mit isdn bin ich sowieso höchstens 30 minuten am stück online - von daher gelten bei mir noch etwas andere regeln. alle meine wichtigen daten liegen auf rechner, die nicht mal am netzwerk hängen. okay, zugegeben. nicht jeder hat diesen luxus, aber als reines lager reicht bereits ein alter 486er vom schrott/gebrauchtmarkt für ein paar teuros oder von mir aus auch ein usbstick, cd-r, diskette was auch immer :)
An dieser Stelle danke an alle fürs Mitmachen, insbesondere an Teletom für die sehr ausführliche Antwort mit den diversen Links.
Wenn ich die Antworten richtig verstanden habe, ist nicht immer ein Trojaner für einen Angriff von außen nötig - es genügt bereits, wenn bestimmte Ports geöffnet sind. Gibt es ein Programm, mit dem man sich anschauen kann, welche Ports aktuell geöffnet sind, warum sie offen sind (d.h. welches Programm sie geöffnet hat) und mit dem man sie manuell schließen kann? Was ist der Unterschied zwischen einem offenen und einem lauschenden Port?
Eine andere Frage: Auf welchem Wege fängt man sich Viren ein, wenn man
- nur aus absolut vertrauenswürdigen Quellen herunterlädt
- ausschließlich Nur-Text-Mails, keine HTML-Mails liest
- Spam ungelesen löscht
Wie groß ist überhaupt der Schaden, wenn man einen Virus hat - kann dies im schlimmsten Fall bedeuten, dass man sämtliche persönliche Daten wegwerfen muss, weil der Virus in jeder einzelnen Datei seine Spuren hinterlassen hat, so dass bei einem Neu-Aufsetzen des Betriebssystems und anschließender Rücksicherung aller Daten die Probleme sogleich wieder auftreten?
Letzte Frage: Warum ist ActiveX so gefährlich? Die Plug-Ins und Scripting-Elemente dienen doch dazu, dass Webseiten korrekt angezeigt werden - wie kann es passieren, dass sich ohne den Willen des Benutzers auf diesem Wege nicht gewünschte Progamme installieren?
Eine andere Frage: Auf welchem Wege fängt man sich Viren ein, wenn man
- nur aus absolut vertrauenswürdigen Quellen herunterlädt
Selbst vertrauenswürdige Quellen können unwissentlich infiziert sein.
- ausschließlich Nur-Text-Mails, keine HTML-Mails liest
Und die Anhänge?
- Spam ungelesen löscht
Schaden durch Viren: Im privaten Bereich eher als lästig einzustufen, du musst alles neu installieren. Oftmals wird aber erst mal auf das Sch...-Windows geschimpft, wenn Fehler durch Viren auftreten. Im gewerblichen Bereich durchaus ernsthafte finanzielle Folgen, wenn deine Internetpräsenz womöglich tagelang nicht erreichbar ist.
Zu Active-X: In den IE-Einstellungen kannst du das ausführen/downloaden von ActiveX-Controls mannigfaltig beinflussen. Zuallererst natürlich nur signierte Controls zulassen, du kannst auf Eingabe-Aufforderung umstellen usw.
Genau wie Java ist ActiveX an sich nicht gefährlich, nur das mangelhafte Sichergeitsbewußtsein der User macht es gefährlich. Als Link: http://www.google.de/search?q=sicherheitsl%C3%BCcken+java&ie=UTF-8&oe=UTF-8&hl=de&meta=
Knapp 8000 Treffer, und das nur im deutschsprachigen Netz. Englisch sind knapp 1 Million. Nicht alles ist aktuell, klar, aber bei weitem nicht jeder hat seinen Rechner auf dem aktuellen Stand.
>>Zu Active-X: In den IE-Einstellungen kannst du das ausführen/downloaden von ActiveX-Controls mannigfaltig beinflussen. Zuallererst natürlich nur signierte Controls zulassen, du kannst auf Eingabe-Aufforderung umstellen usw.
Genau wie Java ist ActiveX an sich nicht gefährlich, nur das mangelhafte Sichergeitsbewußtsein der User macht es gefährlich. Schön wär's..."signierte Controls" bedeutet lediglich, dass die Komponente tatsächlich vom angegeben Hersteller stammt und die sonstigen Einstellungen (sage und schreibe 2) sind sinnlos, da der IE nicht nur ActiveX selbst, sondern auch Java, Flash und alles andere eingebette als ActiveX ansieht.
Wenn du also die Option "Nachfrage" aktivierst kannst du bei der Frage "Ausführung von ActiveX-Steuerelementen zulassen?" nicht wissen, ob da jetzt die Hauptseite ihr Flashmenü laden will oder dir das Werbebanner irgendwas "anhängen" will. Und beim Deantivieren werden aus dem oben genannten Grund alle eingebetten Objekte mit deaktiviert und somit viele Seiten komplett kastriert.
Desweiteren gibt es zur Zeit 6 ungepatchte Lücken im IE, mit denen beliebige Seiten in der "lokaler Computer"-Zone ausgeführt werden, wo die Sicherheitseinstellungen viel geringer sind.
Der Vergleich mit Java ist ebenfalls falsch, Java hat eine Sandbox, in der der Code wenig Schaden anrichten kann (auch wenn es Lücken gab, die diese Beschränkung umgehen), während ActiveX-Controls die vollen Zugriffsrechte eines Programms haben und deshalb tun und lassen können, was der Autor der Controls will.
ActiveX ist zusammengefasst eine Technik, die eingentlich fast komplett überflüssig ist (die entsprechenden Anwendungen ließen sich auch anders lösen) und deshalb auch für kaum eine seriöse Anwendung genutzt wird.
Für bösartige Anwendungen wird sie dafür umso lieber genutzt, da ActiveX aus o.g. Gründen kaum zu kontrollieren ist und ohne das der User viel davon mitbekommt denselben Effekt haben kann, als würde der Benutzer ein Programm herunterladen und installieren.
Zum Thema Malware wurde ja nun schon alles gesagt, prinzipiell kann alles, was ausführbaren Code enthält (also z.B. auch Word-Dokumente) auch bösartigen Code enthalten und die Folgen können von nervigen Fenstern Marke "legalize it!!" bis zum Überschreiben der Festplatte gehen.
