4. Windows: Lauscher, Wächter, Firewalls
Maßnahmen speziell für Linux-Rechner siehe bitte die Linux-Specials.
Wer als Security-Anfänger unter Windows 9x über Kabelmodem, DSL oder analog an das Internet angeschlossen ist und über eventuelle Angriffe und Schnüffeleien von »Hackern« (eigentlich »Crackern«) oder »Möchtegern-Hackern« informiert sein will, der möge sich das Programm Jammer ansehen. Es ist ein sogenannter Low-Level Network Sniffer (Port-Lauscher), läuft im Hintergrund, meldet – auf Wunsch akustisch – jeden Hack-Versuch und bietet an, dem Provider des Verursachers gleich eine entsprechend formulierte eMail zu schicken. Unsere Beschreibung bezieht sich auf die Version von Oktober 1999.
Aus dem Text der Website: »Jammer erkennt NetBus 1.2, NetBus 1.53, NetBus 1.6, NetBus 1.7, NetBus 2.0 Pro Beta, NetBus 2.0 Pro, Back Orifice 1.2, Back Orifice 1.2 Modified (auch alle modifizierten Versionen von BO, zum Beispiel gepackt und komprimiert mit exe\dll Compression Tools, die von herkömmlichen Virenscannern eher nicht entdeckt werden) und BO2K (Back Orifice 2000).« Die registrierte Version kann angeblich – eventuell eingeschleuste und enttarnte – Trojanische Pferde (Trojaner, deutschsprachige Info-Site) vernichten.
Wenn also Jammer gluckst und mit dem Auge im Systray zwinkert (Icon nahe der Windows-Uhr in der Startleiste), dann meldet es im allgemeinen einen sogenannten Port-Scan, das heißt, ein Eindringling von außen sieht nach, ob er Sicherheitslücken entdecken kann. Die Motive müssen nicht bösartiger Natur sein, meistens versuchen pubertierende Schüler oder Studenten in unbewachten EDV-Räumen vor ihrer Clique Eindruck zu schinden. Nicht nur, um die Meldungen Jammers verstehen und in ihrer »Brisanz« richtig einordnen zu können (es gibt keinen Grund, nervös zu werden), empfiehlt sich das Studium der englischen Hilfe-Datei von Jammer. Dort wird auch erklärt, was der Unterschied zwischen einem Scan (vorerst harmlos aber prinzipiell unerwünscht) und einem Hack (gefährlich, kriminell) ist.
Für den Laien verständlich ist vielleicht folgender Vergleich: Jemand taucht plötzlich aus dem Nichts auf und drückt, flink wie ein Wiesel, in der Nachbarschaft oder im Stiegenhaus an allen Haus- oder Wohnungstüren die Klinken, um festzustellen, ob eine unverschlossen ist. Oder jemand schleicht behende auf einem Parkplatz herum und versucht dasselbe mit den Autotüren. Jene, die sich besonders schlau vorkommen, probieren es auf ihren Streifzügen auch über den Kamin, den Abwasserkanal und die Belüftungsschächte. Solange dieses Geschlücht nur in Erfahrung bringen will, wo es Möglichkeiten gibt hineinzukommen, handelt es sich um einen Scan. Es kann sich natürlich auch um die Vorbereitung zu einer böswilligen Aktion handeln. Und das wäre dann ein Einbruch oder Hack.
Laut unserem Kabel-ISP chello sind solche Umtriebe jedenfalls weder ethisch noch erwünscht, sondern verboten. Es liege durchaus auch im Interesse der Firma, so der Mitarbeiter, solche Aktionen restlos aufzuklären und die Verursacher, soferne sie Kunden von chello sind, abzumahnen beziehungsweise deren Account im Wiederholungsfalle zu sperren.
Der Artikel Einer von vier PCs mit Breitband-Internet für Hacker offen sei hier nochmal als aufklärende Zusammenfassung empfohlen; dort wird sehr deutlich und leicht verständlich dargestellt, wie Internet-Kunden, Provider und Security-Software-Hersteller aus ihrer jeweiligen Sicht Port-Scans und Home-Hacking betrachten und in ihrer Gefährlichkeit bewerten. Martin hat in einem Artikel für das Usenet versucht, den Begriff Port-Scan und sein rechtliches Umfeld zu erläutern. Im Appendix zur vorliegenden Web-Seite Sicherheit im Kabelnetzwerk finden sich dazu auch aufschlußreiche Bemerkungen des Hackers Eures Vertrauens. In unserem öffentlichen Forum gibt es einen Artikel von Sven, der tiefergehende Einblicke in die Vorgänge bei einem Portscan vermittelt.
