ZoneAlarm u. Windows Updates

Hallo liebe Wer-Weiss-Wasler

Mir ist es wieder einmal passiert, dass ich nicht an Windows
Critial Updates 'rankann. Ich habe vor einigen Tagen
Zonealarm installiert und jetzt kann ich die Microsoftupdateseite nur teilweise laden. Ich kriege immer
wieder die Popupwindows die fragen ob ich mir die Seite ansehen will und
wenn ich ok sage bekomme ich die Seite nur teilweise. Es
nervt mich, da ich jeden Tag aufgefordert werde sie mir
anzusehen und es aber nicht kann. Ich habe Win98SE and IE5.50.
Muss ich irgendetwas in meinem Browser aendern?

Danke schon fuer eure Hilfe
MfG
Elisabeth

Hallo Elisabeth!

Hast Du schon versucht, Zonealarm beim Windows Update auszuschalten ?

M.f.G.
Beowolf

Critial Updates 'rankann. Ich habe vor einigen Tagen
Zonealarm installiert und jetzt kann ich die
Microsoftupdateseite nur teilweise laden.

Ich habe den starken Verdacht, daß ZoneAlarm hier keinen Sicherheitsgewinn bringt.

Du solltest ZoneAlarm und andere „Personal Firewalls“ ersteinmal von der Platte verbannen und ansonsten zusehen, daß Du keine fremden Programme ausführst (also nicht einfach überallhin klicken).

Sebastian

Critial Updates 'rankann. Ich habe vor einigen Tagen
Zonealarm installiert und jetzt kann ich die
Microsoftupdateseite nur teilweise laden.

Ich habe den starken Verdacht, daß ZoneAlarm hier keinen
Sicherheitsgewinn bringt.

Hast Du den Verdacht oder weißt Du es?

Du solltest ZoneAlarm und andere „Personal Firewalls“
ersteinmal von der Platte verbannen und ansonsten zusehen, daß
Du keine fremden Programme ausführst (also nicht einfach
überallhin klicken).

Wieso Zonealarm deinstallieren?
Sicher haben solche Personal Firewalls Einschränkungen, vor allem auf Win 98, aber deswegen bieten sie denoch eine gewisse Sicherheit. Sie verhindern immerhin, daß jedes x-beliebige Programm einfach mal mit dem Internet verbindet. (zumindest solange die Trojaner noch nicht so schlau sind und die Firewall einfach abschießen) Und außerdem unterbinden sie recht wirkungsvoll Zugriffe von außen auf den Rechner.
Natürlich sollte man nicht einfach jedes Programm runterladen und ausführen, aber das sollte selbst mit Firewall eine Selbstverständlichkeit sein.

Sebastian

Mal noch zur ursprünglichen Fragestellung:
Kommen die Fenster von Zonealarm?
Kannst Du auf die Seite zugreifen wenn Du Zonealam abschaltest?
Wenn ja, dann ist ja alles klar.
Wenn nicht: Welchen Browser benutzt Du? Netscape und die Microsoft Download Seiten vertragen sich nicht immer.

Viele Grüße,

Olli

hallo!

… liegt sicher nicht an zone, hast du vielleicht einen proxy aktiviert?

… schau mal unter extras… internetoptionen… verbindungen… lan einstellungen…

… oder geh während des updates mit den sicherheitseinstellungen zurück… schieberegler auf minimal… neustart…

gruss Franz

Mal wieder: Personal Firewalls…

Critial Updates 'rankann. Ich habe vor einigen Tagen
Zonealarm installiert und jetzt kann ich die
Microsoftupdateseite nur teilweise laden.

Ich habe den starken Verdacht, daß ZoneAlarm hier keinen
Sicherheitsgewinn bringt.

Hast Du den Verdacht oder weißt Du es?

Personal Firewalls bringen allgemein keinen Sicherheistgewinn, indbesondere, wenn sie nicht von Experten installiert und administriert weredn. So klang mir das aber hier nicht…

Wieso Zonealarm deinstallieren?

Siehe oben.

Sicher haben solche Personal Firewalls Einschränkungen, vor
allem auf Win 98, aber deswegen bieten sie denoch eine gewisse
Sicherheit. Sie verhindern immerhin, daß jedes x-beliebige
Programm einfach mal mit dem Internet verbindet.

Und wie kommt x-Beliebiges Programm auf die Platte? Weil der User 'mal was prickelnd Neues ausprobieren will.

(zumindest
solange die Trojaner noch nicht so schlau sind und die
Firewall einfach abschießen)

Schon passiert. Gerade bei Zonealarm.

Und außerdem unterbinden sie
recht wirkungsvoll Zugriffe von außen auf den Rechner.

Das möchtest du genauer erklären. Also, wenn ich einen Windwows-Rechner hätte, könnte man von außen nicht drauf zugreifen. Warum ginge das bei Dir ohne Personal Firewall?

Natürlich sollte man nicht einfach jedes Programm runterladen
und ausführen, aber das sollte selbst mit Firewall eine
Selbstverständlichkeit sein.

Eben. Und dann habe ich durch Firewall genau Null Gewinn.

Hast Du schon versucht, Zonealarm beim Windows Update
auszuschalten ?

Hallo Beowolf
Ich habe schon versucht Zonealarm auszuschalten und auch
Webwasher aber es geht trotzdem nicht. Da ich nur die
halbe MS Seite bekomme, nehme ich an, dass mein Rechner
Information zu MS schicken soll, etc welche Updates ich
schon drauf habe und er tut es aus irgeneinen Grund nicht.
Der naechste Versuch ist Zonealarm zu loeschen und
sehen obs dann klappt. Wenn ja, dann bin ich sicher dass es
ZA ist. Ich habe uebrigens Win98 SE, IE 5.5
Gruesse
Elisabeth

M.f.G.
Beowolf

hallo elisa,

bei mir klappen die updates mit za (w2k und ie6.0, bzw. win98se und ie5.5).

hast du vielleicht in den browser sicherheitseinstellungen active x abgeschaltet? das benutzt ms naemlich fuer die updates.

salut

gernot

Critial Updates 'rankann. Ich habe vor einigen Tagen
Zonealarm installiert und jetzt kann ich die
Microsoftupdateseite nur teilweise laden.

Ich habe den starken Verdacht, daß ZoneAlarm hier keinen
Sicherheitsgewinn bringt.

