Pro und Kontra Personal Firewalls - die Grundsatzdiskussion

Bio-logisch

Moderator
Teammitglied
Teilweise dürfen die Mails gar nicht gescannnt oder gelöscht werden - das kollidiert sehr schnell mit so Sachen wie Datenschutz, Briefgeheimnis und ähnlichem.
 

QuHno

Außer Betrieb
Antivirenscans kollidieren IMHO nicht mit Datenschutz usw, da dabei nur nach "gefährlichen" Mustern gesucht wird. Sie müssen ja auch nicht unbedingt gelöscht werden, lediglich als verseucht markiert werden. Die passenden X-Header Zeilen in z.B. Mails gibt es ja.
BTW: Unser Mailserver in der Firma (Windows) macht das auch für Mails die an Linux Systeme weitergeleitet werden, denn wir sind ja nette Menschen. Der Linux Mailserver übrigens ebenso für Mails, die an Windows Systeme weiter gereicht werden, denn unsere Linuxer sind auch nette Menschen ;)

Andere Sache:
Natürlich beherrscht Windows seit NT den Multiuser-Betrieb und mit einem minimalen Zusatz auch das Äquivalent zu sudo (lediglich etwas komfortabler :p), inklusive Eingabe eventuell benötigter Passwörter in einer virtuellen Umgebung, damit Keylogger usw. keine Chance haben. Damit ist es auch unter Windows möglich, im Rahmen dessen, was einem der Administrator oder der Sysop erlaubt hat, Installationen vorzunehmen, ohne das Administrator Passwort zu kennen... ;)

Und nun zurück zum Thema Firewall:
So etwas gibt es auch für Linux und Co, auch zum selbst kompilieren, wenn man möchte, damit man überprüfen kann, ob denn in irgendeiner Zeile Malware versteckt ist. Auf meinem Router (Gentoo) läuft z.B. Smoothwall...

Ich bezweifele allerdings, dass 99,99% aller Linux User dies auch tatsächlich könnten - ab 100 Zeilen Sourcecode wird nicht von einem selbst geschriebener Code recht unübersichtlich oder ob denn vielleicht 500 Zeilen Später ein buffer overflow passieren kann, weil man mal wieder vergessen hat, den Speicher für eine Variable sauber zu aloziieren, ist auch nicht immer auf den ersten Blick ersichtlich ;)
Wer glaubt, dass er alleine durch Betrachtung von z.B. 10.000 Zeilen Sourcecode solche Sachen finden kann, ist entweder ein stinkreicher und hoch bezahlter Spezialist oder stammt nicht von dieser Welt ;)

Und ja, ich bin immer noch der Meinung, dass eine Application Firewall eine gute zusätzliche Schutzmaßnahme ist, nachdem man das System soweit dicht gemacht hat, wie es mit Bordmitteln möglich ist!
 

Ludacris

fühlt sich hier wohl
- dem ist eigentlich nichts hinzuzufügen :D -

ich benutze die Comodo Firewall und bin damit sehr zufrieden! Man kann viel einstellen und durch den konfigurierten Router und die doch sehr ausführliche konfigurierte Firewall denke ich mal bin ich auf der sicheren Seite ;) wobei.. was ist heutzutage schon sicher :smokin

wer die Comodo Firewall nicht kennt:
Comodo Firewall - Creating Trust Online

:)

P.S.: Werde mir mal die Smoothwall in der VMware anschauen, denn diese sieht auch sehr interessant aus..
 
Hi!

@Brummelchen
Ja, Richtig. Aber nur wenn man gerade wirklich mit Bughunting beschäftigt ist.
Wenn einem Automatisch die Platte mit Sinnfreien Protokollen vollgemüllt wird (Es sei denn, man hat nichts anderes zu tun) ,
dann ist das nicht mehr spaßig. :motz

Wenn das schon so eine "Tolle" Firewall ist, wieso werden dann die alten Protokolle nicht automatisch überschrieben ?
z.B. so ab 500 MB ?
oder da könnte ein Hinweis-Popup Fenster auf dem Desktop erscheinen - aber bei dem Thema waren die Programmierheinis (Codeaffe kommt nicht von Ungefähr) wohl wieder mit den Aktuellen Aktienkursen oder mit den neuesten Ferrari Testarossa/Lamboghini Modellen beschäftigt ?



tty.

