[linux-l] Re: /proc & Co.

Volker Grabsch vog at notjusthosting.com
Di Okt 24 01:19:00 CEST 2006 

On Tue, Oct 24, 2006 at 09:04:08AM +1000, Peter Ross wrote:
> >     http://wiki.njh.eu/Sicherheit_im_Netzwerk#Absicherung:_Client
[...]
> Eine geschlossene Firewall (auch nach aussen, geoeffnet sind nur SSH, 
> SMTP, HTTP(S), Messengerports und FTP und wsas immer man noch wirklich 
> braucht) verhindert auch, dass eingeschleuste Malware Amok laeuft und 
> hilft, sie zu entdecken.

Nein, auch das halte ich für Augenwischerei. Du blockierst Programme,
die sich zu "unerwarteten" Ports nach draußen verbinden. Schön, dann
benutzt die Malware eben Port 80.

Also lässt du in Zukunft die Firewall auch noch überprüfen, ob wirklich
das entsprechende Protokoll gesprochen wird (SSH bei Port 22, HTTP bei
Port 80). Merkst du was? Spätestens hier steigt man in den Abgrund der
Tunneling-Bekämpfung ein.

Denn dann versendet die Spyware eben ihr Zeug per HTTP-GET. Es ist
keine Spyware, sondern eine Malware, die irgendwohin eine DDOS-Attacke
fährt? Dann will sie doch sowieso nur Zugriff auf Port 80, 22, etc.,
die du ja offen lassen möchtest.

Jetzt könnte man sagen, nur Firefox-Prozesse dürfen auf Port 80 rauf.
Schön, dann startet die Malware eben den Firefox mit einer entsprechenden
URL. Hilft also auch nix.

Bleibt also nur noch, Port 80-Verbindungen nach Außen nur noch zu
den Webseiten zu erlauben, die man normalerweise besucht. Spätestens
jetzt wird's absurd.

Ich will nicht sagen, dass man im Hochsicherheitsbereich nicht *genau*
das tun sollte (im Gegenteil, da würde ich sogar *genau das* machen),
aber für den Heimanwender gehen hier Aufwand und Nutzen doch stark
auseinander.

> Bis jetzt habe ich die Malware immer auf Windows-Clients gefunden, aber 
> es ist ja nicht unmoeglich, dass es auch auf Linuxen passiert.

Die Zielgruppe sind Heimanwender. Unwirksame Maßnahmen täuschen eine
falsche Sicherheit vor. Das ist viel schädlicher, als wenn man ihnen
von Anfang an sagt, dass man Spyware per Firewall nicht wirksam
blockieren kann.


Viele Grüße,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR

Mehr Informationen über die Mailingliste linux-l