<2002-01-20> Zonealarm-FAQ

[Utz Pflock]

<2002-01-20> Zonealarm-FAQ
==========================

Inhalt
------

1. Allgemeines

1.1 Wozu diese FAQ?
1.2 Versionshinweis
1.3 Rechner und Browser (minimales Sicherheits-Know-How)

2. Diese Newsgroup als Informationsquelle

2.1 Charta dieser NG
2.2 Wer postet hier?
2.3 Was stimmt?
2.4 Was stimmt nicht?

3. Allgemeine Fragen zu Zonealarm

3.1 Ist Zonealarm eine Firewall?
3.2 Welche Firewall ist die Beste?
3.3 Warum klappt das Update nicht?
3.4 Sendet Zonealarm Informationen von meinem Rechner?
3.5 Wie sicher ist Zonealarm?
3.6 Was kann Zonealarm, was kann es nicht?
3.7 Genügt Zonealarm allein für meine Sicherheit?
3.8 Geht Zonealarm mit Windows XP?

4. Konkrete Einstellungen an Zonealarm

4.1 Kann ich Programmen "Zugriff auf's Internet erlauben"?
4.2 Soll ich automatische Softwareupdates aktivieren?
4.3 Soll ich mir die Meldungen von Zonealarm anzeigen lassen?
4.4 Mein Napster geht nicht, was kann ich machen?
4.5 Welche Größe für das Logfile?

5. Meldungen von Zonealarm

5.01 Mein Zonealarm meldet einen Trojaner, was soll ich tun?
5.02 Ich werde wild gescannt. Sind Hacker auf meinem System?
5.03 Wie soll ich die "erweiterte Information" verstehen?
5.04 Wie bekomme ich heraus, wer da meinen Rechner scannt?
5.05 Wann soll ich mich beschweren?
5.06 Wo soll ich mich beschweren?
5.07 Ein Programm will Zugriff auf's Internet, obwohl ich nichts
im Internet machen wollte. Was ist los?
5.08 Ein Programm mit dem ich oft in's Internet will meldet sich.
Kann ich ihm dauerhaften Zugang erlauben?
5.09 Kann ich Programme wieder sperren, denen ich Zugang
erlaubt habe?
5.10 Kann ich das dauerhafte Erlauben von Internetzugang
grundsätzlich abschalten?

6. Vertrauensfragen

6.1 Vertrauen in Software
6.2 Vertrauen in Downloadquellen
6.3 Vertrauen in Informationsquellen
6.4 Open Source, pro und contra

7. Kontakte

7.1 Informationen und Download im www
7.2 Autor Info

**************
1. Allgemeines
**************

1.1 Wozu diese FAQ?
-------------------
Diese FAQ soll helfen die Möglichkeiten, Grenzen und Risiken
jeweiliger Einstellungen von Zonealarm kennen zu lernen. Sie soll
gleichfalls übermäßig guten wie übermäßig schlechten
Kommentaren einen sachlichen Riegel vorsetzen und nicht zuletzt
ein Grundwissen vermitteln, um bei weiteren Diskussionen zu diesem
Thema eine passende Diskussionsbasis zu bieten.

Viele Punkte lassen sich auf andere Desktop Firewall Systeme
übertragen, allein schon weil eine objektive Betrachtung
der Möglichkeiten und Unmöglichkeiten von Zonealarm einen
Blick weit über die Software hinaus erfordern.

Ein wesentlicher Bestandteil ist der Versuch, mit diesem
Dokument den Blickwinkel zu erweitern, die vielen Aspekte
zu überschauen, die aus einer einfach erscheinenden Frage
resultieren können. Das kann bisweilen erst zu neunen vielleicht
für das jeweilige Ziel viel interessanteren Fragen führen.

Natürlich soll sie vorrangig die häufig gestellten Fragen zu
Zonealarm, Desktopfirewalls und allgemeinen Einsteigerfragen
zum Thema der Privaten Sicherheit im Netz beantworten.

In jedem Fall spiegelt sie die Meinung des Autors wieder, der
sachlichen Argumenten ebenso aufgeschlossen ist, wie er
Behauptungen oder Möglichkeiten nicht als allgemeingültige
Tatsachen darzustellen beabsichtigt.

1.2 Versionshinweis
-------------------
Die Zonealarm-FAQ ist wie im Usenet weit verbreitet mit einer
Version in Datumsform "<Jahr-Monat-Tag>" ausgestattet. Dies
soll ein einfaches Filtern der FAQ nach zwei Methoden ermöglichen:

a) Wer die FAQ gar nicht lesen will, kann seinen Filter auf
" Zonealarm-FAQ" ausrichten.

b) Wer die FAQ nicht unnötig nachladen will, kann seinen Filter
auf das vollständige Subject "<Jahr-Monat-Tag> Zonealarm-FAQ"
ausrichten.
Somit wird er durch eine Subjectänderung auf eine neue Version
aufmerksam und braucht keine identischen Versionen zu laden.

1.3 Rechner und Browser (minimales Sicherheits-Know-How)
--------------------------------------------------------
Sensible Daten sind auf dem Surf-PC schlecht aufgehoben.
Spiele und Softwaretests sollte man vom Arbeitsrechner fernhalten.
Von den im Folgenden genannten Lücken genügt *eine* um damit
ersthaften Schaden anzurichten!

JavaScript ist ein Sicherheitsrisiko, in erster Linie weil es dafür
missbraucht werden kann die ActiveX-Einstellungen zu ändern.

Eingeschaltetes ActiveX bedeutet, dass du es jetzt ausschaltest
oder hier nicht weiterlesen brauchst. Es ist ein Freibrief alles
auf deinem Rechner tun zu dürfen. Die sogenannte Sicherheitsstufe
funktioniert nicht. Zumindest in einigen Browsern genügt JavaScript
um ActiveX einzuschalten.

