Hier wird (nicht zum ersten mal) beschrieben, daß man die Finger von VS lassen solle und stattdessen lieber die SW updates favorisieren soll. Beitrag "Win10 Update-Wahn bekämpfen" Aber: Was nutzt einem die besten Software, wenn ... 1) an einem Excel ein faules Macro dranhängt? 2) ein aktueller Virus an einer Email dranhängt? 3) überhaupt etwas an der email dranhängt? Mein Virenscanner hat in allen 3 Fällen schon angeschlagen und mich auf komische Anhänge hingewiesen und Ich konnte es abwehren. Was wäre passiert, wenn Ich es geöffnet hätte? Was ist mit infizierten Seiten? Wenn Ich eine Seite habe, wehrt die Firewall ungebetene Scripte ab. Tut das das neueste update auch?
Hennes schrieb: >1... >2... >3... > Was wäre passiert, wenn Ich es geöffnet hätte? Was ist so schwer an: "ÖFFNE KEINE UNBEKANNTEN ANHÄNGE" ??? Jedes mal wieder der gleiche Mist. Überall warnt man davor und schon kommt der Nächste und klickt auf den Anhang von einer Person die er zwar nicht kennt, aber der Anhang super wichtig sein muss. Hennes schrieb: > Was ist mit infizierten Seiten? Seitdem Flash immer seltener wird, ist das nur noch ein sehr geringes Problem. Sonst sind da meist die MS-Browser anfällig gewesen. Ein Problem mit dem Virenscanner ist wahrscheinlicher.
Hennes schrieb: > Was nutzt einem die besten Software, wenn ... > > 1) an einem Excel ein faules Macro dranhängt? > 2) ein aktueller Virus an einer Email dranhängt? > 3) überhaupt etwas an der email dranhängt? > > Mein Virenscanner hat in allen 3 Fällen schon angeschlagen mein virenscanner (clamscan in claws-mail) hat schon mal nicht angeschlagen bei einem mailanhang. da ich aber nicht doof bin, hab ich den anhang gar nicht erst ausgeführt (geht auch garnicht weils eine .com in einem .zip war und linux keine .com dateien ausführt). lustigerweise haben nur 2 scanner auf virustotal was auffälliges in der .zip datei gefunden, als ich die entpackte .com datei scannen lies warens schon 3. fakt ist, das virenscanner false positives liefern und das system lahmlegen können (wenn sie meinen "kernel.dll" sollte in quarantäne), und das wenn ein virenscanner nichts finden das nicht heißt das da auch wirklich kein virus ist. false positives und false negatives also. daneben sind virenscanner so tief im system verankert und haben so viele systemrechte, dass ein bug im scanner das gesamte system angreifbar machen kann. ( https://www.heise.de/security/artikel/Antiviren-Software-als-Einfallstor-270932.html ) und noch lustiger wirds wenn der scanner "tolle features" wie MITM bei ssl-verbindungen hat.
Es ist ja auch nicht so, das wenn man auf fremde Virenscanner verzichtet, völlig schutzlos wäre. Neben dem Menschenverstand beim Bearbeiten der EMail Eingänge gibts ja auch noch den Windows Defender. Es ist jedenfalls sinnvoller, Windows Updates zuzulassen, als sie aus Angst zu verbieten. Der Menschenverstand ist allerdings nach wie vor die wichtigste Komponente beim Sauberhalten des Personal Computers - und wars schon immer.
1. Wer Makros in Office anlässt ist selber schuld. 2. Ein neuer Virus wird selten bis garnicht erkannt, da der AV prinzipbedingt nur bekannte Viren erkennen kann. 3. Dateiendungen anschalten, d.h. eine "Rechnung.pdf.exe" wird auch als solche angezeigt und (hoffentlich) vom Benutzer ignoriert. Wenn überhaupt, würde ich nur den AV von Microsoft installieren, denn der kennt sich noch am Besten mit den Internas von einem MS-Betriebssystem aus. Beim normalen surfen wird man eigentlich nur von Scripts und infizierter Werbung bedroht. Adblocker, Scriptblocker, 1-2 Privacy-Addons und eine passende Browsereinstellung sorgen für schnellere Ladezeiten, erhöhter Privatsphäre, besserer bzw. überhaupt erst vorhandener Datenschutz, und vor allem KEINE nervige Werbung. Ich surfe fast schon seit einem Jahrzehnt auf diese Weise, ohne AV, und hatte noch keine einzige Infektion. Und jedes Mal wenn ich an einem jungfräulichen Browser surfen muss bin ich von der ganzen Werbung genervt.
