Hacker angriff : nachricht in offenem wordfenster

Internet Internet Sicherheit
#23

Entschuldige,
bei dem Hickhack scheine ich das wohl überlesen zu haben.
Dein Beitrag hilft in der Tat.

#24

Hallo,

Aber den Einsatz von Viren- bzw. Malwarescannern als
„Schlangenöl“ zu bezeichnen, ist mindestens fahrlässig.

Warum? Es ist Schlangenöl.

Ist es nicht. Siehe unten.

Im Gegensatz zu Werbesprüchen der Hersteller geht es bei deren
Einsatz nicht in erster Linie um das Entfernen von Malware auf
infizierten Geräten, sondern um die Erkennung von
Schadsoftware.

Aber genau das können sie ja nicht hinreichend zuverlässig. Du
hast eine Datei, von der Du weisst, dass sie verseucht sein
könnte. Dann lässt Du sie von einem Virenscanner prüfen. Und
weisst danach genau gleichviel: Die Datei könnte verseucht
sein.

Du weißt erheblich mehr, als vorher. Du weißt, dass die Datei nicht mit einem der gut 500.000 Viren verseucht ist, die in der Signaturdatenbank Deiner Antivirensoftware bekannt sind.

Das ist erheblich mehr, als nichts. Und das ist um etliche Zehnerpotenzen besser, als eine halbe Million und vier (nocht nicht in der Signaturdatenbank enthaltene Viren) per „Brain“ zu erkennen.

Gruß

Fritze

#25

Selbstverständlich können Virenscanner keine absolut sichere
Erkennungsrate bieten.

Na, das ist jetzt aber ein schöner Euphemismus. Derzeit
schaffen’s die Scanner gerade so, den Schädlingen mit mehreren
Stunden Verspätung mühselig hinterherzuhinken. Etwa 10 % aller
hier per Mail eingehenden Schädlinge werden nicht erkannt.

Das bedeutet im Umkehrschluss, 90% werden erkannt. Das ist erheblich mehr, als üblich. 50% Erkennungsrate gelten als ordentlich.

Und jetzt kommt ein Schlaumeier und sagt: Schalte den Virenscanner ab. Das ist Schlangenöl. Und Du setzt Dich dann hin und „scannst“ die Mails per „Brain“. Na herzlichen Glückwunsch.

Gruß

Fritze

#26

Schlangenöl ist Schlangenöl ist Schlangenöl

Das bedeutet im Umkehrschluss, 90% werden erkannt. Das ist
erheblich mehr, als üblich. 50% Erkennungsrate gelten als
ordentlich.

Hier geht es um 90% vom Gesamtaufkommen. Darauf bezogen wären 50% nicht kläglich, sondern jämmerlich. Als ordentlich kannst du einen derartigen Wert allenfalls dann gelten lassen, wenn er sich auf die Quote der per Heuristik erkannten, noch in keiner Datenbank und keiner Patternsammlung vertretenen Schädlinge bezieht. Aufs Gesamtaufkommen bezogen sind 90% ein sehr sehr trauriger Wert.

Und ja, ein Produkt ist ganz klar und korrekt als Schlangenöl bezeichnet, wenn es Schutz vor Schadprogrammen verspricht, dieses Versprechen aber nicht einhalten kann. Genau das ist das Wesen von Schlangenöl - ein Produkt, als Lösung für ein Problem angepriesen, welches dieser Funktion nicht entspricht. Es ist unerheblich, dass du dir damit so schön den Bauch pinseln kannst, wenn es als Mittel gegen Zahnausfall verkauft wurde.

Gruß

#27

Gut…da diese Diskussion, wie immer, wenn es um Schadsoftware
geht, daraufhinausläuft, daß man argumentiert jeder, der
solche Software schreibt sein unfaßbar mächtig darin, und
jeder Benutzt so abgrundtief unfähig

Es ist unbestreitbar, dass es mächtige Malware gibt.
Es ist auch unbestreitbar, dass es unfähige Malware gibt.

Die Sache um die es geht ist aber doch:
Kann ich mich gegen mächtige Malware verteidigen, dann kann ich es erst recht gegen die unfähigen Schadprogramme. Wieso sollte ich also die Messlatte niedriger hängen, als dies nötig ist?

#28

Die Sache um die es geht ist aber doch:
Kann ich mich gegen mächtige Malware verteidigen, dann kann
ich es erst recht gegen die unfähigen Schadprogramme. Wieso
sollte ich also die Messlatte niedriger hängen, als dies nötig
ist?