Beides sollte maximal per "Eingabeaufforderung" aktiviert werden.

Der Internetexplorer bietet bei den Sicherheitseinstellungen eine
"Internetzone" und eine "lokale Zone". ACHTUNG! Die "lokale Zone"
ist extrem unsicher eingestellt und gilt leider bei jeglichem
Aufruf durch Programme des eigenen Rechners. Alle Sicherheits-
Einstellungen müssen für beide "Zonen" gleich eingestellt werden,
da jeder indirekte Aufruf (Mailprogramm, Instandmessenger,...)
auf die "lokale Zone" zugreift. Solche indirekten Zugriffe sind
oft recht einfach anzuwenden bzw. optimale Basis für Würmer.

Zusätzlich sollte die Datei wscript.exe (wsh.exe) aus dem
Stammverzeichnis von Windows gelöscht werden, wenn man sie nicht
unbedingt benötigt. Wer sich nicht sicher ist, kann sie auf eine
Diskette kopieren und notfalls wieder herstellen.

Es ist allerdings nicht nur über die als unsicher bekannten
Mailprogramme, sondern über weitgehend alle Mailprogramme durch
ausnützen von Bufferoverflows möglich, auf diesen Windows Scripting
Host zuzugreifen und z.B. über diesen Zugriff Daten nachzuladen,
die der Einrichtung einer Hintertür dienen.

Auch dies ist ideale Basis für Würmer, grossflächig Schaden
anzurichten. Bei Windows98 konnte man (Benutzerdefiniert) die
Installation des Scriptinghost (Default) ausschalten, doch über
die Installation jedes Internetexplorer ab Version 4 kommt dieser
dann dennoch zur Installation!

Nur wenige (meist ersetzbare) Programme und noch weniger
Anwender benötigen diesen Scriptinghost. Er ist jedoch sehr
mächtig und bei bösartigem Zugriff zu allem zu gebrauchen.

Entsprechende Lücken zum Zugriff sind extrem verbreitet!
Es ist über einen einfachen Trick mit nicht endenden
Extension-Keys (die interne Dateiendung, die höheren Stellenwert
als die in Dateinamen üblichen drei Endbuchstaben haben)
möglich, Windows dazu zu veranlassen, entsprechenden Code
mit allen Rechten an den Scriptinghost zu übergeben.

Der Scriptinghost ist neben ActiveX das grösste Scheunentor
zu deinem Rechner, der unter anderem auch Attacken auf die
verwendete Firewall oder Virenscanner zum Kinderspiel macht.

Die Funktion "Auto-Vervollständigen der URL", die meist in den
erweiterten Optionen des Browsers zu finden ist, sollte ausgeschaltet
sein. Sie kann bei Passworteingaben missbraucht werden, was übrigens
besonders gern auch in Internetcafes missbraucht wird.

Auch bei Java sind Sicherheitslücken bekannt geworden, die anraten
lassen, dies ebenfalls nicht grundsätzlich überall zu aktivieren,
sondern nur selektiv zuzulassen. Betroffen ist dabei konkret die
Microsofts Version von der Java Virtual Machine.

Doppelklick auf fremde Dateien ist ein enormes Risiko, da auch bei
angezeigter Dateinamenerweiterung durch angehängte Registrycodes
völlig andere Programmverknüpfungen damit erreicht werden.
Öffne das Programm für das die Datei sein soll und damit die Datei.
Kommt es dann zum Fehler, sollten die Alarmglocken klingen!

Vorsicht bei Browser Plug-In! Diese sollten auf jeden Fall zumindest
mit einem Virenscanner geprüft werden, um wenigstens bekannte
Schadsoftware zu vermeiden. Plug-Ins auf irgend einer www-Seite zu
laden, weil diese das so "vorschlägt" ist riskant. Da man von der
damit verbundenen "Programmänderung" weiss und sie erlaubt, stehen
Schadfunktionen - auch mit Zonealarm - alle Türen offen!

Bildschirmschoner sind schön. Gleichzeitig haben sie übermässige
Rechte auf dem Rechner und lassen sich auch von Laien optimal
mit Trojanern verbinden und im Nezt verbreiten. Von der
Verwendung von Bildschirmschonern aus nicht 100% sicherer
Quelle ist dringend abzuraten.

Nutzer von Windows NT, 2000 oder XP sollten auf jeden Fall für
sich selbst einen "Benutzer" einrichten, der keine Installations-
rechte besitzt. Damit Surft und Mailt es sich deutlich sicherer!
Die Zeit sich für gewollte Installationen als Administrator
anzumelden und anschliessend wieder zum Benutzer zu wechseln
ist als MUSS zu sehen.

Nutzer von Windows 2000 sollten beachten, dass die Datei und
Druckerfreigabe grundsätzlich eine globale Freigabe ist.
http://support.microsoft.com/default.aspx?scid=kb;DE;q204279

*****************************************
2. Diese Newsgroup als Informationsquelle
*****************************************

2.1 Charta dieser NG
--------------------
de.comp.security.firewall Sicherheit trotz Netz.

Charta:

Thema der Gruppe ist die Trennung von Computernetzen durch
Paketfilter, Proxies und komplexere Firewall-Lösungen, aber
auch Host-basierte Filter können hier besprochen werden. Unter
anderem wird in dieser Gruppe die Konzeption derartiger Systeme,
deren technische Umsetzung sowie die Konfiguration konkreter
Implementationen diskutiert.

Fragen zu konkreter Software sollten im Betreff mit dem Namen oder
einem gängigen Kürzel für diese Software versehen werden; dieses
Kürzel ist in eckige Klammern zu setzen. Beispiel: "[netfilter] Wie
bestimmte RPC-Requests wegwerfen?"