Hast Du den Verdacht oder weißt Du es?

Personal Firewalls bringen allgemein keinen Sicherheistgewinn,
indbesondere, wenn sie nicht von Experten installiert und
administriert weredn. So klang mir das aber hier nicht…

Nicht jeder kommt als gleich Experte zur Welt.

Wieso Zonealarm deinstallieren?

Siehe oben.

Toll, wann kommst Du zu mir und den anderen Teinehmern und administrierst meine Personal Firewall ?
Oder hilf mir Experte zu werden.
Ansonsten brauchste nicht darauf aufmerksam machen, daß er kein Experte ist, sonst gäbe es diese Frage in diesem Brett nicht.

Sicher haben solche Personal Firewalls Einschränkungen, vor
allem auf Win 98, aber deswegen bieten sie denoch eine gewisse
Sicherheit. Sie verhindern immerhin, daß jedes x-beliebige
Programm einfach mal mit dem Internet verbindet.

Und wie kommt x-Beliebiges Programm auf die Platte? Weil der
User 'mal was prickelnd Neues ausprobieren will.

Mir ist bekannt, auf Deinen Rechner kommen nur Prg´s, von denen Du den Code kennst. Find ich gut und würde ich auch machen, wenn ich mit dem Quell-Code was anfangen könnte.

(zumindest
solange die Trojaner noch nicht so schlau sind und die
Firewall einfach abschießen)

Schon passiert. Gerade bei Zonealarm.

Nenne mir was besseres. Wir würden gerne an Deinem Wissen und Deiner Erfahrung teihaben.
Aber bitte kein Linux. Es is ne super Sache, ohne Zweifel, aber ich hab halt den beruflich ganzen Tag mit M$ zu tun. Dann bleib ich auch zum spielen dabei.

Und außerdem unterbinden sie
recht wirkungsvoll Zugriffe von außen auf den Rechner.

Das möchtest du genauer erklären. Also, wenn ich einen
Windwows-Rechner hätte, könnte man von außen nicht drauf
zugreifen. Warum ginge das bei Dir ohne Personal Firewall?

Hätte wäre wenn. Mit Zonelabs ist es min. ein klein wenig ümständlicher auf einen Rechner draufzukommen.
Wenn man sicher sein will, so sollte man also Linux nehmen und Experte für die administration seiner Sicherheitssoftware sein.

Natürlich sollte man nicht einfach jedes Programm runterladen
und ausführen, aber das sollte selbst mit Firewall eine
Selbstverständlichkeit sein.

Eben. Und dann habe ich durch Firewall genau Null Gewinn.

Am besten Modem wegschmeißen, NW-Karte ausbauen, Floppy und CD-Rom ebenfalls. Dann braucht es auch keine Firewall. Und solange man dieses nicht tut, solange gibt es auch keine 100% Sicherheit, egal welches OS oder was für ein Sicherheitskonzept.

(Personal) Firewalls: sinnvoll auch ohne Wissen?

Personal Firewalls bringen allgemein keinen Sicherheistgewinn,
indbesondere, wenn sie nicht von Experten installiert und
administriert weredn. So klang mir das aber hier nicht…

Nicht jeder kommt als gleich Experte zur Welt.

Guter Einwand.

Dann sollte man genau so lange, wie man noch nichts davon versteht, die Dinge von „Expertenspielzeug“ lassen.

Toll, wann kommst Du zu mir und den anderen Teinehmern und
administrierst meine Personal Firewall ?

Falls Du das meinst: Deine Mitgliedschaft bei Wer-weis-was berechtigt Dich nicht dazu, kostenlos von mir Dinstleistungen zu fordern.

Falls Du das nicht meintest, schick’ mir eine Mail und wir können und hinsichtlich eines Konzeptes unterhalten. Eines kann ich Dir sagen: eine „Personal Firewall“ kommt in dem von mir erstellen Konzept nicht vor.

Oder hilf mir Experte zu werden.

Ich werde Dir die öffentlich zugänglichen Texte nicht vorlesen. Ich kenne nichteinmal Deinen Kenntnisstand.

Konkrete Fragen sind willkommen.

Zwei Links für den Anfang:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.little-idiot.de/firewall/

Ansonsten brauchste nicht darauf aufmerksam machen, daß er
kein Experte ist, sonst gäbe es diese Frage in diesem Brett
nicht.

Das war nicht mein primäres Ziel. Ich habe auf Nachfrage gesagt, daß es mir nicht so zu sin scheint.

Auch als Nicht-Experte sollte man keine Programme installieren, deren Wirkungsweise man nicht durchschaut.

Mir ist bekannt, auf Deinen Rechner kommen nur Prg´s, von
denen Du den Code kennst. Find ich gut und würde ich auch
machen, wenn ich mit dem Quell-Code was anfangen könnte.

Du kannst Dir - wenn es Dir wichtig ist - einen unabhängigen Experten Deines Vertrauens beauftragen, den Quellcode auf Fehler und Fallen zu durchsuchen. Diese Möglichkeit wirst Du bei „Closed Source“ nie haben.

Schon passiert. Gerade bei Zonealarm.

Nenne mir was besseres.

Pauschallösungen sind oft suboptimal.

Für den Anfang: Netzfreigaben nicht ans „Internet-Interface“ binden, und keinen fremden / aus nicht vertrauenswürdiger Quelle stammenden Code ausführen.

Damit ist Windows als solches verdammt sicher.

Aber bitte kein Linux. Es is ne super Sache, ohne Zweifel,
aber ich hab halt den beruflich ganzen Tag mit M$ zu tun.

Ein Fall von „Falsches Werkzeug für gegebene Aufgaben“? Ich sehe mir im Allgemeinen erst die Anforderungen an und wähle dann das Werkzeug… Deine Anforderungen kenne ich allerdings auch nicht…

Dann
bleib ich auch zum spielen dabei.

Dazu taugt Wintendo Windows wohl in der Tat besser…

Das möchtest du genauer erklären. Also, wenn ich einen
Windwows-Rechner hätte, könnte man von außen nicht drauf
zugreifen. Warum ginge das bei Dir ohne Personal Firewall?

Hätte wäre wenn. Mit Zonelabs ist es min. ein klein wenig
ümständlicher auf einen Rechner draufzukommen.