Aus den heise-news, nicht top-aktuell, aber passend zum Thema:
Java-Sandbox undicht
Karsten Sohr, Doktorand an der Marburger Philipps-Universität, hat einen Fehler in Suns Java Virtual Machine (VM) gefunden. Java-Applets, die nicht digital signiert sind und vom Anwender spezielle Rechte zugebilligt bekommen haben, dürfen eigentlich nicht auf die Festplatte eines Computers zugreifen - sie sollen in einer abgeschotteten Umgebung laufen, in der sie keinen Schaden anrichten können. Sun hat dieses Konzept "Sandbox" getauft. Die Implementierung scheint aber einen Bug zu enthalten, der auch nicht-signierten Applets erlaubt, die Sandbox zu verlassen. Ein Demo-Applet soll in der Lage sein, ohne Warnhinweis Dateien auf der Festplatte zu löschen. Sun und Netscape haben nach Sohrs Angaben bereits bestätigt, daß es sich um einen schwerwiegenden Implementierungsfehler handelt, und arbeiten an Bugfixes. Da Microsoft eine modifizierte Java VM benutzt, scheint der Internet Explorer von dem Problem nicht betroffen zu sein
> Gibt es ein Programm, mit dem man sich anschauen kann, welche Ports aktuell geöffnet
> sind, warum sie offen sind (d.h. welches Programm sie geöffnet hat) und mit dem man sie
> manuell schließen kann?
liefert m$ schon mit. "netstat -o" in der eingabeaufforderung. mit der PID kann man dann im taskmanager gucken, welcher prozess das ist. wird die PID nicht angezeigt, einfach unter "ansicht/spalten anzeigen" auswählen im taskmanager. der prozess läßt sich hier killen und der port wird damit geschlossen. allerdings sind die programmausgaben etwas rudimentärer. ich komme persönlich damit klar, daher benötige ich kein programm, was das "schön" auflistet. gibt es aber bestimmt.
> Eine andere Frage: Auf welchem Wege fängt man sich Viren ein, wenn man ...
wenn du das so handhabst, kannst du dir noch viren über externe datenträger einfangen. früher waren disketten dafür stark gefährdet. auf einer cd kann auch einer enthalten sein. wenn herr x noch im irc ist, dann auch da. aber das würde er wohl als vertrauensunwürdig einstufen. aber auch aus vertrauenswürdigen quellen kann ein virus enthalten sein. genau dann wenn ein cracker die versionen auf dem downloadserver tauscht (manchmal auch die prüfsummen gleich mit) oder im quellcode von opensource ein trojaner gefunden wird. auf der sicheren seite, ist man wenn man jede datei scannt. kostet ja nix außer ein paar sekunden :)
> Wie groß ist überhaupt der Schaden, wenn man einen Virus hat ...
viren können eine menge anrichten. was sie heute alles können kann ich dir leider nicht sagen, mein letzter (aktiver) virus war 1997 oder so, aber damals waren die dinger schon übel. wenn ich mich recht entsinne, gab es einige die partitionstabellen killen konnten oder sogar das bios-rom löschen. nicht den nvram mit den einstellungen, sondern das rom - so als wenn man ein neues bios flasht. eigentlich können die dinger alles anrichten, was man sich so vorstellen kann und wozu man kein hammer braucht. wenn deine persönlichen dateien infiziert sind, müssen die natürlich nach möglichkeit gereinigt werden. manchmal sitzt er aber so tief drin, daß die nicht möglich ist. dann sind teile der datei verloren. das mußte ich erleben. wichtig ist immer, daß man sich aktuelle infos zum virus besorgt und genau liest, was es kann. natürlich von einem anderen rechner; eigenen, beim nachbarn etc.
> Warum ist ActiveX so gefährlich?...
active-x ist so gefährlich, weil es mit dem ie tief im betriebssystem verwurzelt ist. im nächsten windows wird es wohl kein separaten browser mehr geben, sondern vollends integriert sein. hat ein solches active-x-control nun ein sicherheitsloch kann es dementsprechend viel schaden anrichten. die prüfung, was ein control nun darf und was nicht, denke ich, ist schlampig von microsoft integriert worden. die zeche zahlt der kunde. gute abhilfe schafft der "ie-controller" von der c´t. dieser deaktiviert fragwürdige controls, selbstverständlich auch benutzerdefiniert. funkt unter windows 2000 und xp: http://www.heise.de/ct/03/01/086/
(hab es offline getippt, vielleicht hat es schon mancher beantwortet ;)
Leider kann ich Deine Vorgaben nicht 100% nachvollziehen, da ich noch Win98 habe aber andererseit Norton Internet Security nutze.
Schlecht an diesem Thread ist, jemand von Microsoft könnte ihn lesen und dann bauen die doch noch ein sicheres Betriebssystem und wir müssen auf das wunderbare TCPA-Palladium verzichten.
So in etwa:
1) Gefahren drohen von Dialern, denn wenn er die Google-Suche benutzt und nach Dialerschutzsoftware sucht, hätte er in der Vergangenheit mal auf einer gefakten Seite von Troyanerschutz landen können, die automatisch einen Dialer installiert.
2) Er sollte also DSL haben oder einen anderen Schutz, ev. ein Relais, das er bei Einwahl schalten muss, sodass ohne sein Zutun keine Neueinwahl statt finden kann. Überhaupt ein Modem sollte extern sein, blinken und rumtönen.
4) Soweit ich das sehe, könnte auch jemand seine E-Mail-Adresse abgreifen und damit allerlei Unsinn anstellen.
5) Sein Surfverhalten kann auch über Cockies, diese Minigrafiken in Internetadressen, oder JScript-Cockies erfasst werden und letztlich - wie, weiß ich nicht so genau - dazu genutzt werden ihm doch noch Spam zu schicken.
6) Man könnte dafür sorgen, das IE öfter mal abstürzt und dass er darüber seinen Browser-Cache verliert, denn er müsste ihn löschen, damit das Surfen wieder besser funktioniert.
7) Inwieweit sich bei XP ein Totalabsturz hinkriegen lässt, weiß ich nicht. Wenn der Rechner in Sekundenbruchteilen abschaltet, dann kann die Festplatte nachhaltig geschädigt werden.
8) Da er nicht gegen Würmer geschützt ist und sein Adressbuch offen ist, wären die E-Mail-Kontakte des Herrn alle durch ihn gefährdet. Er würde bald als unangenehmer Zeitgenosse auffallen.
9) Was mich wundert. Du schreibst nicht, wie Herr X Backups erledigt und was er zur Systemwiederherstellung bereit hält. Er ist in Gefahr seine Daten und seine Installation zu verlieren.
