Allgemeine Infos zu Spyware, Firewalls und SecuritySuites

Dieses Thema im Forum "Security Tutorials" wurde erstellt von pubmarek, 15. Januar 2006 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 15. Januar 2006
    Dieser Artikel beruht auf eigenen Erfahrungen und dem aktuellen Test aus der C't vom 9.1.06! Ich möchte hiermit unerfahrenen Usern eine Hilfestellung geben und dass damit das Board nicht ständig mit Fragen nach Security Suites "vollgespammt" wird. Bei meinem Artikel gehe ich von einem Standarddesktop für den Privatmann aus! Vielleicht kann das hier auch als Sammelthread für dieses Thema dienen, hab natürlich keinen Anspruch auf alleinige Richtigkeit oder Vollständigkeit. Suchst du also bestimmte Infos benutz einfach mal Strg+f.

    Hier sind leider noch keine Seperaten PFWs drin. Schreibt mir eure Erfahrungen und ich werde sie noch drunter packen!

    Folgende Infos möchte ich euch jedoch geben:


    1. Definitionen
    2. Windows Dienste
    3. Portscans
    4. Spyware
    a) Popups
    b) Dialer
    c) Browser Hijacking
    d) Spying Cookies
    e) Persistent Identification Elements
    f) Browser Helper Objects
    5. Datenschutz
    6. Emailschutz
    7. "Kindersicherung"
    8. Eindrücke der größten Suites
    9. Links
    10. Fazit
    11. Kritik
    12. Im Notfall
    13. Aktualisierungen dieses Artikels!

    1. Definitionen
    Die Firewall im Router basiert meistens auf Software zu 95% aller Fälle auf einem sogennanten NAT - Filter. Grob für Einsteiger gesagt, dieser Filter filtert alles von außen und läßt nur dass durch was ihr auch angefordert habt. Unterschiede werdet ihr bei den Filtern in Routern fast kaum finden, nur der Umfang anderer Sicherheitsmaßnamen wie DOS - Abwehr usw. wird sich von Router zu Router unterscheiden.

    Kennt ihr euch mit Firewalls aus, könnt ihr euren NAT Filter auch per Hand einstellen und Verkehr kontrollieren den ihr rausschickt, aber in Standardeinstellung habt ihr keinen Schutz vor Trojaner- oder Wurmverkehr. (Vor Viren schon mal gar nicht)

    Die Softwarefirewalls oder besser Personal Firewalls (PFW) fürn Rechner arbeiten anders und vielleicht auch sogar besser. Aber da von Menschen programmiert, sehr komplex und basierend auf einem "verbuggtem" Betriebssystem unsicherer als die Firewalls im Router. Mit der PFW könnt ihr jedoch zum Beispiel auch einstellen, welche Software aufs Internet zugreifen darf, dass auch ohne "Programmier" - Kenntnisse. Der Internetverkehr wird von einer PFW annähernd genauso gefilter wie eine "HardwareFW", jedoch habt ihr bei einer PFW im Gegensatz zum Router noch Präventivfunktionen, dass heißt bemerkt die SFW eine "üngültige Funktion" in eurem Internetverkehr kann sie aktiv dagegen steuern (dass meine ich mit besserer Arbeitsweise)....
    Man muss sich jedoch im Klaren sein, habt ihr Malware auf dem Rechner, kann sie das selbe wie der USER im Notfall. Warnungen wegklicken, regeln erlauben usw! Ein Verantwortungsvoll Surfender hat den sichersten Rechner!

    Hast du einen Nforce 4 Chipsatz, hast du eine Firewall schon im Chipsatz die die Vorteile von Soft- und "Hardwarefirewall" kombiniert!

    2. Windows Dienste
    Eine Große Schwäche von Windowssystemen sind zum Einen die Arbeit mit dem Admin - Account und zum anderen das WindowsDienste aus dem Internet erreichbar und damit angreifbar sind.
    Die interne Windowsfirewall des SP2 schützt diese Dienste schon ausreichend, auch bei einem Portscan zeigen die wenigsten PWFs in dieser Disziplin eine Schwäche. Norman Internet Control fragt jedoch den Benutzer für jeden Port nach einer Regel. Dies artet fast zu einer Art "DOS" - Angriff aus!

    Für mehr Schutz und Infos , mal hier schauen:

    Dienste beenden unter XP!

    3. Portscans ...
    ...werden dafür benutzt offene Ports zu finden. Manche PWFs setzten bei bemerktem Portscan die scannende IP auf eine Blacklist. Wird jedoch die scannende IP gefaked, können so gewollte Server (auch Updateserver der eigenen Firewall) auf die Blacklist kommen und damit der Zugriff gesperrt. Kaspersky, Norton, Symantec und G-DATA Security Suites zeigen solches Verhalten. G-DATA ist besonders anfällig.

