hier mal - weil in letzter zeit oft drüber diskutiert wurde - ein interessanter link zum thema:
klick
besonders der bereich "Erweiterte Features" ist lesenswert.
vielleicht denken die fans der dtfw mal einige momente über die konsequenzen nach...
dtfw - unsecure.
;-)
haegar the horrible GarfTermy „desktopfirewalls und trojaner...“
Mal wieder noch ein gutes Beispeil dafür, wie unverzichtbar ein gut funktionierendes Gespann Virenscanner - Firewall - Hirn ist. Wobei die Reihenfolge keine Wichtung darstellt.
IDE-ATAPI GarfTermy „desktopfirewalls und trojaner...“
Bei so einem reisserischen Topic bin ich doch glatt der Versuchung erlegen auf "posting einblenden" zu klicken.
Und wie immer, bullshit as usual - von der "bildzeitung von nickles.de" garftermy persönlich.
Der Trojaner funktioniert mit der von dir immer empfohlenen Lösung (hardwarefirewall) genauso, und nun? Hardwarefirewall auch unsecure?
shrek3 GarfTermy „desktopfirewalls und trojaner...“
Danke für den Artikel - ist gut und erschreckend.
Was bleibt? Nur noch totale Spezialkenntnisse?
Reicht es irgendwann auch nicht mehr aus, Prozesse zu überwachen, weil sie auch dort unsichtbar werden, sobald man den Taskmanager öffnet, die Registry aufruft oder zu verschwinden scheinen, sobald Spezialtools ihre Arbeit aufnehmen?
Was ist die Alternative von morgen?
Nur eines stört mich an dem Artikel - wenn sie "...alle aktiven Antiviren-Programme oder Firewalls abzuschalten oder zu deaktivieren" in der Lage sind, dann kriegt man das Gefühl, das dort beworbene Produkt kaufen zu müssen ("A Squared Anti-Malware"), um sicherer zu sein.
Als wenn diese Trojaner nicht auch dazu in der Lage wären, auch dieses Programm auszuhebeln.
Also auch: asam - unsecure
virenscanner - unsecure
hardwarerouter - unsecure
Ich wäre überzeugter von dem dort aufgezeigten Gefahrenausmaß, wenn sie von jemanden dargelegt worden wären, der nicht gleichzeitig verkaufen will.
Aber unsicher bin ich schon.
Was meine bisherigen persönlichen Erfahrungen mit Trojanern betrifft - mir hat einmal Kerio geholfen, einen Trojaner zu entdecken, der sich gerade eingenistet hatte und von F-Secure nicht bemerkt worden war. Ansonsten hatte ich vor 2-3 Jahren mal einen (harmloseren) Virus.
Ich hab auch Filesharing gemacht - und dabei auch schon Trojaner mit geladen, ihn aber durch Virenscan nach dem Download wieder gelöscht.
Eine Phishingmail ist mir noch nie untergekommen - dabei bin ich doch Kunde der Postbank, die als erstes hier in Deutschland diesbezüglich abgegriffen wurde. Ich öffne auch keine mir unbekannten E-Mailanhänge. Und im Nickles-Forum hatte ich bis vor kurzem eine E-Mailadresse hinterlegt, die meinen vollen Namen enthielt. Ich hatte ein paar Monate lang mehr Spam in meinem Postfach gehabt - das war's aber auch schon.
Seltsam, ich musste nie meinen PC wegen Schädlingsbefall neu aufsetzen. Habe kein merkwürdiges Verhalten an meinen PCs feststellen können.
Hab ich einfach nur Glück gehabt? Wohl auch, aber das allein griffe zu kurz.
Was also ist jetzt die Realität dieses Artikels, wenn ich sie meiner persönlichen Bilanz gegenüberstelle?
Ehrlich gesagt, ich weiß es nicht.
