flYbY hat geschrieben: Also wenn ich mir so die Sachen bzgl. Ad-Aware durchlese stelle ich fest: der Normal-User wird nicht in der Lage sein, Ad-Aware Professionel vernünftig zu konfigurieren, weil es sich schon sehr komplex anhört. .

Das normale Ad-Aware reicht völlig aus. Konfiguration ist überhaupt kein Problem, weil überhaupt nicht nötig. Man sollte nur die Siganturen aktuell halten.

flYbY hat geschrieben: Und die Normal Version Ad-Aware scheint nur eine Art "Virenscanner", der "bad code" identifiziert.

Genau, was willst Du denn mehr? Einen Hintergrundwächter? Nicht nötig.

flYbY hat geschrieben: Aber was, wenn Ports gescannt werden und über Offene ein Verbindung hergestellt wird? Dann befinden sich keine fremden Daten auf dem Rechner, aber dennoch wird man ausspioniert.

Was meinst Du damit genau??? Offne Ports muss es nicht geben, denn die kann man schließen. Oder lässt Du im Auto die Türen auf, aber die Alarmanlage an? ;)

Über einen offenen Port allein kann man übrigen noch lange nicht ausspioniert werden.

flYbY hat geschrieben: Also ne einfache Firewall (die optimalerweise selbst Regeln erstellt) sollte somit verhindern, dass Daten, die man nich bestellt hat, weder raus noch reingehen. Damit wäre man auch schon aus dem Gröbsten raus...

Leider nicht, eine solche Firewall bringt nichts, es sei denn, man weiß genau, wie man sie zu konfigurieren hat. Die meißten verstehen nämlich überhaupt nichts, was sie erlauben sollen und was nicht. Im Übrigen gibt es genug Methoden, Daten an einer Firewall vorbeizubringen. (MITM, firewall-tunneling, dlls, ...)

Kaine hat geschrieben: wenn wir schon mit normal-user anfangen, sollten wir uns auch fragen wer denn bitteschön einen normal-user ausspionieren will! wir sind doch nichtmehr in der ddr!!

Och, da gibt`s einige. Allen voran die spezialisierte Industrie, insbesondere die, welche Spyware herstellt und vertreibt. Dann sind da noch die Script.Kiddies mit ihren RAT`s, aber dagegen kann man sich mit etwas Verstand und einen vernünftigem Scanner schützen. ANsonsten muss ih DIr recht geben, es ist lächerlich zu Glauben, irgendwelche "Proffesionelle" hätten es auf einen abgesehen.

@Witti:
Es gibt über 65000 Ports, die von irgendwelcher Software benutzt werden kann. Und über jeden zumindest oberhalb 1024 lassen sich Daten übertragen. Und wie bitte, schließt man Ports?? Ist ja schließlich keine Autotür. Man kann lediglich den Traffic der drüber läuft abwehren. Und das macht ja bekannterweise ne Firewall. Wozu nützt einem dann hierbei ein besserer Virenscanner, der sich gar nicht weiß dass es Ports und Sockets gibt?

Es reicht eigentlich, wenn mir meine Firewall meldet, welche Software über welchen Port nach draussen funkt/funken will. Dann dürfte ja genug da sein, um zu entscheiden, ob das ok ist oder nicht. Daten an ner Firewall vorbeibringen kann man im Übrigen auch nur über einen Port.

Mal ein einfaches Beispiel:
Ich baue mir mittels Java ganz fix nen Server, der über Port 6666 auf Connections lauscht. Anschließend bastel ich mir nen Client, der von nem Fremdrechner aus ständig versucht, diesen Port mit meiner IP zu connecten. Und das ist keine schwere Arbeit oder Hexerei, weil Java sämtliche Klassen und Methoden für sowas bereitsstellt.
Ein Virenscanner wird diesen Client Prozess sicher nicht enttarnen. Ne Firewall oder ein PortSniffer bemerken jedoch Aktivität auf Port 6666 und melden sich. Wenn man den Prozess dann blockt, hat sich der Ofen. Und wenn man keine Firewall hat, dann lassen sich über den Port 6666 prima Daten empfangen. Das größte Problem hierbei ist es, den Prozess auf dem Client irgendwie starten zu lassen, aber das bekommt ein gekonnter Programmierer sicher über nen Dienst in Windows oder sonstwie hin.


