Nutzen von Desktop-Firewalls (z.B.:Littlesnitch)

  1. SilentCry

    SilentCry Thread StarterMacUser Mitglied

    Mitglied seit:
    28.04.2005
    Beiträge:
    1.402
    Zustimmungen:
    36
    SilentCry, 12.10.2005
  2. SilentCry

    SilentCry Thread StarterMacUser Mitglied

    Mitglied seit:
    28.04.2005
    Beiträge:
    1.402
    Zustimmungen:
    36
    In dem Artikel von Hackerboard steht

    Im wesentlichen werden zwei Zeile angestrebt:
    - Unerwünschten Datentransfer von innen nach außen unterbinden
    - Schutz vor unerwünschten Zugriffen von außen


    Dem stimme ich zu, wobei ich mich hier auf die erste Funktion beschränke. Die Mac OS X Firewall und zuhause meine HW Firewall von Zyxel kümmern sich um die Abschottung von Aussen. Wichtig: Ich rede von einem privaten Surfer, also jemanden, der keinerlei Bedarf hat, Dienste nach Draussen anzubieten. Menschen, die Webserver oder dgl. betreiben, sind ein anderes Thema bezüglich ihrer Verwundbarkeit.

    Achja: Ich verwende hier LS (LittleSnitch) als generellen Platzhalter für Programme dieser Art.

    Einige PF enthalten noch einen http-Proxy zur Filterung von
    Werbebannern oder Cokies.


    Ist mir hier mal wurst.

    Datentransfer von innen nach außen
    Einige Beispiele aus dem realen Leben:

    1)
    Das trojanische Pferd der Firma Aureate basierte auf einem Netscape
    Navigator / Internet Explorer Plugin und kommuniziert somit nicht
    *direkt* mit dem Internet. Dadurch umgeht es auf einfache Weise die
    Probleme, die sonst bei einem Internetzugang über ein Netzwerk
    auftreten würden. Aurate ist nicht nur um einiges älter als ZoneAlarm,
    sondern wird von sehr vielen Freeware/Shareware-Programmen wie zum
    Beispiel von GoZilla und WebCopier verwendet.
    Anscheint greifen neuere Versionen des Trojanischen Pferdes über die
    Wirtsanwendung auf das Internet zu, sofern es sich bei diesen
    Programmen um "Internet-Software" handelt.
    Suchstichwörter: advert.dll, Radiate


    Das ist im ersten Blick stichhaltig. Ausser, man unterbindet auch einem Webbrowser die Kommunikation. Kurzes Brainstormin wäre, jeden Start eines Browsers durch LS bestätigen lassen. Habe ich keine Seite aufgerufen und LS meldet, dass zB. Safari ins Internet will, hab ich den Bösewicht schon mal erkannt. Andere Ideen?


    2)
    Ich hab bei einem Bekannten vor einiger Zeit im Temp-Verzeichnis eine
    HTML-Datei gefunden, die ein paar Bilder aus dem Internet lädt. Die
    Bild-URLs waren dabei ganz besonders aufgebaut: Einige bestanden
    unter anderem aus den Dateinamen, die man unter {Start | Dokumente}
    findet.

    Das verstehe ich nicht. Seit wann kann eine HTML-Datei etwas "laden"?
    [Rest von P2 gelöscht - was hat der Realplayer damit zu tun?]

    3)
    |Do you want Microsoft Internet Explorer to access the internet?
    |Do you want Netscape Navigator to access the internet?
    |Do you want Microsoft Windows 95 to access the internet?
    |Do you want DFÜ-Netzwerk to access the internet?
    |Do you want Zone Alarm to access the internet?

    Vernünftig programmierte Spyware wird sich ja kaum
    als "The ultimative hacking tool" in Windows anmelden.


    Wieder: Wenn ich ihn nicht aufgerufen habe, würde mich das stutzig machen.

    4)
    Protokoll-Tunnel (Verallgemeinerung von 1.): zum Beispiel IP over
    E-Mail oder http. Für einen http-Proxy [1] sieht das wie ein ganz
    normale Web-Seiten-Anforderung aus. Theoretisch kann man jedes
    Protokoll über jedes andere tunneln, solange man Einfluss auf
    eine entsprechende Gegenstelle hat. Bei DNS-Abfragen zum Beispiel
    geht das auch über "viele Ecken".