Aber das genau das funktioniert, sprichts Du allen mit Deiner Diskussion hin. Ich bestreite mit keinem Wort, daß es einige Dinge gibt, gegen die eine Verteidigung schwierig, oder für einen Normalanwender beinahe unmöglich ist. Aber jedes dumme Dreckprogramm auf diese Stufe zu erheben, es so hinzustellen, als wäre es gegen absolut jede Form von Schadsoftware unmöglich etwas zu tun impleziert, daß ich auch meine Haustür nicht mehr abschließen muß, weil eine verschlossene Tür zwar eine menge Leute vom betreten meiner Wohnung abhalten würde, aber weil es unbestreitbar bestimmt irgenwo auf der Welt jemanden gibt, der mein Türschloß überwinden kann, ist es eh sinnlos und ich verschließe die Tür nicht mehr.
Und jetzt frage ich mich, wie jemand ernsthaft etwas über den Umgang mit Schadsoftware lernen soll, wenn es hier durch die Bank, über jeden Mechanismus heißt ‚Was soll das bringen?‘
Kein Normalanwender ist so wichtig, daß man ihn gezielt mit fiesen Dingen behakt. Der Großteil der Angriffe sind billige, schlampige, schlecht gemachte Versuche, einen Rechner oder Router, mit Werkspaßwort zu entführen oder ähnliches.
Aber Du stellt es hin, als könne man sich auch gegen diesen Dreck nicht wehren, und dem widerspreche ich. Dann auch noch zu behaupten, der Anwender müßt im einzelnen und haargenau wissen, wie z.B. ein Mechanismus funktioniert, der ein rootkit aufspüht, ist in der Argumentation der Gipfel, die interne Funktionsweise eines solchen Programm interessiert den Anwender eher wenig.

#29

Moin, Fritze,

Und jetzt kommt ein Schlaumeier und sagt: Schalte den
Virenscanner ab. Das ist Schlangenöl. Und Du setzt Dich dann
hin und „scannst“ die Mails per „Brain“.

von Scannen ist nicht die Rede, es kostet mich ein müdes A…runzeln bzw einen einzigen Blick, Spam zu erkennen, die fliegt ungelesen in den Müll. Abgesehen davon, dass Malware nicht in den Mails steckt, sondern in den Anhängen.

Wer mir sonst so schreibt, schickt mir nichts ohne Aufforderung oder Ankündigung zu. Was mir dann noch zweifelhaft erscheint, kann ich immer noch prüfen. Damit fahre ich seit inzwischen 7 Jahren ohne einen einzigen Befall (einmal jährlich bin ich bei trendMicro - man weiß ja nie :smile:)) ).

Eine automatisierte Prüfung, die mir mit einer Trefferrate von isswurscht Prozent Malware aufzeigt, ist Schlangenöl. Ein (in Worten: 1 einziger) Befall genügt, und angesichts der Tatsache, dass täglich etwa 400 neue Schädlinge auf den Markt kommen, nützen auch regelmäßige Updates von Listen nichts.

Gruß Ralf

#30

Oh oh…

(einmal jährlich bin ich bei trendMicro - man weiß ja nie
-))) ).

Ausgerechnet TrendMicro? Gerade die sind doch Teil des Problems, nicht der Lösung: http://www.heise.de/security/ISS-raet-vom-Einsatz-vo…

Gruß

#31

Hallo Fritze

Du weißt erheblich mehr, als vorher. Du weißt, dass die Datei
nicht mit einem der gut 500.000 Viren verseucht ist, die in
der Signaturdatenbank Deiner Antivirensoftware bekannt sind.

Erstens ist das ein Irrglaube. Zweitens ist das irrelevant. Die Datei könnte trotzdem verseucht sein.

CU
Peter

#32

Nochmal: Ein Virenscanner ist nicht die Lösung

Aber das genau das funktioniert, sprichts Du allen mit Deiner
Diskussion hin.

Nein, tue ich nicht. Genau wie alle anderen hier, sind sich hier bloß fast alle einig, dass ein Virenscanner oder ähnliche Sicherheitssoftware diese Aufgabe nicht zuverlässig erfüllt. Wie man sich - auch als Laie - wirksam gegen Schadprogramme schützt, wurde hier schon 1000x erwähnt.

Ich bestreite mit keinem Wort, daß es einige
Dinge gibt, gegen die eine Verteidigung schwierig, oder für
einen Normalanwender beinahe unmöglich ist.

99,99% der Angriffe sind für einen Normalanwender abwendbar. Aber eben NICHT indem er sich ein paar dämliche Tools installiert und dann darauf hofft, dass die das schon regeln werden.

Aber jedes dumme Dreckprogramm auf diese Stufe zu erheben, es so
hinzustellen, als wäre es gegen absolut jede Form von Schadsoftware
unmöglich etwas zu tun impleziert, daß ich auch meine Haustür
nicht mehr abschließen muß, […]

Nein. Es ist geradewegs anders herum. DU empfiehlst den Leuten, dass sie mit einem Norton Sicherheitsschloss in der Haustüre vor Einbrechern sicher sind.
Ich sage, dass es besser ist wenn man sich einen Wachhund kauft der im Garten ist, weil der sowohl einen Einbrecher von der Haustüre abhält, aber auch verhindert, dass er einfach durch die Kellertüre oder das Fenster in das Haus eindringt.

