xexex schrieb:
Zum Thema ATP kann ich aber auf jeden Fall noch dieses Video empfehlen.
Nachdem ich mir das Video mal im wachen Zustand genauer angeguckt habe bleibt irgendwie mehr ernüchterung übrig. Was ich da gesehen habe hatte mehr mit Forensik zu tun, als mit Schutz als solchem. Scheint ein ziemlich mächtiges Tool für Kontrolle und Übersicht vieler Systeme zu sein, sofern alles fest im Microsoft Ökosystem verankert ist. Was mich etwas stört ist die aufmachung der GUI. Irgendwie sitzt da so ein Gedanke fest, dass das nicht ohne Grund so gut ausgearbeitet ist, als ob es etwas darunterliegendes kaschieren soll, oder aber den Benutzer in eine bestimmte Richtung beeinflussen. Vielleicht ist das auch nur ein Anflug von Paranoia. Aber in der Vergangenheit war das leider seltener der Fall als mir lieb wäre und öfter ein aufmerksames Unterbewusstsein.
Der eigentliche Lacher an der Sache ist dass deren Beispiel mit genau dem gleichen Fehler beginnt wie die meisten AV Präsentationen. Bob empfängt eine email mit einem Worddokument. Dieses öffnet er und erlaubt als erstes die integrierten Makros. Bang. Story könnte hier enden, denn es ist doch praktisch egal welche Sicherheitssoftware man hat wenn man sich den Virus selbst auf System holt und startet. Das hat mich echt enttäuscht, ich hatte da etwas ... ernsteres erwartet, etwas das man nicht mit einem Notizzettel an jedem Bildschirm lösen könnte anstelle einer fetten Cloudbasierten Software.
1. Kommunikationspartner authentifizieren. Email? Signaturprüfung! Keine Signatur? Text only Ansicht und keine Anhänge akzeptieren.
2. Worddokumente mit Makros sind seit es diese gibt Vireneinfallstor und noch dazu eines der bekanntesten. Wer braucht denn bitte in Word Makros? Ich wüsste zumindest nicht wofür, außer irgendwelche exploit demos oder eher weniger arbeitsbezogene spaßdokumente. Aber auch hier: wenn man die unbedingt haben will dann gibts auch dort Signaturen. Stammt das Dokument von einem bekannten und vertrauenswürdigen Autor? Wurde das Makro nachträglich manipuliert? Setzt natürlich vorraus dass der Signierungsprozess und die Prüfung funktioniert.
3. Warum darf ein Wordmakro einfach freidrehend alles tun? Das soll zumindest in meiner Welt weder ins Netz, noch in irgendwelche Systemordner, schlicht keine Aktionen außerhalb von Word selbst. Dokumente sind zum schreiben und angucken da und sollten nicht als Ersatz für Programme dienen. Gebt den Leuten Python! Oh warte, ist ja Microsoft. Powershell, VBscript und Jscript. Das reicht doch wohl, da muss man nicht Word auf Teufel komm raus zukoksen und ein Maschinengewehr und ein paar Handgranaten in die Hand drücken und sich wundern dass kein friedlicher Kindergeburtstag dabei rauskommt.
Außerdem ist der Angriff dennoch erstmal durchgekommen. Daher wäre für eine richtige Bewertung interessant wie schnell und sicher folgende geblockt werden. Ich habe da nicht raushören können ob die anderen beiden Angriffe automatisch geblockt wurden oder ob das erst nach manueller bewertung des ersten passiert ist. Auch stelle ich mir die Frage, warum der erste durchkommt wenn er doch als zu blockender angriff erkannt wurde.
Weiterer Gedanke ist: nachdem ich mal gesehen habe wie viel auf meinem Windows in fremde speicherbereiche reingefummelt wird und wie viel im Hintergrund über dubios wirkende Art fleissig konsolen geöffnet werden und auf für mich nicht mehr nachvollziehbare weise an jeder zitze, jedem haar und jedem finger von windows rumgezupft wird ... ein System dass all diese vorgänge loggt muss ein ganz ordentlicher speicherfresser sein. <- ja, das ist etwas übertrieben, aber ich dachte mal dass seit DOS und eingeschränkt Win98 prinzipiell kein prozess in fremden speicherbereich reinschreiben darf und sowas mit einem segfault quittiert wird. Die Blase ist ziemlich laut zerplatzt. Aber dafür funktioniert Artmoney heute genauso gut wie früher ~.~
Ich fände es da irgendwie beruhigender wenn man anfangen würde diesen Wildwuchs an unnötigen Aktionen zu reduzieren damit wieder klarer wird was soll und was nicht. Anstatt dass z.b. ein Mediaplayer und ein Webbrowser sich gegenseitig in den Speicher reingucken könnte man auch einfach einen geteilten Speicherbereich nehmen. Vielleicht (hoffentlich aber unwahrscheinlich) ist das ja auch der fall und das COMODO HIPS meldet mist. Aber das scheint grundsätzlich zu funktionieren.