Wie sicher ist das Konfiguriert?

Servus ,
ich bekomme Montag oder Dienstag meine neue Festplatte und deswegen formatiere ich meine jetzige bald, und hab natürlich ein paar Tests gemacht.
1. Firewall konfigurieren
1. Zone Alarm Free installiert [NICHT STARTEN]
2. Ich bin unter die Dienste gegangen, True Vector mit meinem Admin Namen anmelden.
3. Ordnerfreigabe unter Windows\Sys32\ZL\vsimon.exe und C Programme ZL zclient.exe und Ordner so eingestellt, dass mein Surfkonto, mit dem ich Surfe, GARKEINE berechtigung hat.

Dann kommt das Antivir von Avira
Da muss man nur den Ordner C Programme Avira Umberechtigen. Bei Antivir muss man nichts in den Diensten verstellen. Dann kam ein Neustart
_________________________
Wie könnte man mit Eingeschränkten Rechten das AV oder Fw ausschalten, dass ganze klappt so, dass man avgnt.exe nicht über Link oder Ordner starten kann. Genauso bei ZA
Das heißt, man wird nicht gefragt, was mit dem Virus passieren soll und der Surfer wird auch nicht gefragt, ob es erlaubt werden soll, ins Internet zu telen (IE kommt nicht durch, wenn ich nichts mache).
Wenn ich jetzt als Admin mich anmelde, starte sich der ZA und AV Client, ich werde gefragt, was ich machen soll, der Gast hat da keine Chance.
Registry und die Dienste kann der Gast auch nicht schrotten.

Wie könnte man das AV ausschalten und Fw umgehen?
Ne Idee?
Es gibt ja die 4 Zeilen, mit denen man eine Fw umgehen kann, klappt das bei der Konfiguration auch?

Wenn ich den gesamten Windows Ordner für den Surfer nicht zugänglich mache, kann er sich dann noch einloggen? Wie weit ist er dann noch zusätzlich eingeschränkt?

Benutze XP SP2 alle Sicherheitspatchs installiert, gibt es eine Möglichkeit, das Konto noch weiter einzuschränken?

mfG

 

... wenn du bei t-online bist,
kannste mal online testen lassen

wenn nicht, es gibt noch einige seiten die
den online-test durchführen. einfach mal n

 

Nunja, ob man sich dadrauf verlassen kann?
Aber eigentlich will ich ja wissen, wenn ich nen Trojaner hab und jemand etwas gegen mich hat, ob er dann die PFw wegkreigt, das AV und wie lange es dauert, ein 14 Stelliges Pw zuknacken, mit allen Sachen auf der Tasta um an Admin REchte zukommen

 

Anhang: Wenn ich den Test mit Admin Rechten mache, dann kommt das selbe, also kein Verlass

Was mich ja interessiert, eine PFw wird kritisiert, weil man sie mit einem "Klickbot" einfach umgehen kann, dass kann ich jetzt ja verhindern, aber was es ja noch heißt, dass man sie einfach umgehen kann mit 4 Zeilen, wie kann ich das den Testen, da ich mir sicher bin, keiner gibt mir die 4 Zeilen, außerdem wüsste ich auch nicht, was ich da dann noch reinschreiben muss!

 

Nö, aber es gibt Personen die Zugang zu diesem Pc haben und außerdem interessiert es mich einfach

 

http://home.arcor.de/nhb/pf-austricksen.html
Nach dieser Seite, kann der Realplayer mit dem Internet reden!
Nein, er muss dazu etwas in der Registry unter "Browser Helper" eintragen, lasse ich das nicht zu, hat kein Programm über einen Browser mit dem Inet zu reden. Ich probiere das denk ich mal mit einer Neuinstallation des RL um zutesten, ob es mit dem Browser Helper Objekt geht.

Mache mich jetzt an eine andere Sache, die da behauptet wird.

 

http://www.stud.tu-ilmenau.de/~traenk/zaweg.htm
So, wenn ich das Richtig verstehe, wird ein Programm im Taskmanager gesucht, dass Zone Alarm heißt und das wird dann sofort beendet.

