• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Virenscanner, das Geschäft mit Angst und fragwürdiger Moral

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.069
Ort
in der Zukunft
Das ist halt wunderbar wenn man überall Äpfel mit Birnen vergleicht und dann die 2 auch noch Püriert um zu einem Gemüse-Auflauf zu kommen - wenn man dann kein Gemüse mag waren die Äpfel schlecht :p

Um irgend eine Grundlage zur Diskussion zu schaffen muss das Thema meiner Meinung nach zumindest in 2 bis 4 Zielgruppen gefasst werden:
- Privatanwender
- Technisch versierter Privatanwender
- Firma im klein und Mittelstand
- größere Firmen

Für alle gilt ein anderes Bedrohungsszenario, andere Mittel um dagegen etwas zu tun und ein anderer Bedarf.
Ebenso wäre für die Polemische Aussage "Virenscanner tauchen nichts" der Begriff Virenscanner zu definieren.

der Begriff Virenscanner hat sich an sich schon lange zu "Endpoint-Security" Gewandelt.
Ja ein Virenscanner auf Pattern und Signatur-Basis funktioniert noch zu maximal 40-50% hier ist es egal ob Firma oder Privatanwender
der Großteil der Schadsoftware sind inzwischen einmalig für jeden Angriffsfall über Generatoren erstellt oder mutieren von infiziertem PC zu infiziertem PC je nach Verbreitungsmethode. Alleine wenn man den Anstieg an "neuen" Malware-funden pro Tag betrachtet klick ist klar das dafür nicht in Stunden weltweit ein Pattern zur Verfügung gestellt werden kann das rechtzeitig schützt. Die Pattern können durchaus nicht voll automatisch erstellt werden da es sonst schnell zu kollisionen mit "guter" Software kommt.

Selbst der kostenlose Virenscanner besteht aber schon lange nicht mehr nur aus einem Pattern-Scanner.
@Avira Werbung weiter oben - die haben schon immer wie inzwischen leider auch Avast mit solchen Meldungen für die Kostenpflichtige Version beworben. So etwas macht aber nicht den Virenscanner an sich schlecht sondern das Marketing derer bzw. auch der Anwender der mal wieder alles Kostenlos haben möchte.

Der Endpoint-Schutz besteht dann im Zweifel aus dem Pattern-Scanner, einer Heuristik, einem Webschutz, einer Portkontrolle, einer Firewall, ein IDS, Anwendungs Black/Whitlisting, Sandboxes und Ki's mit neuronalen Netzen und Deep-Learning und vielem Mehr.
Je nach AnwenderGruppe unterschiedlich ausführlich und unterschiedlich Konfigurierbar.

In der Tat kann man vielen Problem erst einmal begegnen insofern man nicht mit Adminrechten arbeitet - und da ist auch das Problem bei Handys, wenn das jemand kann - dann macht er es weil es dann Coole Tipps und Tricks auf Computerbild oder auf Youtube gibt "3 einfache Schritte die nervige Werbung am Handy los zu werden" von Sicherheit und Admin/root-Rechten steht dort nichts.
Mehr infos zum Thema Sicherheitslücken und administrative Rechte zumindest bei Windows unten im Anhang.

Auch kann ein guter Virenscanner die oben genannten Makro-Angriffe verhindern und Ransomware stoppen - auch unbekannte Exemplare die extra für das Unternehmen generiert wurden. Letzteres werde ich in den nächsten paar Wochen noch selber ausprobieren - bisher nur in der Vorführung gesehen.

Auch bei Technisch versierten hilft die Brain.exe nicht wenn in das Laptop im Kaffee unbemerkt (und so ein Gerät hat nur ein paar mm) jemand einen USB-Stick in das Gerät steckt das eine Tastatur emuliert und dadurch über legitime Tastatur-Eingaben am System persönliche Informationen nach draußen schickt. Das ganze geht relativ unbemerkt und zeitverzögert insofern das System merkt das man gerade mal nicht *hin schaut*
Auch war es des öfteren schon möglich über Grafik-Lib's in das System einzubrechen - in Windows als wenn ich mich recht erinnere auch unter Linux.
Nur durch den Besuch einer Infizierten Webseite. Patched jeder Linux-User automatisch täglich sein System?

Auch gibt es wunderbare Scripte die sich durch Lücken in bekannten Webseiten dort einbinden (bei denen ist dann auch noscript deaktiviert, bzw. wenn das script jquery.js heißt - wieviele lesen dann wirklich den gesamten Code der .js durch vor der Freigabe?) und eine direkt-verbindung zwischen Angreifer und Webbrowser auf dem Zielpc-Herstellen um ihm dann nette Popups zukommen zu lassen - wir der abgelaufen login seines FaceBook Accounts.
Klar kann man nun von sich selber behaupten immer alles *im Griff* zu haben. Die Methoden sind aber immer ausgefeilter und voll Automatisierbar - ich würde mir selber nicht zutrauen alles erkennen zu können.
Ein passender Schutz am PC kann sehr viel davon erkennen und vor allem verdächtiges melden.

Was ich jedoch durchaus beobachte und was definitiv ein Fehler ist: Ich habe ja einen Virenscanner, dann klicke ich einfach mal drauf und schau ob es "echt" ist oder nur ein Virus. Klar mutwillig bekommt man fast jedes System infiziert.

