ClamWin - wie sicher ist dieser Scanner
Ackermann
ich habe momentan große Probleme mit Antivir, leider hatte mein
Umstieg auf Kaspersky ebenfalls dutzende Fehler mit sich gebracht. Da
ich keine Lust und Zeit habe, mich ewig lange mit Scannern zu
beschäftigen und noch mehr Geld auszugeben, habe ich Clam Win
ausprobiert, was sich als sehr gut erwies.
Da der Scanner keinen On Access Wächter hat, muss man normal on demand
scannen, halte ich nicht für so problematisch, da ich Opera nutze und
meine Mails mit einem Tool auf dem Server lösche.
Ich bin seit Jahren (auch mit Scanner) virenfrei geblieben. Doch wie
sieht es im Zweifel mit der Erkennungsrate von Clam aus?
Der Scanner benötigt ausserdem EXTREM lange, um miene HDDs zu scannen,
ist das normal? 15 Gigabyte brauchen circa 60 Minuten
Pascal B. Kreil
wrote:
>ich habe momentan große Probleme mit Antivir, leider hatte mein
>Umstieg auf Kaspersky ebenfalls dutzende Fehler mit sich gebracht. Da
Kannst Du das etwas genauer ausführen? Was für Fehler hat das
gebracht?
>ich keine Lust und Zeit habe, mich ewig lange mit Scannern zu
>beschäftigen und noch mehr Geld auszugeben, habe ich Clam Win
<http://www.av-comparatives.org> gibt einen sehr guten Überblick über
die Scanleistungen.
>Ich bin seit Jahren (auch mit Scanner) virenfrei geblieben. Doch wie
>sieht es im Zweifel mit der Erkennungsrate von Clam aus?
Die Aktualisierungen kommen relativ zuverlässig. Heise hat im letzten
c't-Test allerdings immer noch von Clam abgeraten. Die
Erkennungsleistung insgesamt hinkt noch stark hinter kommerziellen
Lösungen der Oberklasse hinterher, wenngleich der Abstand offenbar
verringert wird.
>Der Scanner benötigt ausserdem EXTREM lange, um miene HDDs zu scannen,
>ist das normal? 15 Gigabyte brauchen circa 60 Minuten
Das kann schon hinkommen. Wenn der jede Datei anfassen und prüfen
muss, dann dauert das schon seine Zeit.
Bis denne,
Pascal
Hilmar Steinhauer
> Hallo,
>
> ich habe momentan große Probleme mit Antivir, leider hatte mein
> Umstieg auf Kaspersky ebenfalls dutzende Fehler mit sich gebracht. Da
> ich keine Lust und Zeit habe, mich ewig lange mit Scannern zu
> beschäftigen und noch mehr Geld auszugeben, habe ich Clam Win
> ausprobiert, was sich als sehr gut erwies.
>
> Da der Scanner keinen On Access Wächter hat, muss man normal on demand
> scannen, halte ich nicht für so problematisch, da ich Opera nutze und
> meine Mails mit einem Tool auf dem Server lösche.
>
> Ich bin seit Jahren (auch mit Scanner) virenfrei geblieben. Doch wie
> sieht es im Zweifel mit der Erkennungsrate von Clam aus?
Nicht so prickelnd.
Der ab morgen für ein Jahr kostenlos erhältliche Bitdefender 8 schneidet
wesentlich besser ab. Ab 02/2007 kostet für die V8 ein Jahresabo für
Signaturupdates ~ 18 Euro.
Gruß,
Hilmar
Roy Coorne
...
> Der ab morgen für ein Jahr kostenlos erhältliche Bitdefender 8 schneidet
> wesentlich besser ab. Ab 02/2007 kostet für die V8 ein Jahresabo für
> Signaturupdates ~ 18 Euro.
BitDefender 8 ist kostenlos (mit Updates für ein Jahr) nur morgen
herunterladbar:
<http://www.bitdefender.de/24free/>
Roy
--
This posting is provided "AS IS" with no warranties, and confers no
rights.
Ackermann
Mein Problem ist folgendes gewesen mit Kaspersky:
Ich habe es installiert, geupdatet und so weiter, danach hatte ich
viele Fehler im Ereignisprotokoll von Windows 2000 SP4
Userenv:
Wurde definitiv verursacht von Kaspersky: Und zwar konnte der PC nicht
ordnungsgemäss heruntergefahren werden, was man schon merkte, dass es
wirklich ewig dauerte, Kaspersky empfahl das Installieren dutzender von
Patches, die einige Fehler beseitigten, dafür kamen neue. Und solch
ein Geflicke ist nicht mein Ding, auch wenn ich knapp 30 Euro für
diese Software gelöhnt habe. Schade.
Dann hatte ich jedesmal, wenn ich eine CD oder DVD im Laufwerk hatte,
ein extremes Problem - mindestens 40 bis 60 Einträge im
Ereignisprotokoll, Warnungen und Fehler, dass die CD Auslagerungsdatei
nicht erstellt werden konnte, dass ATAPI innerhalb der Fehlerzeit nicht
geantwortet hat.
Zu guter letzt hatte ich einen Blue Screen, ich muss dazu sagen, dass
ich mit Windows 2000 bis dato mit Antivir 3 Jahre stabil gefahren bin.
Antivir hatte ich runtergeschmissen, weil ich zuverlässigere Updates
brauchte. ClamWin funktioniert bei mir zuverlässig. E-Mail Viren
bekomme ich keine, da ich nur Text Mails abrufe, der Rest wird mit
einem speziellen Tool auf dem Server gelöscht, all dieses brauche ich
nicht.
Die Trial von Kaspersky hatte sehr gut funktioniert. Die Vollversion
überhaupt nicht mehr, der Support ist auch am Ende mit seinem Latein.
Bitdefender ist in Ordnung, darüber werde ich nachdenken. NOD32, was
in Heise ja auch nächste Woche anbei sein wird, funktioniert gut,
verursacht jedoch bei mir ebenfalls Fehler der Art, dass, wenn ich cd
CD Laufwerk scanne, einfach wieder Fehler kommen á la
"Auslagerungsdateien konnten nicht erstellt werden" oder so ähnlich
mit Event ID 51 und mit Event ID 9.
Was ich nicht mag, ist diese Patcherei mit Spezial Tools, die irgend
ein Bug fixen, den der Virenhersteller selbst nicht in der Lage ist,
durch ein Update zu beseitigen, dann kommt dadurch ein neuer und das
nimmt kein ENde.
Am Ende hatte mein Ereignisprotokoll nach jedem Starten und Beenden
circa 100 Warnungen und Meldungen. Kaspersky meinte, ich müsse das
einfach so hinnehmen. Ich dagegen meine: Nein das muss man nicht, zumal
ich zuvor nie einein einigen Fehler hatte.
Karlheinz Schmidthaus
>
> Da der Scanner keinen On Access Wächter hat, muss man normal on demand
> scannen, halte ich nicht für so problematisch, da ich Opera nutze und
> meine Mails mit einem Tool auf dem Server lösche.
Aus meiner Sicht würde ich keinen Virenscanner ohne On Access scanner
einsetzen da nur dieser zeitnah reagiert - beispielsweise bei
unbekannten Packertypen nach dem programminternen auspacken wenn der
Virus versucht aktiv zu werden.
MfG
Karlheinz
Benjamin Grund
> Aus meiner Sicht würde ich keinen Virenscanner ohne On Access scanner
> einsetzen da nur dieser zeitnah reagiert - beispielsweise bei
> unbekannten Packertypen nach dem programminternen auspacken wenn der
> Virus versucht aktiv zu werden.
Sinnvoller wäre es wohl, einfach das Hirn einzuschalten, denn dann
braucht man keinen zeitnah reagierenden On-Access-Scanner. Fragwürdige
Dateien gelangen schließlich nicht einfach so auf den Rechner, von daher
kann man die vor dem Öffnen problemlos auch von Hand überprüfen.
Gruß,
Benjamin
Ackermann
ClamWin bzw. ClamAV sind natürlich keine kommerziellen Produkte. Dazu
fehlt das schöne Klicki-Bunti Interface, viele Features die meiner
Meinung nach - auch wenn ich Kaspersky einsetzen würde, wenns
problemlos laufen würde - absolute Augenwischerei sind.
Sieht man sich mal folgende Statistiken an (jaja, traue keiner
Statistik, die du nicht selbst gefälscht ....), so geht es ja heute
mehr um Würmer und Trojaner, die sich in Windeseile verbreiten und
topaktuell sind, weniger um uralte Dateiviren, die man kaum noch durch
die Gegend schickt bzw. die sich nur durch den User aktiv selbst
verbreiten und keine eigenen Outlook Routinen verwenden oder gar
Sicherheitslöcher in Win ausnutzen, können Viren so in dieser Form ja
garnicht.
Schaut man sich also die Implementierung aktueller Würmer und Co an,
so ist ClamAV trotz oder gerade aufgrund OpenSource wirklich kaum zu
toppen. Vielleicht liegt es daran, dass sich die Macher auf das
Wesentliche konzentrieren, keine Klick-Bunt Oberflächenfehler
ausbügeln müssen, statt dessen lieber die VDFs aktuell halten - die
sind teils aktueller (und vor allem erreichbarer) als Antivir's VDFs
Hier mal ein paar Zahlen:
*****************
Sober.L: Reaktionszeiten der Antiviren-Hersteller
http://www.pcwelt.de/news/sicherheit/111012/index2.html
ClamAV beinhaltet als erster eine offizielle eigene Signatur (keine
Heuristikerkennung)
*****************
Mydoom.BB.
http://www.pcwelt.de/news/sicherheit/107859/
"Bei den Produkten, die ein Update benötigen, reagierten als erstes
die Macher des Open-Source-Scanners Clam-AV , danach folgte ein Update
von Sophos und auf Platz drei folgt Trend Micro ."
****************
Vergleich AV-Reaktionszeiten Sober.p
http://www.pcwelt.de/news/sicherheit/111012/index2.html
ClamAV beinhaltet als erster eine offizielle eigene Signatur
****************
Update-Frequenzen von Virenscannern - ein Vergleich
http://www.pcwelt.de/news/sicherheit/107774/
Reihenfolge:
Kaspersky
Dr. Web
Sophos
Bitdefender
ClamAV
AntiVir
F-Secure
***************
Bozari-A
http://www.pcwelt.de/news/sicherheit/118264/index2.html
Nur knapp zwei Stunden nach dem ersten AV Hersteller (Kaspersky)
erkannte ClamAV den Schädling
**************
Win32/Zotob.B
http://www.pcwelt.de/news/sicherheit/118264/index3.html
ClamAV erkannte ihn via Heurisitik
Wieso Clam ausgerechnet bei Heise.de ständig nicht in die Wertung
kommt, wundert mich - Heise - sonst doch recht objektiv testet hier
teils scheinbar mit uralten Viren, die keinerlei Anwendung mehr finden.
