Die Zeitschrift Chip hat die Sicherheit von Linux,Mac,Xp und Vista getestet.
Dabei war auch wieder ein sogenannter Leaktest der das System von
innen heraus testen soll, insbesondere die Firewall.
Wenn ich mir aber im Falle von Windows eine .exe herunterlade
und die auch freiwillig starte kann die nur von einem Programm gelockt
werden das auf diese exe konditioniert ist.
Es bedeutet also nichts wenn eine Leaktest.exe geblockt wird.
Eine Schadsoftware die erstmal gestartet ist, von innen, kann ja als
ganz harmloses Programm auftreten, oder Prozesse starten die erstmal
ganz legal sind, oder warten bis sie Administrative Rechte erlangt.
Genaugenommen könnte man als Leaktest jedes seriöse Programm nehmen
Zb eins das ein Laufwerk öffnet oder zB den Browser Opera.
Ich hätte gerne gewußt was ein Leaktest beweisen soll?
Außer das die Firewall gerade "diesen" kennt und lockt.
Vielleicht liege ich falsch, aber der Ausgehende Netzwerkstrom ist
doch nur sehr lückenhaft zu kontrollieren.
Besonders wenn Malware schon
Systemrechte hat?
Die Zeitschrift Chip hat die Sicherheit von Linux,Mac,Xp und Vista getestet.
Die Chip ist nach meiner Ansicht eine der Institutionen, der ich neben der ComputerBild so etwas am wenigsten zutrauen würde.
Wenn ich mir aber im Falle von Windows eine .exe herunterlade
und die auch freiwillig starte kann die nur von einem Programm gelockt
werden das auf diese exe konditioniert ist.
Nein, wenn dem so wäre, dann wären Application Level Filter nutzlos. Jeder Filter der nur nach einer Whitelist filtert (also nur Programme filtern kann, welche es auch kennt) ergibt vom Prinzip her schon keinen Sinn mehr, eventuell lässt Du dich zu dieser Annahme ja vom Prinzip eines signaturbasierten Virenscanners verleiten?
Es bedeutet also nichts wenn eine Leaktest.exe geblockt wird.
Eine Schadsoftware die erstmal gestartet ist, von innen, kann ja als
ganz harmloses Programm auftreten, oder Prozesse starten die erstmal
ganz legal sind, oder warten bis sie Administrative Rechte erlangt.
Ganz so einfach ist es für Schadsoftware nun auch wieder nicht. Einen Prozess kann man mit normalen Anwenderrechten erst einmal nicht starten oder gar installieren und Administratorenrechte bekommt eine Anwendung auch nur auf zwei Wegen. Entweder der Administrator des Rechers startet sie, oder die Anwendung kann sich diese selbst verschaffen über einen "Privilege Escalation Exploit", also eine Lücke, die es ermöglicht sich höhere Rechte zu verschaffen.
Genaugenommen könnte man als Leaktest jedes seriöse Programm nehmen
Zb eins das ein Laufwerk öffnet oder zB den Browser Opera.
Das will man aber nicht testen, testen will man ja, ob ein Programm es schafft unbemerkt eine Datenverbindung nach Außen zu öffnen.
Ich hätte gerne gewußt was ein Leaktest beweisen soll?
Außer das die Firewall gerade "diesen" kennt und lockt.
Vielleicht liege ich falsch, aber der Ausgehende Netzwerkstrom ist
doch nur sehr lückenhaft zu kontrollieren.
Besonders wenn Malware schon
Systemrechte hat?
Hmm... ich will nicht schulmeisterlich klingen, aber kann es sein, dass Dir das Wirkprinzip einer Desktopfirewall nicht ganz geläufig ist?
Eine DTF ist kein Postitivfilter, der irgendwo auf dem Rechner ruht und sich anschaut, welche Programme die es in seiner Liste hat gerade was tun und ob sie das dürfen... das wäre von Grund auf schwachsinig und nutzlos, gerade wenn dieser Filter im gleichen Kontext liefe, wie die zu beobachtende Software.
Es stimmt auch nicht, dass der ausgehende Netzwerk-Datenstrom nur schwer zu kontrollieren sei, denn er passiert immer den Netzwerkstack und hier ist es auch, wo eine DTF ansetzt / ansetzen muss. Fast jede DTF (zumindest wenn sie nur im entferntesten etwas taugen soll) klinkt sich als Treiber in den Netzwerkstack des Betriebssystems ein und installiert noch andere Dienste und Treiber. Sie filtert dann innerhalb des Netzwerkstacks, den jeder Datenstrom der nicht seinen eigenen Netzwerkstack mitbringt (was prinzipiell aber auch passieren kann) passieren muss. Es funktioniert also nicht so, dass die DTF nach dem schaut, was bestimmte Programme senden wollen, sondern sie schaut was gesendet wird und prüft dann erst, wer da versucht zu senden, sie hangelt sich also üüber den Netzwerkstack nach oben auf die Anwendungsebene und prüft den Hashwert der Anwendung und eventuelle Hooks, also ob sich ein anderes Programm eventuell in diese Anwendung eingeklinkt hat. Diesen Hash vergleicht sie dann mit der Filterliste und im Idealfall blockiert sie erst einmal jeden Datenstrom, der nicht explizit erlaubt wurde anhand der Programmsignatur.
Natürlich hat so ein System auch Lücken, wie jedes System prinzipiell, aber ganz so einfach ist es nun auch wieder nicht dies auszuhebeln. Schwierig wird es allerdings, wenn so wie Du voraussetzt die Malware administrative Rechte hat, denn dann kann sie im schlimmsten Fall wirklich ihren eigenen Natzwerkstack mitbringen und installieren und somit die Filter schlicht umgehen, deswegen sollte man wirklich niemals als Administrator arbeiten. Zwar ist es dann immer noch möglich mittels diverser Techniken verschiedene Anwednungsfilter zu umgehen, aber es macht es um einiges schwieriger.
xafford
Xdata