Desweiteren gibt es noch weitere "andere" Sicherheitsprodukte die aktuell auf den Markt kommen - jedoch *noch* nur für Firmen wie die Software von Cylance, von Avecto, Bromium

Die alle einen anderen Ansatz verfolgen und mit dem bekannten Modell eines Virenscanners quasie nichts gemein haben. Vor allem Cylance kommt auch mit extrem wenig System-Ressourcen aus und Veröffentlicht alle 4-8 Monate mal eine "Verbesserung" wobei der alte Schutz durchaus auch mit Tagesaktuellen Bedrohungen zurecht zu kommen scheint.

Das ganze nur mal als kurzer Überblick - genaueres ist halt nur dann Möglich wenn man die Aussage im Opener schlicht konkretisieren würde.
 

Anhänge

  • report-microsoft-vulnerabilities-2016.pdf
    1,7 MB · Aufrufe: 455
Zuletzt bearbeitet:

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
In der Tat kann man vielen Problem erst einmal begegnen insofern man nicht mit Adminrechten arbeitet
Bist du dir da sicher? Unter Windows und Linux (kA wie das bei macOS ist) kann sich ein Programm auch ohne Adminrechte in den Autostart des Users legen. Siehe mein XKCD von oben:
SK6BoWB.png

Auch kann ein guter Virenscanner die oben genannten Makro-Angriffe verhindern und Ransomware stoppen - auch unbekannte Exemplare die extra für das Unternehmen generiert wurden.
Bitdefender ist also kein guter Virenscanner? Wenn ich eine TAO starten würde, dann doch wenigstens vorher mal rausfinden, welche Sicherheitsmaßnahmen am Start sind.

Letzteres werde ich in den nächsten paar Wochen noch selber ausprobieren - bisher nur in der Vorführung gesehen.
Sowas funktioniert immer nur in Demos. Benutzerrechte beschränken (Zugriff auf Shares, IDS auf dem Fileserver) sind in Unternehmen weitaus sinnvoller und Endnutzer kommen selten in den Genuss von TAO.

Auch bei Technisch versierten hilft die Brain.exe nicht wenn in das Laptop im Kaffee unbemerkt (und so ein Gerät hat nur ein paar mm) jemand einen USB-Stick in das Gerät steckt das eine Tastatur emuliert und dadurch über legitime Tastatur-Eingaben am System persönliche Informationen nach draußen schickt.
Ich glaube, das Thema hatten wir hier im Forum schon: https://ngb.to/threads/26334-Angriffe-auf-Windows-mit-USB-Sperre-und-Software-Firewall-verhindern

Das ganze geht relativ unbemerkt und zeitverzögert insofern das System merkt das man gerade mal nicht *hin schaut*
Stimmt nicht, Rubber Duckys haben meistens nur Zeitverzögerung. Wie soll eine USB-Tastatur auch großartig Zugriff auf den Taskmanager bekommen?

Windows+L sowie Paranoia sind da wirkungsvoller als Software. Das will ich erst mal sehen, wie mir einer einen Rubber Ducky unterschiebt.

Patched jeder Linux-User automatisch täglich sein System?
Ja, und das ist weitaus öfter als zum Patch Day. Mein System (Debian) schaut jeden Tag und haut ne Benachrichtigung raus. Netterweise geht das bei Linux ja auch im Hintergrund, bei Windows kann man dann selbst mit SSD ne halbe Stunde nicht arbeiten, weil "Updates werden konfiguriert." oder "Bitte warten Sie auf unsere tollen neuen Überwachungsfeatures!".

Klar kann man nun von sich selber behaupten immer alles *im Griff* zu haben. Die Methoden sind aber immer ausgefeilter und voll Automatisierbar - ich würde mir selber nicht zutrauen alles erkennen zu können.
Da sind wir wohl verschiedener Meinung – ich würde einem Virenscanner nicht zutrauen, alles erkennen zu können.

Ein passender Schutz am PC kann sehr viel davon erkennen und vor allem verdächtiges melden.
*hust* sehr viel != alles.

Was ich jedoch durchaus beobachte und was definitiv ein Fehler ist: Ich habe ja einen Virenscanner, dann klicke ich einfach mal drauf und schau ob es "echt" ist oder nur ein Virus. Klar mutwillig bekommt man fast jedes System infiziert.
Wenn ich gucken will, ob's ein Virus ist, lade ich es auf Virustotal hoch oder schicke es an den Admin.

Desweiteren gibt es noch weitere "andere" Sicherheitsprodukte die aktuell auf den Markt kommen - jedoch *noch* nur für Firmen wie die Software von Cylance, von Avecto, Bromium
Wirst du von Bromium bezahlt? ;)

Die alle einen anderen Ansatz verfolgen und mit dem bekannten Modell eines Virenscanners quasie nichts gemein haben.
Und somit auch einen eigenen Thread verdienen und im Thread namens "Virenscanner, das Geschäft mit Angst und fragwürdiger Moral" nichts verloren haben :p

Genaueres ist halt nur dann Möglich wenn man die Aussage im Opener schlicht konkretisieren würde.
Da bin ich ganz bei dir, wurde ja schon von Mehreren angemerkt. @alter_Bekannter: Wäre nice, wenn du dir gönnen könntest :)
 
Zuletzt bearbeitet:

alter_Bekannter

N.A.C.J.A.C.

