Nutzen von Desktop-Firewalls (z.B.:Littlesnitch)

[SilentCry]

Weil unter https://www.macuser.de/forum/showthread.php?t=118951 begonnen wurde, eröffne ich hier einen neuen Thread.
Bezugnehmend auf:
http://www.hackerboard.de/thread.php?threadid=1138

 

[SilentCry]

In dem Artikel von Hackerboard steht

Im wesentlichen werden zwei Zeile angestrebt:
- Unerwünschten Datentransfer von innen nach außen unterbinden
- Schutz vor unerwünschten Zugriffen von außen

Dem stimme ich zu, wobei ich mich hier auf die erste Funktion beschränke. Die Mac OS X Firewall und zuhause meine HW Firewall von Zyxel kümmern sich um die Abschottung von Aussen. Wichtig: Ich rede von einem privaten Surfer, also jemanden, der keinerlei Bedarf hat, Dienste nach Draussen anzubieten. Menschen, die Webserver oder dgl. betreiben, sind ein anderes Thema bezüglich ihrer Verwundbarkeit.

Achja: Ich verwende hier LS (LittleSnitch) als generellen Platzhalter für Programme dieser Art.

Einige PF enthalten noch einen http-Proxy zur Filterung von
Werbebannern oder Cokies.

Ist mir hier mal wurst.

Datentransfer von innen nach außen
Einige Beispiele aus dem realen Leben:

1)
Das trojanische Pferd der Firma Aureate basierte auf einem Netscape
Navigator / Internet Explorer Plugin und kommuniziert somit nicht
*direkt* mit dem Internet. Dadurch umgeht es auf einfache Weise die
Probleme, die sonst bei einem Internetzugang über ein Netzwerk
auftreten würden. Aurate ist nicht nur um einiges älter als ZoneAlarm,
sondern wird von sehr vielen Freeware/Shareware-Programmen wie zum
Beispiel von GoZilla und WebCopier verwendet.
Anscheint greifen neuere Versionen des Trojanischen Pferdes über die
Wirtsanwendung auf das Internet zu, sofern es sich bei diesen
Programmen um "Internet-Software" handelt.
Suchstichwörter: advert.dll, Radiate

Das ist im ersten Blick stichhaltig. Ausser, man unterbindet auch einem Webbrowser die Kommunikation. Kurzes Brainstormin wäre, jeden Start eines Browsers durch LS bestätigen lassen. Habe ich keine Seite aufgerufen und LS meldet, dass zB. Safari ins Internet will, hab ich den Bösewicht schon mal erkannt. Andere Ideen?


2)
Ich hab bei einem Bekannten vor einiger Zeit im Temp-Verzeichnis eine
HTML-Datei gefunden, die ein paar Bilder aus dem Internet lädt. Die
Bild-URLs waren dabei ganz besonders aufgebaut: Einige bestanden
unter anderem aus den Dateinamen, die man unter {Start | Dokumente}
findet.
Das verstehe ich nicht. Seit wann kann eine HTML-Datei etwas "laden"?
[Rest von P2 gelöscht - was hat der Realplayer damit zu tun?]

3)
|Do you want Microsoft Internet Explorer to access the internet?
|Do you want Netscape Navigator to access the internet?
|Do you want Microsoft Windows 95 to access the internet?
|Do you want DFÜ-Netzwerk to access the internet?
|Do you want Zone Alarm to access the internet?

Vernünftig programmierte Spyware wird sich ja kaum
als "The ultimative hacking tool" in Windows anmelden.

Wieder: Wenn ich ihn nicht aufgerufen habe, würde mich das stutzig machen.

4)
Protokoll-Tunnel (Verallgemeinerung von 1.): zum Beispiel IP over
E-Mail oder http. Für einen http-Proxy [1] sieht das wie ein ganz
normale Web-Seiten-Anforderung aus. Theoretisch kann man jedes
Protokoll über jedes andere tunneln, solange man Einfluss auf
eine entsprechende Gegenstelle hat. Bei DNS-Abfragen zum Beispiel
geht das auch über "viele Ecken".

Ja...und? Es kann sich meinetwegen zutode tunneln, wenn es nicht ins Netz darf, nutzt ihm der Tunnel nichts. Mir ist doch schnuppe, _wie_ er es versucht, irgendwann muss er über LS und es hängt davon ab ob es geht oder nicht.

5)
Jedes Programm hat unter Windows 9x die Zugriffs-Rechte auf der
selben Ebene wie die PF mit dem Netzwerk zu kommunizieren
(also nebenher). Unter Windows NT (2000, XP) gilt das gleiche,
wenn man sich als "Administrator" angemeldet hat; z.B. um Soft-
ware im guten Glauben zu installieren.

Happy99 und Hybris kommen dem recht nah, in dem sie die WSock32.dll
ersetzen. Mittlerweile gibt es einen Proof-Of-Concept:
http://www.securityfocus.com/archive/1/244026 (Englisch)

Interessiert uns Mac OS X solch ein Argument? Weder bin ich auf Win* noch arbeite ich als Administrator.

6)
Mittlerweile gibt es auch die ersten bösen Programme [tm], die
einige Desktop-Firewalls (bzw. bestimmte Versionen) einfach beenden:
http://groups.google.com/groups?selm=3B3....tu-chemnitz.de
http://www.seue.de/y3k/y3k.htm
Theoretisch dürften im Worst Case (also wenn das böse Programm [tm]
Administrator- bzw. Root-Rechte auf dem Rechner hat) alle PFs ziemlich
machtlos sein.