2.2 Wer postet hier?
--------------------
Du, ich, jeder der sich an die Charta hält und bisweilen auch
noch ein paar Leute mehr.

Um das etwas zu konkretisieren und die Sensibilität für die
Inhalte zu wecken, will ich einige "Artgenossen" soweit möglich
neutral nennen, wobei manchmal mehrere Punkte gleichzeitig
übereinstimmen können:

- Allgemeine Anfänger
- IT-Speziallisten und solche auf gutem Weg es zu werden
- Hacker oder Hacker nahestehende Personen, die mit "guten
Tipps" schlechten Rat geben
- Firewall Admins, von beruflich bis privat in allen "Güteklassen"
- Kommerzielle Anbieter von Sicherheitssystemen, die alle
Alternativen verteufeln, an denen sie selbst nichts verdienen
- Multiple Persönlichkeiten, die versuchen Inhalte wahr
darzustellen, indem diese "durch mehrere Leute genannt werden"
- Nachplapperer, die eine vorherige Spezies wissentlich oder
nicht wissentlich unterstützen
- Leute die mit Kraftsprüchen um sich werfen
- Leute unter falschem Namen
- Leute, die sich plötzlich anders Verhalten, als man von ihnen
erwartet.
- User, die sich für das Thema interessieren, sei es aus Neugier
oder aus der Absicht sich mit Aufbau, und Pflege eigener
Sicherheit zu beschäftigen

2.3 Was stimmt?
---------------
Innerhalb dieser Newsgroup gehen die Meinungen nicht selten
auseinander und nicht immer lässt sich ein Thema mit sachlichen
Argumenten abschließen. Hier will ich ein paar Anregungen
zum Umgang mit Information aus dieser Newsgroup geben, zu
weiteren Vertrauensfragen gibt es einen separaten Punkt 6 in
dieser FAQ.

Nutze deinen gesunden Menschenverstand und viel mehr noch deinen
Sachverstand. Notiere dir Inhalte in eigenen Worten, wäge sie
ab und nutze weiter Verweise auf Informationsquellen. Sei dir
bewusst, dass diese Informationsquellen, sofern sie im Internet
stehen, unabhängig ihrer Auftrittsform ebenso wahr wie
unwahr sein können.

Es ist egal, ob Information aus Absicht oder Dummheit falsch
oder unvollständig verbreitet wird. Nicht zuletzt ist dafür
auch entscheidend, wie die jeweilige Information angenommen
und umgesetzt wird.

Die Auswahl der Informationsquellen und das Vertrauen in Hersteller
von Software oder Downloadseiten ist eines der wesentlichen Aspekte
bei Aufbau und Wartung von Sicherheitssystemen. Versuche dir
zunächst in dieser Newsgroup ein Bild zu machen und lies auch
diese FAQ mit skeptischem Blick!

2.4 Was stimmt nicht?
---------------------
Es gibt einige Methoden etwas wahr erscheinen zu lassen:

- Werbung mit eigenem Namen, Ruf oder Qualifikation.
(unverifizierbar!)
- Ständiges Wiederholen von Aussagen.
- Beleidigungen und Abwertungsversuche gegenüber Leuten, die
andere als die eigene Meinung vertreten.
- Produzieren mehrerer gleichlautender Meinungen, wobei der
Vorsatz oder die Eigendynamik keine Rolle für irgend eine
"Mehrwertigkeit" spielen.
- "Offizielles" Erscheinungsbild von Postings (Ja, auch diese
und jede andere FAQ ist damit gemeint und will kritisch
gelesen werden!)

Du kannst dir überlegen, warum das versucht wird (Punkt 2.2)
oder vielmehr lernen solche Methoden zu erkennen und entsprechend
damit umzugehen.
Verliere dein Ziel nicht aus den Augen!

*********************************
3. Allgemeine Fragen zu Zonealarm
*********************************

3.1 Ist Zonealarm eine Firewall?
--------------------------------
Jein. Es ist ein Paketfilter mit zusätzlichen Schutzmechanismen,
die durch Identifizierung von Programmen, die eine Internet-
verbindung aufzubauen versuchen, einige Risiken mindert.

Da Zonealarm direkt auf dem Rechner läuft, auf dem auch die
Internetanwendungen und sonstigen Programme liegen, nennt man
das Konzept "Desktopfirewall".

Das Konzept einer Firewall, keine ungewollten Daten durchzulassen,
kann niemals aufgehen, wenn auf dem gleichen Rechner andere, nicht
mal beständig definierte, Dienste und Programme laufen.

Andererseits kann eine Desktopfirewall vom Anwender verursachte
Fehler mit durchaus respektablen Chancen ebenso kompensieren, wie
das mit einer "richtigen" Firewall möglich wäre.

Daher spricht man im Volksmund von einer Firewall. Anstatt sich
nun zu sehr über die Einordnung Gedanken zu machen, empfiehlt es
sich besser über die Möglichkeiten, Grenzen und Anwendung Gedanken
zu machen.

3.2 Welche Firewall ist die Beste?
----------------------------------
Welches Auto ist das Beste? Ein Bus? Ein Rennwagen? Eines mit
oder ohne Dach? Eines das mit Rapsöl fahren kann?...

Was willst du schützen? Vor wem? Wie gut?
Wie viel Aufwand willst du selbst dafür opfern?
Was ist es dir wert? (Geld und Zeit)

Eine allein vor sich hin werkelnde Firewall, die alles hinter
sich ermöglicht und keiner Wartung oder Kooperation bedarf,
die gibt es nur auf www.sweetdreams.grog

Soviel sei jedoch gesagt: Dein eigenes aktives Mitdenken ist
der Kern jeder Firewall. Mit "gute Firewall finden, installieren
und dann sicher sein" bist du ganz sicher auf dem Holzweg!

