Dauernde Zugriffsmeldungen von Norton Internet Security

Die Leute in den Foren und Groups haben betreffend Blaster-Wurm wohl Recht. Der MS_RPC_DCOM Buffer-Overflow deutet auf die Sicherheitslücke hin, die Blaster mit grösster Hartnäckigkeit und Ausdauer ausnutzt. Windows-PCs, die alle Service-Packs und Updates haben, weisen diese Sicherheitslücke nicht mehr auf.

Womöglich haben Sie das in den Messageboards Gelesene nur falsch interpretiert. Sie schrieben, dass Sie die Norton- und Windows-Updates stets auf dem neusten Stand halten. Dann sind vermutlich nicht Sie diejenige, die sich einen Blaster-Wurm zugezogen hat, sondern ein Benutzer, der gerade mit der IP-Adresse 81.61.113.XX unterwegs war (die letzten zwei Ziffern ersetzen wir hier absichtlich durch XX). Gemäss Whois-Abfrage [1] gehört diese IP-Adresse zum Nummern-Bereich einer Firma (ev. ein Provider) in Barcelona. Ein dortiger PC ist mit Blaster infiziert und greift deswegen ziellos irgendwelche IP-Adressen an, so auch Ihre und ein paar hundert andere mehr. Ein Blaster-"Angriff" alle fünf Minuten ist übrigens keine grosse Überraschung. Zeitweise kann sowas auch mal im Sekundentakt passieren.

Betreffend der Meldung eines ICMP auf Port Nummer 8 tippen wir mal darauf, dass Ihr Computer angepingt wurde. Die IP-Adresse, von welcher der Ping kam (62.134.77.XX), gehört in den Nummernbereich eines deutschen Providers. Ein gewöhnlicher Ping [2] ist kein Einbruchsversuch und ist deshalb kein Grund zur Besorgnis. In lokalen Netzwerken und im Internet pingen Leute die ganze Zeit den einen oder anderen Computer an, z.B. um zu sehen, ob er noch am Netz hängt.

Wenn nicht gerade Blaster-Saison herrscht, wird ein Teil solcher Norton-Alarme erfahrungsgemäss durch so genannte Script-Kiddies (meist jugendliche Möchtegern-Cracker) ausgelöst. Zum Beispiel, indem diese durch Port-Scans [3] versuchen, Rechner zu finden, die angreifbare Dienste bzw. offene, nutzbare Ports anbieten. Ein Port-Scan alleine ist in den meisten Ländern nicht verboten und ist auch aus Vernunftsgründen noch nicht als Angriff zu werten.

Manche Desktop Firewalls haben in der Standardeinstellung leider die Unsitte, dem Benutzer dauernd jedes nicht angeforderte IP-Paketchen als "erfolgreich abgewehrten Angriff" unter die Nase zu reiben. Als wir im Spätsommer 2003 das Programmpaket Norton Internet Security 2003 anschauten, waren die automatischen Warnmeldungen standardmässig nicht aktiviert, worüber wir erfreut waren. Womöglich hat Symantec dies in der Version 2004 wieder geändert.

Wozu die Warnungen gut sein sollen, wissen wir nicht. Schliesslich ist das der Job einer Desktop Firewall, "Angriffe" zu blockieren. Grund zur Sorge hätten Sie höchstens bei jenen Attacken, die Ihnen Norton nicht anzeigt, weil er sie selber gar nicht bemerkt. Solange Sie sich keine Trojaner einfangen, keine unsicher konfigurierte Serversoftware installieren, keine ungeschützten Freigaben machen, alle Programme auf Sicherheit trimmen usw., besteht wenig Gefahr.

Nun aber zur Abhilfe:

Schalten Sie diese Alarme aus. Wir zitieren aus Seite 95/95 des PDF-Handbuchs [4], das auf der Webseite von Symantec zu finden ist:

(...)

Doppelklicken Sie im Hauptfenster auf "Persönliche Firewall". Wählen Sie im Fenster "Persönliche Firewall" im Dropdown-Listenfeld "Sicherheitsstufe auswählen für" das Konto aus, das Sie ändern möchten. Klicken Sie auf "Benutzerdefiniert". Wenn Sie bei jedem Verbindungsversuch eines Remote-Computers mit einem ungenutzten Port verständigt werden möchten, aktivieren Sie "Warnmeldung bei Zugriff auf ungenutzte Ports". Klicken Sie auf "OK".

(...)

Demzufolge müssten Sie bei "Warnmeldung bei Zugriff auf ungenutzte Ports" das Häkchen entfernen, um über solche Zugriffe nicht mehr informiert zu werden. Norton wird die "Angriffe" weiterhin blockieren, ohne Sie übermässig mit Warnungen zu verwirren.

Es werden aber weiterhin die Meldungen über "Angriffe" angezeigt, die via "Intrusion Detection" geblockt werden. Die Funktion ist im oben erwähnten Handbuch ab Seite 106 beschrieben. Die Einstellungen dafür finden Sie ebenfalls im Hauptfenster. Die "Intrusion Detection" sollten Sie aktiviert lassen. Für etwas mehr Ruhe entfernen Sie aber das Häkchen bei "Benachrichtigen, wenn Intrusion Detection Verbindungen blockiert".

Und wen es trotzdem interessiert, was etwa im Laufe eines Surf-Abends blockiert wurde, der findet in Norton Internet Security eine Art Protokoll unter dem Menüpunkt "Statistik" (im PDF-Handbuch ab Seite 171 erklärt).