Du hast genau meine Frage umgangen. Inwiefern verhindert Zonealerm, daß jemand „auf Deinen Rechner kommt“?

Bitte: wenn Du ZoneAlarm für sinnvoll hältst, solltest Du hier begründen können, warum.

Wenn man sicher sein will, so sollte man also Linux nehmen und
Experte für die administration seiner Sicherheitssoftware
sein.

OpenSource hat Vorteile, unbestritten. Auch Windows kann man in einem ordentlichen Rahmen sicher machen. Ohne ZoneAlarm, wohlgemerkt.

Natürlich sollte man nicht einfach jedes Programm runterladen
und ausführen, aber das sollte selbst mit Firewall eine
Selbstverständlichkeit sein.

Eben. Und dann habe ich durch Firewall genau Null Gewinn.

Am besten Modem wegschmeißen, NW-Karte ausbauen, Floppy und
CD-Rom ebenfalls. Dann braucht es auch keine Firewall.

Was soll das hier? Ich kann den Satz nicht deuten: entweder, er ist polemisches 'rumheulen oder er drückt eine richtige Erkenntnis aus: Es reicht nicht, eine wie auch immer geartete (Profi-)-Firewall vor den Rechner zu hängen, wenn die Leute auf dem Rechner selber dummes Zeuch machen. Programme ausführen zum Beispiel. Ob aus dem „bösen Internet“ oder von einer CD-ROm ist in der Tat völlig wurscht…

Und
solange man dieses nicht tut, solange gibt es auch keine 100%
Sicherheit, egal welches OS oder was für ein
Sicherheitskonzept.

Endlich kann ich Dir mal zu 100% zustimmen.

Sebastian

Personal Firewalls bringen allgemein keinen Sicherheistgewinn,
indbesondere, wenn sie nicht von Experten installiert und
administriert weredn. So klang mir das aber hier nicht…

Nicht jeder kommt als gleich Experte zur Welt.

Guter Einwand.

Dann sollte man genau so lange, wie man noch nichts davon
versteht, die Dinge von „Expertenspielzeug“ lassen.

Frage: Wie soll man Experte werden, wenn man nicht mit dem „Expertenspielzeug“ spielt ? (Bsp.: Wie soll ich Linux-Experte werden, wenn ich nicht damit spiele - oder mich drüber totärgere )
Auch die Auseinandersetzung mit einer PFW dient dem Lernen und Verstehen der Mechanismen einer Firewall (vorausgesetzt ich befasse mich ernsthaft damit und „bügle“ das Ding nicht einfach nur drauf.

Eines
kann ich Dir sagen: eine „Personal Firewall“ kommt in dem von
mir erstellen Konzept nicht vor.

Ist wohl nicht nötig, wenn ich Freigaben entferne, Browser zunagle(java/ActiveX deaktivieren etc.), aktuelle Virenpatterns für meinen Scanner abhole und und und - setzt aber wiederum intensives Befassen mit der Thematik voraus (wobei eine PFW - mit Interesse installiert - durchaus jemanden auf den Geschmack bringen kann).

Oder hilf mir Experte zu werden.

Ich werde Dir die öffentlich zugänglichen Texte nicht
vorlesen. Ich kenne nichteinmal Deinen Kenntnisstand.

Konkrete Fragen sind willkommen.

Zwei Links für den Anfang:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.little-idiot.de/firewall/

Ergänzung:
http://www.tlab.ch/praktika/c15/
http://secinf.net/

Für den Anfang: Netzfreigaben nicht ans „Internet-Interface“
binden, und keinen fremden / aus nicht vertrauenswürdiger
Quelle stammenden Code ausführen.

Damit ist Windows als solches verdammt sicher.

Zweifel (Aus der Box ?)

Das möchtest du genauer erklären. Also, wenn ich einen
Windwows-Rechner hätte, könnte man von außen nicht drauf
zugreifen. Warum ginge das bei Dir ohne Personal Firewall?

Fehlendes Expertenwissen ? Auch unter WIndows sind diverse Einstellungen in der Registry, Einspielen von ServicePacks, Hotfixes etc. notwendig um ein relativ sicheres System zu bekommen (z.B. Hardening NT http://www.computeroase.com/hardening/NT-Sicherheit.htm).

Hätte wäre wenn. Mit Zonelabs ist es min. ein klein wenig
ümständlicher auf einen Rechner draufzukommen.

Du hast genau meine Frage umgangen. Inwiefern verhindert
Zonealerm, daß jemand „auf Deinen Rechner kommt“?

Verhindert nicht, erschwert aber (Stealthmode etc.)

Eben. Und dann habe ich durch Firewall genau Null Gewinn.

EINSPRUCH !

Ich bekomme u.U. einen neuen Trojaner, den mein Scanner nicht erkennt und der ZA oder Norton) nicht abschaltet mit, weil plötzlich ein Programm, dass keine Erlaubnis hat versucht ins Internet zu funken.

Am besten Modem wegschmeißen, NW-Karte ausbauen, Floppy und
CD-Rom ebenfalls. Dann braucht es auch keine Firewall.

Was soll das hier?

C2 Sicherheit ??? *fg*

Es reicht nicht, eine wie auch immer geartete
(Profi-)-Firewall vor den Rechner zu hängen, wenn die Leute
auf dem Rechner selber dummes Zeuch machen. Programme
ausführen zum Beispiel. Ob aus dem „bösen Internet“ oder von
einer CD-ROm ist in der Tat völlig wurscht…

Zustimmung…

Und
solange man dieses nicht tut, solange gibt es auch keine 100%
Sicherheit, egal welches OS oder was für ein
Sicherheitskonzept.

Endlich kann ich Dir mal zu 100% zustimmen.

dto.

Bernd

Nicht jeder kommt als gleich Experte zur Welt.

Guter Einwand.

Dann sollte man genau so lange, wie man noch nichts davon
versteht, die Dinge von „Expertenspielzeug“ lassen.

Schon mal was von „learning-by-doing“ gehört?
Theoretiker gibt es mehr als genug.

Man sollte sein Wissen mit jedem teilen, der es wünscht, statt zu überlegen, ob der Wissen-Suchende bereits „würdig“ ist, am Expertenwissen teilzuhaben. Der Umgang mit „Expertenspielzeug“ stellt IMHO auch eine Art der Wissensvermittlung dar.

Auch als Nicht-Experte sollte man keine Programme
installieren, deren Wirkungsweise man nicht durchschaut.