@Kaine:
Ja du hast Recht, beim Normal-User lässt sich nich unbedingt was finden. Aber es gibt ja so Spezies, die speichern alles mögliche auf ihrem Rechner (Kontodaten, Passwörter, blabla). Dann wirds natürlich schon heikler. Und da ran zu kommen geht sogar "relativ" einfach: Leute die Windows Freigaben auf DFÜ Netzwerke haben, stehen quasi offen wie ein Scheunentor. Habe vor langer Zeit mal IP Bereiche mit dem Programm "xSharez" gescannt. Da findet man so einiges! Und selbst wenns Passwortverschlüsselt ist, hilft "xIntruder" mit ner BruteForce-Attacke das zu knacken (dauert auch nich lang weil die Win Versionen <= 98 zu jedem übersendeten Zeichen zurücksenden, obs richtig oder falsch ist). Naja, danach lässt sich Prima auf fremden Festplatten rumgucken, ohne dass der User irgendwas mitbekommt, also wie in nem Netzwerk halt. Wen das nich sonderlich stört, okay. Ist natürlich nich richtig "eingebrochen", weil die Tür ja offen stand sozusagen. Aber viele wissens halt nich...

flYbY hat geschrieben:Es gibt über 65000 Ports, die von irgendwelcher Software benutzt werden kann.

Korrekt.

flYbY hat geschrieben:Und über jeden zumindest oberhalb 1024 lassen sich Daten übertragen.

Unter 1024 genau so.

flYbY hat geschrieben:Und wie bitte, schließt man Ports??

Indem man jeden nicht benötigten Dienst, der einen Port benutzt, schließt.

flYbY hat geschrieben:Man kann lediglich den Traffic der drüber läuft abwehren.

Eben das ist falsch: Kein Dienst am Port, kein Traffic, also nichts abzuwehren.

flYbY hat geschrieben:Wozu nützt einem dann hierbei ein besserer Virenscanner, der sich gar nicht weiß dass es Ports und Sockets gibt?

Ein guter Virenscanner erkennt über die Heuristic Programme, die sich ins Internet connecten können. Das Übrige sollte per Signatur gefunden werden.

flYbY hat geschrieben:Es reicht eigentlich, wenn mir meine Firewall meldet, welche Software über welchen Port nach draussen funkt/funken will. Dann dürfte ja genug da sein, um zu entscheiden, ob das ok ist oder nicht.

Gut, aber was, wenn Du ein harmloses Programm frei gibst (den Brwoser z.B.), die Malware sich aber z.B. als Plugin des IE ausgibt und somit der Firewall verborgen bleibt? Oder das von mir bereits angesprochene Tunneling? Was, wenn z.B. die WSock32.dll ersetzt wird? Darüber hinaus gibt es Malware, die die FW einfach killt.

Zu Deinem Beispiel. Du musst den Server erst mal auf Deinen Zielrechner transportieren. Da sollte er dann schon gefunden werden. Und dann muss er, wie Du auch sagst, noch gestartet werden.

Eine Firewall bietet keine wirklich zufriedenstellende Sicherheit und kann bei einem DAU beinahe mehr Schaden anrichten, als Nutzen.

Ich habe mir gerade einen Server und nen Client zusammengehackt. War keine große Mühe.

Die Prozesse lauft gerade und ich kann munter Daten vom Client zum Server schicken. Die Firewall hat bereits aufgemuckt aber der Virenscanner findet den nich... (also meiner zumindest nicht, ist BitDefender) Aber wieso sollte er auch? Ist ja kein Virus. Außerdem wird er mit dem Java Binärcode nix anfangen können. Und unter Windows läuft er nur als "Prozess" im Prozessmanager. Aber daneben stehen auch 1001 anderer Prozesse. Ich könnte ihn wegkicken. Aber dann müsste ich schon wissen, welcher Prozess von den vielen das ist. Dann wär natürlich auch der Port wieder frei. Aber ich wusste ja eigentlich nie, dass er in Gebrauch war. So gesehen lassen sich Ports nämlich nich einfach so zumachen, dass niemand sie mehr benutzen kann.