Sascha schrieb: > Ich surfe fast schon seit einem > Jahrzehnt auf diese Weise, ohne AV, und hatte noch keine einzige > Infektion. Wie kannst du das feststellen? Hin und wieder mal einen AV installiert und geprüft? Ansonsten kann ich dir bzgl. den Addons zu den Browsern nur zustimmen. Mach ich seit (ebenfalls) einem Jahrzehnt auch so.
Sascha schrieb: > Ich surfe fast schon seit einem Jahrzehnt auf diese Weise, ohne AV, und > hatte noch keine einzige Infektion. Wie willst du das feststellen? Nur weil noch sich noch kein Verschlüsselungstrojaner gemeldet hat? Ohne AV könnte der Rechner Teil Dutzender Botnetze sein, ohne dass du es merkst. Deswegen halte ich es für grob fahrlässig vom Windows Defender abzuraten. Es sind ja nicht nur die neuesten Viren im Umlauf und manchmal kann man einen Anhang bei dem man sich nicht sicher ist, einfach ein paar Signatur-Updates lang liegen lassen.
Hab im letzetn Jahr mehrere Viren auf meine Email Adresse bekommen. Aus Witz hab ich die immer direkt bei Virustotal hochgeladen. Deutlich unter 10% der Scanner, meist nur 2-3 obskure, haben da was gefunden. Am nächsten Tag kannten dann die meisten Scanner die Dateien. Fazit: Wer nicht selber aufpassen will, sollte Mails erst mit einem Tag verzögerung und Virenscanner lesen. Prinzipiell Ok sind folgende Anhänge: PDF, JPG(allgemein Bilder), zip(*) Gefährlich sind: .exe, .com, .pif, .scr, .js (wtf?), alle .pdf.(exe/com/...), .zip (*) und was ich auch gesehen habe, Dateien, die mit exe, moc, rcs oder so Anfangen (!), also die vorherige Liste rückwärts. Die nutzen dann einen Schriftsatz der von rechts nach links schreibt. Bei Zip und Office Dateien kommt natürlich drauf an, was drin ist. ZIP öffnen ist i.A. nicht schlimm, wenn man dann das Hirn bei den Dateien die drin sind einschalte. Bei Office sollte man sich jede Meldung beim Start durchlesen und im zweifelsfall nicht akzeptieren. Wer Makros ohne Nachfrage an hat, dem ist natürlich nicht zu helfen. Allgemein, bei Anhängen von unbekannten, die Datei bei Virustotal hochladen, im Zweifelsfall mehrere Stunden warten und nochmal probieren. Und aufpassen, auch wenn man gerade auf ein Paket von DHL wartet oder was bestellt hat, muss die Mail die gerade rein kommt mit Rechnung.pdf.com nicht von DHL sein. TL;DR Wer ohne Virenscanner surft kann sicher surfen, wer ohne Hirn surft surft sicher unsicher.
Oder man nutzt ein "Wegwerfsystem" in einer virtuellen Maschine zum Surfen, oder böse Mails aufmachen... ;) Gruß J
Hennes schrieb: > 1) an einem Excel ein faules Macro dranhängt? Grundsätzlich galt auch schon immmer, keine Office Dokumente zu versenden. Wer mal ein Word- oder Excel Dokument mit einem Hex Editor geöffnet hat, wird das auch nie wieder tun. Denn in diesem Dokument steht immer z.B. der Benutzername des Users auf dem erzeugenden Rechner drin, und auch immer wieder interessante Dateipfade. Wer mir ein *.docx, *.xls oder *.ppd o. ä. schickt, landet direkt mal im Hexeditor und bekommt einen Anruf, wenn ich den Absender kenne. Ansonsten ab in den Papierkorb. armab schrieb: > Oder man nutzt ein "Wegwerfsystem" in einer virtuellen Maschine zum > Surfen, oder böse Mails aufmachen... ;) Wer einen Mac oder ein BSD/Linux System hat, kann sich diesen Spass auch machen.
:
Bearbeitet durch User
Sascha schrieb: > Ich surfe fast schon seit einem > Jahrzehnt auf diese Weise, ohne AV, Ich surfe seit einem Jahrzehnt mit AV und auch keine Probleme. Jetzt aber ohne AV, da meine Windows-VM in der hintersten Ecke des Linux Systems verschwunden ist. Leider funktioniert das Übertragen von Musik auf Apple-Geräte nicht ohne Windows, daher noch die VM.
Nochmal die Frage, die schon oft gestellt wurde, aber noch kein einziges Mal beantwortet wurde: Wer keinen AV installiert hat und behauptet, seit "Jahrzehnten" schon virenfrei zu sein, woher wisst ihr das? Der Rechner könnte schon jahrelang in -zig Botnetzen aktiv sein (nur ein Beispiel). Nur weil bisher kein Trojaner Lösegeld gefordert hat, ist das noch kein Zeichen dafür, daß der Rechner schon "jahrelang virenfrei" ist. Also: wie kann man die Virenfreiheit ohne Virenscanner feststellen?
