Virenscanner, das Geschäft mit Angst und fragwürdiger Moral

drfuture · 22 Mai 2017

Der konkrete Fall ist Otto Normalverbraucher.
Welche gefahren es gibt ist bekannt. Morgen kann eine neue dazu kommen.
Bis vor kurzem war Microsoft immer auf dem Dampfer eine Basis von vielem mit zu bringen, wenn man mehr möchte hatte man das dritt herstellen überlassen. Sei es Bildbearbeitung, bildbetrachter. Pdf, zip usw. Oder eben auch Virenscanner / Schutz gegen neue Angriffe. Ms patched zum einen nicht stündlich - ob das gut oder schlecht ist ist ein anderes Thema - und zum anderen gibt es wie du selber sagtest wesentlich mehr gefahren die nicht auf einem bug beruhen. Diesen sollte man *irgendwie* begegnen.

Genau diesem Problem ist erst mal jeder Benutzer eines Computers bei normaler Benutzung sprich Mail, Office, Internet in der ein oder anderen Form ohne sein Zutun ausgesetzt. Also was machen? ... Und zwar zuende gedacht, das ganze sollte vom heutigen Nutzer realistisch vermittelbar und von ihm akzeptierbar sein und 1 bis 2 Jahre oder länger funktionieren.

Z.b. Phre4ks Vorschlag finde ich eine gute Richtung und wünschenswert.... Realistisch wird daraus aber nichts werden.
Und die zusätzlichen Fehler durch neue Software sind vielleicht nötig da die gesamt zu einem Zeitpunkt x ausnutzbare! Angriffsfläche vielleicht trotzdem kleiner wird. Aktuell verändert verändert sich einiges das Microsoft sehr viel für Sicherheit in das Basis os baut und man immer weniger andere Anbieter zu brauchen scheint... Bis es dann wieder Klagen gibt.

@braegler es gibt zig Hersteller und jeder schießt alle paar Jahre einen Bock. Nur auf *alte* Sachen verweisen ist in der it sehr gefährlich die sich nunmal schnell verändert. Und für viele dieser Funktionen und Ideen gibt es gute Gründe - die goldene Lösung für das Problem gibt es denke ich leider nicht und das dein Programm dann mal von ein paar scannen falsch erkannt wird ist technologisch bedingt da es schlicht keine endliche Zahl an schadhaften Code und dessen aussehen gibt.

braegler · 22 Mai 2017

Ich geb Dir Recht, nur auf alte Sachen zu verweisen ist keine Lösung. Möchte nicht wissen, wieviele User die automatischen Updates deaktiviert haben, weil es damit mal ein Problem gibt.
Und die selektive Wahrnehmung tut ihr übriges.

Was bei den AV-Bugs aber immer wieder zum Vorschein kommt ist, dass scheinbar kein richtiges Security-Konzept gefahren wird.
Und da ich selbst schon einige Zeilen gecodet hab, weiss ich auch, das prinzipiell immer Fehler drin sein werden.
Umso wichtiger ist es in meinen Augen, gerade bei so privillegierten Diensten wie einem AV mit eben diesen Fehlern zu rechnen und beim Bekanntwerden entsprechend zu handeln.
Und da picke ich mir mal folgende Beispiele heraus:
https://bugs.chromium.org/p/project-zero/issues/detail?id=679
Avast wird am 18.12. über eine recht heftige Lücke informiert und schon am 3.Februar gibt es einen Fix.
https://bugs.chromium.org/p/project-zero/issues/detail?id=810
Symantec wird am 28.4 informiert, RCEV, also durchaus nicht unkritisch, und verpennt sogar das Disclosure-Datum, liefert dann im September einen Fix. OK, sie hatten 2016 zu tun, alleine Tavis hat ihnen 5 Vulns geliefert.

Was da wohl alles aufpoppen würde, wenn man mal ein Code-Audit machen würde.

sia · 22 Mai 2017

HoneyBadger schrieb:
Klingt für mich fast, als würdest Du´s begrüßen, wenn sich Desktop-PC´s wie Smartphones verhalten würden.

Die Smartphones von Bekannten sind deutlich seltener befallen als ihre PCs. Sicher hängt das auch mit den beschnittenen Rechten zusammen.

Ich würde mir sowas wie Linux mit firejail für alle wünschen. Nicht, weil ich Linux so geil finde, sondern weil das die Rechte relativ sinnvoll beschneidet. Auch ein Windows 10 S finde ich einen Schritt in die richtige Richtung, es wäre toll wenn nur signierte Apps und Anwendungen ausgeführt werden könnten.

Linux deshalb, da es unter der Haube dennoch erweiterte Funktionalität mit einer anderen Oberfläche bietet. Ich könnte mir beispielsweise Boot-Parameter oder Atari-Cheatcodes vorstellen, mit denen man den Rechner "unlocken" kann.

Im Moment ist der Ansatz ja eher erst alle Rechte zu geben und per Opt In wieder wegzunehmen. Da ist das OS dann egal, auch unter Linux fühlen sich Rubber Duckys wohl.

EDIT: ich bleibe dabei: die Administration eines Rechners sollte ein Administrator übernehmen. Wenn das der Hersteller ist, ist das auch okay.

Novgorod · 22 Mai 2017

drfuture schrieb:
Warum sollte eine Antivirussoftware da nichts bringen? Wenn es im Firmen-Logfile immer wieder blockierte Versuche gibt auf genau solche Adressen zuzugreifen die vom Antivirus oder proxy blockiert werden?

URL-blacklisting hat in etwa soviel mit einem virenscanner zu tun wie ein taschenrechner mit einem OS - man kann es bündeln, die samsung-handies kommen aber ohne

..
und wenn jemand ernsthaft von phishing-URLs bedroht ist, weil ihm nicht klar ist, was es mit diesem komischen text in der URL-zeile des browsers auf sich hat, hat er ein ganz anderes problem als "unzureichenden schutz".. in dem fall verhindert ein URL-filter im mittel vielleicht für eine ganze woche, dass sein konto leergeräumt wird - aber was macht er danach? wenn von 100 phishing-mails die woche nur eine einzige nicht auf der blacklist ist, ist das konto leer.. es ist dann auch egal, ob er ohne die blacklist auf alle phishing-mails reingefallen wäre - das konto wäre nicht 100 mal leerer, sondern genauso leer wie nach dem einen erfolgreichen phishing-angriff.. ganz zu schweigen davon, dass eine "virus-suite" solche leute erst recht noch extra leichtsinnig macht, man ist ja schließlich rundum geschützt :rolleyes:

..

derartig eklatante inkompetenz und fahrlässigkeit kann nie nie niemals durch irgendwelche hilfsmittelchen auch nur annähernd kompensiert werden, dafür sind sie um größenordnungen nicht wirksam genug! solche leute haben ohne qualifikation oder aufsicht schlicht und ergreifend nichts im internet verloren, so einfach ist das.. und wenn sie der meinung sind, trotzdem ihr ganzes geld online verfügbar haben zu müssen, dann müssen sie eben mit den konsequenzen leben - das müssen sie ja so oder so, ob mit "99% sicherem" scanner/filter oder ohne, das resultat ist bei denen das gleiche..

Ich für mich kenne trotzdem keine realistische Alternative für einen Großteil der Einsatzszenarien.

wie wärs mit freischaltung gegen qualifikationsnachweis?

was auch bei den dümmsten der dummen user relativ gut funktioniert (zumindest von einem sicherheitsstandpunkt aus), ist whitelisting.. in windows lässt sich die angriffsfläche ja dramatisch reduzieren, wenn man es entsprechend konfiguriert.. solche leute, denen man rechte wegnehmen muss, sind in der regel eh bloß büro-roboter und machen ihre eine aufgabe mit der einen software.. die müssen keinen externen code ausführen und keine URLs aus emails aufrufen, zumindest kann man deren job entsprechend gestalten.. du willst private emails lesen und senden? - mach den idiotentest und zeig uns den nachweis.. du willst deine mp3s vom USB-stick hören? - idiotentest und nachweis.. und wer sich dafür für zu eitel hält, wird eben nicht eingestellt oder kann einen haftungsvertrag unterschreiben..

im privaten bereich ist das natürlich schwer zu erzwingen, aber man kann es ja z.b. zur bedingung machen, wenn man die familienrechner administrieren soll, ansonsten ist jeder auf sich allein gestellt

.. nur hilft es eben überhaupt nicht, allen irgendwelche "virus-suiten" zu installieren, weil sie eben keinen hinreichenden schutz bieten (d.h. das risiko nicht auf ein akzeptables maß reduzieren können) und deshalb vor allem in keinster weise die administrationsarbeit verringern..

phre4k schrieb:
Gibt ja durchaus auch Verhaltensanalyse, aber dem durchschnittlichen Anwender traue ich nicht zu, Fehlalarme zuverlässig zu erkennen.

Da wird dann einfach immer auf "OK" geklickt, auch wenn dann mal der eine "true positive" dabei ist, der zur Infektion führt.

absolut - und microsoft hat da mit ihrem dämlichen UAC und NTFS-streams ("wollen sie diese heruntergeladene datei wirklich ausführen?") ganz wesentlich dazu beigetragen, die DAUs genau zum gegenteil von dem zu erziehen, was eigentlich gewollt war.. nach den MS-simulationen eines DAU-gehirns läuft der denkprozess wohl so ab: "lalala *doppelklick* - oh, bei dieser datei fragt mich mein PC, ob ich sie wirklich öffnen will, hmm, ich könnte einfach auf OK klicken und bekomme was ich will, aber diese meldung macht mich so nervös, dass ich lieber die finger davon lasse" :confused:

..

drfuture schrieb:
SmartScreen in Windows ist auch eine Art von Malware-Abwehr. Gerade seit der Defender in Win10 verdammt aufgeholt hat ist die Frage durchaus berechtigt ob man einen *zusätzlichen* Scanner installiert - nur ist ja dann trotzdem einer Installiert und die Aussage war ja hier man benötigt so eine Software im allgemeinen gar nicht.

der internet explorer wird auch mitgeliefert, das heißt aber nicht, dass man ihn auch nutzt (oder gar nutzen sollte :eek:

) [ja ich weiß, die engine wird auch von anderen anwendungen genutzt und wer das in seine software einbaut, sollte sich in die ecke stellen und schämen].. im grunde ist es aber ein guter kompromiss, dass "smartscreen", defender und der ganze rotz standardmäßig mit dabei ist, solange er abschaltbar ist (ja, auch die automatischen updates in win10 sind selbstverständlich abschaltbar).. das entspricht dann im wesentlichen dem erwähnten qualifikationsnachweis - oh, du weißt wie man den defender ausmacht oder die auto-updates abschaltet? prima, du bist qualifiziert und darfst jetzt mit deinem rechner machen was du willst!

(oh wie sehr wünschte ich mir, es gäbe das auch für android :rolleyes:

)..
früher™ hätte ich wohl noch gemeckert, dass das alles trotzdem noch wertvolle megabytes auf der festplatte vollstopft, aber heutzutage ist das doch wohl eher "meh"....

sia · 22 Mai 2017

Automatische Updates sind für normale User in Windows 10 glücklicherweise nicht abstellbar.

Novgorod · 22 Mai 2017

was meinst du mit normale user? man kann auch XP so konfigurieren, dass ein nicht-admin die auto-updates nicht abschalten kann.. ein admin-account kann die auto-updates von win10 natürlich abstellen, halt nur nicht in einem klicki-bunti-GUI-menü

.. falls die (unvermeidbare :rolleyes:

) sinnfrage aufkommen sollte: damit man den zeitpunkt selbst bestimmen kann (duh)..

drfuture · 22 Mai 2017

@Novgorod: ich habe schon Pishing-Mails gesehen die sehr sehr gut sind... das man das *auf anhieb* erkennt ist leider schon lange nicht mehr so / nicht immer so....
Da bekommt man auch durchaus eine Zahlungsbestätigung von PayPal mit einem Produkt das man vor kurzem gekauft hat - nur z.B. mit falschem Betrag inkl. deinem korrekten Namen und Adresse (Die haben sie zusammen mit der E-Mail Adresse aus einer hübschen DB von irgend einer Seite die mal gehackt wurde), den Artikel über Cookies ausgelesen vom letzten Amazon-Besuch oder ähnliches indem der Anbieter auf div. Seiten selber Amazon-Links streut.. wie die genau dran kommen keine Ahnung.
Der Link führt dann auf eine ssl-gesicherte und damit zumindest grüne Seite die irgendwie securelogin.paypalserver.org heißt - und 1:1 in perfektem Deutsch der Paypal-Seite gleicht....
Bei der Rechnung ein Link *wenn etwas falsch sein sollte*.

Klar nun kann man dem Anwender sagen niemals einen Link in E-Mail zu öffnen - aber gerade bei Abbestellen von Newslettern ist das oft notwendig. Wie erklärt man nun dem gewöhnlichen Benutzer woran er IMMER erkennt was echt ist und was nicht? Nachdem sich die Techniken auch quasie alle paar Wochen ändern?

Und was glaubst du denn wie viele solche Mails ein Verbraucher bekommt? Das sind meist wohl eher 1-5 im Monat - und dann nicht grundsätzlich mit der ersten Welle die Auftritt - folglich ist das das von 100 Mails eine durch geht und der Schutz nicht greift ein wenig Übertrieben. Das es keine Garantie ist ist klar - davon habe ich auch nie gesprochen.
Nebenbei ist Smartscreen seit Windows 8 SystemBestandteil und greift auch nach dem Download aus beliebigen Quellen beim öffnen einer Datei. Ist diese als Schadhaft bekannt kommt ein sehr deutlicher Hinweis.
Der IE ist an sich auch wenn er dämlich zu bedienen ist richtig konfiguriert vermutlich mit der Sicherste Browser am Markt... bzw. ich suche noch eine Studie dazu - bin bisher leider nicht fündig geworden. (Das vermischt nun wieder Firma und Privat, klar Privat konfiguriert den IE keiner um....)

Das Problem mit Abschaltbar ist das sicher 90% derer die es Abschalten weil auf heise, computerbild und co steht *ist scheiße, ist Böse, hol dir ein Tool von o&o und schalte den Keylogger in Windows 10 ab der alles was du schreibst zu Microsoft sendet* nicht wissen was sie tun. Von daher .. Abschaltbar evtl. in einer Enterprise-Version alles andere finde ich gut wenn es festgelegt wird.

Wer oder was soll denn einen Privatanwender prüfen? Und WIE soll man denn prüfen? Selbst aktuell zugängliche IT-Tests für z.B. Büroarbeiter sind meist größtenteils Blödsinn und innerhalb kürzester Zeit Veraltet. Und allen den PC wegnehmen und nur gegen Führerschein raus geben mag zwar eine schöne Wunschvorstellung sein - würde aber unsere Wirtschaft so extrem treffen das das zu 500% nicht mal ein Politiker in den Mund nimmt und somit ins Land der Träume gehört. Das meine ich mit *realistisch*

Edit zum Update:
Und woran bestimmst du den Zeitpunkt fachlich? Man kann seit der letzten Version die Installation dauerhaft immer um z.B. 3 Tage verschieben um nicht der *erste* zu sein - wobei die Fehlerquote sehr viel geringer ist als immer Propagiert - an einem PC der nicht verbastelt ist hatte ich in den letzten ~10 Jahren genau 3 Probleme mit einer Funktion in Office die nicht mehr ging - wobei davon dann nur ein paar Spezielle Funktionen betroffen waren - und glaube 1x Windows bzw. beim IE - da reichte auch den einen Patch zu deinstallieren.
Das Auto-Update manuell einzuschalten und dann alle 4 Wochen dran zu denken fördert eher das Vergessen des Patchens und ist schlicht unnötige Arbeit.

braegler · 22 Mai 2017

Ich weiss, offtopic, aber zumindest sicherheitstechnisch relevant:
Hat jemand von Euch schonmal mit 0Patch gearbeitet?

dexter · 22 Mai 2017

drfuture schrieb:
Daher ist die Zeitspanne das es oft einige Stunden braucht bis die Listen aktualisiert werden durchaus korrekt und klar werden die ersten Stunden einige 1000 darauf reinfallen. Aber warum sollen DANACH weitere 1000 reinfallen?

Es sagt ja keiner das es für ALLE ein vollständiger Schutz ist - es geht nur um Reduzierung des Risikos.
Und das Virenscanner auch durchaus Fehler und Lücken haben setzt diese Reduzierung nicht auf 0

Sinngemäss, verkürzt und leicht übertrieben: 1000 müssen ins Gras beissen, damit der AV was "taugt". Das ist absolut inakzeptabel und überzeugt mich grad nicht, nach 25 Jahren Windows* nen AV zu installieren.

Was das AV-Blacklisting betrifft (hat ja bei Wannacry prima geklappt

) das ist Fischen im Trüben. Man kann (wie bereits angeschnitten) Systeme härten, so dass man weder Blacklisting noch AV benötigt. Hinzu kommt (wie auch bereits mehrfach angeschnitten), dass AV die Sicherheit an mehreren Stellen aktiv und/oder inaktiv brechen, also (theoretisch) mehr Lücken aufmachen als schliessen.

* Ich hatte mal nen AV so um 95 rum, der gute Norton. Bekannter schiebt ungefragt 'ne Diskette in meinen Rechner, Norton hat dann alles bestens geregelt. Reboot, alle Partitionen weg.

drfuture · 23 Mai 2017

Ja dexter für dich mag das in Ordnung sein, man kann sehr viel härten ja... Nur braucht das zum einen Pflege und zum anderen nimmt es Freiheit.
Noch mal daher dann auch an dich die Frage was 90% der normalen Anwender da draußen exakt empfehlbar ist?

Der gag mit dem Blacklist war dämlich aber vor allem eines... Gut für die Presse. Es waren 3? Anbieter die das versaut haben von vielleicht 10 großen. Davon war er zumindest bei einem nach ca 1h wieder draußen. 99% der Heimanwender haben einen Router in dem wohl netzlaufwerke nicht geforwardet sind und ebenso viele Firmen haben einen Proxy bei denen der killswitch eh nicht gegriffen hat.

Du würdest also jedem Nachbarn oder fremden raten sich im Mediamarkt einen pc zu Kaufen, welches os? Und dann ohne alles an Sicherheits Software zu betreiben?

Noch mal die gefahren sind mir bekannt und ich bin kein Fan davon, sehe aber aktuell keine realistische Alternative weder für privat noch für einen Großteil der Firmen.

....dein Beispiel von vor 20 Jahren ist schlicht irrelevant.

alter_Bekannter · 23 Mai 2017

Das ist halt die absurde Situation in der wir stecken, für jeden Scheiss braucht man einen Schein. Aber kritische Infrastrukur bedienen darf jeder ohne Qualifikation. Bin ich wirklich der einzige der dieses Problem sieht? Wenn snicht kritisch ist, dann kann man die Kiste ja einfach formatieren und Backup aufspielen, kein Problem!

Mich wunderts das es noch nicht von Versicherungen übernommen wurde. Die schließen für gewöhnlich soclhe Gesetzeslücken.
=> Zahlen nicht wenn man nicht ordentlich für Sicherheit gesorgt hat.

Diese Sicherheit ist in vielen Beispielen qualifiziertes Personal. Zum Beispiel bei schweren Maschinen. Gabelstapler im privaten Lager fahren darf nach dem Gesetz fast jeder, sogar ohne Führerschein.

drfuture · 23 Mai 2017

@alter_Bekannter: Nein bist nicht der einzige aber für die meisten Systeme reicht eben ein Schein... Einmalig. Hier müsste man mindestens jährlich neu machen und zwischen drin zur monatlichen auffrischen über neue gefahren verpflichten. ... Irgendwer muss dann auch noch passende Infos erstellen und das nächste Problem ist dann das der Angreifer genau weiß auf welche *Muster* geschaut wird / was beigebracht wird und sich perfekt darauf vorbereiten kann nicht entdeckt zu werden....

@Versicherung in der Tat arbeiten Versicherungen aktuell an Tarifen für Firmen um die gefahren von hackangriffen und folgen aufgrund der it-Sicherheits Gesetze abzufangen und schauen dort auf mindest Standards. Die sind angelehnt an iso 27001 des bsi nur ist das auch alles andere als aktuell (die sind bei win10 noch in der beta Phase) und betrifft erst mal nur grundlegende Dinge und organisatorisches.

--- [2017-05-23 08:54 CEST] Automatisch zusammengeführter Beitrag ---

Wir können gerne versuchen einen guide für Verbraucher aufzustellen, erinner macht Vorschläge, der andere hinterfragt diese... Vielleich wird es ja was.
Wir haben ja schon einen kleinen Guide *sicherer Client* der ist aber etwas älter

alter_Bekannter · 23 Mai 2017

Eben nicht, keine Scheisse aus komischen Quellen ausführen, die Regel galt schon immer und ist seit dem Internet ein Omnipräsentes Problem.

Ausführbare EMail-Anhänge sind schon ein lächerliches Klischee. Und waren mal wieder das Problem. Dein Post liest sich als wäre daran irgendwas neu. Dabei sind die Gegenmaßnahmen seit mindestens 20 Jahren bekannt.

Du musst Leuten ja auch nicht bei jedem neuen Messer sagen das man verblutet wenn man sich damit die Pulsadern aufschlitzt. Oder das Medikamente keine Smarties sind.

drfuture · 23 Mai 2017

Das mit den E-Mail anhängen bei whannacry konnte nicht bestätigt werden...

Davon abgesehen scheitert es schlicht an der Identifizierung von *dubios* da die Zeiten vom schlechtem Deutsch und irgend ein Quatsch am Inhalt größtenteils vorbei ist.

Bei goldeneye kamen echte, vollständige Bewegungen an Personalsachbearbeiter mit echte stellen die ausgeschrieben waren.

Und im privaten hatte ich oben auch ein Beispiel genannt. Da hilft auch das achten auf ein grünes https Schloss nichts oder das mit öffnen von anhängen wenn sich die website infiziert beim Besuch... Durch eine ungepatchte Lücke im Browser, Flash oder java, letzteres wurde vielleich sogar ohne das Wissen des Anwenders installier..

Die Mail kann auch den Anschein haben von einem guten Freund zu kommen, Beziehungen und Mail Adressen lassen sich oft voll automatisch im Internet herausfinden. Rufst du immer an wenn ein Freund dir eine Office Datei schickt? Zuletzt leider sogar ohne Makro für einen Angriff über rtf ausnutzbar?

Novgorod · 23 Mai 2017

drfuture schrieb:
@Novgorod: ich habe schon Pishing-Mails gesehen die sehr sehr gut sind... das man das *auf anhieb* erkennt ist leider schon lange nicht mehr so / nicht immer so....
[...]
Der Link führt dann auf eine ssl-gesicherte und damit zumindest grüne Seite die irgendwie securelogin.paypalserver.org heißt - und 1:1 in perfektem Deutsch der Paypal-Seite gleicht....

auf das SSL-logo schaut der DAU nicht, das ist bloß, damit der browser nicht zu sehr meckert.. ansonsten: das lesen und verstehen von URLs ist so ziemlich die einfachste und grundlegendste fähigkeit, die man für die teilnahme am internet (oder zumindest dem www) haben muss.. man kann auch von einem DAU erwarten, dass er sich die URLs der 3 oder so onlinedienste, bei denen er sein geld geparkt hat, merkt.. der unterschied zwischen irgendeiner newsletter-abmeldung und dem login bei seiner bank wird doch auch dem dümmsten klar sein und es ist doch nicht zuviel verlangt, dass man sich die 3 URLs merkt, bei denen es tatsächlich wichtig ist.. und selbst wenn nicht, kann man ihm zumindest beibringen, sich nie über links in emails bei "wichtigen" seiten einzuloggen.. wenn paypal scheinbar irgendeine mecker-email schickt, dann macht man den browser auf und loggt sich über den bookmark-link ein (der klick auf den bookmark ist auch nicht aufwendiger als der klick auf den link in der email).. und da es praktisch keine legitimen login-aufforderungen per email von "wichtigen" seiten gibt, ist es auch völlig in ordnung, sowas pauschal im gehirn zu blacklisten..

Wie erklärt man nun dem gewöhnlichen Benutzer woran er IMMER erkennt was echt ist und was nicht?

ahm, vielleicht an der domain?

wenn der vermeintliche paypal-link nicht auf *.paypal.com führt, fährt man ziemlich sicher, schon an der stelle abzubrechen.. es ist was anderes, wenn man sich irgendwas "einfängt", was die internen DNS-einstellungen manipuliert und legitime domains auf böse server umleitet (ist das überhaupt noch ein ding heutzutage?) aber das ist um größenordnungen seltener (da man dafür ja erst den PC oder router infizieren muss) als das reinfallen auf 0815-phishingmails, weil man sich nicht dazu bequemen konnte in die adresszeile zu schauen, bevor man sein passwort eintippt...

Und was glaubst du denn wie viele solche Mails ein Verbraucher bekommt? Das sind meist wohl eher 1-5 im Monat

das hängt wohl vom spamschutz ab und auf wievielen pornoseiten man seine echte email-adresse in irgendwelche formulare eingetragen hat

.. je dümmer der DAU, umso mehr schrott-mails prasseln in der regel auch auf ihn ein.. aber auch wenn es wirklich nur eine pro woche wäre, wieviele wochen länger bleibt das konto dank der geilen "internet-schutz-suite" ungeplündert, zumal sich der DAU dann ja noch weniger gedanken macht, da er ja vermeintlich geschützt ist? ein gut eingerichteter brain-filter ist ein vollständiger ersatz für jede URL-filter-suite - umgekehrt geht das aber nicht auf.. hier ist es auch tatsächlich hilfreicher, ängste zu schüren ("klickst du einmal auf den falschen link und gibst das passwort ein, ist all dein geld weg!") als ein sicherheitsgefühl zu verbreiten ("hier, mit Norton Antibrain™ kann dir nichts passieren!")...

Das Problem mit Abschaltbar ist das sicher 90% derer die es Abschalten weil auf heise, computerbild und co steht *ist scheiße, ist Böse, hol dir ein Tool von o&o und schalte den Keylogger in Windows 10 ab der alles was du schreibst zu Microsoft sendet* nicht wissen was sie tun. Von daher .. Abschaltbar evtl. in einer Enterprise-Version alles andere finde ich gut wenn es festgelegt wird.

es spricht aber überhaupt nichts dagegen, die datenschnüffelei abzuschalten, auch für DAUs.. da geht es ja normalerweise nicht um sicherheitsrelevante features wie updates, sondern um nutzlosen schrott wie cortana & co..

Wer oder was soll denn einen Privatanwender prüfen? Und WIE soll man denn prüfen?

ich wäre ja für praxistests, die weitestgehend mit der sicherheit zu tun haben.. "wie schaltet man die automatische wiedergabe von datenträgern ab?", "wie verbietet man dem system das ausführen einer bestimmten datei?" oder "wie schaltet man administrative netzwerkfreigaben ab?" - "wie, du weißt nicht was administrative freigaben sind? na dann brauchst du auch keinen adminaccount!"

.. wie die firma das implementiert, ist ihre sache - vielleicht kann ja der IT-heini einfach daneben stehen und nach 5 minuten ist es dann relativ klar, ob der idiotentest bestanden ist oder nicht.. ich gehe auch davon aus, dass die überwältigende mehrheit diesen test garnicht machen wird, das war gerade mein punkt.. bürosklaven brauchen keinen voll funktionsfähigen PC und die wenigen anderen können den test machen

..

Edit zum Update:
Und woran bestimmst du den Zeitpunkt fachlich?

daran, ob ich gerade am PC arbeite und hintergrund-rödelei, gigabytes an traffic sowie nag-screens gebrauchen kann :unknown:

.. sowas wie "updates im hintergrund" gibt es garnicht, jedenfalls nicht bei windows.. und da mein rechner normalerweise nicht läuft wenn ich nicht davorsitze, muss ich für die updates eben extra einen zeitpunkt finden.. mittlerweile mache ich sie wenn sowieso ein neustart ansteht, z.b. aufgrund irgendeiner installation, ansonsten immer ruhezustand.. auch wäre es allein schon aus sicherheitsgründen für mich völlig indiskutabel, automatisch updates installieren und neustarten zu lassen - dann sind schlimmstenfalls alle geöffneten daten/dokumente weg, wenn man mal 10 minuten nicht am PC sitzt um den auto-neustart wegzuklicken.. auch ist es relativ übertrieben, jeden tag nach updates zu suchen, zumindest wenn man seine angriffsfläche minimiert (keine unnötigen ports ins internet offen haben, keine virenmails runterladen usw.) - da sind updates für den browser und die gängigen anwendungen wichtiger..

HoneyBadger · 23 Mai 2017

@alter_Bekannter: Bei solchen Dingern wie WannaCry und Co. schreibe ich immer eine Rundmail ins ganze Unternehmen. Ferner habe ich mir schon mehrfach die Mühe gemacht, proaktiv und ohne Auftrag von irgendjemanden die einzelnen Abteilungen am Arbeitsplatz durchzuschulen. Daraus habe ich auch direkt entsprechende Schulungsnachweise für die Personalakten generiert. Kann man ja auch mal für Zertifizierungen oder Audits benötigen.

Nun, was soll ich dazu sagen? In den letzten 2 Jahren hat einige Teile des Unternehmens 2 x Ransomware erwischt (kein wirkliches Problem, dank Backup) und diverse sonstige Infektionen, die wieder ausgebügelt werden durften....
Mit so einem Schein kann man sich insb. in diesem Thema den Arsch abwischen. Für Menschen ohne IT-Affinität müssen "die Kisten" einfach laufen und wenn was nicht funktioniert, ist sowieso die IT-Abteilung daran schuld. Dieser Umstand ist genauso alt wie das Problem selbst.

Nüchtern betrachtet, kann ich´s auch einigermaßen nachvollziehen. Mich interessiert´s schließlich auch nicht wirklich, ob der Vertriebler Stress beim Kunden hat oder ob irgendeine Maschine in der Produktion anständig läuft. Jeder ist in seinen Kapazitäten beschränkt.

drfuture · 23 Mai 2017

@Novgorod: So wie HoneyBadger habe ich nunmal schon so viele Leute getroffen die dafür schlicht keine Zugang haben - da fehlt das erkennen einer Struktur in URLs - und Paypal ist ja nur *eine* Seite.... die sind sogar recht zuverlässig und behalten z.B. auch die Domains.
Bei eBay schaut die login-Domain z.B. recht oft mal anders aus und auch in offiziellen Mails kann man direkt von der E-Mail auf die Webseite klicken. Jede Firma dreht ja sein eigenes Ding.
Ja du kannst den Leuten dann sagen IMMER von Hand auf die Seiten zu gehen - bis dann der Fall eines Passwortresets oder sonst was kommt bei dem man den Link in der Mail anklicken muss - und der DAU dann nicht mehr weiter kommt... und Passwörter vergisst man gerne.

Und das die meisten Büro-Arbeiter keinen voll funktionsfähigen PC benötigen stimmt im Prinzip - aber "nur" 50 Webseiten und 3 Programme reicht auch nicht - und wenn du mal über 1000 Rechner hast und fast jeder etwas anderes mit dem Gerät macht dann wird das Management durchaus Anspruchsvoll ... - Aber in Firmen hat sich trotzdem die IT darum zu kümmern - der Arbeitnehmer muss seinen Job aber vollumfänglich machen können der PC ist ein Hilfsmittel und keine Hürde.
Privat gibt es ja aber diese Abteilung leider nicht. Und selbst wenn du leuten dann den Autorun nimmst steckt er seinen ipod ein und beschwert sich danach wie er da Lieder drauf bekommt weil kein Fenster aufploppt.
Dann wird nach dem Fehler gegooglet und du findest nicht eine Anleitung wie man es trotzdem hin bekommt sondern wie man mir registry-hacks irgendwas kaputt-repariert.

@updates / Neustarts - k.a was ihr immer macht im Betrieb auch wenn ich den PC mal einen halben Tag hab laufen lassen ist der PC noch nicht einmal neugestartet gewesen. Die Nutzungszeiten sind im Standard so gelegt das der PC nur mitten in der Nacht neustartet und das bei leerlauf. Und jeden Tag ist das auch nicht sondern wie ja bekannt ist eher einmal im Monat. Unnötige Ports sind an sich nie offen.
GB an Traffic ist das ebenfalls nicht - und wird bis in den Herbst auch immer weniger wenn ausschließlich diffs geladen werden.

@schnüffelei - doch es ist ein Problem wenn Blind einfach etwas abgeschaltet wird ohne zu wissen was man da tut - nur weil in Medien völlig falsche Berichterstattung stattfindet statt objektiv aufzuklären. Das Ergebnis ist dann nämlich das plötzlich der PC komisch reagiert weil man was kaputt-gepatched bzw. das Tool halt irgendwelche Key's löscht und man beim Upgrade dann Probleme hat.

Novgorod · 23 Mai 2017

drfuture schrieb:
@Novgorod: So wie HoneyBadger habe ich nunmal schon so viele Leute getroffen die dafür schlicht keine Zugang haben - da fehlt das erkennen einer Struktur in URLs - und Paypal ist ja nur *eine* Seite.... die sind sogar recht zuverlässig und behalten z.B. auch die Domains.
Bei eBay schaut die login-Domain z.B. recht oft mal anders aus und auch in offiziellen Mails kann man direkt von der E-Mail auf die Webseite klicken. Jede Firma dreht ja sein eigenes Ding.

dann ist es schade, dass die leute etwas so einfaches wie die struktur einer URL nicht lernen wollen, nur damit ihr ganzes geld nicht geklaut wird - was soll man da noch viel zu sagen? :unknown:

vielleicht noch dass mir aus dem stegreif kein einziger großer anbieter von irgendwas mit geld/bezahlen/kaufen einfällt, bei dem der login über eine andere hauptdomain (nicht subdomain) läuft.. aber wie gesagt, selbst wenn - die wenigen dienste, die ein DAU nutzt und bei denen ein fremdzugriff wirklich schmerzt, sollte sich jeder merken können, der weiß, wie man einen PC einschaltet (sind ja schließlich keine mac-user, die das nicht wissen

)..

bis dann der Fall eines Passwortresets oder sonst was kommt

mei, ein bisschen mitdenken schadet auch nicht - wenn die mail 3 sekunden nach dem klick auf "passwort reset" kommt, ist die chance recht klein, dass es phishing ist; und auch da muss man in der regel keine logindaten eingeben, sondern nur den link aufrufen.. ich habe auch nie gesagt, dass man garnicht auf links in emails klicken darf, sondern dass man einigen wenigen trivialen regeln folgen muss, z.b. niemals logindaten nach dem klick auf den link eingeben - so bleibt alles zu 99% weiterhin nutzbar und das phishingrisiko (zumindest über email-links) fällt auf genau 0..

Und das die meisten Büro-Arbeiter keinen voll funktionsfähigen PC benötigen stimmt im Prinzip - aber "nur" 50 Webseiten und 3 Programme reicht auch nicht - und wenn du mal über 1000 Rechner hast und fast jeder etwas anderes mit dem Gerät macht dann wird das Management durchaus Anspruchsvoll ... - Aber in Firmen hat sich trotzdem die IT darum zu kümmern - der Arbeitnehmer muss seinen Job aber vollumfänglich machen können der PC ist ein Hilfsmittel und keine Hürde.

das ist dann eben - um es auf leyenisch zu sagen - ein haltungsproblem.. eine drehbank ist scheiße teuer, hat einen großen einrichtungs- und wartungsaufwand und darf nur von mitarbeitern mit qualifikation bedient werden, weil sie sich bei unsachgemäßem gebrauch damit häufen können.. ein "PC-problem" hinterlässt vielleicht weniger blutflecke, kann aber locker sehr viel mehr kosten als eine beerdigung - warum das ein BWLer nicht ausrechnen kann, übersteigt wohl meine mentalen fähigkeiten.. entweder man macht die maschine idiotensicher (ja, das kostet) oder man macht die idioten maschinensicher (ja, auch das kostet) - warum gilt dieses prinzip in jedem anderen arbeitsbereich außer dem PC!?

Und selbst wenn du leuten dann den Autorun nimmst steckt er seinen ipod ein und beschwert sich danach wie er da Lieder drauf bekommt weil kein Fenster aufploppt.
Dann wird nach dem Fehler gegooglet und du findest nicht eine Anleitung wie man es trotzdem hin bekommt sondern wie man mir registry-hacks irgendwas kaputt-repariert.

das ist doch besser als ein leergeräumtes konto

.. auch ist es zumindest ein ansporn, sich selbst um informationen zu bemühen und vielleicht sogar am ende noch etwas zu verstehen - oder hast du all deine 1337en skillz ausschließlich auf der windows-akademie gelernt?

der lernresistente DAU hingegen ärgert sich, dass das fenster nicht aufpoppt, und kauft sich dann einen mac...

Die Nutzungszeiten sind im Standard so gelegt das der PC nur mitten in der Nacht neustartet und das bei leerlauf.

na dann siehst du doch das problem - mitten in der nacht ist er garnicht an und wenn ich davorsitze, ist es schon per definition kein leerlauf.. ich will nicht riskieren, dass die automatik den leerlauf falsch erkennt und die kiste neustartet, obwohl programme laufen und dateien geöffnet sind.. für einen DAU mag das sinn machen, weil er wohl ein größeres sicherheitsbedürfnis hat und sowieso nichts wichtiges am PC macht, aber mir können sie damit gepflegt den buckel runterrutschen

..

Und jeden Tag ist das auch nicht sondern wie ja bekannt ist eher einmal im Monat. Unnötige Ports sind an sich nie offen.
GB an Traffic ist das ebenfalls nicht - und wird bis in den Herbst auch immer weniger wenn ausschließlich diffs geladen werden.

einmal im monat kann man es auch ohne merklichen aufwand per hand machen, ich mache es deutlich häufiger.. und die updates sind sehr wohl im GB-bereich, wenn man office-updates mitzählt.. zumindest machen sie mehr als genug traffic, um den zeitpunkt lieber selbst zu bestimmen, damit es nicht z.b. mit downloads oder streams kollidiert..

@schnüffelei - doch es ist ein Problem wenn Blind einfach etwas abgeschaltet wird ohne zu wissen was man da tut - nur weil in Medien völlig falsche Berichterstattung stattfindet statt objektiv aufzuklären. Das Ergebnis ist dann nämlich das plötzlich der PC komisch reagiert weil man was kaputt-gepatched bzw. das Tool halt irgendwelche Key's löscht und man beim Upgrade dann Probleme hat.

darum alles auf eigene gefahr - ist doch fair.. ich sehe auch nicht, was man im privatbereich kaputtmachen kann, wenn man telemetrie, cortana und sonstige schnüffelei abschaltet (außer dass es beim nächsten update ggf. wieder an ist).. vielmehr reduziert es die angriffsfläche und erhöht die sicherheit, wenn man unnötige datenspuckerei loswird.. hast du denn irgendeinen "objektiveren" grund, warum MS ungefragt alles wissen muss, was man mit dem PC macht?

drfuture · 23 Mai 2017

Ja habe ich
a) möchten sie nicht "alles" wissen was du auf dem PC machst sondern erst einmal geht es um Probleme die du am PC hast (erstmal in Punkt c erklärt) - diese Probleme werden danach wenn gehäuft und kein Einzelfall durchaus relativ Zeitnah gelöst. Sei es Probleme mit spezifischer Hardware oder mit speziellen Programmen - oder das Funktionen nicht gefunden werden da evtl. unlogisch versteckt usw. Das lässt sich nur ändern wenn man weiß bei welchem Programmstart ein Fehler passiert.

b) hat es genau 0 mit Sicherheit zu tun wenn eine verschlüsselte (wenn auch zuletzt leider nicht gepinnte) Verbindung zu einem MS-Server aufgebaut wird und dort Programmnamen geliefert werden. Wenn ein Angreifer hier eine MDM hinbekommt hat man noch ganz andere Probleme.

c) Es gibt noch so schöne Dinge wie "Lieder die sie Anhören" oder "Filme die sie anschauen" usw.. .das ist aber nicht global sondern trifft auf die zu die Grove oder ähnliche Anwendungen verwenden. Diese haben dann auch Feature wie Spoticy, Netflix und Co die einem zu *seinem* Content passenden anderen anbieten - dazu muss wohl etwas übertragen werden.
Cortana deaktivieren für die die Sie nicht haben wollen geht schon beim Installieren auf ganz offiziellem Weg, dann auch noch in der Konfiguration und beim letzten Update wurde ja auch noch mal gefragt.
Je nach Version wird noch die Programmliste geschickt - auch diese hilft einfach ungemein zu wissen das noch Uralt-Version x,y,z von Programm xxx Milliardenfach installiert ist und somit vielleicht Probleme macht.

Wenn das jeder schlicht alles abschaltet weil Microsoft nicht wissen darf das man Leisure Suit Larry 7 installiert hat und einem das peinlich ist - sollte man auch nicht meckern das Windows scheiße funktioniert und immer wieder den gleichen Fehler x,y,z meldet.

sia · 23 Mai 2017

Das Spiel heißt Leisure Suit Larry und warum sollte ich mich nackt ausziehen, nur um ein wenig unerwünschte Software abzuhalten?

Das Eine hat mit dem Anderen überhaupt nichts zu tun, Sicherheit ohne always-on ist durchaus möglich. Debian schafft es auch, Sicherheitsupdates zeitig bereitzustellen, ohne dass sie meine Pornovorlieben kennen.

Ich wiederhole noch einmal meinen Standpunkt: Administratoren und User sollte man trennen und jemand, der vom Administrieren eines PCs keine Ahnung hat, sollte das aus Eigenschutz auch nicht tun.

Ob die Lösung mehr Ahnung oder die Inanspruchnahme eines Dienstleisters ist, muss jeder für sich selbst entscheiden.

Virenscanner, das Geschäft mit Angst und fragwürdiger Moral

Zeitreisender

Aktiver NGBler

gesperrt

ngb-Nutte

gesperrt

ngb-Nutte

Zeitreisender

Aktiver NGBler

Cloogshicer®

Zeitreisender

N.A.C.J.A.C.

Zeitreisender

N.A.C.J.A.C.

Zeitreisender

ngb-Nutte

Aktiver NGBler

Zeitreisender

ngb-Nutte

Zeitreisender

gesperrt