Aufgrund der IP-Adresse des »Hackers«, welche von Jammer oder ähnlichen Programmen »ersnifft« wird (eine Zahl mit mehreren Stellen und Punkten wie etwa 193.0.0.195 oder 210.12.1.255 oder 193.255.255.255), bestehen gute Chancen, daß der Schlingel festgestellt und zur Rechenschaft gezogen werden kann. Wer gerne seinen eigenen Privatdetektiv spielen möchte, kann mit dieser Adresse dann über eine Whois-Abfrage bei Ripe, bei IKS GmbH Jena (deutsch) oder mit der C.O.T.S.E. Elephant’s Toolbox (spezialisierte Eingabemaske) Nachforschungen anstellen. Der Einfachheit halber bieten wir gleich hier ein Formularfeld an, es ist auch jederzeit über die Schaltfläche Suchen in unseren Navigationsleisten erreichbar; den Zurück-Knopf des Browsers verwenden, um danach wieder hierher zu gelangen:
Die Angaben, die dort erscheinen, nennen den Internet-Service-Provider (mit Abuse-eMail-Adresse = »Beschwerdestelle«) des Kunden mit der fraglichen IP-Adresse. Vielleicht findet man ja gleich die Telefonnummer eines Providers aus der näheren Umgebung, und wenn’s zu lästig wird, kann man anrufen. Oder man sucht weiter im Usenet-Archiv Deja (Search all discussions in the complete archive) eine eMail-Adresse zur IP-Adresse, falls der Kerl auch chello-Kunde ist und ins Usenet postet (unveränderliche IP-Adresse). Update: Seit dieses Usenet-Archiv von Google übernommen wurde (12. Februar 2001), ist eine Suche nach IP-Adressen dort nicht mehr möglich, Näheres dazu siehe hier.
Mike ergänzt: »Ich würde mich nicht darauf verlassen, daß die mitprotokollierte IP eines Hackers auch seine tatsächliche ist – ein wirklich guter Hacker kennt auch sicher das sogenannte IP-Spoofing, das Vorspiegeln einer falschen IP-Adresse.«Seit kurzem gibt es eine Art Selbsthilfe-Datenbank, in die Firewall-Logs übermittelt werden können, um besonders aktiven Script-Kiddies und Crackern auf die Schliche zu kommen. Details siehe hier unter DShield.org.
Auch über die Bestimmungen (Assignments) der von den Firewalls angezeigten Ports gibt es weitere Nachschlagewerke (Jammers Auskünfte sind hier eher ein wenig dürftig), hier eine Auswahl. Die Port-Nummern bezeichnen »Dienstadressen« im Netzwerk, über welche die Verbindung läuft; es gibt 65.535 statusbehaftete und nochmal soviele statuslose Quellen auf Basis von IP. Bestimmte Ports werden vorwiegend von Trojanern benutzt.
Jemand meinte: »Jammer ist natürlich keine ›echte‹ Firewall. Gewerbliche Lösungen setzen einen eigenen PC voraus (siehe auch das Gebot Nummer 5) und beginnen bei einem fünfstelligen Schilling-Kaufpreis (...sagen wir mal). Fürs Wohnzimmer kann man das vergessen! Das wäre, als ob man seine Wohnung mit Videoüberwachung, Tresortüren, vergitterten Fenstern und Selbstschußanlagen vor Einbrechern schützte :-) Das Proggi läßt sich einfach konfigurieren und ist sehr sparsam (wichtig), was die Rechner-Ressourcen angeht. Jammer ist kein bombensicherer Schutz, aber es ist halt besser als gar nix. Um obigen Vergleich zu bemühen: Ein Einbrecher, der einbrechen will und was drauf hat, kommt überall hinein. Wenn er’s drauf anlegt, auch in die Nationalbank.«
Nochmal: Jammer ist keine Firewall, diese Software blockt nichts ab und verhindert kein Eindringen. Sie zeigt lediglich warnend an und loggt mit, was sich an den Ports tut. Sie ist für Security-Anfänger ideal, da sie mit den – zugegebenermaßen etwas aufdringlichen – Meldungen das Sicherheitsbewußtsein weckt! Später kommt man dann um eine »richtige« Firewall ohnehin nicht herum. Als Ergänzung zu Jammer, und um den Windows-PC in eine »uneinnehmbare Festung zu verwandeln«, bietet Agnitum, der Hersteller von Jammer, seit Anfang April 2000 einen Trojaner-Scanner namens Tauscan an. Näheres zu Tauscan hier auf unserer Homepage unter Gebot Numero 7, Virenscanner. Seit Mitte 2001 arbeitet Agnitum auch an einer Personal Firewall für etwas fortgeschrittenere Windows-Anwender, Outpost, die durch äußerst umfangreiche Ausstattung und hervorragende sonstige Eigenschaften auffällt. Gratis für Private!