GarfTermy shrek3 „Danke für den Artikel - ist gut und erschreckend. Was bleibt? Nur noch totale...“
"...Danke für den Artikel - ist gut und erschreckend...."
jepp. schön, dass wenigstens einer hier den eigentlichen sinn verstanden hat.
sinn einer solchen diskussion soll nicht sein produkt a oder lösung b zu empfehlen - sondern auf grundlegende schwächen in sicherheitskonzepten hinzuweisen.
beispiel desktopfirewall: hier zeigt sich immer wieder, dass über angriffe auf das sieb windows auch bei vorhandener dtfw das system kompromittiert werden kann. die schadsoftware läuft dann auf dem system, was durch die dtfw geschützt werden sollte.
...eine hardwarefirewall ist im gegensatz dazu von dieser seite nicht angreifbar.
was daran nicht einsehbar ist.... kann ich nicht nachvollziehen.
lösungswege?
den user sensibel machen - firewall als konzept verstehen - das ist der sinn der sache.
danke @shrek. die anderen sind zu erwachsenem gedankenaustausch wohl nicht in der lage.
;-)
Olaf19 GarfTermy „@shrek“
Das Prob dabei scheint mir aber zu sein, dass der Trojaner vor allem Daten nach außen senden möchte, wovor eine Desktop-Firewall schützen könnte, sofern sie a) entsprechend konfiguriert und b) nicht vom Trojaner abgeschaltet worden ist.
Eine Router-Firewall dagegen blockiert nur eingehende Datenpakete; bzw. Router die auch das Datensenden verhindern sind - korrigiere mich, wenn ich da falsch liege - für den Heimanwender nicht erschwinglich bzw. kein vertretbarer Aufwand (Fragezeichen?). So dass man also, wenn man ausgehende Internetverbindungen kontrollieren will, doch wieder auf eine DTFW zurückgreifen müsste - mit den o.g. Nachteilen ^^ (siehe auch meine Antwort auf Xafford).
CU
Olaf
xafford Olaf19 „Hard- vs. Software-Firewalls“
Olaf19 xafford „Hard- vs. Software-Firewalls“
> Du kannst natürlich alles ausgehend blockieren bis auf HTTP, POP, SMTP, FTP, DNS...
...und dann kommt der blöde Trojaner und benutzt ausgerechnet den Port für HTTP oder POP3. Verstehe.
Sind dann aber nicht doch die Desktopfirewalls diesbezüglich etwas im Vorteil? Wenn ich es richtig sehe, kannst du die doch so konfigurieren, dass nicht bestimmte Protokolle erlaubt sind, sondern dass nur ganz bestimmte Programme - z.B. Webbrowser und E-Mail-Client - Daten senden dürfen. Immer vorausgesetzt, dass es dem Trojaner nicht gelungen ist, die DTFW auszuschalten.
CU
Olaf
xafford Olaf19 „Hard- vs. Software-Firewalls“
Die gängigen Desktopfirewalls arbeiten derart, dass sie neben den reinen Daten des Verbindungssockets (IP:Port) auch den Hashwert der betreffenden Anwendung gegen eine Datenbank mit freigebenenen Anwendungen prüfen. Dies funktioniert idR so eindeutig, dass eine bereits freigegebene Software nach einer Aktualisierung dieser wieder erneut frei gegeben werden muß, da sich ihr "Fingerabdruck" geändert hat.
Jetzt kommt natürlich immer wieder der Punkt mit dem Kapern einer frei gegebenen Anwendung ins Spiel. Das hört sich zunächst einfach an, ist es aber auch wieder nicht. Diverse Softwarefirewalls können nämlich auch überwachen, wenn eine andere Anwendung versucht über eine frei gegebene Anwendung zu senden und nicht der Anwender selbst, denn solche "Fernsteuerung" kann nur über ganz bestimmte Kanäle des Betriebssystems laufen, die man überwachen kann. Auch dies lässt sich natürlich umgehen (wäre auch ein Wunder, wenn sich mal etwas nicht umgehen ließe). So einfach wie gerne gesagt und geschrieben wird ist es jedoch auch wieder nicht.