Kann mir jemand sagen, wie ich das zum laufen bringen soll, hab von VB gar keine Ahnung, habs jetzt mal installiert, System kann ja bis Dienstag noch zugemüllt werden. Aber wenn ich das richtig Verstanden habe, wird der Task gesucht, der wird aber (logisch) nicht angezeigt, da der Benutzer eingeschränkt ist, daher denke ich, kann das auch nicht gehen.
Aber Probieren geht über Studieren.

Kennt noch jemand eine Überlegung, wie man die PF umgehen/ausschalten kann?

 

Wo bitte steht, dass der Realplayer etwas in die Registry eintragen muss ?
Auch generell stimmt deine Aussage nicht. Wenn du den RealPlayer installieren möchtest, musst du zwangsläufig zulassen, dass Registry- Einträge vorgenommen werden, sonst scheitert die Installation. Das gilt auch für andere Installationen. Nach der Installation ist eigentlich kein Zugriff auf die Registry mehr notwendig.

Auch hier ist dein Denkansatz falsch. Die PFW arbeitet immer und grundsätzlich mit System/Adminrechten auch wenn dein angemeldeter Useraccount nur eingeschränkte Rechte hätte. Diesen Umstand machen sich Malware- Programmierer gerne nützlich, um über evt. Bugs in den gängigen PFW's deren Adminrechte zu erlangen. Eine andere Methode wäre, die PFW mit Kommandos zu manipulieren, indem der PFW vorgegaukelt wird, es sei der User. Das kann übrigens völlig unsichtbar geschehen, ohne dass der User davon was bemerkt. Hierin besteht übrigens ein grundlegendes Problem aller Third Party PFW's: Das vernünftige Verhalten eines Users, mit eingeschränkten Rechten im Internet zu surfen, um unbeabsichtigte Installationen zum Selbstschutz zu vermeiden, wird durch die PFW wegen ihrer System-/Adminrechte ausgehebelt, wenn auch an anderer Stelle...

Gruß,
Forenwanderer

 

Hallo Forenwanderer,
mein Test ergibt allerdings etwas anderes, ich habe nichts in die Registry gelassen und die Installation hat trotzdem geklappt. Ich hab den Realplayer gestartet und mit der PF den Zugang zum Internet gekappt, jetzt sollte der Realplayer die PF umgehen, komischer Weise wurde nichts gefunden, dass raus kam, also ich meine, Jede Sekunde hab ich es aktualisieren lassen und der RL hat keine Daten zum Internet geschickt, morgen oder heut Abend deinstalliere ich den RL mal und lass den Registryeintrag dann mal machen, wenn dann etwas gefunden wird, was raus will, gibst du mir dann Recht?
Außerdem stimmt das nicht, den FF hab ich gar nicht erst installiert, und komischer weiße ging er (Muss System neu drauf machen, da etwas verkackt wurde und wollte keine Daten verlieren) und dann war er noch drauf und komischer Weiße ging er auch.
Genauso die Spiele, die noch drauf waren, haben auch nichts in die Registry eingetragen und gingen.

Zu 2. Gerade das will ich doch mit dem VB Script testen und wenn es nicht klappt, kannst du mir ja gerne ein anderes "Script" geben, dass ich testen soll. Wenn das klappt:

 

Hallo Simon11444,

Nimm es mir nicht übel, aber du solltst etwas präziser sein: Wie und womit hast du Registry- Einträge verhindert ?

Mit welcher PFW und wie ?

Was hast du wie jede Sekunde aktualisieren lassen und wie weißt du mit Sicherheit, dass keine Daten ins Internet gegengen sind ?

Woher kennst du denn die Intervalle, wo der RealPlayer "nach Hause telefoniert" ?

Und welcher Registry- Eintrag soll denn was machen, wenn es (angeblich) gar keinen gibt ?

Ich gebe dir gerne recht, wenn ich das, was du testest auch entsprechend nachvollziehen kann. Im Moment fällt es mir sichtlich schwer!

Ich bin kein Malware- Programmierer und zaubere auch nicht nebenbei solche Scripte aus der Hosentasche. Aber ich könnte mir schon vorstellen, wie dies bewerkstelligt werden könnte, jedoch sollten in einem so strengen Forum wie diesem, solche Dinge nicht veröffentlicht werden, wenn man keinen Ärger mit den Betreibern haben möchte. Man hat mich ja schon angemahnt, weil ich mal einen Link zu einem PFW- Test veröffentlicht hatte, den ich selbst gemacht hatte. Siehe Signatur!

