[HaBo]

sieben

Nein. Eine PF gibt dem Benutzer den Eindruck das er sich um soetwas nicht mehr kuemmern muss weil ihn das Stueckchen Software nach Herstellerbeschreibung[1] ja vor allem und jedem schuetzen soll. Zusammen mit den von Tec zusammengetragenen Fakten stellen PFs IMHO auch nicht das kleine bischen Sicherheit her, welche besser ist als gar keine. Im Gegenteil.



[1] Der Hersteller ist (leider) fuer meisten Vertrauensperson da man nur Software installiert der man vertraut.

__________________
Diese Zeile ist reserviert für Clark Kent.

Tec

ich habe noch kein Produkt gesehen welches ein gedrucktes Handbuch als Beilage hat, in welchem explizit beschrieben wird was z.B. ein Cookie ist und was für Sicherheitsprobleme dies hervorrufen kann.

Normalo_User_XY installiert sich das Programm, drückt auf GO! und freut sich das in der Systray ein buntes Icon mehr existiert. Ist XY nun mit ein bichen Neugierde ausgestattet wird er irgendwann mal darauf klicken und erfurchtsvoll sich die ganzen Menüs anschauen. Aus angst irgendwas falsches zu veranstalten, lässt er aber sofort die Finger davon.

Das beste ist dann noch wenn XY sich von einer ScanSeite Online die Ports scannen lässt und als Ergebnis sieht das alles Perfekt "dicht" sei. Nun wird er automatisch der Meinung sein, das die DFW ihre Arbeit tut....

Die einzige Hoffnung für XY besteht darin, das er aus all den "Warnungen" der DFW den Beschluss fasst, sich eingehender mit der Materie zu befassen und sich geeignete Lektüre besorgt.

softrunner

@Tec

Den Satz "Warum Desktop Firewalls nix taugen" gerade auch in Verbindung mit deinem Schlusssatz bzw. deiner Signatur bilden zusammen eine Botschaft die genauso extrem und einseitig ist wie die falschen
Versprechungen seitens der Softwarehersteller, die versuchen dem Laien die absolute Sicherheit durch den Einsatz ihres Produktes zu suggerieren. Stattdessen würde ich mir einen Satz an dieser Stelle wünschen, der den Sachverhalt mehr relativiert und der Thematik letztlich dadurch auch eher gerecht wird.

Würde ich der Logik deines Beitrags folgen, dann könnte ich in Zukunft mein Fahrrad unabgeschlossen an meiner Stammkneipe stehen lassen, weil es ohnehin möglich ist das Schloss mit entsprechendem Werkzeug zu knacken. Es geht hier jedoch um Wahrscheinlichkeiten und dass die Wahrscheinlich-keit eines Diebstahls durch den Einsatz eines Schlosses sinkt, wird wohl niemand bestreiten, auch wenn dadurch keine 100%ige Sicherheit gewähr-leistet wird.

Ich glaube dass es viel wichtiger ist dem Laien zu verdeutlichen wovor die PF schützt und wovor eben
nicht, sodass er ggf. selbst entscheiden kann ob er ein solches Produkt einsetzen will oder nicht.
Ansonsten würde ich dem Laien eher zum Einsatz einer PF raten.

Der Umstand, dass viele Anwender die Effektivität von Softwareprodukten verkennen, ist meiner
Meinung nach kein Punkt der den Wert einer PF in Frage stellt, sondern vielmehr die diesbezügliche
Aufklärung; ein Problem dass ich isoliert betrachten würde. Keinesfalls aber würde ich einem Laien davon abraten eine PF zu installieren nur weil er den Schutz, den diese ihm gewährt zu hoch einschätzt. Den Vergleich mit den Verhütungsmitteln spare ich mir an dieser Stelle.:-)