Ebenso ist es reine populistische Pauschalisierung, wenn jemand schreibt, eine Schadsoftware deaktiviert dann einfach alle Antivirenprogramme und Softwarefirewalls. Dies gestaltet sich nämlich oft schwieriger, als es klingt. Ist es eine vernünftige Software, so läuft sie eben nicht im Kontext des angemeldeten Benutzers, sondern im Kontext des Systems oder als Gerätetreiber. Da die Schadsoftware idR mit den Rechten des Anwenders läuft, sofern sie nicht mit Administratorrechten installiert wurde (was leider viel zu oft geschieht), so hat sie zuerst einmal gar keinen Zugriff auf die Komponenten der Schutzsoftware. Aber auch hier gibt es Wege, die Software auszuhebeln, diese sind jedoch jeweils für die spezielle Software typisch und so ein Angriff kann nicht pauschal im Rundumschlag gegen alle Arten an Schutzsoftware geschehen.
Ein Schädling kann also spezialisiert sein die ein oder andere Schutzsoftware zu deaktivieren, aber das Gelingen hängt eben von einigen Randbedingungen ab und sieht keineswegs so aus, dass diese Software ein Schweizer Taschenmesser besitzt, mit dem es sämtliche Arten an Schutzsoftware einfach deaktivieren kann.
Nochmal zurück zu der Frage, ob eine DTFW Vorteile gegenüber einer Hardwarefirewall hat: Diese Frage ist eigentlich unzulässig, da beide ganz unterschiedliche Voraussetzungen haben und unterschiedliches leisten aufgrund komplett unterschiedlicher Konzepte. Eine Hardwarefirewall kann eine DTFW nicht ersetzen in vollem Funktionsumfang und umgekehrt kann eine Hardwarefirewall Dinge leisten, die eine DTFW nicht kann. Das Prinzip sollte also nicht lauten "Entweder - Oder", sondern "Sowie als Auch". Man überlegt beim Auto fahren ja auch nicht, ob man den Sicherheitsgurt weg lässt, weil man ja einen Airbag hat.
Olaf19 xafford „Hard- vs. Software-Firewalls“
> Eine Hardwarefirewall kann eine DTFW nicht ersetzen in vollem Funktionsumfang und
> umgekehrt kann eine Hardwarefirewall Dinge leisten, die eine DTFW nicht kann.
Ja, in dem Sinne hatte ich es gemeint: DTFW zur Kontrolle ausgehender Daten, Router für eingehender Daten... aber nach allem was du schreibst, ist die Materie derart komplex, dass das auch schon wieder viel zu kurz gegriffen / zu simpel formuliert ist ;-)
> Da die Schadsoftware idR mit den Rechten des Anwenders läuft,
> sofern sie nicht mit Administratorrechten installiert wurde (was leider viel zu oft geschieht),
Demnach ist die User-Anmeldung unter einem Gast-Account zum Surfen doch erheblich wichtiger, als ich bislang angenommen hatte - schade. Es ist so komfortabel, als Admin zu surfen *g*.
Danke für deine ausführlichen fachkundigen Statements, ist immer wieder schön so etwas zu lesen (nur leider viel zu selten :o))
CU
Olaf
GarfTermy Olaf19 „Hard- vs. Software-Firewalls“
@olaf
es gibt auch fw, die für normale preise auch traffic nach außen kontrolieren.
aber - es geht primär doch gar nicht um den traffic - sondern um das zuverlässige verhindern einer installation von schadsoftware. und dann erst um den traffic.
wie in dem artikel zu lesen ist, schaft hier eine dtfw keine wirkliche sicherheit - wenn sich die schadsoftware eine anwenung "kapert" und deren verbindung nach außen nutzt...
also... nochmal... es geht um das konzept an sich.
1. keine schadsoftware installieren
2. keine nicht vertrauenswürdige inhalte downloaden, installieren, ansurfen, mails öffnen
3. besser eine dtfw als nichts.
4. besser eine hwfw als eine dtfw
5. auf jeden fall einen virenscanner
6. und ein image...
7. brain nicht vergessen
8. spamfilter...
9. nicht benötigte dienste deaktivieren
10. muß man lokaler admin sein? ...nein.
...etwa in der art.
wie einige hier aber ihre dtfw als allheilmittel darstellen ist - gelinde gesagt - leichtsinnig.
oder?
