Wenn der Angreifer nicht total doof war, dann hat er seine
Sachen z.B. mittels eines Rootkits versteckt und deine tolle
„Sicherheitssoftware“ ist vollkommen machtlos.
Falsch. Rootkits lassen sich durch Heuristiken erkennen oder
von einem OS von einer Boot CD aus.
-
Rootkits - gerade virtualisierende - mit Heuristiken zu erkennen, ist a) nicht einfach und b) sicher nichts für Normaluser.
-
Es ging darum, erstmal viel „Sicherheitssoftware“ zu installieren. Das bringt nichts. Einen Virenscanner auf ner Boot-CD installiert man nicht. Man bootet von der CD. Eine Installation von Software auf dem kompromittierten System macht keinen Sinn.
Zwei Paketfilter ind in der Tat unsinnig. Der Router kann aber
durchaus ein kompletter Rechner sein
Und? Das ändert nichts, dass ein Rechner hinter dem Router keinen Paketfilter im allgemeinen braucht. Und es ging hier um Rechner hinter dem Router.
oder durch ein Portforwarding die Dienste eines anderen Rechners im
LAN nach außen zur Verfügung stellen.
Und? Wieso sollte der Rechner im LAN der diesen Dienst anbietet, dann einen Paketfilter brauchen?
Insofern ist ein Paketfilter mehr als sinnvoll, weil er z.B. einen
Port eine gewise Zeit schließen kann, wenn eine Authentifizierung
nach mehereren Versuchen nicht funktioniert hat.
Ein normaler Paketfilter erkennt nicht, ob eine SSH-Authentifizierung klappt oder nicht. Dazu bräuchtest du eine Application Layer Firewall, und sowas liegt sicher außerhalb des hier betrachteten Bereichs. Ein Paketfilter kann höchstens beschränken, dass nur eine gewissen Anzahl von SYNs o.ä. innerhalb eines bestimmten Zeitraums auftreten darf. DAS kann aber genauso gut der Paketfilter am Router machen. Eine schlüssige Erklärung, wieso ich einen Paketfilter dann am Client brauche, sehe ich auch hier nicht…
Was soll das bringen? Wenn mal ein Schadprogramm auf deinem
Rechner ist und sich Admin-Rechte verschafft hat, dann findet
Spybot S&D das ohnehin nicht mehr.
Das ist Unsinn!
Aha. Wieso?
Erkläre mir doch bitte, wie Spybot S&D ein Schadprogramm erkennen will, dass sich mit Admin-Rechten auf dem PC einnistet und sich mittels Rootkit-Techniken versteckt. Ganz zu schweigen, dass es dein Spybot S&D ganz einfach durch eine nutzlose Variante ersetzen könnte, ohne dass du es merkst.
Was soll das bringen? Wenn mal ein Schadprogramm auf deinem
Rechner ist und sich Admin-Rechte verschafft hat, dann findet
HijackThis das ohnehin nicht mehr.
Auch das ist Unsinn. Selbst im schlimmsten Fall, kann man
wenigstens erkennen, daß der Rechner angegriffen wurde, und
neu aufsetzen.
Programme wie Search and Destroy können ein
Auge auf Systemdatein haben, und warnen, wenn ein Programm
diese verändern will oder melden, wenn irgendwas Dinge in die
registry schreiben will.
Programme wie Search & Destory schieße ich als Malware mit Admin-Rechten erstmal einfach ab. Dann niste ich mich mittels Rootkit-Techniken im System ein und verursache einen Bluescreen. Der Anwender denkt sich, „Scheiss Windows“. Nach dem Neustart habe ich die Kontrolle und Spybot S&D ist nur noch ein netter Gag.
Nicht jedes x-beliebige Drecksprogramm, was irgendein
14jähriger, pickeliger nerd zusammenhackt übernimmt sofort
einen Rechner in diesem Umfang.
a)
Die Zeiten in denen 14jährige picklige Nerds die Mehrzahl der Schadprogramme basteln, die ist seit einigen Jahren vorbei. Heute werden Schadproramme v.a. benutzt um Kontodaten auszuspähen, Botnetze zu betreiben, SPAM zu versenden usw. Das sind alles Dinge die einen finanziellen Hintergrund haben und nicht aus Langeweile von pubertierenden Jungs gemacht werden.
b)
Natürlich nutzt nicht jedes Schadprogramm alle o.g. Möglichkeiten aus. Das habe ich auch nicht behauptet. Aber es gibt viele, die das tun. Und da du nicht weißt, was ein Trojaner nachgeladen hat, kannst du es auch nicht ausschließen, dass du so eins auf dem Rechner hast. Du kannst nicht mal überhaupt sagen, was das Ding alles bei dir auf dem Rechner getrieben hat. Es gibt dutzende schöne Einstellungen, an denen man drehen kann, um ein System zu schwächen und eine spätere Infektion wieder zu ermöglichen. Wie willst du das bitte feststellen?
Dein gesamter Post zeigt, daß
Du Dich auf ein ungesundes Halbwissen stützt und Dich weder
mit der Funktionsweise von Schadsoftware, noch mit Systemen um
diesen endgegenzuwirken ausreichend beschaftigst hast.
En d gegen deiner Meinung sehe ich das allerdings anders. Allein deine Ausführungen zu Paketfiltern tragen nicht gerade zur Unterstützung deines letzten Satzes bei.
))