>Wer einen Mac oder ein BSD/Linux System hat
Ich hab sogar beides und noch mehr auf m/einem Rechner, glaub ma das
geht sogar...
Gruß J
>Also: wie kann man die Virenfreiheit ohne Virenscanner feststellen?
Gar nicht, genauso so wie mit. Ein Computer kann nicht erkennen ob er
noch richtig funktioniert. Prinzip bedingt.
Gruß J
Huh schrieb: > Wer keinen AV installiert hat und behauptet, seit "Jahrzehnten" schon > virenfrei zu sein, woher wisst ihr das? Es gibt die Möglichkeit des Offline-Scans. Dazu wird der Rechner heruntergefahren und von einem anderen Bootmedium neu gestartet, und das wiederum enthält Virenscanner, mit denen das Dateisystem untersucht wird. Ein bekanntes Beispiel ist die jährlich erscheienende "Desinfec't" der c't.
Rufus Τ. F. schrieb: > Huh schrieb: >> Wer keinen AV installiert hat und behauptet, seit "Jahrzehnten" schon >> virenfrei zu sein, woher wisst ihr das? > > Es gibt die Möglichkeit des Offline-Scans. Dazu wird der Rechner > heruntergefahren und von einem anderen Bootmedium neu gestartet, und das > wiederum enthält Virenscanner, mit denen das Dateisystem untersucht > wird. > > Ein bekanntes Beispiel ist die jährlich erscheienende "Desinfec't" der > c't. Da steht die Aussage von den "AV-Gegnern" dagegen, daß ein Virenscanner ja auch "false positive" Ergebnisse liefern kann (genauso wie "false negative"), man also nach dem Scan auch nicht weiß, sind jetzt Viren da oder nicht? Und wenn welche gefunden wurden, sind es false positive? Und wenn nein, sind es false negative? Also meinen die Verfechter des Weglassens, daß man doch lieber gar nicht scannen sollte, die Ergebnisse "könnten ja falsch sein". Das hilft niemandem weiter!
An der Stelle möchte ich auf das regelmäßige Verkacken der Schlangenöl-Hersteller hinweisen: http://blog.fefe.de/?q=Schlangen%C3%B6l (Mein persönliches Highlight: Sophos schaltet systemweit ASLR ab, erkennt seinen eigenen Updater als Malware) Und auf die Tatsache, dass alle active-scan Gedönse die Angriffsfläche für Schadsoftware enorm erhöhen. Da gabs auch mal nen Exploit der dazu geführt hat, dass das blosse Empfangen von Schadsoftware per E-Mail direkt zum Infizieren des Rechners geführt hat ohne Zutun des Anwenders. Da hilft dann "keine unbekannten Anhänge öffnen" auch nicht mehr, denn dein Schlangenöl tut das für dich. Um reinzugucken obs vielleicht gefährlich ist. Und dann noch das Debakel mit 42.zip: https://blog.fefe.de/?ts=b6cea88d Und alles, was Google rausfinden musste weils die AV Hersteller nen Dreck interessiert: https://googleprojectzero.blogspot.de/
Um das epische Ausmaß vielleicht nochmal klar zu machen: https://googleprojectzero.blogspot.de/2016/06/how-to-compromise-enterprise-endpoint.html Jackpot: " These vulnerabilities are as bad as it gets. They don’t require any user interaction, they affect the default configuration, and the software runs at the highest privilege levels possible. In certain cases on Windows, vulnerable code is even loaded into the kernel, resulting in remote kernel memory corruption. " Das Produkt wird nicht umsonst in jeder IT-Abteilung "die gelbe Gefahr" genannt.
Huh schrieb: > Da steht die Aussage von den "AV-Gegnern" dagegen, Gewiss. Das Risiko besteht, es dürfte aber nicht so hoch sein, wie bei einem daueraktiven Online-Scanner, der a) permanent Rechenleistung und I/O-Durchsatz verballert, b) zu interessanten Fehlerbildern führt (Programm X will Datei schreiben, Online-Scanner hält sie für befallen und zerstört sie, Programm X fällt dann auf die Schnauze) und c) sich auch noch ständig mit wichtigen Hinweisen in den Vordergrund drängelt, um dem Benutzer klarzumachen, daß es wichtig ist, daß er eingesetzt wird, und daß es ohne ihn so unglaublich irrwitzig gefährlich wäre ... Klassisches Schlangenölmarketing.