;-)
Olaf19 GarfTermy „@olaf es gibt auch fw, die für normale preise auch traffic nach außen...“
Wenn ich ganz aufrichtig sein soll: "Brain nicht vergessen" würde ich an aller-aller-erste Stelle setzen - wobei das natürlich in Punkt 1 und 2 mit drinsteckt.
Lokaler Admin: Im Grunde hast du recht... aber das Hin- und Herwechseln zwischen - z.B. bei XP Home - "rechtlosem" Gastaccount und Admin kann mitunter nervig sein. Ich habe diesen Punkt daher nie beherzigt *g*, ist aber gut, dass du ihn trotzdem erwähnt hast. Aus Sicherheitserwägungen ist es allemal empfehlenswert.
CU
Olaf
GarfTermy Olaf19 „Wenn ich ganz aufrichtig sein soll: Brain nicht vergessen würde ich an...“
@olaf
wechseln ist nervig - "ausführen als" ist dagegen einfach. und wie ich die home-version finde, sage ich lieber nicht.
ist der hauptbenutzer/benutzer ausreichend.
;-)
Olaf19 GarfTermy „@olaf wechseln ist nervig - ausführen als ist dagegen einfach. und wie ich die...“
Naja, der Preisunterschied zwischen Home und Professional ist bzw. war schon ein ganz erheblicher - und wenn man die Pro-Features nicht braucht...
CU
Olaf
GarfTermy Olaf19 „Naja, der Preisunterschied zwischen Home und Professional ist bzw. war schon ein...“
eine weitere alternative?
man installiere sich eine vmware/virtual-pc - da rein ein os nach wahl und möglichkeit - und surfe damit.
;-)
Olaf19 GarfTermy „eine weitere alternative? man installiere sich eine vmware/virtual-pc - da rein...“
...auch wenn es hier völlig Off-Topic ist: Falls meine Windowskiste mit dem betagten Northwood 1,8 GHz-Proz doch einmal aufgerüstet werden soll, habe ich mit XP Home schlechte Karten, wenn ich das richtig sehe :-/ Ein Core 2 Duo würde wohl laufen, aber um die Dualkern-Fähigkeit auszuschöpfen braucht es XP Pro, wenn ich mich nicht täusche?
Zu der Zeit, als die Systeme auf den Markt kamen, war an all sowas noch gar nicht zu denken - da hatte ein Dual-System eben 2 CPUs...
CU
Olaf
holger47 GarfTermy „desktopfirewalls und trojaner...“
Suiper Link, und so unvoreingenommen, nur weil die auf der - von dir wahrscheinlich unabsichtlich nicht verlinkten - Startseite ganz hervorragende Programme zum Schutz vor solchen Unbill verkaufen wollen, wird wohl niemand Böses denken, so das diese Firma vielleicht einiges miesmacht, um ihre eigenen Werke an den Mann zu bringen? Wie man in den Kommentaren so liest, scheint es aber zu funktionieren.
GarfTermy holger47 „Suiper Link, und so unvoreingenommen, nur weil die auf der - von dir...“
@holger
du hast anscheinend das wichtige übersehen: besonders der bereich "Erweiterte Features" ist lesenswert.
was daran nicht zu verstehen ist - mir schleierhaft.
;-)
Olaf19 GarfTermy „@holger du hast anscheinend das wichtige übersehen: besonders der bereich...“
Eine Verständnisfrage: Trojaner neigen dazu, Desktopfirewalls zu deaktivieren - wäre es u.U. denkbar, dass über das Verbindungskabel zum Router auch dessen Firewallfunktion deaktiviert wird? Wenn nicht, dann wäre das ein klarer Vorteil für die Router-/ externe (Hardware-)Firewall.
CU
Olaf
GarfTermy Olaf19 „Eine Verständnisfrage: Trojaner neigen dazu, Desktopfirewalls zu deaktivieren -...“
es ist keine schadsoftware bekannt, die eine hardwarefirewall deaktivieren könnte.