Diese Viren werden von Clam nicht alle erkannt.
Dabei handelt es sich um Dateiviren, die früher DOS PCs angegriffen
haben und sich mühevoll über 3,5 Zoll Disketten verbreiteten.
Meiner Ansicht nach sind heute wesentlich wichtigere
Sicherheitskonzepte anzubringen, als nur ein Kaspersky Virenscanner -
der nicht schlecht ist, aber dem User ncht das Denken abnimmt.
Vorteil von Clam - wohl kaum ein Virenschreiber wird sich die Mühe
machen, von diesem Scanner die VDFs auszuhebeln - Kaspersky hatte das
schonmal erlebt
Hilmar Steinhauer
> Hilmar Steinhauer wrote:
> ...
>> Der ab morgen für ein Jahr kostenlos erhältliche Bitdefender 8 schneidet
>> wesentlich besser ab. Ab 02/2007 kostet für die V8 ein Jahresabo für
>> Signaturupdates ~ 18 Euro.
>
> BitDefender 8 ist kostenlos (mit Updates für ein Jahr) nur morgen
> herunterladbar:
> <http://www.bitdefender.de/24free/>
Genau das schrieb ich doch.
Gruß,
Hilmar
Christian Hoeller
> Roy Coorne schrieb:
>
>> Hilmar Steinhauer wrote:
>> ...
>>> Der ab morgen für ein Jahr kostenlos erhältliche Bitdefender 8 schneidet
>>> wesentlich besser ab. Ab 02/2007 kostet für die V8 ein Jahresabo für
>>> Signaturupdates ~ 18 Euro.
>>
>> BitDefender 8 ist kostenlos (mit Updates für ein Jahr) nur morgen
Abgesehen davon, daß ich nicht weiß, ob es eine 1-jahres Bitdefender 8
Lizenz _ab_ morgen oder _nur_ morgen kostenlos gibt ... _Genau das_
schriebst Du nicht.
:zy3
--
(o_ Christian Hoeller (aka zy3)
(o< _o) (o_ //\ ----------------------------
(/)_ (/)_ (/)_ V_/_ http://www.linux-drivers.org
Pascal B. Kreil
wrote:
>Ich habe es installiert, geupdatet und so weiter, danach hatte ich
>viele Fehler im Ereignisprotokoll von Windows 2000 SP4
>
>Userenv:
>
>Wurde definitiv verursacht von Kaspersky: Und zwar konnte der PC nicht
Ja, das kann ich bestätigen. Abmeldevorgänge dauern signifikant länger
und resultieren in den meisten Fällen in einem userenv-Warnung.
Unabhängig ob man die Personal- oder die Pro-Version einsetzt.
Der Fehler ist bekannt, auch bei Kaspersky, allerdings ist man
entweder nicht gewillt oder befähigt dieses selbstbackene Problem zu
lösen.
>Die Trial von Kaspersky hatte sehr gut funktioniert. Die Vollversion
>überhaupt nicht mehr, der Support ist auch am Ende mit seinem Latein.
Der Support ist sehr schnell am Ende und auch nur in den seltensten
Fällen wirklich in der Lage bei Problemen die über einfache
Setup-Fragen hinausgehen zu helfen.
So gibt es seit der 5er-Version von Kaspersky das Problem, dass es
sämtliche Pipes blockiert und somit bspw. eine Remote-Console unter
Windows nicht mehr genutzt werden kann. Alle wissen von dem Problem.
Microsoft, der Hersteller der Fernwartungssoft und so weiter. Nur bei
Kaspersky weist man jede Schuld von sich.
In der 4er-Version reichte es zur Behebung des Problems einfach den
Netzwerkscan zu deaktivieren, das hilft bei der 5er alles nicht mehr.
>Bitdefender ist in Ordnung, darüber werde ich nachdenken. NOD32, was
>in Heise ja auch nächste Woche anbei sein wird, funktioniert gut,
>verursacht jedoch bei mir ebenfalls Fehler der Art, dass, wenn ich cd
>CD Laufwerk scanne, einfach wieder Fehler kommen á la
>"Auslagerungsdateien konnten nicht erstellt werden" oder so ähnlich
>mit Event ID 51 und mit Event ID 9.
Das halte ich eher für ein lokales Problem, denn das tritt schonmal
auf, ist dann aber oft ein Problem des Treibers, der IDE-Bridge oder
des Mediums.
Taucht das wirklich *nur* bei einem Scan auf, oder gibt es den Fehler
auch bei anderen lastintensiven Lesezugriffen aufs CD-ROM?
>Was ich nicht mag, ist diese Patcherei mit Spezial Tools, die irgend
>ein Bug fixen, den der Virenhersteller selbst nicht in der Lage ist,
Neee, das ist ziemlicher Kappes und sorgt durch reines "Symptome
flicken" an anderer Stelle des Systems zwangsweise wieder für Stress.
>Am Ende hatte mein Ereignisprotokoll nach jedem Starten und Beenden
>circa 100 Warnungen und Meldungen. Kaspersky meinte, ich müsse das
>einfach so hinnehmen. Ich dagegen meine: Nein das muss man nicht, zumal
Ja, damit sind die schnell dabei -- das kenn' ich schon zu genüge.
Bis denne,
Pascal
Ackermann
freut mich von dir zu lesen, dass ich nicht der einzige bin, der diesen
Eindruck von Kaspersky gewonnen hat.
Ich habe mit dem Support (bzw. er mit mir) per E-Mail wieder Kontakt
aufgenommen. Herausgekommen ist nicht wirklich etwas produktives.
Bis auf, dass ich versuchen soll, die 6er Version zu probieren.
Abgesehen davon, dass mir deren Bedienoberfläche nicht gefällt,
verursacht diese bei mir nicht nur Einträge im Protokoll, sondern
heftige Blue Screens.
Es hängt definitiv mit meinem DVD Player/Brenner zusammen.
Zwar habe ich Nero und alles, was mit DVD zu tun hat,
runtergeschmissen, dennoch kann man wunderschön beobachten: Ich lege
eine CD ein oder DVD, (ohne Kratzer und Lesefehler).
Irgendwann greift Kaspersky dann auf diese DVD/CD zu im Echtzeitscan
und es kommt zum Blue Screen. Bei meinem 2. Rechner mit vollkommen
anderer Konfiguration läuft das absolut genauso ab. Im Protokoll kann
man dann, wenn man es schafft, den Rechner wieder hochzufahren,
nachschauen, man sieht dann
ATAPI FEHLER 10:00:05
ATAPI FEHLER 10:00:11
SAVE DUMP 10:00:15
Immer das gleiche LIed.
Kaspersky's Lösung: Nehmen Sie das CD Laufwerk aus allen Scans raus,
nehmen sie die Netzwerküberwachung raus und schalten Sie die
Untersuchung von Bootlaufwerken aus, deinstallieren Sie Nero,
deinstallieren Sie den LG DVD Player, mit dem Sie DVDs abspielen.
Na, wenn das mal nicht eine super Lösung ist, 10000 Kompromisse, um
eine Software zum Laufen zu bekommen. Ich habe es natürlich versucht,
spasseshalber. Die Fehler im Protokoll blieben dennoch, zum Bluescreen
kam es natürlich nicht, da das CD Laufwerk ignoriert wurde.
Dazu fällt mir wenig ein. Da kauft man sich eine Sicherheitssoftware,
die einem anpreist, dass man mit ihr keine Löcher mehr im System hat
und am Ende muss man die Software so öffnen, dass das System doch
wieder löchrig wie schweizer Käse ist.
Da das für mich kein Kompromiss ist und ich nicht verstehe, wieso in
Version 6 Kaspersky NOCH tiefer ins NTFS Dateisystem eingreift, was zu
noch mehr Fehlern (Rootkit Technik) führen kann, statt sich um die
alten Probleme endlich zu bemühen.
Kaspersky behauptete, ich sei einer der wenigen Kunden, der solche
Probleme habe.
Ein Bekannter nutzt Kaspersky ebenfalls, aufmerksam wurde er durch
PCWelt, er ist begeistert. Ich habe mir sein Systemprotokoll angesehen,
nach dem Hochfahren 40 Fehler bezüglich CD ROM, bei eingelegter DVD
kommt es nochmal zu so vielen Fehlern....daneben zig userenv.
Ich bin der Meinung, viele unbedarfte User schauen eben einfach nicht
im Hintergrund nach, nehmen Abstürze eben hin - für eine recht teure
Software bin ich dazu nicht gewillt.
Ich bin jetzt umgestiegen, mit NOD32 habe ich diese Probleme nicht,
mein Key von Kaspersky endet zwar genau in einem Jahr erst, aber ich
verbuche es als Lehrgeld.
Ich frage mich ohnehin, wie Kaspersky sich das vorstellt, dass ich
tagelang Experimente starte, ständig mein System neu aufsetze und Zig
Zusatzsoftware downloade, von allen möglichen Ecken, am Ende war ich
soweit, dass ich 40 MB an MS Tools gezogen habe, ich habe ISDN - die
Kosten, die dieses Kaspersky bei mir mit sich bringt, sind höher als
der Nutzen je hätte sein können.
Da ich vorher mit Antivir unterwegs war, die aber aufgrund ihrem
Debakel nicht mehr nutze, werde ich entweder bei NOD bleiben oder zu
Avast wechseln, wenns kostenfrei sein soll.
Gruss Karl Ackermann
Roy Coorne
Also ich glaube unbeirrt an die trias sancta
- saubere Konfiguration (firewall on, mails text only etc.),
- Virenscanner (mit automatischem updating wie bei Avast 4.6 oder
Kaspersky 5)
- und Brain 1.0...
Roy
--
This posting is provided "as is" with no warranties,
and confers no rights.
Benjamin Grund
> Also ich glaube unbeirrt an die trias sancta
> - saubere Konfiguration (firewall on, mails text only etc.),
> - Virenscanner (mit automatischem updating wie bei Avast 4.6 oder
> Kaspersky 5)
> - und Brain 1.0...
Es spricht ja nichts gegen einen Virenscanner, aber gerade in Verbindung
mit einer sauberen Konfiguration und Brain 1.0 braucht man keinen
ständig im Hintergrund laufenden und ressourcenfressenden Scanner. Ein
On-Demand-Scanner wie z.B. BitDefender reicht da völlig aus und bremst
im Gegensatz zu einem On-Access-Scanner wie z.B. Avast das System auch
nicht aus.
Gruß,
Benjamin
Ackermann
so sauberes Ergebnisprotokoll gehabt und selten eine so hohe
Performance erlebt.
