c't empfiehlt: Immer als Administrator arbeiten

Vorab:
dieses Topic gehört sicher auch nach de.comp.security.virus, daher FUp2
dorthin.

Hallo allerseits!

Moin!

Die aktuelle Ausgabe 20/2011 trommelt (ab S. 112) mal wieder gegen

<http://www.heise.de/ct/inhalt/2011/20/112/>

"Windows-Anwender wissen: Ohne Virenschutz geht es nicht."

In meinen aktuellen Linuxen verwende ich überhaupt keine
Antivirensoftware.

"Noch immer gibt es Windows-Anwender, die ihren Rechner ohne
Virenschutz ins Netz lassen."
"Antivirenspezialisten bestätigen unter der Hand, daß es eigentlich
keine Frage mehr ist, ob ein PC jemals infiziert wird, sondern nur
noch wann. Daher ist es bei Virenscannern mittlerweile umso
wichtiger, daß sie einen Schädling möglichst rückstandsfrei und ohne
Beschädigungen des Systems entfernen können."

Weit wichtiger wäre, dass Antivirensoftware das System selber nicht
wegsäubert, wie kürzlich wieder passiert.

Des weiteren wäre wichtig, dass Antivirensoftware zeitgleich mit den
Viren die Updates bereitsstellt.

"Selbst das Anlegen eines zweiten Nutzerkontos mit eingeschränkten
Rechten lohnt nicht mehr und nervt eher.

Ersteres klar nein, zweiteres mit Win 7 nicht mehr.

Viren waren die ersten
Programme, die vernünftig ohne Administratorrechte arbeiten und
sich denn in Browser-Verbindungen zum Angriff aufs Online-Banking
einklinken konnten."

Soso.
Hier sind dann nicht mehr AV-Programme gefragt, sondern die Browser.
*Die* sollten so ausgestattet werden/sein, dass Viren via Webseiten es
schwer haben.
Für die Mozillen gibt es brauchbare Add-Ons, ausserdem hat zumindest
Firefox die Option, als schädlich gemeldete Seiten einfach zu
blockieren. (IE afaik auch).

WTF? Ein Virus, der unter einem eingeschränkten Konto läuft,
kompromittiert eben dieses Konto. Ein Virus, der unter einem
Administratorkonto läuft, kompromittiert das ganze System. Macht
aber nichts, denn man hat ja einen Virenschutz, der das System
wieder säubert...

Tja, da fällt einem nix mehr ein.

Uwe

Helmut Hullen

2011-09-13 09:08:00 UTC

Hallo, Uwe,

Du meintest am 13.09.11:

[Falschbehauptung im Betreff korrigiert]

Post by Uwe Premer
<http://www.heise.de/ct/inhalt/2011/20/112/>

"Windows-Anwender wissen: Ohne Virenschutz geht es nicht."

In meinen aktuellen Linuxen verwende ich überhaupt keine
Antivirensoftware.

Das ist mutig. Auch für Linux gibt es "root kits" und ähnliches
Dreckszeugs. Lass wenigstens "rkhunter" mitlaufen.

Post by Uwe Premer
Des weiteren wäre wichtig, dass Antivirensoftware zeitgleich mit den
Viren die Updates bereitsstellt.

Hmmm - eine Variante des Henne-Ei-Problems. Die Antiviren-Software
müsste dann u.a. wissen, wann der Virus eingespeist wird, den sie flugs
erkennen und verpetzen soll.

Viele Gruesse!
Helmut

Uwe Premer

2011-09-13 09:30:46 UTC

Post by Helmut Hullen
Hallo, Uwe,
[Falschbehauptung im Betreff korrigiert]

Danke, hätte ich auch selbst machen können, aber mangels eigenem
Vorliegen des Berichts wollte ich nix flasch machen.

Post by Uwe Premer
<http://www.heise.de/ct/inhalt/2011/20/112/>

"Windows-Anwender wissen: Ohne Virenschutz geht es nicht."

In meinen aktuellen Linuxen verwende ich überhaupt keine
Antivirensoftware.

Das ist mutig.

Absolut nein!

Post by Helmut Hullen
Auch für Linux gibt es "root kits" und ähnliches
Dreckszeugs.