Übrigens habe ich auf einem Testsystem einen RealPlayer (gibt verschiedene Versionen) Gold 11 installiert und habe jede Menge Registry- Einträge feststellen können. Zumindest die Angabe des Installationspfades ist zwingend erforderlich und sollte auch als Registry- Eintrag gefunden werden.

Gruß,
Forenwanderer

 

Iich habe die Registry mit Teatimer.exe (Spybot) verhindert.

Zone Alarm, Verbindung verweigern

netstat -ano
Nunja, ich kann es mir nicht vorstellen, da ich es 3-4 Minuten laufen lassen habe

Browser Helper Object
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ oder siehe hier:
http://www.bsi.de/av/hijack/browserhj.htm (Googlen nach Browser Helper Objects kann wunder wirken

Das müsste es sein, dazu eine Frage, kann man das als Eingeschränkt ändern oder ist das so oder so nicht zu verändern?

 

Mir ist da noch was eingefallen und zwar, wie soll das gehen, dass du Sicherheitslöcher von ZA ausnutzt, wenn du garkeinen Zugriff auf irgendetwas von ZA hast?

 

Hallo Simon11444,

Ich habe das mal nachgestellt und Spybot Search & Destroy incl. Teatimer auf einem XP Testsystem installiert. Danach habe ich den RealPlayer G11 installiert. Tatsächlich kamen etwa 5 Meldungen, verschiedene Registry Einträge von RealPlayer gewähren zu lassen oder zu verhindern. Ich wählte "verhindern" ! Anschließend habe ich die Registry nach dem Begriff "RealPlayer" abgesucht und bei etwa 300 gefundenen Einträgen allein zu diesem Begriff habe ich dann aufgehört - dabei war ich erst ungefähr in der Hälfte und wer kann denn behaupten, dass RealPlayer nur unter dem Begriff RealPlayer tatsächlich was in die Registry schreibt ?

Soviel zum Verhindern von Registry Schreibzugriffen (kontrolliert durch TeaTimer)

Mit Netstat kannst du auch nur einen definierten Moment überprüfen - was 2 Sekunden später passiert, kann der Befehl nicht erkennen. Hierfür verwendet man z.B. MS- Tools wie TCPView und/oder ProcessExplorer.

Browser Helper Objects (BHO) beziehen sich ausschließlich auf den Browser. Das ist keine absolute Gewähr dafür, dass eine Anwendung einen anderen Weg (Port) ins Internet nutzt...

Wie du siehst, hat sich dein Denkfehler bestätigt, indem du einem Tool "TeaTimer" uneingeschränktes Vertrauen entgegengebracht hast. Anstatt ein solches Tool zu verwenden, wäre es effektiver mit eingeschränkten Userrechten zu arbeiten. Die Installation von RealPlayer wäre dadurch verhindert worden bzw. es gäbe tatsächlich keine Schreibrechte für die Registry.

Auch hier muss man wieder uneingeschränktes Vertrauen in die Entwickler dieser Software haben, obwohl man sie gar nicht kennt. Angenommen, ZoneAlarm würde tatsächlich 100% funktionieren, wer garantiert dann dafür, dass diese Software nicht selbst "nach Hause telefoniert" ? Leider wurde diese Untugend in der Vergangenheit gerade ZoneLabs mehrfach nachgewiesen und trägt nicht gerade einer guten Vertrauensbasis bei.
Das nächste Problem, dass diese PFW dem User überträgt, ist die Entscheidung, wie dieser mit den (merkwürdigen) Meldungen umgehen soll. Ich wage zu behaupten, dass über 95% der User, die diese Software einsetzen, nicht wirklich alle Meldungen korrekt interpretieren können. Allein daher ist der Einsatz dieser Software überaus fragwürdig...