Abwehr
Sollten wir eigentlich noch nicht drauf eingehen. Aber es stellt sich die Frage der Strukturierung der Diskusion.
A1) Wenn Herr X Downloads im IE abstellt, lebt er erheblich sicherer. Wenn er eine Datei auf dem Rechner speichern will, wird er genau nur für diesen Speichervorgang Downloads erlauben.
A2) Was man alles bei Outlook Express einstellen soll, um die Sicherheit zu verbessern, da habe ich mir eine lange Liste gemacht, die ich noch senden könnte.
A3) Mindestens zwei, drei Festplatten und Wechselrahmen. 1 Backup außerhalb des Computers. Persönliche Daten, Briefe usw. nicht auf der Surffestplatte. Datenaustausch über CDRW, falls mal etwas auf der Surfplatte geschrieben wurde, erst mal auf CDRW spielen.
A4) Das Verstecken von Partitionen ist nicht sicher. Eine Knoppix-CD zeigt auch die Daten auf den versteckten Partitionen, ähnliches müsste für Angriffe gelten.
A5) Die Frage ist, ob Verschlüsselung und Datenkomprimierung einen Computer sicherer machen. Denn ein paar Bits irgendwo verändert (Defekt oder Sabotage) und schon passt der Schlüssel nicht mehr oder die Daten lassen sich nicht dekomprimieren und Datenrettungsprogramme beißen auf Granit.
A6) So Sachen wie Netbios wird er wohl abschalten müssen.
A7) Was ganz offensichtlich nicht funktioniert, ist alle nicht benötigten Ports zu blocken und nach Bedarf einzuschalten. Das dürfte Herrn X überfordern und wie ich auf Koltis Posting auf Allgemeines geantwortet habe, blockt sowas schon das Laden der Nickles-Seiten. Herr X könnte nicht mal bei Nickles im Forum fragen, wenn er ein Problem hätte.
A8) Virenscanner erkennen immer nur bekannte Viren. Immerhin erkennt die Bloodhound-Technik von Norton auch neue Viren, jedenfalls zum Teil. Dazu muss aber die schärfste Einstellung gewählt werden. Eigentlich braucht Herr X Software auf seinem Rechner, die diese schärfste Einstellung nicht auslöst, damit er sie nutzen kann.
A9) Herr X sollte regelmäßig den Inhalt des Temp-Ordners löschen. Spätestens beim Runterfahren des Rechners, obwohl das etwas riskant ist, wenn er mit längeren wichtigen Word-Dokumenten hantiert.
A10) Es wird hier viel zu Popups geschrieben, die nerven wohl mächtig. Wenn man etwas den Umgang mit NIS lernt, dann sind Popups aber ein eher erträgliches Problem.
A11) Werbeblocker einfach mit der Hosts-Datei. Habe ich sehr ernüchternde Erfahrung gemacht. Da hat gleich alles Mögliche nicht mehr funktioniert.
1. er ist kein experte und will nicht unbedingt einen anderen explorer installieren - andere haben außerdem auch so ihre probleme
2. ok
3. backups sind ok - nur ist eine cdrw kein ausgemachtes backupmedium und der von dir vorgeschlagene weg ist umständlich - umständliche wege werden von usern schnell "ausgespart" ..weggelassen
4. ok - wenn du aber nicht weißt, wonach du suchst, ist eine versteckte partition eine variante sicherheit zu erhöhen
5. verschlüsselung ist eben nicht nur der simple austausch einiger bits - sondern eine (je nach verfahren) für kiddies nicht zu überwindene hürde
6. kann er - muß er aber nicht - er ist ja nur ein einfacher user
7. eine gute dtfw ist so effektiv, das herr x damit kaum sorgen haben würde - meine empfehlung ist hier der blackice defender 3.6
8. ok - virenscanner mit automatischem update - damit x sich nicht drum kümmern muß - und es ständig vergißt
9. ok - aber auch das geht mit wenigen handgriffen automatisch - und außerdem sollte er dann auch die auslagerungsdatei löschen
10. proxomitron
11. proxomitron
...wie gesehen gelten wieder die vorher schon beschriebenen möglichkeiten.
A12) Ein Installationsmonitor wie Cleansweap sollte jede Installation aufzeichen, mit ein bischen Glück auch ungewollte.
A13) Man muss Herrn X beibringen wie er im IE unter "Objekte anzeigen" überflüssige Plug-Ins entfernt, d.h. man sollte ihm sagen welche er braucht, damit er überflüssige erkennt.
Trotz überwiedend sehr guter Darstellungen kann man Einiges nicht so stehen lassen.
Folgende Maßnahmen des Firewallsicherheitskonzepts wurden positiv festgestellt:
- der menschliche Faktor als wichtigstes Sicherheitskriterium
- stets beachten, dass es eine 100%ige Sicherheit nie gibt
- Aufhebung der Netbios-Bindung und der Datei- und Druckerfreigabe am Internetadapter
- das System immer auf den neuesten Update-Stand bringen
- ein effektiver Virenschutz, der auch E-Mail-Clients einbezieht (z.B. AVG6 FE Grisoft)
- Malware-Entfernungsprogramme z.B. Spybot S&D, Ad-Aware
- eine Backup-Strategie (z.B. EruNT, EruTask)
- Werbeblocker verwenden (sehr effektiv: 127.0.0.1 <URL> HOSTS-Dateieintrag; z.B. Adshield beim IE, andere Browser haben häufig eigene Werbeblocker)
- 0190Alarm- oder 0190Warner-Einsatz bei ISDN oder analoger Einwahl
- bei Notwendigkeit einen Spam-E-Mail-Filter einbauen (z.B. Spampal)
Der Firewalldienst hat eine vorrangige Bedeutung.
Wie schwer will man sich es mit diesem Firewalldienst überhaupt noch machen?
Das grenzt ja schon an das Unfassbare. Die Begründung warum man den Firewalldienst unbedingt einsetzen sollte, wurde wiedermal von fast jedem überlesen bzw. ignoriert.
Stattdessen werden leider wieder Port-Visionen auf die Tagesordnung gebracht.
Man ist leider in sofern visionär, weil man sich mit den Ports aufhält und nicht weiter denkt. Um das etwas pragmatischer zu machen, hab ich mir mal das niedliche Programm Angry-Ip-Scanner gezogen. Niedlich ist das Programm aus dem Grunde, da ein nettes Hello-PlugIn dazu existiert, das passt wunderbar zu dem Nachrichtendiest-Thema.