.
 
Zuletzt bearbeitet:
B

Brummelchen

Gast
Dafür kann man bei OA ja die Tage zurück festlegen (Vorgabe=7).
--> Ereignisse > Enstellungen

Die Tiefe bzw Größe aber unter:
--> Einstellungen -> Firewall

Ich hoffe, die nächste Build bringt das etwas geordneter daher ;)
 
N

nightwishman

Gast
Das Produkt von Agnitum ist schlicht und ergreifend TOP. Ich arbeite seit vielen Jahren damit und möchte nicht mehr darauf verzichten. Diese Application-Level-GW-Firewall bietet teilweise mehr als die der großen Brüder im Desktop-Bereich. Der Support von Agnitum ist aus meiner Sicht klasse.
 
B

Brummelchen

Gast
Also "top" sehe ich relativ:
http://www.matousec.com/projects/proactive-security-challenge/results.php
Vor allem ist es schon aberwitzig, dass eine bezahlte Software schlechter ist
als die Freeware - wenn auch nur marginal. Sicher, ein gutes Produkt und für
unbedarfte Benutzer absolut sinnvolle Features. Auf der anderen Seite hat
Agnitum ne ganze Menge verhunzt. Ich steh gottlob nicht allein da, auch
wenn ich hier grad keine Referenzen dazu anführen kann.
Wenn ich OA und AO :D vergleichen sollte hat jedes Produkt seine vor- aber
auch Nachteile. Für mich ist momentan OA die eindeutig bessere Wahl, was
die Unterordnung in mein System als auch die Konfiguration angeht, was ich
bei AO schmerzlich vermisst hatte (teilweise sogar nicht so funktional war,
wie beschrieben).

Ein Feature, welches ich zu Anfang gut fand - der Webseitenfilter bei Outpost.
Er filtert gut, leider zu gut - weshalb ich die wichtigsten Seiten als Ausnahme
hatte und auf beiden Rechner zuletzt eine eher lockere Einstellung.
Deshalb habe ich die Filterung mehr und mehr auf Firefox und Proxomitron verlagert,
die ja schon dauernd mitlaufen. In dem Zusammenhang sei auch die AV-Engine
von Outpost angeschnitten - zum Fürchten... schlecht.
Weshalb ich die Suite überhaupt nicht empfehlen kann und beim normalen AO
den Blödsinn gleich dauerhaft deaktiviert hatte nebst Updates.

Und da wäre ich schon beim nächsten Punkt - was mich persönlich ein wenig
stört, ist die schiere Größe von Outpost. Und es wird einfach nicht kleiner.
Ich hatte vor Jahren LookNStop mal drauf, die hat 2MB für ne Firewall und
tut gut. Allerdings ist es gewöhnungsbedürftig und erfordert anders als
OA/AO richtig Einarbeitung. Nachteil is auch der nur englische oder
französische Support. Ok, genug offtopic...!
Zu Outpost hat es übrigens ein Thema von mir:
https://www.supernature-forum.de/al...st-firewall-2008-vs-outpost-firewall-3-a.html


Apropos Updates - OA hat ein (Beta)-Update, läuft bislang ohne Probleme.
Es sind auch ein paar Einstellungen hinzugekommen, mehr hier:
https://www.supernature-forum.de/871195-post4.html

.
 
B

Brummelchen

Gast
Eine Meldung von a-squared (free):

Braucht man sowohl eine Hardware- als auch eine Software-Firewall?
http://www.emsisoft.de/de/kb/articles/tec090701/

Der Artikel ist sehr einfach geschrieben und daher auch einem Laien verständlich.
Ein wenig Eigenwerbung ist auch dabei (weshalb ich das hier schreibe).
Leider fehlen mir die Nachteile, die eine Softwarefirewall/DesktopFirewall/DFW hat
und welche Maßnahmen es noch gibt, die eigentlich vor einer Softwarefirewall
stehen sollten (Stichwort passive Sicherheit und eingeschränkte Benutzerprofile).

