Moin!

Du hast explizit nach "Hackerangriffen" gefragt. Ja, dafür eignet sie sich wohl - allerdings kannst du denselben Schutz auch kostenlos haben, indem du dein Betriebssystem entsprechend konfigurierst.
Was verständlicherweise nicht jeder kann ;-)

Natürlich ist das Wissen um die Abstellmöglichkeit nicht unbedingt vorhanden - zuerst zumindest. Aber mit Google bewaffnet kriegt man ziemlich viel heraus.

Ich hatte beispielsweise bei meinem WinME-Laptop festgestellt, dass Port 5000 offen ist. Eine kurze Suche in Google nach "Windows ME port 5000" lieferte mir dann die Info, dass es sich hierbei um den Dienst "Universal Plug and Play" handelt, und da ich den nicht brauche - und ihn auch sonst _niemand_ heutzutage braucht, und einige ältere Implementationen des Dienstes obendrein noch anfällig für Attacken waren (mindestens drei Stück sind bekannt, die den angegriffenen Rechner zum Absturz bringen können), habe ich mit der gefundenen Anleitung den Dienst mittels "msconfig" ausgeschaltet.

Dasselbe kann man für alle weiteren Dienste machen, die man findet und von denen man nicht weiß, warum sie da sind. Entweder trifft man auf eine Anleitung, wie das Teil abzuschalten ist, oder man trifft auf eine Erklärung, was das ist.

Aber trotzdem gilt folgende Daumenregel: Ein reiner Surf-Rechner benötigt KEINE OFFENEN Ports. ALLE Ports, die dennoch offen sind, sind unnötig - solange, bis der Benutzer in einer bewußten Entscheidung einen Port offen haben will, weil er gewisse Dienste benötigt, die anders nicht zu realisieren sind.

Hackerangriffe auf einen im Internet erreichbaren Rechner erfordern, wie du schon erkannt hast, offene Ports. Wenn du von Haus aus keinen Port offen hast, kann auch niemand einbrechen.
Es sei denn man installiert ominöse Software die unbemerkt einen Port für remote-access öffnet. Ich kenne mich da auch nicht wirklich aud, aber ich meie mal gelesen zu haben dass sich viele Dinge auch gut verstecken lassen, vor allem Prozesse werden nicht alle im Task-Manager angezeigt, außerdem werden einige Prozesse zu einem "kombiniert" der angezeigt wird, vieleicht könnte man sogar da noch was "anhängen". Und offene Ports kann man AFAIK unter Windows (und Linux) auch nicht anzeigen, nur durch einen Scan, mit netstat.exe bekommt man ja soweit ich weiß nur bestehende Verbindungen, oder?

netstat -an zeigt unter Linux _alle_ Informationen bezüglich TCP, UDP und RAW an, auch offene Ports (Stichwort LISTEN). netstat -ln zeigt nur die offenen Ports an.

Das sollte grundsätzlich auch unter Windows gehen (gerade probiert: Unter ME kennt netstat nur die Option a, nicht die Option l).

Außerdem ist eines klar: Sollte der Benutzer oder ein anderes Ereignis dazu führen, dass auf dem zu schützenden Rechner bösartiger Code ausgeführt wird, hat zu diesem Zeitpunkt das Schutzkonzept bereits versagt. Die Firewall jedoch kann sowas prinzipbedingt kaum vorher abfangen, und hinterher ist sie den Aktionen des Schädlings im Prinzip ausgeliefert.

Nein, darfst du leider nicht. Das ist das Problem bei allen Personal Firewalls: Jedes Programm, das der Anwender auf dem Rechner beabsichtigt oder unbeabsichtigt startet, kann die Firewall im Prinzip abschalten.
Meinst Du indem es aus dem Autostart(wie auch immer der realisiert wird) genommen wird? Denn anders wüßte ich nicht wie man GUI-Software beeinflussen könnte.

Es gibt Mittel und Wege, über Windows-Interne Nachrichtensendungen andere Software fernzusteuern. Ein netter Hack vom CCC hat mittels eines ActiveX-Applets mal die Finanzsoftware Quicken ferngesteuert und dort eine Überweisung eingetragen. Quicken wurde dazu außerhalb des sichtbaren Bildschirms positioniert. Und das fiese: Wenn der Angegriffene Homebanking mit Quicken macht, dann wird er in der Regel die Überweisungen automatisch zur Bank übertragen lassen. Wenn er nicht aufpaßt, geht die falsche Überweisung, authentifiziert durch die eigene TAN, mit auf die Leitung zur Bank und wird ausgeführt - und es dürfte ziemlich schwierig sein, dieses Geld irgendwie wiederzukriegen...

