OneCare Firewall: ein leichtgewichtiger Lösungsansatz für eine schwere Aufgabe
Einleitung
Seitdem Microsoft im Juni seine Sicherheitssuite Windows Live OneCare veröffentlicht hat, gab es zahlreiche Diskussionen darüber, wie der durchschnittliche Computerbenutzer von diesem Produkt profitieren würde und ob es wirklich seinen Zweck erfüllt, den Endverbrauchern einen zuverlässigen, aber dennoch einfach anzuwendenden Computerschutz zu bieten. Zusätzlich zu diesen Diskussionen gab es Vorwürfe (http://sunbeltblog.blogspot.com/2006/06/microsoft-practices-predatory-pricing.html), dass Microsoft sich an einer räuberischen Preisgestaltung beteilige, mit dem Ziel, die Konkurrenz aus dem Feld zu schlagen und Innovationen im Bereich Sicherheit für Endverbraucher zu ersticken.
Um alle Argumente und Gegenargumente dieser Debatte zu verstehen, haben wir beschlossen, das Produkt zu installieren und unsere eigene firmeninterne Beurteilung des in der OneCare-Suite gebündelten Firewallschutzes durchzuführen. Wir freuen uns, Ihnen die Ergebnisse dieses Testdurchlaufs in der Security Insight-Ausgabe dieses Monats vorzustellen.
Ein kurzer Blick
Die OneCare-Benutzeroberfläche wirkt hoch entwickelt und gut organisiert; sie hat ein farbenfrohes Informationsfenster, von dem aus man auf alle Programmeinstellungen und Befehle zugreifen kann. Das Programm basiert auf Microsofts eigener .Net-Technologie und erfordert die Installation des .Net-Pakets, bevor der Anwender es benutzen kann.
Da wir hauptsächlich an der Firewall-Komponente interessiert waren, klickten wir direkt den Firewall-Tab an verfügbar aus dem Einstellungsmenü. Der Rest dieses Artikels ist eine Beschreibung der Erfahrungen und Eindrücke, die wir während der Benutzung der OneCare-Firewall gesammelt haben.
Die Programmbehandlung einer Firewall
Werksmäßig ist die OneCare-Firewall so eingestellt, dass Programme in einem automatischen Modus behandelt werden jeder Programmzugriff wird durch die von Microsoft erstellten und bereitgestellten Programm-Verhaltensregeln verwaltet. Diese Regeln beinhalten Programme, die sich mit dem Internet verbinden dürfen, und die Firewall lässt die Verbindung einfach ohne Einschränkung zu.
Das Problem mit diesen Regeln ist, dass sie nur eine sehr begrenzte Zahl an Anwendungen abdecken, so dass der Anwender ständig auf Benachrichtigungen für andere völlig zugriffsberechtigte Programme reagieren muss, sobald sie versuchen, auf das Internet zuzugreifen. Eine weitere Schwäche dieses Ansatzes ist es, dass die Firewall, egal ob sie im automatischen oder im anwenderdefinierten Zugriffsmodus arbeitet, zunächst einmal den Internetzugriff für das Programm blockiert und dann nachfragt, ob das Programm bei nachfolgenden Gelegenheiten die Erlaubnis für den Internetzugriff erhalten sollte.
Das bedeutet, dass ein zulässiges Programm, das zum ersten Mal Zugriff auf das Internet verlangt (in unserem Fall ein IM-Chatprogramm) sich nicht mit dem Internet verbinden kann. Nach einer kurzen Verzögerung erschien eine Nachricht mit dem entsprechenden Inhalt auf dem Bildschirm. Es ist nicht besonders benutzerfreundlich, Programmen, die zum ersten Mal einen Internetzugriff verlangen, die Verbindung zu verweigern, und es schränkt die Programmfunktionalität ein, bis ein Neustart den Programmbetrieb wieder in den Normalstand zurückversetzt. Die Art, auf die unbekannte Programme von der Firewall behandelt werden, hinterlässt beim Anwender den Eindruck, dass jedes Programm als schuldig gilt und entsprechend blockiert wird bis das Gegenteil bewiesen wird.