Weiterführende Info zu dieser Frage:
http://www.home.pages.at/heaven/absolut.htm

3.3 Warum klappt das Update nicht?
----------------------------------
Es ist nötig, dass du vor dem Update Zonalarm beendest. Am
einfachsten geht das über das Icon in der Taskleiste, im
Kontextmenü der Punkt "shutdown".

Ohne diese Massnahme betrachtet Zonealarm das Update als
Angriffsversuch auf seine Dateien, den es verhindert.

3.4 Sendet Zonealarm Informationen von meinem Rechner?
------------------------------------------------------
Ja. Mindestens einmal wird eine Registriernummer verschickt, das
steht auch so in der Lizenz des Programms und ist nicht mehr als
eine Nummernidentifikation deines Zonealarm.

Bei der Einstellung "automatisch nach Updates suchen" (nicht
machen, selber mitdenken!) beziehungsweise beim manuellen Update
wird natürlich die Versionsnummer versandt.

Eine Spyware-Funktion, die personenbezogene Information, Surf-
gewohnheiten oder gar Daten von der Platte versendet, ist in den
bisherigen Versionen unwahrscheinlich. Durch Zwischenschalten
eines weiteren Paketfilters bzw. eines Snifferprogramms kann
die Kommunikation von Zonealarm untersucht werden und dabei
erhält man nur besagte Registrierung beim ersten Verbindungsaufbau
sowie gegebenenfalls die Versionsinfo bei Anforderung von
Updates.

Anderslautende Behauptungen kursieren jedoch auch im Netz.
Beschreibungen verifizierbarer Testumgebungen fehlen jedoch
dazu. Man muss davon ausgehen, dass die Betreffenden über
die Registrier- und Versionsanfragen gestolpert sind und diese
Daten inhaltlich nie betrachtet haben.
Allerdings sind bei der Default-Installation zwei Checkboxen
gesetzt (Diese Kästchen mit Haken drin), die man deaktivieren
muss um diese Verbindungen zu vermeiden.

3.5 Wie sicher ist Zonealarm?
-----------------------------
Da Sicherheit nicht in Metern gemessen werden kann, ist diese
Frage nicht mit einem kurzen Satz zu beantworten. Der nächste
Punkt dieser Faq nennt Möglichkeiten und Unmöglichkeiten des
Programms.
Einfach installiert und "irgendwie" konfiguriert kann Zonealarm
dich mit ein wenig Glück in einer Extremsituation durchaus mal
schützen, mit etwas weniger Glück vielleicht erst in eine solche
Situation bringen, in dem es dir Sicherheits/gefühl/ vermittelt.

Unter Beachtung der empfohlenen Hinweise bleiben mit Sicherheit
einige Risiken bestehen. Weitere Informationen zu den Grenzen
findest du in der FAQ "Personal Firewall umgehen"
http://people.freenet.de/nhb/pf-umgehen.txt
von Hendrik Brummermann.

Angenommen der Fall, du irrst dich einmal gewaltig beim Vertrauen
in eine Software oder stolperst über eine Sicherheitslücke in
einer Software und installierst dir auf diesem Weg ungewollt
einen Trojaner, der auf deinem Rechner als Dienst (z.B. als
Dateiserver oder Fern-Administrations-Tool) dienen soll, dann
besteht ausgesprochen hohe Wahrscheinlichkeit, dass du diesem
Dienst mit Zonealarm einen Strich durch die Rechnung machst.
Das ist jedoch nur eine Hürde gegen ettliche Attacken.

Vergleiche es mit einem Airbag, der dich aus einer Richtung
schützen kann (nie perfekt), für andere Richtungen jedoch keine
Hilfe bringt oder sogar etwas stören kann. Wenn du wegen seiner
Installation das Rasen beginnst und dich übermäßig sicher
fühlst, dann ist er nicht gut für dich. Wenn du ihn als hoffentlich
nie benötigten Mechanismus betrachtest, kann er dem einen oder
anderen Nutzer mal große Hilfe leisten.

3.6 Was kann Zonealarm, was kann es nicht?
------------------------------------------
Gehen wir von einem unkompromittierten Zonealarm auf nicht
kompromittiertem Betriebsystem aus und schauen, was es dann
kann:

Es kann zunächst mal sämtliche Internetverbindung blockieren.

Es kann Programmen nach Name, Dateigröße, Erstellungsdatum
und Pfad dauerhaft Netzzugang erlauben. Zudem wird eine
Prüfsumme des Programmes verglichen, um bei dessen Änderung
den Anwender zu warnen und nur nach erneuter Rückfrage das
Programm Verbindung in's Netz aufbauen lassen.

Es erkennt Programme, wenn sie eine Netzverbindung aufbauen
wollen, erkennt den Name, mit dem sich dieses Programm
meldet und bildet eine Prüfsumme von dem Programm, um
Täuschunsversuche zu erkennen.

"Erlaubt" man so einem Programm die Verbindung, so öffnet
Zonealarm alle nötigen Ports, jedoch nur zu diesem Programm.
Ist dieses Programm mit einer Schadfunktion versehen, findet
diese Schadfunktion ebenfalls eine Verbindung!

Schwächen oder auftretende Angriffspunkte können über gezielte
Abwehrmechanismen mit Updates kompensiert werden.

