Eindringungsversuche auf meinen PC

Hi

Ich hab´ da mal ´ne Frage . Ich habe mir bei meinem Zonenalarm die Seite angesehen , in der angezeigt wird , wieviel Eindringlinge abgeblockt wurden . Die Zahl ist erschreckend hoch und steigt immer mehr beim zusehen . Dabei wird noch unterschieden zwischen mittel und hoch .Was für Programme sind das im groben Überblick , die sich einen Zugang auf meinen PC suchen . Ist das alles nur Spyware ?
Vor allem , wie funktionieren solche Programme , damit sie ständig im Netzt umherdüsen können. Eine kurze einfache Erklärung ist ausreichend .

Gruß Nino

Hallo,

Ich hab´ da mal ´ne Frage . Ich habe mir bei meinem Zonenalarm

*seufz*

die Seite angesehen , in der angezeigt wird , wieviel
Eindringlinge abgeblockt wurden . Die Zahl ist erschreckend
hoch und steigt immer mehr beim zusehen . Dabei wird noch
unterschieden zwischen mittel und hoch .

Keine weiteren Details? Was steht in den Log-Files?

Was für Programme sind
das im groben Überblick , die sich einen Zugang auf meinen PC
suchen . Ist das alles nur Spyware ?

Aller Wahrscheinlichkeit nach ist das nichts, was ohne Zone-Alarm auch nur irgendeine wirkliche Bedeutung für Dich hätte, sofern Du Deinen Rechner hinsichtlicht der Sicherheitsupdates aktuell hältst (davon entbindet Dich ZoneAlarm aber auch nicht).

Anhand der Dir dargelegten Tatsachen lässt sich nichts sagen, nur vermuten. Da ZoneAlarm aber aus Marketing-Gründen viele Alarme macht, die Null bedeutung haben, nur um die Zahl angeblich „abgehaltener Angriffe“ hoch aussehen zu lassen, solltest Du den Leuten von ZoneAlarm eben diese Fragen stellen.

Vielleicht sind sie dann irgendwann mal wegen der vielen E-Mails ("hey, ein Angriff auf Port 25") so genervt, daß sie es aufgeben, Programme zu schriben, die den Anwender wie einen Volltrottel in der Öffentlichkeit dastehen lassen.

Sorry.

Vor allem , wie funktionieren solche Programme , damit sie
ständig im Netzt umherdüsen können.

Sie versuchen einfach, eine Verbindung zu einem zufällig ausgewählten rechner herzustellen. Und während ein gut konfigurierter Rechner sollche vollig legitimen Fragen selber beantwortet („Danke, kein Interesse an einer Konversation“) macht ZoneAlarm da ein riesen Getöse draus, verunsichert den Nutzer, lenkt von der Arbeit ab (bringt potenziell weitere Sicherheitslücken ins System), hilft aber keinen Iota der Sicherheit.

Gruß,

Sebastian

Ich würde sagen, das meißte davon ist harmlos.

z.B. wird einfach nur dein Rechner angepingt, also ein Datenpaket an deine IP gesendet und dein PC antwortet nur „Ja, ich bin hier“. Das ist keine Sicherheitslücke und auch nicht gefährlich.

Was auch noch recht häufig ist…Anfragen von Filesharingprogrammen. Da du mit jeder Einwahl eine neue IP dynamisch zugewiesen bekommst, ist die Wahrscheinlichkeit sehr hoch, dass dein „Vordermann“ noch fleißig Filesharing betrieben hat und noch immer Anfragen von Clients kommen. Die wissen ja nicht, dass du ja jemand ganz anderes bist, schließlich hast du ja die selbe IP.

Was etwas gefährlicher ist…Würmer strecken ihre Fühler ins Internet aus und suchen ganze IP-Bereiche nach neuen Wirten ab. Sie überprüfen z.B. ob auf Port X ein Dienst lauscht und sie über eine Sicherheitslücke in diesem, vielleicht deinen Rechner übernehmen könnten. Mit einer halbwegs guten Firewall und fleißigem Patchen (der MS-Patch für die neuen Port-5000-Würmer ist schon draußen) dürfte das aber nur begrenzt gefährlich sein.
Typische „Wurmports“ sind 135, 137, 139, 445 und 5000. Dazu wirst du in der Logdatei wahrscheinlich fast jede Minute einen Eintrag bekommen.

Hallo,

(der MS-Patch für die neuen
Port-5000-Würmer ist schon draußen)

Dient der Scan auf Port 5000 nicht nur der Identifikation des Systemes und nicht als „Angriff“?

