Pro und Kontra Personal Firewalls - die Grundsatzdiskussion

QuHno

Außer Betrieb
Das Problem ist meiner Meinung nach, dass das Ausnutzen der Hooking Schwachstelle von einem Eingeschränkten Benutzer Account erfolgen kann.

Normalerweise hat es alle mögliche Schadware ziemliche Probleme, wenn sie in einem solchen Account etwas anrichten will, ich vermute mal, dass alleine 90% aller Schadware in dem Szenario schon an der Hürde scheitert, sich die benötigten Rechte für eine Installation zu verschaffen.

KHOBE ähnliche Hacks könnten aber auch von einem einfachen One Trick Ponie, welche in einem reinen Benutzeraccount gestartet werden - also nicht installiert - durchgeführt werden und der eigentlichen Schadware dadurch die benötigten Rechte verschaffen.

Natürlich ist KHOBE an und für sich eine ziemlich unzuverlässige Sache, aber es ist und bleibt eine Lücke. Dass sie nicht eingesetzt wird, liegt meiner Meinung nach nicht daran, dass sie unzuverlässig (im Sinne von: Klappt vielleicht erst beim 2. oder 3. Mal) ist, sondern daran, dass immer noch die meisten Benutzer mehr oder weniger als Administrator unterwegs sind häufig sogar ohne Passwort (gestern schon wieder bei einem zu entseuchenden A**S Notebook gesehen: Der vorinstalliere AV Kram war abgelaufen, es dauerte nicht lange und der Rechner war verseucht. Rechner gestartet und mal wieder ein W7 Durchstart in den Admin Account ohne PW Eingabe :wand Die Win FW hat natürlich nichts bemerkt und den Kram brav nach draußen gelassen) und es dadurch 1000 einfachere Möglichkeiten gibt, die nötigen Änderungen vorzunehmen.

Letztendlich ist es aber sowieso gleichgültig, so lange der Benutzer Warnungen der Sicherheitssoftware einfach ignorieren kann, was leider erforderlich ist, solange Sicherheitssoftware Fehlalarme ausgibt (also auch in den nächsten 100 Jahren ;)). Social engeneering bzw. den Benutzer dazu zu veranlassen Alarme zu ignorieren ist immer noch die einfachste und effektivste Möglichkeit. Wenn dann noch hinzu kommt, dass immer noch viele nicht auf dem neuesten Patch Stand sind (leider gerade die Leute, die solche Sachen wie hier nicht lesen) hat Schadware so viele Möglichkeiten wie sie braucht, da kann die Firewall und das HIPS so gut sein, wie sie will.
 
B

Brummelchen

Gast
Man will halt den Rechner benutzen, nicht studieren - geschweige
was dran "tun" müssen, könnt ja in Arbeit ausarten :D
 

QuHno

Außer Betrieb
Artet ja auch in Arbeit aus, wenn man wirklich etwas tun will, vor allem hört es im Prinzip nie auf.

Es ist einfach eine Frage der Zeit, die man hat, sich damit zu beschäftigen, denn es gibt auch noch ein Leben außerhalb des Computers.
Wir hatten die nötige Zeit - wenngleich ich mir damals, als ich GCOS gelernt habe, mit Sicherheit nicht vorgestellt habe, dass der ganze Kram einmal so ausartet...

Und dann sind wir auch schon wieder bei den Firewalls:
Leider sind die Alarme bei den meisten entweder in Englisch oder in hochtechnischem Deutsch gehalten, sobald man auf die heftigeren Warnstufen geht.

Beispieltext, nicht bezogen auf eine spezielle Sicherheitsanwendung:

"
Anwendung Blahblah.exe versucht im Speicher auf Explorer.exe zuzugreifen (oder auf die COM Schnittstelle bläh). Anwendung Blahblah.exe konnte nicht eingestuft werden, es wurde ihr jedoch früher schon einmal erlaubt zu starten.

[ ]Zulassen [ ]Verweigern
"

Das verweigert der normale User 1 Mal bei einer regulären Anwendung und hat dann ein massives Problem, weil z.B. der "Datei öffnen" Dialog nicht aufpoppt. Mit ein wenig Pech ist es dann noch kompliziert, diese Einstellung wieder zu ändern (7. Ebene um Untermenü eines Untermenüs) - nach dieser Erfahrung macht er das so schnell kein 2. Mal wieder und das nächste mal ist es halt der Trojaner, der iexplore.exe starten will - nur 2 Buchstaben untesrchiedlich, nicht genau hingesehen: Päng.


