[HaBo]

Ph0eNiX

@Tec guter Bericht!

Nun ich hab vernommen, dass IBM eine Destop-Firewall verwendet: Zone Alarm (Firmen-Version).

Auf den Mitarbeiter PCs wirk kontrolliert ob die Firewall eingerichtet ist. Falls nicht, wird diejenige Person gewarnt, sie müsse die Firewall umbedingt wieder Aktivieren bzw. downloaden.Innnerhalb von 24h.
Ich muss villeicht auch noch sagen, dass sich eine Mitarbeiter der IBM sich von irgendeinem Ort einwählen kann. Also es ist kein Anschlussgebune Verbindung (haben die meisten Universitäten etc. *glaub*).

Kann mir nun jemand sagen für was die eine Desktop-Firewall haben.Wenn sie ja gar nichts nützen (oder fast nichts)????

Ach ja, fragt micht nun ja nicht von wo ich das weiss . Es stammt von einer zuverlässigen Quelle, der ich vertrauen kann .

cya Ph0eNiX

sieben

Nur fuer unsere Freunde die meinen das alle Probleme geloest sind:

From: "RUS-CERT (Florian Weimer)" <unattended@Lists.CERT.Uni-Stuttgart.DE>
To: Ticker@Lists.CERT.Uni-Stuttgart.DE
Date: Today 16:03:02

[Generic] Neuer UDP-basierter Wurm verbreitet sich
(2004-03-20 11:47:09.803988+01)
Quelle: http://isc.sans.org/diary.html?date=2004-03-20

Ein neuer Wurm verbreitet sich über UDP-Pakete. Ähnlich wie beim
Slammer-Wurm kann es zur Überlastung des Netzes in der Nähe von
infizierten Hosts kommen. Der Angriff richtet sich gegen Systeme mit
BlackICE, einem ISS-Sicherheitsprodukt. Möglicherweise ist weitere
Software von ISS anfällig.

Betroffene Systeme
* BlackICE PC Protection 3.6 ccf
* Wahrscheinlich weitere BlackICE-Versionen, möglicherweise auch
andere ISS-Sicherheitsprodukte.
* Durch den vom Wurm erzeugten Netzverkehr können auch nicht direkt
verwundbare Systeme in Mitleidenschaft gezogen werden.

Einfallstor
UDP-Paket mit Quellport 4000 und zufälligem Zielport. Sehr
wahrscheinlich sind Angriffe über eine Broadcast-Adresse ebenfalls
erfolgreich, d.h. das Paket muß nicht direkt an das Opfer gerichtet
sein.

Auswirkung
Ein befallenes System verschickt in rascher Folge UDP-Pakete mit
Quellport 4000 und zufälligem Zielport, an zufällige Adressen (ähnlich
dem [1]Slammer-Wurm).

Gefahrenpotential
hoch
(Hinweise zur [2]Einstufung des Gefahrenpotentials.)

Beschreibung
Ein UDP-basierter Wurm verbreitet sich seit 2004-03-19 05:46 MEZ. Laut
[3]ISC SANS sind Microsoft-Windows-Systeme mit BlackICE PC Protection
3.6 ccf, einer PC-Sicherheitssoftware ("Personal Firewall"), für diese
Angriffe anfällig. Es ist im Moment unbekannt, ob tatsächlich die von
EEYE bekanntgegebene [4]Schwachstelle für den Angriff genutzt wird,
und ob weitere ISS-Produkte (wie die RealSecure- und Proventia-Reihe,
siehe [5]IIS-Advisory zu der von EEYE gefunden Schwachstelle)
betroffen sind.

Die verschickten UDP-Pakete haben als Quellport 4000, der Zielport ist
zufällig gewählt (teilweise auch unter 1024), die Zieladresse
ebenfalls. Die Paketgröße schwankt zwischen 769 und über 1250 Bytes.
Alle Pakete enthalten die Zeichenkette "insert witty message here".

Wie beim [6]Slammer-Wurm kann der Verkehr zu einem Denial of
Service-Angriff auf die Netzanbindung betroffener Systeme führen.
Sowohl die Bandbreite an sich als auch die zufällige Auswahl der
Zieladressen können eine Überlastung der Netzkomponenten verursachen.

Bis 2004-03-20 11:35 MEZ konnten wir 4800 befallene Systeme im
Internet detektieren. Wir beobachten derzeit pro 10.000 IP-Adressen
etwa 7 Angriffspakete pro Sekunde, die aus dem Internet ankommen.

Wenn weitere Information verfügbar wird, werden wir diese Mitteilung
aktualisieren.

Gegenmaßnahmen
* Als Notfallmaßnahme sollte eine Sperre von Paketen mit Quellport
4000 vor der verwundbaren Infrastruktur in Betracht gezogen
werden. Diese Sperre kann jedoch unerwünschte Nebenwirkungen haben
und z.B. DNS-Verkehr oder regulären ICQ-Verkehr beeinträchtigen.
* BlackICE-Benutzer sollten temporär auf den Einsatz der Software
verzichten und z.B. auf [7]Filter mit IPsec-Policies
zurückgreifen.
* Zusätzlich sollte eine Upgrade auf [8]BlackICE 3.6cfg vorgenommen
werden. Derzeit ist allerdings unklar, ob diese Maßnahme wirksam
ist. Eine Stellungnahme des Hersteller steht noch aus.