;-)
xafford Olaf19 „Eine Verständnisfrage: Trojaner neigen dazu, Desktopfirewalls zu deaktivieren -...“
Olaf19 xafford „wäre es u.U. denkbar, dass über das Verbindungskabel zum Router auch dessen...“
Du meinst, weil der Router nur eingehende Daten filtert, während der Trojaner nach draußen aktiv werden will? Das ist natürlich verzwickt... eine Desktopfirewall könnte davor zwar schützen, aber wenn der Trojaner sie zuvor abgeschaltet hat...
Am besten man fängt sich gar nicht erst einen Trojaner ein :o))
CU
Olaf
GarfTermy Olaf19 „Du meinst, weil der Router nur eingehende Daten filtert, während der Trojaner...“
"...Am besten man fängt sich gar nicht erst einen Trojaner ein :o))..."
richtig.
viele glauben aber durch ihre dtfw sicher zu sein - das ist trügerich und verleitet nicht zu mehr vorsicht. ...sondern zu weniger vorsicht.
;-)
Olaf19 GarfTermy „ ...Am besten man fängt sich gar nicht erst einen Trojaner ein :o ... richtig....“
...keine Firewall der Welt - inkl. Router - verhindern kann, dass man sich "Software" aus dem Internet herunterlädt, installiert und im Hintergrund fleißig werkeln lässt. Und ein Trojaner ist dummerweise eine "Software" ;-)
THX
Olaf
GarfTermy Olaf19 „Zumal...“
...stellt sich noch die frage, was an diesem thread reißerisch oder bild-haft ist.
die, die diskutieren wollen, tun das gerade sachlich. gut so.
;-)
IDE-ATAPI GarfTermy „...stellt sich noch die frage, was an diesem thread reißerisch oder bild-haft...“
Oder Sie haben verstanden: Diskutiere nie mit einem Troll !
Übrigens, schon wieder lustig wie du deine Fahne mit dem Wind schwingst.
Erst "DTFW unsecure !!!", dann "Konzept ist wichtig, DTFW besser als nichts".
Will man mit so jemanden diskutieren? Ich nicht. Also wirst du wieder ausgeblendet.
GarfTermy IDE-ATAPI „Oder Sie haben verstanden: Diskutiere nie mit einem Troll ! Übrigens, schon...“
@ide-atapi
du hast oben ausgedrückt, dass du an der diskussion nicht teilnehmen möchtest.
sei doch so erwachsen und halte das durch.
;-)
IDE-ATAPI GarfTermy „@ide-atapi du hast oben ausgedrückt, dass du an der diskussion nicht teilnehmen...“
Mehr fällt dir auf meinen Einwand nicht ein? gut.
GarfTermy IDE-ATAPI „Mehr fällt dir auf meinen Einwand nicht ein? gut.“
"...du hast oben ausgedrückt, dass du an der diskussion nicht teilnehmen möchtest..."
dabei bleibt es.
mit dir EOD
IDE-ATAPI GarfTermy „ ...du hast oben ausgedrückt, dass du an der diskussion nicht teilnehmen...“
Sehr erwachsen.
Ach ja, und dass Xafford vieler deiner Argumente auch widerspricht scheint dir entgangen zu sein, bzw. ignorierst es - wie immer.
IDE-ATAPI Olaf19 „Zumal...“
"...keine Firewall der Welt - inkl. Router - verhindern kann, dass man sich "Software" aus dem Internet herunterlädt, installiert und im Hintergrund fleißig werkeln lässt"
Und genau da liegt doch das reisserische von Garfs Ausgangsposting - Die Thematik des Trojaners (Link von Ihm) sagt GAR NICHTS aus über die Sicherheit von Desktop Firewalls.
Unerfahrene User werden aber beim Lesen des Ausgangsposting aber denken dass DTFW unsicher sind, sie aber mit einer Hardwarefirewall besser geschützt sind.
Somit erscheinen mir solche Postings nicht nur populistisch, sonder auch vorsätzlich fahrlässig gegenüber von Nicklesusern welche nicht mit der Technik vertraut sind.
GarfTermy IDE-ATAPI „ ...keine Firewall der Welt - inkl. Router - verhindern kann, dass man sich...“
"..."...keine Firewall der Welt - inkl. Router - verhindern kann, dass man sich "Software" aus dem Internet herunterlädt, installiert und im Hintergrund fleißig werkeln lässt"..."
ich muß doch antworten...
beispiel für eine firewall mit contentfilter? ...auch für *.exe?