*nach der Abtrennung - meinen persönlichen Erfahrungsbericht zu der beworbenen
Firewall findet hier hier: https://www.supernature-forum.de/tu...line-armor-firewall-in-eigener-erfahrung.html
 
Zuletzt bearbeitet:
N

nightwishman

Gast
@Brummelchen.

Der Artikel Braucht man sowohl eine physische als auch eine Software-Firewall? ist wirklich leider etwas seitens des Schreiberling schief geraten.

Selbstverständlich können Hardware-Firewalls nicht alle OSI-7-Schichten abdecken. Leider fehlt mir die Zeit, um ausführlicher darüber zu schreiben.

Natürlich benötigen wir beides, eine HW-FW, sowie eine SW-FW. Eine HW-FW kennt natürlich keine Viren, Würmer und Trojaner, weil OSI-7-Schichten.
 

QuHno

Außer Betrieb
Emsisoft Artikel schrieb:
Also, wenn diese Hacker ihr Programm auf Ihren Computer kriegen, so möchten Sie mit ziemlicher Sicherheit jegliche Verbindung dieses Programms in das Internet unterbinden. Und was trägt Ihre Hardware Firewall dazu bei? Ganz einfach, nichts.
Ich finde das reicht, mehr muss man dazu nicht sagen ;)

... ansonsten gelten natürlich Brummelchens Hinweise:
Brummelchen schrieb:
(Stichwort passive Sicherheit und eingeschränkte Benutzerprofile).
denn wenn man das nicht beachtet und glaubt, dass einen eine Software und oder oder eine Hardware Firewall zu 100% schützt, hat man es nicht besser verdient.

90% allen Kroppzeugs kann man sich alleine schon dadurch vom Leibe halten, dass man sein System aktuell hält (Nicht nur das Betriebssystem, sondern jegliche Software, die irgendwie eine Verbindung ins Netz aufnehmen kann), als eingeschränkter Benutzer arbeitet sowie die Augen offen hält und nicht auf jeden Müll klickt und ihn installiert.

Von den 10% werden noch ca 99% von Antivirensoftware bemerkt und für das restliche Promille müssen die Firewalls herhalten.

Bei den diversen Millionen an unterschiedlichen üblen Teilen, die man sich einfangen kann, bleibt da noch genügend übrig ...
 
B

Brummelchen

Gast
Also, wenn diese Hacker ihr Programm auf Ihren Computer kriegen, so möchten Sie mit ziemlicher Sicherheit jegliche Verbindung dieses Programms in das Internet unterbinden. Und was trägt Ihre Hardware Firewall dazu bei? Ganz einfach, nichts.
Der Artikel hat auch ganz klar herausgestellt, warum eine Hardware Firewall das
auch nie könnte - weil sie einfach auf einem anderen Rechner läuft und nicht weiss,
von wem nun die Anfrage über Port xy stammt. Das kann nur eine Softwarefirewall auf
dem betroffenen Rechner.

@nightwishman - ebenfalls stand im Artikel, dass die Aufgabe (k)einer Firewall nicht die
Erkennung von Malware ist - und nur darum geht es.

Eine Firewall kann nur noch den Datenstrom begrenzen, der durch Malware verursacht
wird, solange keine freigegebenen Ports benutzt werden. Eine Softwarefirewall,
insofern noch nicht kompromitiert, kann das lokal eingrenzen.

Deswegen hat man auch lokal HIPS dazu genommen, damit bestimmte Vorgänge auf
einem Rechner geordnet zugelassen werden können - als zusätzliche Hilfe für die
Antivirensoftware, die ja auch nur nach Mustern sucht.

Deswegen hatte ich ja auch meinen persönlichen Blickwinkel mit eingebracht, der
das alles soweit mit berücksichtigt.
 

Supernature

Und jetzt?
Teammitglied
ot:
Der vom PC ausgehende Traffic ist ohnehin uninteressant.
ot:

Siehst Du, so unterscheiden sich bei dem Thema eben die Meinungen.
Meine Meinung ist, dass der ausgehende Traffic das Wichtigste ist, was man im Auge behalten sollte. Rein kommt doch sowieso nichts, wenn man hinter einem Router sitzt.
Und dafür gibts halt nun mal eben kein anderes Werkzeug als eine Desktop-Firewall, da kann man diese Programme verteufeln, wie man will.

