M4x_814cX schrieb:
Nutzen Trojaner, Ransomware etc. nicht eine eigene exe Datei, sobald sie anfangen zu arbeiten? Diese wäre dann ja geblockt.
Nein, das ist dann nicht sicher "geblockt", zumal die Malware in diesem Szenario bereits aktiv ist und die installierte "Firewall" manipulieren kann. Außerdem ist Malware heutzutage nicht mehr nur simpel "in einer exe" aktiv, sondern sie bedient sich verschiedener Rootkittechniken, um möglichst nicht aufzufallen und nicht entdeckt zu werden.
Somit geht der Ansatz bereits ins Leere: Es darf nicht Ziel sein, Malware auf einem System aktiv werden zu lassen, um sie danach zuverlässig blockieren zu wollen. Sondern es muss effektiv eine etwaige Systemkompromittierung im Vorfeld verhindert werden. Natürlich darf man nichts desto trotz Backups und Sicherungsimages vernachlässigen.
Oder, symbolisch gesprochen, surfen sie auf dem Browser-Surfbrett als blinder Passagier mit?
Simplifiziert kann man das für ein mögliches Szenario durchaus so umschreiben.
M4x_814cX schrieb:
Zum Thema Emails brauch ich hier wohl nicht all zu viel sagen, wer öffnet denn Mails, dessen Absender er nicht kennt.
Das Problem ist ja, dass...
- Malware-Mails oft unter
bekannten Absendern verschickt werden,
- viele User Webmail mit standardmäßig aktivierter HTML-Darstellung verwenden,
- bekannte Dateinamenerweiterungen unter Windows vom User standardmäßig ausgeblendet belassen werden,
- Amazon, ebay, Paypal & Co für Nutzer zunächst durchaus "bekannte" Absender darstellen,
- viele User nicht wissen, wie leicht Absenderadressen zu fälschen sind,
- etc.
Wichtige Schreiben haben eh kein Bestand per Mail, müssen per Post oder Einschreiben kommen, daher geht bei mir erstmal alles in Spam.
Für denn gemeinen Nutzer stellen jedoch auch Rechnungen in Bezug auf Onlineshopping durchaus "wichtige" Dokumente dar, die per E-Mail hereinkommen und - bei Echtheit - geöffnet werden müssen.
Da hab ich sozusagen schon eine Whitelist...
Eine "Whitelist" alleine bringt jedoch nichts, da potentiell jede auf der Whitelist befindliche Mailadresse auch als Absenderadresse einer Mail mit Malware im Anhang erscheinen kann.
Befällt Ransomware einen PC durchs bloße surfen oder muss hier etwas gedownloadet werden undzwar manuell: oh da ist ja ein gratis Spiel - klick.
Beides. Sowohl Drive-by-Infektionen als auch Selbstinstallationen von Hand nach Social Engineering kommen dafür in Frage.
Der bloße Surfvorgang wäre ein Seitenbesuch, ohne Flash, Java.
Der Seitenbesuch ohne Java und Flash verringert zwar die Angriffsfläche. Allerdings bleiben ja immer noch Sicherheitslücken im Browser selbst und im System, sowie weitere aktive Addons wie beispielsweise ein PDF-Viewer.
Viele aktualisieren ihre Software zu selten. Wird eine ausnutzbare Sicherheitslücke entdeckt, gibt es in der Regel einen Exploit, der in der Regel nach wenigen Tagen in Exploit-Kits integriert wird. Nun fehlt nur noch ein "Angriff" beispielsweise auf einen zentralen Werbeserver, sodass in der Folge an unzählige Webseiten verseuchte Werbung ausgeliefert wird, die verwundbare Systeme ihrer Besucher kompromittiert.
Wird also beispielsweise erst nach einer Woche nach Erscheinen eines Sicherheitsupdates der Browser, das Betriebssystem oder eine relevante andere Drittanbietersoftare durch den Benutzer aktualisiert, kann dies bereits eine Infektion nach sich ziehen -- alleine durch den Aufruf einer Website, und sei es einer bekannten, großen.
Auch die Wahl des Betriebssystems ist mitentscheidend. Wichtige systeminterne Schutztechniken, die ursprünglich mittels EMET unter Windows nachrüstbar waren, sind beispielsweise in einem aktuellen Betriebssystem bereits integriert.
