Welche Internet-Programme sollte eine Firewall kennen? |
||
---|---|---|
#0
| ||
25.10.2005, 20:48
Member
Beiträge: 39 |
||
|
||
26.10.2005, 16:55
Member
Beiträge: 890 |
#2
Hi Maxtor,
zwar kann ich dir nicht mit Namen von Anwendungen dienen, dafür aber mit meiner Meinung über dieses Thema. Zitat Maxtor posteteAlle. Das dürften etliche Tausend sein... Zitat Maxtor posteteBei allem Respekt für die exzellente AntiVirus-Engine von Kaspersky, ist die obige Ankündigung m.E. ein riesengroßer Unsinn, vermutlich mit dem Zweck somöglich vielen DAUs auch ihre mittelmäßige FW zu unterjubeln. Wenn's richtig an's Geld geht hört scheinbar bei alle Hersteller die Seriosität auf. Der Mittel heiligt ja bekanntlich den Zweck. Kaspersky täte gut daran erstmals eine gute FW seinen Kunden zu bieten. Da aber heutige Security Suites sowieso DAUs als Kundenstamm ansprechen, dürfte eine gute FW in naher Zukunft von Kaspersky nicht zu erwarten sein. Hauptsache die FW ist DAU-tauglich. Zitat Maxtor posteteWas hat denn das eine mit dem anderen zu tun? *kopfschüttel* Wird dann in Zukunft Kaspersky für DAUs auch tägliche Updates für tausende Programme bringen, die eine Versionsänderung erfahren haben? *staun* Zitat Maxtor posteteNa dann, viel Spaß für alle Anfänger... Zitat Maxtor posteteWie wäre es denn mit einer guten FW die alle ausführbare Dateien die eine Internetverbindung aufnehmen wollen verlässlich erkennt? Gruß Ajax |
|
|
||
26.10.2005, 19:56
Member
Themenstarter Beiträge: 39 |
#3
Hallo Ajax!
Weitreichende Urteile. Offensichtlich hast Du dir diese Beta noch nicht angeschaut. Für den 01.11.2005 ist die erste Public Beta geplant. Bis dahin würde ich an Deiner Stelle noch warten, zur Zeit gibt's noch vereinzelte Berichte über BSOD's. Aber dann würde mich mal interessieren, wie du KIS 2006 findest. Du hättest gerne eine gute Firewall, die auch alle ausgehenden Verbindungsversuche erkennt? Genau das ist in der mache. Und andere verdächtige Aktivitäten (Windows-Hook, Startup-Eintrag in der Registry, etc.) werden ebenfalls gemeldet - von Proactive Defense. Ein Problem dabei ist natürlich, legitime von verdächtiger Aktivität zu unterscheiden. Also sollen zumindest alle Windows-Bestandteile plus die gebräuchlichsten Internet-Programme bereits vorab bekannt sein. Tausende geht natürlich nicht. Aber den Ansatz, das "Grundrauschen" von Alerts über Firefox, etc. zu minimieren, damit die Leute wirklich hinschauen, wenn denn doch mal ein Alert kommt, den finde ich gut und richtig. Darüber hinaus sind verbreitete Programme auch die beliebtesten Ziele für Malware, die durch Code-Injection oder DLL-Injection versucht, unter deren unverdächtigem Namen nach draußen zu kommunizieren. Neben der verdächtigen Aktivität im Augenblick der Manipulation ist genaue Kenntnis der normalen Aktivitätsmuster verbreiteter Software ein möglicher Anhaltspunkt. Kommuniziert so ein Programm plötzlich mit Servern, mit denen es sich sonst nie verbindet? Werden Protokolle benutzt, die es normalerweise nicht verwendet? Dazu braucht man maßgeschneiderte Regeln für das betreffende Programm. Angesichts der rapide anschwellenden Flut von Malware ist es im Grunde viel einfacher, die damit verglichen wenigen, nur langsam mehr werdenden, "guten" Programme zu kennen. Und nur bei für diese unüblichen Aktivitäten Alarm zu schlagen. Bei der Installation obskurer Programme, die in der "Top-200" nicht