* fortigate [alle ab 50A]
* proventia 50m [und höher]
das sind nur 2 beispiele - es gibt sicher mehr.
du bist wiederlegt. ganz einfach.
über einige kleine einstellungen kann man auch dem browser den download verbieten [ie]. ...es wird auch bei anderen browsern wege dafür geben.
"...Die Thematik des Trojaners (Link von Ihm) sagt GAR NICHTS aus über die Sicherheit von Desktop Firewalls..."
wenn sich ein einbrecher mit einer büroklammer die tür öffnen kann und mit einem kullerkeks die alarmanlage lahmlegt - dann ist das also nicht irgenwie beunruhigend? ok....
"...sie aber mit einer Hardwarefirewall besser geschützt sind...."
genau so ist es. ziemlich viele haben das begriffen - wie du weiter oben lesen kannst gehören olaf und xaff dazu. ...beides nicht unbedingt meine fans, aber im gegensatz zu dir in der lage ihre eigene meinung ruhig und vernünftig zu äußern.
eine fähigkeit, die dir offensichtlich fehlt.
;-)
IDE-ATAPI GarfTermy „ ... ...keine Firewall der Welt - inkl. Router - verhindern kann, dass man sich...“
Ich bin wiederlegt? Das ist Olafs Zitat, welches ich verwendet habe !
Soviel zu "viele haben das begriffen - wie du weiter oben lesen kannst gehören olaf und xaff dazu".
"wenn sich ein einbrecher mit einer büroklammer die tür öffnen kann und mit einem kullerkeks die alarmanlage lahmlegt - dann ist das also nicht irgenwie beunruhigend? ok...."
Aber warum propagierst du dann immer eine einfache Hardwarefirewall wenn der Einbrecher doch genauso einfach an ihr vorbeikommt???
gelöscht_84526 IDE-ATAPI „Ich bin wiederlegt? Das ist Olafs Zitat, welches ich verwendet habe ! Soviel zu...“
Wieso "diskutierst" du eigentlich mit Garftermy?
Hast du noch nicht gemerkt, wie eine "Diskussion" mit ihm abzulaufen hat? Das geht so: Garftermy stellt ein Thema in den Raum und gibt gleich seine Meinung dazu kund. Wer dann mit ihm "diskutieren" will, der muss ihm zustimmen und zujubeln! Kommt jemand daher und behauptet irgendetwas, was gegen die Meinung von ihm geht, dann kommt sowas wie: "Werd erstmal erwachsen", und die "Diskussion" ist für ihn beendet.
Es zählt nur seine Meinung, und die ist immer (!!) richtig. Da kannst du nicht gegen an! Andere Meinungen gelten für ihn nicht, da kannst du tausend wissenschaftlich bewiesene Fakten bringen, welche seine Argumente zu 100% widerlegen. Das nützt alles nichts, er dreht und wendet alles immer so, wie es ihm gerade in den Kram passt, Hauptsache, er hat recht.
Deshalb ist es müßig, mit ihm zu "diskutieren"! Kommt sowieso nichts bei raus! Und das ist der Grund, warum ich ihn vor langer Zeit ausgeblendet habe (was ich im Anschluss an dieses Posting auch wieder tun werde, habe nur interessehalber mal in diese "Diskussion" hereingeschaut). Man verschwendet nur seine Zeit, wenn man mit ihm "diskutieren" will....
@Garf: Antworten zwecklos! Du bist bei mir wieder ausgeblendet!
Gruß
IDE-ATAPI gelöscht_84526 „Wieso diskutierst du eigentlich mit Garftermy? Hast du noch nicht gemerkt, wie...“
Ja King Heinz, ich weiss du hast Recht.
Irgendwie stösst es einem aber sauer auf wenn man bedenkt dass dadurch
a) neuen User Sachverhalte grob fahrlässig falsch dargestellt werden (DTFW = sch... - Hardwarefirewall = sicher)
b) hier der Diskussionsstil, ich nenne ihn mal "Argumente gekonnt Ignorieren" einfach so geduldet wird.