Mathias schrieb: > Prinzipiell Ok sind folgende Anhänge: PDF, JPG(allgemein Bilder), zip(*) nö. jede dateneingabe und verarbeitung kann zu ungewolltem verhalten (hier: einer infektion) führen. wer will kann gerne mal pdf/jpg/zip+CVE/vuln goggeln. besonders kacke ists dann wenn das betriebssystem meint, jeden scheiß ungefragt parsen oder gar ausführen zu müssen - für HTML-mails, vorschaubildchen… oder weil jemand einen USB-stick ins loch gesteckt hat.
Auch PDF-Dateien sind wunderbare Transporteure für Schadsoftware, denn auch PDF-Dateien können aktive Inhalte enthalten und auch PDF-Betrachter weisen Sicherheitslücken auf.
Hennes schrieb: > Was wäre passiert, wenn Ich es geöffnet hätte? Deine Dummheit belegt, denn warum sollte jemand eine eMail öffnen, die nicht für ihn ist und von einem unbekannten Absender stammt ? Du würdest doch auch auf eine verlinkte Banken-Seite gehen und dort deinen Zugangscode und TAN eintippen, welcher Virenscanner soll da helfen ? Klar ist: Virenscanner finden vielleicht 50% der kursierenden Viren. Und auch zwei davon nicht 100%, sondern zu 90% dieselben und zusammen dann vielleicht 55%. Daher sind Virenscanner ein trügerischer Schutz, zumal ein aktualisiertes Betriebssytsem gegen diese 90% der älteren bekannten Viren immun ist. Und: Warum scannen, wenn der Virus eingebaut ins Betriebssystem kommt ? http://www.computerbild.de/artikel/cb-News-Handy-Android-Malware-Smartphones-Schadsoftware-ausgeliefert-17673263.html und man dank der verdiongelung heutiger Systeme nicht mal was dran ändern kann ? Insgesamt ist das Sicherheitskonzept aktueller Betriebssysteme eine Katastrophe, die Industrie konzentriert sich zu 100% darauf, wie man Benutzern dauerhafte Werbung so unterschieben kann, daß sie auf keinen Fall etwas dagegen tun können (nur deswegen sind iPhones so angeschottet), und kümmert sich einen Scheissdreck um die Frage, ob der Benutzer mit einem Gerät auch etwas sinnvolles tun will, das irgendwie bedienbar erreichbar wäre, und irgendwie funktionieren würde.
Huh schrieb: > Wer keinen AV installiert hat und behauptet, seit "Jahrzehnten" schon > virenfrei zu sein, woher wisst ihr das? Gegenfrage: Wer einen AV installiert hat und behauptet, seit "Jahrzehnten" schon virenfrei zu sein, woher wisst ihr das? Linux und BSD Systeme sind Windows hier einfach überlegen: Man kann das System readonly booten, man kann denn home folder mit noexec mounten damit keine Programme versehentlich ausgeführt werden, man kann Anwendungen in container/jails/sandboxen stecken oder deren Zugriff auf andere Dateien verhindern, etc. Windows ist doch nur noch ein Spielzeug, von dem Firmen und User abhängig geworden sind, welche nun Lizenzkosten zahlen müssen, und dafür Werbung geniesen dürfen. Wiso ist das Zeug so beliebt? Nur weil die Nutzer sich nichtmehr umgewöhnen können?
Huh schrieb: > Also: wie kann man die Virenfreiheit ohne Virenscanner feststellen? Mit 100%iger Sicherheit gar nicht. MIT einem Virenscanner ebenfalls nicht. Wenn der Virenscanner nichts findet, läßt dies nur einen einzigen Schluß zu, er hat nichts gefunden. Die Offline-Scanner machen da keine Ausnahme. Viren werden i.A. nicht zum Selbstzweck verbreitet. Sie sollen entweder Schaden verursachen, dem User erpresserisch Geld aus der Tasche ziehen, Werbung unterschieben bzw. Suchergebnisse manipulieren oder Daten ausspionieren. Die ersten drei Arten machen sich i.d.R. schnell von allein bemerkbar. Datenspione können durchaus unerkannt bleiben, wenn sie gut programmiert sind und man nicht gezielt danach sucht. Der Normaluser hat leider kaum Chancen, sie zu entdecken, genausowenig wie eine AV-Software. Ein Spionagetrojaner muß jedoch früher oder später die gesammelten Informationen irgendwohin übertragen. Man kann also bei Verdacht die Kommunikation des Rechners überwachen, z.B. mittels Proxy-Log, Wireshark oder der Tracefunktion des Routers (sofern der eine hat). Die Überwachung muß in jedem Falle extern erfolgen, da ein cleverer Schädling natürlich auch seine Netzwerkaktivitäten verschleiert. Es gibt viele Möglichkeiten, wie sich ein Trojaner im System verankert. Das reicht von simplen Autostarts über Installation als Systemdienst/Treiber bis hin zur Manipulation von MBR/EFI oder Systemdateien. Glücklicherweise sind die allermeisten Viren recht einfach gestrickt und lassen sich mit Hilfe der Sysinternals Tools und Rootkitscannern aufspüren und meist auch entfernen. Schwierig wird es, wenn der Bösewicht sich in vorhandenen System- oder Programmdateien einnistet. Die Veränderung ist zwar durch Vergleich mit Originaldateien oder MD5-Prüfsummen prinzipiell möglich, aber der zeitliche Aufwand übersteigt fast immer den für einen Clean Install des Gerätes. Macht also nur in Ausnahmefällen Sinn, z.B. wenn unverzichtbare Programme betroffen sind, für die keine Installationsmedien mehr aufzutreiben sind. Wie auch immer, es existiert leider keine 100% sichere Methode, um sich vor Schädlingsbefall zu schützen. Mit einer konsequenten Backup-Strategie lassen sich jedoch die Folgen und Ausfallzeiten absolut zuverlässig minimieren. Das Erstellen von Festplattenimages vermeidet aufwendige Neuinstallationen und regelmäßige Sicherung der Daten verhindert deren Verlust bzw. spart Bitcoins. Die effektivste und einzig wahre Antivirenstrategie ist und bleibt ein Backup.