Registriert
14 Juli 2013
Beiträge
4.762
Ort
Midgard
  • Thread Starter Thread Starter
  • #43
Es geht um nichts spezielles, im Gegenteil, mich interessieren auch die Firmenumfelder. Nach meiner Erfahrung kommt da überall ein Scanner als Blameware zum Einsatz. Dadurch bin ich auch über diese geniale Meldung von Avira gestolpert. Als der mir die Meldung gezeigt hab dachte ich erst die hätte der selber gemacht.

was mir bisher so vorgelegt wurde ist allerdings so lächerlich wie ich es in Erinnerung habe die Tests basieren auf dem automatisierten Aufrufen von Webseiten (mit Flash aktiviert, so retro) nach nicht genanntem System. Das ist sicher interessant für Leute mit dem Use Case exakt diese Webseiten in dieser Frequenz anzusurfen. Und wie sichergestellt wurde das die Systeme wirklich sauber waren zu irgendeinem Zeitpunkt wird auch bequem unter den Tisch gefegt. Verzögerte Payloads sind ja wohl schon lange standard um Systemwiederherstellungspunkte und Backuplösungen zumindest teilweise zu umgehen. Also ist ein Warten auf Symptome auf jeden Fall Zeitintensiv. Denn wenn ich auf die Idee komme das anders als übers Datum zu prüfen hatten die Idee auch schon viele andere.

Aber ich wollte halt gerade nicht Strohmänner dekonstruiren. Ich warte zumindest bis sie sich selber melden.

Außerdem bin ich etwas angepisst das ich wegen der Anforderung das ein Virenscanner installiert sein muss kein Online Banking nutzen kann. Daher will ich die Problematik ein bischen mehr ins Bewusstsein rücken.
Das Blamewarekonzept stört mich am meisten.
 
Zuletzt bearbeitet:

alter_Bekannter

N.A.C.J.A.C.

Registriert
14 Juli 2013
Beiträge
4.762
Ort
Midgard
  • Thread Starter Thread Starter
  • #45
Das ist Gummijura und du bist kein Anwalt oder?:D

Über soclhe Lösungen habe ich auch schon nachgedacht, aber ohne Rechtssicherheit lass ichs lieber. So wichtig ist Online Banking nicht, dann bekommen eben die Kreditkarten Unternehmen mehr.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.069
Ort
in der Zukunft
Bist du dir da sicher? Unter Windows und Linux (kA wie das bei macOS ist) kann sich ein Programm auch ohne Adminrechte in den Autostart des Users legen. [/img]
Ja - wenn du dir das .pdf gelesen hast. Ich sagte vieles an Problemen nicht alles - hätte vielleicht besser schreiben sollen Sicherheitslücken. Für so manchen Angriff bedarf es nunmal einer Schwachstelle. Wenn ich von diesen über 90% ohne Adminrechte gar nicht nutzen kann und diese somit keine Gefahr darstellen - egal ob gepatched oder nicht hilft es extrem viel ohne Adminrechte unterwegs zu sein.

Bitdefender ist also kein guter Virenscanner?
Wo habe ich das geschrieben? Bitdefender hat recht gute Erkennungsraten auch für Ransomware gibt es seit einigen Monaten ein extra "Modul".

Sowas funktioniert immer nur in Demos. Benutzerrechte beschränken (Zugriff auf Shares, IDS auf dem Fileserver) sind in Unternehmen weitaus sinnvoller und Endnutzer kommen selten in den Genuss von TAO.
Wenn es eine persönliche Life-Demo ist und ich mich von der Umgebung überzeugen kann ist das etwas anderes als irgendwo in einem Video. Über den realtest mit Tagesaktuellen bzw. auch selbst einmalig generierter Schadsoftware und Ransomware werde ich gerne im Anschluss berichten - hier wird jedoch aktuell nur ein Virenscanner getestet nicht ein ganzes Testfeld.
Im Übrigen was genau bringen Netzlaufwerke und ein IDS, ein Scanner am Mailgateway wenn über einen Webmailer der per https geöffnet wird die Schadsoftware direkt auf den PC geladen wird? https aufbrechen ist eine extrem schlechte Idee.

Dort wolltest du ja selber usb beschränken? Was willst du damit sagen? Ja es geht auch ohne Zusatzsoftware - je nachdem aber nicht sonderlich gut verwaltbar?

Stimmt nicht, Rubber Duckys haben meistens nur Zeitverzögerung. Wie soll eine USB-Tastatur auch großartig Zugriff auf den Taskmanager bekommen?
Warum Taskmanager? Ich öffne eine Dos-Box, schreibe dort ein .vbs in eine Datei und führe das aus. Alternativ Batch, Powershell was du willst. Die Dos-Box wird geöffnet > aus dem Rand raus geschoben - das dauert ~2s und ist der einzige Moment in dem du etwas siehst. Dann musst du nur noch lang genug abgelenkt sein bis das restliche Script eingetippt ist - was je nach Größe vielleicht 10s dauert.
Zugriff habe ich damit auf alles was das Programmiererherz begehrt.