enthalten sind kann dann auch gezielter nachgefragt werden, ob dies und das denn auch erwünscht ist. Kein Grund zum kopfschütteln. Last not least... Du scheinst die DAU's ja wirklich zu verachten. Die sind aber die Mehrheit. Lieschen Müller oder der Rentner von nebenan kann und will nicht so tief einsteigen wie Du. DAS sind aber die Leute, von denen Botnets, Phisher, Pharmer, etc. leben. Die brauchen eine Security Software, die eine hochkomplexe Aufgabe weitgehend ohne sie bewälitgt - oder die beste machbare Näherung daran. Klar, es wird immer unperfekt bleiben - aber viel besser als die früheren Versionen wird KIS 2006 allemal. Ich jedenfalls bereue keine Minute, die ich dafür in Form von Bugreports und Vorschlägen gespendet habe. Gruß, Maxtor |
|
|
||
26.10.2005, 23:49
Member
Beiträge: 890 |
#4
Hi Maxtor
Zitat Maxtor posteteEs gibt keine Security-Suite/Wollmilchsau die man mit gutem Gewissen empfehlen könnte, es sei denn man ist Redakteur bei einer Fachzeitschrift und wird dafür bezahlt Zitat Maxtor postetePersönlich brauche ich keine aber eine FW mit Application-Filtering sollte es doch können. Zitat Maxtor posteteWäre es für einen Anfänger nicht leichter als Proactive Defense nicht mit Root-Rechte am PC zu hanteln? Wie wird ein ahnungsloser Anfänger auf verschiedene Warnungen der FW übrigens reagieren (können) ? Zitat Maxtor posteteMit vorgefertigte Regeln? Mahlzeit Zitat Maxtor posteteSchade, ich wäre wirklich neugierig gewesen wie so eine FW mit tausende von vordefinierte Regeln arbeitet (200 sind ja auch schon lustig) Zitat Maxtor posteteWarum muß denn eine FW das Grundrauschen unbedingt durch Warnmeldungen veranschaulichen? Grundrauschen gibt es egal welchen Browser man verwendet. Den gibt es übrigens auch ohne gestarteten Browser Zitat Maxtor posteteWurde erst eine Malware auf den PC mit Root-Rechte ausgeführt dann kann es theoretisch auf Kernel-Ebene alles anrichten ohne erkannt zu werden. Zitat Maxtor posteteWird denn Kaspersky zwecks Analyse, alle Server mit denen Programme kommunizieren, in eine verschlüsselte Datenbank abspeichern? *grübel* Zitat Maxtor posteteJo und der arme DAU der es nicht rafft eine einfache Regel für seinen Browser zu erstellen wird nun mit diese Regeln konfruntiert... Übrigens sind die hier beschriebene Ansätze um in Zukunft auch Code-Injection zu erkennen sehr merkwürdig *hüstel* Zitat Maxtor posteteIch verachte ewige DAUs die daran glauben daß ein Stück Code gesunden Menschenverstand ersetzen kann. Außerdem verachte ich Softwarehersteller die diese Mentalität bewußt fördern und zusätzlich auch noch Panik machen. Zitat Maxtor posteteUnd natürlich auch die Hersteller diverser fragwürdiger Sicherheitssoftware Das wird sich auch in Zukunft nicht ändern. Zitat Maxtor posteteDiese Software wird es nie geben. Allerdings könnte man den User total entmündigen und ihn zum Super-DAU erziehen Anfänger brauchen nur ein paar elementare Grundregeln zu beachten. Man könnte diese Regeln an einer Hand aufzählen und sie sind einem jeden lesefähigen Anwender zumutbar !!! Zitat Maxtor posteteNa ja, wie verlässlich die frühere Kaspersky FW notfalls Schädlinge aufhalten könnte ist teilweise hier ersichtlich. Eine gewisse Steigerung wäre allemal drinnen Gruß Ajax Dieser Beitrag wurde am 26.10.2005 um 23:55 Uhr von Ajax editiert.
|
|
|
||
27.10.2005, 02:26
Member
Beiträge: 546 |
#5
Etwas Senf von mir dazu...
1.) Regeln outgoing, Presets div. (aller) PFWs Ich bekomme immer Sodbrennen, wenn ich mir die vorgefertigten Regeln der allseits bekannten FWs in Bezug auf Windows Software anschaue. Warum ist dem Browser nur erlaubt Kontakt mit URL:80, URL:1080 etc.pp. aufzunehmen? Warum darf ein Telnet-Client nur zur IP:23 verbinden? Warum darf ein Email-Client nur zu 25, 110 oder IMAP connecten? Wieso existiert eine Regel, die dem Newsreader nur erlaubt, sich zu Port 119 zu verbinden? (Weitere hirnlose Beispiele könnten nun ohne Ende fortgeführt werden) Solch ein Regelwerk ist absolut sinnfrei und trägt in keinster Weise zur Sicherheit bei. Was soll mit solchen Regeln verhindert werden und was wird letztendlich mit diesen Rulesets verhindert? Es existieren eigentlich nur 4 verschiedene Varianten für *ausgehenden* Verkehr, die durch eine PFW sinnig gehandelt werden können: a) Ich blocke das Programm komplett (kein I-Net Zugriff - (so es denn möglich ist)) b) Ich gebe dem Programm volle Zugriffsrechte für das Netz c) Das Programm darf ins Netz, jedoch nicht zu IP xxx.xxx.xxx.xxx oder FQDN blubber.de connecten. d) In Ausnahmefällen angebracht: Ich erlaube nur ein bestimmtes Protokoll Was für einen Sinn macht es also, irgendeinem Programm vollen Internet-Zugriff zu gewähren, aber um Himmels Willen diese 'Narrenfreiheit' nur auf den für dieses Programm üblichen Ports zu erlauben? Keinen, eben! Warum kann man nicht einfach Firefox vertrauen? Warum muss für Emule eine Regel erstellt werden? Dito für The Bat, JAP TOR, Update-Dienste von AV-Software usw.bla.blubb. Wenn ich nach solchen Standards den Browser konfiguriere, habe ich halt Pech wenn der URL in Form eines un- übliches Sockets angegeben wird. URL:1333 ist leider nicht abrufbar, Schade auch... Angst vor einem Blacklisting und/oder Phonehome scheiden als Argument komplett aus. Dieses wird nicht dadurch ver- hindert, indem man der Software generell Internetzugriff erlaubt, jedoch die Ziel-Ports beschneidet. Das wäre in etwa so effektiv, als wenn man mit der eigenen Frau ins Bordell geht. Sicherheitstechnisch fällt mir leider auch kein Argument ein, die dieses Prozedere stützen könnte. Entweder ich vertraue einem Programm oder ich tue dies nicht bzw. nur eingeschränkt. Wenn letzteres zutrifft, sollte man sich besser überlegen, sich von diesem Programm zu trennen und nach Alternativen Ausschau halten. Ergo: Ich pers. halte nicht viel von diesen vorgefertigten Regeln wie sie derzeit publiziert werden. Ich wäre sehr positiv und angenehm überrascht, wenn sich Kaspersky bspw. bei bekannten Programmen dazu überwinden könnte, diese schlicht und einfach als vertrauenswürdig einzustufen: Allow outgoing all....Punkt. 2.) Erkennen *sämtlicher* ausgehenden Verbindungen und verhindern selbiger Maxtor schrieb: Zitat Ich mache dort unentgeltlich als Beta-Tester mit[..]Sorry, das bezweifele ich stark. Nein, nicht das du Beta-Tester bist, sondern das die Final in der Lage sein wird, *jede* ausgehende Verbindung zu entdecken, zu melden und auf Wunsch zu verhindern. Sollte ich mich irren, mache ich einen Kniefall und zolle Kasperksy maximum Respect! Da du ja testest, checke doch mal http://www.dingens.org/breakout.exe Und...wurde die Beta getunnelt? Insgesamt gesehen bin ich, wie Ajax, generell erst einmal skeptisch. Ich erwarte von Kasperksy prinzipiell vorab keinen Quantensprung. Erkennung von DLL-Injection, Code-Manipulation etc.pp. wäre an sich auch keine Neuerung, zumindest Konkurrenz-Produkte haben sich dieses Feature seit längerem auch auf ihre Fahne geschrieben. Trotzdem wünsche ich natürlich happy testing! Gruß, Sepia |
|
|
||
27.10.2005, 20:23
Member
Themenstarter Beiträge: 39 |
#6
Stellen wir die Diskussion um den Sinngehalt von Firewall-Regeln mal einen Augenblick zurück...
