Hi, gleich zu Anfang: Nein, es geht hier nicht um eine Grundsätzliche Diskussion über Firewalls. An sich finde ich ja ZoneAlarm ganz nett. Mittlerweile aber nicht mehr, denn mir ist folgendes passiert: Das Installationsverzeichnis von ZoneAlarm wurde durch einen Fehler beim Partitionieren gelöscht. Der 'TrueVectorInternetMonitor'-Dienst liegt aber irgendwo im Systembaum. Und läuft demnach noch, blockt fröhlich weiterhin alles, wie es ihm aufgetragen wurde. Beenden lässt er sich nur über die ZA-Gui, im Taskmanager oder per Cmd hat man keine Chance. Auch in der Diensteverwaltung nicht. Ist natürlich auch gut so, schliesslich soll ja nicht irgendwelche Malware einfach die Firewall abschalten können. Logische Schlussfolgerung: ZA wieder installieren und dann über die Gui beenden. Geht bloss leider nicht so einfach: Das ZA-Setup läd normalerweise noch das eigentliche Setup aus dem Netz. Der Netzzugriff wird ihm jedoch von dem noch immer laufenden 'TrueVectorInternetMonitor' alias vsmon.exe verwehrt, weil das Programm ja nicht in der Liste eingetragen ist. Fazit: Da waren wohl etwas kurzsichtige Entwickler am Werk...
Moin, lässt sich der TrueVectorInternetMonitor-Dienst nicht unter msconfig unter Dienste ausschalten? Sonst könntest du vielleicht das Verzeichnis von vsmon.exe suchen (system32/Zone Labs?) und dann im bgesichterten Modus löschen?
>...wurde durch einen Fehler beim Partitionieren gelöscht.
ist auch nicht gerade die Alltags Operation.
Ein laufende Platte neu zu partitionieren ist ahem - etwas
abenteuerlich. Wuerd ich auch nie machen. Leiber eine neue platte
nehmen, und von der Bestehenden nach dem Setup der Neuen das Brauchbare
ueberspielen.
Ich verwende immer noch die version 2.6.362. Nachher wurde es in der Tat
murksig. Man muss freischalten und so.
>> ist auch nicht gerade die Alltags Operation.
Darum gings ja auch gar nicht. Der Ordner kann auch sonstwie
verschwinden. Ich denke nicht, dass ich da sämtliche Möglichkeiten
aufzählen muss.
Es geht mir auch überhaupt nicht um eine Lösung dieses Problems. Ich
habe schon längst den gesamten Ordner /WINDOWS/system32/ZoneLabs von
einem anderen OS aus gelöscht, womit das Problem gelöst wäre.
Es ging mir nur darum zu zeigen, wie kurzsichtig manche
Softwareentwickler vorgehen.
Wenn ich doch weiss, dass meine Software unter Umständen sämtliche
Zugriffe aufs Netz blockt, dann lass ich doch zumindest überprüfen, ob
es vllt. andere eigene Entwicklungen behindert.
Oder noch besser: Ich stelle einfach ein OfflineSetup bereit. Gut, man
sollte davon ausgehen können, dass ein PC, auf welchem man eine Firewall
installieren will, im Normalfall Netzwerkzugang hat. Doch muss das nicht
unbedingt heissen, dass er auch bei der Installation schon
Netzwerkzugang hat. Es könnte auch irgendwer das System irgendwo
aufsetzen und den PC dann irgendwo anders hintransportieren. Oder
einfach nur vorsorglich eine Firewall rauftun...
> Oder noch besser: Ich stelle einfach ein OfflineSetup bereit.
Bis vor einigen Monaten gabs das ja auch noch. Hast du nicht noch
irgendwo ne ältere Version rumfliegen?
Irgendwo hab ich bestimmt noch was rumfliegen. Aber das Problem ist wie gesagt ja bereits gelöst. Es ging nur ums Prinzip.
>Bis vor einigen Monaten gabs das ja auch noch. Hast du nicht noch >irgendwo ne ältere Version rumfliegen? Würde nichts bringen, da das Installationsprogramm den blockierten Prozess nicht beenden kann. Hatte auch schon das Problem.
> da das Installationsprogramm den blockierten Prozess nicht beenden kann.
der Process Explorer (Sysinternals.com, nunmehr Microsoft) kann doch
alles mögliche, unter anderm auch offene Handles abschließen. Hab ich
selbst hier gehabt:
Mein Firefox ließ sich auch nicht updaten, da der SpybotSD da noch einen
lock auf die firefox.exe drauf hatte (obwohl alle Prozesse terminiert
waren).