Bestes Beispiel ist das Posting von Shrek3 (Stellvertretend für Garftermys ganzen Stil)
Shrek3s Reaktion auf das Posting:
- "Was bleibt? Nur noch totale Spezialkenntnisse?"
- "Was ist die Alternative von morgen?"
- "Was also ist jetzt die Realität dieses Artikels, wenn ich sie meiner persönlichen Bilanz gegenüberstelle?"
Doch Garftermy ignoriert das ALLES an Kritik, greift sich nur einen kleinen Satz, der vor dem "ABER" kommt heraus:
"...Danke für den Artikel - ist gut und erschreckend...."
und nutzt ihn sogar noch andere zu diffamieren mit
"danke @shrek. die anderen sind zu erwachsenem gedankenaustausch wohl nicht in der lage."
Ich verstehe wirklich nicht wie die VIPs so eine subtile Trollerei überhaupt dulden. Gut ist das fürs Forum sicher nicht.
nemesis² GarfTermy „desktopfirewalls und trojaner...“
Ich muß auch noch meinen Senf dazugeben.
Bei mir werkelt ebenfalls eine DTFW auf einen sauberen System (Hochsicherheitsbereich mit nur wenig ausgewählter Software), dazu noch andere einschränkende Maßnahmen zur Minimierung der Angriffsfläche und - (wenn es fertig ist) Brain 2.2. Brain 2.1 wird den schon heutigen und erst kommenden Bedrohungen nicht mehr voll gerecht.
Ich bin immer davon ausgegangen, daß ein Trojaner meine DTFW tunneln kann (aber nicht diese billigen Leaktests). Die DAU-mäßige Installation von Trojanern ist praktisch ausgeschlossen. Eine DTFW einfach abzuschalten ist viel zu auffällig (Auffälligkeit ist längst out).
Neben den im Artikel genannten, gibt es doch noch weitere Einfallsmöglichkeiten:
modifizierte Bilder, Office-Dateien (incl. OpenOffice - je nach Patch + Version), Cross-Site-Scripting, allerlei Malware per JavaScript (beim Surfen fällt die "*.js-Datei" weniger auf - wenn überhaupt erkennbar) und unbekannte + ungepatchte Lücken (die für Geld versteigert werden). Diese Einfallstore zähle ich nicht unbedingt zu den offensichtlich ausführbaren Dateien.
Dann beiben noch gekrackte "seriöse" Seiten, die ebenfalls zur Malwareschleuder umfunktioniert werden (neuer Trend).
Wie soll man erkennen, ob die Seite seriös ist? Da steht doch nicht drauf, ob alles original oder schon "gemoddet" ist.
Ein Virenscanner bringt - trotz Heuristik - bei polymorhen Trojanern (=> Bots, die nach jeder kleinen Aktion ihre Signatur ändern) sicher auch wenig.
Was soll da jetzt die DTFW bringen? Das Tunneln kann sie nicht verhindern (genauso wenig wie die Hardware-Firewall) - aber diverse Optionen blocken - Scripte, Benutzer-Agent, diverse Protokolle/Ports - so wird die Angriffsfläche kleiner (falls nicht neue Löcher reingerissen werden).
Eine DTFW nagelt ein paar Bretter vor Löcher - das ist imho durchaus sinnvoll und wurde auch schon bewiesen:
In der Zeit der Massen-Würmer hat eine popelige DTFW diese abgehalten - obwohl eine ungepatchte Lücke bestand - und so eine Infektion vehindert. Ehrlich gesagt hängt ein großer Teil meiner Hoffnung in "mit Brettern vernagelten Löchern" (neben Brain 2.2).
Dieser Aspekt kommt mir (hier) immer wieder zu kurz und so gilt für dieses praktische! Beispiel: dtfw - secure!
Was machen Hardware-Firewall + "DTFW-Hasser" eigentlich gegen unbekannte, ungepatchte Lücken ?
Ok, Virtualisierung ist eine Möglichkeit und die Malware erkennt teilweise schon, ob sie virtualisiert läuft. Bleibt zu checken, was sich dort noch für Lücken befinden.