    Ja...und? Es kann sich meinetwegen zutode tunneln, wenn es nicht ins Netz darf, nutzt ihm der Tunnel nichts. Mir ist doch schnuppe, _wie_ er es versucht, irgendwann muss er über LS und es hängt davon ab ob es geht oder nicht.

    5)
    Jedes Programm hat unter Windows 9x die Zugriffs-Rechte auf der
    selben Ebene wie die PF mit dem Netzwerk zu kommunizieren
    (also nebenher). Unter Windows NT (2000, XP) gilt das gleiche,
    wenn man sich als "Administrator" angemeldet hat; z.B. um Soft-
    ware im guten Glauben zu installieren.

    Happy99 und Hybris kommen dem recht nah, in dem sie die WSock32.dll
    ersetzen. Mittlerweile gibt es einen Proof-Of-Concept:
    http://www.securityfocus.com/archive/1/244026 (Englisch)


    Interessiert uns Mac OS X solch ein Argument? Weder bin ich auf Win* noch arbeite ich als Administrator.

    6)
    Mittlerweile gibt es auch die ersten bösen Programme [tm], die
    einige Desktop-Firewalls (bzw. bestimmte Versionen) einfach beenden:
    http://groups.google.com/groups?selm=3B3....tu-chemnitz.de
    http://www.seue.de/y3k/y3k.htm
    Theoretisch dürften im Worst Case (also wenn das böse Programm [tm]
    Administrator- bzw. Root-Rechte auf dem Rechner hat) alle PFs ziemlich
    machtlos sein.


    Wieder: Ein vernünftiger Mensch arbeitet nicht als Admin, schon gar nicht unter OS X.


    Außerdem kann man viele Desktop-Firewalls durch ähnlich-aussehende
    Programme ersetzen, indem man im simpelsten Fall den Treiber-Aufruf in
    der Registry löscht und den Aufruf des User-Frontends mit dem Datei-
    namen eines entsprechend präparierten Programmes überschreibt.

    Normale Benutzerrechte reichen bei den meisten PFs,
    um neue Regeln einfügen:
    http://www.heise.de/newsticker/data/pab-18.05.01-001
    http://my-forum.netfirms.com/zone/zcode.htm (bestätigt "Yes-Button")


    Es liegt am Autor von LS, solchen Unsinn zu verhindern.

    Und zum Schluss sind da noch die bösen Programme, die überhaupt nicht
    mit dem Internet kommunizieren. z.B.: Ein Trojanische Pferd, das
    angeblich ein Virenscanner ist (und auch wirklich andere Viren findet)
    allerdings zusätzlich Zifferndreher in Excel-Tabellen verursacht.


    Das ist nicht Bestandteil des Themas. Dass mich LS nicht davor schützt, dass ich im Suff den Wein in mein Powerbook kippe könnte man dann genau so gut anführen. Ergo ignoriere ich das Argument, das keines ist.

    Zugriffsmöglichkeiten von außen
    Interessiert uns hier nicht.
     
    SilentCry, 12.10.2005
  3. tastendruecker

    tastendrueckerMacUser Mitglied

    Mitglied seit:
    13.09.2005
    Beiträge:
    16
    Zustimmungen:
    0
    Zu 1)
    Es gibt schon lange für Windows-Schädlinge entsprechende Wegklick-Routinen.
    Die lassen sich wohl auch für MacOS X skrippten. Abgesehen davon
    kann man doch auch schon laufende Browser-Instance
    missbrauchen. Die hast Du wohl schon abgesegnet. Oder
    willst Du alle URLs einzeln bestätigen?!

    Zu 2)
    Es geht darum, dass die Information nach aussen übermittelt wird.
    Dabei wird die Info einfach in die abgerufene URL eigebettet.
    (Ist es jetzt mit Real klar?!)

    Zu 3)
    Dich vielleicht. Allerdings dürfte es einen normalen Anwender auf
    die Meldung eines unverdächtig klingenden Programms kaum stören.

    Wie solche PFen sehr schnell aus Bequemlichkeit zusätzliche Lücken
    aufreissen, stand übrigens in dem FAQ, aus dem in hackerboard zitiert wurde
    gleich im nächsten Absatz:


    Wenn man bei der Erzeugung einer .exe-Datei in die Versions-
    Informationen als Company "Microsoft Corporation" schreibt,
    stuft die Norton Personal Firewall alle Verbindungsversuche
    dieses Programms als "Low Risk" ein ("Trusted Company").