Huh schrieb: > Wer keinen AV installiert hat und behauptet, seit > "Jahrzehnten" schon virenfrei zu sein, woher wisst ihr das? Indem man sich z.B. ein Programm wie den Systemmonitor GkrellM installiert, hat man schon einen guten Überblick. Ist ein leichtgewichtiges Programm und zeigt mir CPU-Last, I/O auf Datenträger, Netzwerkaktivitäten, usw. Wenn ich nun nichts am System mache, aber trotzdem (erhebliche) Netzwerkaktivitäten habe, muss ja irgendwas aktiv sein. Gut bei Windows und seinen Heim-Telefon-Aktionen ist das etwas schwieriger, aber auch machbar. https://commons.wikimedia.org/wiki/File:GKrellM_screenshot.png
T.roll schrieb: > Indem man sich z.B. ein Programm wie den Systemmonitor GkrellM > installiert, hat man schon einen guten Überblick. Ist ein > leichtgewichtiges Programm und zeigt mir CPU-Last, I/O auf Datenträger, > Netzwerkaktivitäten, usw. Das bringt genau gar nichts. Im besten Fall findest du damit extrem dumme Trojaner (Bitcoin Mining oder so). Aber wenn ein 12kB zip-File an nen Chinaserver rausgeht wo alle deine Passwörter drin sind, merkst du das nie im Leben.
Daniel A. schrieb: > Huh schrieb: >> Wer keinen AV installiert hat und behauptet, seit "Jahrzehnten" schon >> virenfrei zu sein, woher wisst ihr das? > > Gegenfrage: > Wer einen AV installiert hat und behauptet, seit "Jahrzehnten" schon > virenfrei zu sein, woher wisst ihr das? > > Linux und BSD Systeme sind Windows hier einfach überlegen: Für den Anfang X11/xorg: Läuft auf den meisten Distris mit Root-Rechten. ALLE Anwendungen können die Tastatureingaben ALLER Anwender/Anwendungen mitlesen (xinput list, merken was die Tastatur ist, xinput test id). Was ist das Haupteinfallstor heutzutage: Browser, Viewer... Wie es u.a. bei den automatischen Datei-Indexern ala Tracker, Baloo oder den Vorschaufunktionen in div. Dateimanagern beim Thema Sicherheit aussieht, siehe z.B. hier: https://fosdem.org/2017/schedule/event/linux_desktop_versus_windows10/attachments/slides/1730/export/events/attachments/linux_desktop_versus_windows10/slides/1730/fosdem_linux_desktop_security.pdf ASLR (auch wenn es zunehmend nutzlos ist): Debian, ein wenig in Stretch(!), OpenSUSE, nur ein paar wenige Pakete, selbst Gentoo nur in der Hardened-Variante und Ubuntu hat erst 2016 damit angefangen. Und das gut 12 Jahre nachdem es vom Kernel unterstützt wird. Mehr "Spaß" u.a. mit X11/xorg: https://conf.qtcon.org/system/attachments/105/original/security.pdf > Man kann das > System readonly booten, man kann denn home folder mit noexec mounten > damit keine Programme versehentlich ausgeführt werden, Rechte Maustaste auf den Ordner, Eigenschaften, Sicherheit, Lesen&Ausführen in Lesen ändern. Fertig > man kann > Anwendungen in container/jails/sandboxen stecken oder deren Zugriff auf > andere Dateien verhindern, etc. Integrity Level gibt's seit Vista (Mandatory Integrity Control). Am Bespiel von Firefox z.B.: https://www.heise.de/security/artikel/Firefox-tiefergelegt-271520.html
THOR schrieb: > wenn ein 12kB zip-File an nen Chinaserver rausgeht In der Vergangenheit haben meine Virenscanner ca. 70% gefunden und 20% Schaden angerichtet weil sie noch zu viele Rechte hatten um überall nachzusehen. Die restlichen 10% sind Viren, die noch nicht bekannt waren weil sie noch zu neu oder zu WENIG verbreitet waren. Ob obiges 12k-Zip überall erkannt wird, habe ich noch Zweifel.
