Moderators: Hacker, Stefan2, white
Hmm, eigentlich denke ich ist es leichter das Skript auszufuhren, als eine PFW richtig zu konfigurieren. Zumindest denke ich, dass icfu das sagen wollte. Falls ja, schliesse ich mich dieser Meinung an.Toll was Heimanwendern hier so alles von totalen IT-Überfliegern empfohlen bekommen: "Warum einfach? Wir bekommen das auch ganz kompliziert und umständlich hin."
Prinzipiell nein: Du mußt diesem Skript vertrauen, daß es auch alle Dienste abschaltet und nicht selbst eine Schadroutine enthält. Die Standardkonfiguration der PF von XP ist in vielen Fällen ausreichend - da muß der Anwender erst Hand anlegen, wenn es speziell wird. Weiterhin ging es bei meiner Aussage um das Einstellen von IP-Filtern mit PF oder mit MMC.Hacker wrote:eigentlich denke ich ist es leichter das Skript auszufuhren, als eine PFW richtig zu konfigurieren.
Also ich habe in diesem Thread nichts wissenswertes dazugelernt.icfu wrote:Freu Dich doch, daß Du wieder was dazugelernt hast?
Hat er das wirklich? Man sollte erstmal abwarten, bevor man solche Behauptungen aufstellt.icfu wrote:wie Schiri Hoyzer alles auf Paderborn gesetzt
Das Script ist im Gegensatz zu Deiner Firewall Klartext, das Vertrauen sollte nicht allzu schwer fallen. Alle Schritte lassen sich auch manuell ausführen.Prinzipiell nein: Du mußt diesem Skript vertrauen, daß es auch alle Dienste abschaltet und nicht selbst eine Schadroutine enthält. Die Standardkonfiguration der PF von XP ist in vielen Fällen ausreichend - da muß der Anwender erst Hand anlegen, wenn es speziell wird. Weiterhin ging es bei meiner Aussage um das Einstellen von IP-Filtern mit PF oder mit MMC.
Das scheint mir leider auch so.Also ich habe in diesem Thread nichts wissenswertes dazugelernt.
O Mann, wie humorlos kann ein Mensch sein?Hat er das wirklich? Man sollte erstmal abwarten, bevor man solche Behauptungen aufstellt.
...bin erst jetzt auf den Thread gestossen, muss dir aber nochmal Dank für den Link (www.ntsvcfg.de) aussprechen, einfach genial....icfu wrote:Nachfolgeseminar gibt's hier:
http://ulm.ccc.de/chaos-seminar/windows-security/recording.html
Icfu
Die Seite gibt Beobachtungen aus der Praxis wieder, nämlich die, daß Benutzer, die eine Firewall laufen haben, denken, daß sie ab dann "geschützt" sind. Sie soll Dir im Gegenteil nicht das Denken abnehmen sondern es anregen.Wenn ich solche Sätze lese (folgendes Beispiel von http://www.ntsvcfg.de ) platzt mir jedes mal die Hutschnur:
"sie täuscht dem Benutzer eine falsche Sicherheit vor, da dieser denkt, er wäre jetzt rundum geschützt."
Warum entscheiden solche Seiten für die Benutzer, was sie denken?
Wie die Überprüfung in der Praxis zeigt, ist das tatsächlich so. Das liegt nicht unbedingt darin begründet, daß die Hersteller nicht Ihr Bestes geben, auch wenn daran Zweifel bestehen aufgrund der haarsträubenden Fehler, sondern eher darin, daß der zu schützende Bereich einfach zu groß ist. Windows selbst bietet zu viele Angriffspunkte, ob die Programme nun Firewalls sind oder andere Anwendungsprogramme spielt keine Rolle.Oder:
"Personal/Desktop-Firewalls können problemlos umgangen und ausgeschaltet werden, ohne das der Benutzer davon etwas bemerkt."
Man sieht, es wird allen Personal Firewalls völlig undifferenziert unterstellt, daß sie schlecht programmiert sind.
Damit hast Du nun leider bewiesen, daß Du, was Sicherheit anbelangt, tatsächlich ein DAU bist, was an und für sich nichts schlimmes ist. Fehlende Adminrechte sind keine Garantie für irgendwas sondern erschweren lediglich die Kompromittierung des Systems.Gleichzeitig wird mir noch indirekt unterstellt, daß ich dumm bin (so empfinde ich das jedenfalls). Fast alle Argumente ziehen nur unter der Prämisse, das der Benutzer ein DAU ist, der permanent mit Admin Rechten arbeitet. Sobald man aber kein DAU ist, oder einfach die Admin Rechte wegnimmt, fallen die Argumente in sich zusammen wie ein Kartenhaus.