Windows 2000
Service Pack 4
alle Sicherheitspatches (hab ich mir mal auf CD gebrannt) bis Februar
06 von M$
Dienste entsprechend eingestellt
Firewall (um Programme am "rausgehen" zu hindern)
Opera Browser 8.51 (die 8.52 ist mir zu instabil)
ClamWIN
Ich werde mir NIE wieder einen On access Scanner draufhauen, der meine
Resourcen frisst.
Volker Birk
> Firewall (um Programme am "rausgehen" zu hindern)
Wie meinen?
Viele Grüße,
VB.
--
> My windows XP is updated for all critical updates including survive pack 2.
Norman Perry in c.s.f
Ackermann
Volker Birk schrieb:
Alles muss bei mir nicht unbedingt ins Netz connecten. Um es sanft zu
sagen: Von Firewalls wie Zone Alarm halte ich garnichts. Eine Firewall
muss sich gescheit konfigurieren lassen.
Beispielsweise hab ich keine Lust, dass ständig irgendwelche Programme
nach hause telefonieren und mir mit ISDN meine sowieso schon knappe
Netz-Performance rauben.
Entgegen vielen selbsternannten Experten, die behaupten, Firewalls
seien total für die Füsse - helfen Firewalls durchaus, eben nur
dann, wenn man weiss, wie man die Filtern und Regeln richtig einstellt.
Ansonsten ist es natürlich witzlos, wenn einem Klicki Bunti Programme
wie ZA alle 3 Sekunden melden, wer einen alles anpingt.
Ein gepatchtes System ist dennoch empfehlenswert, aber ....
auch wenn ich kein Freund von so etwas bin und selbst NIEMALS anwenden
würde:
Mein Testsystem blieb frei vom Sasser und Blaster, selbst nach 3
stündigem Netzaufenthalt mit Windows 2000 SP4, danach kein Patch mehr,
alle Dienste so, wie im W2K Auslieferungszustand, keine Firewall und
nichts. Die Ports waren laut Portscannern jedoch offen. Vielleicht war
es Glück - vielleicht Zufalle, Knoppix fand keinen Wurm, dabei hatte
ich mir mal einen gewünscht, um etwas zu testen. Aber es hat nicht
sollen sein, Bekannte dagegen sind nur Sekunden im netz und sogleich
befallen, im Gegensatz zu mir mit meinem Testsystem allerdings
unfreiwillig :-)
Auch interessant:
Windows 2000 SP4, ohne weitere Patches, nur mit einer richtig
konfigurierten Firewall hat einem Selbstversuch, Blaster eindringen zu
lassen (über Heimnetzwerk und Internet) ohne Probleme überlebt, was
zeigt, wer nicht patchen kann oder will, kann durchaus eine Firewall
nehmen. Wenn ein Wurm natürlich gleichzeitig eine Lücke einer
FIrewall UND Windows nutzen würde, wäre das natürlich fatal.
Wobei man hier rein logisch gesehen eingestehen muss, dass wohl kaum
ein Programmierer alle möglichen Firewalls auf Lücken testen würde
und einen Universalwurm programmieren würde, der bei jeder
zutreffenden Firewall die entsprechende Lücke, sofern überhaupt
vorhanden, finden, durchbrechen und dann noch eine entsprechende Lücke
von Windows finden und brrechen würde.
Allein die Vielzahl an Firewalls macht das schon sehr unwahrscheinlich,
es sei denn, man betrachtet die weit verbreitete WinXP Firewall und
Zone Alarm, hier könnte es sich lohnen.
Nunja, gepachted und Firewall ist doch immer noch das sicherste.
Sebastian Gottschalk
> Beispielsweise hab ich keine Lust, dass ständig irgendwelche Programme
> nach hause telefonieren und mir mit ISDN meine sowieso schon knappe
> Netz-Performance rauben.
Ich warte nachwievor auf den Nachweis auch nur eines einzigen
Programmes, das so etwas überhaupt macht...
> Entgegen vielen selbsternannten Experten, die behaupten, Firewalls
> seien total für die Füsse - helfen Firewalls durchaus, eben nur
> dann, wenn man weiss, wie man die Filtern und Regeln richtig einstellt.
In welchem der 18731 anderen Universen in diesem Multiversum ist das so?
> Mein Testsystem blieb frei vom Sasser und Blaster, selbst nach 3
> stündigem Netzaufenthalt mit Windows 2000 SP4, danach kein Patch mehr,
> alle Dienste so, wie im W2K Auslieferungszustand, keine Firewall und
> nichts. Die Ports waren laut Portscannern jedoch offen.
Welcher Portscanner genau?
> Vielleicht war es Glück - vielleicht Zufalle,
Ein vollständig gepatchtes Windows ist nur potentiell anfällig, nicht
bekannt anfällig.
> Windows 2000 SP4, ohne weitere Patches, nur mit einer richtig
> konfigurierten Firewall hat einem Selbstversuch, Blaster eindringen zu
> lassen (über Heimnetzwerk und Internet) ohne Probleme überlebt, was
> zeigt, wer nicht patchen kann oder will, kann durchaus eine Firewall
> nehmen. Wenn ein Wurm natürlich gleichzeitig eine Lücke einer
> FIrewall UND Windows nutzen würde, wäre das natürlich fatal.
Oder die Firewall miskonfiguriert oder umgehbar ist, oder einfach ein
nicht netzbasierten Exploit verwendet wird - z.B. das Anschauen eine
JPEG-Bildchens.
> Wobei man hier rein logisch gesehen eingestehen muss, dass wohl kaum
> ein Programmierer alle möglichen Firewalls auf Lücken testen würde
> und einen Universalwurm programmieren würde, der bei jeder
> zutreffenden Firewall die entsprechende Lücke, sofern überhaupt
> vorhanden, finden, durchbrechen und dann noch eine entsprechende Lücke
> von Windows finden und brrechen würde.
Was ist mit Universal-Lücken in typischen PFWs?
> Nunja, gepachted und Firewall ist doch immer noch das sicherste.
Und welche Firewall nun? Was hat das für den ONU für eine Relevanz?
Volker Birk
> Entgegen vielen selbsternannten Experten, die behaupten, Firewalls
> seien total für die Füsse - helfen Firewalls durchaus, eben nur
> dann, wenn man weiss, wie man die Filtern und Regeln richtig einstellt.
Bitte nenne die Einstellungen für Deine "Personal Firewall", die
http://www.dingens.org/breakout.c
verhindern.
Ackermann
> Ackermann wrote:
>
> > Beispielsweise hab ich keine Lust, dass ständig irgendwelche Programme
> > nach hause telefonieren und mir mit ISDN meine sowieso schon knappe
> > Netz-Performance rauben.
>
> Ich warte nachwievor auf den Nachweis auch nur eines einzigen
> Programmes, das so etwas überhaupt macht...
>
Was bitte für einen Nachweis :-? Ständig suchen irgendwelche
Programme nach automatischen Updates, telefonieren nach Hause etc pp
Beispiel?
Internet Explorer
Microsoft Mouse Software
Windows Update
Ich kontrolliere gern selbst, was ich wann mache
> In welchem der 18731 anderen Universen in diesem Multiversum ist das so?
Leider in unserem
> Welcher Portscanner genau?
Alle bekannten, die bei Wikipedia aufgeführt sind unter dem Suchwort
Portscanner, wäre jetzt zu viel um hier zu listen und einige viele mir
noch sonst bekannte.
Muss dazu sagen, habe ISDN, kein DSL bzw. kein Netzwerk
> Ein vollständig gepatchtes Windows ist nur potentiell anfällig, nicht
> bekannt anfällig.
Behaupten leider viele anerkannte Zeitschriften, die beste Aussage
einer großen IT Fachzeitung: 45 Sekunden sei die durchschnittliche
Infektionszeit eines jeden Windows PCs ab Windows NT4 (wo Dienste zur
Verfügung stehen)
> Oder die Firewall miskonfiguriert oder umgehbar ist, oder einfach ein
> nicht netzbasierten Exploit verwendet wird - z.B. das Anschauen eine
> JPEG-Bildchens.
JPEG ist kein Wurm, sondern eine Lücke des GDI im OS, ich rede von
Würmern, das GDI Problem existiert in Windows 2000 SP4 nicht, daher
konnte es mich auch nicht angreifen. Ist aber prinzipiell richtig,
FIrewall hilft dagegen nicht, genauso wenig wie ein Virenscanner, da
dieser den Schädling nach Buffer Overflow erkennt.
> Was ist mit Universal-Lücken in typischen PFWs?
Jede Software ist anders, an Universal Lücken glaube ich nicht, sonst
hätte die schon ein Wurm ausgenutzt, wäre schliesslich noch
einfacher, als Windows Lücken aufzuspüren :-)
> Und welche Firewall nun? Was hat das für den ONU für eine Relevanz?
Ich sage nur, Nicht die XP Firewall (ginge ohnehin nicht, da W2K),
nicht Zonealarm und keine der bekannten - und das soll auch so bleiben
>Bitte nenne die Einstellungen für Deine "Personal Firewall", die
>http://www.dingens.org/breakout.c
>verhindern.
>Viele Grüße,
>VB.
Ich sehe nichts, was soll da sein? Vielleicht liegt es an Opera? Keine
Ahnung, ich weiss nicht, was da hätte kommen sollen :-)
Pascal B. Kreil
wrote:
>Firewall (um Programme am "rausgehen" zu hindern)
Unter Windows installiert? Wie soll sie denn Programme daran hindern
Daten nach aussen zu verschicken? Das kann eine Personal Firewall
schlicht nicht weil es kaum etwas so einfaches gibt wie die sofortige
Deaktivierung der PFW-Komponente.
Guck mal
<http://www.ulm.ccc.de/old/chaos-seminar/personal-firewalls/recording.html>
an und was man für lustige Sachen mit PFWs machen kann... Dabei sind
die Jungs da echt harmlos...
Bis denne,
Pascal
Pascal B. Kreil
wrote:
>Ich habe mit dem Support (bzw. er mit mir) per E-Mail wieder Kontakt
>aufgenommen. Herausgekommen ist nicht wirklich etwas produktives.
Ja, ich hätte da auch ernsthaft nichts anderes erwartet. Die reagieren
übrigens genauso wenn man 50 und mehr Lizenzen von denen im Einsatz
hat.
>Kaspersky behauptete, ich sei einer der wenigen Kunden, der solche
>Probleme habe.
Jede Firma behauptet bei einer Fehlermeldung, dass man der
erste/einzige/einer von wenigen Kunde(n) ist der dieses Problem
meldet. Das ist eine Standard-Reaktion.