P.S.: Wie ihr seht, habe ich die Grundsatzdiskussion an den richtigen Platz verschoben.
 

QuHno

Außer Betrieb
Gerade das HIPS könnte sich aber zu einer Schwachstelle in den einzelnen Sicherheitslösungen entwickeln, wenn ich diesen Artikel richtig verstanden habe:
KHOBE - 8.0 earthquake for Windows desktop security software - www.matousec.com

Und bevor jetzt jemand sagt, dass das wegen der "randomisierung" unter W64 nicht mehr geht: Nein, es wird nicht erraten, wo man denn in einen übergelaufenen Speicher mit anschließendem Crash etwas hineinschreiben könnte, sondern es wird versucht, den Kernel Hook, den sich die AV Soft oder die FW angelegt hat um die Aufrufe anderer Programme abzufangen zu verbiegen, sprich: das Argument zu ändern und auf den eigenen, bekannten Adressraum zu verbiegen. Das ganze ist zwar Zeit-kritisch und klappt nicht immer, aber wenn die Soft es sowieso schon auf den Rechner geschafft hat, ohne dass ein HIPS Alarm geschlagen hat, hat sie alle Zeit der Welt, es ein paar Mal zu versuchen - zumindest bis zum nächsten Update, welches sie erkennt.
 
B

Brummelchen

Gast
KHOBE (Kernel Hook Bypassing Engine)

Artikel bei Eset/Forum
http://www.wilderssecurity.com/showthread.php?t=272399

Allgemeiner Talk
http://www.wilderssecurity.com/showthread.php?t=271968

Ist zwar leider nur in englisch, aber schon auf der ersten Seite wird mal wieder
die Seriosität von Matousec angezweifelt, weil dieses Problem schon länger
bekannt ist und weil Matousec eine "Lösung" wohl nur gegen Entgelt preisgibt.
http://www.wilderssecurity.com/showpost.php?p=1673008&postcount=11
http://www.wilderssecurity.com/showpost.php?p=1673011&postcount=12

Auf Seite 6 steht auch, dass Matousec kein 64-Bit Windows getestet hat!

Vendors Talk - Stimmen von Herstellern (englisch)
http://www.thetechherald.com/articl...y-vendors-respond-to-Matousec-research?page=2
Online Armor/Comodo
http://www.wilderssecurity.com/showpost.php?p=1678493&postcount=136
http://support.tallemu.com/vbforum/showthread.php?t=13015
http://forums.comodo.com/news-annou...e-to-a-test-t56086.0.html;msg394697#msg394697
(Kommentare vom Troll "bellgamin" sind ...)

Die Firewall-Tests von Matousec - inzwischen ja irgendwo eingegliedert, verkauft -
sind auch nur soweit zu verwerten, als dass man in einer Gruppe an Software bleibt.
Hier ergibt sich auch der Umstand, dass Matousec einerseits produkte als 100%
sicher verkaufen will - andererseits jede dieser Software als "vulnerable" kennzeichnet,
ein Widerspruch.

Mike/OA:
In theory it's a threat - in practice, we can't reproduce.
:sleep
 

QuHno

Außer Betrieb
Hab mal die Zitate ein klein wenig erweitert indem ich direkt Textpassagen aus den Quellen hinzugenommen habe, wo ich es für wichtig erachtet habe oder etwas verdeutlichen wollte.

Esset sagt (meine Interpretation): Alles klar, wir wissen seit zig Jahren, dass das geht, wir haben es bisher noch nicht gestopft, weil es bisher keine Exploits in freier Wildbahn gab.
Auf gut Deutsch: Erst wenn das Kind in den Brunnen gefallen ist, werden wir die letzten Hooks dieser Art entfernen, die laut der offiziellen Microsoft Dokumentation auf diese Weise seit Vista nicht mehr verwendet werden sollen.

OK, solange sie ihr Risikomanagement im Griff haben kann das sogar klappen.

