Hallo zusammen,

es wurde ja in vielen Beiträgen (u.a. von der Uni Marburg)
eindrucksvoll geschildert, dass Programme wie z.B. Firewall oder
Virenscanner quasi nutzlos sind.
Wenn man auf dem Rechner einen Trojaner hatte (z.B. rBot),
der dann eine Backdoor ggf. einrichtete und jemand "ferngesteuert" auf
diesen Rechner zugreift, dann müsste doch eine funktionierende und
unmanipulierte Firewall diesen Datenverkehr bemerken und Alarm schlagen, oder? Ich verstehe nicht, dass diese Zugriffe unbemerkt erfolgen sollen,
während sonst bei jedem kleinen "auffälligen" Datenverkehr sofort eine Warnmeldung ausgelöst wird.
Kann mir das bitte mal jemand genauer erklären?
Gruß
digihunter

das problem beim konzept ist wie du gesagt hast "eine unmanipulierte firewall" - sie wird in dem moment manipuliert in dem sie es bemerkt. und wenn die firewall nicht ausgeschalten oder selbst eine regel erstellt wird, wird einfach mal eben der user gefragt ob der trojaner mit dem namen "svchost.exe" (in wirklichkeit hat er den filename scvhost.exe) ins internet gehen darf. jeder unsichere user klickt auf ja.. den rest dazu kann man sich ja denken..

manche brauchen auch überhaupt keine anfrage, sie ersetzen mal eben eine systemdatei oder sind durch rootkits so gut getarnt, das nichtmal die firewall die verbindung registriert. oder sie schicken ihre pakete über den stream port 80 des webbrowsers deiner wahl mit. wie sollte also eine firewall ein system, dessen "grundmauern" btw dessen kernel kompromittiert ist, davon abhalten die verbindung ins internet zu halten?

dann wäre da die tatsache, dass bei einem backdoorport oder ein port der durch einen backdoor belegt wurde ein hacker/cracker herkommen kann und mal eben ein rootkit installiert - das wird die firewall zwar verhindern können, aber auch nur wenn es eine halbwegs gute firewall ist die nicht sofort abschmiert und nicht selbst sicherheitslücken hat - und die hat jede.

was mir da auchnoch einfällt ist der ADS-Stream (nur in NTFS) - er ist nicht sichtbar und für rootkits perfekt, da da - meines wissens - die ganz wichtigen kerneldateien über diesen geladen werden. eine firewall könnte diesen nie überprüfen. (wenn ich da auf dem aktuellsten stand bin)

Ich hoffe ich konnte dir helfen

Hallo Chris,

erstmal vielen Dank für Deie ausführliche Information!!!
Irgendwie werde ich das Gefühl nicht los, dass dann doch so gut wie
jeder Rechner verseucht sein könnte, denn dann ist ja - gerade
durch Programmlücken - jeder Surfer potentiell gefährdet ohne es zu
merken.
Ich denke, eine sichere Infektionsdiagnose wird es dann auch nicht geben,
oder???
Falls man mal eine "wuampde.exe" auf dem Rechner hatte, wie wahrscheinlich ist dann ein Hackerangriff? Muß der Hacker speziell
nach den infizierten Rechnern suchen oder melden diese sich PCs
automatisch auf einer Hackerseite an, so dass man sich ganz komfortabel bedienen kann?

Gruß
digihunter