Stichwort: Schlecht programmierte Trojaner. Wenn man davon ausgeht, dass ein nicht unerheblicher Teil der selbsternannten Hacker, Cracker oder was auch immer aus pubertierenden Teenagern besteht, die oftmals nur spärliche oder überhaupt keine Programmierkenntnisse besitzen, dann ist es doch auch sehr wahrscheinlich dass eine Menge Trojaner existieren, die eben nicht die nötige Funktionalität zur Umgehung einer PF implementieren. Insofern ist dies doch auch kein schwaches Argument für eine PF. Hinzu kommt, dass Cracker unter Umständen durch Social Engineering bereits im Vorfeld die mögliche Existenz einer PF auf dem Zielhost abklären könnten. In diesem Falle wäre ein Rechner ohne Firewall sicherlich attraktiver.

Ich teste gerne und häufig neue Programme aus den verschiendensten Bereichen. Hat man eine solche
Anwendermentalität ist es sehr wahrscheinlich, dass man sich früher oder später in der Vertrauens-einschätzung einer Software vertut. Meiner Meinung nach ebenfalls ein Punkt, der stärker ins Gewicht fällt
als du es schilderst.

Mein Fazit:

Wichtig ist eine sachliche und differenzierte Aufklärung auf diesem Gebiet. Insofern finde ich das vielmehr
die Beschreibungen und Anleitungen von PF häufig nix taugen.
Ich persönlich benutze weiterhin eine PF, in dem Bewusstsein dass sie eben nur ein gewisses Mass an Sicherheit bietet .

Einer Einladung zum Tee komme ich übrigens gerne nach; vorausgesetzt du hast Zucker im Haus.:-)

mfg, softrunner

Chris

Das ist auch meine Meinung.

Andererseits sind viele Leute für differenzierte Aufklärung nicht empfänglich, weil sie sich schlicht nicht für das Thema interessieren, sondern einfach ein einziges Programm (möglichst bunt und schön) wollen, dass den PC 101% sicher macht. Diese würden das dann einfach überlesen, wenn da steht "Achtung, WENN oder ABER"...

P.S.: Den Vergleich mit dem Fahrrad find' ich sehr gelungen...

DelumaX

Seh ich ähnlich bis genau so. Es bringt jedenfalls nichts PF generell zu verteufeln. Na dann tu wenigstens Kandis rein ;o)

Tec

Also ich trinke meine Pfefferminztee am liebsten pur.

Nun es bleibt jedem selbst überlassen ob er eine DF einsetzt oder nicht. Dieser Text soll nur zeigen das es gefährlich ist sich nur auf ein Produkt zu verlassen, dessen Interna man überhaupt nicht kennt (wegen Softwaregeheimnis gar nicht kennen kann). Der Text soll ein Anreiz sein Benutzer von DF's zum Nachdenken zu bewegen.

Das viele User sich überhaupt nicht mit der Materie Sicherheit befassen sieht man auch an dem derzeit aktuellen Thema TCPA was indirekt auch zum "Warum Desktop Firewalls nix taugen"-Text passt.

basic

Gut. Aber wenn ich dem unwissenden Fahradbesitzer nun ein Stück Draht in die Hand drücke und ihm erkläre das dies sein Fahrad vor jedem Möglichen Angriff sei es Diebstahl oder Zerstörung schützt, ist es weniger witzig. Genau das versprechen jedoch die Anbieter von PFs, und haben nicht mehr als ein Stück Draht zu bieten. Damit kann man vieleicht noch einige Dummköpfe aufhalten, diese sind aber nicht das eigentliche Problem.

Ein gutes Schloss ist auch nur ein Teil des bei PFs fehlenden Sicherheitskonzeptes. Das beste Schloss bringt nichts wenn ich mein Fahrad in dunkle Ecken stelle in denen bisher jedes Fahrad verschwunden ist.

Eine PF schützt vor gar nichts. Die größte Gefahr für Computeranwender ist die Unwissenheit.

