Security-Suiten im Test
Löchrige Firewalls

Sicherheit

Keylogger, Rootkits und Trojaner schleusen geheime Daten wie TANs und Passwörter von Ihrem PC ins Internet – und die meisten Firewalls merken das gar nicht.

Kein hundertprozentiger Schutz

Security-Suiten im Test

Personal Firewalls dichten den PC von außen ab und schützen so vor Angriffen aus dem Internet. Doch die Hersteller versprechen auch, dass ihre Produkte ungewollte ausgehende Verbindungen blockieren – etwa wenn ein Keylogger mitprotokollierte Passwörter oder PIN-Nummern an einen Server übermitteln will. Doch Vorsicht: Dass dies keiner Firewall hundertprozentig gelingt, zeigt PC Professionell anhand unterschiedlicher Ausbruchsszenarien.

Ins Testlabor kommen neben der integrierten Firewall von Windows XP SP 2 auch die Norton Personal Firewall als Bestandteil der Norton Internet Security Suite 2006 von Symantec sowie ZoneAlarm Pro aus der Internet Security Suite 2006 von Zone Labs. Ebenfalls im Test sind die Outpost Firewall Pro 3.5 von Agnitum und die Kerio Firewall 4.2 von Sunbelt Software.


Firewalls gezielt knacken

Security-Suiten im Test

Um Daten unerkannt an der Firewall vorbeizuschmuggeln, muss ein Trojaner eine offene Lücke im Sicherheitsverbund aus Betriebssystem und Firewall finden. Mit so genannten Leaktests spüren die PCpro-Tester solche Datenlecks auf. Im Test laufen die Firewalls mit empfohlenen Standardeinstellungen.

Um gezielt die Funktionen der Firewalls zu testen, werden Zusatzkomponenten wie Viren- oder Spywarewächter deaktiviert. Ein generelles Problem zeigen die Windows-Firewall und die Norton-Firewall von Symantec. Das Microsoft-Produkt kümmert sich nicht um ausgehende Verbindungen, sondern meldet lediglich Anwendungen, die permanent einen Port öffnen wollen – alle Testprogramme können sich ohne Probleme nach außen verbinden.

Aber auch Symantec macht es nicht besser. Die ersten sieben Tage nach der Installation arbeitet die Firewall im Lernmodus. In dieser Phase sieht sie alle Programme als vertrauenswürdig an, die auf das Internet zugreifen – unabhängig davon, ob es sich um einen harmlosen Client oder aber ein Spionagetool handelt.

Der Anwender muss zu diesem Zeitpunkt also über ein sauberes System verfügen. Nur kann das kaum ein Nutzer wirklich garantieren. Für den Test bleibt der Lernmodus zwar deaktiviert, die Firewall lässt sich aber trotzdem von den meisten Tools austricksen.


Spion getarnt als Internet Explorer

Security-Suiten im Test

In der ersten und vermeintlich einfachsten Aufgabe ersetzen die Tester die vertrauenswürdigen Programme firefox.exe und iexplore.exe durch ein Leaktool (Leaktest 1.2). So getarnt, versucht dieses, eine Verbindung nach außen herzustellen und schafft das bei allen Kandidaten. Da die meisten Firewalls mit Checksummen arbeiten, erkennen sie die Änderung der Applikation trotz Namensgleichheit und liefern eine Meldung. Der Hinweis meldet den Zugriffsversuch von firefox.exe oder iexplore.exe, was die meisten Nutzer wohl erlauben werden.

Fatalerweise schlagen Norton, ZoneAlarm und Outpost vor, eine passende Zugriffsregel zu erstellen – in allen Fällen konnten die Tester so die Firewall erfolgreich tunneln. Noch schlimmer, im Testfeld lassen die Windows-Firewall und Kerio die Kommunikation ganz ohne Warnung zu.


Gezielte DLL-Manipulation

Security-Suiten im Test

Einen ausgefeilteren Test führt PCpro mit dem Leaktool pcAudit durch: Mittels DLL-Injection versucht es, seine Daten an der Firewall vorbeizuschmuggeln: Er packt seinen Code in die DLL (Dynamic Link Library) des Internet Explorers, der vollen Webzugriff genießt. Nur Kerio und Outpost prüfen DLLs genauer, die anderen lassen sich täuschen.

So kann ein Spion bei der Windows- und Norton-Firewall ungestört einen Remote-Rechner kontaktieren und zuvor gesammelte Tastatureingaben dorthin senden. ZoneAlarm hingegen warnt nur vor dem Keylogger, die eigentliche Datenübertragung geht aber ohne Probleme über die Bühne.


Speicher-Angriff mit Tücken

Security-Suiten im Test

Die nächste Teststufe im PCpro-Labor heißt Adress-Space-Injection. Statt in eine DLL schreibt sich das Leaktool Thermite in den Adressbereich eines vertrauenswürdigen Prozesses. Diese Aktion entdecken nur Outpost, Kerio und ZoneAlarm. Gleich sechs verschiedene Tests mit einer Gesamtwertung von 10 Punkten absolviert der Atelier Web Firewall Tester 3.1, den die PCpro-Tester als Nächstes anstoßen. Dabei kommen DLL-Injection, Address-Space-Injection und versteckte Fensteroperationen zum Einsatz. Top sind in dieser Disziplin nur Outpost und ZoneAlarm. Kerio schafft nur 5 Punkte, Norton 3 Zähler und Schlusslicht ist die Windows-Firewall mit 0 Punkten.

Breakout Wallpaper simuliert einen Ausbruchsversuch über eine bestimmte Windows-Schwachstelle. Der Test im PCpro-Labor nutzt Schwächen im Active Desktop, um beliebige Daten über eine URL-Anfrage an einen Server zu schicken. Lediglich Outpost meldet eine ausgehende Verbindung des Windows-Explorers zu www.dingens.org. Lassen Sie wie vorgeschlagen eine Regel nach Vorlage erstellen, wird dieser Versuch effektiv unterbunden. Die anderen Kandidaten lassen sich allesamt übertölpeln.


Spionage um zwei Ecken

Security-Suiten im Test

Sehr trickreich zeigt sich der Surfer-Leaktest. Er erzeugt einen versteckten Desktop, ruft darin den Internet Explorer ohne URL (also auch ohne Netzwerkzugriff) auf und übergibt Programm-Parameter per DDE (Direct Data Exchange).

Die Windows-Firewall, Norton und Kerio lassen sich damit erfolgreich austricksen. Outpost meldet auch hier verlässlich, dass ein versteckter Prozess eine ausgehende Netzwerkverbindung verlangt und blockiert diese. Ebenso gut ist der Vorschlag von ZoneAlarm, den Zugriff von surfer.exe zu verweigern.


Abschalten zu oft erlaubt

Security-Suiten im Test

Die beste Alarmanlage nützt nichts, wenn ein Einbrecher sie einfach abschalten kann. Dennoch schützt nur ZoneAlarm ausreichend vor Manipulationen. Bei den anderen Kandidaten gelingt es den Testern, entweder den Firewall-Prozess oder den Hintergrunddienst abzuschalten.

Im PCpro-Test kann keine Firewall alle Versuche stoppen, Daten unbemerkt aus dem PC zu schmuggeln – die Windows-Firewall stoppt solche Aktionen generell nicht. Oft warnen die Produkte auch nur sehr allgemein und erstellen selbst falsche Regeln.

Sie können einen Rechner mit einer Personal Firewall allein niemals hundertprozentig gegen Verbindungen nach außen absichern. PCpro testet deshalb in Ausgabe 8 Security-Suiten, die auch noch Viren- und Spyware-Scanner integrieren.