*nachguck*

Oh, doch, der nutzt sogar einen uralten Exploit aus. Hmpf …

Wie auch immer: Ich finde es „wieder mal“ nicht überraschend, daß so ein schwachsinniger Automatismus, den vermutlich nur sehr, sehr wenige nutzen, so ein Kopfzerbrechen macht …

*grummel*

Sebastian

Ein guter Zeitpunkt, für mich als eingefleischten Klicki-Bunti-Windows-Benutzer mal eine große Lanze für Linux zu brechen. Manche (Windowsuser) mögen mir das nicht glauben…aber mein fli4l-Router (wird über Konfigurations-, also Textdateien konfiguriert) ist mindestens hundertmal einfacher, schneller und direkter zu bedienen.
Bei den Desktopfirewalls hat man 1000 Möglichkeiten, hier eine Option, da ein Fensterchen, Eingabemaske, haste nicht gesehen. Blabla will auf PC zugreifen, Filterregel erstellen, blalba will ins Internet, Filterregel erstellen…verdammt, warum lahmt das Internet so, braucht meine Firewall 20 Sekunden um die Filterregeln anzuzeigen und fährt in 60 Sekunden mein System runter? Ist doch alles Unsinn, was soll der Mist?

Es geht doch so verdammt einfach…der Router macht einfach alle Ports dicht und jedem der von außen reinwill, sagt er „ätschobätsch“, du kommst hier nich rein. Alles was raus will, lässt er aber automatisch raus (gut so, ich hab’ eh nur das laufen was ich will) und „verschleiert“ noch die eigentlichen Quellports.
Und ich habe mich jahrelang mit PFs rumgeschlagen…deren „Konfigurationsmöglichkeiten“ eher Plazebos waren.

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Bin mir da nicht sicher…

Ich hab´ da mal ´ne Frage . Ich habe mir bei meinem Zonenalarm
die Seite angesehen , in der angezeigt wird , wieviel
Eindringlinge abgeblockt wurden . […]

…aber ich glaub, Zonealarm hat in der aktuellen Version einen Menupunkt ‚Automatische Alarme‘ drin. Da kannst du drin einstellen, mit wie vielen Eindringlingen ZA dich schrecken soll. Funktioniert sogar, wenn du überhaupt keine Internet-Anbindung hast!

Abends im Biergarten, kein WLAN, kein GPRS, kein Werbescheiss funktioniert, alle anderen Notebookbesitzer stinken ab. Du aber klappst deinen 15" Designer-Deckel hoch, machst Zonealarm auf, und zeigst den Jungs mal, was wirklich so abgeht!

Wichtig ist nur, dass du bei ‚auto generated intruders‘ keinen Wert über 127 einstellst, da hat ZA m. W. noch einen buffer overflow drin.

HTH,
Schorsch

off-topic: Konfiguration per File
Hallo,

Ein guter Zeitpunkt, für mich als eingefleischten
Klicki-Bunti-Windows-Benutzer mal eine große Lanze für Linux
zu brechen.

Hehe

Manche (Windowsuser) mögen mir das nicht
glauben…aber mein fli4l-Router (wird über Konfigurations-,
also Textdateien konfiguriert) ist mindestens hundertmal
einfacher, schneller und direkter zu bedienen.

Eben. Mein erstes Linux habe ich mir ja auch danach ausgesucht, wo die Verpackung das bunteste Erlebnis versprach.

Wenn man es wirklich einmal kennengelernt hat, merkt man aber, wie genial das direkte Editieren von Konfigurationsdateien ist. Oft sind sie gut kommentiert und zudem kann man selber hineinschreiben, warum man die eine oder andere Änderung gemacht hat. Und das ganze meinetwegen noch unter CVS oder eine andere Versionsverwaltung nehmen.

Bei den Desktopfirewalls hat man 1000 Möglichkeiten, hier eine
Option, da ein Fensterchen, Eingabemaske, haste nicht gesehen.

Genauso geht es mir auch mit der Shell. Das, was oft als DOS-Ebene bei Linux bezeichnen wird, hat mit dem untauglichen DOS-Fenster unter WinDOS nichts zu tun. Es ist ein raffiniertes, schnelles, bequemes (aber nicht übermäßig buntes und animiertes) Werkzeug. Sehr angenehm.

Es geht doch so verdammt einfach…der Router macht einfach
alle Ports dicht und jedem der von außen reinwill, sagt er
„ätschobätsch“, du kommst hier nich rein.