Und jetzt frage ich mich, wie jemand ernsthaft etwas über den
Umgang mit Schadsoftware lernen soll, wenn es hier durch die
Bank, über jeden Mechanismus heißt ‚Was soll das bringen?‘

Ja wie, ja wie? Liest du eigentlich durch, was hier ständig geschrieben wird???
Durch die Installation von irgendwelchen zweifelhaften Tools lernt der Anwender überhaupt nichts. Im Gegenteil: Der normale Anwender vertraut auf solche Tools. Das macht die Sache noch schlimmer!

Hier wird ständig 1000x erklärt wie man mit Schadsoftware umgeht:

  • Betriebssystem und Programme aktuell halten
  • Nicht als Admin surfen
  • Software nur aus vertrauenswürdigen Quellen installieren
  • Fremddaten immer mit Misstrauen begegenen
  • Regelmäßig Backups machen.
  • Vorsichtig mit der Herausgabe von sensiblen Informationen sein
  • Einen Virenscanner als ZUSATZ verwenden. Weitere Tools werden nicht gebraucht. Ein unregelmäßiges Scannen des PCs von einer Boot-CD ist absolut ausreichend.

WAS davon bitte kapiert ein normaler Anwender nicht?
DAMIT ist er 1000x sicherer

Kein Normalanwender ist so wichtig, daß man ihn gezielt mit
fiesen Dingen behakt. Der Großteil der Angriffe sind billige,
schlampige, schlecht gemachte Versuche, einen Rechner oder
Router, mit Werkspaßwort zu entführen oder ähnliches.

Nein, sowas kommt niiiieee vor…
http://www.heise.de/security/Monster-Trojaner-stiehl…
http://www.heise.de/security/Trojaner-stiehlt-Zugang…
http://www.heise.de/security/Angriffe-ueber-praepari…

Aber Du stellt es hin, als könne man sich auch gegen diesen
Dreck nicht wehren, und dem widerspreche ich.

DU behauptest, dass Angriffe in der Masse immer dumm sind. Sind sie aber nicht. Natürlich sind 80%-90% der Malware schlecht programmiert, aber 10-20% sind es eben nicht.

Dann auch noch
zu behaupten, der Anwender müßt im einzelnen und haargenau
wissen, wie z.B. ein Mechanismus funktioniert, der ein rootkit
aufspüht, ist in der Argumentation der Gipfel, die interne
Funktionsweise eines solchen Programm interessiert den
Anwender eher wenig.

Das habe ich WO behauptet?
Du erzählst mir hier was von schlechter Argumentation, dagegen schiebst DU mir irgendwelche Sachen unter, die ich nie behauptet habe. Echt super!

Nochmal zum einfachen mitlesen am Ende:
Ich habe NIE gesagt, man kann sich nicht schützen kann.
Ich habe NUR gesagt, dass man es nicht so machen kann, wie DU das hier darstellst.

#33

Du weißt erheblich mehr, als vorher. Du weißt, dass die Datei
nicht mit einem der gut 500.000 Viren verseucht ist, die in
der Signaturdatenbank Deiner Antivirensoftware bekannt sind.

Toll. Von denen wahrscheinlich 480.000 bereits mehr als 1 Jahre alte Signaturen sind und auf die Trefferquote bei heutigen Schadprogrammen echt viel aussagen…

#35

Ich habe schon weit ältere Viren auf Systemen gefunden, die durchaus im produktiven Einsatz waren. Es ist ein Trugschluss, davon auszugehen, eine Prüfung auf ältere Malware wäre überflüssig.

Gruß

Fritze

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#36

Hallo Peter,

Du weißt erheblich mehr, als vorher. Du weißt, dass die Datei
nicht mit einem der gut 500.000 Viren verseucht ist, die in
der Signaturdatenbank Deiner Antivirensoftware bekannt sind.

Erstens ist das ein Irrglaube.

Es ist überhaupt kein Glaube, sondern eine systematische Herangehensweise an die Frage, wie man einen Virenbefall besser feststellen kann: Durch die Installation eines Virenscanners oder durch die Suche per „Brain“. Unter der Voraussetzung, dass man in endlicher Zeit ein Ergebnis haben möchte, verliert Brain mit großem Abstand.

Zweitens ist das irrelevant. Die Datei könnte trotzdem verseucht :sein.

Wieso das irrelevant ist, musst Du mir nochmal genauer erklären. Du meinst, wenn man sich nicht gegen alle Krankheiten impfen kann, dann kann man auch gleich Tetanus, Cholera, Keuchhusten und so weiter weglassen? Ich meine das nicht.

Gruß

Fritze

1 Like
#37

Hallo,

von Scannen ist nicht die Rede, es kostet mich ein müdes
A…runzeln bzw einen einzigen Blick, Spam zu erkennen, die
fliegt ungelesen in den Müll. Abgesehen davon, dass Malware
nicht in den Mails steckt, sondern in den Anhängen.

Malware steckt nur noch zu einem eher geringen Teil in Mail. Automatische Verbreitung über Lücken in den Betriebssystemen und Anwendungen ist die erheblich häufigere Variante. Hat sich was mit „Anhängen“.

Wer mir sonst so schreibt, schickt mir nichts ohne
Aufforderung oder Ankündigung zu. Was mir dann noch
zweifelhaft erscheint, kann ich immer noch prüfen.

Und wie prüfst Du das so, wenn ich fragen darf? Disassemblieren und Code untersuchen?

Damit fahre
ich seit inzwischen 7 Jahren ohne einen einzigen Befall
(einmal jährlich bin ich bei trendMicro - man weiß ja nie

-))) ).

Ach. Also nutzt der Herr doch einen Malwarescanner, um auf Befall zu checken? Und das, obwohl das Ergebnis irrelevant ist?

Da staunt

Fritze

#38

Moin, Fritze,

Automatische Verbreitung über Lücken in den Betriebssystemen
und Anwendungen ist die erheblich häufigere Variante. Hat sich
was mit „Anhängen“.

komm mal wieder runter und mach Dir klar, dass alles, was passiert, auf Deinem Rechner passiert. Also sorg dafür, dass da nichts installiert werden kann, dann ist Ruhe, ein für alle Mal.

Was hilft der schönste Scanner, wenn ein (in Worten: 1) Missetäter durchschlüpft, Du als Admin angemeldet bist und dann Prgramme ausführst, die Du nicht kennst? Da liegt nämlich der Hund begraben, aber das will ja schon seit der Steinzeit keiner hören. „Ich weiß doch, was ich tue!“

Gruß Ralf

#39

Hallo Fritze

Erstens ist das ein Irrglaube.

Es ist überhaupt kein Glaube, sondern eine systematische
Herangehensweise an die Frage, wie man einen Virenbefall
besser feststellen kann: Durch die Installation eines
Virenscanners oder durch die Suche per „Brain“. Unter der
Voraussetzung, dass man in endlicher Zeit ein Ergebnis haben
möchte, verliert Brain mit großem Abstand.

Der Virenscanner vergleicht bestimmte Bytes der Dateien mit den Signaturen. Wird eine Übereinstimmung gefunden, schlägt der Scanner Alarm. Wenn nicht, bleibt er stumm. Die Übereinstimmung kann aber rein zufällig sein und bedeutet nicht zwangsläufig, dass das fragliche Virus tatsächlich enthalten ist. Zudem verwenden die Autoren von Viren etc. diverse Methoden, um ihre Erzeugnisse vor den Scannern zu verbergen, z.B. Laufzeitcodierungen. Damit werden dann auch ältere Viren nicht mehr erkannt. Daher ist es streng genommen reine Lotterie, ob ein Virenscanner etwas erkennt oder nicht und ob das dann wirklich stimmt.

Zweitens ist das irrelevant. Die Datei könnte trotzdem verseucht :sein.

Wieso das irrelevant ist, musst Du mir nochmal genauer
erklären.

Weil es immer noch 500’000 andere Viren gibt, die in der fraglichen Datei enthalten sein könnten. Was zum o.g. Szenario hinzukommt.

Du meinst, wenn man sich nicht gegen alle Krankheiten impfen kann,
dann kann man auch gleich Tetanus, Cholera, Keuchhusten und so weiter
weglassen? Ich meine das nicht.

Die Viren von Tetanus und Co. sind hinreichend bekannt und verändern sich offenbar wenig bis gar nicht. Daher ist eine Impfung eine relativ zuverlässige Methode, sich vor diesen Krankheiten zu schützen. Allerdings lässt man sich da gegen jede dieser Krankheiten einzeln impfen.

Bei Kombi-Impfungen, die gleich mehrere Krankheiten umfassen, sieht es wieder ähnlich aus wie beim Computer. Oder schau Dir mal die Grippe-Impfungen an, die jedes Jahr angeboten werden. Wenn die Fachleute, die das planen, falsch liegen und sich ein anderes Grippe-Virus stark verbreitet, hilft die Impfung nicht…

Hinzu kommt, dass Dir jeder seriöse Mediziner raten wird, trotz allfälliger Impfung gewisse Vorsichtsmassnahmen zu beachten, da die Impfung diese nicht ersetzen, sondern höchstens ergänzen kann.

CU
Peter