Natürlich geb ich dir recht: wenn der "Virus" erstmal auf dem Rechner ist, macht die Firewall auch nix mehr (bei nem Trojaner allerdings siehts schon wieder anders aus der sendet ja über irgendwelche Ports zu seinem Server). Aber dafür gibts ja dann Virenscanner

Wenn Du Lust hast, schick mir Deinen Server doch mal bitte an witti@rokop-security.de

so, nu muss ich mich auch nochmal zu Wort melden, nachdem ich hier ja dermassen zerlegt wurde.
Ich habe ja niemals behauptet, dass die 2 von mir genannten die Besten sind, sondern weil antivir z.b. freeware ist. Dass die meisten vermutlich eh alle irgendwelche illegale Versionen mit Serials aus dem Netz haben is mir auch klar, aber ich dachte wenigstens halbwegs sollte man hier schon legal bleiben. Dass Quickheal nicht am besten getestet wurde (eher sogar recht weit hinten in einer C´T letzen Jahres glaub ich) weiss ich auch. Aufgrund persönlichen Erfahrungen kann ich aber behaupten, dass ich mit diesem Programm weitaus mehr gefunden habe als mit Norton, und sogar in der Lage war das zu reparieren. Hätte ich Norton benutzt hätte ich nun nichts mehr von meinen Daten (siehe erster Post).
Als unbedingten Vorteil zu sehen, dass man per Norton nen Check übers I-Net machen kann würde ich das nicht sehen. Norton hält es scheinbar überhaupt nicht nötig, vor der Erstinstallation überhaupt mal nah Viren zu prüfen, und hat sich im ungünstigen Falle gerade infiziert.
Da ich nicht in ner Software-Security-Firma-Dingens arbeite, kenn ich mich leider Gottes auch nicht überall 100%ig aus,
aber da WITTI da ja scheinbar der Gott ist, find ich´s klasse dass er uns aufklärt.

Ugork hat geschrieben:Da ich nicht in ner Software-Security-Firma-Dingens arbeite, kenn ich mich leider Gottes auch nicht überall 100%ig aus,
aber da WITTI da ja scheinbar der Gott ist, find ich´s klasse dass er uns aufklärt.

Da fällt mir ein Spruch der Bundeswehr ein: "Ich bin hier nur ein kleines Licht - aber für Sie bin ich die Sonne!" :D

Du musst Dich nicht bedanken! Aber ich diskutiere nun mal gerne über das Thema und habe mich damit auch näher beshäftigt. Daher meine ich auch, falsche Aussagen korrigieren zu dürfen. Und wenn diese auch noch mit inbrünstiger Überzeugung geschrieben werden, schlage ich auch schonmal gern einen sarkastischeren Ton an. Zudem sollte man bedenken, dass falsch informierte User einen erheblich Schaden davon tragen können.

Witti hat geschrieben:Zudem sollte man bedenken, dass falsch informierte User einen erheblich Schaden davon tragen können.

Und genau aus diesem Grund habe ich meinen Senf dazugegeben.
Ich habe lediglich vor Norton gewarnt, da er nicht in der LAge ist infizierte Files zu reparieren, sondern nur die Möglichkeit der Quarantäne oder löschen bietet. Jenes Problem hatte ich schon 2 Mal und ich kenne Aussagen wie: "scheisse ich hab meinen Rechner formatiert weil ich nen Virus hatte und den nicht wegbekam" nur zu genau.

