Nutzen von Desktop-Firewalls (z.B.:Littlesnitch)

Dieses Thema im Forum "Sicherheit" wurde erstellt von SilentCry, 12.10.2005.

  1. SilentCry

    SilentCry Thread Starter Banned

    Beiträge:
    1.402
    Zustimmungen:
    36
    MacUser seit:
    28.04.2005
  2. SilentCry

    SilentCry Thread Starter Banned

    Beiträge:
    1.402
    Zustimmungen:
    36
    MacUser seit:
    28.04.2005
    In dem Artikel von Hackerboard steht

    Im wesentlichen werden zwei Zeile angestrebt:
    - Unerwünschten Datentransfer von innen nach außen unterbinden
    - Schutz vor unerwünschten Zugriffen von außen


    Dem stimme ich zu, wobei ich mich hier auf die erste Funktion beschränke. Die Mac OS X Firewall und zuhause meine HW Firewall von Zyxel kümmern sich um die Abschottung von Aussen. Wichtig: Ich rede von einem privaten Surfer, also jemanden, der keinerlei Bedarf hat, Dienste nach Draussen anzubieten. Menschen, die Webserver oder dgl. betreiben, sind ein anderes Thema bezüglich ihrer Verwundbarkeit.

    Achja: Ich verwende hier LS (LittleSnitch) als generellen Platzhalter für Programme dieser Art.

    Einige PF enthalten noch einen http-Proxy zur Filterung von
    Werbebannern oder Cokies.


    Ist mir hier mal wurst.

    Datentransfer von innen nach außen
    Einige Beispiele aus dem realen Leben:

    1)
    Das trojanische Pferd der Firma Aureate basierte auf einem Netscape
    Navigator / Internet Explorer Plugin und kommuniziert somit nicht
    *direkt* mit dem Internet. Dadurch umgeht es auf einfache Weise die
    Probleme, die sonst bei einem Internetzugang über ein Netzwerk
    auftreten würden. Aurate ist nicht nur um einiges älter als ZoneAlarm,
    sondern wird von sehr vielen Freeware/Shareware-Programmen wie zum
    Beispiel von GoZilla und WebCopier verwendet.
    Anscheint greifen neuere Versionen des Trojanischen Pferdes über die
    Wirtsanwendung auf das Internet zu, sofern es sich bei diesen
    Programmen um "Internet-Software" handelt.
    Suchstichwörter: advert.dll, Radiate


    Das ist im ersten Blick stichhaltig. Ausser, man unterbindet auch einem Webbrowser die Kommunikation. Kurzes Brainstormin wäre, jeden Start eines Browsers durch LS bestätigen lassen. Habe ich keine Seite aufgerufen und LS meldet, dass zB. Safari ins Internet will, hab ich den Bösewicht schon mal erkannt. Andere Ideen?


    2)
    Ich hab bei einem Bekannten vor einiger Zeit im Temp-Verzeichnis eine
    HTML-Datei gefunden, die ein paar Bilder aus dem Internet lädt. Die
    Bild-URLs waren dabei ganz besonders aufgebaut: Einige bestanden
    unter anderem aus den Dateinamen, die man unter {Start | Dokumente}
    findet.

    Das verstehe ich nicht. Seit wann kann eine HTML-Datei etwas "laden"?
    [Rest von P2 gelöscht - was hat der Realplayer damit zu tun?]

    3)
    |Do you want Microsoft Internet Explorer to access the internet?
    |Do you want Netscape Navigator to access the internet?
    |Do you want Microsoft Windows 95 to access the internet?
    |Do you want DFÜ-Netzwerk to access the internet?
    |Do you want Zone Alarm to access the internet?

    Vernünftig programmierte Spyware wird sich ja kaum
    als "The ultimative hacking tool" in Windows anmelden.


    Wieder: Wenn ich ihn nicht aufgerufen habe, würde mich das stutzig machen.

    4)
    Protokoll-Tunnel (Verallgemeinerung von 1.): zum Beispiel IP over
    E-Mail oder http. Für einen http-Proxy [1] sieht das wie ein ganz
    normale Web-Seiten-Anforderung aus. Theoretisch kann man jedes
    Protokoll über jedes andere tunneln, solange man Einfluss auf
    eine entsprechende Gegenstelle hat. Bei DNS-Abfragen zum Beispiel
    geht das auch über "viele Ecken".


