Naja, dass Höflichkeit und ein tolerantes Denken nicht immer zu deinen Stärken zu gehören scheint, habe ich schon des öfteren bemerkt im Forum.
Ich bitte höflichst darum, anmerken zu dürfen, das XYZ suboptimal ist.
vs.
XYZ ist scheiße.
Hm. Ich find' Zweiteres kürzer und prägnanter. Bei ersterem käme ich mir auch irgendwie verarscht vor. :-)
Bevor ich weiter auf das Thema eingehe, bitte ich dich an dieser Stelle, künftig meine Postings doch sachgemässer bzw. präszieser wiederzugeben.
Klar ist das verkürzt und vereinfacht wiedergegeben. Aber es ging ja auch nicht darum exakt wiederzugeben, was Du gesagt hast, sondern welcher Grundtenor bei mir ankommt.
Kann ja auch gut sein, das ich mich irre. Aber in dem ich das so sage, wirst Du in die Lage versetzt zu verstehen, warum ich was schreibe wie ich es schreibe und hast gleichzeitig die Möglichkeit eine etwaig von mir missverstandene Aussage zu korrigieren.
nimms nicht zu persönlich
Ich glaube, da musst Du Dir keine Sorgen machen. :-)
Die PC Zeitschriften schrieben über die Jahre immer wieder, dass zB eingeschränkte Benutzerkonten garnicht mehr viel bringen würden (zumindest in der Grundkonfiguration),weil die Schädlinge imstande wären, sich tortzdem Systemrechte zu ergaunern.
Also heutzutage aus einem Benutzerkonto auszubrechen ist gar nicht so einfach. Wie schon gesagt, das gehört so mit zu den Grundlagen eines modernen Betriebssystems genau das zu verhindern.
Wenn man das machen will, braucht man immer eine Sicherheitslücke. Und Sicherheitslücken in der Art wie man nutzt ein Bufferoverflow in einer Betriebssystemkomponente um sich damit höhere Rechte zu verschaffen, solche Lücken kommen zwar trotzdem hin und wieder vor, sind aber vergleichsweise selten.
Und selbst wenn es solche Lücken gibt von denen böse Buben wissen aber Microsoft nicht (und daher auch noch nicht gepatcht hat), ist es unwahrscheinlich das die zur Anwendung kommen. Solche Lücken sind nämlich wertvoll und werden auch für viel Geld (geht auch gern mal um Mio-Beträge) gehandelt oder von Geheimdiensten benutzt, um damit Gegner anzugehen.
Jeder Einsatz dieser Lücke birgt das Risiko, das das entdeckt und allgemein bekannt würde. Im Fachjargon: Die Lücke wäre dann verbrannt. Und so was riskiert niemand ernsthaft, um bei Lieschen Müllers PC einzubrechen.
Eine andere beliebte Vorgehensweise (und andere Art von Sicherheitslücke) war ja, wenn der Nutzer irgendwie was bestätigen muss, dann simuliert die Schad-Software einen Mausklick. Das geht so schnell, das der Benutzer allenfalls ein kurzes Aufblitzen der Dialogbox sieht. Wenn überhaupt. Dieser ganzen Kategorie hat Windows mit der Einführung der User-Access-Control einen Riegel vorgeschoben.
Bleibt immer noch die Möglichkeit den Nutzer auszutricksen. Selbst ne Dialogbox anzuzeigen die vielleicht auch so ähnlich aussieht wie der Windows-UAC-Dialog und dann nach dem Passwort zu fragen. Ist aber recht auffällig.
Ich sehe das auch nicht so als zentrales Problem, das jemand höhere Rechte erlangt. Um dazu zu kommen, muss derjenige ja schon auf dem Rechner drauf sein. Und schon das ist meiner Ansicht nach der Totalschaden. Weil wenn mir irgendein Virus ne systemdatei löscht mag das ärgerlich sein und bereitet mir vielleicht Probleme, weil Windows nicht mehr bootet. Aber letztlich ist es nix dramatisches.
Das wirklich Wichtige was ich geschützt haben will sind ja meine Daten. Und an die kommt der Virus ja auch ohne höhere Rechte ran.
Darin liegt ja auch der Erfolg dieser ganzen Verschlüsselungstrojaner. Die haben es ja gar nicht nötig irgendwie höhere Rechte zu erlangen. Die verschlüsseln einfacher Nutzerdaten und erpressen den Nutzer damit. Fertig.
Ich habe schon einige deiner Postings von dir gelesen und würde dich gerne mal fragen, was du für ein Konzept insgesamt auf Windows fährst, dh um den PC rund um - ich sage mal - sicher zu machen.
Na vor allem erstmal Backups. :-)
Selbst der schlimmste Verschlüsselungstrojaner wird mich nicht richtig ärgern können, wenn ich ne Kopie meiner Daten hab.
Backup machen klingt aber zunächst einfacher, als es ist. Was man oft hört/liest ist, das zu dem Zwecke die Leute einfach ne externe Festplatte anstöpseln, ihre Daten kopieren. Fertig.
Ist natürlich unvorsichtig. Wenn ich bereits ein Virus hab und ich stöpsel meine Festplatte an, dann ist möglicherweise mein Backup gleich mit im Eimer.
Also beim Backup immer den Rechner von einem sauberen Boot-Medien machen, dann das Backup.
Ein Backup sollte auch immer versioniert sein. Einfach Dateien überschreiben ist schlecht. Wenn eine Datei (aus welchen Gründen auch immer) kaputt ist und überschreibt mir meine letzte intakte Kopie, dann ist das blöd. Und üblicherweise guckt man nicht jeden Tag in sämtliche Dateien. Man hat also gar kein Überblick darüber, ob die wirklich alle in Ordnung sind. Versionierung ist also Pflicht.
Zusätzlich kann ein Image sinnvoll sein. Dann denkt man nämlich gar nicht erst drüber nach, ob bei Infektion oder Infektionsverdacht man sein Rechner neu aufsetzt. Man macht es einfach, weils durchs Image schnell und ohne großen Aufwand geht.
Ansonsten gibts es eigentlich zwei relevante Wege wie Schadsoftware auf den Rechner gelangt. eMail-Anhänge und Downloads. Downloads halt nur aus vertrauenswürdigen Quellen (ist immer schwer zu entscheiden, was das ist aber ich sag mal: die Herstellerseite einer Software ist i.d.R. die beste Anlaufstelle; Downloadportale sind eher schlecht; weils auch ein attraktives Ziel für Angreifer ist, weil er gleich ganz viele Programme infizieren kann). Die lassen sich dann auch mit
virustotal.com gegenchecken. Da guckt auch nicht nur ein Virenscanner, sondern gleich ein dutzend. Macht keinen Sinn deshalb lokal nen Virenscanner zu fahren.
Was Mailanhänge angeht: Wenns irgendwelche Dokumente sind will man die ja vielleicht nicht bei
virustotal.com hochladen. Ist aber auch in der Regel gar nicht nötig. Wenns Programme sind, gibts keinen Grund die überhaupt anzunehmen.
Bleiben Datendateien als Infektionsquelle. Das macht es dem Angreifer auch deutlich schwieriger darüber was zu machen. Weil das setzt ne Sicherheitslücke im Viewer voraus. Hier hilft vor allem Software aktuell halten.
Würden AV-Programme helfen? Eher nicht. Denn daswürde ja bedeuten, das der Hersteller von der AV-Software von einer Sicherheitslücke Kenntnis hat die der Hersteller noch nicht kennt. Sprich: ein sehr unwahrscheinliches Szenario.
Was man noch machen kann sind Viewer zu nehmen, die nicht verbreitet sind. Die werden in der Praxis nur selten angegriffen, da kaum Impact zu erwarten. Für PDFs also nicht das Adobe-Zeugs nehmen, sondern irgendwas unauffälliges was auch keine Skripte ausführt wie
SumatraPDF oder was weiß ich.
Wenn man trotzdem noch zusätzlichen Schutz haben will, guckt man sich den Anhang als anderer Nutzeraccount an.
Browser und Drive-by-Geschichten sind auch eher selten. Die Browser sind heutzutage eh sandboxed (obs hilft, ist die Frage; macht aber kaum Sinn noch umständlich ne weitere Sandbox drum herum zu packen). Wer mehr Sicherheit haben will:
Auch hier anderen Nutzeraccount nehmen.
Fremde Nutzeraccounts haben sich in der Praxis als wirksame Isolationsmaßnahme erwiesen. Wie gesagt: Jeder Serverbetreiber macht das so. Und die sind
ganz_anderen Gefahren ausgesetzt, als so ein Privat-PC.
Wenn man dennoch lokal nach Viren scannen will: Gibt so Boot-DVDs a-la
desinect. Hat nicht nur den Vorteil, das gleich mehrere Scanner zum Einsatz kommen, sondern das auf diese Weise auch
Rootkit-Techniken der Malware ausgeschaltet werden.
Plus: Man belastet und gefährdet sein System nicht mit permanent laufenden Prozessen.
PC-Nutzer5423 schrieb:
also vorbei am AV Programm
Das zeugt schon von der falschen Sicht auf Antivirenprogramme.
Das ist nicht so wie ein bulliger Türsteher am Eingang der Disko, der jeden zurückweist der ihm komisch vorkommt.
Das Bild ist schon aus zwei Gründen falsch. Erstens guckt eine AV-Software nicht nach etwas, was komisch aussieht. Es sucht nach Sachen, die es geht. Es hat sozusagen eine Liste von Photos. Und wenn ein Typ in die Disko/den Rechner will, dann guckt es nach "Ist das einer auf meinen Photos? Nee. Also alles gut".
Die analogie passt auch deshalb so gut, weil eine Person sich verkleiden kann und sieht dann gar nicht mehr aus wie auf dem Foto. Exakt damit lassen sich auch Antivirenprogramme austricksen.
Der zweite Punkt der am Türstehermodell falsch ist: Ein AV-Programm kann nicht wirklich jemanden aufhalten. Es kann nur sagen: Da ist jemand, der ist auf meiner Photoliste. Im Zweifel ist es dann aber schon zu spät und der Schaden längst eingetreten. Ne Chance zum aufhalten hast Du, wenn überhaupt nur dann wenn das AV-Programm meckert, bevor Du das infizierte Programm ausführst.
Deswegen klappt auch das ganze Voodoo mit verhaltensbasierter Erkennung nicht. Also nicht nur, das diese Erkennung unzuverlässig ist (auch unzuverlässig sein muss, sonst hättest Du ständig Fehlalarme), sondern der Schadcode muss laufen und dann ist der GAU bereits eingetreten.
Noch was zu Sachen, die man so in Zeitschriften etc liest.Die haben natürlich immer die Tendenz Dinge etwas übertrieben darzustellen. Die wollen natürlich verkaufen (sei es jetzt das Heft oder auch für Werbebanner auf Websites). Und dafür muss man die Leute locken. Und Du lockst niemand damit in dem Du schreibst "Ungefährliche Lücke entdeckt" ums jetzt mal plakativ zu formulieren. :-)
Das andere Ding ist: Es ist sehr viel theoretisch denkbar. Das heißt aber nicht, das das in der Praxis dann auch tatsächlich nennenswerte Relevanz hat (selbst wenn da irgendwo steht "tausende PCs betroffen" dann ist das nicht mal ein Promill von den PCs die es weltweit gibt).
Die andere Sache ist die, das gerade so auch was Sicherheitslücken ausnutzen oder raffinierte Infektionsroutinen bauen gar nicht so einfach ist. Du brauchst also ein gewisses Know-How. Und Du hast auch keine Motivation diesen Aufwand zu betreiben, solange es reicht massenhaft eMails mit dem Anhang "angelina_jolie-naked.jpg.exe" zu verschicken.
Plus halt den bereits genannten Aspekt, das wirklich gute Methoden und Sicherheitslücken eher vorsichtig eingesetzt werden, weil man die da einsetzen will, wo es wichtig ist und wo man mit einfachen Tricks nicht weit kommt.
Und wenn Du Dich dagegen schützen willst, dann reicht es auch nicht aus sich irgendwie AV-Software zu verwenden oder flächendeckend Sandboxie zu verwenden, sondern da musst Du GANZ ANDERE Geschütze auffahren.
Und selbst das hilft Dir nur begrenzt, wenn Dich jemand ganz gezielt angreifen will (und auch die nötigen Möglichkeiten dazu hat).
Wenn Du sagst, man sollte den "normalen Nutzer" nicht verwirren, dann hast Du ja durchaus Recht. Aber genau deshalb sollte sich der Nutzer auf wenige, dafür aber wirksame Maßnahmen beschränken. Und die muss eher konsequent umsetzen. Schützt den "normalen Nutzer" nicht gegen alles. Ist aber A auch gar nicht unbedingt nötig und B hat er bei allem anderen ohnehin keine realistische Chance. Für mehr Sicherheit hat er nicht das Know-How und er wird auch den Aufwand nicht betreiben (weil Computer nicht sein Hobby ist, sondern nur ein Werkzeug; so a-la die Waschmaschine wäscht Wäsche, der Computer macht Internet ).
Hier sind die Softwarehersteller gefragt ihren Kram sicher zu machen. Alles andere ist bei ehrlicher Betrachtung unrealistisch.
Aber Deine Postings kommen imho meistens so rüber, (sorry nicht böse gemeint) dass Du viel mehr gegen eine Sache redest und eigentlich unterm Strich zum Ausdruck bringen willst "nein, das ist nicht so". Deine Intention ist bestimmt gut, aber deine Postings haben imho nicht die nötige Neutralität, sondern du verkomplizierst die Dinge vielmehr und unnötig und schaffst dadurch für User mit weniger Kenntnis viel zu viel Unsicherheit, und redest am Ende (ohne es wahrscheinlich zu wollen) etwas schlecht, was eigentlich an sich etwas positives ist. Das ist auch nicht wirklich sinnvoll. Zum Beispiel finde ich es nicht sinnvoll, den Leuten gleich von Anfang an tendenziell ein unsachgemässes oder unvernünftiges Nutzerverhalten mit Virtualisierungsmassnahmen zu unterstellen. Meiner Erfahrung nach benutzen die allermeisten Leute derartige Hilfsmittel wie Virtualisierung auf eine angemessene und vernünftige Weise und es brachte faktisch bei so gut wie allen Leuten die ich kennengelernt habe, ausschließlich praktischen Nutzen.
jetzt ist sogar der Sandboxie Installer ohne Downloadmanager in meinem Posting mit verlinkt.
