GDATA 2011, Verbesserungsvorschläge / Wünsche Einstellungen

[Tiranon]

Hallo

die Entwickler von der 2011er Version von GDATA arbeiten bestimmt schon hart an der neuen Version. Jetzt wollte ich mal fragen (nur so aus Neugier) was Ihr Euch so für die neue Version wünschen würdet oder welche Verbesserungen Ihr gern haben wollt?

Vielleicht geben wir den Entwicklern ja noch eine "kleine" Idee!

Freu mich auf Eure zahlreichen Beiträge

Vielen Dank und liebe Grüße

[waky]

@Julian

Na klar kann ich das belegen (so wie ich es geschrieben habe), allerdings wird das ein bisschen schwer zu lesen sein.

ich will aber vorher darauf hinweisen das es keinen 100%igen schutz gibt und ich das auch nicht geschrieben habe... ich bin nur der meinung das Gdata auch bei der FW funktion bisher einen guten job geleistet hat.

vorher gesagt sei noch ... es gibt sicher auch Firewalls die das auch anbieten ... ich bin leider bei meiner vorherigen wahl enttäuscht worden.

Bei gdata kann man die programme, welche andere programme- und damit eine internetverbinung starten auf bestimmte programme beschränken.
soll heissen sie können nur von einem bestimmten (vorher eingetragenen) programm gestartet werden. Ist dies nicht der fall kommt die abfrage ob die verbindgung erstellt werden darf. Somit kann ein programm aus einer dll/exe injection keine direkte verbinung ins internet schaffen indem es über eine nicht vorgesehene exe/dll datei eine verbindung ins internet schafft.

Beispiel
1. ICQ6.exe startet Firefox .... ist erlaubt darf starten
2. infec.exe startet Firefox .... es wird angefragt ob infected.exe -> firefox.exe überhaupt starten darf und eine verbindung ins netz herstellen darf

Joah und wie bei jedem anderen FW programm können die erlaubten ports angegeben werden für die jeweiligen programme welche internetverbindungen schaffen können.

Jetzt werden einige sagen Rootkit klingt so krass das is doch sicher noch viel mehr ... meiner meinung nach wird das sehr überschätzt.
Mit rootkits kann man lediglich falsche tatsachen vorspiegeln. Würde man eine verbindung mit hilfe eines Rootkits verstecken würde man die verbindung trotzdem angezeigt bekommen, nur würde sie dann nicht die sein die sie scheint zu sein.

die dll/exe injection ist wirklich schwer zu erkennen ... aber für den ersteller dieser wird es bei einer richtig konfigurierten FW, und den oben gegebenen möglichkeiten, allerdings sehr schwer ein programm zu starten was dann versteckt ins internet verbindet.
wie schon oben geschrieben kenne ich viele programme welche diese möglichkeit eben nicht anbieten sondern nur eine bei der das programm entweder ins internet connecten darf oder nicht und eben nicht vorher geschaut wird von welchem programm dieses gestartet werden darf!

etwas verwirrend geschrieben ich hoffe man kann das einigermaßen deuten

grüße waky

@Solution-Design

da musst du mal deinen Arzt fragen

[Julian]

Bei gdata kann man die programme, welche andere programme- und damit eine internetverbinung starten auf bestimmte programme beschränken.
soll heissen sie können nur von einem bestimmten (vorher eingetragenen) programm gestartet werden. Ist dies nicht der fall kommt die abfrage ob die verbindgung erstellt werden darf. Somit kann ein programm aus einer dll/exe injection keine direkte verbinung ins internet schaffen indem es über eine nicht vorgesehene exe/dll datei eine verbindung ins internet schafft.

Beispiel
1. ICQ6.exe startet Firefox .... ist erlaubt darf starten
2. infec.exe startet Firefox .... es wird angefragt ob infected.exe -> firefox.exe überhaupt starten darf und eine verbindung ins netz herstellen darf

Gegenbeispiel: explorer.exe darf Firefox.exe starten, malware.exe darf dies aber nicht.
malware.exe injiziert aber Code in die explorer.exe, woraufhin dieser die Firefox.exe startet und Gdata dann den Internet-Zugriff zulässt. Über gleich drei verschiedene Codeinjektionsarten kann das der CPILSUITE-Leaktest (funktioniert nur auf XP x32):
http://rapidshare.de/files/48654061/CPILSuite.7z.html
Das ist natürlich nur ein Beispiel, bei Matousec SSTS gibt es noch viel mehr Methoden, Gdata zu umgehen oder gleich zu killen, was nicht sehr schwer ist.

Joah und wie bei jedem anderen FW programm können die erlaubten ports angegeben werden für die jeweiligen programme welche internetverbindungen schaffen können.

Das bringt aber nicht viel, weil Malware über zig Ports kommunizieren kann.

Und bei Rootkits ist alles möglich: Vielleicht nutzt es Windows-Prozesse zum Internet-Zugriff (machen auf Nicht-Rootkits), vielleicht modifiziert es die Netzwerkschnittstelle so, dass gar keine Verbindung angezeigt wird etc.