Mit dem Process explorer konnten dei noch offenen Handles identifiziert
werden, und nach close ließ sich auch das Update durchführen.
> Es ging mir nur darum zu zeigen, wie kurzsichtig manche Softwareentwickler > vorgehen. Dem möchte ich widerprechen: Das ist der Preis für Sicherheit. Würden sie da lascher vorgehen, könnte auch ein gewitzter Malware-Programmieren die FW aushebeln. Für solche Fälle habe ich (ein von CD bootbares) Windows PE. Damit kann man ohne Probleme den verwaisten Service irgendwoanders hinschieben, oder löschen. Im übrigen: Kfz-Entwickler haben auch nichts vorgesehen, mit dem man nach einem Motorschaden aus eigener Kraft zu seiner Lieblingswerkstatt fahren kann - würde sie deshalb jemand als "kurzsichtig" bezeichnen?
>der Process Explorer (Sysinternals.com, nunmehr Microsoft) kann doch >alles mögliche, unter anderm auch offene Handles abschließen. Hab ich >selbst hier gehabt: Schon korrekt, nur Process Explorer konnte im Falle von ZA auch nichts machen.
Das ist nun mal der Sinn von Firewalls, dass sie sich von anderen Programmen nix sagen lassen. Daher, weg von ZoneAlarm, und andere Firewall nehmen.....
naja, ich denke mal wenn man hinter einen NAT-router sitzt (was die meisten hier wahrscheinlich aufgrund von DSL sind) ist eine soft-firewall eher unnötig, von interesse ist dann eigentlich nur noch was "raus will" - denn rein kommt eh nicht viel. Ansonsten müsste sich der Dienst doch im AG-Modus löschen lassen, oder!? Und kurzsichtig würde ich das nicht nennen - wenn Du ein paar Systemordner von windows löscht läuft dieses auch nur noch fehlerhaft bis garnicht - die entwickler gehen ja nicht davon aus dass Du ein System umpartitionierst!
>>Im übrigen: Kfz-Entwickler haben auch nichts vorgesehen, mit dem man >>nach einem Motorschaden aus eigener Kraft zu seiner Lieblingswerkstatt >>fahren kann - würde sie deshalb jemand als "kurzsichtig" bezeichnen? Der Vergleich hinkt extrem. Wie wäre es mit: Sollte man KFZ-Entwickler, die eine automatische Türverriegelung einbauen, die ab 15km/h schliesst, als kurzsichtig bezeichnen, wenn sie nicht dafür sorgen, dass man im Falle eines Falles (Wagen liegt nach Unfall auf dem Dach, Räder drehen noch...) die Tür öffnen kann? => Ja, sollte man. >>die entwickler gehen ja nicht davon aus dass Du ein >>System umpartitionierst! Trotzdem kann man davon ausgehen, dass der eigentliche Installordner verschwindet, aus welchem Grund auch immer. Ich habe durchaus schon eine Möglichkeit genannt, nämlich weiterhin ein OfflineSetup anzubieten. Eine weitere wäre im Ordner /system32/ZoneLabs, wo also auch vsmon.exe liegt, ein abgespecktes Programm liegen zu lassen, mit welchem man im Falle eines Falles vsmon.exe beenden kann. Und dieses kann man dann auch nicht mehr als Lücke bezeichnen, denn über das standardmässig laufende zlclient.exe kann man die FW ja genausogut abschalten.
dold wrote: > ... von interesse ist dann eigentlich nur noch was "raus will" - denn > rein kommt eh nicht viel. Und genau das ist die Stärke einer FW wie ZoneAlarm: Sie nennt einem das Programm, das versucht hat, auf krummen Wegen mit der Außenwelt Kontakt aufzunehmen. Ich hatte erst kürzlich folgende Situation: Von Zeit zu Zeit poppte ZoneAlarm hoch und meldetete den Versuch eines NetBios-Zugriffs auf mein Netz durch ein Programm A1764823.exe oder so ähnlich. Die Nummer wechselte, weil ich das Drecksding, das den Alarm verursachte, jedemal beseitigte. Ich blockierte auf allen Rechnern NetBios - genau wie von MS empfohlen, die jedoch ihre eigene Empfehlung nicht ernst nehmen, denn in der Default-Einstellung ist das völlig überholte Sicherheitsrisiko NetBios freigegeben... Auf der Maschine läuft AntiVir - es merkte nichts. Bis vor zwei Wochen plötzlich ein W32/swinder.a Trojan Downloader in zwei Dateien gefunden wurde - eine war ein angebliches Gimp 2.2 Plugin namens noisify.exe und die andere eine Kopie mit kryptischem Namen nach dem oben genannten Muster, die im Ordner "System Volume Information" lag - das Zugriffsrecht darauf muß man sich erst beschaffen und in der Home-Edition von XP ist das von Haus aus garnicht möglich.