"Nuken" (zufälliges oder wenn deine IP bekannt ist auch gezieltes
abstürzen lassen eines Windows-PC) geht nicht, solange Zonealarm
an ist. Die sogenannte "Druckerfreigabe/Laufwerksfreigabe" die
eigentlich nur lokal funktionieren sollte funktioniert wirklich
nur noch lokal.
Dieses Problem lässt sich auch durch entsprechende Konfiguration
der Bindungen in den Netzwerkeinstellungen ohne Zonealarm vermeiden.

DOS-Attacken benötigen eher mehr Aufwand, da Zonealarm Anfragen an
nicht verwendete Ports ohne weitere Überprüfung sofort verwirft. Das
bedeutet, dass die Anfragen an deinen Rechner weniger Last
verursachen. Eventuell kompensieren die Logfileeinträge diesen Effekt
teilweise. Die "durchgelassenen" Pakete verursachen dafür etwas mehr
Last.

Schauen wir nun, was Zonealarm nicht kann:

Ist ein Programm selbst kompromittiert, erkennt Zonealarm das
nicht. Verbreitete Software (Browser) kann ein Angreifer als
vorhanden voraussetzen und hintergehen. Aktuell ist eine
solche Attacke jedoch nicht bekannt. Schadfunktionen in Plug-Ins
für Browser sind leider alles andere als neu. Hat man einem
Browser mit so einer Schadfunktion die Verbindung erlaubt, dann
kann Zonalarm nicht helfen!

Trojaner als solches werden nicht erkannt. Netzserver Funktionen
sind nur eine Form von Schadfunktion. Auch hier /erkennt/
Zonealarm nicht den Trojaner, sondern den Verbindungsaufbau.

"Doppelklick" auf Mailatachements kann Zonealarm nicht verhindern.
Es kann dich weder dafür schlagen, noch die folgenden Aktionen
beeinflussen.

Es kann durch Würmer verursachten Mailflut oder Virenflut, die
über dein Mailprogramm oder Mailserver geht, nicht verhindern.

Theoretisch kann ein Angreifendes Programm (Das du in irgend
einer Form aktiviert hast) ganz gezielt die von dir verwendete
Hardware ansprechen, das heißt es kann selbst Modem oder
Netzkartentreiber mitbringen. Allerdings ist solch ein Hintergehen
nicht einfach zu verdecken und es besteht die Wahrscheinlichkeit,
dass es dabei in Zonealarm zu einer Fehlfunktion kommt, die
alle Verbindungen einfrieren lässt.

Zonealarm kann nicht prüfen, ob unterwegs jemand an der Routing-
Tabelle manipuliert hat und der Updateaufruf umgeleitet wird.

3.7 Genügt Zonealarm allein für meine Sicherheit?
-------------------------------------------------
Nein. Hier muss noch einmal der Vergleich mit einem Airbag
herhalten. In erster Linie liegt deine Sicherheit an deinem
Verhalten. Steuerst du planlos im Zickzack von der Strasse,
wird dir die gelegentlich geschonte Nase wenig nützen.
Wirft dir jemand eine Stange Dynamit zum Fenster rein, nützt
der Airbag gar nicht. Bleibst du auf dem Bahnübergang stehen,
hilft er dir auch nicht gegen den von der Seite kommenden
Zug.

Zurück zur Praxis. In erster Linie liegt deine Sicherheit
an deinem Verhalten. Installierst du planlos Dienste und
Programme, so bist du deren Sicherheitslücken und Risiken
ungebremst ausgesetzt.

Neben diesem eigenen Verhalten sollte ein aktueller Virenscanner
mit aktueller Viren Database nicht nur zum Inventar gehören,
sondern auch benutzt werden - insbesondere empfiehlt es sich
nach Installationen anderer Software ein Update der Viren-
Database neu einzuspielen und danach den Rechner zu scannen.

"Zonealarm allein" genügt auch für seinen Teil der Aufgabe nicht,
du musst es wirklich /nutzen/. Das hat nichts mit "Autostart"
zu tun, sondern allein mit deinen Einstellungen und Reaktionen.

Sehr vorteilhaft ist es auch sich über Sicherheitslücken von
den sonstigen eingesetzten Softwareprodukten zu informieren.

Zitat:
"IT-Sicherheit kann ich nicht kaufen, die muss ich leben"
(Wolfgang Brockhaus, Geschäftsführer von TÜV Nord Security)

3.8 Geht Zonealarm mit Windows XP?
----------------------------------
Ab Version 2.6.214 wird Windows XP unterstützt.

***************************************
4. Konkrete Einstellungen an Zonealarm
***************************************

4.1 Kann ich Programmen "Zugriff auf's Internet erlauben"?
----------------------------------------------------------
Ja. Dann wenn du gerade in dem Moment selbst das Programm
aufgerufen hast. Es gibt die Option "Dieses Programm für
Internetverbindungen merken", das hat den Nachteil, dass
man generell nicht mehr informiert wird, wenn das Programm
eine Verbindung herstellen will. Andererseits bemerkt
Zonealarm Veränderungen an dem Programm und meldet die
speziell, wenn man diesem Programm Verbindung erlaubt hat
und es sich geändert hat.

4.2 Soll ich automatische Softwareupdates aktivieren?
-----------------------------------------------------
Nein. Aber vergiss sie nicht ganz! Eine permanente Abfrage nach
Softwareupdates bringt das Risiko mit sich, dass du in temporären
Fallen landest, so wie auf einer umgeleiteten Adresse oder dass
du eine kompromittierte Version lädst.
Solche Attacken sind selten von langer Dauer, es wäre Unsinn,
unnötig ein ständiges Risiko einzugehen.

4.3 Soll ich mir die Meldungen von Zonealarm anzeigen lassen?
-------------------------------------------------------------
Es spricht nichts dagegen, nur _bitte_ vor du irgend jemand wegen
deinen Meldungen belästigst, lies Punkt 5 dieser FAQ!

