david777
Goto Top

Ist PC ohne Firewall und ohne schaedlichen Code gefaehrdet?

Hallo ihr,

Da ich mich momentan sehr fuer IT Sicherheit interessiere, ist mir jetzt die Frage gekommen,
welche Sicherheitsluecken es ueberhaupt an einem PC gibt, wenn dessen Firewall deaktiviert ist.
Ich habe bisher immer geglaubt, dass es nur dann welche geben kann, wenn schaedlicher Code
auf dem entsprechenden PC liegt, denn nur der kann ja auch bestimmten Ports 'horchen', Daten
empfangen, und neuen Code ausfuehren.
Somit meine Frage: Wenn ich einen PC direkt im Internet, ohne Firewall habe, auf dem jedoch noch
keine Form schaedlichen Codes liegt, und ein Hacker, wuerde meinen PC im Netz durch IP-Scanner
finden, braeuchte er erst eine Aktion des Users (von mir), damit er meinem PC ueberhaupt
etwas anhaben kann? Also muesste ich nicht ein Programm herunterladen, einen Mailanhang oeffnen,
oder sonst was tun?
Was genau bringen offene Ports Hackern ueberhaupt, wenn es doch kein schaedliches Programm gibt
was auch aktiv auf ihnen lauscht?

Vielen Dank fuer eure Hilfe

David

Content-ID: 110442

Url: https://administrator.de/forum/ist-pc-ohne-firewall-und-ohne-schaedlichen-code-gefaehrdet-110442.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

harald21
harald21 03.03.2009 um 15:58:15 Uhr
Goto Top
Hallo,

natürlich ist dein PC dann akut gefärdet:
1. Auf offenen Ports warten Serverdienste auf Anfragen.
2. Ein Hacker sendet eine spezielle Anfrage an einen dieser offenen Ports. Speziell deshalb, wei hierduch ein Buffer Overflow (oder eine andere ungewünschte Aktionausgeführt wird).
3. Durch den Buffer Overflow hat der Hacker die Möglichkeit von ihm gewünschte Funktionen auf deinem PC auszuführen (z.B. ein Scahdprogramm aus dem Internet herunterzuladen und zu starten).
4. Du hast eigentlich keine Möglichkeit dich dagegen zu schützen. Es wird imemr den einen oder anderen Programmfehler geben, der einen Buffer Overflow auslösen kann. Um diese Sicherheitslücken zu schließen bietet ja M$ die monatlichen Hotfixe an. Leider werden hierduch nur die bisher bei M$ bekannten Sicherheitslücken geschlossen (und auch das manchmal nur mit monatelangder Verspätung). Es existieren jedoch viele Sicherheitslücken, die zwar den Hacker bekannt sind, für die jedoch M$ noch kein Patch bereitsgestelt hat.

So, ich hoffe ich konnte etwas Klarheit bringen.

mfg
Harald
Logan000
Logan000 03.03.2009 um 16:01:01 Uhr
Goto Top
Moin Moin

Wenn ich einen PC direkt im Internet, ohne Firewall habe, auf dem jedoch noch keine Form schaedlichen Codes liegt, und ein Hacker, wuerde meinen PC im Netz durch IP-Scanner finden, braeuchte er erst eine Aktion des Users (von mir), damit er meinem PC ueberhaupt etwas anhaben kann?
Nicht ganz. Es brauch schon eine Aktion, aber nicht zwingend die eines Users.
Das können auch Dienste sein die da interagieren. Fehler in diesen Programmen könnten genutzt werden um schadhaften Code auszuführen.
Wenn du z.B. auf einem Windowssystem alle Dienste (soweit möglich, ein paar sind zwingend) deaktivierst hast du ein ziemlich sicheres System. Damit kann man zwar nicht mehr soviel anfangen aber sicher ist sicher.