Weitere Information zu diesem Thema
* [9]Internet Security Systems PAM ICQ Server Response Processing
Vulnerability
* [10]Internet Security Systems Security Alert, Vulnerability in ICQ
Parsing in ISS Products

Aktuelle Version dieses Artikels
[11]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1189

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright ? 2004 RUS-CERT, Universität Stuttgart,
[12]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1065
2. http://CERT.Uni-Stuttgart.DE/ticker/...ehrdungsstufen
3. http://isc.sans.org/diary.html?date=2004-03-20
4. http://www.eeye.com/html/Research/Ad...D20040318.html
5. http://xforce.iss.net/xforce/alerts/id/166
6. http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1065
7. http://CERT.Uni-Stuttgart.DE/os/ms/i...aketfilter.php
8. http://www.iss.net/download/
9. http://www.eeye.com/html/Research/Ad...D20040318.html
10. http://xforce.iss.net/xforce/alerts/id/166
11. http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1189
12. http://CERT.Uni-Stuttgart.DE/

Viel Spass mit euren Userspaceprogrammen die ihr Firewall nennt ;-)

__________________
Diese Zeile ist reserviert für Clark Kent.

Zirias

> Viel Spass mit euren Userspaceprogrammen die ihr Firewall nennt ;-)

Wie kommst du darauf, dass das Userspace-Programme sind? Ich nehme doch stark an, dass fürs eigentliche filtern auf IP-Ebene etwas im Kernel laufen muss.


Tec, deiner Signatur kann ich nur in vollem Umfang widersprechen.
Was den Tee angeht, das ist natürlich zunächst Geschmacksfrage, nicht zuletzt aber auch eine Frage der Teesorte Ach und gar nicht wird gar nicht zusammengeschrieben

Und jetzt zu wichtigeren Dingen: Ich gebe dir völlig Recht, es ist absolut idiotisch, eine PFW zu installieren und sich dann "sicher" zu fühlen. Es ist eigentlich fast immer idiotisch, sich "sicher" zu fühlen Es gibt viele Angriffsmöglichkeiten, gegen die eine PFW absolut nichts ausrichten kann, und zwar by design. Dazu kommt natürlich, dass jede Software Fehler enthalten kann. Trotzdem gibt es eben ganz bestimmte Dinge, die eine PFW wirksam verhindern kann. Es sind Konfigurationen möglich, mit denen man die meisten Scans vereitelt und sich so schon mal nervige connect-Versuche von Scriptkiddies vom Leib hält. Auch gegen diesen RPC-Wurm hätte ein korrekt konfigurierter Paketfilter geholfen. Die einzige Möglichkeit, den Rechnernamen und andere NetBIOS-Informationen nicht übers Internet bekanntzugeben, obwohl die Dateifreigabe installiert ist, ist ein Paketfilter.

Ich denke die Liste lässt sich fortsetzen. Versteh mich nicht falsch, es ist gut und wichtig, die Leute darüber aufzuklären, dass PFWs beileibe nicht dazu geeignet sind, einen Rechner mal so eben "sicher" zu machen, die Fehleinschätzung solcher Software ist wohl in der Tat einer der größten Unsicherheitsfaktoren im Internet. Aber zwischen "eierlegende Wollmilchsau" und "taugt nix" ist ein weites Feld

Greets, Ziri

MoaraShira

Was den Schutz vor Viren betrifft, hast du da auch Recht, Norten schützt sehr gut davor.
Einen guten Schutz vor Trojaner hat das Teil allerdings nicht zu bieten, mit schon fast primitiv anmutenden Methoden kann man einen Trojanerserver für den Nortenscanner stealth machen. Das trifft gegenwärtig auf fast alle AVscanner zu, auch auf KAV, sofern man über ein paar entsprechende Tools verfügt.

Norten und AntiVir sind aber mit Abstand am leichtesten auszutricksen.

Edit: Einer Firewall jegliche Schutzfunktion abzusprechen, ist reine Arroganz und Inkompetenz.
Denn merke: Software ist oft fehlerhaft und das trifft auch auf Malware zu.

Zirias

1. Es heißt "Norton".
2. Wer einen guten Virenscanner sucht kann auch F-Prot nehmen, mit Shell-UI (DOS) ist der kostenlos man bekommt ständig aktuelle Signaturen.
3. Ein "guter" Trojaner kann (sofern er mit Admin-Rechten installiert wurde) niemals auf dem befallenen System selbst von einem Scanner gefunden werden, denn er klinkt sich in entsprechende Syscalls und untertrückt z.B. schon dort die Ausgabe der eigenen Dateien. Wenn man sich nicht darauf verlassen kann, dass die Syscalls wie definiert arbeiten, ist ein Scanner nutzlos. Also bei einem solchen Verdacht immer von CD booten.