    4. Spyware
    Spyware benutzt die unterschiedlichsten Methoden den Rechner anzustecken und können die schwersten Folgen haben, wie zum Beispiel die Übermittlung von Passwörter usw. an andere Server. Spyware ist als Malware anzusehen. Jede Art von Spyware darzustellen wird hier jedoch den Rahmen sprengen. Festzustellen ist nur dass keine einzige Internet Security Suite euch 100prozentig vor Spyware schützt.

    Ansteckung durch Popups:
    PopUps "tricksen" User aus und verleiten Sie zum installieren von böswilligen Programmen. Diese Programme können auf Webseiten in E-Mails, als Toolbar oder wie auch immer zu finden sein. Viele P2P Programme enthalten Spyware die auch wieder Werbung mit PopUps machen.
    KaZaa ist ein Beispiel dafür. Die verwendete Spyware "lädt Werbung herunter" und zeigt sie dann in einem Layer im eigentlichen Programm an.
    Auch der Messengerdienst kann für Textnachrichten missbraucht werden. User von 2K und XP sollten diesen Dienst daher abstellen.

    Dialer
    ...waren besonders zu Zeiten von ISDN - Flats modern. Die eigentlich DialUp - Verbindung wurde durch eine kostenpflichtige Hotline ersetzt. Dialer werden seit DSL immer seltener, da hier keine DialUp Verbindung im eigentlichen Sinn mehr benötigt wird. Damit Dialer im System installiert werden dürfen, muss normal eine Einverständniserklärung erfolgen.
    Mit Dialer lassen sich sogenannte Man - In - The - Middle "Attacken" realisieren, d.h. die neu erstelle Verbindung kann euren gesamten Internetverkehr lesen und missbrauchen.
    Die "moderne Weiterentwicklung von Dialern" sind Bots!

    Browser Hijacking
    Browser Hijacker ändern die Browsereinstellungen ohne Einverständnis des Nutzers und lassen sich so gezielt auf Werbung lenken. Aber dies kann auch noch böswilliger benutzt werden. Also Beispiel möchte ich hier die ISTbar anführen. Es ist installiert eine Tollbar die wiederum böswillige andere Programme installieren kann.

    Spying Cookies
    Cookies können eingesetzt werden um das Surfverhalten des Users "mitzuloggen" und auszuwerten.
    Firmen wie DoubleClick bieten Banner in Layern an, diese Layer setzen wiederum Cookies mit denen DoubleClick das Surfverhalten des Users analysieren kann.
    Cookies können glücklicherweise jedoch nicht dazu benutzt werden, anderen böswilligen Code auszuführen.

    Persistent Identification Elements
    Jeder User hat die Möglichkeit Cookies zu deaktivieren, doch bei jedem User der Flash oder Java installiert hat, kann diese Spywaremethode zu tragen kommen. Die Firmen United Virtualities hat zum Beispiel eine Möglichkeit entwickelt lokal installiertems Flash oder Java einmalig zu indetifizieren und darüber Cookies ins System zu schleusen. Diese Methode läßt sich bisher von keinem Programm verhindern!
    Über denMacromedia Support lassen sich PIE verhindern.

    Browser Helper Objects
    Browser Helper Objects sind quasi die Weiterentwicklung von Browser Hickjackers. Rechtmäßige Beispiele für BHO sind zum Beispiel die Google - oder YahooToolbar. Böswillige Programme könnten jedoch gleiche Mechanismen benutzen und so auch auf Funktionen und Menüs des Browsers zugreifen. Da der Browser in Wintel System meist mit Adminrechten läuft birgt dies ein hohes Risiko.
    Programme wie BHO - Demon können BHOs verhindern.

    5. Datenschutz
    Viele böswillige Programme sind bestrebt an Daten zu kommen, aus denen sich Geld machen läßt, Kreditkartennummern, PINs usw. Viele Suites verändern einfach nur kritische zu schützende Daten oder verneinen deren Übermittlung komplett. Jeder sollte sich im Klaren sein. Ein Angreifer kriegt auch die richtige Kombination raus, wenn er alle Möglichkeiten testet und dann einfach nur das Fehlende analysiert. Man sollte auf solchen Datenschutz verzichten und statt dessen mit personenbezogenen Daten vorsichtig sein und nicht frei ersichtlich auf dem Rechner speichern!

