Tipps & Tricks
03.02.2001, 04:15 Uhr
Wie ernst sind diese Firewall-Alarme?
Schon ziemlich früh, als ich mir für zuhause den Internetzugang per Kabelmodem geleistet habe, legte ich mir auch gleich ein Schutzprogramm (Firewall) namens BlackIce Defender 2.1 zu. Dieses scheint einwandfrei zu funktionieren, denn praktisch jedesmal, wenn ich online bin, erfahre ich während der Session einen Angriff, welcher gleich abgewehrt wurde. Nun tauchen bei mir zwei Fragen auf: 1. Es kommt mir manchmal der Verdacht auf, als seien diese Angriffe nur Scheinangriffe, um mich im Kauf dieses Schutzprogrammes zu bestätigen und dafür zu werben. Kann das zutreffen oder ist es tatsächlich möglich, soviele Angriffe zu erfahren? 2. Solche Angriffe werden natürlich registriert und ich erhalte zu diesen die Information über deren Ursprung mittels IP-Adresse und meistens noch mit DNS. Z.T auch noch mit weitergehenden Infos zu NetBIOS, Node und Group. Nun nützen mir diese Angaben nicht weiter, weil ich nicht weiss, wem ich diese Angaben zur Weiterverfolgung weitergeben kann, um diese Hacker allenfalls zu entlarven und auf deren Provideren sperren zu lassen (ich gehe davon aus, dass Provider kein Interesse an Hackern als Kunden haben). Dies nicht nur meinetwillen, sondern vielmehr im Interesse aller Internetuser. Mein Provider konnte (oder wollte) mir dabei nicht weiterhelfen. Wohin kann ich mich also wenden um diese Hacker zu entlarven? Wem kann ich meine Hackerliste übergeben?
Dass Sie sich mit einer Kabelmodem-Verbindung eine Personal Firewall zugelegt haben, war eine sehr gute Idee. Ihre These mit den Scheinangriffen des Herstellers können wir aber überhaupt nicht teilen. Sowohl die Hersteller von BlackIce als auch jene ähnlicher Produkte haben weit besseres zu tun, als Privatkunden auf diese Art zu belästigen. Dies wäre denen auch kaum möglich, weil gerade die vielen Millionen Privatbenutzer ständig wechselnde IP-Adressen haben. Unmöglich, sowas zu verfolgen. Wir verstehen aber, dass Sie aufgrund der Alarme verunsichert sind. Der Einfachheit halber unterteilen wir untenstehend diese Alarm-Ereignisse in drei Stufen.
Stufe 1 (Harmlos): Wenn eine solche Personal Firewall eher auf "empfindlich" eingestellt ist, gibt sie Alarme aus, wo es nichts zu alarmieren gibt. Sogar eine simple ICQ-Message könnte einen solchen Alarm auslösen. Oder eine Webseite, die Sie vorzeitig geschlossen haben und die Ihnen noch einige Minuten lang (oder sogar Stunden lang) versucht Daten zu schicken.
Stufe 2 (Port-Scans): Ein Möchtegern-Hacker (auch "Script-Kiddie" genannt) hat sich einen Trojaner-Client installiert und sucht damit ganze IP-Adress-Bereiche nach offenen Servern (Ports) ab. Wäre das Gegenstück des Trojaners (der Server-Teil) auf Ihrem PC vorhanden, dann würde er den einen oder anderen Port Ihres PCs freilegen (anbieten, "serven"). Dass solche Port-Scans im IP-Adressbereich von Standleitungsanbietern öfter vorkommen, überrascht nicht. Denn genau dort sitzen User, die während mehrerer Stunden mit der gleichen IP-Adresse online sind und oft genug Sicherheitsmassnahmen vergessen. Ein reiner Port-Scan ist übrigens z.B. gemäss amerikanischem Recht seit einem Urteil (Winter 2000/2001) nicht strafbar. Nur zu sehen, ob die Haustüre offen ist, stellt noch keinen Einbruch dar. In eine ähnliche Richtung wird sich wohl auch das europäische oder helvetische Recht entwickeln.
Stufe 3 (Hack und Datenklau): Erst wenn ein Script-Kiddie oder Hacker erfolgreich war und Daten zerstört, verändert oder geklaut hat, könnte eine Straftat vorliegen. Das PCtip-Kummerkasten-Team kann hierzu keine Rechtsberatung betreiben.
BlackIce sollte Ihnen beim Alarm oder in einem Protokoll (Logfile) einige Daten liefern: Von welcher IP-Adresse und Port kam der "Angriff" und erfolgte auf welchen Port in Ihrem System? Wir haben hier momentan keinen BlackIce Defender am Laufen, aber Sie sollten in dessen Hilfedateien oder auf dessen Webseite nach einer Liste mit Ports suchen. Manche Ports sind harmlos und betreffen wirklich nur HTTP (Rückmeldungen von Webseiten). Wenn die Firewall-Hilfe etwas taugt, darf ein Hinweis auf das Zurückverfolgen solcher Angriffe nicht fehlen.
Haben Sie eine Liste mit IP-Adressen gesammelt, die Ihren PC angreifen wollten, klären Sie zuerst ab, ob diese zu öffentlichen Diensten, wie z.B. ICQ gehören. Wenn es immer wieder die selben sind, können Sie *deren* Provider um Hilfe bitten. Ihr eigener Provider kann Ihnen dabei kaum helfen, weil auch dieser nicht mehr Informationen hat. Wie weiter erwähnt, sollte unseres Erachtens der Hersteller der Firewall-Software ein paar Hinweise liefern, wie Sie allenfalls einem gezielten Angriff auf die Spur kommen.
Kommentare
Es sind keine Kommentare vorhanden.