BTW: Das stopfen der Lücke erfordert eine komplette Kopie der User Mode OBJECT_ATTRIBUTES mit all ihren Sub Buffern in den Kernel Modus. Dazu muss ein neuer Name aus dem RootDirectory Handle und dem ObjectName generiert werden, der komplette Security descriptor kopiert werden und die komplette (immer noch nicht vollständig dokumentierte) SecurityQualityOfService Struktur kopiert werden. Danach hat man nur noch das Problem zu lösen, dass man in seiner eigenen Schleife alle Sicherheitchecks, die sonst das System durchführen würde wenn es einen Call aus dem User Space bekommt, selbst durchführen müsste, da jetzt der Call aus dem Kernel Space kommt und somit per se als "sicher" gälte.

Zusätzlich müssten noch mandatorische Richtlinien auf Kernel Ebene gesetzt werden - was auch nicht ganz trivial ist. OK, man könnte natürlich jedes einzelne Objekt mit Richtlinien zupflastern ...

Das alles ist extrem schwierig (IMHO nur zu lösen, wenn man gleich den ganzen Kram des OS durch bessere Routinen ersetzt - uuups, das hat ja MS schon getan ;)), mit einem Mordsaufwand verbunden und haut tierisch auf die Performance - aber der heutige Benutzer möchte ja eine hohe Performance haben und ist nicht bereit, ein "lahmes" Produkt zu installieren.

Lahme Software = wenig Kunden = weniger Geld, also weiter unsauber gehackt, ist einfach schneller.
Esset schrieb:
“It's not exactly a new idea, except, apparently to Matousec, and except in the slightly misleading suggestion that it's specific to antivirus. It's actually a far more generic issue."
Matousec sagt aber, dass es ein Problem des Hooking ist und nicht dass es ein AV Problem ist, sondern dass es auch ein AV aber ansonsten speziell HIPS Problem ist.
Allgemeiner Talk
Matousec Discloses Critical Vulnerability in ALL HIPS - Wilders Security Forums

Ist zwar leider nur in englisch, aber schon auf der ersten Seite wird mal wieder die Seriosität von Matousec angezweifelt, weil dieses Problem schon länger bekannt ist und weil Matousec eine "Lösung" wohl nur gegen Entgelt preisgibt.
Tjoa, das stimmt mal wieder nicht. Kann nicht mal jemand die Rant Boys aus Wilders rauswerfen?

Matousec weist in dem Artikel darauf hin, dass zum einen das Problem schon seit Jahren bekannt ist, dass sie jetzt lediglich einen neuen Test dafür geschrieben haben und zum anderen dass, wenn schon Hooks angewendet werden, sie doch bitte tiefer eingegraben werden mögen, also völlig raus aus dem Userspace (wie: s.o. ;)). Ein Programmierer einer Sicherheitssoftware sollte dann wissen was zu tun ist, denn ansonsten kennt er das zu schützende System nicht gut genug.

2. Lösung die im Matousec Artikel steht: Benutzt die von MS vorgesehenen Schnittstellen und hackt euch nicht wild per Hooks rein. IMHO ein sehr guter Vorschlag.

MS kennt sein System besser als jeder andere und hat extra für solche Software gut dokumentierte Schnittstellen geschaffen.

So what?

Ahja, die leidige Sache der Bezahlung: Klar gibt Matousec die detaillierten Untersuchungsergebnisse nur an seine zahlenden Kunden weiter. Steht auch im Artikel bzw. auf der Matousec Seite. Machen andere auch nicht anders. Der Normalbürger bzw. der Nicht-Kunde bekommt eben nur die Zusammenfassung und das wars.
Uhm... IMHO die uninteressantesten und nichtssagendsten Postings in dem Thread. Der Hinweis auf das Rootkit Buch zeugt davon dass der Poster den Artikel nicht gelesen hat.
Auf Seite 6 steht auch, dass Matousec kein 64-Bit Windows getestet hat!
Da haben sie es doch schon mitbekommen? Steht übrigens auch im Matousec Artikel. Ändert aber nichts daran, dass weltweit ca. 80% aller Systeme betroffen sein dürften (siehe Esset und andere sinngemäß: "Wir hacken uns nur bei den alten Systemen rein"), da zum einen immer noch XP ca. 40% aller installierten Systeme weltweit ausmacht Vista und Win 7 je ca. 25% und der Rest ist was ganz anderes. Zum anderen kommen die meisten Rechner auch heute noch mit vorinstallierten 32 Bit Systemen und da sind wohl alle derzeitigen AV/FW Systeme noch ein klein wenig schlampig, oder?