>Ein Bekannter nutzt Kaspersky ebenfalls, aufmerksam wurde er durch
>PCWelt, er ist begeistert. Ich habe mir sein Systemprotokoll angesehen,
>nach dem Hochfahren 40 Fehler bezüglich CD ROM, bei eingelegter DVD
>kommt es nochmal zu so vielen Fehlern....daneben zig userenv.
Das mit dem CD-Rom Laufwerk ist wirklich etwas merkwürdig, das gebe
ich zu.
Es gibt auch nicht auf beiden Systemen eine Softwarekomponente, die da
reinfunken könnte, oder?
>Da ich vorher mit Antivir unterwegs war, die aber aufgrund ihrem
>Debakel nicht mehr nutze, werde ich entweder bei NOD bleiben oder zu
>Avast wechseln, wenns kostenfrei sein soll.
NOD ist eine sehr gute Idee, Avast eine sehr schlechte, denn kostenlos
muss nicht bedeuten, dass es so ahnungslos herumstochert wie Avast!
;-)
Bis denne,
Pascal
Sebastian Gottschalk
>>> Beispielsweise hab ich keine Lust, dass ständig irgendwelche Programme
>>> nach hause telefonieren und mir mit ISDN meine sowieso schon knappe
>>> Netz-Performance rauben.
>> Ich warte nachwievor auf den Nachweis auch nur eines einzigen
>> Programmes, das so etwas überhaupt macht...
>>
>
> Was bitte für einen Nachweis :-?
Einen Nachweis. Programm inklusive Versionsnummer, korrekte
Einstellungen gemäß Beschreibung+Handbuch und aufgezeichnete Verbindung.
> Ständig suchen irgendwelche
> Programme nach automatischen Updates,
Das ist kein Nach-Hause-Telefonieren, wenn es sich im Programm
abschalten lässt. Natürlich vor dem ersten Versuch.
> telefonieren nach Hause etc pp
Nochmal: Nach-Hause-Telefonieren ist es, wenn ein Programm ohne eine
besondere Aktion des Benutzers eine Netzwerkverbindung aufbaut, wenn
sämtliche in dieser Hinsicht relevanten Einstellungen des Programmes
keine Ursache dafür sind.
> Beispiel?
> Internet Explorer
Ach so? Details bitte.
> Microsoft Mouse Software
Nachweise?
> Windows Update
Details bitte.
> Ich kontrolliere gern selbst, was ich wann mache
Ich auch. Bislang habe ich noch kein solches Programm gefunden.
>> Welcher Portscanner genau?
>
> Alle bekannten, die bei Wikipedia aufgeführt sind unter dem Suchwort
> Portscanner, wäre jetzt zu viel um hier zu listen und einige viele mir
> noch sonst bekannte.
Das ein Großteil von denen Müll sind und closed mit open bzw. filtered
mit closed velwechsern sollte dir aber bewußt sein.
Bislang ist mir an denen mit Webinterface nur
<http://linux-sec.net/Audit/nmap.test.gwif.html> als einziger nicht mit
Dummgequatsche und/oder Defekten übersähte Alternative bekannt.
>> Ein vollständig gepatchtes Windows ist nur potentiell anfällig, nicht
>> bekannt anfällig.
>
> Behaupten leider viele anerkannte Zeitschriften, die beste Aussage
> einer großen IT Fachzeitung: 45 Sekunden sei die durchschnittliche
> Infektionszeit eines jeden Windows PCs ab Windows NT4 (wo Dienste zur
> Verfügung stehen)
"Fach" und "Zeitung" gehören da in Anfürhungsstriche.
In der Behauptung geht es aber um _ungepatchte_ Windows-Installationen.
>> Oder die Firewall miskonfiguriert oder umgehbar ist, oder einfach ein
>> nicht netzbasierten Exploit verwendet wird - z.B. das Anschauen eine
>> JPEG-Bildchens.
>
> JPEG ist kein Wurm, sondern eine Lücke des GDI im OS, ich rede von
> Würmern, das GDI Problem existiert in Windows 2000 SP4 nicht, daher
> konnte es mich auch nicht angreifen.
Es existiert in Windows 2000 SP4, es sei denn alle relevanten Patches
sind eingespielt.
> Ist aber prinzipiell richtig,
> FIrewall hilft dagegen nicht, genauso wenig wie ein Virenscanner, da
> dieser den Schädling nach Buffer Overflow erkennt.
Ich rede nicht von dem Problem mit Buffer-Overflows in Metadaten von
JPEG-Bildchen, sondern von dem im IE und in WinXP SP1 nachwievor
ungepatchtem Problem mit einem exploitbaren Boundary Error / Race
Condition in modifizierten Component ID Order Fields einzelnen
JPEG-Blöcke. Ein Bug, dem weitaus weniger Aufmerksamkeit gewidmet wurde.
>> Was ist mit Universal-Lücken in typischen PFWs?
>
> Jede Software ist anders, an Universal Lücken glaube ich nicht, sonst
> hätte die schon ein Wurm ausgenutzt, wäre schliesslich noch
> einfacher, als Windows Lücken aufzuspüren :-)
Nun ja, überlappende IP-Fragmente werden normalerweise von den Routern
deines ISPs herausgefiltert. Aber warte mal, bis jemand mit dir in einem
LAN sitzt...
>> Und welche Firewall nun? Was hat das für den ONU für eine Relevanz?
>
> Ich sage nur, Nicht die XP Firewall (ginge ohnehin nicht, da W2K),
> nicht Zonealarm und keine der bekannten - und das soll auch so bleiben
Dann die andere Frage: ONUs können mit Firewalls nicht umgehen, da sie
keine Ahnung von TCP/IP oder Rechnernetzen en generale haben.
Ackermann
"herumstochern"?
Bezüglich der Firewall.
Ich hatte bis Ende 2005 kein einziges Patch auf dem Computer, was nach
Erscheinen des Service Packs 4 für W2000 erschienen ist, installiert,
das automatische Update habe ich nie genutzt, heute auch nicht, per
Firewall hatte ich alles, was ich nicht rauslassen wollte, ausgesperrt.
Der Internetexplorer beispielsweise wollte oft mal auf irgend eine MS
Seite. die Regel entsprechend eingestellt, konnte er nicht raus. Der
für mich genügende Beweis war, dass 0 Traffic bestand zwischen IE und
Internet. Hätte sich der IE nach aussen verbinden können, so hätte
irgend ein Traffic existieren müssen.
Ich habe Opera als Browser im Einsatz, bis Ende 2005 eine alte 7er
Version.
Ich bin beim Surfen nicht wirklich zimperlich, auch wenn ich nichts
anklicke, was mir nicht geheuer ist, dennoch - bis dato hatte ich einen
Virenwächter und regelmässige Scans mit Knoppix.
------> Ich hatte zu keinerster Zeit - bin seit 2003 mit dem gleichen
System unterwegs gewesen, einen Wurm. Vom Blaster, Sasser, Sober und
wie sie alle heissen, wurde ich nicht befallen, dank meiner Firewall -
anders kann ich es mir nicht erklären, bis Ende 2005 habe ich keinen
einzigen Dienst abgestellt, alles war offen, nur die Firewall
blockierte.
Unabhängig davon, ob theoretisch etwas hätte passieren können,
worauf ich sage JA ES HÄTTE - es IST NICHTs passiert. Und das hat
definitiv an der Firewall gelegen, da meine Nachbarin während des
Sommers 2003 mehrmals vom Blaster befallen wurde, da sie jedesmal nach
Aufsetzen des Systems wieder ins Netz ist um den Patch zu ziehen und
sofort neu infiziert wurde. Ich blieb verschont!
Daher mein persönlicher Beweise - die Firewall hat ihren Dienst getan.
Selbst Microsoft rät dazu, die Firewall anzuschalten, quasi als
Workaround.
Dass das nicht sauber ist, mag sein, aber geholfen hat es, das lässt
sich nicht wegdiskutieren.
Seit 2006 bin ich vollgepatched, habe dennoch das gleiche System, mit
der gleichen Firewall.
Die meisten Viren erhalte ich eh über E-Mail und da macht mir es
nichts aus, da ich alles auf dem Server löschen kann.
Würmer stellen die grösste Gefahr dar, da sie unbemerkt ohne meinen
Klick kommen.
Das Thema Firewall wurde schon erschöpfend diskutiert, ich denke,
jeder hat da andere Meinungen, Erfahrungen und so weiter.
Ich für meinen Teil sage - das kann jeder akzeptieren, oder es bleiben
lassen - sie hat mich Jahrelang vor Würmern bewahrt, kein einziger
Portscan hat irgendwann eine Lücke gefunden - woran die Firewall ihre
Leistung erbrachte, denn ohne war etwas offen, was auch diverse Tools
zeigen, die man offline testen kann .....
Jedem das seine, mir hilft sie.
Die JPEG Exploit Geschichte ist nebenbei bemerkt uralt und wurde
bereits 2004 gepatched, wobei W2000 mit SP4 hiervon nie betroffen war,
was man leicht an der GDI Datei überprüfen kann, wenn diese die
neueste Version, seit 2004 unverändert was diese Lücke angeht,
aufweist, so war man bereits 2004 davor sicher.
Bei XP kann das anders aussehen, das weiss ich nicht.
Die WMF Sache wird ebenfalls vollkommen ungefährlich für all
diejenigen, die ihren Nicht-Internet Explorer Browser darauf geeicht
haben, alles mögliche zum Download anzubieten, statt in irgendwelchen
MS Plugins zu laden.(wobei ich diesen Patch auch drauf habe)
Aber was mich wirklich interessiert - wie soll es der IE schaffen,
ausgesperrt durch eine Firewall, mit einer 0-Traffic Anzeige einen
Internetdatenverkehr zu bewältigen - das würde mich interessieren
Ackermann
ich möchte jetzt nicht mehr auf alles eingehen, es ging ja um ClamWIN
und nicht darum, wer was gut findet - es sind einfach persönliche
Erfahrungen und Meinungen im Spiel, das wurde schon an anderen Stellen
debatiert, werde dazu jetzt nicht mehr viel schreiben, da es am Thema
vorbeigeht und zu keinem Ziel führt, dennoch zu einem Punkt:
> >> Oder die Firewall miskonfiguriert oder umgehbar ist, oder einfach ein
> >> nicht netzbasierten Exploit verwendet wird - z.B. das Anschauen eine
> >> JPEG-Bildchens.
> >
> > JPEG ist kein Wurm, sondern eine Lücke des GDI im OS, ich rede von
> > Würmern, das GDI Problem existiert in Windows 2000 SP4 nicht, daher
> > konnte es mich auch nicht angreifen.