Die Meldungen sind informativ, nur leider nicht nur missverständlich
sondern oft restlos falsch formuliert.

Das Anzeigen Lassen der Logfiles ermöglicht es, Floodingversuche
zu erkennen und die Verbindung abzubrechen (siehe 4.5).

4.4 Mein Napster geht nicht, was kann ich machen?
-------------------------------------------------
Das was dir Zonealarm empfiehlt, aus lassen.

Wenn du dennoch Napster laufen lassen willst, brauchst du kein
Zonealarm, da man mit einer Tür(Zonealarm) keine beseitigten
Hauswände(Napster in Betrieb) ersetzen kann.

4.5 Welche Größe für das Logfile?
---------------------------------
Die Größe des Logfiles läßt sich einstellen, das hat zunächst den
Vorteil, dass es übersichtlicher bleibt, nicht unendliche Speicher
benötigt und Attacken, es zum Überlauf zu bringen, erflolglos bleiben.
Will ein Angreifer konkrete Daten verwischen, kann er das auch für
sich verwenden, in dem er für übermässig viele Logeinträge sorgt.

Dadurch werden die älteren Einträge aus dem File gelöscht. Solange
man sich die "Alarmmeldungen" Zeigen lässt, merkt man dies jedoch
an rasch steigender Zahl ("Meldung x von yyy", wobei y eine
mehrstellige Zahl wird). In so einem Fall ist das Unterbrechen der
Verbindung zu erwägen, um den Beginn des Logfiles zu erhalten und
bei stark steigender Zahl von Meldungen auch um einer Überlastung
des Systems vorzubeugen.

100 kB darf man dem File schon gönnen, das ermöglicht ca. 1000
Einträge vor dem Überschreiben. Beachte, dass ein allzu großes
Logfile die Rechnerperformance negativ beeinflussen kann.

**************************
5. Meldungen von Zonealarm
**************************

5.01 Mein Zonealarm meldet einen Trojaner, was soll ich tun?
------------------------------------------------------------
Nichts. Zonealarm kann gar keine Trojaner melden, die Meldung
ist falsch. Zonealarm meldet eine Anfrage auf einem Port, der
standardmäßig von einem Trojaner verwendet wird. Der Trojaner
hat aber kein Patent auf diesen Port, dort könnte jedes andere
Programm genau so aktiv sein.

Zonealarm hat diese Anfrage an den Port als gefährlich eingestuft,
macht damit jedoch nichts anderes als mit jeder anderen überflüssigen
Anfrage auch - Es lässt sie in's leere laufen.

Wenn du glaubst, Trojaner zu haben, dann such mit Virenscannern,
die erkennen zumindest den bekannten Teil.

Wenn dich die Meldungen nervös machen, schalte sie ab. Die Scans
können Angriffe sein, so wie jedes bei dir vorfahrende Auto das
eines Einbrechers sein kann. Im Netz ist nun mal Verkehr und du
hast obendrein vermutlich eine dynamische IP, das heißt, die
Anfrage könnte aus einer vorherigen Verbindung eines anderen Users
kommen.

5.02 Ich werde wild gescannt. Sind Hacker auf meinem System?
------------------------------------------------------------
Wer auf deinem System ist braucht dich nicht zu scannen. Es kann
natürlich eine Suche nach Lücken auf deinem System sein, aber du
wirst doch keine haben, oder?

Besonders in den ersten Minuten nach Einwahl häufen sich solche
"Scanorgien". Wenn du eine dynamische IP hast und dein Vorgänger
hatte ein Napster laufen, kannst du prächtige Sammlungen von
Pings bekommen ;-)

Schalte die Meldungen ab, wenn sie dich nervös machen oder
stören und lass die Anfragen in's leere laufen, wo sie vermutlich
auch ohne Zonealarm gelandet wären.

Zonealarm meldet nun mal alle Anfragen, die es nicht zuordnen kann
und die im Normalfall in's Leere gehen. Solltest du wirklich
Schwachstellen hinter diesen Ports haben, hast' Glück gehabt.

5.03 Wie soll ich die "erweiterte Information" verstehen?
---------------------------------------------------------
Gar nicht. Lass sie einfach oder frage die Leute, die das
verzapft haben vor Ort und Stelle.

5.04 Wie bekomme ich heraus, wer da meinen Rechner scannt?
----------------------------------------------------------
Du kannst anhand der IP nur den Adressbereich herausbekommen,
also den Internet Service Provider, kurz ISP genannt. Der
ISP ist nicht berechtigt, dir die Daten des Kunden zu nennen.
So eine Rückverfolgung geht nur, wenn eine Straftat vorliegt
und ein Richter oder Staatsanwalt eine Ermittlung anordnet.
Auch in dem Fall wird dir der Kunde höchstens indirekt über
das Gericht bekannt. Unter Umständen kann die IP-Adresse
der eingehenden Pakete gefälscht sein.

5.05 Wann soll ich mich beschweren?
-----------------------------------
Solange das keine regelmäßigen übermäßigen Scans sind, solltest
du nichts tun und falls es wirklich extrem ist (und du immer
mit der selben IP oder in einem sehr kleinen IP-Bereich im
Netz bist) bittest du den Provider über den die Scans kommen,
dass er das mal bremst.

50 Scans sind /nicht/ übermäßig! Übermäßig fängt da an, wo deine
eigene Performance über mehr als einige Minuten belästigt wird
oder ein regelmäßiger Automatismus in größerer Zahl von Scans
zu erkennen ist.

Bitte belästige keine Leute wegen ein paar Scans! Du bist im
Internet? OK. Es gibt 65536 Ports, ca. 2 Milliarden Internetuser,
unzählige Server und Programme! Administratoren haben wirklich
besseres zu tun, als Email wegen einiger Portscans zu beantworten!