Und so kommt ein Mosaiksteinchen zum anderen.
Ich hatte halt gedacht, dass ich so selbstauslösenden exe's den Hahn zudrehe.
Nein.
M@rsupil@mi schrieb:
Man kann sich durchaus einfach durch den Aufruf einer Webseite was einfangen. Das kann auch bei seriösen Seiten passieren, wo man es auf den ersten Blick gar nicht vermutet. Läuft da meist über bösartige Werbung. Deswegen ist ein Werbeblocker ein exzellenter Schutz für den Rechner.
Genau. Eine weitere wichtige Maßnahme heutzutage.
Allerdings fängt man sich die ganze Schadsoftware zu 99% dadurch ein, dass man unbekannte Anhänge öffnet, Software XY (mit Schadsoftware im Anhang) installiert, etc.
Nein, der Anteil von Drive-by-Infektionen liegt weitaus höher als nur mickrige 1%. Hinzu kommen auch noch andere Faktoren wie verseuchte Wechseldatenträger, Kompromittierungen von Routern aufgrund veralteter Firmware und falscher Konfiguration, mit der Folge z.B. der Umleitung auf unseriöse Seiten auf diesem Wege.
Das Infektionsszenario ist also weitaus vielschichtiger.
Es ist immer leicht zu sagen "darauf fällt doch keiner rein", aber es funktioniert halt auch 2017 noch wunderbar.
Das ist allerdings richtig, die "Hereinfallrate" der Nutzer liegt ziemlich weit oben.
Besonders wichtig ist dann so ein Vorgehen, wie ich es oben bereits kurz andeutete, und zuvor schon präzisiert war:
purzelbär schrieb:
Mach einfach auf zum Beispiel eine USB Festplatte die immer offline sein wollte wenn sie nicht benutzt wird, Sicherungen dir wichtiger Daten die nicht verschlüsselt bzw verloren gehen sollen und mache ausserdem regelmässig sog. Systembackups auch auf die USB Festplatte.
Leider fehlen in vielen Fällen solche extrem wichtigen Backups -- übrigens nicht nur infolge Malwarebefalls, sondern auch nach Hardwaredefekten, etc.
M4x_814cX schrieb:
Edit:
trägt es zur Sicherheit bei über gpedit die ntfs verschlüsselung zu deaktivieren?
ich beabsichtige nicht mein ganzes Laufwerk zu verschlüsseln, höchstens mal einzelne Datein.
Die Verschlüsselung hat bezüglich Deines Datenerhaltes bei Malwareinfektion keine Auswirkungen. Wichtig sind externe Mehrfachsicherungen (Kopien) auf unterschiedlichen Datenträgern, die nur jeweils kurz und auch nur einzeln mit dem Produktivsystem verbunden werden.
M4x_814cX schrieb:
Eine letzte Sache bleibt noch offen, die ich mit der Firewall Einstellung beheben wollte.
Einige Programme, Win und Nicht-Win; haben z.B. heute Updates gemacht, ohne dass sie einen Autostart haben, einen geplanten Vorgang oder sonst irgendwie geöffnet wurden.
Gerade diese Updates waren ja sicherheitsrelevant und wichtig, Opera wurde sogar 5 Tage zu spät aktualisiert (das ist übrigens genau das, was ich oben zum Schutz gegenüber Drive-by-Infektionen beschrieben hatte, die zu späte Softwareaktualisierung nach behobenen Sicherheitslücken).
Avast und Opera habe ich verwendet, die anderen vom 4.6. nicht...
Die Treiber werden über das Windowsupdate aktualisiert worden sein.
Wodurch werden die Programme aktualisiert?
Der VLC-Player durch das integrierte Auto-Update. Dazu reicht es schon, dass er in den Browser eingebunden ist und über diesen, z.B. auf einer Website, als Plugin aufgerufen wurde. Dann ist er sozusagen "wach" und macht auch das Update. Nur auch hier viel zu spät, das ist heute schon 11 Tage her gewesen. Sowas musst Du künftig zeitnaher auf den aktuellsten Stand bringen, das ist wichtiger als irgendwelche Personal-Firewall-Regeln.
Auf Win 7 kenne ich es, dass dies nur über Autostart oder einen geplanten Vorgang geht. Hier Win 10...
Win 10 Pro 64 Bit ist übrigens eine solide Grundlage.