>
> Es existiert in Windows 2000 SP4, es sei denn alle relevanten Patches
> sind eingespielt.
Das stimmt nicht:
MS04-028 - Betroffene Anwendungen
Immanent verwundbar für die Sicherheitslücke sind folgende
Betriebssysteme und Anwendungen:
Zitat von
"http://www.microsoft.com/technet/security/bulletin/ms04-028.mspx"
Non-Affected Software
....
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
Microsoft Windows 2000 Service Pack 3 and Microsoft Windows 2000
Service Pack 4
.....
Nicht betroffen sind unter anderem Windows 9x/Me, NT, 2000 und Windows
XP mit Service Pack 2 sowie die IE-Versionen 5.01 und 5.5. Dies gilt
jedoch nur, wenn keine der oben genannten Anwendungen installiert
wurde. Genauere Angaben finden Sie im Microsoft-Bulletin.
Testtool kann man hier laden, das zeigt auf einem W2K SP4 System
entsprechend an, "unverwundbar" Sogar ab SP3 ist W2K schon nicht
verwundbar.
Sebastian Gottschalk
> Ich hatte bis Ende 2005 kein einziges Patch auf dem Computer, was nach
> Erscheinen des Service Packs 4 für W2000 erschienen ist, installiert,
LOL.
> das automatische Update habe ich nie genutzt, heute auch nicht, per
> Firewall hatte ich alles, was ich nicht rauslassen wollte, ausgesperrt.
Nein, du glaubst daß...
> Der Internetexplorer beispielsweise wollte oft mal auf irgend eine MS
> Seite.
Huh?
> die Regel entsprechend eingestellt, konnte er nicht raus.
Boah, was für 'n Bullshit.
> Ich habe Opera als Browser im Einsatz, bis Ende 2005 eine alte 7er
> Version.
ROFL.
> ------> Ich hatte zu keinerster Zeit - bin seit 2003 mit dem gleichen
> System unterwegs gewesen, einen Wurm. Vom Blaster, Sasser, Sober und
> wie sie alle heissen, wurde ich nicht befallen, dank meiner Firewall -
> anders kann ich es mir nicht erklären, bis Ende 2005 habe ich keinen
> einzigen Dienst abgestellt, alles war offen, nur die Firewall
> blockierte.
Sprich: Total kaputtes System, Glück gehabt, aber wahrscheinlich nur nix
gemerkt.
> Die JPEG Exploit Geschichte ist nebenbei bemerkt uralt und wurde
> bereits 2004 gepatched, wobei W2000 mit SP4 hiervon nie betroffen war,
Falsch, da gilt nur für die erste, bekanntere der beiden JPEG-Geschichten.
> Aber was mich wirklich interessiert - wie soll es der IE schaffen,
> ausgesperrt durch eine Firewall, mit einer 0-Traffic Anzeige einen
> Internetdatenverkehr zu bewältigen - das würde mich interessieren
COM+
Sebastian Gottschalk
>>>> Oder die Firewall miskonfiguriert oder umgehbar ist, oder einfach ein
>>>> nicht netzbasierten Exploit verwendet wird - z.B. das Anschauen eine
>>>> JPEG-Bildchens.
>>> JPEG ist kein Wurm, sondern eine Lücke des GDI im OS, ich rede von
>>> Würmern, das GDI Problem existiert in Windows 2000 SP4 nicht, daher
>>> konnte es mich auch nicht angreifen.
>> Es existiert in Windows 2000 SP4, es sei denn alle relevanten Patches
>> sind eingespielt.
>
>
> Das stimmt nicht:
>
> MS04-028 - Betroffene Anwendungen
Nochmal:
| Ich rede nicht von dem Problem mit Buffer-Overflows in Metadaten von
| JPEG-Bildchen, sondern von dem im IE und in WinXP SP1 nachwievor
| ungepatchtem Problem mit einem exploitbaren Boundary Error / Race
| Condition in modifizierten Component ID Order Fields einzelnen
| JPEG-Blöcke. Ein Bug, dem weitaus weniger Aufmerksamkeit gewidmet
| wurde.
Davon ist auch Windows 2000 mit SP4 betroffen.
Ackermann
Sebastian Gottschalk schrieb:
WOW, dich hat ja ein wahrer Geistesblitz umnachtet (P.S. das ist
ironisch gemeint, mach dir mal ein paar Gedanken darüber ;-)
So, da es nicht mehr um Clam geht, klinke ich mich aus
Danke für alle Informativen Postings
Ackermann
Sebastian Gottschalk schrieb:
Und ich rede die ganze Zeit schon nicht von Windows XP, sondern von
Windows 2000
;-)
Sebastian Gottschalk
XPSP1 und 2000 sind bezüglich ungepatchter Lücken nahezu äquivalent.
Juergen Ilse
Karlheinz Schmidthaus <ksng...@ksit.de> wrote:
> Aus meiner Sicht würde ich keinen Virenscanner ohne On Access scanner
> einsetzen da nur dieser zeitnah reagiert - beispielsweise bei
> unbekannten Packertypen nach dem programminternen auspacken wenn der
> Virus versucht aktiv zu werden.
Ich wuerde keinen OnAccess Scanner askzeptieren, da er mir nur voellig
sinnfrei das System ausbremsen wuerde ... Ich weiss, was ich zu starten
gedenke. Wenn ich scannen fuer notwendig halten wuerde, koennte ich das
auch manuell erledigen, ohne irgendwelche Systembremsen im Hintergrund.
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Juergen Ilse
Ackermann <acke...@everymail.net> wrote:
> Entgegen vielen selbsternannten Experten, die behaupten, Firewalls
> seien total für die Füsse - helfen Firewalls durchaus, eben nur
> dann, wenn man weiss, wie man die Filtern und Regeln richtig einstellt.
Ja. Firewalls schon, Personal Firewalls eher nein.
Und warum will man Programme am "rausgehen" hindern? Wenn man das ueber
Konfiguration der Programme erledigen kann, ist das der zu bevorzugende
Weg. Wenn man das nicht kann und trotzdem vermeiden will, dass sie "ins
Netz gehen", sollte man IMHO eher auf ihre Verwendung verzichten (das
sollte ein wirksames Mittel sein, denn ein Programm, das nicht ausge-
fuehrt wird, wird auch nicht "ins Netz" kommen ...
> Ein gepatchtes System ist dennoch empfehlenswert, aber ....
Ich sehe keinen Grund fuer ein "aber".
> Wobei man hier rein logisch gesehen eingestehen muss, dass wohl kaum
> ein Programmierer alle möglichen Firewalls auf Lücken testen würde
> und einen Universalwurm programmieren würde, der bei jeder
> zutreffenden Firewall die entsprechende Lücke, sofern überhaupt
> vorhanden, finden, durchbrechen und dann noch eine entsprechende Lücke
> von Windows finden und brrechen würde.
Es ist nicht notwendig, dass ein Schaedling alle moeglichen Szenarien
abdeckt. Ein einziger Schaedling (oder ein Boesewicht mit genuegend
Ahnung) der fuer das gerade aktuell vorliegende Szenario eine Luecke
findet, reicht voellig zur Kompromittierung des Systems aus ...
> Nunja, gepachted und Firewall ist doch immer noch das sicherste.
IMHO hast du mindestens noch "restriktive Konfiguration" und
"nicht mit Admin oder Hauptbenutzerrechten arbeiten" vergessen ...
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Jens Sülwald
> Aus meiner Sicht würde ich keinen Virenscanner ohne On Access scanner
> einsetzen da nur dieser zeitnah reagiert - beispielsweise bei
> unbekannten Packertypen nach dem programminternen auspacken wenn der
> Virus versucht aktiv zu werden.
Ich mein, das gepackte Zeugs wird in den Speicher geladen (Virenscanner
kennts natürlich nicht) und im Speicher wirds dann entpackt und
ausgeführt. Scannt der Virenscanner das im Speicher dann nochmals? Oder
lässt er es in ruhe?
Jens Sülwald
> Hallo Heiko,
>
> ClamWin bzw. ClamAV sind natürlich keine kommerziellen Produkte. Dazu
> fehlt das schöne Klicki-Bunti Interface, viele Features die meiner
> Meinung nach - auch wenn ich Kaspersky einsetzen würde, wenns
> problemlos laufen würde - absolute Augenwischerei sind.
Ich denke nicht, das ein Klicki-Bunti-Interface ein Merkmal für
kommerzielle Software ist.
Ackermann
Jens Sülwald schrieb:
Hallo Jens,
danke, dass einige hier zum Ausgangsthema zurückgekehrt sind!
ClamWIN enthält nicht viele Funktionen, doch die wesentlichen, denke
ich. Antivir beispielsweise wie auch Kaspersky waren in den alten
Versionen noch mit einer recht "rauhen" Oberfläche zu bedienen, das
heisst, sie erinnerte an ein mattes WIndows 95, statt an die moderne XP
Oberfläche (die mir persönlich überhaupt nicht gefällt, ist aber
Geschmacksache).
Immer unerfahrenere User lassen sich leider von immer besseren Sie
schützenden Technologien blenden. Da werden dann Funktionen
XPSuperStreaming genannt, die angeblich alles überwachen, was an Bits
so fliesst. Ob das wirklich sinn macht, wage ich zu bezweifeln.
FÜr mich ist Antivir 7 das beste Beispiel dafür, dass die Engine
überhaupt nicht bis kaum verbessert wurde und in den Anfangszeiten
sogar noch mit der alten 6er lief, das Design dafür mächtig
aufgepuscht wurde zu Ungunsten der Performance. Ebenso Kaspersky 5.0 ->
6.0 Neues Design, dafür kaum erkennbar bessere (damit sind
sinnvollere) Funktionen gemeint.
Ralph Lehmann
> Hallo,
>
> Ackermann <acke...@everymail.net> wrote:
>> Entgegen vielen selbsternannten Experten, die behaupten, Firewalls
>> seien total für die Füsse - helfen Firewalls durchaus, eben nur
>> dann, wenn man weiss, wie man die Filtern und Regeln richtig einstellt.
>
> Ja. Firewalls schon, Personal Firewalls eher nein.
Nein, das Problem, dass sich Malware am Filter vorbei schmuggeln kann,
hat man sowohl bei PFW als auch bei "echter" FW.
ciao Ralph
Ralph Lehmann
> On 18 Feb 2006 10:45:38 -0800, "Ackermann" <acke...@everymail.net>
> wrote:
>
>>Firewall (um Programme am "rausgehen" zu hindern)
>
> Unter Windows installiert? Wie soll sie denn Programme daran hindern
> Daten nach aussen zu verschicken? Das kann eine Personal Firewall
> schlicht nicht weil es kaum etwas so einfaches gibt wie die sofortige
> Deaktivierung der PFW-Komponente.
