Personal Firewalls

Und warum sie immer wieder versagen...

Auch wenn viele Hersteller und etliche Zeitschriften Personal Firewalls als Rundumschutz gegen Hacker und Trojaner verkaufen, glauben sie ihnen KEIN EINZIGES WORT. Jede Software Firewall ist innerhalb von wenigen Minuten (!) auszutricksen, zu tunneln, zu umgehen. Und das alles ohne Probleme. Dies ist nicht nur auf einen oder wenige Hersteller bezogen, sondern funktioniert bei ALLEN! Mal ein kurzer Überblick, warum Personal Firewalls eh nix taugen können:

Der Name hört sich zwar toll an und ist daher sehr werbewirksam, jedoch verspricht sie keinen wirklichen Schutz. Eine sogenannte "Personal Firewall" ist nichts anderes als eine Konfigurationshilfe für einen Paketfilter. Man filtert damit lediglich vereinfacht gesagt die aus dem Internet ankommenden Datenpakete.

Da ein Paketfilter aber nur auf der Ebene von Paketen unterscheidet und nicht in die Pakete hereinschaut, nützt er Dir mal genau gar nichts. Er unterscheidet nämlich nicht, ob man gerade meine Seite anschaut (super) oder aber sich gerade auf scharfen Porno Seiten aufhält (sehr schlechte Idee). Anders ausgedrückt: Der meiste Schweinkram kommt über dieselben Wege rein, wie der normale Kram auch und genau deswegen ist eine Personal Firewall sowas von unwirksam...

Etwas besser sind da schon externe Paketfilter, wie sie z.B. viele DSL-Router inzwischen mitbringen. Die sind auch meistens noch einfacher zu benutzen, also eine gute Wahl, wenn man erstmal schnell den gröbsten Unfug verhindern will. Ein Ersatz für gebührende Vorsicht sind aber auch diese Geräte nicht.

Was genau spricht gegen eine Personal Firewall?

Beispiele dafür, dass Personal Firewalls die Sicherheit sogar extrem herabgesetzt haben, gab es in der Vergangenheit zur Genüge, siehe die Sicherheitsprobleme des Zone-Alarm-Treibers, die dazu führen konnten, dass Systeme mit dieser Softwarefirewall erst angreifbar wurden.

Oder der Fehler in der Kerio-Firewall, der einen DoS-Angriff auf die Maschine, die sie eigentlich schützen sollte, erst ermöglichte. Auch die Symantec/ Norton-Produkte haben schon Systeme unsicher statt sicher gemacht. Für die meisten dieser Produkte gibt es solche Beispiele. Obwohl aktuelle Versionen scheinbar keine "Probleme" haben, muss dies nicht der Realität entsprechen. Das heisst nur, das die in den Produkten enthaltenen Sicherheitslücken noch nicht gefunden oder publiziert wurden. Was allerdings jederzeit passieren kann.

Merke: Sicherheit wird nicht durch das Installieren von Software geschaffen, sondern nur durch ein Konzept und BRain 1.0 (Gehirn benutzen und nachdenken).

Argumente pro Personal Firewall und ihre Entkräftung.

Ausgangssituation: sauberes System und saubere (umkompromittierte) Personal Firewall.

Pro: PFs können jegliche Internetverbindungen blocken.

Falsch: Alle Internetverbindungen, welche über den normalen TCP/IP-Stack des Betriebssystems gehen, können blockiert werden. Wenn ein Schadprogramm intelligent programmiert wurde und seinen eigenen Stack mitbringt (oder gar eigene Treiber) ist eine PFW nutzlos. Dann kann Schadsoftware trotz blockierter Internetverbindung nach Hause telefonieren.

Pro: PFs können Programmen anhand von bestimmten Merkmalen wie z.B Name, Dateigröße, Prüfsumme dauerhaft Zugang zum Internet gewähren, um bei dessen Änderung den Nutzer zu warnen und das Programm zu sperren. (Nutzereingabe wird dann angefordert).

Falsch: Jedes Programm welches unter den selben User-Rechten läuft hat Schreibzugriff auf die entsprechenden Registry-Schlüssel oder Files und kann diese jederzeit ohne Rückfragen ersetzen. Rückfragen lassen sich simpelst durch einen einzigen WIN-API Aufruf wegblenden (dazu muss das Programm nicht mal administrative Rechte wie die Firewall haben) ohne dass der Nutzer auch nur ein Flackern sehen würde. Ein Beispiel eines Source Codes dafür: Firewall Pop Ups unsichtbar wegklicken lassen.

Pro:Firewalls erkennen Programme, vergleichen mit der Prüfsumme um Täuschungen zu vermeiden und melden anschliessend.

Netter und gutgemeinter Versuch, jedoch sieht die Wirklichkeit leider anders aus. Kein Schadprogramm nennt sich "The Ultimate Hacker Tool" oder so. Meistens schaut es so aus, dass sich diese Programme ganz vertrauenswürdige Namen geben wie z.B. irgendetwas mit Microsoft. Oder etwas anderes bekanntes. Typischerweise könnten die Pop Ups der Firewall so aussehen:

Do you want Microsoft Internet Explorer to access the internet?

Do you want Mozilla Firefox to access the internet?

Do you want Microsoft Windows XP to access the internet?

Do you want Zone Alarm to access the internet?

Wird bei der Erzeugung einer .exe-Datei in die Versions-Informationen als Company "Microsoft Corporation" geschrieben, stuft z.B. die Norton Personal Firewall alle Verbindungsversuche dieses Programms als "Low Risk" ein ("Trusted Company"). Wenn sie das obige mit "Ja" bestätigt haben, darf ihr Trojaner anschliessend fein nach Hause telefonieren.

Pro:"Nuken" (zufälliges oder wenn deine IP bekannt ist auch gezieltes abstürzen lassen eines Windows-PC) geht nicht, solange meine Personal Firewall an ist.

Falsch:Das geht auch ohne Firewall nicht, wenn das System mit den aktuellsten Patches versorgt und die Dienste richtig konfiguriert sind.

Pro:: Meine "Datei und Druckerfreigaben" oder auch "Administrative Freigaben" sind so sicher und geschützt.

Hmmh, warum bietest Du überhaupt Dienste nach außen an? Mit entsprechender Konfiguration kann das nur mit reinen Bordmitteln erreicht werden. Da brauch ich keine Firewall zu. Unter Vista Dienste Konfigtool und unter "Sicherheit für Workstations" steht näheres darüber.

Pro:Mit einer Personal Firewall kann ich genau feststellen, welches Programm nach Hause telefoniert und den Zugriff zum Internet genau dafür sperren.

Falsch:Hier sind wir wieder beim Rechteproblem und bei der leichten Tarnung von Schadsoftware als z.B. Systemprogramm. Wenn Du sicher feststellen willst, was da GENAU nach Hause telefoniert, wirst Du Dir einen Netzwerkmonitor anschaffen (Freeware) und lernen mit ihm umzugehen. Wireshark ist da einer der Besten.