Gruß L.
David777
David777 03.03.2009 um 16:14:06 Uhr
Goto Top
Ah so etwas in der Richtung hatte ich mir schon gedacht. Das also die Dienste auch eine entscheidende Rolle spielen. Der Hacker tut also nichts anderes, als an seinem eigenen PC zu gucken, welche Dienste anfaellig sind, und dieses Wissen nutzt er dann bei allen moeglichen PCs aus.
Aber man kann doch theoretisch jegliche Form von boesem Dienst auch mit netstat beobachten, oder?
Wenn man also (auch ohne Firewall) darauf achtete, dass netstat keine boesen Ports offen hat, muesste
es auch so sicher sein, wie wenn ich alle Dienste deaktiviere?
maretz
maretz 03.03.2009 um 16:19:53 Uhr
Goto Top
Also - nehmen wir an du hast nen Betriebssystem welches wirklich NUR lokale Dienste hat und keinen einzigen auf einer öffentlichen Adresse hat. DANN hast du auch ohne Firewall einen sicheren PC - weil ein Hacker diesen PC nicht angreiffen kann.

Aber: Ein solches Betriebssystem wird es nicht geben (Dos/Windows 3.1 sind ja u.a. eher selten anzutreffen ;) ). Ein Windows hört auch in der normalen Installation schon auf verschiedenen Ports (RPC-Ports, Nachrichtendienst usw... - je nach Windowsversion). Genauso ist es bei Linux (damit hier keiner sagt Linux wäre sicherer in der Hinsicht - auch hier sind per Default verschiedene Ports offen...). Und genau hier kommt es zum Problem -> denn ohne Firewall kann ein kleiner Programmierfehler hier schon zu den größten Problemen führen... (oder auch die Unachtsamkeit des Users - wer z.B. bei Linux für den User "root" das Passwort "root1" vergibt is selbst schuld...)
jhinrichs
jhinrichs 03.03.2009 um 16:20:56 Uhr
Goto Top
Es gibt keine "boesen" oder "guten" ports. Auf jedem System, das auch arbeitsfähig ist, sind Ports offen, da Rechner so miteinander kommunizieren. Auf Windows zum Beispiel tcp 137 etc. (SMB-Freigaben). Natürlich kann man alle diese Dienste deaktivieren, aber damit deaktiviert man auch seine Produktivität. Ein Hacker, um in diesem Klischee zu bleiben, kann auch "gute", d.h. für die "normale" Funktion eines Systems benötigte, Dienste über die von Harald beschriebenen Mechanismen kapern.
Wenn Du wissen willst, welche Ports bei Die offen liegen: http://www.heisec.de/dienste/portscan
Alphavil
Alphavil 03.03.2009 um 16:24:19 Uhr
Goto Top
Aber man kann doch theoretisch jegliche Form von boesem Dienst auch
mit netstat beobachten, oder?

Ich mein jeder hat so sein Hobby face-wink

Wenn man also (auch ohne Firewall) darauf achtete, dass netstat keine
boesen Ports offen hat, muesste
es auch so sicher sein, wie wenn ich alle Dienste deaktiviere?

Am sichersten ist es den Rechner auszuschalten face-wink


Ne Spass bei Seite, man sollte nie ohne eine Firewall ins Netz gehen. Wobei ich eine externe Firewall bevorzuge, es sei den du nutzt die Firewall von Linux oder MacOSX. Die Windowsfirewall ist nicht gerade der Burner. Aber eine Firewall ist auch nur so gut wie sie konfiguriert ist. Selbst ein Windows kann man sicher machen, nur ist der Aufwand etwas höher als bei anderen Systemen


Greetz

André
Jochem
Jochem 03.03.2009 um 16:27:33 Uhr
Goto Top
Moin,

Wenn ich einen PC direkt im Internet, ohne Firewall habe, auf dem jedoch noch keine Form schaedlichen Codes liegt, und ein Hacker, wuerde meinen PC im Netz durch IP-Scanner finden, braeuchte er erst eine Aktion des Users (von mir), damit er meinem PC ueberhaupt etwas anhaben kann? Also muesste ich nicht ein Programm herunterladen, einen Mailanhang oeffnen, oder sonst was tun?

Ein wie auch immer gearteter "IP-Scanner" kann nur "Etwas" scannen, wenn da "Etwas" ist.

Im Normalfall hast Du Dir einen Provider ausgesucht, der Dir einen Zugang zum Internet bereitstellt. Der Provider sorgt dafür, daß Kommunikation bis zu dem "Netzwerkübergabepunkt" (Router, Modem, etc.) bei Dir möglich ist. Für die Abwicklung der internen Kommunikation zwischen Netzwerkübergabepunkt und Deinem Rechner bist Du zuständig. Dazu richtest Du normalerweise eine Netzwerkverbindung auf Deinem Rechner ein und weist die enstprechenden Systemprogramme (Serverdienste) an, auf festgelegten "Kontaktadressen" (Ports) einen Kommunkationsweg aufzubauen. Diese Ports werden an den Netzwerkübergabepunkt weitergereicht und erwarten dort nun Anfragen aus dem Netz oder schicken Informationen ins Netz. Insoweit muß also nicht "schädlicher Code" von außen eingetragen worden sein, die Aktion von Dir hat schon ausgereicht, daß der Rechner über das Internet erreichbar ist (der Scanner findet "Etwas")

In dem Augenblick, in welchem Du auf Deinem Rechner einen "Dienst" für Aktionen im Internet zur Verfügung stellst, ist dieser Rechner potentiell angreifbar. Da die Ports für bestimmte Aktionen standardisiert sind, können relativ einfach Kommunikationswege eingerichtet werden. Ob diese Wege nun "standardkonform" genutzt werden oder nicht, liegt im Ermessen desjenigen, der diese Wege benutzt.

Vergleich das einfach mal mit dem Telefon: Sobald Du einen Anschluß hast, kann Dich jeder, rein theoretisch, anrufen. Wenn Du willst, daß Du von Jedem angerufen wirst, dann läßt Du Deine Telefonnumer ins Telefonbuch setzen. Willst Du erreichen, daß Dich nur ein begrenzter Personenkreis anrufen kann, so unterläßt Du die Eintragung. Ob Du nun zu normalen Tageszeiten oder zu nachschlafender Zeit angerufen wirst, ist dem Anrufer selbst überlassen. Im ersteren Fall (Telefonbucheintrag) hast Du wenig Möglichkeiten, Dich dagegen zu wehren, im zweiten Fall ("geschlossene Benutzergruppe") kannst Du den Störenfried zurechtweisen, ob das was bringt ist eine andere Sache.

Gruß J face-smile chem
Logan000
Logan000 03.03.2009 um 16:44:19 Uhr
Goto Top
Moin

Aber man kann doch theoretisch jegliche Form von boesem Dienst auch mit netstat beobachten, oder?
Ich mein jeder hat so sein Hobby
Das kommt bei mir auch gleich nach Bildschimschoner beobachten. face-wink

Gruß L.
StefanKittel
StefanKittel 03.03.2009 um 19:17:55 Uhr
Goto Top
Hallo,

mal ein konkretes Schadbeispiel: Ich kenne eine Software für Zahnärzte (ca. 5000 Installation) die damals ein SQL Express Server mitbrachte. Dieser akzeptierte damals (ca. 2000) aber noch anonyme Anmelden die dann mit Administratorrechten ausgeführt wurden.

Wenn man damit und Win2000 (keine Firewall) ins Internet ging ohne Router (ISDN Karte z.B.) war das System offen wie ein Scheunentor!

Und davon wußte natürlich keiner der Anwender was.

Stefan
51705
51705 03.03.2009 um 20:11:02 Uhr
Goto Top
Hallo Stefan,

Zitat von @StefanKittel:
Hallo,

mal ein konkretes Schadbeispiel: Ich kenne eine Software für
Zahnärzte (ca. 5000 Installation) die damals ein SQL Express
Server mitbrachte. Dieser akzeptierte damals (ca. 2000) aber noch
anonyme Anmelden die dann mit Administratorrechten ausgeführt
wurden.

Ich bezweifel mal, daß es im Jahr 2000 einen SQL Express (Basis SQL 2005) gab - MSDE vielleicht?

Grüße, Steffen
StefanKittel
StefanKittel 03.03.2009 um 22:15:36 Uhr
Goto Top
Zitat von @51705:
Ich bezweifel mal, daß es im Jahr 2000 einen SQL Express (Basis
SQL 2005) gab - MSDE vielleicht?
Hallo,
Ja! genau. Ich hab die ganze Zeit gegrübelt, kam aber nicht auf den Namen.

Stefan