Das ist IMHO die faule Lösung. Das entspricht etwa der Anweisung, das Internet solange nicht zu benutzen, bis man es in allen sicherheitsrelevanten Details verstanden hat.

BTW: Gefährlicher als verunsicherte Anfänger sind meiner Erfahrung nach diejenigen, die meinen, alles zu durchschauen, sich dabei aber selbst überschätzen.

Die Herausforderung an die Informatiker ist doch gerade, Systeme auch unerfahrenden Benutzern zugängliche zu machen. Jeder Benutzer sollte so wenige Einschränkungen wie möglich erdulden müssen. Ich arbeite daher lieber an Authentifizierungs-Mechanismen für Programmcode, als das ich einem Nutzer verbiete, neue Software zu verwenden, nur weil er sie nicht verifizieren kann.

CU
Markus

Dann sollte man genau so lange, wie man noch nichts davon
versteht, die Dinge von „Expertenspielzeug“ lassen.

Schon mal was von „learning-by-doing“ gehört?

Ja. Aber soll man auch learning-by-doing tun und nicht „fühling-sicher-nach-tool-installing“. Und hier haperte es leider in den meisten Fällen. Ist ja auch marketingtechnisch genau so gedacht…

Theoretiker gibt es mehr als genug.

Gut, aber Praxis ohne ein wenig Hintergrundwissen taugt auch wieder nicht soo viel…

Man sollte sein Wissen mit jedem teilen, der es wünscht, statt
zu überlegen, ob der Wissen-Suchende bereits „würdig“ ist, am
Expertenwissen teilzuhaben.

Ich habe im Allgemeinen nichts dagegen, Wissen zu teilen, wenn derjenige, der etwas etwas abbekommen möchte, Interesse zeigt.

Das kann sich in konkreten Fragen äußern oder allgemein darin, daß er durchblicken lässt, er hat sich mit dem Thema schon auf seinem Niveau gedanklich _auseinander_gesetzt.

„ZoneAlarm ist aber einfach sicherer als keins“ zählt in diesem Sinne für mich eben nicht.

Der Umgang mit „Expertenspielzeug“
stellt IMHO auch eine Art der Wissensvermittlung dar.

Ja.

Ich wage zu behaupten, daß ich in keinem meiner zahlreichen Anti-PW-Postings behauptet habe, ZA taugt zu nicht. Zumindest einmal habe ich geschrieben, daß es ein brauchbares Lern-Spielzeug sein kann. In sofern kann ich Dir nur Recht geben…

Aber ich wende mich hier gegen diese Pauschalaussagen, daß es „mit ZoneAlarm doch irgendwie besser“ ist.

Auch als Nicht-Experte sollte man keine Programme
installieren, deren Wirkungsweise man nicht durchschaut.

Das ist IMHO die faule Lösung. Das entspricht etwa der
Anweisung, das Internet solange nicht zu benutzen, bis man es
in allen sicherheitsrelevanten Details verstanden hat.

Nein. Nicht jeder, der das Internet nutzt, muß sich mit den technischen Grundlagen auskennen. Genausowenig wie jeder Autofahrer den Zündzeitpunkt seines dritten Zylinders kennen muß. Nur: wer an Netzwerksoftware 'rumfummelt (Motoren repariert) sollte die technischen Grundlagen kennen. Firewalls / Packetfilter gehören in diesem Sinne zu „Netzwerksoftware“…

Auch wenns vielleicht dem „Learning-by-doing“ zu wiedersprechen scheint: Wenn ich eine Software installiere, sollte ich mich vorher anhand der Doku informieren, was das Ding tut.

„Aber zu Zonealarm gibts keine technische Doku…!“ - Eben.

BTW: Gefährlicher als verunsicherte Anfänger sind meiner
Erfahrung nach diejenigen, die meinen, alles zu durchschauen,
sich dabei aber selbst überschätzen.

Da hast Du vermutlich recht…

Die Herausforderung an die Informatiker ist doch gerade,
Systeme auch unerfahrenden Benutzern zugängliche zu machen.

Wober man zwischen „Benutzern“ und „Systemverwaltern“ unterscheiden muß, auch wenn „Die Firma“ einem weiszumachen versucht, jeder könnte ‚irgendwie‘ beides mehr oder weniger gleichzeitig sein. Oder so,

Jeder Benutzer sollte so wenige Einschränkungen wie möglich
erdulden müssen.

Nochmal der Vergleich: „Jeder Autofahrer sollte so wenig Einschränkungen wie möglich erdulden müssen“. Diese Ziel ist bei komplexen technischen Geräten mit Schadenspotezial anderen gegenüber nicht beliebig ausweitbar…

Ich arbeite daher lieber an
Authentifizierungs-Mechanismen für Programmcode, als das ich
einem Nutzer verbiete, neue Software zu verwenden, nur weil er
sie nicht verifizieren kann.

Schimpf’ mich einen Pessimisten, aber ich glaube, daß keine zuverlässige Erkennung von schädlichen/ unschädlichen Programmen möglich sein wird. Die praktikableste Möglichkeit zur Sicherstellung möglichst hoher Sicherheit ist eben die Begutachtung der Software durch Menschen.

Als Informatiker kannst Du vielleicht das vielzitierte Halteproblem gut auf den Punkt bringen?

Sebastian

Dann sollte man genau so lange, wie man noch nichts davon
versteht, die Dinge von „Expertenspielzeug“ lassen.

Frage: Wie soll man Experte werden, wenn man nicht mit dem
„Expertenspielzeug“ spielt ? (Bsp.: Wie soll ich Linux-Experte
werden, wenn ich nicht damit spiele - oder mich drüber
totärgere )

Du hast in gewissem Sinne Recht. Meine Erfahrung ist aber, daß mit der Installation der Personal Firewall Schluß mit der Beschäftigung mit dem Thema ist. Oder es wird 'mal wohlig warm im Herzen, wenn die Firewalls einen „Angriff auf Seven Death Trojan Port“ melden. Toll.

Auch die Auseinandersetzung mit einer PFW dient dem Lernen und
Verstehen der Mechanismen einer Firewall (vorausgesetzt ich
befasse mich ernsthaft damit und „bügle“ das Ding nicht
einfach nur drauf.