Vielleicht schaust Du Dir einfach mal die Videos des CCC an und informierst Dich über ein paar Beispiele aus der Praxis. Insbesondere die "selfgeDOSte" Norton Firewall bringt Dich vielleicht zum Nachdenken...Wo ist denn der Trojaner, der eine gut konfigurierte Sygate Personal Firewall oder die Kerio überlistet? Mag sein, daß es Trojaner gibt, die die Frage-Fenster von Norton Internet Security oder ZoneAlarm wegdrücken, aber selbst davon habe ich noch nichts gehört (würde mich aber sehr für Links zu dem Thema interessieren, falls jemand welche hat).
Automatisierte Angriffe per Email? Das ist Unsinn.Man sollte nicht aus dem Auge verlieren, daß man als Privatmann quasi nur EINE Richtung hat, aus de Angriffe kommen: EMail, Browser, Instant Messaging, und zwar jeweils durch automatisierte Angriffe. Ein einzelner, privater PC ist kein Ziel für einen "Profi-Cracker".
Es reicht aus, das Script einmal auszuführen, danach braucht man sich um diese Dinge keine Gedanken mehr zu machen, weil man alle PFWs in die Tonne kloppen kann. Wenn es jemand auf Dich abgesehen hat, muß er die Schadsoftware erstmal auf Deinen PC bringen. Sobald er das schafft, z.B. indem er lokalen Zugriff bekommt, brauchst Du Dir über Schutzkonzepte eh keine Gedanken mehr machen.Wenn man tatsächlich mehrere Stunden oder Tage mit der Absicherung seines privaten PC's verbingt, vergißt man oft, wie leicht man am Ende doch in die Falle tappen kann (und sei es durch "Social Engineering"), falls es ein Profi wirklich auf einen abgesehen hat.
Welchen Sinn macht sie denn? Software aus "fragwürdigen Quellen" sollte man nicht ausführen und wenn man sie ausführt und man wird infiziert, ist die Firewall wurscht, weil sie mit dem weiteren Ablauf nichts mehr zu tun hat. Dafür ist dann der Virenscanner da, im Idealfall.Auf PC's, die entweder
a) ohne Router direkt im Netz hängen
oder
b) auf denen viel mit Software aus "fragwürdigen Quellen" hantiert wird
macht eine PFW sehr wohl Sinn meiner Meinung nach.
Jo, es ist "nett", das war's dann aber auch. Um mehr über Ports zu lernen und wer wohin "telefoniert" kann man auch Ethereal verwenden.Und auch sonst kann es mal ganz nett sein, zu schaun, welches Programm wann wohin telefonieren möchte. Was Ports überhaupt sind usw. habe ich alles durch "learning by doing" mit der guten alten Kerio Personal Firewall V2 gelernt.
Falls man hinter einem Router sitzt, und Fall (b) nicht zutrifft, empfehle ich den Leuten in meinem Bekanntenkreis auch, auf eine PFW zu verzichten (bzw. ich erwähne sie einfach gar nicht, bei den Leuten, die sowieso nur Bahnhof verstehen und nur den PC repariert haben wollen).
Deine Naivität und Dein Unwissen, das Du zur Schau stellst, finde ich eher nicht lustig sondern erschreckend und traurig. Daß jedes zusätzlich laufende Programm die Anfälligkeit eines Systems erhöht, gehört zum Grundwissen. Auf meinem System läuft keine Firewall, daher kann auch niemand deren Bugs ausnutzen.Besonders lustig finde ich das Argument, eine PFW würde die Sicherheit noch verschlechtern. Ich warte seit Jahren gespannt auf einen Angriff, bei dem eine PFW ausgenutzt wurde, um auf einem System einzudringen. Gibt es da dokumentierte Fälle? Da die PFW selber keine Ports öffnet, würde mich das sehr wundern.
Ignorantes Verhalten bringt leider auch niemanden weiter. Man kann nur jedem in Deinem Bekanntenkreis dazu raten, sich lieber auf andere Quellen zu verlassen solange Du Dich nicht selbst erstmal ein wenig weiterbildest. Wenn Du dazu keine Lust hast, behalte Deine Tips lieber für Dich und bringe nicht andere mit Deinen Ratschlägen in unnötige Gefahr oder trügerische Sicherheit.Kurzum: Die Aussage "PFW sind sinnlos" halte ich mindestens für genauso überflüssig wie die Aussage "PFW sind ein Allheilmittel". Solche Parolen bringen keinen weiter.