Gut, eine sichere Konfiguration der Dienste sollte man dennoch haben und Sicherheitsupdates (bei beiden Systemen) sind weiterhin ein Muß. Aber das machst Du ja.

Gruß,

Sebastian

Ich hab´ da mal ´ne Frage . Ich habe mir bei meinem Zonenalarm
die Seite angesehen , in der angezeigt wird , wieviel
Eindringlinge abgeblockt wurden . […]

…aber ich glaub, Zonealarm hat in der aktuellen Version
einen Menupunkt ‚Automatische Alarme‘ drin. Da kannst du drin
einstellen, mit wie vielen Eindringlingen ZA dich schrecken
soll. Funktioniert sogar, wenn du überhaupt keine
Internet-Anbindung hast!

Da fällt mir irgendwie mein Lieblings-Userfriendly ein:
http://ars.userfriendly.org/cartoons/?id=20010523

Wichtig ist nur, dass du bei ‚auto generated intruders‘ keinen
Wert über 127 einstellst,

Ja. Und „.0.0.1“ nicht vergessen.

SCNR,

Sebastian

Ich hab´ da mal ´ne Frage . Ich habe mir bei meinem Zonenalarm
die Seite angesehen , in der angezeigt wird , wieviel
Eindringlinge abgeblockt wurden . Die Zahl ist erschreckend
hoch und steigt immer mehr beim zusehen .

Ich hab gerade mal meinen Paketfilter befragt und komme auf 5.238.553 abgelehnte Verbindungen in den letzten 12 Monaten. Fünf Millionen verdammte Versuche, mich und meine Rechner endültig platt zu machen!!!111

Naja, das einzig Beunruhigende daran ist die Tatsache, das der Rechner so ewig braucht, um das zu ermitteln. Lahme Kiste.

Was dich vielmehr beunruhigen sollte, sind die Sachen, die ZA nicht anzeigt, also beispielsweise das erfolgreiche Eindringen in deinen Rechner.

Vor allem , wie funktionieren solche Programme , damit sie
ständig im Netzt umherdüsen können. Eine kurze einfache
Erklärung ist ausreichend .

So kurz wie möglich: Programme, die ständig im Netz herumdüsen, gibt es schlichtweg nicht. Du wirst dich sicherlich daran erinnern, dass Programme auf Computern laufen und nicht auf Patchkabeln.

Stefan

Sebastian

Wie auch immer: Ich finde es „wieder mal“ nicht überraschend,
daß so ein schwachsinniger Automatismus, den vermutlich nur
sehr, sehr wenige nutzen, so ein Kopfzerbrechen macht …

Ich finde wer sachliche Argumente fordert sollte selber zunächst in Vorleistung treten und den angeblich „schwachsinnigen Automatismus“, der übrigens technisch bedeutende Vorteile aufweist, etwas konkreter zu beschreiben, damit sich auch ein unbedarfter User ein Bild über die technischen Möglichkeiten und damit dessen, was mit Zone Alarm technisch nicht möglich ist, machen zu können. Provokationen haben IMHO im Bereich IT Sicherheit keine Daseinsberechtigung, dafür ist das Thema zu sensibel.

Gruß.

Sebastian
Weder das:

Programme zu schriben, die den Anwender
wie einen Volltrottel in der Öffentlichkeit dastehen lassen.

noch das:

macht ZoneAlarm da ein riesen Getöse draus,
verunsichert den Nutzer, lenkt von der Arbeit ab (bringt
potenziell weitere Sicherheitslücken ins System), hilft aber
keinen Iota der Sicherheit.

kann ich bestätigen. Lediglich der Mangel an Aufklärung, der IMO auch hier vorherrscht, verunsichert die User. Es ist schon schade, daß manche Leute selbst beim Thema IT nicht bei der Sache bleiben können. Die anwender, die ich betreue, benutzen ZoneAlarm (und alle anderen erforderlichen Sicherheitsmaßnahmen) und sind nicht verunsichert.

Gruß.

Universal Plug & Pray
Hallo,

Wie auch immer: Ich finde es „wieder mal“ nicht überraschend,
daß so ein schwachsinniger Automatismus, den vermutlich nur
sehr, sehr wenige nutzen, so ein Kopfzerbrechen macht …

Ich finde wer sachliche Argumente fordert sollte selber
zunächst in Vorleistung treten und den angeblich
„schwachsinnigen Automatismus“, der übrigens technisch
bedeutende Vorteile aufweist, etwas konkreter zu beschreiben,

Welchen Vorteil bietet er dem Otto-Normabenutzer, für den er offensichtlich per Default angestellt ist?

damit sich auch ein unbedarfter User ein Bild über die
technischen Möglichkeiten und damit dessen, was mit Zone Alarm
technisch nicht möglich ist, machen zu können. Provokationen
haben IMHO im Bereich IT Sicherheit keine Daseinsberechtigung,
dafür ist das Thema zu sensibel.