Treffer. Genau letzteres ist der Punkt. Und man kann dem User auch nur in Grenzen einen Vorwurf 'draus machen. Schließlich wird es ja überall so gesagt, daß eine PF alles sofort automatisch harmlos macht.

[Personal Firewall im Sicherheitskonzept]

Ist wohl nicht nötig, wenn ich Freigaben entferne, Browser
zunagle(java/ActiveX deaktivieren etc.),

Das ist der Punkt.

aktuelle
Virenpatterns für meinen Scanner abhole

Nichteinmal das ist nötig. Einfach keinen fremden Programmcode ausführen…

und und und - setzt
aber wiederum intensives Befassen mit der Thematik voraus

Ja. Ein komplexes Gerät wie den Computer lernt man eben nicht in 'ner halben Stunde beherrschen. Das soll jetzt kein elitäres „Nur Profis dürfen ins Internet“ werden, aber die Verwaltung des Systems braucht eben doch - so sie sinnvoll geschehen soll - Hintergrundwissen…

Trotz der jodelnden Büroklammer…

(wobei eine PFW - mit Interesse installiert - durchaus
jemanden auf den Geschmack bringen kann).

Da bin ich mit Dir einer Meinung. Die einzige sinnvolle Anwendung einer Personal Firewall.

Ergänzung:
http://www.tlab.ch/praktika/c15/
http://secinf.net/

Danke. Werde ich mir 'mal ansehen.

Für den Anfang: Netzfreigaben nicht ans „Internet-Interface“
binden, und keinen fremden / aus nicht vertrauenswürdiger
Quelle stammenden Code ausführen.

Damit ist Windows als solches verdammt sicher.

Zweifel (Aus der Box ?)

Ob das „aus der Box“ ist, vermag ich nicht zu beurteilen, aber ein natives Windows lässt so in der Tat wenig Lücken (‚fremder Code‘ ist hier auch Java, VBS in Webseiten und Mail…)

Das möchtest du genauer erklären. Also, wenn ich einen
Windwows-Rechner hätte, könnte man von außen nicht drauf
zugreifen. Warum ginge das bei Dir ohne Personal Firewall?

Fehlendes Expertenwissen ? Auch unter WIndows sind diverse
Einstellungen in der Registry, Einspielen von ServicePacks,
Hotfixes etc. notwendig um ein relativ sicheres System zu
bekommen (z.B. Hardening NT
http://www.computeroase.com/hardening/NT-Sicherheit.htm).

Werde ich mal ansehen, auch wenn mir diese Registry-Geschichten immer suspekt sind

Ich meinte zunächst einmal ein Windows ohne weitere Netzdienste. Wer Dienste dem Netz gegenüber unbedacht öffnet, hat in der Tat sehr schnell ein Sicherheitsprobelmm.

Du hast genau meine Frage umgangen. Inwiefern verhindert
Zonealerm, daß jemand „auf Deinen Rechner kommt“?

Verhindert nicht, erschwert aber (Stealthmode etc.)

Stelth mode? Wozu? Ich will verhindern, daß ich Trojaner im System habe und nicht durch obscure Methoden Pakete versinken lassen. Was macht eigentlich der Stealth-Mode beim IRC (Stichwort Port 113, identd?)

Eben. Und dann habe ich durch Firewall genau Null Gewinn.

EINSPRUCH !

Ich bekomme u.U. einen neuen Trojaner, den mein Scanner nicht
erkennt und der ZA oder Norton) nicht abschaltet mit, weil
plötzlich ein Programm, dass keine Erlaubnis hat versucht ins
Internet zu funken.

Unter der Voraussetzung daß der Trojaner die Firewall nicht deaktiviert hat und keine geeigneten Mechanismen mitbringt, die Firewall zu umgehen, mag das nicht falsch sein. Der Punkt ist nur: Ich will nicht zufällig eine Trojaner entdecken, zu dem meine Firewall in dem Sinne kompatibel ist, daß sie ihn tatsächlich entlarvt, sondern ich will erst garkeine Trojaner auf die Platte lassen.

Am besten Modem wegschmeißen, NW-Karte ausbauen, Floppy und
CD-Rom ebenfalls. Dann braucht es auch keine Firewall.

Was soll das hier?

C2 Sicherheit ??? *fg*

Du kennst „The Network Scissors“?

Sebastian

Ich habe im Allgemeinen nichts dagegen, Wissen zu teilen, wenn
derjenige, der etwas etwas abbekommen möchte, Interesse zeigt.

Das kann sich in konkreten Fragen äußern oder allgemein darin,
daß er durchblicken lässt, er hat sich mit dem Thema schon auf
seinem Niveau gedanklich _auseinander_gesetzt.

Es kann aber auch sinnvoll sein, jemanden erst auf ein Problem hinzuweisen. Da sich der Fragende möglicherweise noch nicht mit Details beschäftigt hat oder auf eine spezielle Lösung fixiert ist, ist es meist hilfreich, sich in die Situation des „Betroffenen“ zu versetzen und die für ihn naheliegenden Möglichkeiten zu bewerten.

Die für einen selbst beste Lösung muß noch lange nicht für den Fragenden geeignet sein. Schließlich gibt bei dieser Thematik stets mehr als eine Lösung.

Meine Erfahrung hat mir gezeigt, daß die 100%-ige Lösung entweder unbezahlbar und nicht handhabbar ist. Daher lieber so einfach wie möglich und so gut wie nötig. Den Maßstab setzt hier zunächst einmal der Fragende.

Die Herausforderung an die Informatiker ist doch gerade,
Systeme auch unerfahrenden Benutzern zugängliche zu machen.

Wober man zwischen „Benutzern“ und „Systemverwaltern“
unterscheiden muß, auch wenn „Die Firma“ einem weiszumachen
versucht, jeder könnte ‚irgendwie‘ beides mehr oder weniger
gleichzeitig sein. Oder so,

Auf einer Win9x-Maschine ist dies auch der Fall - mit allen Konsequenzen. Das hat aber nicht dazu geführt, daß die Windows-Einsteiger wohlbehütet mit WinNT/2k arbeiuten und die Profis mit Win9x…

Jeder Benutzer sollte so wenige Einschränkungen wie möglich
erdulden müssen.