    Ja...und? Es kann sich meinetwegen zutode tunneln, wenn es nicht ins Netz darf, nutzt ihm der Tunnel nichts. Mir ist doch schnuppe, _wie_ er es versucht, irgendwann muss er über LS und es hängt davon ab ob es geht oder nicht.

    5)
    Jedes Programm hat unter Windows 9x die Zugriffs-Rechte auf der
    selben Ebene wie die PF mit dem Netzwerk zu kommunizieren
    (also nebenher). Unter Windows NT (2000, XP) gilt das gleiche,
    wenn man sich als "Administrator" angemeldet hat; z.B. um Soft-
    ware im guten Glauben zu installieren.

    Happy99 und Hybris kommen dem recht nah, in dem sie die WSock32.dll
    ersetzen. Mittlerweile gibt es einen Proof-Of-Concept:
    http://www.securityfocus.com/archive/1/244026 (Englisch)


    Interessiert uns Mac OS X solch ein Argument? Weder bin ich auf Win* noch arbeite ich als Administrator.

    6)
    Mittlerweile gibt es auch die ersten bösen Programme [tm], die
    einige Desktop-Firewalls (bzw. bestimmte Versionen) einfach beenden:
    http://groups.google.com/groups?selm=3B3....tu-chemnitz.de
    http://www.seue.de/y3k/y3k.htm
    Theoretisch dürften im Worst Case (also wenn das böse Programm [tm]
    Administrator- bzw. Root-Rechte auf dem Rechner hat) alle PFs ziemlich
    machtlos sein.


    Wieder: Ein vernünftiger Mensch arbeitet nicht als Admin, schon gar nicht unter OS X.


    Außerdem kann man viele Desktop-Firewalls durch ähnlich-aussehende
    Programme ersetzen, indem man im simpelsten Fall den Treiber-Aufruf in
    der Registry löscht und den Aufruf des User-Frontends mit dem Datei-
    namen eines entsprechend präparierten Programmes überschreibt.

    Normale Benutzerrechte reichen bei den meisten PFs,
    um neue Regeln einfügen:
    http://www.heise.de/newsticker/data/pab-18.05.01-001
    http://my-forum.netfirms.com/zone/zcode.htm (bestätigt "Yes-Button")


    Es liegt am Autor von LS, solchen Unsinn zu verhindern.

    Und zum Schluss sind da noch die bösen Programme, die überhaupt nicht
    mit dem Internet kommunizieren. z.B.: Ein Trojanische Pferd, das
    angeblich ein Virenscanner ist (und auch wirklich andere Viren findet)
    allerdings zusätzlich Zifferndreher in Excel-Tabellen verursacht.


    Das ist nicht Bestandteil des Themas. Dass mich LS nicht davor schützt, dass ich im Suff den Wein in mein Powerbook kippe könnte man dann genau so gut anführen. Ergo ignoriere ich das Argument, das keines ist.

    Zugriffsmöglichkeiten von außen
    Interessiert uns hier nicht.
     
  3. tastendruecker

    tastendruecker MacUser Mitglied

    Beiträge:
    16
    Zustimmungen:
    0
    MacUser seit:
    13.09.2005
    Zu 1)
    Es gibt schon lange für Windows-Schädlinge entsprechende Wegklick-Routinen.
    Die lassen sich wohl auch für MacOS X skrippten. Abgesehen davon
    kann man doch auch schon laufende Browser-Instance
    missbrauchen. Die hast Du wohl schon abgesegnet. Oder
    willst Du alle URLs einzeln bestätigen?!

    Zu 2)
    Es geht darum, dass die Information nach aussen übermittelt wird.
    Dabei wird die Info einfach in die abgerufene URL eigebettet.
    (Ist es jetzt mit Real klar?!)

    Zu 3)
    Dich vielleicht. Allerdings dürfte es einen normalen Anwender auf
    die Meldung eines unverdächtig klingenden Programms kaum stören.