Eine Personal Firewall hat nichts mit dem Konzept einer "richtigen" Firewall gemein. Da sie direkt auf dem zu schützenden Rechner läuft, ist sie wie jedes andere Programm anfällig für Angriffe und Bedienfehler. Hinzu kommt, dass seit geraumer Zeit Tools im Internet kursieren, die bestimmte Personal Firewalls durch einen gezielten Angriff außer Gefecht setzen. Zudem verwirren die Programme unbedarfte Anwender mit kryptischen Warnmeldungen und verbreiten Panik, etwa bei harmlosen Portscans. Die Modifikationen mancher Personal Firewalls am TCP/IP-Stack reaktivieren auch längst beseitigte Sicherheitlöcher oder erzeugen neue. So werden bestimmte Angriffe erst durch automatische Blockierfunktionen möglich: Beipielsweise könnte ein Angreifer eine DoS-Attacke vom Nameserver des Anwenders vortäuschen. Die Personal Firewall blockiert diesen dann automatisch, was zur Folge hat, dass das System Hostnamen nicht mehr auflösen kann und die Internetanbindung quasi lahmgelegt wird.

Ein weiteres wichtiges Problem ist die vertrauenswürdigkeit. Wenn ich auf einem nicht vertrauenswürdigen System eine nicht vertrauenswürdige Software installiere, wird die Misere auch nicht besser, wenn vieleicht bunter.

Ich würde jedem Anwender zu seiner eigenen Sicherheit davon abraten. Sie schlucken Speicherplatz, erhöhen die Komplexität des eigenen Systems (bieten somit eine breitere Angriffsfläche und machen das System instabiler) und generieren _keine_ Sicherheit, die man nicht auch anders haben könnte. Statt nun eine PF einzusetzen muss man präventiv tätig werden

Diese Möglichkeit ist in der PF schon eingebaut.

Du bist ohne den Quellcode und einiges an Fachwissen nicht in der Lage die Vertrauenswürdigkeit einer Software auch nur annährend einzuschätzen.

Intellektuelle Erkenntnisse sind Papier. Vertrauen hat nur der, der von Erfahrungen redet.
Hermann Hesse (1877 - 1962), deutsch-schweizerischer Lyriker, Essayist, Erzähler und Kritiker

Chris

Hm... Was ich mich gerade frage: Gibt es eine Open Source-Windows-PF?

DelumaX

Absolut deiner Meinung. Und das eine PF nichts mit einer richtigen FW zu tun hat darüber brauchen wir wohl nicht reden. Aber das Hauptproblem der PF ist die Art und Weise wie sie angeprisen wird. iMHO kann eine PF durchaus ein kleines Teilchen eines Sicherheitskonzeptes sein, wenn man sich darüber bewusst ist was man da in den Händen hält. Viele der PF haben natürlich selbst darauf keinen Anspruch. Wie gesagt man sollte Wissen was man dort in den Händen hat und konfigurieren sollte man es auch können. Ich persönlich habe auch lieber die richtige Variante, aber wie tut man z. B. auf einem Standalone Windows ICMP-Pakete unterscheiden und Filtern?! Wenn ordentlich programmiert; dokumentiert und nicht mit falschen Versprechungen behaftet haben sicherlich selbst PF eine Daseinsberechtigung.

softrunner

@Basic
Und genau das halte ich für falsch, denn es besteht ein Unterschied zwischen der kreativen Konzeption und
Entwicklung einer Software oder dem Zusammenmurksen eines Programms, das es ermöglicht auf ungeschützte
PC's Zugriff zu nehmen. Letzteres ist durch die Verbreitung von Code und Möchtegernhackertuts auf
unzähligen Websites jedoch kein Elitestoff mehr, sondern anders als in den 80igern einer exorbitanten Masse von
Dummköpfen zugänglich. Wenn also jemand meint er müsse sich irgendwie ein Programm besorgen oder
kompilieren um mich anzugreifen,dann mag ihm dies selbst als Dummkopf gelingen. In diesem Falle will ich doch
gerade einem solchen Dummkopf aber nicht zum Opfer fallen. Die Dummköpfe sind ein bedeutend grosser Teil des
Problems.