Jedes Jahr mit der neuen Desinfec't einmal den Rechner zu scannen sagt einem relativ sicher, ob man infiziert ist oder nicht. Kein vernünftiger Mensch bestreitet, dass das sinnvoll sein kann. Natürlich kann jede Form von Kommunikation Exploits triggern. Jeder JPG parser oder HTML oder der Email header oder POP/IMAP/HTTP oder im TCP Stack. 100% sicher ist ein Computer nur, wenn man jede Form von Kommunikation einstellt und den Computer großzügig in Expoxidharz einlegt. Sinnvoll machen kann man damit dann natürlich nicht mehr viel. Wie viele Viren haben sich in den letzten 20 Jahren durch ungepatchte 0days verbreitet? Ich wollte jetz Sasser schreiben, aber die Wikipedia meint, der Patch war schon 17 Tage draußen... Wer folgende Sicherheitsregeln befolgt: 1-17) Updates einspielen (Für jede Software ein einzelner Punkt(*)) 18) bei Emailanhängen aufpassen 19) Nicht auf russenschlampen.com die free-p0rn.exe ausführen 20) Adblocker nutzen (gegen "gehackte" Werbeanzeigen) 21) Treiber und Software allgemein nur von der Herstellerwebseite beziehen (insbes. bei Billigkram aus China aufpassen) 22) Wenn man sich bei Dateien (Punkt 18,19,21) nicht sicher ist, einfach 12 Stunden warten und dann bei Virustotal hochladen, erst dann ausführen ?) Ob Spiele Cracks Virenfrei sind möchte ich nicht diskutieren. Der wird ziemlich, ziemlich sicher surfen. Die NSA kommt natürlich trotzdem in den Rechner, keine Frage. Aber als Privatmann und für BYOD Computer kann man nicht viel mehr für Sicherheit tun. (*) Für Linux Nutzer reicht natürlich ein `apt-get update`. (Falls das nicht reicht, bin Fedora Nutzer)
Es wird immer empfohlen, das System auf dem neuesten Stand zu halten. Klar, nur so kann eine bekannte Luecke geschlossen werden. Andererseits werden durch Updates vermutlich auch teilweise neue Luecken eingebaut. Wenn man sich jetzt vorstellt, dass ein Grossteil der Windowsuser automatische Updates eingeschalten hat, heisst das dann doch, dass der Angreifer dann eine sehr homogene Ziel-Rechner-Landschaft hat. D.h. er kann Abhaenigkeiten wie das neueste .net einplanen etc. Heisst das nicht, dass man den Hackern dadurch die Arbeit auch ein Stueckweit erleichtert? Und so Masseninfektionen wie mit den Telekomroutern erst dadurch ein so grosses Ausmass bekommen? Ich moechte das nur mal in den Raum stellen, das heisst nicht, dass ich gegen Updates bin.
Arc N. schrieb: > Für den Anfang X11/xorg: Läuft auf den meisten Distris mit Root-Rechten. > ALLE Anwendungen können die Tastatureingaben ALLER Anwender/Anwendungen > mitlesen (xinput list, merken was die Tastatur ist, xinput test id). Dann nimmt man eben Wayland statt X11. Ausserdem muss man sich dazu erst mal einen keylogger einfangen, womit es e schon zu spät ist. Wenn es keine Tastatureingeben sind, dann eben ein Botnet, ein Bitcoin miner, oder sonst was, irgendwas kann man mit Rechenzeit immer machen. Man muss verhindern, sich überhaupt erst einen Virus einzufangen. > Was ist das Haupteinfallstor heutzutage: Browser, Viewer... > Wie es u.a. bei den automatischen Datei-Indexern ala Tracker, Baloo oder > den Vorschaufunktionen in div. Dateimanagern beim Thema Sicherheit > aussieht, siehe z.B. hier: > https://fosdem.org/2017/schedule/event/linux_desktop_versus_windows10/attachments/slides/1730/export/events/attachments/linux_desktop_versus_windows10/slides/1730/fosdem_linux_desktop_security.pdf 1) Dazu muss man die fehlerhafte Software installiert gehabt haben, auf meinem Rechner habe ich die dort erwähnte Software sowieso nie installiert gehabt. 2) Da war Windows auch nie besser, und insgesamt tauchen dort öfter Sicherheitlücken auf. Ausserdem veröffentlicht z.B. google häufiger Windows 0days, bevor diese gepatcht wurden, weil MS einfach zu langsam ist, oder die Patches sind unvollständig. 3) Die oben angegeben Sicherheitslücke wurde, wie üblich, noch vor/mit der Veröffentlichung behoben. 4) Wer startet denn heutzutage noch irgendwas als root? Bei Windows 10 ist die Werbung ja mittlerweile schon ins OS eingebaut. Falls die das genauso sicher hinkriegt habe wie im IE bekommt man die Viren eventuell bald schon ohne je einen Klick gemacht haben zu müssen. > ASLR (auch wenn es zunehmend nutzlos ist): Debian, ein wenig in > Stretch(!), OpenSUSE, nur ein paar wenige Pakete, selbst Gentoo nur in > der Hardened-Variante und Ubuntu hat erst 2016 damit angefangen. Und das > gut 12 Jahre nachdem es vom Kernel unterstützt wird. Der Kernel hat es noch vor Windows unterstützt. Das Häkchen in der Kernel config setzen ist ja wohl nicht so kompliziert, bei Gentoo muss man den kernel sowiso selbst kompilieren. Und wenn die anderen Distros das nicht einschalteten, dann war es entweder nicht besonders nützlich, oder man sollte für Hochsicherheitsumgebungen etwas passenderes nehmen. > Mehr "Spaß" u.a. mit X11/xorg: > https://conf.qtcon.org/system/attachments/105/original/security.pdf Na also, da wurde das Problem doch am ende gelöst, oder? Braucht nur etwas Erfahrung. In einem Punkt muss ich dem PDF aber widersprechen: den root Account zu schützen ist wichtig. Ein Virus hat im Userspace bei weitem weniger Orte, an dem er sich persistieren kann. Die diversen bashrc und Autostart Dateien/Ordner, etc. Das ist durchaus in den griff zu bekommen. Die Daten werden bei mir sowieso täglich gebackupt (natürlich so, dass der PC keinen zugriff auf das Backup hat, anderer PC bei dem alle ports geschlossen sind), und ich kann alles bis zu vor 2 Jahren sofort wieder herstellen. >> Man kann das >> System readonly booten, man kann denn home folder mit noexec mounten >> damit keine Programme versehentlich ausgeführt werden, > > Rechte Maustaste auf den Ordner, Eigenschaften, Sicherheit, > Lesen&Ausführen in Lesen ändern. Fertig Ich kann den Haken bei lesen & ausführen raus nehmen, aber dass ist ja dann nur für den Benutzer. Und die verweigern Option verweigert auch gleich das lesen? Nicht ganz das selbe, wie ausführen generell zu verbieten. Und was macht man bei Medien ohne ACLs, z.B. einem USB Stick? Ausserdem nutzt das erst richtig etwas wenn der Rest des Systems readonly ist, und soweit ich weiss geht das in Windows immer noch nicht. >> man kann >> Anwendungen in container/jails/sandboxen stecken oder deren Zugriff auf >> andere Dateien verhindern, etc. > > Integrity Level gibt's seit Vista (Mandatory Integrity Control). > Am Bespiel von Firefox z.B.: > https://www.heise.de/security/artikel/Firefox-tiefergelegt-271520.html Kann ich das nutzen, um jede beliebige Anwendung soweit einzuschränken, das sie rein gar nichts mehr vom restlichen System sieht, als wäre sie in einer VM, oder ist das nur so was wie selinux?