    Wie solche PFen sehr schnell aus Bequemlichkeit zusätzliche Lücken
    aufreissen, stand übrigens in dem FAQ, aus dem in hackerboard zitiert wurde
    gleich im nächsten Absatz:


    Wenn man bei der Erzeugung einer .exe-Datei in die Versions-
    Informationen als Company "Microsoft Corporation" schreibt,
    stuft die Norton Personal Firewall alle Verbindungsversuche
    dieses Programms als "Low Risk" ein ("Trusted Company").


    Zu 4)
    Der User sollte also schon bei einfachen DNS-Lookups
    den Verdacht schöpfen? Nun Dir steht eine mächtige Klickerei
    bevor. Alle Anwendungen, die es dürfen, muss man ja festlegen. (Aber man
    kann ja einer dieser Anwendungen auch selbst mal für die DNS-Auflösung
    missbrauchen. ;) )

    Zu 5)
    Unter MacOS X werden keine Programme installiert. Es sind ebenfalls
    keine Lücken bekannt die Steigerung der Prozessrechte erlauben.
    Hmm... Warum liefert Apple eigentlich Security Updates aus?

    Zu 6) Wenn das böse Programm erst mal local läuft,
    dann hat man so einige Möglichkeiten die entsprechende Rechte
    zu erlangen (siehe 5)

    Zu:
    > Es liegt am Autor von LS, solchen Unsinn zu verhindern.


    Es liegt auch an dem Anwender. Willst Du Deine Sicherheit
    dem Autor vom PF vertrauen? Ja?! Ist der Autor vertrauenwürdig?
    Das sind ganz nette Fragen.

    Ausgehend von z.B. http://www.ntsvcfg.de/#_pfw
    kannst Du Dich ja weiter kundig machen.
     
  4. Starduster

    Starduster MacUser Mitglied

    Beiträge:
    380
    Zustimmungen:
    6
    MacUser seit:
    03.07.2002
    Hallo,
    ihr schreibt immer "Administrator" und als solcher angemeldet. Wie erkenne ich denn, ob ich Administrator bin?
    Ich habe OS 14.4 normal installiert. DEm ganzen die bei der Installation verlangten Namen gegeben und sonst nichts verändert. Wenn ich Programme installieren will, werde ich gefragt, ob ich das ok gebe.
    Bin ich jetzt Administrator oder was?
    Fragt und grüßt
    Tomas
     
  5. SilentCry

    SilentCry Thread Starter Banned

    Beiträge:
    1.402
    Zustimmungen:
    36
    MacUser seit:
    28.04.2005
    Ja, bist Du. Der Benutzer, den das OSX beim Installieren anlegt, ist ein Mitglied der Gruppe wheel, ergo Administrator mit SUDOer-Rechten.
    Antwortet und grüßt
    SilentCry.
     
  6. jadoredior2802

    jadoredior2802 MacUser Mitglied

    Beiträge:
    7
    Zustimmungen:
    0
    MacUser seit:
    11.04.2005
    Beitrag wurde entfernt
     
    Zuletzt bearbeitet: 24.05.2006
  7. Es gibt auch programme die little snitch entwischen :(
     
  8. Starduster

    Starduster MacUser Mitglied

    Beiträge:
    380
    Zustimmungen:
    6
    MacUser seit:
    03.07.2002
    Hallo SilentCry,

    die Antwort mag für den Fachmann verständlich sein, für mich noch nicht ganz.
    Du schreibst "Mitglied der Gruppe wheel". Das sagt mir überhaupt nichts.
    In "Information" von z.B. meiner HD finde ich unten "Eigentümer & Zugriffsrechte".
    Da sind im Aufklapp-Menue "Eigentümer" jede Menge merkwürdiger Abkürzungen.
    Ebenso bei "Gruppe". Wo kann ich nachlesen, was die einzelnen Bezeichnungen bedeuten und wie sie gehandhabt werden?
    Muss ich dazu Unix-crack werden?


    Und @ SelonScience
    Was z.B. entwischt little snitch?

    Tomas
     
Die Seite wird geladen...

Diese Seite empfehlen