Sepia, Du hast aber einige Leute ganz schön zum schwitzen gebracht! Guck mal hier: http://forum.kaspersky.com/index.php?showtopic=5658&pid=33454&st=0entry33454 Was mich wirklich enttäuscht ist, daß Kaspersky Breakout.exe ganz einfach zu einem Trojaner erklärt hat. Seit heute Nachmittag verweigern Kaspersky, F-Secure, usw. jeden Zugriff auf diesen "Trojaner" - weil sie ihn per Signatur erkennen. Da muß sogar ich als Kaspersky-Enthusiast sagen: schwaches Bild! Das Demo-Programm per Signatur erkennen - aber nicht die zugrundeliegende Methode. Das deutet darauf hin, daß letzteres nicht so einfach ist. Und daß dingens.org mit ihrer Kernaussage denen offenbar nicht genehm ist. (Der Typ der Breakout als Trojaner eingestuft hat, hat übrigens mit Adresse und e-mail gepostet...) Tester haben dort drüben auch gefragt, wieviel sich auf die Tour tatsächlich bewirken läßt. Also: könnten weniger nette Abkömmlinge von Breakout.exe auch nicht-sichtbare Browser-Fenster öffnen, oder code nachladen und starten? Kaspersky schweigt sich dazu aus - dann sagt Ihr doch mal was. Einen Screenshot von dem Sourcecode gibt es übrigens hier: http://forum.kaspersky.com/index.php?showtopic=5658&view=findpost&p=33362 Gruß, Maxtor |
|
|
||
27.10.2005, 22:04
Member
Beiträge: 890 |
#7
Zitat Maxtor posteteEs ist nicht das erste Mal daß Kaspersky Unsinniges in seiner Signaturendatenbank aufnimmt nur um bei DAUs zu beeindrucken. Langjährigen Benutzer ihrer AV stößt das bitter auf. Mir persönlich auch. Als ich die Seriosität von Kaspersky bemängelte bezog ich mich auf dieses Gebaren. Die gute Unpacking-Engine von KAV ist der einzige Grund weshalb ich noch die Software auf dem Rechner habe... Allerdings ist es die v3.5. Die DAU-übliche überladene graphische Oberfläche späterer Versionen waren für mich schon ein mahnendes Vorzeichen... Ich frage mich ob mit Eugene eine Ära seinem Ende naht. Seine Tochter Natalya mag gut im Marketting sein aber das war's dann auch schon. Da fallen mir spontan Paralelle zum guten alten Hr. Norton ein... Über KIS oder die Kaspersky FW sage ich jetzt besser nichts... Immerhin könnte es sein daß Kaspersky die erste FW baut, welche .DLL- und Code-Injection per Signaturen aufdeckt. Ein Weltnovum in der Security-Branche Natalya weis aber was die alten Römer auch schon wußten, Pecunia non olet Gruß Ajax |
|
|
||
27.10.2005, 22:55
Member
Beiträge: 546 |
#8
Maxtor schrieb:
Zitat Was mich wirklich enttäuscht ist, daß Kaspersky Breakout.exe ganz einfach zu einem Trojaner erklärt hat.I don't understand chinese, so chinese must be evil! Getreu diesem Motto scheint Kaspersky gehandelt zu haben. Ich sehe das wie du...ein Armutszeugnis. Mit einem solchem Gebahren disqualifizieren sie sich selbst. Wenn sie sich Mühe gegeben hätten, hätten sie den Source Code finden, downloaden und analysieren können: http://www.dingens.org/breakout.c Ob du es glaubst oder nicht, nachdem och heute früh obiges Posting auf die Reise geschickt hatte, meinte mein alter Ego Nostradamus, "sie (Kaspersky) werden doch wohl nicht einfach die Exe blocken?" Ich finde es übrigens spitze, dass du die Sache sehr objektiv angehst! Zitat Tester haben dort drüben auch gefragt, wieviel sich auf die Tour tatsächlich bewirken läßt. Also: könnten weniger nette Abkömmlinge von Breakout.exe auch nicht-sichtbare Browser-Fenster öffnen, oder code nachladen und starten? Kaspersky schweigt sich dazu aus - dann sagt Ihr doch mal was.Ja, das wäre möglich. Vorab: Bevor jetzt jemand von Kaspersky oder den anderen Beta-Testern auf die Idee kommen könnte, Breakout wäre 'IE only', hier die Version für Firefox: http://www.dingens.org/breakout-mozilla-firefox.exe (Source: http://www.dingens.org/breakout-mozilla-firefox.c) Breakout selbst ist das Programm, welches der CCC im Rahmen ihrer Dokumentation über Personal Firewalls verwendete, um *jede* erhältliche PF zu tunneln. Mehr zum Thema bzw. den gesamten Vortrag als Video Mitschnitt erhälst du auf http://ulm.ccc.de/chaos-seminar/personal-firewalls/recording.html Ajax postete: Zitat Da fallen mir spontan Paralelle zum guten alten Hr. Norton ein...Aber sowas von FACK! Gruß, Sepia |
|
|
||
28.10.2005, 09:05
Member
Beiträge: 3306 |
#9
Ich frage mich wie die ihre Signatur aufbauen um dieses supersimple Programm sicher erkennen zu wollen. Der Code besteht im wesentlichen ja nur aus FindWindowEx und Post/SendMessage Aufrufen. Sowas findet sich in zig anderen Programmen zu Hauf. Es ist supersimpel selbst für jemanden der sonst nicht viel Ahnung vom Programmieren hat das Programm ein bisschen zu modifizieren und schwups findet KAV das nicht mehr.
Das eigentliche Problem liegt natürlich bei Windows und seiner Art wie Anwendungen miteinander kommunizieren. Siehe dazu auch: http://security.tombom.co.uk/shatter.html http://www.heise.de/newsticker/meldung/63668 Auch wenn sich die Programmierer bei Kaspersky auf den Kopf stellen und mit den Ohren schlackern werden sie keine Designschwächen in Windows beheben können. Das wissen die auch, deswegen versuchen sie es gar nicht erst. Die einzige echte Möglichkeit so etwas zu verhindern ist das "böse" Programm erst gar nicht starten zu lassen und genau das machen sie. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. Dieser Beitrag wurde am 28.10.2005 um 09:08 Uhr von asdrubael editiert.
|
|
|
||
28.10.2005, 12:32
Member
Beiträge: 1122 |
#10
Zitat asdrubael posteteJo, aber ich denke die haben einfach zur Signatur noch die Größe des Files hinzugefügt.... Das Ganze soll einfach dazu diehnen die Daus im Forum zu beruhigen. MFG DAFRA |
|
|
||
28.10.2005, 13:00
Member
Beiträge: 19 |
#11
Lol, da drüben ist jetzt richtig was los!