Huh? Ohne System-/Adminrechte?
> Guck mal
> <http://www.ulm.ccc.de/old/chaos-seminar/personal-firewalls/recording.html>
Ich habe nicht nachgesehen, deshalb frage ich einfach mal nach, ob es
dieses Werk inzwischen in einer weder Augen- noch Trommelfellkrebs
verursachenden Version gibt. ;-)
> an und was man für lustige Sachen mit PFWs machen kann...
Bitte! Am prinzipiellen Problem der Umgehbarkeit ändert nichts, ob Du
vor das FW noch ein P setzt oder nicht.
> Dabei sind
> die Jungs da echt harmlos...
Das kann man *wörtlich* nicht so stehen lassen. :-D
ciao Ralph
Hilmar Steinhauer
> WOW, dich hat ja ein wahrer Geistesblitz umnachtet (P.S. das ist
> ironisch gemeint, mach dir mal ein paar Gedanken darüber ;-)
Nein. Du solltest Dir Gedanken darüber machen, warum Du nichts merkst.
Hint: Du beschriebst in dem Posting auf das Sebastian antwortete
deutlich Anzeichen eines kompromittierten Systems und Deinen Glauben an
die Effektivität von Schlangenölsoftware aka Desktop Firewalls.
> So, da es nicht mehr um Clam geht, klinke ich mich aus
Mach das. Aber bitte schau Dir mal intensiv linkblock.de an - Du
brauchst das.
Gruß,
Hilmar
Ackermann
Hilmar Steinhauer schrieb:
Ich glaube, du kannst nicht beurteilen, was ich brauche und was nicht,
derartige Troll-Flame Threads in jedem Falle brauche ich und auch sonst
keiner jedenfalls nicht
Pascal B. Kreil
wrote:
>Ich denke, ich werde NOD32 nehmen. Was genau meinst du mit
>"herumstochern"?
Dass die Erkennungsleistung von Avast! mit einem planlosen
herumstochern im Heuhaufen zu vergleichen ist ;-)
>Ich hatte bis Ende 2005 kein einziges Patch auf dem Computer, was nach
>Erscheinen des Service Packs 4 für W2000 erschienen ist, installiert,
>das automatische Update habe ich nie genutzt, heute auch nicht, per
>Firewall hatte ich alles, was ich nicht rauslassen wollte, ausgesperrt.
Das geht aber nicht. Du kannst per Software-Firewall auf dem zu
schützenden System genau *gar* keine Anwendung daran hindern
auszubrechen.
>------> Ich hatte zu keinerster Zeit - bin seit 2003 mit dem gleichen
>System unterwegs gewesen, einen Wurm. Vom Blaster, Sasser, Sober und
>wie sie alle heissen, wurde ich nicht befallen, dank meiner Firewall -
>anders kann ich es mir nicht erklären, bis Ende 2005 habe ich keinen
>einzigen Dienst abgestellt, alles war offen, nur die Firewall
>blockierte.
Und genau das wäre genau so aber zusätzlich sogar mit einem echten
Schutz möglich gewesen wenn die FW garnicht dagewesen wäre und nur die
betreffenden Dienste abgeschaltet worden wären. Diese ganze
PFW-Software bietet mit einer erschreckenden Häufigkeit ständig neue
Sicherheitslücken die dem System mehr Schaden zufügen können als ein
Windows mit offenen Diensten (im schlimmsten Fall).
>Dass das nicht sauber ist, mag sein, aber geholfen hat es, das lässt
>sich nicht wegdiskutieren.
Es wäre aber auch mit Bordmitteln möglich gewesen diesen Effekt zu
erzielen. Noch dazu ohne potentielle Sicherheitslücken dabei
aufzureissen.
>Würmer stellen die grösste Gefahr dar, da sie unbemerkt ohne meinen
>Klick kommen.
Nein.
>Die WMF Sache wird ebenfalls vollkommen ungefährlich für all
>diejenigen, die ihren Nicht-Internet Explorer Browser darauf geeicht
>haben, alles mögliche zum Download anzubieten, statt in irgendwelchen
>MS Plugins zu laden.(wobei ich diesen Patch auch drauf habe)
Da war nicht die MS-Anzeige-Software das Problem, sondern die für die
Anzeige von MS angebotene DLL, die von einer grossen Menge an
Drittanbietersoftware auch eingebunden wird. Somit bestand also eine
Gefahr für alle Anwender und alle Programme von denen man nich
lückenlos wusste welche Komponenten die Programmierer bei der
Erstellung eingebunden haben.
>Aber was mich wirklich interessiert - wie soll es der IE schaffen,
>ausgesperrt durch eine Firewall, mit einer 0-Traffic Anzeige einen
>Internetdatenverkehr zu bewältigen - das würde mich interessieren
Hast Du den Vortrag angesehen? Null Traffic kann man auch vorgaukeln
-- die nötigen Komponenten bringt Windows mit, allerdings lohnt es die
Mühe kaum, denn welcher Windows-User achtet schon darauf, was an Bytes
übertragen ist und welcher ONU weiss überhaupt was "Bytes" sind...
Bis denne,
Pascal
Pascal B. Kreil
<in...@dummenfang.info> wrote:
>Pascal B. Kreil schrieb:
>> On 18 Feb 2006 10:45:38 -0800, "Ackermann" <acke...@everymail.net>
>> wrote:
>>
>>>Firewall (um Programme am "rausgehen" zu hindern)
>>
>> Unter Windows installiert? Wie soll sie denn Programme daran hindern
>> Daten nach aussen zu verschicken? Das kann eine Personal Firewall
>> schlicht nicht weil es kaum etwas so einfaches gibt wie die sofortige
>> Deaktivierung der PFW-Komponente.
>
>Huh? Ohne System-/Adminrechte?
Ja klar. Da reicht schon eine trusted Application wie der IE und der
ist AFAIR bei allen bekannten PFW-Lösungen per Default "trusted".
>> Guck mal
>> <http://www.ulm.ccc.de/old/chaos-seminar/personal-firewalls/recording.html>
>
>Ich habe nicht nachgesehen, deshalb frage ich einfach mal nach, ob es
>dieses Werk inzwischen in einer weder Augen- noch Trommelfellkrebs
>verursachenden Version gibt. ;-)
Nein, das ist immer noch eine Low-Budget-Produktion ;-)
>> an und was man für lustige Sachen mit PFWs machen kann...
>
>Bitte! Am prinzipiellen Problem der Umgehbarkeit ändert nichts, ob Du
>vor das FW noch ein P setzt oder nicht.
Doch. Eine Firewall ist eine externe Komponenten (in vielen Fällen
eine eigene Appliance) und kann durch die Systeme im Netz nicht
deaktiviert werden (naja, sie sollte es zumindest nicht), das ist der
grosse und entscheidende Unterschied
.
>> Dabei sind
>> die Jungs da echt harmlos...
>
>Das kann man *wörtlich* nicht so stehen lassen. :-D
Hehe... Naja, als ich noch jünger war sind da deutlich andere Sachen
gelaufen... Da hätt' es eine Live-Vorführung an einem ahnungslosen
Dritten gegeben ;-)
Bis denne,
Pascal
Hilmar Steinhauer
Du hast also immer noch nicht verstanden. Schade.
Gruß,
Hilmar
Roy Coorne
Manche Leute kapieren einfach nich, dasz der immer wieder angezogene
linkblock wie eine Keule ist, die allenfalls plattschlägt...;-)
rOy
--
This posting is provided "as is" with no warranties,
and confers no rights.
Roy Coorne
...
> FÜr mich ist Antivir 7 das beste Beispiel dafür, dass die Engine
> überhaupt nicht bis kaum verbessert wurde und in den Anfangszeiten
> sogar noch mit der alten 6er lief, das Design dafür mächtig
> aufgepuscht wurde zu Ungunsten der Performance. Ebenso Kaspersky 5.0 ->
> 6.0 Neues Design, dafür kaum erkennbar bessere (damit sind
> sinnvollere) Funktionen gemeint.
FACK. Beauty sells... bella figura, bella VISTA:-)
Roy
Ackermann
> > Ich glaube, du kannst nicht beurteilen, was ich brauche und was nicht,
> > derartige Troll-Flame Threads in jedem Falle brauche ich und auch sonst
> > keiner jedenfalls nicht
>
> Du hast also immer noch nicht verstanden. Schade.
>
> Gruß,
> Hilmar
Na das siehst du doch mal richtig. Ich werde es auch weiterhin nicht
verstehen, wie mir Menschen ihre Meinung aufdrücken wollen, die
vielleicht nicht einmal ihre ist, die sie "irgendwo" gelesen oder
gehört haben, und einfach die Ohren auf Totaldurchzug schalten, wenn
ich ihnen erzähle, wozu ich meine Firewall verwende, ihnen erzähle,
dass ich (trotzdem ich seit kurzem meine Systeme auch patche -
zusätzlich - ) Jahrelang vom Blaster, Sober, Sasser, wie sie alle
heißen Würmer, verschont wurde und dies NICHT aufgrund irgendwelcher
Spezialkonfigurationen oder Einstellungen, sondern nachweislich durch
eine korrekt konfigurierte Firewall
Es prallen hier "Hören-Sagen-Meinungen" gegen eine "Erfahrung". Was
soll also das Rumdiskutiere? Mag sein, dass sich 80% der Seiten im Netz
gegen Personal Firewalls aufspielen.
Mag aber auch sein, dass selbst Microsoft und Antivirenhersteller
empfehlen eine Firewall zu installieren - wenn auch nur als Workaround.
Da prallen Meinungen gegen Erfahrungen und darauf hab ich keine Lust -
keine Lust, mir meine Erfahrung wegdiskutieren zu lassen, durch
irgendwelche theoretischen Papiertheorien, die im Extremfalle besagen,
dass kein System der Welt, das am Netz hängt sicher ist.
Was also soll das ganze? Nichts - also lassen wir diese sinnlose Meta
Debatte. Behalte du deine Meinung und tolleriere meine Meinung und
Ende. Meine Meinung bleibt bestehen, dass ich während allen weltweit
kursierenden Wurmattacken wurmfrei bliebt. Wer Knoppix kennt, weiss wie
sicher Scans von dieser CD sind - das ist für mich Beweis genug. Oder
glaubt hier auch nur einer, dass ich mir 2003 einen Blaster eingefangen
hätte, der meine Personal Firewall umging (mein System war
ungepatched, Dienste standard eingestellt, nur die FIrewall "korrekt"
eingestellt), mein System 2003 befallen worden wäre und 3 Jahre
Knoppix die Würmer nicht erkannt hätte, mein System zu 100 Prozent
stabil lief? Wunsch oder Traumdenken? Pustekuchen - Kein Wurm da =
keine Instabilität.