Hier gilt genau wie bei Windows: der Einsatz von brain.
Und genau wie bei Windows gilt: Software nur aus sicheren Quellen
installieren.

Post by Helmut Hullen
Lass wenigstens "rkhunter" mitlaufen.

Hab ich zwar mal irgendwann in einem Linux installiert, aber nie
verwendet, ist in der Regel unnötig.

Post by Uwe Premer
Des weiteren wäre wichtig, dass Antivirensoftware zeitgleich mit den
Viren die Updates bereitsstellt.

Hmmm - eine Variante des Henne-Ei-Problems. Die Antiviren-Software
müsste dann u.a. wissen, wann der Virus eingespeist wird, den sie
flugs erkennen und verpetzen soll.

Genau das ist die Problematik von AV-Software:
die hängt quasi immer hinterher.
Einigermassen gute AV-Hersteller allerdings bieten gut frequentierte
Updates.

Uwe

Helmut Hullen

2011-09-13 09:43:00 UTC

Hallo, Uwe,

Post by Helmut Hullen
Auch für Linux gibt es "root kits" und ähnliches
Dreckszeugs.

Hier gilt genau wie bei Windows: der Einsatz von brain.
Und genau wie bei Windows gilt: Software nur aus sicheren Quellen
installieren.

Toll! Gerade "brain" wird aber in diversen Qualitätsstufen geliefert,
und die Oberfläche täuscht den Anwender des öfteren erfolgreich. Siehe
(als letztes Beispiel von vielen) DigiNotar.

Und "sichere Quelle": da gibt es auch ab und zu Irrläufer. Siehe (als
letztes von vielen Beispielen) DigiNotar.
Oder

<http://www.heise.de/security/meldung/GlobalSign-bestaetigt-Einbruch-in-den-Webserver-1340742.html>
<http://www.heise.de/security/meldung/Linux-com-gehackt-und-voruebergehend-offline-1340730.html>
<http://www.heise.de/security/meldung/Einbruch-bei-Kernel-org-1334583.html>

Post by Helmut Hullen
Lass wenigstens "rkhunter" mitlaufen.

Hab ich zwar mal irgendwann in einem Linux installiert, aber nie
verwendet, ist in der Regel unnötig.

Ein Rauchmelder in der Wohnung ist in der Regel auch unnötig.

Post by Uwe Premer
Des weiteren wäre wichtig, dass Antivirensoftware zeitgleich mit
den Viren die Updates bereitsstellt.

Hmmm - eine Variante des Henne-Ei-Problems. Die Antiviren-Software
müsste dann u.a. wissen, wann der Virus eingespeist wird, den sie
flugs erkennen und verpetzen soll.

die hängt quasi immer hinterher.

Eben. Aber das sollte der Benutzer von AV-Software wissen und
berücksichtigen. Vor einigen Jahrzehnten gab es den dazu passenden
Sinnspruch "Gefahr erkannt - Gefahr gebannt!"

Post by Uwe Premer
Einigermassen gute AV-Hersteller allerdings bieten gut frequentierte
Updates.

Mit von Fall zu Fall unterschiedlichem Erfolg (bei E-Mail beobachte ich
das seit etlichen Monaten). Also: ab und zu ein Voll-Scan von einer
Live-CD oder einem USB-Stick ist auch nötig.

Viele Gruesse!
Helmut

Harald Klotz

2011-09-13 12:59:49 UTC

Post by Helmut Hullen
Toll! Gerade "brain" wird aber in diversen
Qualitätsstufen geliefert,

Quatsch, jeder hat immer mehr als die anderen. ;-)

Harald

Harald Klotz

2011-09-13 12:58:16 UTC

Post by Uwe Premer
Danke, hätte ich auch selbst machen können, aber mangels
eigenem Vorliegen des Berichts wollte ich nix flasch
machen.

ROFL

Post by Uwe Premer
Hier gilt genau wie bei Windows: der Einsatz von brain.

Ja, mit dem Brain ist es so, dass sich alle freuen, mehr als
die anderen abbekommen zu haben. ;-)

Post by Uwe Premer
Und genau wie bei Windows gilt: Software nur aus sicheren
Quellen installieren.

Klar, das erinnert an den Autofahrer, der nach dem Motto
fährt, gestern war da nichts, als kann ich heute
druflosbrettern.