Nochmal der Vergleich: „Jeder Autofahrer sollte so wenig
Einschränkungen wie möglich erdulden müssen“. Diese Ziel ist
bei komplexen technischen Geräten mit Schadenspotezial anderen
gegenüber nicht beliebig ausweitbar…

Wo siehst Du denn bei einem privaten PC das Schadenspotential gegenüber anderen?

Ich arbeite daher lieber an
Authentifizierungs-Mechanismen für Programmcode, als das ich
einem Nutzer verbiete, neue Software zu verwenden, nur weil er
sie nicht verifizieren kann.

Schimpf’ mich einen Pessimisten, aber ich glaube, daß keine
zuverlässige Erkennung von schädlichen/ unschädlichen
Programmen möglich sein wird. Die praktikableste Möglichkeit
zur Sicherstellung möglichst hoher Sicherheit ist eben die
Begutachtung der Software durch Menschen.

Als Informatiker kannst Du vielleicht das vielzitierte
Halteproblem gut auf den Punkt bringen?

Zur Einordnung des Halteproblems:

Entscheidbarkeit ist eine Bezeichnung für die algorithmische Lösbarkeit eines Problems. Eines der wichtigsten Entscheidbarkeitsprobleme ist das Halteproblem. Es fragt nach einem Algorithmus, mit dem man bei Computern, Programmen oder Automaten feststellen kann, ob sie nur für gewisse oder für alle Eingaben anhalten oder nicht. Besonders interessant ist dies für Turingmaschinen.

Für Turingmaschinen ist das Halteproblem nicht entscheidbar, d.h. es gibt keinen Algorithmus, der für alle möglichen Turingmaschinen und alle möglichen Eingaben entscheidet, ob die Turingmaschine mit dieser Eingabe anhält oder nicht.

Dies hat die weitreichende Konsequenz, dass sich die Korrektheit eines Programmes nicht automatisiert überprüfen läßt.

Du spielst dabei vermutlich auf den Versuch an, einen Programmcode zu verifizieren. Ich sprach jedoch von Authentifizierung. Eine digitale Signatur im Code läßt sich dann problemlos verifizieren.

Abgesehen davon ist es durchaus möglich, einen Programmcode gegen eine Spezifikation formal zu verifizieren und die Korrektheit zu beweisen. Für Java-Code habe ich von einem solchen Verfahren bereits gelesen. Falls es Dich interessiert, suche ich die Quelle gerne noch einmal heraus.

CU
Markus

Salut, Markus!

Es kann aber auch sinnvoll sein, jemanden erst auf ein Problem

hinzuweisen. Da sich der Fragende möglicherweise noch nicht

mit Details beschäftigt hat oder auf eine spezielle Lösung

fixiert ist, ist es meist hilfreich, sich in die Situation des

„Betroffenen“ zu versetzen und die für ihn naheliegenden

Möglichkeiten zu bewerten.

[Wie bewegen uns in Richtung „Allgemeine Verhaltensweisen in W-W-W“]

Nochmal meine Meinung hierzu: wenn jemand eine sinnnvolle Antwort haben möchte, erwarte ich von ihm, daß er die Frage sinn- und planvoll formuliert, unabhängig von seinen Vorkenntnissen. Es gibt Fragen auf niedirgem inhaltlichen Niveau, die gut gestellt sind und die ich auch gerne beantworte.

Wo ich allergisch reagiere ist wenn jemand offensichtlich gedankenlos etwas tut und fest daran glaubt, ohne es wie auch immer rational begründen zu können.

Wober man zwischen „Benutzern“ und „Systemverwaltern“

unterscheiden muß, auch wenn „Die Firma“ einem weiszumachen

versucht, jeder könnte ‚irgendwie‘ beides mehr oder weniger

gleichzeitig sein. Oder so,

Auf einer Win9x-Maschine ist dies auch der Fall - mit allen

Konsequenzen. Das hat aber nicht dazu geführt, daß die

Windows-Einsteiger wohlbehütet mit WinNT/2k arbeiuten und die

Profis mit Win9x…

Huh? Da habe ich Deinen Punkt verfehlt…

Wo siehst Du denn bei einem privaten PC das Schadenspotential :gegenüber anderen?

DoS (siehe z.B. http://www.grc.com). Auch Virenversenden stellt IMHO Schadenspotenzial dar. Durch die Mailserverüberlastung bespielsweise…

Als Informatiker kannst Du vielleicht das vielzitierte

Halteproblem gut auf den Punkt bringen?

Zur Einordnung des Halteproblems:

[Halteproblem auf den Punkt gebracht]

Du spielst dabei vermutlich auf den Versuch an, einen

Programmcode zu verifizieren.

Ja. Ich spielte an auf automatisiertes erkennen „böser“ Programme.

Ich sprach jedoch von

Authentifizierung. Eine digitale Signatur im Code läßt

sich dann problemlos verifizieren.

Ok. Nur: wer signiert? Letztlich wieder ein Mensch. Ist da wirklich die Freiheit so viel größer, wenn es heißt „Mitarbeiter dürfen nur zertifizierte Software installieren“ (und vor allem: wer zertifiziert sei? Die eigene Firma?) Ich kann den Vorteil noch nicht recht erkennen…

Was spricht dagegen, OpenSoure-Programme für eine Firma zusammenzustellen, sie mit MD5 zu hashen und damit kontrollieren zu könne, ob es die erlaubten Programme sind?

Oder habe ich Deinen Ansatz falsch verstanden?

Abgesehen davon ist es durchaus möglich, einen Programmcode

gegen eine Spezifikation formal zu verifizieren und die

Korrektheit zu beweisen. Für Java-Code habe ich von einem

solchen Verfahren bereits gelesen. Falls es Dich interessiert,

suche ich die Quelle gerne noch einmal heraus.

Ich habe im Augenblick recht geringe Vorstellungen, was letzter Absatz impliziert. Wenn Du die Quelle ohne allzugroßen Aufwand findest, wäre ich nicht unglücklich…

Gruß,

Sebastian

Ja. Ich spielte an auf automatisiertes erkennen „böser“
Programme.

Ich sprach jedoch von
Authentifizierung. Eine digitale Signatur im Code läßt
sich dann problemlos verifizieren.

Ok. Nur: wer signiert? Letztlich wieder ein Mensch.

Ja, natürlich. Eine Maschine kannst Du schließlich nicht haftbar machen.

