Moin!

Die Einschleusung per Mail ist identisch zu einem gewollten Download - also auch nicht verhinderbar durch eine Firewall. Eine schon ältere Masche gegen Contentfilter sind übrigens verschlüsselte ZIPs gewesen - hast du bestimmt auch gemailt bekommen.

Haufenweise. Na und? Ich öffne ja auch keine Attachments, die aus fragwürdigen Quellen kommen.

Sehr gut. Nur: Hätte dir eine Firewall oder ein Virenscanner in genau diesem Fall irgendwie geholfen, nicht infiziert zu werden? Nein, denn du wurdest schon aufgrund deiner eigenen Handlungen NICHT infiziert.

Warum also den teilweise wirklich extremen Anteil an CPU-Zeit und Performance opfern für etwas, was sowieso keinen Schaden anrichten kann?

Und es wird auch viel wirksamer sein, wenn man die unwissenden Anwender darauf trainiert, derartige Anhänge einfach grundsätzlich NICHT zu öffnen, sondern zu löschen. Denn so top-aktuell kann gar kein Virenscanner sein, dass er nicht doch einmal im entscheidenden Moment versagt. Derzeit werden ja schon Customized-Viren geschrieben, die dann nur einem ganz kleinen Kreis von Anwendern (z.B. in einer Firma) gemailt werden in der Hoffnung, dass nur ein einziger so doof ist und das Attachment ausführt. Virenscanner werden solche Viren nur in seltenen Fällen als schädlich einstufen (darauf werden sie schließlich dressiert), und die Scanner-Hersteller kriegen solche Exemplare vermutlich auch nur sehr selten zur Analyse zugeschickt und können sie deshalb nicht in ihre Scan-Datenbanken aufnehmen.

Ein Virenscanner, der sich bei bösen Attachments aber nicht meldet, ist schlimmer, als ein Anwender, der böse und gute Attachments aus zweifelhafter Quelle grundsätzlich nicht öffnet.

Und für den Fall, dass mal wieder jemand Mails in der HTML-Ansicht liest, reicht es, Anhänge umzubenennen, die ausführbaren Code enthalten.

Ein vernünftiges Mailprogramm oder zumindest ein Mailprogramm mit vernünftigen Einstellungen, die genau das verhindern, reicht da vollkommen aus.

Genau das tut Outpost. Damit wird jeder Dreck, der per Mail reinkommt, höchstens noch lästig, aber nicht schädlich. Inhalte per HTTP nachladen darf der Mail-Client sowieso nicht.

Toll für das Programm, aber warum muß man denn Extra-CPU-Zeit für etwas aufwenden, was in stinknormalen Mail-Clients sowieso schon integriert ist? Nämlich Attachments nicht automatisch auszuführen. Ich kann mir mittlerweile auch kaum noch vorstellen, dass die Outlook-Serie so einen Mist verzapft. So dumm kann auch Microsoft nicht sein, dass sie derartige Einfallstore nicht schließt (das soll jetzt aber keine Aufforderung sein, nur noch Outlook zu verwenden. ;) ).

Und mit "anderem Angriff von extern" bleibst du herzlich unkonkret.

Natürlich. Angriffe von draußen abzuwehren ist IMHO nicht Aufgabe einer Desktop-Firewall - auch wenn manche behaupten, das zu tun.

Gut, dann stimmen wir ja im wichtigsten Punkt überein.

Ich bin auch absolut nicht gegen Firewalls an sich. Nur diese auf dem Rechner selbst installierten Produkte leisten halt nicht das, was die Werbung verspricht.

Eine Software-Firewall, die auf dem zu schützenden Rechner selbst läuft, kann nur den Zugriff der auf diesem Rechner laufenden Software kontrollieren, und das wieder kann prinzipbedingt eine externe Firewall nicht.

Das ist genau der Punkt: Wo ist der Unterschied, ob "realplay.exe" Kontakt zu einem Port auf "userdata.real.com" aufnehmen will, um Datenpakete unbekannten Inhalts hinzuschicken, oder ob "iexplore.exe" eine HTTP-URL mit längerer GET-Zeile auf genau diesem Server aufruft und vermutlich genau den gleichen Effekt verursachen wird?

Dem einen Programm wird man aus paranoider Sicht diese Aktion verbieten, dem anderen Programm verbietet man es eben gerade nicht.

Wozu also eine Firewall als zusätzliche Ebene einfügen, die genauso fehlerbehaftet sein kann und deshalb möglicherweise noch ein größeres Loch reißt?

Weil speziell unter Windows etliche Dienste sich nur schwer deaktivieren lassen bzw. nicht so konfigurieren lassen, dass sie zwar interne, nicht aber externe Anfragen beantworten.

Die XP-Firewall leistet genau das. Und das halte ich durchaus auch für sinnvoll, es ist sozusagen die Microsoft-Antwort auf die Forderung, Windows genau wie Linux im Default mit 0,0 offenen Ports ans Netz anschließen zu können.