Obiges ist keine Meinung, obiges ist eine Erfahrung basierend auf 3 W2K
Pcs im Haushalt, von denen bis heute nur 2 total gepatched sind, alle
nutzen die gleiche Firewall, alle sind wurmfrei, der 3. PC ist bis
heute mit W2K SP4 + Firewall unterwegs und wird genutzt von einem User,
der nicht sonderlich erfahren ist. Der PC ist wurmfrei, was diverse
Scanner (10 an der Zahl) übers Netz bezeugen.
Das ist Erfahrung - und da kann eine Personal Firewall noch so
anfällig, lückenhaft und unnütz sein - wenn sie ihren Dienst tut -
tut sie das, was sie tun soll
- Punkt -
Ackermann
Hilmar Steinhauer schrieb:
Glaubst du ernsthaft, dass weder
Kaspersky, Bitdefender, ClamWin, Antivir, Avast, AVG, Norton, McAfee,
F-Prot in der Lage sind, ein verseuchtes System zu erkennen?
Du bist mir ein schöner Profi: Kennst du Knoppix? Scheinbar nicht.
Wenn du der Meinung bist, du kannst weder dir selbst, noch diversen
konkurrierenden Softwarepaketen vertrauen, die über ein nicht
verseuchtes System scannen, dann solltest du dir und deinen Mitmenschen
im Netz einen Gefallen tun und folgende Anleitung anwenden:
- Nach jedem Surfen Windows komplett neu aufsetzen von Original
Datenträgern, jedoch nicht von einem Image, das du vorher gesichert
hast, denn wer sagt dir, dass das nicht auch verseucht ist? Also ....
neu installieren heisst das Stichwort, am besten jeden Tag mehrmals
- zweite und bessere Möglichkeit: Kein Internet und alle Laufwerke
ausbauen, alle USB Eingänge mit Kaugummi verkleben, alle sonstigen
Eingänge, über die Daten ins System gelangen könnten, zu löten. und
du kannst beruhigt deine Thesen verbreiten
Sebastian Gottschalk
> Jahrelang vom Blaster, Sober, Sasser, wie sie alle
> heißen Würmer, verschont wurde und dies NICHT aufgrund irgendwelcher
> Spezialkonfigurationen oder Einstellungen, sondern nachweislich durch
> eine korrekt konfigurierte Firewall
Du velwechserst Kausalität und Korrelation.
Außerdem wird durch deine Erfahrung nicht weniger falsch, daß dein
Sicherheitskonzept arg kaputt ist.
> Da prallen Meinungen gegen Erfahrungen und darauf hab ich keine Lust -
> keine Lust, mir meine Erfahrung wegdiskutieren zu lassen, durch
> irgendwelche theoretischen Papiertheorien, die im Extremfalle besagen,
> dass kein System der Welt, das am Netz hängt sicher ist.
Was ist mit konträren Erfahrungen? Hier läuft neben debian Linux und
FreeeBSD auch hinundwieder mal Windows, ganz ohne PFW und Virenscanner,
ordentlich konfiguriert und benutzt. Auch damit gibt's keinerlei
Probleme, offensichtlich geht's also auch ohne PFW.
> Meine Meinung bleibt bestehen, dass ich während allen weltweit
> kursierenden Wurmattacken wurmfrei bliebt.
Ich auch. Und? Ohne PFW ist im Zweifelsfalle besser.
> Wer Knoppix kennt, weiss wie
> sicher Scans von dieser CD sind
LOL.
> - das ist für mich Beweis genug.
Jaja, aber damit kannst du nicht vernünftig diskutieren.
> Oder glaubt hier auch nur einer, dass ich mir 2003 einen Blaster eingefangen
> hätte, der meine Personal Firewall umging (mein System war
> ungepatched, Dienste standard eingestellt, nur die FIrewall "korrekt"
> eingestellt), mein System 2003 befallen worden wäre und 3 Jahre
> Knoppix die Würmer nicht erkannt hätte, mein System zu 100 Prozent
> stabil lief? Wunsch oder Traumdenken?
Realität. Warum sollte ein Spammer/Botnetzbetreiber/FTP-Uploader das
gekaperte System ruinieren?
> Der PC ist wurmfrei, was diverse
> Scanner (10 an der Zahl) übers Netz bezeugen.
LOL, träum weiter.
> Das ist Erfahrung - und da kann eine Personal Firewall noch so
> anfällig, lückenhaft und unnütz sein - wenn sie ihren Dienst tut -
> tut sie das, was sie tun soll
Du velwechserst deine Ansichten der Aufgaben einer PFW mit ihren
tatsächlcihen Aufgaben.
Sebastian Gottschalk
> Glaubst du ernsthaft, dass weder
>
> Kaspersky, Bitdefender, ClamWin, Antivir, Avast, AVG, Norton, McAfee,
> F-Prot in der Lage sind, ein verseuchtes System zu erkennen?
Ja. BTST zu oft.
> - Nach jedem Surfen Windows komplett neu aufsetzen von Original
> Datenträgern, jedoch nicht von einem Image, das du vorher gesichert
> hast, denn wer sagt dir, dass das nicht auch verseucht ist? Also ....
> neu installieren heisst das Stichwort, am besten jeden Tag mehrmals
Warum?
> - zweite und bessere Möglichkeit: Kein Internet und alle Laufwerke
> ausbauen, alle USB Eingänge mit Kaugummi verkleben, alle sonstigen
> Eingänge, über die Daten ins System gelangen könnten, zu löten.
Warum? Weil du billige Polemik mit inhaltlichem Quatsch magst?
Ackermann
Sei ehrlich, du verstehst absolut garnichts von dem, was wir hier reden
:-)
Wenn du dich jetzt outest, seh ich es dir nicht übel.
P.S. Wieso tummeln sich hier soviele Kiddies? Sind schon Ferien?
Sebastian Gottschalk
> Sei ehrlich, du verstehst absolut garnichts von dem, was wir hier reden
> :-)
Oh doch, leider.
> Wenn du dich jetzt outest, seh ich es dir nicht übel.
Als was genau soll ich mich outen? Irgendwas, was nicht stimmt, aber
deine Vorurteile bedient? Als außerirdischer Miniatur-Riesenhamster?
> P.S. Wieso tummeln sich hier soviele Kiddies? Sind schon Ferien?
Immerhin vermagst du deine Postings zu reflektieren.
Juergen Ilse
Roy Coorne <roy.spa...@gmx.net> wrote:
> Manche Leute kapieren einfach nich, dasz der immer wieder angezogene
> linkblock wie eine Keule ist, die allenfalls plattschlägt...;-)
Ja, die Realitaet ist manchmal hart. Willst du sie deswegen verheimlichen?
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Juergen Ilse
Ackermann <acke...@everymail.net> wrote:
> Es prallen hier "Hören-Sagen-Meinungen" gegen eine "Erfahrung". Was
> soll also das Rumdiskutiere? Mag sein, dass sich 80% der Seiten im Netz
> gegen Personal Firewalls aufspielen.
Meine Erfahrungen mit Windows auf Rechnern, die auch von mir administriert
werden, beruhen ausschliesslich auf "unnoetige Dienste abschalten",
"System aktuell halten", "Verzicht auf bekanntermassen unsichere Soft-
ware", "arbeiten ohne Adminrechte" (ausser bei Win9x, wo es keine ent-
sprechende Rechteverwaltung gibt) und "Brain bei Verwendung des Rechners
eingeschaltet lassen". Meine diesbzgl. Erfahrungen sind nicht weniger
positiv als deine ...
> Da prallen Meinungen gegen Erfahrungen
Moeglicherweise.
Meiner "Meinung" nach (die ich auch durchaus begruenden kann), sind
Personal Firewalls i.d.R. "Software-Sondermuell".
Meiner "Erfahrung" nach, sind die hier immer wieder empfohlenen einfachen
Massnahmen eine wirkungsvolle Abwehr gegen Malware gewaehrleisten (was
bei PFWs nicht unbedingt gewaehrleistet ist).
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Ralph Lehmann
> * Ralph Lehmann <in...@dummenfang.info> schrieb:
>
>> Nein, das Problem, dass sich Malware am Filter vorbei schmuggeln
>> kann, hat man sowohl bei PFW als auch bei "echter" FW.
>
Ich gehe mal davon aus, dass wir über das gleiche Szenario reden: Es
ging um ausgehenden Datenverkehr durch dubiose Anwendungen. Ich wüsste
nicht, wie z.B. eine dicke dedizierte Firewall dass besser verhindern
kann als eine PFW.
Konsenz hier in dieser NG ist IMHO doch, dass sich hinreichend geschickt
getarnter ausgehender Datenverkehr überhaut nicht verhindern lässt.
> Tipp am Rande:
> http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Sicherheit
Kenne ich, schätze ich, weiß nur leider nicht, was das mit dem Thema zu
tun haben soll.
ciao Ralph
Ralph Lehmann
> On Sun, 19 Feb 2006 09:50:56 +0100, Ralph Lehmann
> <in...@dummenfang.info> wrote:
>
>>Pascal B. Kreil schrieb:
>>> On 18 Feb 2006 10:45:38 -0800, "Ackermann" <acke...@everymail.net>
>>> wrote:
>>>
>>>>Firewall (um Programme am "rausgehen" zu hindern)
>>>
>>> Unter Windows installiert? Wie soll sie denn Programme daran hindern
>>> Daten nach aussen zu verschicken? Das kann eine Personal Firewall
>>> schlicht nicht weil es kaum etwas so einfaches gibt wie die sofortige
>>> Deaktivierung der PFW-Komponente.
>>
>>Huh? Ohne System-/Adminrechte?
>
> Ja klar. Da reicht schon eine trusted Application wie der IE und der
> ist AFAIR bei allen bekannten PFW-Lösungen per Default "trusted".
Das mag sein, allerdings heißt "trusted" nicht, dass die Anwendung das
Teil deaktivieren kann, außerdem heißt default noch lange nicht endgültig.
Hinweis: Es geht mir nicht um Sinn oder Unsinn von PFW, es geht mir nur
darum, richtig zu stellen, dass nicht jede Anwendung auf einem
ordentlich konfigurierten System in der Lage ist, die PFW abzuschalten.
>>> Guck mal
>>> <http://www.ulm.ccc.de/old/chaos-seminar/personal-firewalls/recording.html>
>>
>>Ich habe nicht nachgesehen, deshalb frage ich einfach mal nach, ob es
>>dieses Werk inzwischen in einer weder Augen- noch Trommelfellkrebs
>>verursachenden Version gibt. ;-)
>
> Nein, das ist immer noch eine Low-Budget-Produktion ;-)
Schade. Man kann also immer noch keine ONUs dort hinschicken.