Vor einiger Zeit habe ich abends in einem Jugendtreff mit Internetcafe gearbeitet. So gut wie alle der Besucher
dieses Treffs haben keinen blassen Schimmer vom Computern und schon garnicht von Sicherheit. Jedoch kennen
erstaunlich viele den Format-Befehl und wissen ledeglich, dass man Schaden mit diesem Befehl anrichten kann,
ohne wirklich zu wissen was der Befehl eigentlich bewirkt. Dieses zugegebener Maßen platte und extreme Beispiel zeigt jedoch auf, dass es keines
tiefgehenden Fachwissens für illegale Aktionen bedarf und das Möglichkeiten zur Sabotage und Manipulation von
Systemen selbst für völlig unmotivierte Teenies häufig von grossem Intersse sein können. Es war, wenn auch
jedem pädagogischen Auftrag zum Trotz, auf jeden Fall richtig diesen Befehl unzugänglich zu machen, auch
wenn wir wissen, dass es noch ca. 20000 andere Möglichkeiten gibt ein System lahmzulegen.

Wenn ich auch dem zweiten Satz zustimme, so halte ich den ersten für falsch. So gibt es z.B. eine ganze Reihe von Programmen, deren Funktionsumfang absolut keine Form des Internetzugriffs rechtfertigt, die aber dennoch versuchen genau diesen zu erhalten, häufig genug sogar in Form von Serverdiensten. Viele dieser Programme versuchen dies tatsächlich über eine 0815-stinknormale Socketsanforderung- und Nutzung ohne dass der Code auch jede noch so einfache Möglichkeit zur Umgehung einer PF für sich beansprucht. Hier kann der Schutz einer PF
durchaus greifen, denn selbst wenn das Programm versucht durch einen entsprechend, wichtig klingenden Namen seinen Internetzugriff zu rechtfertigen, so ist es doch ein Leichtes zu folgern das der eben getätigte Download mit
anschliessender Installation irgendwie mit dieser PF-Meldung zusammenhängt. Ich behaupte nicht, dass eine PF dem Anwender das Denken abnimmt. Es gibt auf diesem Sektor eine Vielzahl von Programmen, deren Internetzugriff hier erfolgreich unterbunden wird, warum auch immer. Was ich damit sagen will ist: Es kommt im Endeffekt doch darauf an wie häufig eine bestimmtes Problem in der Praxis auftritt und weniger darauf ob es vielleicht noch irgendeine exotische Form des Angriffs wie z.b. deine Nameserver-DoSAttacke gibt. Ganz abgesehen davon ist mir ein Denial of Service immer noch lieber als der Transport irgendwelcher Daten hinaus ins Netz.

Ich kann an einer Meldung wie z.b.:"blabla.exe versucht auf das Internet zuzugreifen" nun wirklich nix kryptisches erkennen. Ich sehe natürlich ein, dass eine Meldung wie:" Packet sent from 217.231.148.226 /Tcp-Port 3744..."
den unbedarften Anwender verwirren kann. Dies ist für mich jedoch ebenfalls kein Argument gegen eine PF,
denn 1. wüsste ich selbst nicht wie ich es anders formulieren sollte und 2. verlangt nahezu jede moderne Technolgie unserer Zeit dem Anwender eine gewisse Fertigkeit ab, diese zu bedienen. "Echte Firewalls" sind .z.b. häufig ebenso anwenderunfreundlich und warten ebenfalls mit kryptischen Bezeichnungen im Setup-Bereich auf.
Insofern kann man hier über die Usability diskutieren, so wie man dies auch bei unzähligen anderen
Softwareprodukten tun kann. Ich behaupte ja nicht, dass es keine schlechten PF's gibt. Was den Punkt
des Panikmachens anbelangt: Dies ist eine Frage für welche PF man sich entscheidet und es gibt sogar einge PF's bei denen ganz im Gegenteil die Meldungen
oft sowas enthalten wie:"Keine Sorge" oder "No Panik", weil die Softwarehersteller das Problem solcher Meldungen und deren Wirkung auf den unbedarften Anwender nämlich schon lange erkannt haben.