    Zu 4)
    Der User sollte also schon bei einfachen DNS-Lookups
    den Verdacht schöpfen? Nun Dir steht eine mächtige Klickerei
    bevor. Alle Anwendungen, die es dürfen, muss man ja festlegen. (Aber man
    kann ja einer dieser Anwendungen auch selbst mal für die DNS-Auflösung
    missbrauchen. ;) )

    Zu 5)
    Unter MacOS X werden keine Programme installiert. Es sind ebenfalls
    keine Lücken bekannt die Steigerung der Prozessrechte erlauben.
    Hmm... Warum liefert Apple eigentlich Security Updates aus?

    Zu 6) Wenn das böse Programm erst mal local läuft,
    dann hat man so einige Möglichkeiten die entsprechende Rechte
    zu erlangen (siehe 5)

    Zu:
    > Es liegt am Autor von LS, solchen Unsinn zu verhindern.


    Es liegt auch an dem Anwender. Willst Du Deine Sicherheit
    dem Autor vom PF vertrauen? Ja?! Ist der Autor vertrauenwürdig?
    Das sind ganz nette Fragen.

    Ausgehend von z.B. http://www.ntsvcfg.de/#_pfw
    kannst Du Dich ja weiter kundig machen.
     
    tastendruecker, 27.10.2005
  4. Starduster

    StardusterMacUser Mitglied

    Mitglied seit:
    03.07.2002
    Beiträge:
    380
    Zustimmungen:
    6
    Hallo,
    ihr schreibt immer "Administrator" und als solcher angemeldet. Wie erkenne ich denn, ob ich Administrator bin?
    Ich habe OS 14.4 normal installiert. DEm ganzen die bei der Installation verlangten Namen gegeben und sonst nichts verändert. Wenn ich Programme installieren will, werde ich gefragt, ob ich das ok gebe.
    Bin ich jetzt Administrator oder was?
    Fragt und grüßt
    Tomas
     
    Starduster, 12.11.2005
  5. SilentCry

    SilentCry Thread StarterMacUser Mitglied

    Mitglied seit:
    28.04.2005
    Beiträge:
    1.402
    Zustimmungen:
    36
    Ja, bist Du. Der Benutzer, den das OSX beim Installieren anlegt, ist ein Mitglied der Gruppe wheel, ergo Administrator mit SUDOer-Rechten.
    Antwortet und grüßt
    SilentCry.
     
    SilentCry, 14.11.2005
  6. jadoredior2802

    jadoredior2802MacUser Mitglied

    Mitglied seit:
    11.04.2005
    Beiträge:
    7
    Zustimmungen:
    0
    Beitrag wurde entfernt
     
    jadoredior2802, 22.05.2006
  7. SelonScience

    SelonScience

    Es gibt auch programme die little snitch entwischen :(
     
    SelonScience, 23.05.2006
  8. Starduster

    StardusterMacUser Mitglied

    Mitglied seit:
    03.07.2002
    Beiträge:
    380
    Zustimmungen:
    6
    Hallo SilentCry,

    die Antwort mag für den Fachmann verständlich sein, für mich noch nicht ganz.
    Du schreibst "Mitglied der Gruppe wheel". Das sagt mir überhaupt nichts.
    In "Information" von z.B. meiner HD finde ich unten "Eigentümer & Zugriffsrechte".
    Da sind im Aufklapp-Menue "Eigentümer" jede Menge merkwürdiger Abkürzungen.
    Ebenso bei "Gruppe". Wo kann ich nachlesen, was die einzelnen Bezeichnungen bedeuten und wie sie gehandhabt werden?
    Muss ich dazu Unix-crack werden?


    Und @ SelonScience
    Was z.B. entwischt little snitch?

    Tomas
     
    Starduster, 23.05.2006
Die Seite wird geladen...
Ähnliche Themen - Nutzen Desktop Firewalls
  1. Ramiro
    Antworten:
    4
    Aufrufe:
    288
    rechnerteam
    15.11.2016
  2. robert170
    Antworten:
    0
    Aufrufe:
    409
    robert170
    17.07.2012
  3. Maxbubble
    Antworten:
    7
    Aufrufe:
    677
    Maxbubble
    10.12.2010
  4. Pianist82
    Antworten:
    2
    Aufrufe:
    650
    Katzenbuch
    28.05.2010
  5. eroX
    Antworten:
    1
    Aufrufe:
    1.690