Ist da
wirklich die Freiheit so viel größer, wenn es heißt
„Mitarbeiter dürfen nur zertifizierte Software installieren“

Das hängt maßgeblich davon ab, wie hoch der Anteil zertifizierter Software ist.

(und vor allem: wer zertifiziert sei? Die eigene Firma?) Ich
kann den Vorteil noch nicht recht erkennen…

Im Allgemeinen wird es der Programmierer selbst sein, der sein Programm signiert.
Dies müssen jedoch keine umfangreichen Programmpakete sein. Vielmehr kann man sich kleine Einheiten mobilen Codes vorstellen, welche ein Client bei Bedarf automatisch nachlädt, um Teilaufgaben zu bewältigen. Hier ist Authentizität essenziell, weil kein Mensch mehr in diesen Prozess eingreifen soll.

Was spricht dagegen, OpenSoure-Programme für eine Firma
zusammenzustellen, sie mit MD5 zu hashen und damit
kontrollieren zu könne, ob es die erlaubten Programme sind?

Hierfür müßte das Unternehmen jede Codezeile der fremden Software analysieren. Der Aufwand ist erheblich, zumal er bei jedem, der die Software einsetzt, erneut anfällt.
Irrt sich der Mitarbeiter und übersieht eine Schadfunktion - wer haftet dann?

MD5 kann als Hashfunktion natürlich allgemein eingesetzt werden. Mit einem Hashwert alleine existiert jedoch noch keine digitale Signatur. Es fehlt hier noch das Zertifikat.

Es ist naheliegend hier eine PKI mit Trustcentern zu verwenden, wie sie nach dem Signaturgesetz ohnehin vorgesehen ist. So läßt sich die Identität einer Person eindeutig einer Digitalen Signatur zuordnen.

Noch eine Anmerkung zur Realisierung: In Java 1.3 existieren bereits entsprechende Sicherheitsvorkehrungen, welche es erlauben, die Ausführung von fremdem Code nur mit gültigem Zertifikat zu gestatten. Hierfür ist keine zusätzliche Software notwendig. Mobiler Code läßt sich problemlos signieren und wird vor der Ausführung auf seine Authentizität geprüft.

Abgesehen davon ist es durchaus möglich, einen Programmcode
gegen eine Spezifikation formal zu verifizieren und die
Korrektheit zu beweisen.

Ich habe im Augenblick recht geringe Vorstellungen, was
letzter Absatz impliziert. Wenn Du die Quelle ohne allzugroßen
Aufwand findest, wäre ich nicht unglücklich…

Okay, schau ich morgen einmal nach.

CU
Markus

Zertifizierung von Programmen

Ok. Nur: wer signiert? Letztlich wieder ein Mensch.

Ja, natürlich. Eine Maschine kannst Du schließlich nicht
haftbar machen.

Arrgh! Ich sollte nicht so spät mit kompetenten Leuten diskutieren. Sollte heissen: Wer liest den Code durch und befindet ihn für „erlaubt“

Ist da
wirklich die Freiheit so viel größer, wenn es heißt
„Mitarbeiter dürfen nur zertifizierte Software installieren“

Das hängt maßgeblich davon ab, wie hoch der Anteil
zertifizierter Software ist.

(und vor allem: wer zertifiziert sei? Die eigene Firma?) Ich
kann den Vorteil noch nicht recht erkennen…

Im Allgemeinen wird es der Programmierer selbst sein, der sein
Programm signiert.
Dies müssen jedoch keine umfangreichen Programmpakete sein.
Vielmehr kann man sich kleine Einheiten mobilen Codes
vorstellen, welche ein Client bei Bedarf automatisch nachlädt,
um Teilaufgaben zu bewältigen. Hier ist Authentizität
essenziell, weil kein Mensch mehr in diesen Prozess eingreifen
soll.

Vielleicht sollte ich des Nachts wieklich nicht mir Dir diskutieren, aber: eine Unzahl von Programmieren signiert kleine Progrämmchen. Sie sind also alle erlaub/ Verfügbar. We sorgt dafür, daß sie nicht neu zu „schlimmen Dingen“ kombiniert werden?

Wenn man ein wenig in unixoide Systeme hineingerochen hat, schlackert man nicht schlecht, was man aus kleinen harmlosen Progrämmchen für „Hacks“ zusammenbauen kann.

Was spricht dagegen, OpenSoure-Programme für eine Firma
zusammenzustellen, sie mit MD5 zu hashen und damit
kontrollieren zu könne, ob es die erlaubten Programme sind?

Hierfür müßte das Unternehmen jede Codezeile der fremden
Software analysieren. Der Aufwand ist erheblich, zumal er bei
jedem, der die Software einsetzt, erneut anfällt.
Irrt sich der Mitarbeiter und übersieht eine Schadfunktion -
wer haftet dann?

Wie gesagt: das Problem ist IMHO, daß man aus „harmlosen Dingen“ ziemliche Gemeinheiten bauen kann. Auch hier stellt sich die Haftungsfrage…

MD5 kann als Hashfunktion natürlich allgemein eingesetzt
werden. Mit einem Hashwert alleine existiert jedoch noch keine
digitale Signatur. Es fehlt hier noch das Zertifikat.

Einverstanden, das ist - sofern ich das sehe aber nur ein organisatorisches Problem, „erlaubte“ Hashes zu signieren

Es ist naheliegend hier eine PKI mit Trustcentern zu
verwenden, wie sie nach dem Signaturgesetz ohnehin vorgesehen
ist. So läßt sich die Identität einer Person eindeutig einer
Digitalen Signatur zuordnen.

… oder wie Du beschreibst, sogar einzelnen Programmieren zuordnen. Ich halte das Konzept der multiplen Programmier nicht nur aus oben genannten Gründen für problematisch. Je mehr Leute für die Sicherheit /Code Review verantwortlich sind, desto eher schlüpft 'was durch. Eine zentrale Freigabe aller erlaubten Programme halte ich persönlich für besser verfolgbar…

Noch eine Anmerkung zur Realisierung: In Java 1.3 existieren
bereits entsprechende Sicherheitsvorkehrungen, welche es
erlauben, die Ausführung von fremdem Code nur mit gültigem
Zertifikat zu gestatten. Hierfür ist keine zusätzliche
Software notwendig. Mobiler Code läßt sich problemlos
signieren und wird vor der Ausführung auf seine Authentizität
geprüft.