Wenn du also ganz unbekümmert surfst und dir dabei eine böse Software (z.B. ein Dialer oder einen Trojaner) einfängst und die startest, dann schützt die Firewall dich davor nicht. Denn genausogut könntest du ja den Dialer gewollt haben oder irgendeine erwünschte Software herunterladen wollen - woran soll die Firewall das erkennen?
Man selbst sieht ja was passiert, und die Firewall "meldet" ja immer wenn sich so ein Programm unerwünscht mit dem Internet verbinden will. In diesem Fall kann man den Zugriff für diese Software ja durchaus unterbinden, so dass z.B. ein Trojaner keine Möglichkeit hat nach aussen zu komunizieren.

Die Tatsache, dass nette Programme sich auf Standardwegen, die von der Firewall kontrolliert werden (und die sie somit melden kann), mit dem Internet verbinden hindert niemanden daran, nicht doch Software zu schreiben, welche entweder die Abfrage umgeht (z.B. automatisch "erlauben" klickt), oder die Abfrage verhindert, indem die Liste der erlaubten Programme geändert wird, oder sich als erlaubtes Programm tarnt, oder die Firewall abschaltet, oder einen anderen Weg an der Firewall vorbei findet, um ins Netz zu kommunizieren.

Nur ein kleines Beispiel: Der Real-Player ist ja bekanntermaßen ziemlich "kommunikativ", was Unterhaltungen mit "zuhause" angeht. Ich habe gerüchteweise gehört, dass das "Nach Hause telefonieren" ziemlich aggressiv vonstatten geht. Typischerweise nutzt er ein eigenes Protokoll. Wenn aber die Verbindung wegen einer Firewall absolut nicht hergestellt werden kann, wird zuletzt Trick 17 ausgepackt: Die Daten werden per HTTP in einer GET-URL mitgeschickt. Und das überlistet wirklich die meisten Firewalls!

1. Der Real-Player als Programm hat in der Regel die Erlaubnis, HTTP mit Servern zu sprechen, damit er z.B. HTTP-Streaming empfangen kann. Damit sind alle Personal Firewalls schon mal umgangen.
2. Eine Paketfilter-Firewall kann natürlich den Inhalt der Sendung in der GET-URL nicht verstehen und auch nicht blocken, denn Kommunikation mit Port 80 ist fürs Surfen absolut erlaubt.
3. Auch ein Proxy, der HTTP nun wirklich versteht, kann gegen das Anfordern einer GET-URL mit langem Parameter nicht wirklich etwas haben.

Natürlich kann man den Realplayer belauschen, herausfinden, mit welchem Server er spricht, und den sperren. Aber wer garantiert denn, dass dies der einzige Server ist, mit dem der Player sprechen kann?

Das Beispiel soll zeigen, dass Firewalls bei weitem nicht alles verhindern können, was ihnen immer so angedichtet wird. Wenn Software erst einmal auf dem Rechner ausgeführt wird, ist im Prinzip alles verloren!

Kann denn ein ActiveX-Applets als "service" laufen? Das ist doch eher so eine Art Script, das ja nicht an einem Port lauschen kann, oder?

Was hindert das Skript (was es ja nicht ist) daran, eine Datei auf die Festplatte zu schreiben, die dann genau das macht, was vom Angreifer gewünscht ist? Bedenke: ActiveX kennt keinerlei Zugriffsbeschränkungen. Der einzige "Schutz", den Microsoft sich ausgedacht hat, sind Signaturen der Applets. Man muß also nur so ein Applet signiert bekommen und kann dann im Prinzip tun und lassen, was man will - sofern die Signierung überhaupt nötig ist, denn viele User klicken ja auf alles, was nach Dialogbox aussieht - und meist mit dem Default "Ja, ich will".

Danke für das interessante Posting, nicht falsch verstehen ich habe auch keine Firewall und will auch keine, aber ich finde eine Firewall für Leute die sich wenigstens ein bisschen mit PCs auskennen aber nicht gut genug(keien Ahnung von TCP/IP) durchaus für sinnvoll, da die einfach nicht in der Lage sind selbst ein vergleichbares Sicherheits-Niveau herzustellen.

Sicherheit ist kein Zustand, sondern ein Weg. Es ist eine grundsätzliche Arbeits-, um nicht zu sagen Lebenseinstellung. :) Sicherheit beginnt im eigenen Kopf.

Was ich aber bestätigen kann dass sich gerade diese Leute als die großen Kings vorkommen die glauben die Gefahren des Internet verstanden zu haben und Stolz auf jeden einzelnen abgewehrten "Hacker-Angriff" sind ;-)

...bei denen es wirklich guttun würde, wenn sie mal so richtig auf die Nase fliegen würden. ;)

- Sven Rautenberg