Also lass ich mal einen Portscan auf meine Internet-IP von Port 1 bis Port 500 (es gibt 65535 Ports!) laufen. Ca. 3 Sekunden pro Port das muss ich mir nicht antun ---> Abbruch
3 mal 500 ergibt 1500 Sekunden oder 25 Minuten. Bei einem Portscan auf eine IP im Internet wäre bei einer durchschnittlichen Onlinezeit von 30 Minuten am Stück das Ziel mit Sicherheit down.
Scriptkiddies z.B. erfinden nicht die EDV neu, sie können auch bloß Portscans anwenden.
ODER sie benutzen IP-Scanner wie den Angry-Ip-Scanner. Starte ich mal den Ip-Scanner. 511 Ip-Nummern in 77 Sekunden (0,151 Sek. pro Ip-Nummer). Machmerma eine XXXXXXXXXX (ausgeixt von der gnadenlosen Zensur) - Attacke auf eine gefundene IP-Nummer.
Der IP-Scanner an sich ist kein Hacker-Tool, nur der Missbrauch des Programmes kann zu einem Schaden führen.
Kommen wir zum Knackpunkt:
IP-Scan bedeutet, Pings auf der Grundlagwe des ICMP-Protokolls werden gesendet und eine evtl. Antwort wird ausgewertet.
Dumistvieh hat dazu eine sehr interessante Aussage über Scriptkiddy-Angriffe formuliert (thx):
>beim zweiten icmp-ping landen sie endgültig im paketfilter und können nach hause gehen
Warum erst den zweiten ICMP-Ping nicht zu lassen, würde es nicht besser sein den ersten Ping auch entsprechend nicht zu verarbeiten? In der Regel gibt es keinen Grund dieses beim ersten Ping auch so zu machen.
Die Lösung:
Einen Firewalldienst unumgänglich so einzurichten, dass die genannten ICMP-Einstellungen für den Internetadapter vorgenommen werden und zwar so, dass für den Ping-Sender "Zeitüberschreitung der Anforderung" erscheint UND nix is mit Angriffen.
(Nicht über ungelegte Port-"Eier" nachdenken, bei ICMP gibt es keine Ports!!!)
Da der Nachrichtendienst zum wiederholten Mal leider wieder nur visionär angesprochen wurde, hier auch dazu ein paar pragmatische Bemerkungen:
Der Nachrichtendienst ist viel zu klein, um darüber überhaupt zu sprechen.
Den Nachrichtendienst zu deaktivieren, lohnt sich überhaupt nicht. Darüber hinaus kann man sogenannte Winpopup-Spam-Pakete nicht durch das Deaktivieren des Nachrichtendiensts fern halten.
Vergleiche Protokollauszüge: http://www.nickles.de/thread_cache/537447162.html http://www.nickles.de/thread_cache/537442029.html
Die Protokolle wurden unter Windows 98 angefertigt, da läuft kein Nachrichtendienst und trotzdem gelangte der erwähnte Winpopup-Spam ohne Firewall in das System.
Lösung die Firewall-Lösung siehe oben.
Wie die Protokolle belegen, erfolgt vor jeder Nachricht ein ICMP-Ping. Die Firewall-Lösung hält letztlich auch den Winpopup-Spam fern.
Da Winpopup-Spam auch ohne Nachrichtendienst in das System gelangt, ist es völlig Worscht, ob der Nachrichtendienst aktiviert ist oder nicht, nur der Firewalldienst hält diesen Winpopup-Spam wirklich fern.
Ich hoffe, dass man nicht weiterhin Wichtiges ignoriert.
1.) Es wurden keine Port-Vision vorgestellt sondern es wurde gesagt, dass ein Zugriffsversuch auf einen Port (also auch ein Portscan) nicht im geringsten gefährlich ist, wenn kein Zielport offen ist und das ist Fakt, da ist auch nicht mit "attacke".
2.) Ob das Programm, das für Werbepopups sorgt, "Nachrichtendienst" oder "Winpopup" (bei Win 98) heißt, ist irgendwie reichlich egal, Tatsache ist, dass X es nicht braucht.
Warum sollte man es also aktiv lassen und ein Zusatzprogramm installieren, wenn man es einfach deaktivieren kann?
ein portscan geht einem angriff voraus und bereitet ihn vor (normale user scannen nicht einfach mal so irgendwelche ports systematisch ab...) - wie bereits im szenario beschrieben - somit sind die gegenmaßnahmen klar. da kann ich teletom nur zustimmen...
eine möglich gegenmaßnahme ist eine dtfw.
und jetzt nochmal und nur für dich...
mit der ablehnung von dtfw negierst du ein mehr an kontrolle und sicherheit.
mir ist dein standpunkt und dein fazit deswegen immerwieder schlicht unverständlich.
Wieso musst du eigentlich bei allem, was irgendwie mit dem Thema zutun hat, deine Ideen unters Volk zu bringen versuchen?
Bei fast jedem Thread kommt früher oder später von dir "Firewall unumgänglich" blabla "ICMP blocken" blabla "Nachrichtendienst" blabla. Nervt es nicht tierisch, sich dauernd zu wiederholen? Im übrigen gehen mir die daraus resultierenden Reaktionen der Gegenseite auch auf den Senkel. Nicht, dass ich es nicht interessant finden würde, oder dass ich euer Wissen anzweifeln will, aber es ist halt überflüssig zum hunderstenmal das selbe Thema, mit dem selben Fazit (nämlich dass es gar keins gibt) durchzukauen.
> Nervt es nicht tierisch, sich dauernd zu wiederholen? Im übrigen gehen mir die daraus resultierenden Reaktionen der Gegenseite auch auf den Senkel.
Das ist der Grund, weshalb sich einige (prominente) Poster von diesem Brett komplett zurückgezogen haben. Wie Du aber selbst schon feststellst: Diese vielen Wiederholungen kann man nicht Teletom im besonderen anlasten. Das kommt von beiden Seiten; jeder hält sein Sicherheitskonzept für das richtige, und jeder hat dafür handfeste technisch-praktische Argumente, wenn ich mir die Begründungen u.a.. von -IRON- und Tyrfing einerseits anschaue, wie auch die von Teletom und Garftermy u.a. auf der anderen Seite.