So allgemein ist das totaler Schwachsinn. Leider bindet WXP von sich aus alle Ports/Dienste an alle Verbindungen - so wird eine Freigabe fuer das LAN auch fuer die Modem-Verbindung gueltig. Das kann man mit einer PFW aendern (sicherlich auch ohne) - aber dabei hilft Dir das Script nicht.icfu wrote:Es reicht aus, das Script einmal auszuführen, danach braucht man sich um diese Dinge keine Gedanken mehr zu machen, weil man alle PFWs in die Tonne kloppen kann.
Um zum Thema zurueckzukommen: Sicherheit faengt vor allem beim Benutzer selbst an - da kann kein noch so gutes und sicheres Tool einem die gesamte Verantwortung abnehmen. Wer eine 100% technische Garantie haben moechte (und nicht nur etwas, was nur erschwerend wirkt), muss alle Stecker ziehen - den 230V-Netzstecker-inklusive.icfu wrote:Man kann nur jedem in Deinem Bekanntenkreis dazu raten, sich lieber auf andere Quellen zu verlassen solange Du Dich nicht selbst erstmal ein wenig weiterbildest. Wenn Du dazu keine Lust hast, behalte Deine Tips lieber für Dich und bringe nicht andere mit Deinen Ratschlägen in unnötige Gefahr oder trügerische Sicherheit.
"So allgemein" kann man auch mal den Thread lesen, da steht genügend über Spezialfälle drin. Meine Aufgabe besteht nicht darin, Dir oder anderen Nutzern den Hintern abzuwischen, die nötige Eigeninitiative abzunehmen und Dinge mehrmals zu wiederholen. Ich werde den Teufel tun und nun nochmal den Thread aufrollen, da mußt Du Dir 'nen anderen suchen, dafür ist mir die Zeit zu schade.So allgemein ist das totaler Schwachsinn.
Das gilt für W9X, ist lange her. Das Script ist ja auch für 2000/XP ausgelegt, nicht für alte DOS-Möhren. Unter XP muß die Datei- und Druckerfreigabe am WAN-Adapter freigegeben werden, ansonsten kann niemand von außen auf die Shares zugreifen.Leider bindet WXP von sich aus alle Ports/Dienst an alle Verbindungen - so wird eine Freigabe fuer das LAN auch fuer die Modem-Verbindung gueltig. Das kann man mit einer PFW aendern (sicherlich auch ohne) - aber dabei hilft Dir das Script nicht.
Schön, daß Du das verstanden hast.Um zum Thema zurueckzukommen: Sicherheit faengt vor allem beim Benutzer selbst an - da kann kein noch so gutes und sicheres Tool einem die gesamte Verantwortung abnehmen.
Na dann fang Du endlich damit mal an und fang an zu begreifen, dass solch pauschalen Aussagen wie von Dir a priori immer falsch sind.icfu wrote:"So allgemein" kann man auch mal den Thread lesen
Du hast keine Ahnung - bei W98 kann ich fuer jeder einzelne Verbindung festlegen, ob eine Drucker- und Dateifreigabe wirksam werden soll (ok dass muss ich haendisch tun - aber dazu benoetige ich keine PFW). Bei WXP habe ich bisher nur die Moeglichkeit gefunden dies ueber die XP-Firewall einfach zu konfigurieren.icfu wrote:Das gilt für W9X, ist lange her.
Du aber offensichtlich selbst nicht.icfu wrote:Schön, daß Du das verstanden hast.
Ich lasse das mal so stehen.Du hast keine Ahnung - bei W98 kann ich fuer jeder einzelne Verbindung festlegen, ob eine Drucker- und Dateifreigabe wirksam werden soll (ok dass muss ich haendisch tun - aber dazu benoetige ich keine PFW). Bei WXP habe ich bisher nur die Moeglichkeit gefunden dies ueber die XP-Firewall einfach zu konfigurieren.
LOL, das habe ich nicht "bewiesen", sondern Du hast aus meiner von mir aus ungeschickten Forumlierung alles rausgeholt, was drin war, um mich als dumm darzustellenicfu wrote:Damit hast Du nun leider bewiesen, daß Du, was Sicherheit anbelangt, tatsächlich ein DAU bist, was an und für sich nichts schlimmes ist. Fehlende Adminrechte sind keine Garantie für irgendwas sondern erschweren lediglich die Kompromittierung des Systems.
Werde ich noch tun, die Länge hat mich aber davon abgeschreckt, das "mal eben" anzuschaun.icfu wrote:Vielleicht schaust Du Dir einfach mal die Videos des CCC an und informierst Dich über ein paar Beispiele aus der Praxis. Insbesondere die "selfgeDOSte" Norton Firewall bringt Dich vielleicht zum Nachdenken...