5.06 Wo soll ich mich beschweren?
---------------------------------
Per Email bei abuse@<provider>.<länderkennung> bitte unter
Beachtung von Punkt 5.04 und 5.05

Sollte es sich um konkrete Angriffe handeln (von Zonealarm
sogenannte "Trojanerport"-Scans gehören /nicht/ dazu!), so
ist security@<provider>.<länderkennung> die passende Adresse.

5.07 Ein Programm will Zugriff auf's Internet, obwohl ich nichts
im Internet machen wollte. Was ist los?
----------------------------------------------------------------
Wahrscheinlich ist es sogenannte Spyware oder ein Programm
versucht eine Registrierung. Das ist ausgesprochen unschön, aber
noch nicht direkt gefährlich. Es kann allerdings auch sein, dass
du dir tatsächlich einen Fehler geleistet hast und einen Trojaner
(mit-)installiert hast.

Ob du dich damit zufrieden gibst, dass vorhandene Spyware
einfach keine Verbindung bekommt und dennoch weiter auf deinem
Rechner herum scannt (und womöglich bei einer anderen Art von
Verbindung ihre Daten versendet), das bleibt dir selbst überlassen.
Du hast dann jedenfalls wieder etwas dazu gelernt.
Besonders im Bereich mp3-Player und Downloadmanager wird dir
Spyware begegnen.

Solltest du tatsächlich einen Trojaner auf der Platte finden,
installiere _komplett_ neu. Die Wahrscheinlichkeit, dass mehr
als ein Schadprogramm installiert wurde ist zu hoch.

5.08 Ein Programm mit dem ich oft in's Internet will meldet sich.
Kann ich ihm dauerhaften Zugang erlauben?
-----------------------------------------------------------------
Können kannst du das, es ist nicht zu empfehlen. Ganz besonders
wenn es sich um verbreitete Programme wie Browser oder Emailclient
handelt, solltest du das /nicht/ "dauerhaft erlauben".

Das schafft einem Angreifer eine zusätzlich Hürde, dass er nicht
unter dem Name mit gefälschter Parameterübergabe eine Verbindung
aufbauen kann. Er könnte nur ein kurzes Zeitfenster verwenden,
in dem du selbst das Programm aufrufst. Das allein reicht zwar
für Attacken oder Dateitransfer (notfalls in Stücken), ist jedoch
eine für Virenscanner (Trojanererkennung/Heuristik) leicht
einzugrenzende erkennbare Aktivität.

5.09 Kann ich Programme wieder sperren, denen ich Zugang
erlaubt habe?
--------------------------------------------------------
Ja. Unter "Programme" sind neben dem Programmname drei Punkte,
jeweils für Lokal- und Internetverbindung sind links Haken
für "dauerhaft erlaubten" Verbindungsaufbau, rechts Fragezeichen
für je aktuelles Nachfragen. In der Mittelposition kann man
die Aktivitäten komplett sperren (in Verbindung mit "geliebter"
Spyware ein nettes Feature gegen das "Festplattenkratzen" =:o)

5.10 Kann ich das dauerhafte Erlauben von Internetzugang
grundsätzlich abschalten?
--------------------------------------------------------
Leider nein. Dir bleibt nur die Hoffnung, dass falls das je mal
jemand ausnützt, du vor du ausgerechnet dieses Schadprogramm
installierst, ein gepatchtes Update geladen hast.

*******************
6. Vertrauensfragen
*******************

6.1 Vertrauen in Software
-------------------------

6.1.1 Kann man Software Bekannter Firmen trauen?
-------------------------------------------------
Leider genügt die Bekanntheit von Firmen weder für die Seriosität,
noch für die Zuverlässigkeit und das Risikobewusstsein. Gäbe es
eine Anleitung wie man Seriosität prüfen kann, könnte man genau
nach dieser Anleitung Schadsoftware vertreiben. Insbesondere im
Internet kann man leicht auf professionelles Erscheinungsbild von
Seiten hereinfallen, besonders wenn dort der Inhalt anderer
Firmenseiten gespiegelt wird.

6.1.2 Verbreitete Software ist sichere Software?
------------------------------------------------
Die Verbreitung allein ist kein Garant für die Sicherheit. Sie
erhöht die Chance, dass Schadfunktionen bekannt werden. Allerdings
setzt das voraus, dass du dich regelmäßig informierst.

Insbesondere bei Trittbrettfahrern aktueller Spielehits ist besonders
grosse Gefahr, dass diese für großangelegte Verbreitung von
Schadfunktionen verwendet werden.

Je länger Software im Umlauf ist, ohne dass Schadfunktionen bekannt
werden, umso größer wird die Wahrscheinlichkeit, dass sie keine
Schadfunktion enthält.

6.1.3. Software die viel kostet ist sicher?
-------------------------------------------
Du kannst bei mir gern 1000 DM für einen Trojaner bezahlen, wenn
dich das beruhigt ;-)

6.1.4. Originalverpackte Software ist sicher?
---------------------------------------------
Man kann die Verpackung fälschen und die Schadfunktionen in der
Herstellerfirma einschleusen. Im Vergleich zu Software aus dem
Internet ist solche Software unvergleichlich sicherer.
Insbesondere bei recht aufwendigen Projekten sind Schadfunktionen
eher die Ausnahme - die jedoch vorkommt.

6.1.5 Der Händler weiß das schon, nur die Transportfirma seines
Lieferanten kennt er nicht?
---------------------------------------------------------------
Im professionellen Bereich lassen sich die Aufwendigsten Hürden
meist mit den billigsten Tricks hintergehen.

Im privaten Bereich ist dies eher mit der vorherigen Frage
beantwortet.