Oder: Man klickt auf den Hilfe Button und wird von der FW gefragt, ob diese und jene Anwendung auf den DNS zugreifen darf ...
EEK! Natürlich verweigern, der will ins Netz. Verd... wo sind meine Hilfe Dateien? (Ich weiß es: Immer noch auf dem Server des Herstellers - was ich persönlich auch als eine Frechheit empfinde)

Eine komplettere Beschreibung wäre z.B.:
"
Obiger Kram +
Falls sie gerade versuchen mit Blahblah.exe eine Datei zu öffnen oder speichern, ist die Wahrscheinlichkeit groß, dass der Zugriff auf explorer.exe aus diesem Grund erfolgt.
"
Die Hersteller der üblichen AV/FW/HIPS sollten die Standard Benutzeraufrufe kennen und sie könnten es auch überwachen und anhand dessen entscheiden.

Die meisten guten FWs sind halt leider immer noch zu Techie mäßig, wenn man sie auf heftig eingestellt hat, denn der typische Programmierer möchte natürlich so technisch aussagekräftige Meldungen wie möglich einbauen, was aber den User oft mit für ihn unverständlichen Informationen überfrachtet.

Leider gibt es aber auch nur wenig einsteigerfreundliche Literatur auf Deutsch (Wichtig!). Wenn dann ein Problem auftritt, kann man nur schlecht von diesen Personen erwarten, dass sie sich erstmal hinsetzen und 3 Jahre intensiv Englisch lernen, bevor sie eine Taste drücken. Was fehlt ist ein Security4Dummies. (Keine Beleidigung beabsichtigt, bei ein paar anderen Sachen war ich froh, dass es 4Dummies Bücher gab, um den Einstieg zu finden) Ich behaupte mal ganz dreist, dass über die Hälfte aller Deutschen Computerbenutzer mit technischem Englisch wenig anfangen können bzw. nach relativ kurzer Zeit frustriert aufgeben bzw. teilweise überhaupt keine ausreichenden Englisch Kenntnisse haben.

Und nun? Wie beurteilt man Benutzerfreudlichkeit für unerfahrene Benutzer?

Ein guter Test wäre IMHO:
In einer kontrollierten Umgebung mit simuliertem Internetzugriff 1000 nicht so paranoide User wie uns an verseuchte Rechner mit unterschiedlichen FW/AV Ausstattungen setzen, die Hälfte aller "angesurften" Seiten verseucht sein lassen und schauen was passiert. Die FW, die die User am besten vor sich selbst schützt hat gewonnen - solange sie einen Minimalschutz bietet, nicht völlig wirkungslos ist und den Benutzer noch an seinem Rechner arbeiten lässt.

Ansonsten:
Reine Firewallsoftware ohne Verhaltenserkennung dürfte so langsam aber sicher tot sein. Genau so wie es auf längere Sicht für einen Normaluser besser sein könnte, eine Komplettsuite statt mehrerer Einzellösungen für FW und AV zu nehmen, da sich die unterschiedlichen HIPSe und Block bzw. Update Mechanismen trotz gegenteiliger Behauptungen der Hersteller eben nicht immer vertragen - ich habe mit viel Vergnügen den "Comodo sperrt Avast!-Update in die Sandkiste ein" Thread gelesen - dumme Sache das :ROFLMAO:

Den reinen Cloud Sachen traue ich derzeit noch nicht so ganz über den Weg. Auch wenn die mit Sicherheit die Zukunft sein werden sehe ich sie derzeit eher als Ergänzung als als Alternative, ich lasse mich aber gerne eines besseren belehren ...

Vielleicht sollte man wirklich nur noch mit Live CD surfen und den Internetzugang für das normale Betriebssystem komplett verbieten bzw. alle dazu notwendigen Mechanismen aus diesem entfernen - soll es doch verseucht sein, es kann dann nicht mehr senden. Das wäre die ultimative Firewall ...