Windows+L sowie Paranoia sind da wirkungsvoller als Software. Das will ich erst mal sehen, wie mir einer einen Rubber Ducky unterschiebt.
Das mag ja auf dich persönlich zutreffen - darum geht es aber denke ich nicht. Der normale Anwender wundert sich ja nicht mal wenn ein Popup kommt. Und auch so - wenn du irgendwo unterwegs bist - Kunde und Präsentierst was - oder in irgend einer Lokalität, k.a Urlaub planen mit Laptop im Cafè - hab ja keine Ahnung was du persönlich so treibst - und eine nette Dame, unbeholfen kommt an dir vorbei und fragt ob du ihr kurz am Handy helfen kannst sie bekommt die Mail nicht raus... machst du wirklich Windows+L bevor du dich zu ihr hin drehst?

Ja, und das ist weitaus öfter als zum Patch Day. Mein System (Debian) schaut jeden Tag und haut ne Benachrichtigung raus. Netterweise geht das bei Linux ja auch im Hintergrund, bei Windows kann man dann selbst mit SSD ne halbe Stunde nicht arbeiten, weil "Updates werden konfiguriert." oder "Bitte warten Sie auf unsere tollen neuen Überwachungsfeatures!".
Bei dir schon - und selbst da musst du dann jeden Tag eingreifen wenn er es nicht automatisch macht? Und wie schon oben erwähnt ich gehe davon aus das das nicht jeder Linux user macht.

Da sind wir wohl verschiedener Meinung – ich würde einem Virenscanner nicht zutrauen, alles erkennen zu können.

*hust* sehr viel != alles.
Öhm wer schreibt denn doch einer 100% Lösung? Die wird es nie geben. Ich habe oben auch geschrieben das die Anwender egal welcher ihr Hirn einschalten müssen. So mancher kann das besser, andere schlechter. Und das ALLES verhindert werden kann wäre zwar schön - ist aber wohl Wunschdenken. Wenn aber 90% - selbst wenn es nur 50% der Angriffe verhindert werden sind das jedoch Millionen - also ist die Aussage es hilft "nichts" schlicht falsch.

Wenn ich gucken will, ob's ein Virus ist, lade ich es auf Virustotal hoch oder schicke es an den Admin.
Virustotal erkennt nur massenware und dinge die einige Wochen alt sind - die Seite ist ganz nett aber an sich in den aller meißten fällen unnütz. Und was soll der ominöse Admin damit machen? Du wechselst fliegend zwischen Anwender und *dir*

Wie dir vielleicht aufgefallen sein könnte habe ich alle mir bekannten Alternativen aufgezeigt nicht nur diese - das Feld ist hier nur relativ überschaubar.

Und somit auch einen eigenen Thread verdienen und im Thread namens "Virenscanner, das Geschäft mit Angst und fragwürdiger Moral" nichts verloren haben :p
Wie man es sieht - zumindest das Produkt von Cylance ist als vollwertiger Virenscanner-Ersatz konzipiert und wird auch von z.B. dem Security-Center als Virenscanner erkannt - und ist beim BSI in Prüfung > zu dem Thema gleich unten mehr.



was mir bisher so vorgelegt wurde ist allerdings so lächerlich

wenn ich 5 Virenscanner vergleiche - muss ich sicherstellen das alle dem gleichen Szenario ausgesetzt sind. av-test.org surft dazu z.B. bekanntermaßen schadhafte Webseiten an - zeitgleich und monitort dabei das System. von Hand ist schlicht nicht gleichzeitig - oder eben nicht vergleichbar da jeder anders arbeitet und dann sowas nettes kommt wie "der Virus springt nur an weil er die Maus mehr bewegt hat als der andere" - Ein Test muss objektiv Stattfinden um vergleichbar zu sein. Was so ein Test dann aussagt ist eine ganz andere Frage. Da bin ich absolut bei dir das man alleine an so einem Test nicht entscheiden kann wie *gut* ein Scanner oder eine Software ist.

Es gibt von fast allem eine Testversion der nicht kostenlosen Virenscanner Variante oder noch ganz anderen Produkten - Also einfach in einer VM Installieren und sich Tagesaktuelle Malware besorgen oder über Div. Kits selber welche bauen und auf dem Gerät zur Ausführung bringen > schauen was passiert.

Wo hast du das Problem mit dem Online-Banking? Wer schreibt da was genau vor?
Aber ja - es gibt Bereiche da ist auch bei Firmen schlicht ein Virenscanner vorgeschrieben - daher oben der Hinweis mit dem BSI - insofern man sein Unternehmen zertifizieren lassen möchte oder muss - muss ein passender Schutz vorgewiesen werden der auch "erklärbar" ist.

Was ist denn die Alternative? JEDEN Angriff kann man nicht abwehren - man kann sich aber auch bei den Statistiken eines jeden Herstellers selber erkundigen wie viele Anwendungen / Angriffe pro Tag jeweils blockiert werden. All diese Angriffe sind nicht geglückt - und nur weil weile durch kommen will man alle durchlassen und nichts tun? (Ja logisch - Hersteller eigene Statistiken können beliebig geschönt sein - aber wenn ich mir ansehe was alleine bei uns täglich blockiert wird... ist das durchaus realistisch)

Sicherheit egal in welchem Bereich ist nie Garantiert. Du wirst auch ab und an Krank obwohl dein Körper Antikörper bildet, ein Schutzsystem gegen Eindringlinge hat und vieles mehr. Wie es Leuten geht dehnen diese Schutzsysteme fehlen wissen wir auch.
Ebenso könnte man mit diesem Argument auch Alarmsysteme in Firmen und Juwelieren einfach nicht einbauen - es gibt ja durchaus immer wieder Angreifer die es schaffen diese zu überlisten?