Ok, aber eben nur manche. Wenn ein Anwender eine PF installiert die durch Änderungen der Protokollschichten eine altes Sicherheitsloch öffnet ist dies natürlich von Nachteil. Dies ist aber das Resultat fehlerhafter Programmierung. Fehlerhafte oder schlampige Programmierung kann doch aber nicht als Argument für den Verzicht auf ein Softwareprodukt herhalten. Ich überzeichne jetzt mal: Ich kann auf jegliche Form von Software verzichten oder muss draussen schlafen, weil Pfusch am Bau ebenfalls ein häufiges Problem darstellt.
Und schliesselich: Wenn jemand z.b. 1 Jahr lang eine PF auf seinem Rechner hat, die ihn vor 5 oder 6
unautorisierten Internetzugriffen von Innen bewahrt hat und die Nachteile der geöffneten Sicherheits-
löcher noch nie zum Tragen gekommen sind, schlicht und ergreifend, weil es einfach nicht passiert ist, dann hat die PF dem Anwender doch für Jahr ein gewisses Mass an Schutz gewährt. Ich verstehe garnicht wie man angesichts solcher Erfahrungen, die nicht nur ich, sondern auch einige andere meiner Freunde gemacht haben noch davon sprechen kann, dass eine PF absolut keinen Sinn macht. Insofern erscheint mir auch der Vergleich mit dem Draht und dem Fahrrad sehr unpassend, denn 1. war ein Stück Draht niemals für den Schutz eines Fahrrads vorgesehen und 2. denke ich dass eine PF schon häufiger erfolgreich ihren Dienst verrichtet, als ein Stück Draht zur Verhinderung eines Fahrraddiebstahls beitragen würde.

Korrekt. Nichts anderes wollte ich sagen. (Nur für den Fall, dass es irgendwie anders rüberkam)

Nochmal: Wichtig finde ich eine sachliche, differenzierte Auseinandersetzung mit dem Thema.
Ich finde das Chris etwas sehr wichtiges in seinem letzten Beitrag losgelassen hat: Viele Anwender sind nicht offen für diese Aufklärung. Deswegen finde ich es auch wichtig dem Laien nicht gleich ein:"Deine PF kannst du in den Müll schmeissen" auf's Brot zu schmieren, weil dieser es womöglich völlig Kritiklos in die Tat umsetzen wird.
Der Anwender soll nicht glauben, dass ihn die PF 100% schützt, aber wenn wir ihm sagen, dass ihn die PF überhaupt nicht schützt machen wir den gleichen Fehler wie die Softwareindustrie in die andere Richtung.
Und dass eine PF ein gewisses Mass an Schutz bieten kann, ist empirisch nachweisbar.

mfg, SoftRunner

P.S.: Kandis ist auch ok.:-))