Was mir aber diese ganzen anderen Klicki-Bunti-PFW-Programme mit verkaufen, teilweise mit abstrusen und falschen Behauptungen, die einer praktischen Überprüfung nicht Stand halten, das benenne und kritisiere ich deutlich. Das Zeugs kostet schließlich Geld, das man deutlich besser investieren könnte.

Firewalls sind nicht in der Lage, und es ist auch nicht ihre Aufgabe, grundsätzlich Programminstallationen und die Ausführung von gespeicherten Programmen zu verhindern.

Nein, sie sollen ja auch nicht die Ausführung verhindern - sie sollen nur verhindern, dass diese Programme auf das LAN und/oder Internet zugreifen.

Wie bereits dargestellt: Der direkte Zugriffsweg wird zwar in der Tat verhindert, der Umweg über zulässige Ports, Programme oder Mechanismen hingegen wird es nicht. Und damit ist dieses Konzept als grundsätzlich gescheitert zu erklären. Eine Firewallfunktion, die umgangen werden kann (und von den wirklich bösen Programmen auch umgangen werden wird), hat ungefähr die Wirkung, als wolle man mit einem einzigen Ziegelstein den Nil aufstauen.

Damit aber besteht grundsätzlich die Möglichkeit, dass böser Code ausgeführt werden kann und dann Dinge tut, die der Nutzer mit dem Einsatz der Firewall verhindern will. Es ist also Aufgabe des bösen Codes, genau die Dinge NICHT zu tun, die typische Firewall-Produkte gewöhnlich abprüfen.

Nu mach aber mal'n Punkt. Ein Restrisiko bleibst immer. Kein System ist perfekt.

Die Sache ist doch aber die: Die Hersteller von Personal Firewalls behaupten doch genau das.

Und solange immer wieder behauptet wird, Personal Firewalls könnten verhindern, dass böse Programme Kontakt mit dem Internet aufnehmen - was ja erwiesenermaßen nicht stimmt -, werde ich diese Aussage als falsch korrigieren.

Ein böses Programm wird also keinesfalls eine eigene IP-Verbindung eröffnen, um im Klartext und schön betitelt die gefundenen persönlichen Daten ins Internet zu senden. Stattdessen wird der böse Code den Internet Explorer aufrufen, ihm per simuliertem Tastendruck eine passende URL in die URL-Zeile eintippen und diese URL dann aufrufen.

Ja, okay - und dann wird der feststellen, dass diese URL nicht erreichbar ist, weil sie nicht in der Liste der von mir freigegebenen Adressen steht.

Es gibt viele Wege, Informationen zu tunneln. Wie steht's mit DNS-Abfragen? Die Auflösung von Namen übermittelt eine Information an den authoritativen Nameserver, und allein die Existenz oder Nichtexistenz als Antwort könnte zum bitweisen Übertragen genutzt werden. Oder nimm ICMP-Echo-Requests. Die bieten ziemlich viel Raum für das Integrieren von Botschaften.

Ja, es gibt ein paar sehr ausgefuchste Möglichkeiten, eine PF zu überlisten. Das will ich ja gar nicht bestreiten. Aber wenn ich durch den Einsatz einer solchen Software schon geschätzte 90% der Ärgernisse vermeiden kann, dann hat sich der Einsatz schon gelohnt.

Diese Abwägung trifft aber nicht auf jeden zu. Zum einen: nur 90% Schutz - lausige Quote eigentlich. Zweitens wehrt man nur die Amateure ab, nicht die Profis. Im Moment dürfte noch die glückliche Situation herrschen, dass es genügend ungeschützte Systeme gibt, mit denen man genug Geld verdienen kann (es heißt, ein fernsteuerbarer Rechner bring 6 US-Cent), so dass sich eine Entwicklung von leistungsfähigerer Malware noch nicht lohnt.

Eine Verschiebung der aktuellen Verhältnisse aber wird zweifellos neue Erfindungen hervorbringen. Das hat man an den Popup-Blockern ja auch schon gesehen: Mittlerweile wird die Werbung nicht mehr mit normalen window.open()-Popups eingeblendet, sondern z.B. als Flash-Einblendung bzw. DIV-Layer. Und es soll auch Techniken geben, die eingeschaltete Popup-Blocker umgehen können - auch beim Firefox, denn der hat offenbar einen so relevanten Marktanteil, dass sich der Entwicklungsaufwand dort auch schon lohnt.

Eine gesunde Portion Skepsis ist trotz allem angeraten.
Psychologische Effekte sind technisch nicht meßbar.

Nein, natürlich nicht. Aber sie spielen ins Gesamtkonzept mit hinein.

Das sollten sie aber nicht. Ein subjektives Sicherheitsgefühl kann in fataler Weise vom objektiven Sicherheitslevel abweichen - und das ist in beiden Ausprägungen (man fühlt sich sicherer, als man wirklich ist, bzw. man fühlt sich unsicherer, als man wirklich ist) kein guter Zustand.

- Sven Rautenberg