Und wer einen Schaden in der Firma auf den schlechten Virenschutz schiebt - oder noch viel schlimmer davon ausgeht Ich habe so ein Produkt also bin ich Sicher - der ist ignorant. Das Macht aber solch eine Software noch lange nicht unnötig.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Im Übrigen was genau bringen Netzlaufwerke und ein IDS, ein Scanner am Mailgateway wenn über einen Webmailer der per https geöffnet wird die Schadsoftware direkt auf den PC geladen wird? https aufbrechen ist eine extrem schlechte Idee.
Warum sollte man über einen Webmailer Schadsoftware herunterladen? Mailaccounts sind durch lokale Software verfügbar, das Postfach wird ja gescannt und für private Mails nutzen die Mitarbeiter ihre eigenen Rechner oder Smartphones. BYOD ist Krebs.

Und auch so - wenn du irgendwo unterwegs bist - Kunde und Präsentierst was - oder in irgend einer Lokalität, k.a Urlaub planen mit Laptop im Cafè - hab ja keine Ahnung was du persönlich so treibst - und eine nette Dame, unbeholfen kommt an dir vorbei und fragt ob du ihr kurz am Handy helfen kannst sie bekommt die Mail nicht raus... machst du wirklich Windows+L bevor du dich zu ihr hin drehst?
Ja. Ich drücke sogar Windows+L, wenn ich zu Hause am PC sitze und kurz aufstehe, selbst, wenn nur meine Freundin oder niemand zu Hause ist. Wenn man sich das angewöhnt, klappt das zuverlässig. Ist wie die Haus- oder Autotür abschließen, wenn man geht. Soll aber auch Leute geben, die ihr Haus immer offen stehen lassen.

Bei dir schon - und selbst da musst du dann jeden Tag eingreifen wenn er es nicht automatisch macht?
Ich habe gerne die Kontrolle über meinen Rechner, aber selbstverständlich geht das auch im Hintergrund :rolleyes:
https://wiki.debian.org/UnattendedUpgrades

Und wie schon oben erwähnt ich gehe davon aus das das nicht jeder Linux user macht.
Bei vielen Distributionen ist das das Standardverhalten. Wenn der Rechner vom Admin verwaltet wird, sollte ein Patchmanagement vorhanden sein.

Wenn aber 90% - selbst wenn es nur 50% der Angriffe verhindert werden sind das jedoch Millionen - also ist die Aussage es hilft "nichts" schlicht falsch.
Also bei mir zu Hause passieren keine Millionen von Angriffen. Da bist du mal wieder total in der Marketing-Maschinerie gefangen. Selbst Microsofts Windows Defender schafft noch >90% der Risiken abzuwenden, wenn man dann noch mal die 94% aus deinem Microsoft-Paper abwendet, sind es ja nur noch 0,6%, die übrig sind.

Virustotal erkennt nur massenware und dinge die einige Wochen alt sind - die Seite ist ganz nett aber an sich in den aller meißten fällen unnütz.
Virustotal erkennt das, was die Scanner erkennen. Warum sollte ein lokal installierter Virenscanner vom selben Hersteller und

Und was soll der ominöse Admin damit machen?
Habe des Öfteren von Kunden ominöse Mails geschickt bekommen, die ich dann gecheckt habe und denen gesagt habe, ob ein Virus drin ist oder nicht.

Du wechselst fliegend zwischen Anwender und *dir*
Verstehe ich nicht. Es gibt nunmal Admins und Benutzer, manche sind das in Personalunion und manche sind es, obwohl sie es nicht sein sollten.

zumindest das Produkt von Cylance ist als vollwertiger Virenscanner-Ersatz konzipiert und wird auch von z.B. dem Security-Center als Virenscanner erkannt
Das ist natürlich ein Qualitätsmerkmal! Ich bin mir sicher, dass ich es irgendwie hinbekommen könnte, eine Endlos-Warteschleife zu programmieren, die auch vom Security-Center als Virenscanner erkannt wird :m

man kann sich aber auch bei den Statistiken eines jeden Herstellers selber erkundigen wie viele Anwendungen / Angriffe pro Tag jeweils blockiert werden.
Meine Kunden haben ca. 5x im Jahr eine abgewehrte Bedrohung, alles andere sind false positives. Und das meistens schon im Posteingang.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.069
Ort
in der Zukunft
Warum sollte man über einen Webmailer Schadsoftware herunterladen? Mailaccounts sind durch lokale Software verfügbar, das Postfach wird ja gescannt und für private Mails nutzen die Mitarbeiter ihre eigenen Rechner oder Smartphones. BYOD ist Krebs.
Warum sie sollten? Weil sie es können? Firmen die es "wagen" nur Seiten die auf einer Whiteliste stehen im Internet frei zu geben sind sehr sehr selten. Bei allen anderen ist es schlicht möglich und wird unter Garantie auch gemacht. Zum anderen gibt es Firmen bei denen es nunmal erlaubt ist den PC privat zu nutzen - weil es *schon immer* so ist und der Arbeitgeber als Arbeitnehmer und Sozialfreundlich gilt und dieses "Recht" das seit 10 Jahren besteht nicht einfach so fallen lässt. Bei einem 10 Mann betrieb lässt sich das vielleicht leicht Befehlen - nur auch da wird keiner überwachen ob es immer eingehalten wird.
Der Webmailer war nur ein Beispiel - so oder so geht eine verschlüsselte Verbindung am Großteil der Sicherheits-Infrastruktur vorbei insofern der Server der die Schadsoftware verschickt / dessen IP nicht auf div. Blacklists steht.

Ja. Ich drücke sogar Windows+L, wenn ich zu Hause am PC sitze und kurz aufstehe, selbst, wenn nur meine Freundin oder niemand zu Hause ist. Wenn man sich das angewöhnt, klappt das zuverlässig. Ist wie die Haus- oder Autotür abschließen, wenn man geht. Soll aber auch Leute geben, die ihr Haus immer offen stehen lassen.
Dann ist das positiv und lobenswert. Dann geh einfach mal in eine x-beliebige Firma die aus mehr als einem Büro besteht und halte dich für einen Tag dort auf. Du wirst unter Garantie einen PC finden der einige Zeit offen stehen gelassen wird und unbeaufsichtigt ist.
Auch sehr schön in Arztpraxen zu sehen ...
Wie gesagt das hier im Forum Leute sind die weniger gefährdet sind und bei denen Vorsicht und das passende Wissen vorhanden ist lässt sich nicht bestreiten - aber das sind nun mal vielleicht 5% der PC-Anwender (dabei ist das OS egal)

Ich habe gerne die Kontrolle über meinen Rechner, aber selbstverständlich geht das auch im Hintergrund :rolleyes:
https://wiki.debian.org/UnattendedUpgrades
Ja das das automatisch geht ist mir auch klar... Da würde mich mal ehrlich interessieren ob du bei Kunden von dir die 0 Plan von ihrem System haben auf deren PC's ohne Kontrolle der Patche jeden Tag die Patche automatisch installieren lässt? Ich kann das im größeren Umfeld schlicht nicht einschätzen ob das zu Risiko reich ist das System einmal lahm zu legen (interessiert mich wirklich)

Bei vielen Distributionen ist das das Standardverhalten. Wenn der Rechner vom Admin verwaltet wird, sollte ein Patchmanagement vorhanden sein.

Also bei mir zu Hause passieren keine Millionen von Angriffen. Da bist du mal wieder total in der Marketing-Maschinerie gefangen. Selbst Microsofts Windows Defender schafft noch >90% der Risiken abzuwenden, wenn man dann noch mal die 94% aus deinem Microsoft-Paper abwendet, sind es ja nur noch 0,6%, die übrig sind.
Noch mal - es geht hier nicht um Dich - und jeder übernommene PC kann theo. nicht nur ein Problem für die Firma sein - sondern auch für anderen Private Computer oder Firmen.

Virustotal erkennt das, was die Scanner erkennen. Warum sollte ein lokal installierter Virenscanner vom selben Hersteller und
Nein Virustotal ist ein Patternscanner der bekannte Fingerprints vergleicht. Mit einer lokalen Endpoint-Security hat das nichts zu tun.

Habe des Öfteren von Kunden ominöse Mails geschickt bekommen, die ich dann gecheckt habe und denen gesagt habe, ob ein Virus drin ist oder nicht.
Ja - das ist ja auch Sinnvoll - zusammen mit dem anderen Kommentar meinte ich nur das du hier auf einmal nicht mehr bei dir als Anwender sondern beim Kunden warst. Um sie dir zu schicken müsste der Anwender / Kunde erst mal erkennen das es eine komische E-Mail ist ....


Das ist natürlich ein Qualitätsmerkmal! Ich bin mir sicher, dass ich es irgendwie hinbekommen könnte, eine Endlos-Warteschleife zu programmieren, die auch vom Security-Center als Virenscanner erkannt wird :m
Nein kannst du nicht - da ein Produkt das dort erkannt wird zertifiziert sein muss sowohl von MS selber als auch von unabhängiger Stelle und seine Wirksamkeit belegt haben muss.

Meine Kunden haben ca. 5x im Jahr eine abgewehrte Bedrohung, alles andere sind false positives. Und das meistens schon im Posteingang.
Also wäre es besser wenn die 5x im Jahr durch gekommen wären und nicht abgewehrt werden würden? Warum hast du dann ein System installiert das dir das meldet?
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Warum sie sollten? Weil sie es können? Firmen die es "wagen" nur Seiten die auf einer Whiteliste stehen im Internet frei zu geben sind sehr sehr selten.

Greylisting hilft. Bei uns sind bspw. web.de, gmx.de/net und andere gesperrt. Noch ist ein Hinweis auf der Sperrseite, man solle sich bei Problemen an den Admin wenden, aber in Zukunft wird es einen Button mit automatischer Mail geben, die die Seite direkt freigibt.

Dann ist das positiv und lobenswert. Dann geh einfach mal in eine x-beliebige Firma die aus mehr als einem Büro besteht und halte dich für einen Tag dort auf. Du wirst unter Garantie einen PC finden der einige Zeit offen stehen gelassen wird und unbeaufsichtigt ist.
Das ist tatsächlich in einigen Firmen der Fall, die ich betreue. Das ist dann ein Sicherheitsvorfall und wird gemeldet.
 

HoneyBadger

Aktiver NGBler

Registriert
7 Sep. 2015
Beiträge
1.944
Zum anderen gibt es Firmen bei denen es nunmal erlaubt ist den PC privat zu nutzen
In der Firma, in der ich arbeite, gehört das sogar zur Philosophie der Geschäftsleitung. Insbesondere die ganzen Laptops des Vertriebs sind kaum eingeschränkt.

Aber mal so am Rande, meine Lizenz ist vor drei Tagen abgelaufen und dank dieses Threads frage ich mich gerade, was ich nun sinnvoller Weise mache. :D

War immer beim Bitdefender. Bin mir jetzt nur nicht sicher, ob ich den wirklich brauche oder falls doch, ob ich mal ein anderes Programm oder Konzept ausprobieren sollte.
 

Novgorod

ngb-Nutte

Registriert
14 Juli 2013
Beiträge
3.055
interessantes thema.. ich hab sicher schon seit über 10 jahren auf jedem meiner rechner (und denen von bekannten) avira installiert.. es hat zwar etwas gedauert, bis ich es zuverlässig und dauerhaft werbefrei gemacht habe, aber seitdem nervt es auch nicht, zumindest in der hinsicht.. was nervt, sind programmupdates mit nicht wegklickbaren meldungen (ohne den prozess zu killen) wie "jetzt sofort neustarten oder lieber erst in 10 sekunden?".. mir war allerdings nicht klar, dass virenscanner aktiv in prozesse eingreifen und diese verändern (siehe #3) - ich dachte immer, dass ein prozess höchstens als false positive erkannt und deshalb geblockt werden könnte, aber nicht dass prozesse aktiv verändert werden :eek:..

wie auch immer, über den echten nutzen davon habe ich mir auch schon öfters gedanken gemacht und auf einigen rechnern läuft stattdessen microsoft security essentials, bei dem man zumindest keine zeit fürs werbeblocken verschwenden muss.. privat hatte ich avira eigentlich immer bloß als "letztes sicherheitsnetz" oder zum schnellen scan von "zweifelhaften" programmen (beim entpacken oder wenn man den ordner öffnet).. allerdings traue ich eh keinen keygens über den weg - die laufen ausschließlich in der sandbox, auch wenn sie nicht als malware erkannt werden.. am ende ist der echte nutzen wirklich minimal, wenn man ehrlich zu sich selbst ist: bei gecrackter software (nicht keygens) schlägt kaum ein virenscanner an, höchstens als heuristisches "generic-irgendwas" oder als absichtlich geblacklistetes "hack tool" false positive (z.b. autoKMS), aber man hat eben keine garantie, dass die gecrackte exe oder dll nicht doch irgendwas böses im hintergrund macht, obwohl kein virenscanner anspringt..

seit ein paar monaten habe ich eine neue kiste mit entgiftetem windows 10 und habe damit mal das experiment gewagt, keinen virenscanner zu installieren.. bei den "dodgy" sachen hilft eh kein virenscanner (s.o.) und man ist dabei (gerade deshalb) normalerweise extra vorsichtig.. browserexploits, die tatsächlich code ausführen, sind dank noscript sehr unwahrscheinlich und wenn dann dermaßen "0-day", dass auch kein virenscanner davor schützen würde.. und viren per email-anhang halte ich für ein gerücht :D.. auch nutze ich grundsätzlich keine makros oder irgendwas ausführbares in dokumenten und wäre extrem skeptisch, wenn eine datei von einem legitimen kontakt kommt, die sowas erfordert.. die modernen office- und pdf-programme sind was das angeht eigentlich immer "opt-in".. was dann noch an "nutzen" bleibt, rechtfertigt (für mich) eigentlich kaum den aufwand und die ressourcen, einen virenscanner immer laufen zu lassen.. sandbox und brain brauche ich trotz virenscanner und wenn ich es wirklich mal wissen will, kann ich die datei ja mit virustotal checken..

für DAUs ist es wohl etwas anders, aber auch da dürften die allermeisten attacken durch rechte-einschränkung abgewährt werden.. allerdings bedeutet eine UAC-meldung ja nicht automatisch gefahr, zumal der user bewusst etwas ausführen will, von dem er annimmt, es sei keine malware und deshalb die meldung einfach wegklickt - deshalb taugen die UAC-meldungen genau garnix.. eine meldung vom virenscanner hingegen dürfte eine deutlich abschreckendere wirkung haben.. deswegen würde ich DAUs nicht von der nutzung eines virenscanners (vor allem für makroviren) abraten, weil das risiko für diejenigen einfach wesentlich höher ist.. das viel größere problem für den DAU ist aber sicherlich phishing..

Außerdem bin ich etwas angepisst das ich wegen der Anforderung das ein Virenscanner installiert sein muss kein Online Banking nutzen kann.

welche bank fordert das und vor allem wie wollen sie das nachweisen oder gar erzwingen?
in korea z.b. haben sie komplett den verstand verloren und jegliche "offizielle" transaktionen übers internet (online-banking, behörden-/steuer-dokumente, konto-zahlungen in onlineshops usw.) müssen zwingend über den internet-explorer gemacht werden, der über die activex-schnittstelle durch zwingend zu installierende "sicherheits"-bloatware "abgesichert" wird.. die bloatware umfasst dabei primitive virenscanner, "firewalls" und "anti-keylogger".. das nur mal als beispiel dafür, dass es auch anders gehen kann als "bitte bitte, benutzen sie einen virenscanner beim online-banking" :D..
 

HoneyBadger

Aktiver NGBler

Registriert
7 Sep. 2015
Beiträge
1.944
und viren per email-anhang halte ich für ein gerücht :D.. auch nutze ich grundsätzlich keine makros oder irgendwas ausführbares in dokumenten und wäre extrem skeptisch, wenn eine datei von einem legitimen kontakt kommt, die sowas erfordert.

Hab´s leider selbst schon einige Male sehen dürfen. 2x hat sich die Firma Ransomware eingefangen und kürzlich durfte ich erst eine .js-Script-injection beobachten. Ransom ließ sich per Backup herstellen, .js war unglücklich umgesetzt, sodass nichts passiert ist. Hab´s mal in der Sanbox von der Kette gelassen.

In allen dreien Fällen waren es ältere Damen aus der Buchhaltung / Erfassung, die schneller geklickt haben, als sie sollten. Einmal wurde noch schnell von einer Kollegin: "Nein! Nicht drauf drücken!!!" gerufen.
 

Novgorod

ngb-Nutte

Registriert
14 Juli 2013
Beiträge
3.055
oh mann :D.. natürlich meinte ich nicht, dass es die nicht gibt, aber ich dachte eigentlich, es sei ein phänomen der 90er und heutzutage käme eigentlich niemand mehr auf die idee, dateien (oder gar javascript) in seinem email-client auszuführen :confused: - deswegen ja auch der generelle umstieg der spammer auf phishing.. und ransomware gibts doch normalerweise als "videoplayer.exe" oder "flashupdate.exe", d.h. als download von webseiten und nicht direkt per email (allein schon weil die allermeisten größeren mailanbieter sowas schon serverseitig rausfiltern)..
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
oh mann :D.. natürlich meinte ich nicht, dass es die nicht gibt, aber ich dachte eigentlich, es sei ein phänomen der 90er

Du bist auch kein Admin. Locker 20% meines Jobs ist, Leute, die immer noch im Computerverständnis der 90er feststecken, davon abzuhalten, was anzustellen. Stichwort Schatten-IT.

Und ja, es ist auch ein Problem, wenn sich Leute .EXE-Dateien herunterladen. Die müssen von mir teilweise whitelisted werden und da fällt recht häufig auf, dass die Leute statt sich den Google Chrome o.ä. von der IT installieren/aktualisieren zu lassen sich lieber selbst irgendeinen malwareverseuchten Installer runterladen.

Würde mal schätzen, dass fehlende IT-Grundkompetenz die deutsche Wirtschaft jeden Monat Millionen kostet.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.069
Ort
in der Zukunft
Letzter Angriff "Goldeneye":
Der Angreifer hat von der Agentur für Arbeit vakante Stellen in Unternehmen per API abgerufen und darauf .pdf und .xls Dateien generiert.
in der .pdf war ein personalisiertes Anschreiben an die Firma mit Firmenname, Adresse usw.
Ein sauberes Anschreiben auf die Stelle die ausgeschrieben ist - inkl. Photo eines Bewerbers.
Am Ende des Schreibens stand "In der Excel-Datei befindet sich das mit der Agentur für Arbeit zusammen erstellte Skill-Profil" (Oder so ähnlich).
Wenn man die .xls öffnet (.xls ist hier wichtig da man am neuen format an xlsm erkennt ob ein Makro enthalten ist oder nicht) erscheint ein Ladebildschirm mit dem Logo der Agentur für Arbeit und der Hinweis das bei Problemen das Profil zu sehen oben auf "Akzeptieren" geklickt werden sollte.

Die Dateien - sowohl die xls als auch die .pdf wird personalisiert hergestellt - ein Filtern aufgrund eines Fingerprints / Hashes am Mailgateway ist hier schlicht nicht möglich.
Das Makro intern arbeitet mit "normalen" Befehlen und läd Schadcode selbst dynamisch nach.
Makros in Firmen zu deaktivieren macht keinen Sinn. Einzig Möglichkeit ist hier wirklich die aktuelle Version von Office 2016 die es expliozit erlaubt Internet / Netzwerkverbindungen aus Makros heraus zu deaktivieren. So eine Office-Suite ist aber in größeren Firmen schlicht nicht von heute auf Morgen eingeführt und in kleinen juckt es meist keinen....
 

Novgorod

ngb-Nutte

Registriert
14 Juli 2013
Beiträge
3.055
vielleicht hat sich "die wirtschaft" diesen schaden ein klitzekleines bisschen selbst eingebrockt, indem sie leute mit komplexen maschinen arbeiten lässt, die dafür schlichtweg nicht qualifiziert sind? :unknown:
ohne entsprechende ausbildung, schulungen und zertifikate darf doch auch niemand an eine CNC-fräse ran, allein schon aus haftungsgründen - warum werden computer mit internetzugang nicht mit demselben respekt behandelt (vor allem wenn schusseligkeit richtig viel geld kosten kann)?
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Weil man Schäden mit Computern nunmal nicht anfassen kann und jede Tippse Office und Internet benötigt, auch wenn er/sie nur eine Tippse ist.
 
Oben