Einer der Vorteile von Jammer ist jedenfalls, daß das Programm relativ einfach auch von Unbedarften installiert werden kann, es muß lediglich unter "Options" – "Monitor" in der Zeile "Current Adapter" die (bei den meisten chello-Kunden) 3com EtherLink-Karte ausgewählt und unter "General" – "Launch on StartUp" angehakt werden. Die Software versieht daraufhin ihren Dienst, ohne den Internet-Betrieb zu beeinträchtigen. Soll Jammer das Versenden der eMails auf Mausklick übernehmen, sind auch noch die eMail-Parameter einzustellen. Nach diesen Konfigurationen muß das Programm neu gestartet werden.
Jammer überwacht auch die Registrierungsdatei (Windows Registry), das heißt, es überprüft alle Einträge, die mit Run beginnen. Wenn man also ein neues Programm installiert, das sich in die Registry entsprechend eintragen und automatisch nach dem Booten starten will (auch Trojaner arbeiten so), dann meldet sich Jammer und fragt, ob es diesen Eintrag zulassen soll. Man kann dann mit »Ja« oder »Nein« den Eintrag zulassen oder verweigern.
Die Sprache von Jammer ist Englisch. Das Glucksen versteht man überall.
Tip: AltaVistas fabelhafter Online-Übersetzungsdienst für Text-Passagen und ganze Web-Seiten.
Ein spezielles und exklusives Service auf unserer Web-Seite Sicherheit im Kabelnetzwerk! Nichts ist so wertvoll wie die Erfahrungen und Meinungen der Anwender selbst – im Vergleich zu allen blumigen Versprechungen der Marketing-Spezialisten und Werbeprofis auf ihren Web-Seiten und in Zeitschriften.
Überall, wo dieser
Hier oben also nochmals die Hyperlink-Tasten für die Bewertung von Jammer, auf den nächsten Seiten jene für AtGuard und die anderen Personal Firewalls. Soeben haben wir auch die Virenscanner der direkten und interaktiven Rezension durch den Anwender freigegeben.
Wer also schon einige Erfahrung mit dieser Software hat, möge sich bitte die paar Sekunden Zeit nehmen und seine Bewertung abschicken. Vielen Dank im voraus im Namen aller, die vor der Qual der Wahl stehen
Dieses Bewertungs-Service (nähere Erläuterungen dazu) wurde Mitte Mai 2000 eingerichtet. Die folgende Übersicht wird etwa monatlich erneuert, die detaillierten und aktuellen Ergebnisse und Reviews erscheinen nach Klick auf die Zahlen, von dort aus kann auch gleich bewertet und kommentiert werden:
In des tumben Toren Hand
ist das beste Werkzeug Tand.
Daniel Düsentrieb
Keine "Datei- und
Druckerfreigabe" installieren
Windows-Firewall
AtGuard
elektronischen Privatsphäre im Breitband-Internet
Copyright-Info
Diese Seite wurde zuletzt am Sonntag, dem 06. Januar MMII, aktualisiert
URL der Website Sicherheit im Kabelnetzwerk : http://www.pages.at/heaven
URL dieser Seite: http://www.pages.at/heaven/sec004.htm
eMail an die Redaktion: ms
: User online | Heute, am : Seitenaufrufe, Besucher | Details