Rushjo

@SoftRunner

Mal eine Bemerkung am Rande, eins der grossen
Probleme einer D-FW ist auch, das sie lediglich auf
das laufende OS aufgesetzt ist und damit auch alle
Lücken des OS hat, wie sie zum Beispiel auch Viren,
Trojaner etc. zum Ausschalten der Firewall-Software
nutzen!
Desweiteren ist Dein Hinweis mit "... eine D-FW ist
besser als keine..." so nicht richtig! Weil die aller
meisten Leute wie selber schreibst, sich nur sehr
rudimentär für die Funktionsweise interessieren und
schon garnicht über Sicherheitslücken nachdenken!
Ich denke da nur mal an Windows, welches man mit
den neusten Patches sicherlich auch relativ sicher
bekommt! Aber nur die wenigsten "normalen" User
laden sich Sicherheits-Patches runter! Auch hinkt Dein
Vergleich eines Fahrrad-Schlosses ein bißchen! Da ja
schließlich auch ein Fahrrad-Schloß nicht gleich
einem Fahrrad-Schloß ist! Oder? Hinzu kommt noch,
da man bei minimalen Aufwand die Sicherheit passiv
durch "verantwortungsvolles" Surfen etc. noch mehr
steigern kann als nur durch das "blosse Vertrauen" auf
eine D-FW!

MfG Rushjo

Chris

Also für mich bleibt die D-FW *ein* Bestandteil eines Sicherheitskonzeptes. Genau dafür ist sie meiner Meinung auch gut. Gerade Dinge wie ein Windows Media Player, der versucht, beim einfachen Abspielen eines Videos ins Internet zu gelangen finde ich es sinnvoll, da eine solche Anfrage keinerlei Daseinsberechtigung hat.
Natürlich kann man sich nicht nur auf die D-FW verlassen!!! Das sollte aber jedem, der ein wenig über die Materie weiß, klar sein. Und mit diesem Bewusstsein fällt auch das Argument, eine D-FW wöge den User in falsche Sicherheit, in diesem Falle (klar, einen DAU wiegt sie immernoch!) weg.

Rushjo

Hi Chris,

wenn Du Deinen eigenen Text mal liest,

dann sollte Dir auffallen, das die überwiegende Menge
der Menschen allgemein und auch der Computer-
User DUMM sind, auf ALLES klicken, was blinkt, so
oder so Microsoft ALLES glauben und vorallem total
desinteressiert sind für alle "Sicherheitsbelange", die
mit "Denken" oder gar "Nachdenken" zu tun haben!!!!
Und gerade diese Gruppe habt Ihr als "Zielgruppe"
für eine D-FW beschrieben!

MfG Rushjo

DelumaX

Ich denke das bringt es schon auf den Punkt. Leider ist die Zielgruppe nunmal im DAU-Bereich zu suchen, die Dinger sind oft schlampig programmiert und werden unter falschen Versprechungen verkauft bzw. angepriesen. Aber der eigentliche Punkt ist doch das jemand dem das bewust ist eben doch einen gewissen Nutzen aus demn Dingern ziehen kann. Man kann ja nunmal nicht sämtliche DF verfluchen weil die meisten die sie benutzen sie weder verstanden haben und schon gar nicht konfigurieren können. Um z. B. die Dos Attacke von Basic nochmal aufzugreifen, es kann in jeder halbwegs vernünftigen DF festgelegt werden das bestimmte IPs nicht gesperrt werden. Tja wenn man dann nicht weiss was ein DNS Server ist, pech gehabt. Ich benutze auch keine DF da sie meinen Ansprüchen auch absolut nicht genügt. Aber jemand der einen standalone Windowsrechner hat der direkt am Netz hängt kann durchaus einen gewissen nutzen daraus ziehen und eine DF in sein Sicherheitskonzept einarbeiten. Die Fehler sind weniger in der Software zu suchen (natürlich auch) als viel mehr in dem Umfeld in dem sie vertrieben und genutzt werden.

Chris

@Rushjo: Eben. Ich habe ja auch nicht gesagt, dass eine DF für DAUs geeignet ist (eher das Gegenteil!), sondern dass ich (ich halte mich mit Verlaub nicht für einen DAU ) sie als *Teil* meines Sicherheitskonzeptes (das noch aus anderen Maßnahmen besteht) einsetze.

Ich bin auch der Meinung, dass DFs oft unter falschen oder übertriebenen Versprechen angepriesen werden.
Deshalb sollte man eben auch nicht denken, man sei damit allein absolut sicher...