Höre ich da schon in der Ferne das Geschrei der Anwender: "Ich will aber ..."? ;) :ROFLMAO:
 
B

Brummelchen

Gast
matousec will mal wieder in die Schlagzeilen - die haben echt nen Schaden...
Online Armor (TallEmu) wurde ja letztens an Emsisoft verkauft
https://www.supernature-forum.de/ww...uebernimmt-online-armor-sektion-tall-emu.html
Jetzt das hier :rofl
Online Armor temporarily disqualified

Different Internet Experience Ltd. has established number of business connections on
the field of Windows security. Our clients and partners, vendors of the market leading
security products, benefit from our testing and research services. Many of their products
implement the technology that was designed, developed or tested in our labs.

One of our business connections, partnership with Tall Emu Pty Ltd, the original vendor
of Online Armor, has been ended recently. Our break-up did not go well. Our company
raised claims against Tall Emu Pty Ltd closely related to Online Armor products that have
not been satisfied and hence the whole dispute will probably take a long time to solve.
In order to protect our company we are forced to temporarily disqualify Online Armor
products from our projects. Online Armor will be returned as soon as the dispute is solved
or when there is a significant move in the case that is likely to solve the case in a short
period of time. We apologize to our visitors for any inconvenience.
GoogleTranse auf leserlich ;)
Online Armor vorübergehend disqualifiziert

Different Internet Experience Ltd. hat diverse Business-Verbindungen auf dem Gebiet
der Windows-Sicherheit etabliert. Unsere Kunden und Partner, Lieferanten der marktführenden
Sicherheits-Produkte profitieren von unserer Test-und Forschungs-Dienstleistungen.
Viele ihrer Produkte verwenden Technologie, die entworfen oder entwickelt worden sind
in unseren Laboren.

Einer unserer geschäftlichen Beziehungen, die Partnerschaft mit Tall Emu Pty Ltd, der
ursprünglichen Anbieter von Online Armor, wurde vor kurzem beendet. Der Abbruch verlief
nicht ohne Probleme. Unser Unternehmen erhebt Ansprüche gegen Tall Emu Pty Ltd in
engem Zusammenhang mit den Online Armor Produkten, die nicht erfüllt wurden und somit
wird der ganze Streit wohl lange dauern. Zum Schutz unseres Unternehmens sind wir
gezwungen, Online Armor Produkte vorübergehend aus unseren Projekten zu disqualifizieren.
Online Armor wird so schnell zurückkehren, so wie der Streit gelöst wird oder in absehbarer
Zeit zu lösen ist. Wir wollen unseren Besuchern für eventuell entstandene Unannehmlichkeiten.
Abwarten, wie und ob Emsisoft darauf reagieren wird :D
Der Dummfug bei matousec hatte mit dem Verkauf an diese Ltd begonnen, vorher
war es eine "unabhängige", eher privat geführte, Seite
 
B

Brummelchen

Gast

Anhänge

  • za_capture.PNG
    za_capture.PNG
    216,7 KB · Aufrufe: 230

QuHno

Außer Betrieb
Hm.... lass mich überlegen, wann ich das letzte Mal ZoneAlarm drauf hatte und warum ich es damals gekillt habe - war irgendwas von wegen TCP/IP Protokoll als schädlich erkennen und vollständig blocken wenn man XP SP2 aufgespielt hat oder so - seit dem it der Müll für mich Geschichte ...

... und wenn man hier im Forum ein klein wenig sucht, findet man bestimmt auch noch den "ZA 3 Deinstallationsprobleme" Thread ...

ZA ist schon seit einiger Zeit richtig mies, wer das noch drauf hat, verdient es nicht besser, als eine solche Rouge Werbekampagne um die Ohren geknallt zu bekommen :ROFLMAO:
 

Ginki

Herzlich willkommen!
Wenn über "personal Firewalls" diskutiert wird, passiert es leider immer wieder (eigentlich immer ;)), dass diese Themen in eine unerträgliche Grundsatzdiskussion über den Sinn und Unsinn dieser Programme ausarten.

Es ist ja nicht so, dass man diese Diskussion nicht führen soll.
Aber wenn jemand fragt, wo er in einem bestimmten Firewall eine bestimmte Option findet, dann ist eine Belehrung, dass diese Programme sowieso alle nutzlos sind, einfach fehl am Platz.

Daher werden Threads, die sich mit Fragen zu einer bestimmten Firewall beschäftigen, oder die sich um die beliebte Frage "welche soll ich nutzen" drehen, künftig von Grundsatzdiskussionen freigehalten. Dafür gibt es ab sofort diesen Thread.

