title image


Smiley Re: Eines hast vergessen ...
> Hört sich gut an, Deine Story! ;-)



Ist nicht meine Story. Der Text stammt von Doc Valde, auf dessen Website ich am Schluss verlinkt habe. Das '(C)' wäre als Copyright-Zeichen gedacht.



> 1.) Eine Firewall bemerkt, falls ein Server auf dem Rechner gestartet wird.



Wenn Du selber einen Server startest, dann tust Du das mit Absicht und wirst ihn hoffentlich passend konfigurieren. Wenn es sich um einen Trojaner handelt, so hat der Anwender sehr wahrscheinlich bereits vorher einen Fehler gemacht und etwas installiert, von dem er nicht genau weiss, woher es stammt und was es tatsächlich beinhaltet.



Zudem möchte ich nicht wissen, welche Möglichkeiten es für Trojaner-Programmierer gibt, diese Dinger so zu modifizieren, dass sie eine PF ausschalten oder umgehen können. Wo dann sogar eine Prüfsummenkontrolle nix mehr hilft.



> 2.) Du redest da von Realplayer, das ist ca. 0,1 % von der Software, die ins Internet Verbindung aufnehmen will.



Doc Valde spricht davon, aber egal. Er hat jetzt mal den Realplayer als Beispiel genommen. Es gibt sicher hinreichend andere Tools mit Spyware, die sich ähnlich verhalten. Es ist doch so, dass Du Dich darauf verlassen musst, dass eine Software nicht mehr nach Hause telefoniert, wenn Du die entsprechenden Einstellungen vorgenommen hast. Mal abgesehen davon, dass dies oft genug recht mühsam versteckt ist, kannst Du, da es sich ja beim Realplayer (um beim Beispiel zu bleiben) Closed Source ist. Du kannst also nicht selber hingehen und im Source des Programms nachschauen, ob Du mit den Optionen wirklich alle Phonehome-Aktivitäten abstellst oder ob es noch versteckte Sachen gibt, die man nicht beeinflussen kann.



Die Programmierer von Spyware haben sicher mittlerweile auch bemerkt, dass inzwischen viele Leute PF einsetzen, um eben die Spyware-Tools abzublocken. Da ist es IMHO durchaus logisch anzunehmen, dass zumindest künftige Software mit entsprechend modifizierter Spyware daherkommt, die auf irgendeine Weise die PF umgehen kann.



> 3.) Sogar das billige ZoneAlarm bemerkt, falls sich Software zwischenzeitlich ändert



Soweit ich weiss, ist ZA da eine Ausnahme. Allerdings stellt sich die Frage, in wie weit das tatsächlich hilft. Wenn sich eine Software als IE auszugeben versucht, mag das greifen und den Versuch blockieren. Wenn jedoch eine Software den IE dazu 'missbraucht', seine Daten rauszusenden und sich somit der echte IE meldet, wird ihn die Firewall nicht aufhalten. Da müsstest Du sämtlichen Traffic ganz genau analysieren und mittels umfangreicher Access-Listen definieren, was Du erlaubst und was nicht.



Zum Schluss noch ein kleines Zitat von einem anderen Fachmann:



Das Problem ist ein anders: Wenn ein Programm Informationen ins Internet übertragen will, dann wird ihm das gelingen (außer das Netzwerkkabel ist durchgeschnitten). Da hilft keine Personal Fireall, da hilft auch kein Linux-Blabla und auch keins von diesen unbezahlbaren Cisco-Kästchen.



CU

Caleb
CU
Caleb




Wie man Fragen richtig stellt


geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: