Hallo Jesse
Inwiefern bzw. wofür bietet eine Softwarefirewall zusätzliche
Angriffsfläche?
Zur Erklärung:
Relevant für die Angriffsfläche ist genau der Teil des Codes, der
Kontakt mit Daten aus dem Netz hat. Bei einem System ohne Paketfilter
und ohne laufende Dienste sind das schätzungsweise wenige tausend Zeilen Programmcode (schau Dir die Sourcen z.B. des BSD-IP-Stacks an und analysiere entsprechend).
Ein Paketfilter hingegen muss komplexe Pattern-Matching-Operationen
durchführen. Das vervielfacht den direkt durchlaufenen Code! Dazu kommt
noch das ganze GUI-Zeug der realen PFW-Produkte, das ebenfalls durch
Daten aus dem Netz angesprochen werden kann (z.B. Popups) - gegenüber
einem gängigen IP-Stack dürfte das locker eine verhundertfachung der
Codemenge sein, die als Angriffsfläche in Betracht kommt.
Besonders „intelligent“ sind natürlich dann gleich eingebaute DoS-Funktionen, die z.B. beim zehnten wie auch immer identifizierten
Angriffsversuch meinen, gleich mal den Rechner vom Netz nehmen zu müssen oder dergleichen.
(Zitat aus einem Posting von Erhard Schwenk, Message-ID: )
Mir ist zwar bekannt, dass manche Maleware die
Firewall (z.B. als Systemprozess getarnt) überwinden kann,
Naja, das ist etwas anderes. Das ist das ‚von innen nach aussen‘. Da kannst Du ohnehin jede PFW wegschmeissen. Sie können prinzipbedingt allesamt umgangen werden. Google mal nach ‚Breakout.exe‘, ein Proof of Concept, der genau das demonstriert.
Ich spreche aber davon, dass die PFW zusätzliche Angriffsfläche für Sachen bietet, die von aussen kommen und auf Deinen Rechner wollen.
aber dass die Firewall selbst Angriffsfläche für
Schadprogramme bieten würde, habe ich noch nie gehört.
Jede PFW ist eine Software, die Fehler enthält. Zumindest ein Teil dieser Fehler kann, genau wie bei Sicherheitslücken im Betriebssystem oder im Browser, von Angreifern ausgenutzt werden, um Dein System zu entern, lahmzulegen oder sonstiges.
Lies auch mal diesen (englischen) Artikel:
http://www.caida.org/research/security/witty/
Muss man eine Software-Firewall dann regelmäßig aktualisieren, um
vor irgendwelcher Schadsoftware sicher zu sein, die sich
speziell dagegen richtet?
Natürlich. Jede Software muss stets aktuell gehalten werden, damit allfällig entdeckte Fehler nicht ausgenutzt werden können. Das gilt ganz besonders für Software, die mit dem Internet Kontakt hat, also Browser, E-Mailprogramm, aber auch Antivirensoftware, PFW und so weiter.
Ich nutze ja eine Uralt-Firewall von Sygate (natürlich in Verbindung
mit einem Router), die schon ewig nicht mehr supportet wird.
Erstens: Wozu Sygate? Du hast einen Router, da ist das Ding erst recht überflüssig.
Zweitens: Eine Uralt-Version zu verwenden, ist schlicht grobfahrlässig.
Davon, dass man eine PFW sinnvoll konfigurieren muss, will ich jetzt gar nicht erst anfangen…
Immerhin sehe ich soweit alle Prozesse, die über irgendeinen
Port von Außerhalb auf meinen Rechner zugreifen oder sich von
meinem Rechner ins Netz verbinden wollen…
Was ‚von Ausserhalb‘ kommt, kann Dir egal sein, erstens da Du einen Router hast und der eh nur das durchlassen sollte, was Du angefordert oder entsprechend eingerichtet hast. Zweitens wäre es sogar ohne Router egal, sofern Du Dein System vernünftig konfiguriert hast (keine Dienste anbieten bzw. nur die Dienste, von denen Du das willst…).
Und was von Deinem Rechner ins Netz will, kann die PFW eh umgehen. Daher siehst Du da nur die Sachen, die so freundlich sind, sich nicht zu verstecken. Was das betrifft, gibts nach wie vor nur ein wirklich wirksames Mittel: Was sich nicht so verhält, wie Du willst und wo man das auch nicht durch geeignete Konfiguration erreichen kann, installierst Du nicht. Somit erübrigt sich eine Kontrolle des ‚nach aussen‘-Verkehrs, weil nur noch das raus geht, was Du willst/erlaubst.
…kann die entsprechende Software auf meinem Rechner lokalisieren
(und damit überprüfen, ob sie mir bekannt und unbedenklich ist) und
im Zweifelsfall den Transfer blockieren. Ich hoffe eigentlich,
dass mir das z.B. hilft, Trojaner oder Dialer auf meinem PC
weitgehend zu erkennen und blocken, wenn sie aktiv werden. Bin
ich da zu blauäugig?
Ja.
Leider fragt der Dialer, den du dir durch die Blödheit eines
beliebigen PC-Benutzers eingefangen hast vermutlich nicht
nach, ob er bitte raustelefonieren darf?
Wenn der Dialer zur Ausführung gelangt, ist es zu spät. Du musst dafür sorgen, dass es gar nicht soweit kommt. Etwa dadurch, dass Du Deinen Rechner nicht ‚beliebigen PC-Benutzern‘ überlässt. Oder wenn, dann nur mit einem entsprechend geeigneten, eingeschränkten Account und evt. der nötigen Schulung.
Ach ja? Erzähl doch mal genauer, wie das gehen soll. Ohne dass
ich mir vorher etwas ‚einfange‘, indem ich z.B. einen
Mailanhang ausführe.
Keine Ahnung, ich bin kein Fachmann für solche Sachen, aber
offenbar finden Spezialisten mit genügend freier Kapazität
immer irgendeine Möglichkeit, auf nahezu beliebige und auch
gut gesicherte Systeme was draufzubringen.
Da ist durchaus etwas dran. Weil es eigentlich immer solche Möglichkeiten gibt. Denn keine Software ist wirklich fehlerfrei.
Dennoch sollte man nicht in Panik verfallen und versuchen, sich einigermassen umfassend zu informieren.
Er erzählte mir, dass ein gut gesicherter Server quasi vor seinen
Augen gehackt worden sei, um Zugriff auf gewisse Informationen zu
erhalten und er hätte das durch glücklichen Zufall zwar registrieren
aber nichts dagegen unternehmen können, als den Stecker zu ziehen.
Tja, für Dich mag das gefährlich klingen. Für mich geht das, jedenfalls in der kurzen Form, wie Du das hier schilderst, in Richtung Seemannsgarn. Man muss nicht immer alles glauben, was so erzählt wird. Ob mündlich vom guten Kumpel oder in gedruckter Form wie in PC-Zeitschriften.
Will man die Sicherheit des eigenen Systems in die eigenen Hände nehmen, ist eine seriöse Einarbeitung in die Materie zwingend nötig. Ansonsten sollte man eher jemanden beauftragen, der sich damit auskennt. Das mache ich mit anderen Sachen, z.B. meinem Auto, genau gleich. Da ich mich mit der Technik nicht auskenne, schraube ich nicht selber dran rum, sondern lass Wartung, Reparaturen etc. von KFZ-Fachleuten durchführen.
CU
Peter