Mein Ziel war es, die ganze Diskussion einmal anders zu führen, eine Art "Back to the Roots" zu betreiben - in der Hoffnung, dass durch ein tiefer gehendes Verständnis dessen, was sich in einem Netzwerk überhaupt an Bedrohungsszenarios abspielen kann, die altbekannten Argumente in einem neuen Licht erscheinen und verständlicher werden.
Auch wenn sich am Schluss nun das eine oder andere wiederholt, was wir aus anderen Threads mehr oder weniger hinlänglich kennen, denke ich, hat sich dieser Ansatz durchaus gelohnt; die Diskussion hat einen etwas anderen als den bekannten Verlauf genommen. Das ist schon eine ganze Menge.
...anstatt negativ zu kommentieren steht auch dir die möglichkeit des konstruktiven mitredens frei - nutze doch einfach die möglichkeiten!
im übrigen geht es hier nicht um "deine" oder "meine" ideen - sondern um den versuch einige fakten mal für alle herauszuarbeiten. ...danke an olaf19 für diesen versuch.
wenn du die möglichkeit nicht nutzen willst - halt dich doch bitte einfach ein wenig zurück.
Leider funktionieren wegen der gestrigen Serverprobleme meine älteren Antwortbenachrichtigungen nicht, so dass ich eben erst feststellen konnte, dass noch eine ganze Reihe Antworten eingetroffen ist. Dafür vielen Dank, insbesondere für die so ausführlichen Darstellungen von Tilo_Nachdenklich und (nochmalig) Teletom (Warum ist die "Worscht" bei Dir eigentlich immer rosa? *g*).
Eine Anmerkung noch von mir zum letzten Post von Tyrfing:
> Warum sollte man es [ND / Winpopup] also aktiv lassen und ein Zusatzprogramm installieren, wenn man es einfach deaktivieren kann
Ich gebe es einmal mit meinen eigenen Worten wieder: Wenn man die Benutzung einer Desktop-Firewall unter Windows ablehnt, hat man nur die Möglichkeit, den ND zu beenden. Da nach Teletoms Auffassung die Einrichtung eines Firewall-Dienstes ohnehin unumgänglich ist, ist das Winpopup-Spam-Problem damit gelöst, auch ohne dass man den Dienst de-aktivieren muss.
Was ich daran nicht ganz verstehe, ist: Wenn ich den ND deaktiviere, werden die Nachrichten lediglich nicht sichtbar, sie kommen aber nach wie vor an. Das müsste aber doch bei einer Firewall genau so sein? Die Firewall blockt die Nachrichtenpakete doch auch erst dann, wenn sie bei mir eingetroffen sind? Anders gesagt: Ich verhindere damit doch nicht, dass der Absender die ollen Dinger an mich losschickt?
Aber das ist zum Glück nur eine Detailfrage... im Ganzen sind wir - so hoffe ich - doch ein ganzes Stück weiter.
Einen schönen Sonntag noch an alle!
Die Frage "Warum sollte man es [ND / Winpopup] also aktiv lassen..." war ein Tyrfing-Zitat; ich habe versucht, diese Frage mit meinen eigenen Worten zu beantworten, in dem Sinne, wie ich Deine Ausführungen zu diesem Thema verstanden hatte. Ich hoffe, das ist mir einigermaßen gelungen...
> Die o.g. Protokolle wurden unter Windows 98 aufgezeichnet, ohne dass Winpopup läuft oder lief.
Durch Spamnachrichten werden Spiel und Arbeit gestört, deshalb die Beschwerden von Usern darüber. Wenn der User sie nicht mehr zu sehen bekommt, obwohl die Nachrichtenpakete weiterhin ankommen, müsste sein Problem damit doch gelöst sein,oder hat er konkrete Nachteile von der Protokollaufzeichnung der Nachrichtenpakete? Zeichnet auch XP diese Protokolle auf, oder war das nur unter Win98 so?
Ist es auch...wenn es nichts gibt, was darauf anspringt, sind die (vergleichsweise winzigen) Pakete der ND-Nachricht ebensowenig ein Problem wie ein Portscan, wenn keine kritischen Ports offen sind.
@garf:
>>mit der ablehnung von dtfw negierst du ein mehr an kontrolle und sicherheit. Nein, ich negiere, dass man dadurch mehr Sicherheit bekommt.
"@garf:
>>mit der ablehnung von dtfw negierst du ein mehr an kontrolle und sicherheit. Nein, ich negiere, dass man dadurch mehr Sicherheit bekommt. "
damit scheidest du definitiv - zumindest für mich - aus dem kreis derjenigen aus, mit denen man über derartige themen ernst diskutieren kann. ich vermute, das dir grundkenntnisse über netzwerke schlicht fehlen - anders kann ich mir eine solche unbegründete und unfundierte aussage nicht erklären.
Tja, durch die Benutzung des Wortes "unbegründet" zeigt du wieder einmal deine Unfähigkeit, die Argumente der Gegenseite auch nur zu lesen...aber noch einmal ein schöner Absatz für dich, mit dem ich dann diese Diskussion auch beenden werde:
You can't improve security of an untrusted system by installing another untrustworthy piece of software.
In the contrary, adding software increases the system's complexity, increasing the probabilty for undetected bugs and possible new security problems.
"You can't improve security of an untrusted system by installing another untrustworthy piece of software.
In the contrary, adding software increases the system's complexity, increasing the probabilty for undetected bugs and possible new security problems. "
das aufstellen von beauptungen - auch in englisch - die man nicht mit fakten untermauern kann, ist als beweis untauglich.
"auschließlich die verbindung causaler zusammenhänge und deren nachvollziehbarkeit ist als beweis einer these (oder aussage) zulässig."
Es zeigt sich, dass wir spätestens an dieser Stelle die "Y-Gabel" des Diskussionsverlaufs überschritten haben:
> You can't improve security of an untrusted system by installing another untrustworthy piece of software.
So ganz überzeugend finde ich diese Aussage nicht. Mal zum Vergleich: Meine Haustür ist nicht perfekt. Mein Sicherheitsschloss ist auch nicht perfekt. Und doch kann auch ein einfaches Sicherheitsschloss die Sicherheit erhöhen: Man kann es zwar knacken, aber das erfordert schon ein wenig Geschick und Mühe, macht evtl. auch Lärm und zieht die Aufmerksamkeit der Nachbarschaft auf sich.
