>Was zu C2 gesagt werden muss, hat Basil ja nun schon gesagt
Hast du dir jemals die Specs vom 80386 angeschaut? Bezüglich Protected Mode und Ring Level. Demnach muss ein Kernel explizit dafür sorgen, dass andere Programme überhaupt auf Systemressourcen (sowohl eigene als auch von Fremdprogrammen als auch vom BS) zugreifen können. Und es ist weiss-Gott nicht schwer, nun per Authentifizierung entsprechende Reglementierungen zu schaffen. Diesbezüglich halte ich den NT-Kern für vollkommen C2-konform.
Und C2-Konformität garantiert zumindest dafür, dass ein bereits laufendes System vollständige Sicherheit verschafft. Unter Zuhilfenahme von Dateisystemverschüsselung sind sogar nur noch hardwareseitige Angriffe möglich, die nicht zur Zerstörung, sondern zur Beschaffung von Daten dienen sollen.
>Ob ein System sicher konzipiert ist oder wirklich sicher ist, ist ein kleiner Unterschied, ausserdem gehst du die ganze Zeit davon aus, dass man unt Windows NT mit eingeschränkten Rechten etc. ins Netz geht, nur wer macht das? 99% aller PF-Nutzer freuen sich, dass ihre "Firewall" die gemeingefährlichen Hackerangriffe auf Port 4662 oder 135 abfängt und surfen munter weiter mit dem IE bei aktiviertem ActiveX und nutzen auch munter weiter Outlook Express.
Das sind ja die Trottel, die auf die Versprechungen der Hersteller reinfallen. Denkst du mir gefällt das, dass es so viele davon gibt? Volle Zustimmung.
>Ausserdem: Wer in der Lage ist, so weit zu denken, der braucht erst recht keine PF, weil er in der Lage ist, die Lücken in senem System richtig zu stopfen, statt mit irgedneinem Klickbunti-Tool.
Verstehst du nicht? Gerade deshalb braucht man eine PF. Weil man nicht alle Lücken stopfen kann - weil man viele einfach gar nicht kennt. Und wer nicht soweit denken kann, der braucht auch keine PF.
>Die meisten PFs hängen sich nicht zwischen die Application- und Network-Layer, auch nicht zwischen Tansport- und Network-Layer, sondern nur zwischen den TCP-Stack von Microsoft und die Network-Layer, was man mit anderen TCP-Stacks macht kümmert die Dinger nicht.
Ergo: Die meisten PFs sind Schrott. Ist ja auch so. Das ist ja auch der Grund, warum bei mir am Ende nur NIS/NPF und McAffee PF überhaupt als brauchbare PFs übrigbleiben. Und die beiden leiden nicht unter diesem Problem.
>Wenn die PF beim Beenden die Netzwerkverbindung gleich mit in den Abgrung reißt, ist ein Trojaner wirkungslos, das stimmt, nur braucht man dann auch keinen Trojaner mehr, um dem User Schaden zuzufügen, weil der User bis er den Eindringling loswird keine Netzwerkverbindung mehr hinbekommt, sei es auch nur, um den Virenscanner upzudaten.
Es geht ja auch nur darum, dass die PFs theoretisch durch echte Fehler im BS beendet werden können. Dazu müssen diese aber erstmal bekannt und dann auch noch nicht gestopft sein. Dass genau dies aber auch eine höhere Priorität hat, sollte ja wohl klar sein.
Und unter strikter Trennung der Accouns und eingeschränkten Rechten gibt es theoretisch keinen möglichen Weg, mit irgendwelche legitimen oder unlegitimen Mitteln die PF zu killen. Ein Programm kann sich normal verhalten oder die Axt im Walde spielen - das System und die Daten anderer Benutzer können dadurch nicht angegriffen werden. Das ist ja gerade das Prinzip von C2.
>Dass HW-Firewalls nicht gerade leicht upzudaten sind, ist kein großes Geheimnis, nur hat man bei einer HW-Firewall die Bugs wenigstens nicht auf dem Hostsystem
Zustimmung. Aber nur solange, wie die Bugs auch wirklich der Art sind, dass sie dem Angreifer zusätzliche rechte verschaffen würden. Wenn's nur darum geht, dass die FW ausfällt bzw. umgangen werden kann, ist da kein Unterschied.
>Warum muss man besch...eidene Software installieren, nur weil andere Lösungen in der Hinsicht auch Probeme haben?
Weil raubkopierte Software billigere als 'ne HWF ist... ähmm, wollte sagen, weil DTFs meist billiger sind und mehr können.
>Damit ich mir nicht einen Text ausdenken muss, in dem genau dasselbe steht: guckst du hier
Nochmal: Wie soll ein Programm etwas tunneln, wenn es überhaupt nicht auf's Netz zugreifen darf? Es kann höchstens Programmmodule oder Calls an andere Programme verwenden - und genau das ist ja die echte Sicherheitsverbesserung bei neueren DTFs, weil die genau solche Dinge prüfen. (Z.B. startet die RealPlayer den IE, um über einen HTTP-Request diverse Daten zu übertragen. Der IE selbst hat vollen Zugriff auf die HTTP-Ports. Aber unter der Voraussetzung, dass der IE vom RealPlayer gestartet wurde, ist dieser Zugriff erstmal vollständig weg: Man muss explizit diese Ports wieder freigeben, und zwar für den RealPlayer. Jedes gestartete Programm darf nämlich höchstens nur auf die Ports zugreifen, die für das Hostprogramm erlaubt waren. Genauso steht mit Modulen (aka DLL-Injection).
>Wenn man bei der Erzeugung einer .exe-Datei in die Versions-Informationen als Company "Microsoft Corporation" schreibt, stuft die Norton Personal Firewall alle Verbindungsversuche dieses Programms als "Low Risk" ein ("Trusted Company").
Erzähl das Symantec, nicht mir! Bei mir ist Microsoft genauso vertrauensunwürdig wie all anderen. Die Einschätzungen von NIS sind doch nur reine Mutmaßungen - einem jeden, der was von Mathematik und Programmlogik versteht, sollte klar sein, dass solche Einschätzungen einfach nur Mist sein können.
>1. Man installiert Sofware mit entdeckten und unentdeckten Lücken, um sich "vor möglichen und noch nicht entdeckten Lücken in deinem System zu schützen"?
Selbiges gilt doch auch für Hardware.
> Und das auch, obwohl sich diese Lücken fast alle einfach abschalten lassen?
Es geht ja gerade um die Lücken, die sich nicht abschalten lassen. NetBIOS ist ganz einfach deaktiviert, mit RPC kann man das nicht machen - weil Microsoft zu dämlich war, LPC und RPC so zu verknüpfen, dass auch nur LPC alleine funzt.
>Und beim einem sicherheitstechnischen Scheunentor wie P2P-Clients auf dem Rechner kann auch die beste Firewall nichts machen, eine bessere Möglichkeit zum virensaugen, und ausspionieren lassen gibt es nicht.
Genau deshalb gibt es doch zwei Firewalls: Die erstere ist das eigene Hirn. Sorry, aber wer Programme nicht direkt vom Hersteller runterlädt, der dann auch noch einen gewissen Bekanntheitsgrad haben sollte, ist auch für mich einfach nur ein Depp. JPEG-Bilder hingegen sind ja ungefährlich. Videos auch. Usw.
Und P2P-Software, die ich nicht eigenhändig disassembled habe bzw. deren Sourcen ich nicht durchschauen kann, kommt bei mir nicht drauf. Siehe Firewall "Eigenes Hirn".
Rika