Mag sein. Für die IT-Sicherheit gilt: jeder Dienst, der nicht läuft, kann nicht angegriffen werden - jeder dienst, der mit hohen rechten läuft, ist bei Kompromittierung besonders gefährlich.

Ich empfinde es als Provokation von Microsoft, daß derartige Grundsätze mit den Füßen getreten werden. Naja, aber Microsoft hat wohl auch keine Daseinsberechtigung im sensiblen Thema IT-Sicherheit, von daher ist das verhalten schon okay.

Namen in der Betreffzeile gelten als ziemlich … naja … http://groups.google.com/groups?threadm=6kdibn$fq0$1…

Sebastian

Hallo,

kann ich bestätigen. Lediglich der Mangel an Aufklärung, der
IMO auch hier vorherrscht, verunsichert die User.

Die Fragen wirken immer so wie „Ich habe eine Mondrakete gekauft, muß ich den Zündchlüsel rechts- oder linksherum drehen, um loszufliegen“.

Ich erwarte von niemandem, daß er Monraketen bedienen kann, aber mit so einer Frage zeigt man bestenfals, daß die Gebrauchsanleitungen für Mondraketen suboptimal sind.

Mancheiner würde den Fragesteller angesichts einer solchen Frage auch für etwas trottelig halten.

Es ist schon
schade, daß manche Leute selbst beim Thema IT nicht bei der
Sache bleiben können. Die anwender, die ich betreue, benutzen
ZoneAlarm (und alle anderen erforderlichen
Sicherheitsmaßnahmen) und sind nicht verunsichert.

Was wäre denn bei Deinen Anwendern ohne ZoneAlarm das Sicherheitsloch, was Dir Probleme bereiten könnte?

Auch hier: Namen aus der Betreffzeile entfernt

Sebastian

lol
Ach ja, wie schön, pi’s law. Kenne ich noch nicht, entschuldige mich in aller Form und gelobe Besserung.

Sicherheitsloch
Hallo Sebastian,

Was wäre denn bei Deinen Anwendern ohne ZoneAlarm das
Sicherheitsloch, was Dir Probleme bereiten könnte?

Das, welches ich noch nicht kenne. Und da ich nicht sehr viele kenne, kennt Zone Alarm gewiß mehr als ich.

Im übrigen geht es mir weniger um die optimale Methode, sondern um die geeignete Methodik zur Kombination aus Vermeidung und Schadensbegrenzung in unterschiedlichen Szanarien. Die beinhaltet eben auch die User, deren System eben nicht optimal eingestellt ist. Solche Szenarien gibt es durchaus und müssen IMO in der Auswahl geeigneter Methoden Berücksichtigung finden.

Gruß, AndyM

Bei ZoneAlarm hast du die option,dich „silent“ schützen zu lassen,d.h. nicht bei jedem „Alarm“ das popupfenster zu erhalten.
„Alarm“ löst auch ein normaler Ping ,Traceroute usw aus…
das heisst nicht,das dich jemand hacken will, es könnte aber,
und deswegen wirds bei „Alarm“ mitgezählt.
Andere Firewalls ,z.B. BlackIce Defender, unterteilen diese
Alarms in verschiedene Levels,je höher der Level,desto
warscheinlicher ein Hackangriff.
Es ist z.B. ein Unterschied,ob jemand guckt,ob du einen
bestimmten Port offen hast , ob er nach Port 137-139 schaut
oder ob er systematisch deine Ports scannt.
Diese Feinheiten werden von ZoneAlarm nicht unterschieden.
Da Scriptkiddys am Tag so an die 10mio IP-Adressen scannen,
glaub mir,wenn du ne FW drauf hast,die ham genug gefunden,die ohne in der Welt rumsurfen und daher werden Sie auch diese versuchen zu Hacken,nicht dich
Ansonnsten,wenn du es sicherer haben willst,empfehl ich dir die Sygate Firewall 5.5, die hat im Test besser abgeschnitten wie ZoneAlarm.
Kannste runterladen von www.sygate.com .