Post by Uwe Premer
die hängt quasi immer hinterher.

Das liegt in der Natur der Sache.
Die Chance sich einen Virus einzufangen steigt aber mit
deren Verbreitung, gleichzeitig steigt die Chance, dass dein
Scanner den Virus kennt.
Auch eine verspätete Erkennung ist kein Nachteil, falls du
dich einmal mit der Einschätzung deiner Quelle vertan hast.
Es gibt keine Regel, nach der eine Quelle sicher ist.
Das hat die Vergangenheit zur Genüge bewiesen.

Post by Uwe Premer
Einigermassen gute AV-Hersteller allerdings bieten gut
frequentierte Updates.

Oh, ich merke gerade, keine Firewall, kein AV Programm und
im Adminmodus unterwegs.
Mache ich was falsch?
Hoffentlich hat das Lesen deiner Nachricht meinen Rechner
nicht verseucht. ;-)

Harald

Uwe Premer

2011-09-13 15:14:28 UTC

Post by Uwe Premer
Und genau wie bei Windows gilt: Software nur aus sicheren
Quellen installieren.

Klar, das erinnert an den Autofahrer, der nach dem Motto
fährt, gestern war da nichts, als kann ich heute
druflosbrettern.

Relativ sichere Quellen sind z.B. die offiziellen Repositorys von
Linux-Distributionen.
Und was Windows angeht: Kommerzielle Software, die via stationärem
Handel verkauft wird. (Übers Netz kann es durchaus passieren, dass man
ein Fake aus China erhält oder so.)

Post by Uwe Premer
Einigermassen gute AV-Hersteller allerdings bieten gut
frequentierte Updates.

Oh, ich merke gerade, keine Firewall, kein AV Programm und
im Adminmodus unterwegs.

Hab ich jahrelang und ohne jegliche Infektion mit Windows XP gemacht,
allerdings *mit* AV-Programm.

Mittlerweile hab ich das komplette Admin-Profil 1:1 in ein
eingeschränktes Konto übernommen und arbeite damit, aber selten, weil
ich derzeit mehr mit Vista und mit Win 7 arbeite.

Post by Harald Klotz
Mache ich was falsch?

Klare Antwort: du weißt wohl, was du tust.

Post by Harald Klotz
Hoffentlich hat das Lesen deiner Nachricht meinen Rechner
nicht verseucht. ;-)

Doch, doch. Jetzt hast du dir den me-Read-Virus eingefangen und dafür
gibz nun wirklich *keine* Reinigungsprozedur wie Neuinstallation etc.
Einmal gelesen, immer gewußt.

Uwe

--
System: IBM Lenovo R60, Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
OS: openSUSE 11.3 (x86_64)
Kernel: Linux 2.6.36-88-desktop #1
KDE: 3.5.10 "release 41"

Lars Gebauer

2011-09-13 15:28:13 UTC

Post by Uwe Premer
Relativ sichere Quellen sind z.B. die offiziellen Repositorys von
Linux-Distributionen.

Eine "relativ sichere Quelle" ist definitionsgemäß *unsicher*.

Post by Uwe Premer
Und was Windows angeht: Kommerzielle Software, die via stationärem
Handel verkauft wird.

Ach Quatsch. Letztlich haben sich sogar schon Leute über einen digitalen
Bilderrahmen ihre Computer infiziert...

Post by Uwe Premer
Hab ich jahrelang und ohne jegliche Infektion mit Windows XP gemacht,
allerdings *mit* AV-Programm.

Klar. Ich bin auch jahrelang besoffen Auto gefahren. Nix ist passiert!
Besoffen Auto fahren ist völlig ungefährlich.

Uwe Premer

2011-09-13 18:14:45 UTC

Post by Lars Gebauer

Post by Uwe Premer
Hab ich jahrelang und ohne jegliche Infektion mit Windows XP gemacht,
allerdings *mit* AV-Programm.

Klar. Ich bin auch jahrelang besoffen Auto gefahren. Nix ist passiert!
Besoffen Auto fahren ist völlig ungefährlich.

Den völlig unsinnigen Vergleich kannst du gleich knicken.