Greets, Ziri

MoaraShira

Recht haste... )

Elderan

Zitat aus "Die Kunst der Täuschung - vom Kevin Mitnick"

Also bringt selbst Stecker ziehen nicht

Aber zum Thema zurück:

Also ich selber finde DF nicht absolut Sinnlos.

Denn dich frage ist doch:
Von wem werde ich Privat Angegriffen?

Ich denke das sind doch fast immer Script Kiddis die mit einem Nuker, Trojaner, Sniffer, gegebende Freigabe von Dateien etc. Schaden anrichten.

Eine DF mit Standardkonfiguration schützt einen vor den meisten dieser Angriffe. Denn Script Kiddies können zwar auch den Button "Nuke" klicken, allerdings denke ich, das fast alle nicht in der lage wären, ein Prog. zu schreiben, welches eine DF Ausschaltet.

Zwar stimmt es das diese DF schwachstellen hat, wie jede andere Software auch, allerdings bietet sie für wenig Geld/Kostenlos doch schon einen gewissen Grundschutz gegen solche Kinder.

Auch finde ich Praktisch an diesen Firewalls, das der Anwender sieht, welche Progs. versuchen eine Verbindung aufzubauen und diese dann auch "Blocken" kann.
Dies bringt schon Schutz vor Trojaner die vorher nicht die Firewall gekillt haben, und welche Kiddies können schon Trojaner bauen, die das machen? Höchstens einen Runterladen.

Und dort kommt das Anti Viren Programm zum Einsatz, denn dies erkennt normalerweise den Trojaner.

Also ich würde jedem DAU eine DF empfehlen, allerdings dazu sagen, das diese nur eine gewisse Sicherheit bietet.
Und genau das sollten die Hersteller auch machen

D.Mon

hallo zusammen,

hoch interesanter Fred- wirklich!

Ich möchte mal noch einen weiteren Aspekt zur Diskussion stellen.
Ausgehend von der Frage: Wem droht eigentlich die größte Gefahr? kann folgender Ansatz entwickelt werden.

Es dürfte unbestritten sein, dass in der Windows Welt die breiteste Angriffsfläche geboten wird.
Neben Mängeln und vielfältigen Sicherheitslücken im Betriebssystem gibt es auch für Windows die meisten Viren.

Der letzte Mac Virus beispielsweise wurde vor über sechs Jahren gesichtet (experimentell, keine Verbreitung im Internet).
Trojaner am Mac OS sind zwar theoretisch möglich aber bislang völlig unbekannt.

Ich arbeite seit 1984 u. a. an Macintosh Rechnern, hatte noch nie einen Virus oder Trojaner (keiner Schutzsoftware im Einsatz) und das schlimmste, was mir bisher passiert sind die Dödel, die regelmäßig den IIS Exploit gegen meinen Webserver fahren und mir damit die Logfiles füllen.
Sollen die doch lieber erstmal checken, mit welchem OS sie sich da verbinden. :-b

Andere Alternativen sind die Open Source Systeme aus der Unix Ecke (sicher nicht für jeden Einsatzzweck) wie OpenBSD, FreeBSD, NetBSD u. a. nicht zu vergessen Linux, obwohl sich da schon wieder viele Interessierte Tummeln.

Die Lösung "Stecker raus" kommt mir dagegen so sinnvoll vor wie Selbstmord aus Angst vor dem Tod *ggg*

Riskman

Aber vielleicht "könnten" Sie aber ein kleinen 0815Codeschnipsel kompilieren, der sich "Exploit" nennt und damit eventuell Schaden anrichten .

Tec

Korrekt, das sind dann immer die Jungs hier welche nachfragen warum der Sploit xyz nicht compiliert wird.

Zirias

Nun, das ist alles richtig, und ich denke die Schwächen von Desktop Firewalls sind hier auch erschöpfend diskutiert Nur ist es eben nicht so, dass sie _nichts_ nützen würden. Gefährlich ist die Überzeugung mancher DAUs, damit sicher zu sein, das lässt aber nicht den Schluss zu, solche Software tauge generell nichts.

Greets, Ziri

D.Mon

hahaha-

und einen diese Blicker haben wir hier
Sicherheit unter Windows

BiATCH

darum hab ich mir ne hardware firewall gekauft

Elderan

Naja wenn der user sich aber nicht in "Sicherheit" wiegt, und weiß das eine PF ihn nicht zu 100% schützt (wie manchmal versprochen), dann wiegt er sich auch nicht in Sicherheit. Also bringt das Argument nicht allzuviel.

Also sollte mehr Aufklärungsarbeit von den Herstellern getrieben werden.

D.Mon

Sehen Sie mal: Wir haben hier eine DF; gut ist sie nicht, aber teuer
-
ne mal im Ernst, der bringt doch in seinen Erklärungen Etliches durcheinander.
Ein Highlight:

Ja und dann legt da so ein gemeiner Hacker mit seinen 128 kBit den Provider lahm *ggg*