Moin,

Indem sie den Standard-TCP/IP-Stack z.B. manipuliert oder durch einen eigenen ersetzt.

Genau. Daher muss sie sich auch so tief ins System eingraben und führt so häufig zu mehr Instabilitäten. Ausserdem kann ein Programmierfehler in der Personal Firewall dann wahrscheinlich auch von aussen ausgenutzt werden, ohne das irgendwo ein Dienst an einem Port lauscht. IIRC gab es das vor nicht allzu langer Zeit (< 1 Jahr her) auch bei einem Produkt, die Details habe ich aber verdrängt.

Auf dieselbe Weise könnte es unter Windows funktionieren, indem Microsoft irgendwelche Ansatzpunkte eingebaut hat, die man nur noch nutzen muß.

Microsoft hat in den neueren Windowsversionen sogar einen Paketfilter und eine API dafür eingebaut. Ich bezweifle jedoch, dass der größte Teil der Personal Firewalls die nutzen wird.

Und läßt sich das dann umgehgen? Wenn sich das umgehen ließe würde wohl kein einziger Trojaner das nicht umgehen und die SW-Firewalls wären in dieser Beziehung vollkommen hinfällig. Aber es scheint ja zu funktionieren, aber wieso sagt Henryk dann "das kann sie prinzipbedingt nicht zuverlässig tun"?

Es 'scheint zu funktionieren'. Es funktioniert natürlich nicht wirklich, kann aber beeindruckend lange so tun, als ob. Zur Zeit ist eben der Normalzustand ein System ohne Personal Firewall, sodass ein Wurmprogrammierer es häufig nicht für unbedingt nötig erachtet Code zur Umgehung derselben einzubauen. IIRC gab es aber erst kürzlich einen Wurm der eine lange Liste von Personal Firewalls/Virenscannern ausgeschaltet hat, wenn er sie traf.

Das Ausschalten geht aber in fast jedem Fall: Zum einen wären da die Popups die die meisten Programme aufpoppen lassen wenn ein neues Programm raus will. Wenn der Programmierer der Personal Firewall nicht alles richtig gemacht hat[1], kann das Schadprogramm dieses Popup einfach wegklicken und gleich das Häkchen für "diese Entscheidung merken" anmachen. Ausserdem ist es nicht unwahrscheinlich, dass der User die Personal Firewall administrieren kann, also kann das die Schadsoftware auch. In ganz blöden Fällen läuft die Personal Firewall sogar mit den Privilegien des Users und kann einfach von der Schadsoftware abgeschossen werden. Last but not least: Wenn der User die Schadsoftware als Administrator gestartet hat ist sowieso alles zu spät.

Das alles sind Punkte die man durch richtige Konfiguration der richtigen Software (d.h. zum Beispiel Tiny/Kerio als Systemdienst mit erweiterten Privilegien starten, jegliche Interaktion mit dem User verweigern und eine Anmeldung als normaler Benutzer) beseitigen kann. Das hilft jedoch nicht viel, da - wie hier bereits genannt - die Schadsoftware _in_jedem_Fall_ nach draussen tunneln kann. Man kann grundsätzlich alles über alles tunneln, solange das zugrundeliegende Protokoll irgendeine Informationen überträgt[2]. Und da der User seine schöne Internetverbindung sicher auch nutzen will, wird es mindestens ein Programm/Protokoll geben welches der User (und damit auch die Schadsoftware) nutzen kann und das Informationen nach draussen übertragen oder von dort empfangen kann.

Entweder "ganz oder gar nicht", oder?

Exakt.

Sobald die Schadsoftware auf dem Rechner mit den Privilegien des Users ausgeführt wird, ist es zu spät um sie an der Übertragung von Informationen nach draussen zu hindern, es sei denn es wird die Übertragung aller Informationen verhindert.

[1] Gerüchten zufolge soll das auch unter Windows in sicherer Art und Weise machbar sein. Soweit ich mich erinnern kann, wurde der Dialog der bei Strg-Alt-Entf kommt als Beispiel genannt wie es richtig geht.

[2] Im schlimmsten Fall kann man die Information ja durch "Es wird gesendet"/"Es wird nicht gesendet" nach draussen 'morsen'.