Das kann über das Abschneiden von OneCare bei Leaktests nicht behauptet werden (http://www.firewallleaktester.com, http://www.pcflank.com). Nachdem OneCare ein paar Stunden im Betrieb war und eine Zugriffsregel-Datenbank von annehmbarer Größe erstellt hatte, unterzogen wir die Firewall einer Reihe von Leaktests, die überprüfen sollten, wie das Programm die Anwender gegen imaginäre Malware-Versuche beschützen würde, Daten vom Hostcomputer heraufzuladen. Die Ergebnisse fielen ausgesprochen schlecht aus, und die OneCare-Firewall bestand nur die einfachsten und leichtesten Leaktests und fiel bei allen anderen durch. Amüsanterweise hat die Firewall Leaktests so behandelt, als handele es sich um den normalen Windows Explorer (explore.exe), Internet Explorer oder andere vertrauenswürdige Anwendungen, die üblicherweise auf Windows-basierten Computern eingesetzt werden. Sie es also nicht geschafft, die Tendenz der Tests zu erkenn,vertrauenswürdige Anwendungen nachzuahmen, Code in sie einzuspeisen oder sie zu übernehmen, so dass sie in deren Namen daraufhin Zugriffsberechtigung erhielten.
Diese schwache Leistung hat weit reichende Folgen: Keinem gut funktionierenden Malware-Programm würde es Probleme bereiten, Daten von einem durch OneCare geschützten Computer zu stehlen, und die Firewall gab nicht einmal einen Piepston von sich, um das zu verhindern. Das ist ein ziemlich ernstes Defizit, da es eine der Hauptfunktionen einer Firewall ist, gegen unberechtigte Programmverbindungen zu schützen sowohl eingehend als auch ausgehend. In dieser Hinsicht erfüllt OneCare nicht einmal die Mindestanforderungen an eine effektive Firewall.
Die OneCare Firewall ist so einfach, dass sie nicht einmal die Möglichkeit zur Erstellung weitergehender Programm-Zugriffsregeln bietet man kann für ein Programm den Zugriff auf das Internet entweder zulassen oder ihn ablehnen. Man kann keine Regel erstellen, die es zum Beispiel dem Internet Explorer erlauben würde, auf einige Websites zuzugreifen und auf andere nicht (beispielsweise auf der Grundlage der IP-Adressen). Auch kann man zum Beispiel keine zeitlich begrenzten Zugriffsregeln erstellen und weitergehende Zugriffsparameter für die Verbindungsarten von Programmen zum Internet anwenden, wie zum Beispiel die Festlegung von vertrauenswürdigen Zugriffsports und Protokollen für bestimmte Anwendungen.
Trotz dieser Hauptschwachstellen hat OneCare andere Hauptmerkmale, sowohl gute als auch schlechte, die erwähnenswert sind.
Netzwerkkonfiguration und Abwehr von Eindringlingen
Die OneCare Firewall erkennt Ihre Netzwerkkonfiguration und kann den Zugriff auf Dateien und Drucker des Anwenders auf Mitglieder desselben Netzwerks begrenzen, wobei der Zugriff aus dem Internet eingeschränkt ist. Genau wie beim Gestatten von Programmzugriffen ist diese Funktion sehr einfach. Man kann keine erweiterten Regeln erstellen oder erweiterte Whitelist- oder Blacklist-Einstellungen für entfernte Standorte für den Internet- oder komplexen Netzwerkbereichszugriff festlegen. Dieselben Einschränkungen treffen auch auf den Zugriff durch den Remote Desktop zu.