>>> an und was man für lustige Sachen mit PFWs machen kann...
>>
>>Bitte! Am prinzipiellen Problem der Umgehbarkeit ändert nichts, ob Du
>>vor das FW noch ein P setzt oder nicht.
>
> Doch. Eine Firewall ist eine externe Komponenten (in vielen Fällen
> eine eigene Appliance) und kann durch die Systeme im Netz nicht
> deaktiviert werden (naja, sie sollte es zumindest nicht), das ist der
> grosse und entscheidende Unterschied
Es geht nicht um Deaktivieren, es geht um Umgehen (mittels Verpacken von
ausgehendem Datenverkehr in ICMP, HTTP, DNS etc..
ciao Ralph
Juergen Ilse
Ralph Lehmann <in...@dummenfang.info> wrote:
> Heiko Schlenker schrieb:
>> * Ralph Lehmann <in...@dummenfang.info> schrieb:
>>> Nein, das Problem, dass sich Malware am Filter vorbei schmuggeln
>>> kann, hat man sowohl bei PFW als auch bei "echter" FW.
>> Nur ist der /Aufwand/ bei sog. Personal Firewalls verdammt klein...
> Ich gehe mal davon aus, dass wir über das gleiche Szenario reden: Es
> ging um ausgehenden Datenverkehr durch dubiose Anwendungen. Ich wüsste
> nicht, wie z.B. eine dicke dedizierte Firewall dass besser verhindern
> kann als eine PFW.
Korrekt. Auch ein Firewall auf dedizierter Hardware kann z.B. ein
"phone Home" einer Applikation nicht sicher verhindern (solange der
zustaendige Admin die genaue Methode des "phone home" nicht kennt
ubd/oder keine Moeglichkeit hat, dies von erwuenschtem Traffic
*sicher* zu unterscheiden). Ich kann mich auch nicht daran erinnern,
dass hier jemals jemand etwas anderes behauptet haette ...
Im Gegensatz zu PFWs wird aber bei Firewalls auf dedizierter Hardware
i.d.R. auch nicht behauptet, sie koennten ausgehenden Traffic sicher
vollstaendig kontrollieren ...
> Konsenz hier in dieser NG ist IMHO doch, dass sich hinreichend geschickt
> getarnter ausgehender Datenverkehr überhaut nicht verhindern lässt.
Richtig. Kontrollieren laesst sich nur, was nett genug ist, sich
kontrollieren zu lassen. Bei einer Firewall auf dedizierter Hardware
ist es aber oftmals schwieriger als bei PFWs, die Filterregeln ohne
Wissen des zustaendigen Admins zu beeinflussen. Die Trennung der
Mschine legt hier die Latte bis zur Beeinflussung des Regelsatzes
u.U. gegenueber dem auf dem lokalen System laufenden Paketfilter
um einiges hoeher. Erkaufen tut man sich diesen Vorteil damit, dass
die Firewall keine Informationen darueber erhaelt, welcher Prozess
auf dem zu schuetzenden Rechner ueber das Netzwerk kommuniziert
(aber da diese Information nicht unbedingt etwas darueber aussagt,
welcher Prozess die Kommunikation wirklich verursacht hat, z.B.
indem er einen anderen Prozess fuer die Netzwerkkommunikation
missbraucht hat, ist dieser Nachteil IMHO zu verschmerzen und
die Vorteile der dedizierten Firewall ueberwiegen deutlich, so-
lange das ganze mit hinreichender Sorgfalt und Sachkenntnis auf-
gesetzt wird).
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Juergen Ilse
Ralph Lehmann <in...@dummenfang.info> wrote:
> Pascal B. Kreil schrieb:
>>>> Guck mal
>>>> <http://www.ulm.ccc.de/old/chaos-seminar/personal-firewalls/recording.html>
>>>Ich habe nicht nachgesehen, deshalb frage ich einfach mal nach, ob es
>>>dieses Werk inzwischen in einer weder Augen- noch Trommelfellkrebs
>>>verursachenden Version gibt. ;-)
>> Nein, das ist immer noch eine Low-Budget-Produktion ;-)
> Schade. Man kann also immer noch keine ONUs dort hinschicken.
Ich sehe keinen Grund, den Link nicht weiterzugeben. So schlimm wie
du schreibst ist das IMHO wirklich nicht.
>>>> an und was man für lustige Sachen mit PFWs machen kann...
>>>Bitte! Am prinzipiellen Problem der Umgehbarkeit ändert nichts, ob Du
>>>vor das FW noch ein P setzt oder nicht.
>> Doch. Eine Firewall ist eine externe Komponenten (in vielen Fällen
>> eine eigene Appliance) und kann durch die Systeme im Netz nicht
>> deaktiviert werden (naja, sie sollte es zumindest nicht), das ist der
>> grosse und entscheidende Unterschied
Richtig.
> Es geht nicht um Deaktivieren, es geht um Umgehen (mittels Verpacken von
> ausgehendem Datenverkehr in ICMP, HTTP, DNS etc..
Filtern von ausgehendem Traffic kann man fast immer umgehen, es ist
nur eine Sache des zu treibenden Aufwands. IIRC wurde das auch fuer
Paketfilter auf dedizierter Hardware nicht wirklich bezweifelt. Der
Kritikpunkt an PFWs ist eher, dass die Hersteller *behaupten*, auch
ausgehenden Traffic kontrollieren zu koennen, obwohl das nicht zu-
verlaessig funktionieren kann, und dass sich teils auch leicht die
Regeln zum filtern von *eingehendem* Traffic beeinflussen lassen...
Darueber hinaus ermoeglichen einige Exemplare auch "local exploits"
die erst das erlangen von erhoehten Zugriffsrechten von unprivili-
gierten Usern zulassen. Von den teilweise in der Vergangenheit be-
reits aufgetretenen "remote exploits" und/oder "DOS-Moeglichkeiten"
einmal ganz abgesehen, die erst durch PFWs ins System eingeschleppt
wurden (der Witty-Wurm nutzte z.B. eine solche Luecke aus).
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Pascal B. Kreil
<in...@dummenfang.info> wrote:
>Pascal B. Kreil schrieb:
>> Ja klar. Da reicht schon eine trusted Application wie der IE und der
>> ist AFAIR bei allen bekannten PFW-Lösungen per Default "trusted".
>
>Das mag sein, allerdings heißt "trusted" nicht, dass die Anwendung das
>Teil deaktivieren kann, außerdem heißt default noch lange nicht endgültig.
Wie man es nimmt.... Für eine trusted Application gilt: PFW lässt
alles durch. Wenn es sich dabei nur um Port 80 geht, so lassen sich
auch über diesen und ein bisschen tricksen recht problemlos Daten auf
dem System ausspionieren.
>Hinweis: Es geht mir nicht um Sinn oder Unsinn von PFW, es geht mir nur
>darum, richtig zu stellen, dass nicht jede Anwendung auf einem
>ordentlich konfigurierten System in der Lage ist, die PFW abzuschalten.
Jede Anwendung nicht, *das* stimmt. Aber jede Anwendung die es will,
kann es auch. Da reicht es eine Lücke der PFW auszunutzen oder es
reicht bereits wenn man einen Überlauf provoziert, der dann in der
Beendigung der PFW-Komponente endet und so weiter.
Dazu kommt dann noch die deutlich einfachere Variante... Fenster der
FW poppt auf (so viele verschiedene Titelzeilen muss man da als
Programmierer gar nicht gerücksichtigen) und weil diese Fenster alle
Controls enthalten kann man so schnell das Control triggern dass der
Anwender maximal vielleicht einen Schatten auf dem Display erkennen
kann -- wenn er denn aufpasst. Das braucht keine Adminrechte.
Und wenn die Software dann ganz daneben ist, die da als Firewall
verkauft worden ist, so kann man als Anwender das Ding auch komplett
abschalten. So schwer ist das nicht dann ein eigenes Icon in der
System Notification Area einzubauen welches dann lustige (wenngleich
sinnlose) Animationen abspielt und die Aktivität der PFW vorgaukelt.
>>>Ich habe nicht nachgesehen, deshalb frage ich einfach mal nach, ob es
>>>dieses Werk inzwischen in einer weder Augen- noch Trommelfellkrebs
>>>verursachenden Version gibt. ;-)
>>
>> Nein, das ist immer noch eine Low-Budget-Produktion ;-)
>
>Schade. Man kann also immer noch keine ONUs dort hinschicken.
Wobei ich denke, dass es eher an der Gesamtthematik liegt. Um das
nachvollziehen zu können was da gezeigt und angesprochen wird ist
schon ein gehöriges Quentchen an Hintergrundwissen nötig. Wenn man das
aber hat, dann wird da aber auch nix neues gezeigt.
>>>Bitte! Am prinzipiellen Problem der Umgehbarkeit ändert nichts, ob Du
>>>vor das FW noch ein P setzt oder nicht.
>>
>> Doch. Eine Firewall ist eine externe Komponenten (in vielen Fällen
>> eine eigene Appliance) und kann durch die Systeme im Netz nicht
>> deaktiviert werden (naja, sie sollte es zumindest nicht), das ist der
>> grosse und entscheidende Unterschied
>
>Es geht nicht um Deaktivieren, es geht um Umgehen (mittels Verpacken von
>ausgehendem Datenverkehr in ICMP, HTTP, DNS etc..
Achso, ja. Natürlich lassen sich auch da Löcher finden durch die man
Daten übertragen kann, keine Frage. Allerdings ist es nirgendwo so
einfach dies zu tun wie bei einer lokal installierten Komponente.
"Sicher" in der EDV ist nur, dass nix 100% sicher ist ;-)
Bis denne,
Pascal
Volker Birk
> Dazu kommt dann noch die deutlich einfachere Variante... Fenster der
> FW poppt auf (so viele verschiedene Titelzeilen muss man da als
> Programmierer gar nicht gerücksichtigen) und weil diese Fenster alle
> Controls enthalten kann man so schnell das Control triggern dass der
> Anwender maximal vielleicht einen Schatten auf dem Display erkennen
> kann -- wenn er denn aufpasst. Das braucht keine Adminrechte.
Übrigens: von Zone Alarm Pro mal abgesehen, wo man einfacher anders vorgeht,
lässt sich das Anzeigen von Fenstern mittels eines Hooks auf WM_PAINT und
WM_NCPAINT auch einfach verhindern. Alternativ kann man das Fenster auch
sofort nach Sichtbarwerden wieder unsichtbar machen. Funktioniert trotzdem.
Viele Grüße,
VB.
--
> My windows XP is updated for all critical updates including survive pack 2.
Norman Perry in c.s.f