Sven Rautenberg: Spyware in Shareware, z.B FTPEditor ?

Beitrag lesen

SELF-Forum

Spyware in Shareware, z.B FTPEditor ?

Sven Rautenberg Homepage des Autors
Informationen zu den Bewertungsregeln

Moin!

Kann man mit Zonealarm das blocken?

Mit einem Paketfilter kannst du alles blocken, musst nur wissen welcher port und welches protocol.

Ja und nein.

Es ist problemlos möglich, sämtliche Kommunikation zu bestimmten IP-Adressen (wenn man weiß, welche böse sind) zu unterbinden.

Es ist problemlos möglich, sämtliche Kommunikation zu bestimmten Portnummern (wenn man weiß, welche böse sind) zu unterbinden. Im Zweifel unterbindet man einfach die Kommunikation zu allen Ports, außer denen, die man braucht.

Und das ist dann leider das Problem: Man braucht Port 80, 25 und 110. Weil jeder gewöhnliche Internetbenutzer HTTP, SMTP und POP3 benutzt.

Eine Spyware wird also nicht so doof sein, und sich mit Port 12345 verbinden, sondern brav HTTP sprechen und mit Port 80 Verbindung aufnehmen. Wie will man das mit einem PAKETFILTER regulieren?

Deshalb ist deine Aussage falsch: Mit einem Paketfilter kann man NICHT alles blocken, selbst wenn man Port und Protokoll kennt. Die Benutzbarkeit des Rechners wäre arg eingeschränkt, würde man außer zu definierten IP-Adressen (beispielsweise zu seiner Online-Bank, zu Heise und zum Selfforum) alle Verbindungen blocken.

Auch ein HTTP-Proxy hilft hier nicht weiter.

Grundsätzlich gilt: Wenn man irgendeine Art von Datenkommunikation aufbauen kann, kann man JEGLICHE Art von Informationen darüber tunneln. Im Zweifel werden die einzelnen Bits der zu übermittelnden Information eben durch "ist da/ist nicht da"-Status übermittelt, also beispielsweise durch HTTP-Status 200 oder 404.

Hinter deiner FW stellst du dann die Machine auf und läßt die Spyware arbeiten.

Dann die Logfiles auswerten oder einen tcpdump laufen lassen und den zb mit ethereal (freeware) analysieren.

Und dann weiß man, welche Server die Spyware zuerst versucht, zu kontaktieren. Welche zweite, dritte, vierte, fünfte, sechste, siebte.... Möglichkeit in der Software eingebaut ist, sieht man erst nach einigen Blockierungsversuchen.

Und sicher sein kann man dann immer noch nicht. Könnte ja irgendwann ein Update gezogen werden.

- Sven Rautenberg

--
Die SelfHTML-Developer sagen Dankeschön für aktuell 21205,05 Euro Spendengelder!
Beitrag melden
Informationen zu den Bewertungsregeln