Uwe

--
System: IBM Lenovo R60, Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
OS: openSUSE 11.3 (x86_64)
Kernel: Linux 2.6.36-88-desktop #1
KDE: 3.5.10 "release 41"

Sven Lanoster

2011-09-13 21:57:13 UTC

Post by Lars Gebauer
Klar. Ich bin auch jahrelang besoffen Auto gefahren. Nix ist
passiert! Besoffen Auto fahren ist völlig ungefährlich.

Den völlig unsinnigen Vergleich kannst du gleich knicken.

12% aller Unfälle mit Personenschäden wurden 2007 von Autofahrern unter
Alkoholeinfluss verursacht. Das bedeutet, dass es 88% nüchterne Fahrer
gibt, die einen Personenschaden verursacht haben.

Wann wird Alkohol am Steuer endlich Pflicht?!

MfG,
Sven.

--
Nie unter zwei Promille! Sei vernünfig, rette Leben!

Uwe Premer

2011-09-16 19:43:07 UTC

Post by Sven Lanoster
12% aller Unfälle mit Personenschäden wurden 2007 von Autofahrern
unter Alkoholeinfluss verursacht. Das bedeutet, dass es 88% nüchterne
Fahrer gibt, die einen Personenschaden verursacht haben.
Wann wird Alkohol am Steuer endlich Pflicht?!

Ja, so kann man natürlich auch mittels Statistik-Auslegung sich eine
Sache schönreden.
Geh in die Politik, du hast es echt drauf mit der Argumentation.

Uwe

--
System: IBM Lenovo R60, Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
OS: openSUSE 11.3 (x86_64)
Kernel: Linux 2.6.36-88-desktop #1
KDE: 3.5.10 "release 41"

Harald Klotz

2011-09-13 18:08:06 UTC

Am Dienstag, 13. September 2011 14:58 meinte Harald Klotz

Post by Harald Klotz
Klar, das erinnert an den Autofahrer, der nach dem Motto
fährt, gestern war da nichts, als kann ich heute
druflosbrettern.

Relativ sichere Quellen sind z.B. die offiziellen
Repositorys von Linux-Distributionen.

Dir reicht relativ?

Und was Windows angeht: Kommerzielle Software, die via
stationärem Handel verkauft wird.

Es gab mal eine Liste, Vir on CD.
Da gab es reichlich einträge, es ist aber einige Jahre her.

(Übers Netz kann es
durchaus passieren, dass man ein Fake aus China erhält
oder so.)

Es ist noch nicht lange her, da hat ein renomierter
Notebookhersteller gleich mit Malware ausgeliefert.

Post by Harald Klotz
Oh, ich merke gerade, keine Firewall, kein AV Programm
und im Adminmodus unterwegs.

Hab ich jahrelang und ohne jegliche Infektion mit Windows
XP gemacht, allerdings *mit* AV-Programm.

Du hast ohne AV-Programm mit AV-Programm gearbeitet?
Seltsam, seltsam.

Doch, doch. Jetzt hast du dir den me-Read-Virus
eingefangen und dafür gibz nun wirklich *keine*
Reinigungsprozedur wie Neuinstallation etc. Einmal
gelesen, immer gewußt.

Macht nichts, das richtet der Alzheimer. :-)

Harald

Uwe Premer

2011-09-13 20:16:29 UTC

Am Dienstag, 13. September 2011 14:58 meinte Harald Klotz

Post by Harald Klotz
Klar, das erinnert an den Autofahrer, der nach dem Motto
fährt, gestern war da nichts, als kann ich heute
druflosbrettern.

Relativ sichere Quellen sind z.B. die offiziellen
Repositorys von Linux-Distributionen.

Dir reicht relativ?

In dem Fall schon, weil das *nachvollziehbare* Open Source ist.

(Übers Netz kann es
durchaus passieren, dass man ein Fake aus China erhält
oder so.)

Es ist noch nicht lange her, da hat ein renomierter
Notebookhersteller gleich mit Malware ausgeliefert.

Yepp, afaik Medion.

Post by Harald Klotz
Oh, ich merke gerade, keine Firewall, kein AV Programm
und im Adminmodus unterwegs.

Hab ich jahrelang und ohne jegliche Infektion mit Windows
XP gemacht, allerdings *mit* AV-Programm.