BTW: Ein paar Postings tiefer wird die Diskussion IMHO sachlicher, da die Leutchens schlicht und ergreifend sagen: Backup, Backup, Backup. Wenn was passiert, nicht lange fackeln, sondern sauberes Backup zurückspielen und gut ist. (Für Leute die sich beruflich mit Sicherheit beschäftigen müssen gibts noch andere Möglichkeiten als AV und FW Software um Unregelmäßigkeiten festzustellen, in soweit haben die natürlich leicht reden ;))

Vendors Talk - Stimmen von Herstellern (englisch)
Security vendors respond to Matousec research - Security
Sunbelt schrieb:
VIPRE uses SSDT hooks only for older version of Windows and then only sparingly where APIs provided by Microsoft don't exist or are too buggy to use.
Und was hat Matousec getestet? Genau diese Betriebssysteme, die wie ich schon weiter oben schrieb, weit über die Hälfte aller installierten sind. Honi soit ...
Aber wir wollen ja nicht bösartig sein, deswegen muss auch vollständiger zitiert werden, denn sonst wird's demagogisch:
Sunbelt schrieb:
VIPRE does not use SSDT hooks for 64-bit versions of Windows because of Microsoft's PatchGuard technology and Microsoft new APIs for security software. That said we are reviewing our drivers to make sure our products are not vulnerable to the method of attack.
Frei übersetzt: Bei modernen 64Bit Systemen benutzen wir den SSDT Hook nicht mehr sondern die von Microsoft zur Verfügung gestellten APIs, so wie des sich gehört. Ansonsten werden wir unsere (32 Bit) Treiber überprüfen und sicherstellen, dass sie durch diese Art Attacke nicht mehr verwundbar sind.

Damit kann man doch leben.
Klar, genau wie es ein Benutzer machen würde:
Neues Programm, Klick, installieren.
FW/AV: Alarm, da versucht sich ein Programm zu installieren.
User: Ja, ich weiß. Das installiere ich gerade, dem kann man vertrauen. Klick.

Malheur passiert ;)

OK, eine gute AV Soft sollte es schon vorher abfangen, aber 0.1% bei AV-Comparatives sind ein paar Tausend, die durch alle Maßnahmen durchgeschlüpft sind. In so fern gibt es keinen Grund für irgend einen AV/FW Hersteller, überheblich zu werden.
Matousec - All HIPS vulnerable to a test
Hier ergibt sich auch der Umstand, dass Matousec einerseits produkte als 100% sicher verkaufen will - andererseits jede dieser Software als "vulnerable" kennzeichnet, ein Widerspruch.
Nur wenn man ein Problem mit dem Verstehen von Texten hat. Für mich heißt die Aussage bei Matousec: "Ein Produkt hat alle Tests in dieser Suite bestanden und somit 100% erreicht", dass es eben 100% in dieser Suite erreicht hat und eben nicht, dass es zu 100% sicher ist. Das steht auch auf der Matousec Seite nirgends. Wer das behauptet ist ein Demagoge.

Der KHOBE Test ist übrigens nicht Bestandteil der 184 Tests Suite.
 
B

Brummelchen

Gast
>> Matousec sagt aber, dass es ein Problem des Hooking ist

Ich hab ja nicht das gegenteil behauptet, sondern ähnlich:
>> weil es bisher keine Exploits in freier Wildbahn gab.

>> Für mich heißt die Aussage bei Matousec:
Ja, ok, 100% auf deren Tests bezogen, hätte ich dazu schreiben sollen.

>> Der KHOBE Test ist übrigens nicht Bestandteil der 184 Tests Suite.

Weil - warum?

>> dass Matousec kein 64-Bit Windows getestet hat!

Ja, weil es ungleich schwere dort wäre - siehe auch deine Vipre-Aussagen (kenne ich nur dem Namen nach)

>> Benutzt die von MS vorgesehenen Schnittstellen
>> und hackt euch nicht wild per Hooks rein. IMHO ein sehr guter Vorschlag.

Bezogen auf die Sicherheitssoftware, ja.
Bezogen auf Malware - lol

>> und hat extra für solche Software gut dokumentierte Schnittstellen geschaffen.