Zum Thema Netbios: ich mußte es neulich wieder aktivieren, weil sonst DHCP unter Win XP nicht funktioniert; so jedenfalls eine Info von Microchip.
Ich benutze fest vergeben IP-Adressen im Netz. Wenn der Rechner an eine Domain angeschlossen ist, geht es auch ohne NetBios. Ich vermute, daß es durch einen DHCP-Server im Netz ersetzt wird - den bringen auch so einige DSL-Router mit.
>Ich vermute, daß es durch einen DHCP-Server im Netz ersetzt wird - den >bringen auch so einige DSL-Router mit. Korrekt nur wenn der Router eben einen DHCP-Server drin hat, mußt du auf PC-Seite einstellen, dass der PC die IP-Adresse automatisch beziehen soll. Und genau das funktioniert unter XP mit fehlendem NetBIOS nicht.
Mit den festverdrahteten IP-Adressen in der hosts geht es auch ganz ohne NetBios und DHCP.
Wenn ein Programm wirklich raus will, dann schafft es das trotz Zone Alarm, im einfachsten Fall indem es den Internet Explorer nutzt, und wenn es mit Administratorrechten läuft hat es sowieso alle Möglichkeiten. Verschiedene Trojaner machen das so.
>Ich blockierte auf allen Rechnern NetBios - genau wie von MS empfohlen, >die jedoch ihre eigene Empfehlung nicht ernst nehmen, denn in der >Default-Einstellung ist das völlig überholte Sicherheitsrisiko NetBios >freigegeben... Wie blockiere ich das!?
@dold: Unter Netzwerkverbindungen wählst du den Netzwerkadapter aus und öffnest die Eigenschaften. Dann wählst du 'Internet Protokoll' und klickst 'Erweitert'. Dann wählst du den Tab 'Wins'. Unten kannst du NetBios über TCP/IP sperren. @ Andreas: Natürlich ist ZoneAlarm kein Allheilmittel. Aber wie mein Beispiel zeigt, kann es doch nützlich sein. Wie verhält es sich, wenn man einen alternativen Browser benutzt und IE generell nur mit Erlaubnis Zugriff aufs Netz gestattet?
Andreas Schwarz wrote: > Wenn ein Programm wirklich raus will, dann schafft es das trotz Zone > Alarm, im einfachsten Fall indem es den Internet Explorer nutzt, [...] & @Uhu Uhuhu Meine Firewall blockt IE, ich surfe grundsätzlich nur mit Firefox; außer, wenn ein Programmupdate den IE erfordert, erlaube ich es, dass IE der Weg ins WWW freigegeben wird.
Meine Frage bezog sich darauf, ob nicht auch Firefox von Malware als Gateway to Hell mißbraucht werden kann. Ich mache es in i.S. IE genau wie du.
Ich würd mal sagen, dass Firefox in Sachen Sicherheits-Bugs weit fortschrittlicher ist als IE, sprich es sind weniger Hintertürln vorhanden. Aber natürlich, solange eine Verbindung zum Internet besteht, kann man sich immer was einfangen, es gibt keinen 100%igen Schutz.
Das ist jetzt Meinung - hat jemand konkrete Informationen? Das große Sicherheitsloch ActiveX des IE hat FF nicht. Gibt es Möglichkeiten FF ähnlich zu mißbrauchen, wie IE und wird sowas von irgendwelchen Schurken gemacht?
Das hat eigentlich nichts mit Sicherheitslücken zu tun. Es gibt unzählige Möglichkeiten mithilfe von installierter Software Daten an einer Personal Firewall vorbeizuschmuggeln. Beim Firefox könnte der Trojaner z.B. ein User Stylesheet installieren das auf einen bestimmten URL zugreift und so Daten sendet ("ip x.y.z bereit"), und zum Empfang holt sich der Trojaner dann das gespeicherte Ergebnis dieses Zugriffs (z.B. "Befehl zum DDOS-Angriff auf x.y.z") aus dem Browsercache.
Ich hab da mal so ne Erfahrung mit meinem AntiVir gemacht, ich hab meinen USB-Stick angesteckt, und ein Remote-Überwachungsprogramm installieren wollen. Innerhalb weniger Augenblicke hat der AntiVir gepiepst wie wild, und mir angezeigt, soeben einen Trojaner gefunden zu haben.... Ich hatte bis jetzt zum Glück überhaupt kein Problem mit Virenzeugs usw....
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.