    6. Emailschutz
    Fast jede größere Securitysuite bieten die Möglichkeit dass lokal installierte Postfach vor SPAM und Phishingmails zu schützen. Doch keine Methode der Suites funktioniert einwandfrei. Hier sollte auf "sichere" E-Mail Programme mit lernfähigen Junkfilter (Beispiel Mozilla Thunderbird) umgestiegen werden oder dementsprechende Plugins (Beispiel Spamihilator) für Outlook Express benutzt werden. Aber auch hier kann der verantwortungsbewusste Surfer seinen eigenen Schutz schaffen!

    7. Kindersicherung
    Kindersicherungen bietet auch jede größere Suite aber wenn jemand eine Seite besuchen will, schafft er das auch! Die meisten Suites filtern nach URL oder IP, doch so gut wie jede Schutzmethode läßt sich umgehen zum Beispiel wenn man den Cache von Google ausnutzt!

    8. Eindrücke (basieren auf dem C't Test!)
    Der C't Artikel stellte keine Test dar. In einer voherigen Ausgabe wurden Virenscanner getestet. Dieser Test war eine Grundlage des Security - Suite Artikels, weiterhin wurde kurz angeschnitten dass einige Hundert Portscans, Exploits und Trojanerscans durchgeführt wurden. Außerdem versucht man "private" Daten abzuschicken und analysierte den ausgehenden Datenverkehr. Duch diese Analys ließ sich entschüsseln wie die FWs unsere Privatsphre schützen wollen.

    Bitdefender 9 Internet Security
    - Sehr guter Virenscanner
    - mittlere Spywareerkennung und schlechte Entfernung
    - lernfähiger jedoch fehlerhafter Spamfilter für das Postfach
    - Regeln für die Kindersicherung müssen selbst angelegt werden, ließ sich jedoch mit Anonymisierdiensten austricksen!

    F-Secure Internet Security 2006
    - Sehr guter Virenscanner
    - Ad Aware ist beigelegt jedoch nicht in Suite integriert
    - kein lernfähiger Spamfilter für das Postfach
    - Gute Rootkiterkennung
    - Kindersicherung begrenzt Surfzeit

    G-DATA AVK Internet Security 2006
    - Top Virenscanner mit 2 Engines
    - Jedoch sehr schlechte Firewall, zeigt Anfälligkeiten für DOS - Angriffe
    - Schützt sehr gut vor Browserexploit
    - Gute Spywareerkennung, jedoch schlechte Entfernung
    - Kindersicherung ließ sich mit Anonymisierern austricksen

    Kaspersky Personal Security Suite
    - keine zentrale Steuerung der Softwarebestandteile
    - Guter Virenscanner, filtert jedoch keine Internetseiten, erkennt deren SChädlinge erst wenn sie im Cache liegen!
    - Firewall blockierte nach gefaktem Portscan gewünschte harmlose Server
    - Erkennt viel Spyware, kann diese meistens jedoch nicht entfernen
    - kein Lernfähiger Postfachschutz!

    McAfee Internet Security Suite
    - mäßiger Virenscanner
    - Sehr gutes Spywaremodul
    - zu umgehendes Datenschutzmodul
    - umständliche Updatefunktion
    - nur Outlook für den Spamschutz bekannt, andere Programme müssen per Hand eingestellt werden

    Norman Internet Control
    - keine zentrale Steuerung der Softwarebestandteile
    - für jeden Port beim Portscan muss eine Regel erstellt werden
    - erkennt keine Browserexploits
    - mittelmäßiger Virenscanner erkennt auch Spyware, Entfernung fällt jedoch schlecht aus
    - keine Antispam oder Antiphishingmodule
    - Kindersicherung erlaubt Zeitsteuerung, greift auf Black- und Whitelists des Herstellers zurück, filter nach Stichwörter läßt sich über direktes Ansurfern der IP jedoch austricksen!

    Norton Internet Security 2006
    - Guter Virenscanner, jedoch schwache Heurestik und Reaktionszeit bei Signaturupdates
    - Firewall blockierte nach gefaktem Portscan gewünschte harmlose Server
    - mittelmäßiges Spywaremodul
    - Datenschutzmodul läßt sich umgehen, filtert zu schützendes trivial aus!
    - Kindersicherung läßt sich wie schon oft dargestellt austricksen
    - Ressourcenverschwendung--> nichts für schwache Rechner!

    Panda Platinum 2006 Internet Security
    - schlechten Virenscanner
    - Gutes Spywaremodul
    - lernfähiger jedoch schlecht einzustellender Spamfilter für das EmailFach
    - Firewall blockierte nach gefaktem Portscan gewünschte harmlose Server, auch der eigene Updateserver läßt sich so blockieren bis die Sperre abgelaufen ist
    - Kindersicherung ist umfangreich einzustellen jedoch über IP und Googlecache auszutricksen
    - Performancefresser
    - verhindert bei Systemdateien die Manipulation durch Adware!!!