Hier dürft Ihr diskutieren, bis Euch die Köpfe rauchen.
Ein Hinweis sei allerdings erlaubt: Wer sich veranlasst sieht, andere als doof zu bezeichnen, nur weil sie seiner persönlichen Überzeugung nicht folgen, der wird auch in diesem Thread seinen Beitrag bald vergeblich suchen.

Die Beiträge nach diesem sind aus einem anderen Thread herausgelöst, daher erscheinen sie auf den ersten Blick aus dem Zusammenhang gerissen - für den Einstieg in die grundsätzliche Diskussion aber sind sie bestens geeignet.


Ich bin seit etwa 3 Jahre Personal Firewalls am testen.

Was bisher unter Windows 7 am besten lief ist einmal Privatefirewall 7 und Zone Alarm für mich.
Wie gesagt es muss jeder selber testen...

Warum ich inmoment wieder den Windows Firewall drauf habe ist ganz einfach, der Privatefirewall 7 ist sehr gut ABER letzter Update 2013, hab deswegen schon den Support angeschrieben und warte seit 1 Monat auf eine Antwort, das geht nicht also runter.

Zone Alarm benutzt den selben Engine ich glaub sogar das selbe System wie beim Privatefirewall 7 , man soll immer auf Aktualisieren drücken um so patches zu erhalten und jedes Jahr eine neue Version.
Produziert aber unmengen Werbemüll bei der Installation, ja ich habe alles abgewählt und trotzdem. :eek:
 
D

ditto

Gast
ZoneAlarm und PrivateFirewall nutzen beide den Basisfilterdienst von Windows und schreiben ihre Regeln in die Einstellungen der Windows Firewall. Für den einen mag das einfacher sein, es steckt jedoch immer Windows dahinter. Beides ist kostenlos und ja, man sollte heutzutage damit rechnen, dass es auch Beigaben deswegen gibt, um sich anderweitig zu finanzieren.

Die Zukunft von PFW
Future of PrivateFirewall | Wilders Security Forums

MfG
 

Ginki

Herzlich willkommen!
Man kann ganz einfach seine Firewall testen mit "https://personalfirewall.comodo.com/cltinfo.html" und "https://www.grc.com/lt/leaktest.htm".
 
D

ditto

Gast
Ach ja, diese sinnlosen Leaktests. CLT ist kein reiner Firewall Leaktest, wie die einem auf der Webseite weiss machen wollen, sondern ein Internet Suite Test / HIPS-Test. Dass da alle Nur-Firewalls durchfallen müssen, sollte klar sein. Und für den GRC-Test reicht die Erreichbarkeit zu GRC.

CLT stürzt in der Sandbox hier ab, weil es seine Treiber bzw DLL nicht einfügen kann. Es erfolgt also keine Prüfung, ob das überhaupt gelingt und somit keinerlei Wertung, obwohl das mit ausschlaggebend für eine Wertung ist. Keine Injection, keine Sicherheitslücke.

Und um gleich auf den GRC-Porttest (ShieldsUp) einzugehen - auch wenig aussagekräftig.
https://www.grc.com/x/ne.dll?bh0bkyd2
Für Routernutzer nahezu unbrauchbar, vorausgesetzt, das Gerät hat in sich keine Lücken oder vom Benutzer freigeschaltete Ports, für Modemnutzer nur insofern aussagekräftig, auf was Windows selbst reagiert. Und bei einem aktuellen System ist das wenig bis nichts.

Sobald ein Router im Netzwerk vorgeschaltet wurde, sind Softwarefirewalls letztlich nur ausgangsbeschränkende Filter. Und ich wage zu behaupten, dass nur eine sehr kleine Gruppe der Anwender auch fähig ist, jene so granular einzustellen statt die schlag-mich-tot-Standardregeln zu nutzen.

Eine Firewall ist zudem die letzte Instanz einer Sicherheitskette, die versagen kann - schafft es eine unerwünschte Software bis dahin, haben alle sonstigen Mechanismen schon versagt und das ist einem Totalversagen gleichzusetzen.

MfG
 

Ginki

Herzlich willkommen!
Na nicht so pessimistisch nicht alles muss schlecht sein. Der "User" hat nicht die Zeit Wochenlang herum zu spielen an seine Firewall und hofft natürlich das diverse Regeln etwas helfen zb 2 Wege Firewall oder Beschränkungen der ein und ausgehenden Verbindungen.
 
Zuletzt bearbeitet von einem Moderator:
Oben