THOR schrieb: > Mein persönliches Highlight: Sophos schaltet systemweit ASLR ab, > erkennt seinen eigenen Updater als Malware Ich bin sowieso ein echter Sophos Fan, und diese Kleinigkeiten, wie du sie genannt hast, machen einem immer wieder klar, dass es eigentlich keinen VS gibt, der annähernd an die Qualiät von Sophos heran kommmt. Um unbefugte Zugriffe zu unterbinden, werden die modernsten Verschlüsselungs- und Authentifizierungsstandards genutzt, die heute verfügbar sind; WPA2-Enterprise in Kombination mit IEEE 802.1X (RADIUS-Authentifizierung (siehe https://www.enbitcon.com/sophos-ap-15-access-point). Ich hatte damit auch noch nie ein Problem, wie ich es von Standard VS kenne. Aber wir nutzen Sophos natürlich nur in der Firma, als Privatmann, würde ich das wohl eher nicht ;)
Egal was man von einem Virensanner hält für notwendig halte ich ihn trotzdem. Die aktivitäten eines befalles sind nicht mit den Augen zu sehen oder mit der Nase zu riechen oder mit dem Arsch zu erfühlen. Wer Lust hat in dieser Angelegenheit den Kopf in den Sand zu stecken soll es tun. Was ich nicht weiß macht mich nicht heiß... gilt aber nicht für mich. Ich bin wirklich einer der sich nicht so leicht austricksen lässt, aber es kann passieren, dass man gerade mit Freeware sich was auf den Rechner holt was nicht ganz koscher ist. Mir ist es auch schon passiert, dass mich mein AV prog daran gehindert hat eine Webseite zu besuchen. Dann halt nicht wenn die nicht koscher ist.Und es betrifft nicht immer die nackigen Seiten wo einem das passiert.Also mein Avast kostet nix behindert mich nicht ,also bleibt es. Aber generell ist das surfen ohne Admin Status schon ein guter Schutz.
herbert schrieb: > Aber generell ist das surfen ohne Admin Status schon ein guter > Schutz. Noch besser wird der Schutz, wenn du deinen Browser in eine Sandbox steckst. Die kannst du regelmäßig leeren und alles, was du (eventuell) eingefangen hast, gleich mit.
herbert schrieb: > Wer Lust hat in dieser Angelegenheit den Kopf in den Sand zu stecken > soll es tun. Also genau das was die AV-Nutzer tun. Hier gibts eine gute Beschreibung von AV-Nutzern: https://www.youtube.com/watch?v=94dGsSNOmDI
T.roll schrieb: > Also genau das was die AV-Nutzer tun. Kannst das mal für alle verständlich erklären? Bisher war ich der Meinung es ist genau umgekehrt, also die AV- Prog- Verweiger tun das. Wie lokalisierst du einen Befall? Kopfstand und zehn Minuten "Ich bin nicht infiziert " murmeln? Danach zehn Minuten "Mein System ist sauber" und das jeden Tag dreimal?
c.m. schrieb: > mein virenscanner (clamscan in claws-mail) hat schon mal nicht > angeschlagen bei einem mailanhang. ClamAV ist aber auch das so ziemlich schlechteste Programm, was die Erkennungsrate und false positives angeht. Und das schon seit Jahren.
herbert schrieb: > Kannst das mal für alle verständlich erklären? Bisher war ich der > Meinung es ist genau umgekehrt, also die AV- Prog- Verweiger tun das. > Wie lokalisierst du einen Befall? Kopfstand und zehn Minuten "Ich bin > nicht infiziert " murmeln? Danach zehn Minuten "Mein System ist sauber" > und das jeden Tag dreimal? Es geht nicht darum, keinen Virenscans durchzuführen. Es geht darum, keine Tools zu installieren, die Systemdienste kapern um damit Einlasskontrolle zu spielen. Diese Virus Shields erkennen aktuelle Viren meist nicht, verursachen aber an anderer Stelle Probleme. Und vermitteln trügerische Sicherheit. Daher empfehlen Sicherheitsexperten mittlerweile, darauf zu verzichten und den PC regelmäßig offline zu scannen. D.h. alle paar Tage Windows PE (c't Desinfect oder sowas) oder Knoppix aus einer zweiten Partition oder besser noch von einem schreibgeschützten Medium booten und von da aus das Hauptsystem prüfen.
soul e. schrieb: > Es geht darum, keine Tools zu installieren, die Systemdienste kapern um > damit Einlasskontrolle zu spielen. denn die wieder loszuwerden ist fast unmöglich! Ausserdem kommen AV Programme immer zu spät!
Der Virenscanner ist oft erst die Sicherheitslücke, die Schadsoftware den Zugang in das System erlaubt. Einfach mal schauen, wie viele fatale Sicherheitsprobleme es in AV-Schlangenöl gibt.
https://de.wikipedia.org/wiki/Trojanisches_Pferd_(Computerprogramm) https://de.wikipedia.org/wiki/Trojanisches_Pferd Aber: "BKA-Trojaner": ..schmiert ölig ab..Schlangenöl hat Schlangennase..:) (trotzdem..) ;)
WaMin schrieb: > Der Virenscanner ist oft erst die Sicherheitslücke, die Schadsoftware > den Zugang in das System erlaubt. > Einfach mal schauen, wie viele fatale Sicherheitsprobleme es in > AV-Schlangenöl gibt. Seit wann äußerst du dich zu Computerthemen? Neues Hobby oder hat man deinen Nick gedoppelt? Im übrigen, am fehlen von "Schlangenöl"können nur Hacker und andere Bösewichte ein Interesse haben.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.