Und hier ist Kaspersky's Kapitulationserklärung: http://forum.kaspersky.com/index.php?showtopic=5658&view=findpost&p=33711 Zitat Sorry, but we can not do anything with it - only signatures.Es wird aber noch putziger: Ich hab' mir dieses breakout mal runtergeladen, dann kam diese tolle Signatur raus - und F-Secure konnte diesen Trojaner nicht desinfizieren!! Er verweigerte jeden Zugriff darauf - auch sich selbst. Ich mußte das Ding im abgesicherten Modus löschen, damit die Alarme aufhörten. Selten so gelacht! Orpheus P.S.: Was heißt eigentlich MPx? |
|
|
||
28.10.2005, 13:39
Member
Beiträge: 3306 |
#12
Ja und auch dort gab es jetzt die schöne Erkenntnis.
Zitat It is impossible to block this attack without patching Windows itself. The reason for this is, that as soons as the victim starts a malware, this malware can do everything the user can. For a target program there is no reliable way to distinguish if the window messages were send by the system because of user interaction or by the malware.Und das die Malware "nur" alles kann was der User kann ist dabei auch nichtmal richtig siehe die Links oben. Der eigentliche Schluss müsste also lauten "It is impossible to secure Windows". Aber das würde der Vertriebsabteilung gar nicht gefallen __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
||
28.10.2005, 13:49
Member
Beiträge: 1122 |
||
|
||
28.10.2005, 21:29
Member
Themenstarter Beiträge: 39 |
#14
Leute,
vielen Dank noch für die Auskünfte! Das ursprüngliche Thema hat sich erledigt. War ein Spaß zuzusehen, wie copton da drüben mal ein paar Dinge klargestellt hat. Kaspersky hüllt sich seit der "Kapitulation" in eisiges Schweigen. @Asdrubael: Das Zitat stammt denn auch nicht von Kaspersky - copton vom CCC hat das dort zum Vortrag gebracht. Viele Grüße, Maxtor |
|
|
||
Hier soll's um folgendes gehen: Kaspersky will für seine nächste Firewall Regeln für die gebräuchlichsten Programme mitliefern, die Verbindung mit dem Internet aufnehmen.
Gedacht ist an ca. 200 (!). Ich mache dort unentgeltlich als Beta-Tester mit, und wollte Euch mal fragen, welche Programme eurer Ansicht nach da rein gehören. Die Vorteile sind klar:
* Das Teil wird nicht mehr pausenlos nachfragen, wenn jemand nur per Firefox surfen geht.
* Andererseits kennt es z.B. die Gewohnheiten des Online-Updaters von Bitdefender Free Edition schon heute sehr genau. Wenn sich da plötzlich was ändert (Code-Injection, o.ä.), dann wird es nachfragen. (Sowas zu tun ohne Alarmstufe Rot auszulösen, wird übrigens auch nicht mehr so einfach sein wie früher.) Und es wird dafür Updates geben. (Ist im Grunde viel einfacher, als die 10.000 neuen Malware-Programme pro Monat im Auge zu behalten.)
* Grade Anfänger werden dadurch entlastet. Die denken ja nach kurzer Zeit nur: "Ach diese verdammte Firewall schon wieder!", und klicken entnervt "Allow All" ohne zu lesen.
Also: her mit Euren Wunschlisten! Benennt einfach Programme - aber bitte mit Download-Link. Oder wenigstens die Homepage des Herstellers. Das folgende braucht Ihr übrigens NICHT zu benennen, weil es bereits abgedeckt ist:
* Alle Windows-Bestandteile (einschl. Updater, IE, Outlook Express, Media Player)
* Alle Office-Bestandteile
* MS-Antispyware
* Bitdefender Free Edition
* Nero
* Mozilla Firefox
* Mozilla Thunderbird
* Opera
* Diamond-CS Port Explorer
Die Auswahl ist stark mitgeprägt von dem was die Beta-Tester hatten. Mehr ist in der Mache, aber bis 200 ist noch viel, viel Luft.
Also nochmals - was darf's denn sein?
Maxtor
P.S.: Wer direkt mitmachen will, Forum hier... http://forum.kaspersky.com/index.php?showforum=16 ,
... und zu Firewall-Regeln bitte hier: http://forum.kaspersky.com/index.php?s=f68be6abc86c221fefc6a7ec180d40f2&showtopic=4293