Wieder: Ein vernünftiger Mensch arbeitet nicht als Admin, schon gar nicht unter OS X.


Außerdem kann man viele Desktop-Firewalls durch ähnlich-aussehende
Programme ersetzen, indem man im simpelsten Fall den Treiber-Aufruf in
der Registry löscht und den Aufruf des User-Frontends mit dem Datei-
namen eines entsprechend präparierten Programmes überschreibt.

Normale Benutzerrechte reichen bei den meisten PFs,
um neue Regeln einfügen:
http://www.heise.de/newsticker/data/pab-18.05.01-001
http://my-forum.netfirms.com/zone/zcode.htm (bestätigt "Yes-Button")

Es liegt am Autor von LS, solchen Unsinn zu verhindern.

Und zum Schluss sind da noch die bösen Programme, die überhaupt nicht
mit dem Internet kommunizieren. z.B.: Ein Trojanische Pferd, das
angeblich ein Virenscanner ist (und auch wirklich andere Viren findet)
allerdings zusätzlich Zifferndreher in Excel-Tabellen verursacht.

Das ist nicht Bestandteil des Themas. Dass mich LS nicht davor schützt, dass ich im Suff den Wein in mein Powerbook kippe könnte man dann genau so gut anführen. Ergo ignoriere ich das Argument, das keines ist.

Zugriffsmöglichkeiten von außen
Interessiert uns hier nicht.

 

[tastendruecker]

Zu 1)
Es gibt schon lange für Windows-Schädlinge entsprechende Wegklick-Routinen.
Die lassen sich wohl auch für MacOS X skrippten. Abgesehen davon
kann man doch auch schon laufende Browser-Instance
missbrauchen. Die hast Du wohl schon abgesegnet. Oder
willst Du alle URLs einzeln bestätigen?!

Zu 2)
Es geht darum, dass die Information nach aussen übermittelt wird.
Dabei wird die Info einfach in die abgerufene URL eigebettet.
(Ist es jetzt mit Real klar?!)

Zu 3)
Dich vielleicht. Allerdings dürfte es einen normalen Anwender auf
die Meldung eines unverdächtig klingenden Programms kaum stören.

Wie solche PFen sehr schnell aus Bequemlichkeit zusätzliche Lücken
aufreissen, stand übrigens in dem FAQ, aus dem in hackerboard zitiert wurde
gleich im nächsten Absatz:


Wenn man bei der Erzeugung einer .exe-Datei in die Versions-
Informationen als Company "Microsoft Corporation" schreibt,
stuft die Norton Personal Firewall alle Verbindungsversuche
dieses Programms als "Low Risk" ein ("Trusted Company").


Zu 4)
Der User sollte also schon bei einfachen DNS-Lookups
den Verdacht schöpfen? Nun Dir steht eine mächtige Klickerei
bevor. Alle Anwendungen, die es dürfen, muss man ja festlegen. (Aber man
kann ja einer dieser Anwendungen auch selbst mal für die DNS-Auflösung
missbrauchen. )

Zu 5)
Unter MacOS X werden keine Programme installiert. Es sind ebenfalls
keine Lücken bekannt die Steigerung der Prozessrechte erlauben.
Hmm... Warum liefert Apple eigentlich Security Updates aus?

Zu 6) Wenn das böse Programm erst mal local läuft,
dann hat man so einige Möglichkeiten die entsprechende Rechte
zu erlangen (siehe 5)

Zu:
> Es liegt am Autor von LS, solchen Unsinn zu verhindern.


Es liegt auch an dem Anwender. Willst Du Deine Sicherheit
dem Autor vom PF vertrauen? Ja?! Ist der Autor vertrauenwürdig?
Das sind ganz nette Fragen.

Ausgehend von z.B. http://www.ntsvcfg.de/#_pfw
kannst Du Dich ja weiter kundig machen.

 

[Starduster]

Hallo,
ihr schreibt immer "Administrator" und als solcher angemeldet. Wie erkenne ich denn, ob ich Administrator bin?
Ich habe OS 14.4 normal installiert. DEm ganzen die bei der Installation verlangten Namen gegeben und sonst nichts verändert. Wenn ich Programme installieren will, werde ich gefragt, ob ich das ok gebe.
Bin ich jetzt Administrator oder was?
Fragt und grüßt
Tomas

 

[SilentCry]

Hallo,
ihr schreibt immer "Administrator" und als solcher angemeldet. Wie erkenne ich denn, ob ich Administrator bin?[...] Bin ich jetzt Administrator oder was?
Fragt und grüßt
Tomas

Ja, bist Du. Der Benutzer, den das OSX beim Installieren anlegt, ist ein Mitglied der Gruppe wheel, ergo Administrator mit SUDOer-Rechten.
Antwortet und grüßt
SilentCry.

 

[jadoredior2802]

Beitrag wurde entfernt

 

[SelonScience]

Es gibt auch programme die little snitch entwischen

 

[Starduster]

Hallo SilentCry,

die Antwort mag für den Fachmann verständlich sein, für mich noch nicht ganz.
Du schreibst "Mitglied der Gruppe wheel". Das sagt mir überhaupt nichts.
In "Information" von z.B. meiner HD finde ich unten "Eigentümer & Zugriffsrechte".
Da sind im Aufklapp-Menue "Eigentümer" jede Menge merkwürdiger Abkürzungen.
Ebenso bei "Gruppe". Wo kann ich nachlesen, was die einzelnen Bezeichnungen bedeuten und wie sie gehandhabt werden?
Muss ich dazu Unix-crack werden?


Und @ SelonScience
Was z.B. entwischt little snitch?

Tomas