Zurück zum leidigen Thema EDV :-)
Auf eine Firewall übertragen, bedeutet diese Überlegung: Mein System ist nicht perfekt. Eine DTFW ist auch nicht perfekt. Und doch kann eine DTFW die Sicherheit erhöhen: Ein Hacker kann sie - sofern sie nicht auf Kernel-Ebene arbeitet - zwar einfach ausknipsen, aber die große Masse von Scriptkiddies, die beim leisesten Widerstand schon die Flinte ins Korn werfen, hält man sich damit vom Leibe.
Bis hierhin ist alles nachvollziehbar.
Nun sagen Firewallgegner, dass ein solches Programm seinerseits wieder Fehler ins System einschleppt und die daraus resultierende Belastung größer ist als der Nutzen - grob vereinfacht. An dieser Stelle werden wir uns heute abend nicht mehr einig; dennoch hat dieser Thread mir - und hoffentlich auch einigen anderen - einiges an Erkenntnisgewinn gebracht. In alles weitere bringen wir später hoffentlich noch Licht.
Ich frage mich immer noch, warum soviel Ignoranz gepaart mit dem Aufführen von Behauptungen mit fehlenden Grundlagen und fehlenden Tatsachen existieren kann.
Mein obiges Posting http://www.nickles.de/thread_cache/537455614.html
hat mit Sicherheit für Jedermann bewiesen, dass ein Portscan nicht nur für Scriptkiddies aus Zeitgründen nicht in Betracht kommt. Man müßte eine IP solange scannen bis ein offener Port gefunden wird, damit definitiv festgestellt werden kann, ob die IP online ist oder nicht. Eine ganz schöne Aufgabe bei 65535 Ports und mindestens 3 Sekunden pro Port, nicht wahr?
Viel effektiver und sogar realistisch sind IP-Scans mit Hilfe von ICMP-Pings.
Daraus resultiert die Begründung der Notwendigkeit des Einsatzes von Firewalls mit ICMP-Einstellungen. Verursacht durch die ICMP-Einstellung der Firewall verhindert "Zeitüberschreitung der Anforderung" beim Ping-Sender wirklich Angriffe (und das nicht nur von Scriptkiddies).
Portscans als Angriffsursache sind also im wahrsten Sinne des Wortes ungelegte Port-Eier.
UND
Der Nachrichtendienst ist tatsächlich viel zu klein, um überhaupt darüber zu sprechen. Was aber wird hier veranstaltet, es wird wieder über den Nachrichtendienst hergezogen. Das ist bestenfalls ein taktischer Winkelzug. Wie gut kann man jedoch über NICHTS reden, wenn man dadurch scheinbare Argumente auf den Tisch legen kann.
Naja, was soll es, die Argumente gehen eben aus bei den Firewallgegnern.
Der ND war ursprünglich nicht Gegenstand dieses Threads, es hat sich aber "gesprächsweise" ergeben, dass er wieder ins Spiel gekommen ist... auch wenn sich bei Dir eine Verärgerung darüber breit macht, dass Du immer wieder dasselbe sagen musst - erlaube mir eine letzte Frage dazu. Folgendes hattest Du weiter oben geschrieben:
Da Winpopup-Spam auch ohne Nachrichtendienst in das System gelangt, ist es völlig Worscht, ob der Nachrichtendienst aktiviert ist oder nicht, nur der Firewalldienst hält diesen Winpopup-Spam wirklich fern.
Das leuchtet mir soweit auch ein.
Nur eines bleibt unklar: Warum ist es so wichtig, daß dieser Spam vom System fern gehalten wird? Die User fühlen sich doch nur deshalb so davon gestört, weil die aufpoppenden Fenster laufende Programme und Spiele unterbrechen. Sobald der ND deaktiviert ist, bleiben diese Störungen aus, egal ob die Spampakete trotzdem im System ankommen oder nicht.
Anders ausgedrückt: Den User interessiert nicht wirklich, ob er Spam-Nachrichten bekommt oder nicht. Es stört ihn nur, dass er sie auf dem Bildschirm sieht, zumal wenn er an einem nicht-vernetzten Einzelplatz arbeitet und keinen praktischen Nutzen davon hat, dass dieser Dienst läuft.
Oder richten diese Pakete noch anderweitigen Schaden im System an?
Wenn diese Frage noch geklärt werden könnte, wäre das Thema ND für mich damit erschlagen.
CU
Olaf
P.S. Bin ab morgen drei Tage verreist und werde unterwegs keine Gelegenheit haben zu antworten - ab Mittwoch abend werde ich wieder mitlesen/-posten.
>Anders ausgedrückt: Den User interessiert nicht wirklich, ob er Spam-Nachrichten bekommt oder nicht. Es stört ihn nur, dass er sie auf dem Bildschirm sieht, zumal wenn er an einem nicht-vernetzten Einzelplatz arbeitet und keinen praktischen Nutzen davon hat, dass dieser Dienst läuft.
So "könnte" man argumentieren, aber wenn man beispielsweise Winpopup-Spam wirklich vom System bannt, werden die Systemressourcen weniger belastet, weil die entsprechenden Pakete nicht in das System gelangen, UND das ist gut für den 1. Grundsatz: Ausfallsicherheit kommt vor Datenschutzsicherheit oder?
Winpopup-Spam, der von der Firewall wirklich vom System gebannt wird, ist nur ein Beispiel, wie mit Sicherheit jetzt klar ist.
Andere Beispiele sind Scriptkiddy-Attacken auf der Grundlage von Ip-Scans (wie oben dargestellt), die von der Firewall wirklich vom System fern gehalten werden.
Kurz gesagt, werden alle direkten Angriffe fern gehalten, die auf die realistischen IP-Scans folgen würden, wenn eine Ping-Antwort gegeben würde.
Firewalldienst mit den dargestellten ICMP-Einstellungen --> keine Ping-Antwort, es erscheint "Zeitüberschreitung der Anforderung" beim Ping-Sender --> keine möglichen direkten Angriffe oder Belästigungen
Der Nachrichtendienst ist wirklich nur Peanuts, den es nicht lohnt zu deaktivieren. Durch das Aktivieren des Firewalldienstes werden die Systemressourcen zwar etwas mehr belastet, das bringt jedoch wesentlich mehr Sicherheit für das gesamte System. Der Nutzenanteil überwiegt deutlich.