    Trend Miro PC - cillin Internet Security 14
    - schlechter Virenscanner
    - schlechter Exploitschutz
    - schwache Spywareerkennung jedoch konnte sie jede erkannte Spyware entfernen
    - kein lernfähiger, schlecht einzustellender Spamfilter fürs Postfach
    - Google Cache umgeht Kindersicherung
    - Gute Bedienung

    ZoneAlarm 6 Internet Security
    - sehr schlechter Virenscanner
    - Gute Firewall, nervt jedoch mit vielen Nachfragen, verhindert auch WindowsProzesskommunikation
    - Exploits werden selten erkannt und NULL-Byte Angriffe gehen durch
    - mittelmäßiges Spywaremodul
    - kein lernfähiger nur mit Outlook arbeitender Spamfilter
    - Kindersicherung ließ sich mit Google Cache umgehen, fragliche Bilder wurden jedoch nicht angezeigt
    -

    9. Links
    Hackingtool für IP Pakete
    NAT Filter
    Paketfilter
    iptables - Einsatz z.B. bei Linux!
    Infos zu Firewall
    Portscaninfos
    http://www.port-scan.de/
    Heise Security Portal mit Browser - Test
    Update Packs für XP
    Technet für Windows
    Outlook Express Ersatz
    Adware Infos
    Spyware Infos
    Malware Infos
    Definition von Exploit
    http://www.opera.com
    http://www.symantec.com/region/de/
    http://www.bitdefender.de
    http://www.f-secure.de
    http://www.gdata.de
    http://www.kaspersky.com/de
    http://de.mcafee.com
    http://www.norman.com/de
    http://www.panda-software.de
    http://www.trendmicro.de
    http://www.zonelabs.com
    http://www.hijackthis.de/
    http://www.antivir.de/
    Popps
    Dialer
    Browser Hijacker
    NTFS ADS
    Dienste beenden unter XP!
    Kritische Ausarbeitung zum Thema FWs
    Malware über honeypots sammeln
    sehr gute freeware Antispyware
    Hijack This, ADS spy ....
    Erkennung von Man-in-the-Middle-Proxies
    listet ADS auf

    10. Fazit
    Hast du nur original Software, surfst verantwortungsvoll und hälts dein System aktuell, so dass du keine Angst haben brauchst dass irgendwas Mistiges raus geht; du dazu keine Ahnung von Firewallregeln hast, reicht die "Firewall" im Router vollkommen und/oder die XP SP 2 Windowsfirewall! Freeware Firewalls reichen für die Kontrolle nach außen auch schon vollkommen!

    So ich hoffe das reicht zur groben Funktionsunterscheidung für Privatrechner! Für große professionelle Netzwerke, je nach Preis bei Router, Firewall oder Hardwarefirewall unterscheidet sich der Funktionsumfang, wie es halt fast immer ist.

    Wer Rechtschreibfehler findet darf sie behalten!

    11. Kritik
    Aktuelle Firewalls können immer nur auf bekannte Fehler und Angriffe reagieren, der Hacker der also wirklich was drauf hat ist immer schneller als ihr. Scriptkiddie Attacken und bekannte Angriffe kann auch die Windowsfirewall erledigen. Eine große Securitysuite zu kaufen ist absolut unnötig um den ausgehenden Verkehr zu filtern reicht Freeware auch vollkommen.
    Die viel bessere und perfomantere Lösung ist, das System aktuell zu halten, bewusst sicher surfen, beim surfen auf Adminrechte verzichten und sich vielleicht mit dem Thema Sicherheit beschäfitgen.
    Und falls doch mal Software die ihr "gekauft" habt nach hause telefoniert. Seid euch sicher, ihr seid wenn nicht die einzigen!

    12. Im Notfall
    Manchmal hört man welche Tools alle von Usern benutzt werden. Bei manchen geht 1/3 der Rechenzeit bestimmt schon für Schutztools drauf.
    Aber was passiert wenn ihr euch wirklich angesteckt habt.
    Ihr legt euch eine schöne Live CD an, achtet auf die Möglichkeit ins Internet zu gehen und aktuelle Tools wie Virenscanner und Festplattentools.
    Bei Ansteckung also Rechner neu starten, Live CD booten. Und räumt mal ordentlich auf. Die Wahrscheinlichkeit dass ihr Spyware mit ner LiveCD entfernen könnt ist deutlich höher, da euer Betriebssystem nicht läuft, Programme nciht blockieren oder sich Rootkits nicht verstecken. Auch wenn ihr ein Festplattenschaden habt, empfeihlt sich dieses Vorgehen.

    13. Aktualisierungen
    Mh ich werde probieren euch Botmechanismen vorzustellen und versuchen weitere Links zu finden.
     
  2. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.