Viren, Spyware, Datenschutz 11.212 Themen, 94.147 Beiträge

Verfolgung starten Optionen

So tunnelt man Eure Firewall:

Harry Hunger / 9 Antworten / Flachansicht Nickles

OK, ein bisschen reisserisch die Überschrift, aber es is schon was dran. Bei meinen Experimenten mit eBlaster und Spector (nachzulesen auf meiner Seite) ist mir eine Möglichkeit aufgefallen, wie man in Verbindung mit der Unerfahrenheit vieler Anwender von Personal Firewalls eben solche
umgehen kann. Eine Sicherheitslücke in Windows oder dem Windows Explorer erlaubt es scheinbar Programmen, die in der Firewall nicht freigegeben sind, eine Verbindung über das Internet über den Umweg des Windows Explorers herzustellen. Wenn eBlaster versucht seine ausspionierten Daten per eMail zu verschicken, meldeten bei meinen Versuchen sowohl Tiny als auch Zonealarm, dass der Windows Explorer und eben nicht eBlaster, versuchte auf das Internet zuzugreifen. Dieser ZDNet Artikel beschreibt das gleiche Phänomen bei eBlaster und ATGuard.

Scheinbar gibt es wirklich eine Möglichkeit ein Programm, speziell wohl Server von Trojanern, so zu programmieren, dass diese den Windows Explorer als Umweg ins Internet nutzen. Und wie viele würden beim Windows Explorer schon Verdacht schöpfen? Nicht wenige würden ihn sogar mit dem Internet Explorer verwechseln und in ihrer PE freischalten.

Aus diesem Grund sollte der Windows Explorer (c:\\Windows\\Explorer.exe) niemals für das Internet freigeschaltet werden!

bei Antwort benachrichtigen
Es ist doch gar nicht nötig über den WindowsExplorer zu senden! Entwickele ... Anonym
Hallo erstmal! Ihr seid zwar mit Sicherheit schlauer als ich , aber erstens ... Keiner Niemand (Anonym)
Diesen lobenswerten Aufwand den du betreibst machen leider die meisten ... Anonym
Keiner Niemand (Anonym) Anonym „Diesen lobenswerten Aufwand den du betreibst machen leider die meisten...“
Optionen

Hallo Frank Kaune!

Dein Einwand ist zwar berechtigt, aber Du kennst ja noch nicht meine ganze Konfiguration. Ich habe zweimal Windows. Einmal die "Internet-Partition" - mit Browser, DFÜ-Verbindung usw. und noch eine "Standard-Partition" - Windows ohne DFÜ. Nach dem Booten ist jeweils die andere versteckt. Ich installiere "unbekannte Programme" ausschließlich auf der "Standard-Partition" - wenn da ein Programmm ins Internet will, muß es schon selbst eine DFÜ-Verbindung erstellen und sich bei einem "kostenlosen" Provider anmelden - das wird schwierig. Um selbst starten zu können, benötigt es ja Windows (Registry, Autostart oder sowas). Das hat es dann zwar, aber eben noch kein Internet. Daß ein Trojaner den MBR verändert, damit den Bootmanager killt, irgendwie die Registry der vorher versteckten Partition hochlädt (ohne daß es tierisch knallt) ist sehr unwahrscheinlich. Außerdem habe ich ein Analoges Modem in Sicht- und Hörweite - wenn das ungefragt piepst, bin ich in fünf Sekunden an der Telefondose und habe den Stecker herausgezogen (das hatte ich schon mal). Ein Handshake dauert bei analogen Modems ca. 20 Sekunden - egal ob FAX oder Internet - da habe ich noch Reserve.
Übrigens habe ich noch weitere Partitionen für "Eigene Dateien", Programme und anderes (ist hier aber weniger von Bedeutung). Ich starte auch von diesen Laufwerken keine unbekannten Proggis, wenn das "Internet-Windows" geladen ist.
Falls doch mal etwas passiert (oder ich etwas ausprobiere - siehe Netbus) pfeife ich einfach ein Image drüber - da sind gerade mal knapp zwei CDs.

Es ist technisch sicher möglich, über die Möglichkeiten der Viren, sich im MBR einzunisten (mit Sprungbefehl, den eigentlichen Code in "defekten Sektoren" der Platte abzulegen, den Sprungbefehl zurück zum Bootmanager zu machen und somit Laufwerksübergreifend zu arbeiten.
Allerdings ist dies erstens (noch) nicht üblich und zweitens merkt dies der Virenscanner (wenn dieser noch nicht unschädlich gemacht wurde - einfache Funktionssperre fällt mir ja auf), da er den MBR und die Bootsektoren mit den gespeicherten Kopien vergleicht (Ich weiß ja, wann ich etwas umpartitioniert habe bzw. ein Image mit anderer Größe eingespielt habe.). Die Virensignatur muß dazu ja gar nicht bekannt sein. Der Virenscanner läuft ca. ein Mal pro Woche komplett durch.

Ich glaube, daß ich mit dieser Grundausstattung für zwei, drei oder auch mehr Jahre einen brauchbaren Grundschutz habe (danach haben vielleicht auch mal die Zeitlichen Beschränkungen der Demo-Versionen etwas mehr Sinn - allerdings gäbe es da ja noch die LLF und den Reset - ich habe somit noch ein paar Asse im Ärmel).

So, jetzt habe ich lange genug genervt. Wenn euch trotzdem noch was einfällt, könnt ihr das ruhig posten.

MfG

Keiner Niemand

bei Antwort benachrichtigen
Ca. 1 Meter Vakuum zw. deinem PC und der TAE Dose, würde dein ... ShipHank
Vielen Dank für den Tip, ShipHank. Ich könnte genauso auch alle Kabel ... Keiner Niemand (Anonym)
Hmmmmm, ich weiß nicht. Irgendwie finde ich die Beschreibung schon lustig. ... vp_gore2000
Hallo vp_gore2000! Schätze mal, daß deine Virenscanner nicht viel erkennen ... (Anonym)
ja aber warum benutzt du denn windows, wenn dir sicherheit schon so wichtig ... (Anonym)