Selbstverständlich wird durch die genannte Firewalleinstellung der Winpopup-Spam nicht mehr angezeigt und man kann den Nachrichtendienst nach wie vor verwenden, wie man es wünscht.
Hmm...das ist glatt ein weiterer Kandidat für meine "Teletom-Theorien"-Sammlung...nur zur Info: Portscans dienen im Allgemeinen nicht dazu, die Anwesenheit eines Computers festzustellen, sondern um auf einem Computer festzustellen, ob bei ihm Ports geöffnet sind, die sich für Angriffe nutzen lassen.
Und was die "Unsichtbarkeit" durch PFs angeht...naja, das hatten wir schon oft genug
mit was für paketen und mit welchem protocol wird denn letztlich ein portscan ausgeführt - na? icmp ...internet control & message protocol ...und was ist ein ping? icmp...
gegenmaßnahme:
wie bereits erwähnt
- unter anderem dtfw
- ipsec
- ipchains
...wobei auch hier wieder gilt, das nur die gesamtheit von maßnahmen ein konzept bildet.
Ich sollte eine "Garf-Theorien"-Sammlung aufmachen...Portscans werden per TCP oder UDP durchgeführt, aus dem einfachen Grund, dass man ICMP-Signale an einen Computer und nicht an einen spezifischen Port sendet und man einen Port immer mit dem Protokoll scannen sollte, mit dem man ihn auch benutzen will-> wie soll man damit Ports scannen?
PS: Ich packs vorerst in die Teletom-Liste, unter "Ports sind nur dann zu, wenn sie per Firewall geschlossen werden"
>>UDP is a connectionless stream protocol that sends datagrams as a means of packet transmission. Similarly to the inverse mapping system, sending a UDP packet to an open port will receive no response from a server. However, a closed port will respond with an Internet Control Message Protocol (ICMP) error reply. Was lehrt und dieser Absatz?
Man scannt bei dieser Methode, indem man ein UDP-Paket sendet und aufs destination unreachable: Port unreachable (ICMP 3, Code 3) wartet und man scannt nicht die Ports mit ICMP.
Über diesem Absatz stehen übrigens eine Menge Möglichkeiten, die ganz ohne ICMP auskommen....
...den text (sorry das er in englisch ist...) gelesen? da wird sehr genau auf verschiedene methoden des scannes eingegangen - wie du sicher gelesen hast gibt es mehr varianten als udp oder icmp zu nutzen. sicher ist die masse udp... aber eben nicht alle. att´s laufen fast immer nach den selben mustern ab - icmp, udp (ja)... wobei jedes betriebssystem in spezifischer weise antwortet.
das du für dich den schluß ziehst, das nur eine variante benutzt wird - nun - das ist deine auslegung.
Ich lese nun schon einige Zeit in diesem Zirkus mit.
UND JETZT REICHT ES MIR!!!!!!!!!!!!!!!!!!!
DER EINZIGE, DER STÄNDIG UND IMMER WIEDER DAS THEMA NACHRICHTENDIENST DURCHKAUTBIST DU SELBST.
ANFANGS FAND ICH ES JA NOCH LUSTIG DAS DU DIESES THEMA IMMER MIT FOLGENDEM SPRUCH BEGINNST:
"Der Nachrichtendienst ist tatsächlich viel zu klein, um überhaupt darüber zu sprechen."
Um dann lang und breit darüber zu lamentieren.
INZWISCHEN IST ES ABER NUR NOCH LÄCHERLICH, NEIN, EXTREM NERVIG!!!
SEIT - ICH WEISS NICHT MEHR WIE LANG SCHON - WIEDERHOLST DU GEBETSMÜHLENARTIG IMMER WIEDER DIE GLEICHEN STATEMENTS ZUM ND.
Zitat Homer Simpson: LAAAAANNGWEEEEIIIILLIIIIG!
Wenn Du irgendwann mal etwas neues zum Thema beitragen kannst wäre das sehr erfreulich, ansonsten behalte es doch bitte in Zukunft für dich.
und, verdammt nochmal:
Ein HOMEUSER braucht diesen beknackten Nachrichtendienst nicht! Kriegst Du es irgendwann in deinen Schädel???
Ob man Ihn nun einfach abschaltet oder durch eine PF blockt ist im Ergebnis - na, was wohl? Richtig! worscht.
Naja, und wenn schon...
ich habe eh nicht vor über das Thema zu diskutieren, denn: "Der Nachrichtendienst ist tatsächlich viel zu klein, um überhaupt darüber zu sprechen".
Ich finds schade, das Teletom kein besserer Witz zu meinem Namen eingefallen ist, da hätte er es lieber gleich ganz lassen sollen.
Vielleicht wollte er aber auch einfach nur erneut seine Humorlosigkeit unter Beweis stellen.
Ausdiskutieren will ich es lieber nicht mit Ihm, sonst wird er mir noch am Beispiel des Nachrichtendienstes beweisen wollen, daß er doch Humor hat.
>Sehr sachlich - ernsthaft - und so objektiv.
Ja sicher, das habe ich doch von deiner Art der Argumentation gelernt.
Damit waren deine postings der letzten Zeit, besonders die mit IRON, also doch nicht völlig nutzlos.
>Aber sei ehrlich, was nutzt Dir das, wenn Deine Shift-Taste defekt ist?
Geiler Spruch, so originell. Hast Du dir den selbst ausgedacht oder schreibst Du sowas auf wenn Du´s hörst?
>Und
Was würdest Du machen, wenn eine Brezel vor der Tür steht?
Klasse, Teletom. Der Spruch ist auch sehr lustig.
Vielleicht solltest Du lieber Comedian werden. Da hast Du ja schon ein paar gute Nummern zusammen. Mein Lieblingswitz von Dir: Wozu sollte ich den Nachrichtendienst deaktivieren, wenn ich doch ein Softwarefirewall installieren kann? So spare ich ganz viel Ressourcen.
LOL, der ist echt Spitze. Das ist mein persönlicher Favorit von Dir.
Verschenke nicht deine Karrierechancen und bewerbe dich damit bei RTL.