...Dazu kommt noch die Manipulierbarkeit dieser Software über Exploits. Dass dies schon mehrfach geschafft wurde und immer wieder Bugs beseitigt wurden, die Sicherheitslöcher geöffnet hatten, ist auch faktisch bewiesen und kann im Internet recherchiert werden. Da Malwareautoren naturgemäß gefundene Schwachstellen nicht öffentlich verbreiten ist logisch, da sie diese ja unbemerkt ausnutzen wollen. Deshalb kommt sowas erst heraus, wenn's bereits geschehen ist und der Hersteller nacharbeitet (betrifft übrigens nicht allein ZoneLabs).

Nochmal - ich bin kein Malwareautor und kann dir nicht Schritt für Schritt das Aushebeln der PFW darstellen, doch es wurde nachweislich schon mehrfach geschafft. Die Schwachstelle dabei ist in erster Linie, dass die PFW immer mit System/Adminrechten läuft, selbst wenn der User nur eingeschränkt arbeitet. Genau aus diesem Grund haben sich Malwareautoren auf die PFW konzentriert anstatt auf den Useraccount - offensichtlich gibt der Erfolg ihnen recht. Die Ironie daran ist - wäre kein solches Tool mit System/Adminrechten zusätzlich installiert worden und der User würde mit eingeschränkten Rechten arbeiten, gäbe es diese Angriffsfläche erst gar nicht.

Zu guter Letzt rücke ich jetzt noch von der zuvor theoretisch angenommenen 100% Effektivität dieses Tools ab und dies beweißt sich eigentlich von selbst. Würde die PFW 100% sicher arbeiten, dürfte es keine malwareverseuchten PC's mit installierter PFW oder Security Suite geben ! Die einschlägigen Viren- und Malwareforen beweisen das Gegenteil. Da darf dann auch nicht als Entschuldigung für das Versagen der PFW die Unzulänglichkeit des Users herangezogen werden, denn die Werbeversprechen der Hersteller behaupten da was völlig anderes...

Gruß,
Forenwanderer

 

Ich gebe dir in den meisten Fällen Recht, aber wie du auf der ersten Seite nachlesen kannst, ist das ganze so ausgelegt, dass man mit eingeschränkten Rechten surft. Jetzt habe ich aber nocheinmal eine Frage dazu, und zwar wenn ich jetzt die PFW mit einem anderen eingeschränkten Acc starten lasse, verhindert sie dann Zugriffe des eingeschränkten Accs, mit dem gesurft wird?

 

Hallo Simon11444,

Ist schon ok, ich wollte nur die vielen Einzelprobleme auseinander dividieren. Man kann sowas nicht pauschal beantworten.

Das verstehe ich nicht ? Wie startest du denn Account 1 mit PFW und wechselst dann zu Account 2 ohne die PFW auf diesen zu beziehen ? Die PFW sitzt immer mit System/Adminrechten vor dem Account, der gerade aktiv ist. Ein inaktiver Useraccount ist irrelevant und sowieso ist die PFW als Angriffsziel für Malwareautoren und Cracker (Hacker) wesentlich interessanter als Accounts mit eingeschränkten Rechten.

Natürlich kann ein eingeschränkter User ob mit oder ohne PFW keinen RealPlayer installieren oder sonstige Dinge machen, die Adminrechte erfordern.
Der wesentliche Unterschied besteht darin, dass, wenn eine PFW mit im Spiel ist, ein zusätzlicher Schwachpunkt geschaffen wird, der für Malwareautoren interessant wird, sofern Bugs existieren (und das tun sie). Wenn auch wir oder der Hersteller selbst diese Sicherheitslöcher (noch) nicht kennen, bildet dies den Eingang ins System. Schafft es der Cracker (Hacker) die PFW so zu manipulieren, dass er deren Rechte übernimmt, kann er damit Schadcode installieren, selbst wenn der aktive Useraccount nur eingeschränkte Rechte besitzt. Der Useraccount spielt keine Rolle mehr...

Gruß,
Forenwanderer

 

Hallo,
wenn ich eine PF installiere, kann ich kurz danach unter den Diensten einstellen, wie sie gestartet wird (wenn ich nichts einstelle, als Sysadmin)

Da könnte ich sie dann mit einem 2. eingeschränktem Acc starten lassen.
Das geht nur, wenn die PF noch nicht gestartet wurde.
Sie wird auch gestartet, wenn ich micht nicht als den Acc anmelde, da Dienst, dass im Autostart oder Registry ist nur der Client, mit dem du einstellen kannst, was etwas darf!

