Sorry, aber ZoneAlarm ist meiner Meinung nach definitiv KEIN Schrott.
ZoneAlarm hat nur nachgeholt, was andere PFWs wie Tiny schon etwas länger haben
Aber guckt ihr hier:
http://wiki.hackerboard.de/index.php/Desktop_Firewall_/_Applikationszugriffskontrolle_umgehen
die meisten Methoden ziehen immer noch. D.h man kontrolliert nur das, was sich kontrollieren lässt => Ressourcenverschwendung. Dafür kann man gleich einen User anlegen, der ins Internet darf und entsprechende Programme mit diesem Konto starten.
Dafür muss man nur allen anderen Usern die Zugriffsrechte auf mswsock.dll und noch ein paar (muss mal nachschlagen) entziehen.
Als Schutz von "Außen" kann man auch einfach die Dienste abstellen
, oder sich z.b
www.sicherheit.de.vu anschauen oder es soll auch NAT-Router geben, die es auch bewerkstelligen könen.
kleine Demo (ja, ich bin faul: funktioniert nur garantiert unter Win XP SP1 (müsste auch unter SP2 laufen) und garantiert nicht unter win2k).
Einfach in der Kommandozeile das gewünschte Programm übergeben:
cmd> Firewalltest Mozilla.exe
wird nix übergeben, wird der Explorer "missbraucht". Und zwar injiziert sich das Programm in ein anderes (den Namen kann man ja bestimmen) und gibt dann eine Meldung aus. Danach beendet es sich wieder. D.h es werden keine Dateien oder ähnliches angetastet. Man sieht nur die Meldung, die scheinbar von dem "guten" Programm kommt (es gibt auch nichts anderes in der Prozessliste - und dafür ist nichtmal ein Rootkit nötig
) Wird beim Onlinescan
http://virusscan.jotti.org/de/ von keinem der "großen oder kleinen" Scanner verdächtigt.
Also: erscheint die Meldung ohne dass irgendwelche von eurer "Schutzsoftware" meckert, habt ihr "verloren". Denn:
Jetzt denke man sich den letzten Schritt: der Browser ist damit infiziert (und zwar
nur nur im Speicher). Was macht damit die PFW? Gar nix.
Jetzt kommt die Argumentation: die PFW Hersteller sind auch up2date. Sie haben es nach vielen Jahren gemerkt und rüsten die Funktionen nach (sogar ZA 6 inzwischen)
Dieses Programm wurde im Frühling 2005 erstellt, als Demo, um zu zeigen, dass man solche "Überwachung" wie z.B schon seit 2003 von Tiny gemacht, relativ einfach ausgetrickst werden kann. Es nutzt einen kleinen Trick. Und ja, man kann es sehr einfach auf Win2000 und XP SP2 erweitern
.
Bin also gespannt, ob ZA hier anspringt. Denn sonst hat es keine Möglichkeit mehr zu unterscheiden, ob der Browser ins Internet will oder nur dazu gezwungen wird.
PS: und es funktioniert auch ohne Adminrechte
, wenn ihr Admin seid und versucht testweise einen Dienst zu "infizieren" (man denke an "Generic Host" welches man immer freigeben muss
) so klappt das auch, allerdings bekommt man keine Meldung, weil Dienste keine GUI Elemente bieten (bzw. die User32.dll nicht im Speicher gemappt halten) und diese nachgeladen werden müssten (zu faul bin
)
Natürlich habe ich das Programm mit sorgfalt geschrieben und es besitzt nichtmal irgendwelche Funktionen zum Ändern von Daten - trotzdem übernehme ich keinerlei Haftung und emfehle es nur auf einer VM oder einem Testrechner auszuführen.
PPS: ich habe weder PFW noch AV (OnDemand/Hintergrund und wie sie alle heißen, alle paar Wochen oder Monate kam Antivir bzw. jetzt MWAV zum Einsatz). Ich sage nicht generell dass die Software unsinnig ist, aber imho verhilft sie nicht unbediengt zu "so viel mehr" Sicherheit, wie die Werbung suggeriren möchte. Siehe auch Toyota und die Schrottpresse
![[HaBo]](/styles/default/logoklein.png){kind=small}