Erstaunlicherweise fehlen OneCare die anerkannten, branchenüblichen Erkennungs- und Schutzsysteme gegen Eindringlinge, die von den meisten Firewalls anderer Anbieter (Outpost Firewall Pro, Norton Personal Firewall) verwendet werden. Das ist ein ernstes Versäumnis, da heutzutage zahlreiche Hacker-Tools verfügbar sind, die automatische, breitgestreute Eingriffsversuche auf Tausende von Computern generieren können, in der Hoffnung, unzureichend geschützte PCs zu entdecken, die in Zukunft ausgenutzt werden können. Diese Tools werden ständig verbessert und erweitert, und es ist ziemlich beunruhigend, dass Microsoft seinen OneCare-Kunden keinerlei Schutz gegen solche Angriffe bietet.
Die Paketfilterung von OneCare ist auf demselben Stand wie die der Konkurrenz, und die Möglichkeit, für jedes beliebige Protokoll einen Portbereich auszuwählen, ist eine nützliche Funktion.
Leistung und Kompatibilität
Obwohl das Programm auf einem Computer in der mittleren Leistungsklasse recht schnell arbeitet, ist die Art und Weise, wie es erstmals gestartete Programme behandelt, nicht gerade zufriedenstellend. Werksmäßig werden alle ausgeführten Programme einem Erst-Spyware-Scan durch den Windows Defender von OneCare (zur Zeit in der Beta 2-Version) unterzogen, was die Programmausführung um immerhin zehn Sekunden verzögert. Darüber hinaus haben wir gegen Ende unserer Beurteilung festgestellt, dass das nicht unbedingt auf die Erstausführung eines Programms beschränkt ist. Der Windows Defender wird separat vom Update des Hauptprogramms aktualisiert und kann jederzeit starten, ungeachtet dessen, wie viel Bandbreite man gerade benutzt. Wenn das Update zum Beispiel startet, wenn der Anwender gerade an einem entscheidenden Punkt eines Online-Spiels angelangt ist, könnte das zu bösen Unterbrechungen im Spielablauf führen.
Wir stellten bei OneCare außerdem Kompatibilitätsprobleme fest aber nicht die, die man erwarten würde. Vor der Installation der Software hatten wir auf unserem Computer bereits eine Firewall in Betrieb (selbstverständlich genauso wie es bei den meisten Leuten der Fall wäre). Raten Sie einmal, was dann geschah? OneCare versäumte es, uns auf eine Notwendigkeit hinzuweisen, die vorhandene Firewall zuerst zu deinstallieren, bevor wir mit der Installation von OneCare fortfuhren. Also fanden wir heraus, dass OneCare reibungslos gleichzeitig mit Outpost Firewall Pro lief und dass Outpost Firewall die erste Firewall war, die das System überwachte, Fragen stellte und den Benutzer beschützte und nicht OneCare. Das sind weniger gute Nachrichten für OneCare.
Bevor wir unsere Tests abschlossen, kam es zu einem weiteren unglücklichen Vorfall OneCare blockierte den Internetzugriff für unsere installierten Browser (IE, Firefox) komplett und erlaubte ihnen die Internetverbindung nur im nichtlaufenden (abgeschalteten) Firewall-Modus. Zu dem Zeitpunkt haben wir uns dann endgültig von der gesamten OneCare-Suite getrennt.
Schlussfolgerung
Obwohl das Programm sehr intuitiv zu bedienen, nett anzuschauen und einfach anzuwenden ist was für das Zielpublikum von unerfahrenen Anwendern von Vorteil ist ist die Funktionalität eine große Enttäuschung und leistet genau diesem Publikum von unerfahrenen Anwendern keine besonders guten Dienste. Es erinnert uns an eine dieser farbenfrohen, funktionsbeladenen grafischen Benutzeroberflächen (GUI) ohne etwas dahinter, die man manchmal auf Messen sieht, weil die Hersteller nicht rechtzeitig mit dem vollständigen Programm fertiggeworden sind. Microsoft OneCare benötigt eine ernsthafte Generalüberholung, ehe es als mehr als nur eine kunstvolle Oberfläche ohne wirkliche Sicherheit unter der Motorhaube betrachtet werden kann. |