Frag doch Mal Mike/OA und andere - genau diese Infos gibt MS derzeit nur sehr zögernd raus.
Klar, Grundinfos - mit dem Rest wollen Sie Geld verdienen. (steht meistens im Zusammenhang,
warum es bestimmte Programme nur für 32bit gibt - diese brauchen Hooks, oder ne gut
dokumentierte API, die es derzeit nicht gibt - ich denke, dass die Doku dazu teuer sein
wird, jedenfalls wurde mal erwähnt, dass OA es nicht unbedingt sooo dicke hat)

>> Backup, Backup, Backup.

Mit sowas lässt sich aber keine Software verkaufen.
Schau doch mal in die Sicherheitsthemen rein, was die sich alles draufknallen.

>> die leidige Sache der Bezahlung

Ich vermute, dass das selbst nicht von Matousec kommt, sondern von der Firma,
die jetzt dahintersteckt. Matousec geriet früher in die schlechten Schlagzeilen, dass
"er" wohl für bestimmtet "positive" Resultate Kohle sehen wollte - ansonsten Verriss.
Dass die Hersteller nachbessern, ist ne andere Sache und sich somit deren Rangliste
ständig ändert.

PS eigentlich ist doch das Thema Firewalls - KHOBE ist doch was anders.? ;)
Und ob nun mit oder ohne Exploit - Windows wird es weiterhin geben.
 

QuHno

Außer Betrieb
>> Der KHOBE Test ist übrigens nicht Bestandteil der 184 Tests Suite.

Weil - warum?
Veröffentlichungsdatum? :D
PS eigentlich ist doch das Thema Firewalls - KHOBE ist doch was anders.? ;)
Ohne H der Ort mit den niedlichen Häusern, die immer umfallen? OK, der war geschmacklos. :D

Windows wird es weiterhin geben.
Amen! Vor allem in 64 Bit - und jeder, der es irgendwie einrichten kann, sollte schnellstmöglich auf W7 64 Bit umsteigen, denn die Anzahl der Schadware nimmt nicht ab.

Das obige sollte übrigens nicht bedeuten, dass man auf FWs mit HIPS auf 32 Bit Systemen verzichten sollte, sondern lediglich sagen, dass man aufpassen muss - denn es gibt System bedingte Lücken.

verborgener Text:
Hab mich heute mal wieder durch diverse CERTS gewühlt da wimmelte es wieder mal von *X* Lücken - man muss allerdings dazu sagen, dass die meisten nur lokal ausnutzbar waren. Wenn ich mir dann noch vorstelle, dass es sich derzeit kaum ein Schadsoft Programmierer mit den *X* Systemen beschäftigt, weil es sich alleine auf Grund der Anzahl nicht lohnt, würde mir vor einer Windows freien Welt ein wenig grausen, denn dann müssten die *X* Systeme auch deutlich dichter werden ...
 
B

Brummelchen

Gast
Kleines OT Update - daran mangelte es einigen Anti-Tools:
AntiLogger 1.9.2.205 (Friday, May 21, 2010):
NOTE: This release contains important, security-related fixes. Update is highly recommended.

* Added Anti-Sound Recorder Technology
* Added new sensors for several screen capture methods (Thanks to MRG)
* Added protection against KHOBE so-called TOCTTOU (time-of-check-to-time-of-use) flaw in multiprocessors environment
* Decreased number of false positives
* A number of improvements in AntiKeylogger component (Thanks to MRG)
https://www.supernature-forum.de/sicherheit-am-pc/98634-vorgestellt-zemana-antilogger.html
http://www.zemana.com/DE/whatsnew.aspx
http://www.wilderssecurity.com/showpost.php?p=1682253&postcount=18

PS netter Kommentar dazu von Eset (bzgl Matousc und Khobe)
http://www.eset.com/blog/2010/05/11/khobe-wan-these-arent-the-droids-youre-looking-for
Should Khobe attack be performed on your PC, it has been infected already – so, this vulnerability is trying to compromise a PC that has already been compromised.
...

Man reagiert schon auf das "Erdgrummeln", nur nicht mit der Panik, die Matousec gerne hätte.
Bin mal auf den neusten Test von dem gespannt, wo Outpost 7 drin ist - wer dann das Rennen macht. :sleep
 
Oben