Verzeihe diesen miesen Vergleich: aber auch bei ActiveX-Applets ist diese Zertifizierung ja Gang und Gäbe…

[…]

Okay, schau ich morgen einmal nach.

Danke und gute Nacht,

Sebastian

Du hast in gewissem Sinne Recht. Meine Erfahrung ist aber, daß
mit der Installation der Personal Firewall Schluß mit der
Beschäftigung mit dem Thema ist. Oder es wird 'mal wohlig warm
im Herzen, wenn die Firewalls einen „Angriff auf Seven Death
Trojan Port“ melden. Toll.

Muss ich Dir beipflichten, allerdings bin ich der Meinung, dass durch Sensibilisierung der User für diese Problematik, genau dieses Verhalten beeinflusst werden kann (mehr auseinandersetzung durch Denkanstösse - nicht jeder kommt in den Genuss von Awareness Workshops).

Und ich denke auch so etwas ist durchaus Sinn und Zweck dieses Brettes.

Auch die Auseinandersetzung mit einer PFW dient dem Lernen und
Verstehen der Mechanismen einer Firewall (vorausgesetzt ich
befasse mich ernsthaft damit und „bügle“ das Ding nicht
einfach nur drauf.

Treffer. Genau letzteres ist der Punkt. Und man kann dem User
auch nur in Grenzen einen Vorwurf 'draus machen. Schließlich
wird es ja überall so gesagt, daß eine PF alles sofort
automatisch harmlos macht.

Marketing VS Awareness - Die Hersteller wollen ihre Programme halt auch verkaufen, was nutzt es dann (dem Hersteller) den Anwender durch Hinweis auf Dinge, die er eh nicht versteht, zu verunsichern…

aktuelle
Virenpatterns für meinen Scanner abhole

Nichteinmal das ist nötig. Einfach keinen fremden Programmcode
ausführen…

Den Kick aus dem Netz nehmen ?? Viele surfen doch, weil man interessante Dinge (Software) im Web findet, die man ausprobieren möchte weil vielleicht das eine oder andere brauchbare Programm dabei ist. Im privaten Bereich kann sich auch nicht jeder ne zweite Maschine leisten, um „gesichert zu probieren“ ob das Programm Dinge tut die nicht erwünscht sind (geschweige denn den Code analysieren).

Ja. Ein komplexes Gerät wie den Computer lernt man eben nicht
in 'ner halben Stunde beherrschen. Das soll jetzt kein
elitäres „Nur Profis dürfen ins Internet“ werden, aber die
Verwaltung des Systems braucht eben doch - so sie sinnvoll
geschehen soll - Hintergrundwissen…

Bin ich bei Dir, die Frage ist nur wie tief muss es gehen, gerade im Sicherheitsbereich ist es immer wieder amüsant, die fallenden Unterkiefer gestandener Systemverwalter zu sehen, wenn vorgeführt wird, wie man mit einem Rechner - der nicht Mitglied der angegriffenen Domäne (NT) ist - und Programmen die man auf CD im Buchhandel kaufen kann, innerhalb weniger Minuten Zugang zum System bekommt. (Wann ist wer Profi für was ?)

Ich meinte zunächst einmal ein Windows ohne weitere
Netzdienste. Wer Dienste dem Netz gegenüber unbedacht öffnet,
hat in der Tat sehr schnell ein Sicherheitsprobelmm.

Da geht´s schon wieder mit gewusst wie los, bei NT wird halt standardmässig einiges mitinstalliert, was man hinterher abzuschalten oder zu löschen hat (Subsysteme OS/2 Posix Standardfreigaben, Dienste etc.)

Stelth mode? Wozu? Ich will verhindern, daß ich Trojaner im
System habe und nicht durch obscure Methoden Pakete versinken
lassen.

Was ist daran obscure z.B: auf Ping nicht zu antworten ?

Was macht eigentlich der Stealth-Mode beim IRC

(Stichwort Port 113, identd?)

Sorry. mit IRC habe ich mich bisher noch nicht befasst aber danke für weitere Hinweise.

Unter der Voraussetzung daß der Trojaner die Firewall nicht
deaktiviert hat und keine geeigneten Mechanismen mitbringt,
die Firewall zu umgehen, mag das nicht falsch sein. Der Punkt
ist nur: Ich will nicht zufällig eine Trojaner entdecken, zu
dem meine Firewall in dem Sinne kompatibel ist, daß sie ihn
tatsächlich entlarvt, sondern ich will erst garkeine Trojaner
auf die Platte lassen.

Richtig, aber wie bereits oben angesprochen, stellt der Spieltrieb einen wichtigen Faktor sowohl beim Surfen, als auch beim Lernen dar => Ausprobieren macht Spass… Im Arbeitsumfeld ist das wohl richtig und wichtig entsprechende Konzepte zu erstellen, umzusetzen und den Usern zu verbieten bzw. nahezu unmöglich zu machen malcode auf die Systeme zu bringen. Im privaten Bereich sehe ich das aber als Überforderung der normalen PC-Benutzer an. Durch eine PFW steze ich diesen User zumindest in die Lage das eine oder andere, was mit dem System faul ist zu erkennen und dadurch wiederum Bewusstsein für die Problematik zu schaffen (Es muss halt meistens erst was passieren, bevor Mensch begreift, dass Vorsichtsmassnahmen zu ergreiffen sind Stichwort: Datensicherung).

Du kennst „The Network Scissors“?

Ne, klär mich bitte mal auf
(Habe nur ne Seite über Paranormale Phänomene in Wisconsin gefunden).

Bernd

Hallo Gernot

Danke fuer deinen Vorschlag. Ich habe meine Sicherheits-
einstellungen geprueft. Sie sind wie MS sie setzte in Win98SE.
Ich habe aber auch Webwasher und vielleicht vertragen die sich
nicht. Also keine der Active X Einstellungen sind abgeschaltet
Ich werde mal fragen wie ich rausfinden kann welches Program
auf welchem Port sitzt und wenn ich da auf keinen gruenen
Zweig komme, muss ich halt den Zonalarm loeschen.
Viele Gruesse
Elisabeth
Gernot schrieb:

bei mir klappen die updates mit za (w2k und ie6.0, bzw.
win98se und ie5.5).

hast du vielleicht in den browser sicherheitseinstellungen
active x abgeschaltet? das benutzt ms naemlich fuer die
updates.

salut

gernot