Da es ja nun der Sinn des Threads war, zu einem Fazit zu kommen, melde ich mich dann doch noch einmal:
>>aber die große Masse von Scriptkiddies, die beim leisesten Widerstand schon die Flinte ins Korn werfen, hält man sich damit vom Leibe. Das stimmt zwar, wenn irgendein "1337 |-|@X0r" bei dir nach offenen Ports von Trojanern oder der Datei- und Druckerfreigabe am Internetadapter sucht, aber wenn diese Ports geschlossen sind, weil kein entsprechendes Programm läuft, kann der "Angreifer" bis zum jüngsten Tag scannen und wird auch ganz ohne PF nichts machen können...und ob bzw. inwieweit man sich per PF "verstecken" kann, wurde ja nun schon oft und lange genug diskutiert.
das gegenteilige fazit wäre nämlich "die tür" gleich ganz aufzulassen. ...und das kann´s ja nun wirklich nicht sein.
ein kleines beispiel?
windows 98 läßt sich durch eine "nuke" att abschiessen - zum absturz bringen - setzt man nun eine dtfw ein geht diese att ins leere. wobei die bugs in w9x der dtfw reichlich egal sind...
Also, fangen wir mal mit dem altbewährten ND an:
- laut Teletom ist der Resourcenverbrauch dieses Dienstes vernachlässigbar klein
- laut ihm sind aber auch die knapp 400-500 Byte (zum Vergleich: ein T-DSL-Anschluss schafft bis zu 98 304 Byte/s) so groß, dass durch den Bandbreitenverbrauch dieser Pakete die Ausfallsicherheit des System gefährdet ist
Um dieses Problem zu lösen, installiert man laut Teletom einen Paketfilter, der
- mehr Resourcen verbraucht als alle für den Normalverbraucher überflüssigen Dienste zusammen
- durch das Blockieren der Statusmeldungen dafür sorgt, dass "falsch verbundene" Programme (was bei dynamischen IPs leicht vorkommt, am häufigsten bei Filesharingclients) nicht beim ersten Verbindungsversuch eine abschlägige Antwort erhalten und deshalb weitere Versuche einstellen, sondern noch drei weitere versuche starten, bis sie "aufgeben" --> die Bandbreitennutzung dieser Vorgänge vervierfacht sich.
Anmerkung: Ich konnte übrigens bisher exakt einmal Teletoms Beobachtungen nachvollziehen, sonst kommen ND-Nachrichten bei mir persönlich immer ohne vorherigen Ping an
Die Ports:
-Eine PF kann wie andere Paketfilter auch den Zugriff auf bestimmte Ports blockieren
Aber:
-Die Ports sind am System nicht geschlossen, sondern nur durch die PF blockiert (um beim Türbeispiel zu bleiben: Es gibt zwar eine abgeschlossene Tür, aber die ist nicht so sicher wie eine Wand)
-Die Ports wären auch zu, wenn man die ensprechenden Programme beenden (NetBIOS am Internetadapter etc.) bzz. gar nicht erst installieren (Backdoors etc.) würde.
Die Unsichtbarkeit:
- Die PF kann den Rechner für manche Methoden (normaler Ping) "unsichtbar" machen
aber:
- Für viele andere Methoden tritt der "schwarzes-Loch-Effekt" (eben dadurch, dass nicht zurückkommt zeigt sich, dass da etwas sein muss) in Kraft. Ein Besispiel ist ein einfaches UDP-Paket, auf das weder ein "Host unreachable" vom letzen Router vor dem Ziel noch ein "Port unreachable" vom Rechner selbst kommt: Dann wurde das Paket sehr wahrscheinlich angenommen oder die Antwort wurde geblockt
- Ein Programm, dass nur die Anwesenheit eines Rechners feststellen will (und deshalb darauf ausgelegt ist, mit PFs "umzugehen"), wird bei einer fehlenden Rückmeldung nicht vom (vergleichsweise unwahrscheinlichen) Fall ausgehen, dass das Paket verlorenging, wie es ein legitimes Programm (das ja nicht darauf ausgelegt ist, von PFs geblockt zu werden) tun würde.
Der Schutz vor Angriffen auf nicht abschaltbare Lücken:
- Eine PF kann vor manchen Ausnutzungen solcher Lücken schützen
Aber:
- dafür gibt es aber ähnliche Probleme mit der PF selbst
- es kann aber auch vorkommen, dass die PF gegen solche Angriffe nicht schützt, dann hat man die Lücken im Betriebssystem und in der PF, oder die PF hat dieselben Lücken wie das Betriebssystem. (angenommen man würde mal wieder eine Angriffsmöglichkeit mit ungültigen Paketen finden: daran kann sich die PF genau so "verschlucken" wie das Betriebssystem, oder auch nur eines von Beiden)
--> man muss entweder auf den Patch fürs Betriebssystem oder die PF warten, wenn man Pech hat sogar auf beide
Zugriffe "von innen":
-Eine PF kann bestimmte Programme daran hindern, Verbindungen aufzubauen
aber:
- die technische Komponente: Solange das blockende und das zu blockende Programm auf einem System sind, gibt es immer einen Weg "vorbei" oder "mittendurch" (ein simples Beispiel, nicht einmal von einem Wurm oder sonstiger Malware)
- die menschliche Komponente: Wenn ein User im Glauben, ein Windows-Update zu installieren, einen Trojaner installiert, wird er sich auch nicht über die von der PF gemeldeten Änderungen an manchen Programmen wundern
PS: "Fakten Baby, Fakten"
PPS: @ Garf: Ich schrieb:
>>[...]Portscans werden per TCP oder UDP durchgeführt[...] Du schriebst:
>>[..]das du für dich den schluß ziehst, das nur eine variante benutzt wird[...] Wer lesen kann...;-)
Nun ja,
meine Def. von Sicherheit ist:
Wenn die Kosten des Angriffes höher sind als der erzielbare Nutzen, ist ein System sicher.
Und PF erhöhen zumindest den benötigten Zeitaufwand und eine Manuelle Nacharbeit wenn er einen Offenen/von einer PF blockierten Port sucht. Zusätzlich Protokollieren die meisten PF den gesamten Internetverkehr (der über die PF geht) mit, sodass man diese Logs zu Analysezwecke gebrauchen kann, z.B. wenn ein möglicher Schaden bei Herr X aufgetreten ist.
Also eine PF schließt die Tür nicht ganz, aber die Öffnung ist kleiner geworden.
Und ich denke eine mögliche Gefahrenquelle können Heft Cds, oder Downloads auch sein. Es ist zwar schon etliche Jahre her, aber ein einer uralten PC Player Beilage, waren auch etliche Dateien mit einem Virus verseucht. Also auszuschließen ist so eine "Sicherheitslücke" nicht.
GuFu
Olaf19