Automatisiert auf der Seite des Angreifers, der automatisiert zig Opfern eine EMail schickt, in der Hoffnung ein paar dumme zu finden.icfu wrote:Automatisierte Angriffe per Email? Das ist Unsinn.
Das perfekte Ziel?? Für Script Kiddies vielleicht - weil die keine besser geschützen PC's geknackt bekommen. Die kommen halt immer nur so weit, wie man mit automatisierten Tools nun mal kommt.icfu wrote:Gerade private PCs sind das Ziel von "Proficrackern", weil der gewöhnliche PC-Heimanwender ein DAU ist und sich deshalb so ziemlich alles aufschwatzen läßt und auf alles klickt, solange man es nur gut verpackt. Heimanwender sind das perfekte Angriffsziel.
Ganz genau! Das schrieb ich ja oben schon. Wenn jemand lokalen Zugriff hat, ist es vorbei.icfu wrote:Es reicht aus, das Script einmal auszuführen, danach braucht man sich um diese Dinge keine Gedanken mehr zu machen, weil man alle PFWs in die Tonne kloppen kann. Wenn es jemand auf Dich abgesehen hat, muß er die Schadsoftware erstmal auf Deinen PC bringen. Sobald er das schafft, z.B. indem er lokalen Zugriff bekommt, brauchst Du Dir über Schutzkonzepte eh keine Gedanken mehr machen.
Findest Du Virenkiller etwa nicht genauso überflüssig wie Firewalls? Warum braucht denn jemand, der keine Software aus fragwürdigen Quellen ausführt, einen Virenscanner? Vollautomatische Infektion bei EMails geht ja nicht, hatten wir oben schon. Also kann man die Virenmails ja von Hand löschen. Und wo sollen sonst noch Viren herkommen?? Für Blaster&Co hast Du ja Deine Ports abgedichtet. Warum sollte man da noch mit einem "unnötigen" Virenscanner die Systemkomplexität erhöhen?Software aus "fragwürdigen Quellen" sollte man nicht ausführen und wenn man sie ausführt und man wird infiziert, ist die Firewall wurscht, weil sie mit dem weiteren Ablauf nichts mehr zu tun hat. Dafür ist dann der Virenscanner da, im Idealfall.
Ich habe nicht nach Allgemeinwissen gefragt, sondern nach konkreten Beispielen. Wie viele Exploits gibt es schon, die den Dienst der Sygate Personal Firewall vom WAN aus erreichen und ausnutzen? Das die Nicht-Existenz eines Exploits keine Sicherheit impliziert, ist mir bekannt, bevor Du mir jetzt gegenteiliges unterstellst. Ich frage einfach nur aus Neugier.icfu wrote:Deine Naivität und Dein Unwissen, das Du zur Schau stellst, finde ich eher nicht lustig sondern erschreckend und traurig. Daß jedes zusätzlich laufende Programm die Anfälligkeit eines Systems erhöht, gehört zum Grundwissen. Auf meinem System läuft keine Firewall, daher kann auch niemand deren Bugs ausnutzen.
Deine Sygate öffnet dummerweise über ihren Dienst Fenster und macht sich daher zum perfekten Angriffsziel. Es gibt vermutlich keine schlechtere "Firewall" derzeit.
Nanana, wer wird denn gleich so aggressiv werdenicfu wrote:Ignorantes Verhalten bringt leider auch niemanden weiter. Man kann nur jedem in Deinem Bekanntenkreis dazu raten, sich lieber auf andere Quellen zu verlassen solange Du Dich nicht selbst erstmal ein wenig weiterbildest. Wenn Du dazu keine Lust hast, behalte Deine Tips lieber für Dich und bringe nicht andere mit Deinen Ratschlägen in unnötige Gefahr oder trügerische Sicherheit.
Tue das, das ist es sicherlich wert.Werde ich noch tun, die Länge hat mich aber davon abgeschreckt, das "mal eben" anzuschaun.
Z.B. um an Zombies fur DDoS Angriffe zu kommen.Sag mir mal, warum Leute mit solchen Fähigkeiten ihre wertvolle Zeit investieren sollten, um Heimanwender zu "hacken"?
Koennte man vielleicht durch ein ActiveX Programm schaffen.Wie kann man dort, auf einer solchen Maschine, die JA/NEIN Fragen der Firewall einfach "wegklicken", wie es hier beschrieben ist?
Weil auch Software aus vertrauenswuerdigen Quellen infiziert sein kann.Warum braucht denn jemand, der keine Software aus fragwürdigen Quellen ausführt, einen Virenscanner?