6.1.6 Ist Internetsoftware sicher, die von PC-Zeitschriften empfohlen
wird?
---------------------------------------------------------------------
Nein. Sowohl in Newslettern als auch für die Zeitungen kann man
beliebig Tipps für Software geben. Die bläst man etwas auf und
wartet bis der Tipp erscheint. Dann packt man an die aufgeblasene
Stelle eine Schadfunktion. Auf diesem Wege kommen selbst
altbekannte Schadfunktionen an die Benutzer, weil diese die Tipps
für seriös halten.

6.2 Vertrauen in Downloadquellen
Kann man Programmen aus dem Internet überhaupt trauen?
------------------------------------------------------
Wenn man seine Virenupdates aus dem Netz lädt, sollte man die
Programme da prinzipiell auch laden können.

Das heißt, dein Provider kann dich grundsätzlich angreifen.
Er ist unterwegs nicht der einzige, doch der mit den besten
Möglichkeiten. Er kann deinen Netzverkehr überprüfen und den
verwendeten Virenscanner auslesen. Mit einer kleinen Änderung
im Nameserver - natürlich exklusiv für dich - lädst du zukünftig
seine eigenen dat-Files (prüft dein Scanner Checksum inclusive
Datum?) die dann einen gewünschten Remote-Administrations-Trojaner
nicht mehr kennen. Den Trojaner kann er dir dann bei nächster
Gelegenheit unterschieben. Natürlich muss das nicht der Provider
selbst sein, sondern nur jemand der sich Root-Rechte auf der
Maschine verschafft hat.
Ebenso könnte dir auf dem Weg ein "Zonealarm" mit völlig anderen
Funktionen untergejubelt werden.

Bei solch gezielten Angriffen sinken deine Chancen gewaltig,
wobei sich jedoch ein Angreifer schwarz warten kann, bis du
endlich nach einem Update, also "seinem Zonalarm" greifst. Ob
er so lange Root-Rechte bei deinem Provider hat, ist eher zu
bezweifeln.

Solange du Software aus dem Internet verwendest bist du in
nahezu jedem Fall sicherer dran, wenn du Virenupdates und
Personal Firewall auch verwendest. Beides muss nicht grundsätzlich
über das Internet geschehen. Dort wären sichere Verbindungen
zu bevorzugen - leider fehlt diese Option in der Praxis oft.

6.3 Vertrauen in Informationsquellen
------------------------------------
Ein heikles Thema, teils in anderen Punkten dieser FAQ schon
angedeutet. Eine vielleicht ungewöhnlich klingende Anregung dazu
besagt, dass man Informationsquellen prinzipiell nicht glauben
sollte, sondern die Information als Anregung der eigenen Kreation
betrachten kann. Es ist im Prinzip egal, ob man aus verschiedenen
kompromittierten Quellen Information sammelt, oder ob man nur
vertrauenswürdige Information erhält. Solange die Information einzig
Anstoß zur eigenen Kreation bleibt, kann sie nicht weit in die Irre
leiten. Im Gegenteil, Irrleitungsversuchen können sich ausgesprochen
kreativ auswirken, da man an ihnen schnell Grenzen erkennt, die man
setzen möchte.

6.4 Open Source, pro und contra
-------------------------------
Es gibt zwei widersprüchliche Theorien bei Software, die der
Sicherheit dienen soll. Die Eine besagt, dass man bei Open Source
(der Quellcode öffentlich) die Fehler erkennen kann und irgend jemand
der diese Fehler erkennt, sie auch nennt und sie beseitigt werden.
Zudem würden vorsätzlich eingebaute Schadroutinen erkannt. Die Andere
besagt, dass in eben diesem öffentlich zugänglichen Code Fehler
gefunden werden können und statt genannt zu werden könnten sie
ausgenützt werden. Außerdem ließen sich mittels dieses öffentlichen
Codes identisch scheinende Programme mit Schadroutinen einfach
erstellen und verbreiten. Umgekehrt müssten destruktive Programmierer
deutlich mehr Aufwand betreiben, wenn ihnen der Quelltext nicht
vorliegt.

Open Source prinzipiell als Vor- oder Nachteil für die Sicherheit zu
betrachten scheint keine Antwort zu sein, die sich pauschalisieren
oder als wesentliches Argument für oder gegen eine Software
verwenden lässt.

***********
7. Kontakte
***********

7.1 Informationen und Download im www
-------------------------------------
Diese FAQ im www:
http://www.home.pages.at/heaven/sec0092.htm
http://www.pflock.de/computer/za_faq.htm

Hersteller von Zonealarm:
http://www.zonelabs.com/

Deutschsprachige Anleitung zu Konfiguration und "Alarm-Meldungen":
http://www.trojaner-info.de/zone/index.html
oder das Gleiche (nerviges ActiveX):
http://www.zonealarm.de/

Abfrage von IP-Adressen
http://www.iks-jena.de/cgi-bin/whois

Firewall-FAQ von Lutz Donnerhacke
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

FAQ "Personal Firewall umgehen" von Hendrik Brummermann
http://people.freenet.de/nhb/pf-umgehen.txt

7.2 Autor Info
--------------
Utz Pflock, Technischer Assistent für Informatik,
unabhängig von der genannten Software und den Inhalten
hinter den weiterführenden Links.
http://www.pflock.de/

Anregungen zur Faq sind willkommen, ich lese die Gruppe mit, auch
wenn es wochenweise nicht so scheint ;-) Artikel die sich bei starkem
Subjectwandel ohne Änderung des Selben verstecken, können jedoch
übersehen werden.
em...@pflock.de

Zu guter Letzt will ich hier all den Schreibern in der Newsgroup
für ihre hilfreichen Tipps und Anregungen danken.