 

Ehrlich gesagt, hatte ich mir darum noch nie Gedanken gemacht:

Theoretisch habe ich dann folgende Überlegung angestellt (anlehnend am OSI- Modell):

Ein Paketfilter (meinetwegen auch Softfirewall) muss möglichst frühzeitig die Datenpakete "durchleuchten", da solche Software (Zonealarm) ja auf dem zu schützenden System ausgeführt wird und allein dadurch schon ein gewisses Absurdum darstellt. Angenommen, die PFW hätte keine Adminrechte, wie kann sie dann Dinge ausführen, für die zwingend Adminrechte bzw. Systemrechte notwendig sind ? Denn das "Scannen" und "Verwerfen/Durchlassen" von Datenpaketen ist ein Vorgang, der eigentlich nicht ohne spezielle Rechtevergabe durchgeführt werden kann. Vergleiche das auf einfache Weise mit Schreib- bzw. Leserechten in Verzeichnissen und Systemordnern...

Trotzdem liebe ich die Praxis und habe versucht, nach deinen Angaben, den "True Vector Monitor" Dienst einem Account mit eingeschränkten Rechten zuzuteilen. Das Vorhaben wurde mit "Zugriff verweigert" quittiert.

Ich habe auch den Dienst beendet und auch Zonealarm komplett deaktiviert, dennoch wollte das nicht gelingen... Ich habe das sowohl mit dem eingeschränkten Account als auch mit einem Adminaccount versucht...

Eigentlich hätte ich mir das auch so vorgestellt, wenn du nicht etwas anderes hier behauptet hättest. Mein Praxistest hat es bewiesen, was eigentlich logisch ist, dass das nicht funktionieren kann und darf, weil dadurch die PFW ja gar nicht arbeiten könnte. Entweder läuft auf deinem System etwas gewaltig schief oder du hast einen einfachen Weg gefunden, Zonealarm in seiner Wirkungsweise auszuhebeln ?

Natürlich wird ein Dienst und/oder ein Programm auch unter anderen Accounts gestartet. Wäre das nicht so, so könnte man Zonealarm auch noch die letzte halbwegs verbliebene Daseinsberechtigung absprechen (was ich sowieso tue). Eine PFW, die mit eingeschränkten Rechten auf dem zu schützenden System umherdümpelt, kann zwar nicht von Malware missbraucht werden, um an deren Systemrechte zu gelangen, kann dafür aber selbst nicht mehr das tun, wofür man sie eigentlich installiert hat.

Gruß,
Forenwanderer

 

=)
Nein, das war nur eine reine Überlegung, da die beiden Accs dann ja gleich geschaltet sind, ich habe das noch nicht ausprobiert, ich weiß nur, dass man das anmelden nur direkt nach der Installation ändern kann.

Könntest du dein Experiment bitte etwas ausführlicher Erklären?

 

Sorry Simon11444,

jetzt schlägt's aber langsam 13

Du stelltst hier Behauptungen auf, die sich dann als reine Spekulationen entpuppen und läßt mich das dann auch noch testen...

Ich sehe es gar nicht ein, noch präziser zu werden. Teste das, was du spekuliert hast doch einfach in jeder erdenklichen Weise selber aus. Ich habe mir wirklich Mühe gegeben, deine ursprüngliche Sicherheitsanfrage im Thread in jeder erdenklichen Weise zu prüfen und zu widerlegen, was mir auch durchweg gelungen ist, doch ist es meines Erachtens unsinnig ein Sicherheitskonzept mit Schwerpunkt Zonealarm hier öffentlich zu propagieren, wenn dies nicht einmal in die Praxis (erfolgreich)umgesetzt wurde. Ich hoffe, mitlesende User haben ihre Schlüsse daraus gezogen, wenn auch niemand anscheind mehr ein Interesse an einer Beteilung zeigt. Insofern sollte es jetzt auch von meiner Seite reichen, es sei denn, du kommst mal selbst mit innovativen fundierten Aspekten und nicht mit Gedankenspielen, die auf keinem Fundament stehen...

Schönen Tag noch allerseits,
Forenwanderer