So und weil du meintest ich hätte das verbockt gleich nochwas ->

Der Virus W32/Klez.I ist ein Wurm, der eine Sicherheitslücke im Internet Explorer nutzt, um damit angehängte Dateien automatisch zu starten, wenn man sich die NAchricht nur ankuckt, oder in der Vorschau betrachtet.
Und eben da isses passiert. Ich mach dubiose Mails gar nicht erst auf, die Vorschau habe ich auch deaktiviert. In den gelöschten Mails jedoch ist die Vorschau dann nicht deaktiviert, und genau DA hat er den Anhang (W.32Elkern-C Virus) ausgeführt, und ich hab nich ma irgendwo draufgeklickt... toll nich...
Und ich schieb´s DOCH auf outlook.

Siehst du Witti, und nu hast du doch noch was gelernt

Ich weiß durchaus was Klez ist und kann. Hast Du schon einmal überlegt, dass man Outlook auch sicher konfigurieren kann?

wenn du das weisst, warum behauptest du ich hätte wo draufgedrückt ?
Wie war das mit dem falsch informieren der User ?

Ja sicher weiss ich dass man Outlook auch sicher konfigurieren kann und das es Hotfixes für solche Löcher gibt, da ich aber nicht Mr. Security-Systemadministrator bin hänge ich auch nicht immer Kopfüber in irgendwelchen Seiten um zu lesen, welche Sicherheitslücken nun schon wieder bekannt wurden. Da ich aus solchen Sachen eigentlich nie mit sonderlich grossem Schaden hervorgegangen bin, war mir es auch nicht die Mühe wert all diese Kleinigkeiten, Hotfixes, Patches und sonstwas zu installieren.

Das alles ist ja auch relativ belanglos, da ich ja lediglich darauf hin gewiesen habe, dass ich Norton scheisse finde, und das nicht ohne Grund.

Da geht es ja schon los: Keine Security-Updates insallieren, aber sich über die Software beschweren, wenn mal was passiert. Und ob Du nun den Anhang ausführst, oder Dich nicht, abgesehen von der Installation eines Virenscanners, um sichere Konfigurationen bemühst, läuft für mich auf eines hinaus: Unvorsichtigkeit gepaart mit Schuldzuweisungen an irgendwelche Programme.

Ich hab auch keine Lust, hier noch einmal Dein erstes Posting zu zitieren. Was Du jetzt sagst klingt zumindest schon"anders".

hm, vielleicht hast du recht, wenn ich mein erstes Posting nochma lese, wars vielleicht doch etwas stürmig. Fakt ist, ich hatte schon jede Menge Ärger mit Norton. Und da mindestens bei jedem 2. bei Erwähnung eines Virenscanners das Wort Norton fällt, war es mir wichtig mitzuteilen, dass es auch andere Porgramme gibt, nicht meines Erachtens nicht so überladen und dennoch hilfreicher sind.

Mit den Hotfixes meinte ich das nicht so, dass ich gar keine Patches installiere, sonder dass ich nicht die Microsoft Homepage abgrase um nach kleinen einzelnen Patches zu suchen. Service Packs und ähnliche Security updates installier ich natürlich schon
Ähm nochwas, den Virenscanner habe ich erst installiert, als ich den Verdacht auf nen Virus hatte

Ugork hat geschrieben: Und da mindestens bei jedem 2. bei Erwähnung eines Virenscanners das Wort Norton fällt, war es mir wichtig mitzuteilen, dass es auch andere Porgramme gibt, nicht meines Erachtens nicht so überladen und dennoch hilfreicher sind.

Da hast Du natürlich völlig recht. Momentan warte ich voll Spannung auf die Version 4 des GAV (Momentan in der Beta-Phase).

@Witti:

Ich bau mal nen Front-End dafür. Sieht dann schicker aus. Leider hatte ich bisher keine Zeit, weil ich unterwegs war. Aber sobald das fertig ist, schick ich dir den Server mal.

greéts,
flyby.

@Witti:

So, ich habe den Server eben verschickt. Leider läuft der jetzt ohne schönes Windows Front-End, sondern in der DOS-Box, weil mir dieses Front-End gebastel zu lästig war.

Solltest du fragen haben, mail mir einfach. Sollten wir beide mal zur gleichen Zeit online sein, dann können wir ja mal über den Server ne Runde chatten... ;)

greéts,
flyby.