Du hast ohne AV-Programm mit AV-Programm gearbeitet?
Seltsam, seltsam.

Im Adminmodus, mit AV-Programm.

Uwe

--
System: IBM Lenovo R60, Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
OS: openSUSE 11.3 (x86_64)
Kernel: Linux 2.6.36-88-desktop #1
KDE: 3.5.10 "release 41"

Harald Klotz

2011-09-13 23:00:38 UTC

Post by Uwe Premer
Relativ sichere Quellen sind z.B. die offiziellen
Repositorys von Linux-Distributionen.

Dir reicht relativ?

In dem Fall schon, weil das *nachvollziehbare* Open
Source ist.

Du kompilierst selbst auf einem hoffentlich Virenfreien
Rechner und hast den Sourcecode komplett verstanden den du
kompilierst.
Warum sollte ein Open Source Projekt keinen Trojaner
beinhalten?
Ein bisschen Assemblercode darin reicht schon und dürfte
eine Weile halten bis er entdeckt ist.

Post by Harald Klotz
Es ist noch nicht lange her, da hat ein renomierter
Notebookhersteller gleich mit Malware ausgeliefert.

Yepp, afaik Medion.

Die auch?

Post by Harald Klotz
Du hast ohne AV-Programm mit AV-Programm gearbeitet?
Seltsam, seltsam.

Im Adminmodus, mit AV-Programm.

Du hast in der Antwort im ersten Satz anderes gesagt.

Harald

Wolfgang Ewert

2011-09-16 08:53:22 UTC

Du kompilierst selbst auf einem hoffentlich Virenfreien Rechner und hast
den Sourcecode komplett verstanden den du kompilierst.
Warum sollte ein Open Source Projekt keinen Trojaner beinhalten?
Ein bisschen Assemblercode darin reicht schon und dürfte eine Weile
halten bis er entdeckt ist.

Was ist mit dem Compiler selbst? Was ist mit der Hardware?

Wolfgang Ewert

2011-09-13 09:55:27 UTC

Post by Uwe Premer
Des weiteren wäre wichtig, dass Antivirensoftware zeitgleich mit den
Viren die Updates bereitsstellt.

Hmmm - eine Variante des Henne-Ei-Problems.

Wenn der Virus die Henne ist, eindeutig auf Seiten der Henne.

Post by Helmut Hullen
Die Antiviren-Software
müsste dann u.a. wissen, wann der Virus eingespeist wird,

Das verrät dieser nicht (es sei denn, sie kollaborieren)

Post by Helmut Hullen
den sie flugs erkennen und verpetzen soll.

Eben, Zeit schinden.

Wolfgang

--
Nirgendwo hängt der Schulerfolg so stark von Einkommen und Vorbildung
der Eltern ab wie in D'land. Das dt. Schulsystem versagt bei der
Förderung von Arbeiter- und Migrantenkindern. (dpa/FTD 22.11.04)

Juergen Ilse

2011-09-13 13:13:01 UTC

Hallo,

Die aktuelle Ausgabe 20/2011 trommelt (ab S. 112) mal wieder gegen
"Windows-Anwender wissen: Ohne Virenschutz geht es nicht."

Der beste Virenschutz ist eine Systemkonfiguration die es Schadsoftware
moeglichst schwer macht sich einzunisten in Kombination mit Usern, die
wissen was sie tun und nicht auf allem herumklicken was das Pech hat nicht
schnell genug vom Bildschirm zu verschwinden ...

Das entfernen von Schadsoftware aus dem System geschieht durch komplette
Neuinstallation und nicht mittels irgend welcher ominoeser "Bereinigungs-
software" ... Den Link auf den M$-Artikel der das bestaetigt kann ich mir
wohl sparen ,da der bereits oft genug gepostet wurde.

Post by Uwe Premer
Des weiteren wäre wichtig, dass Antivirensoftware zeitgleich mit den
Viren die Updates bereitsstellt.

Das ist aber technisch unmoeglich, da die Virenpattern immer nur eine
*REAKTION* auf das auftauchen neuer Schaedlinge ist, sie koennen immer nur
an neue Schaedlingwe angepasst werden, *nachdem* der Scanner-Hersteller
sie in die Finger bekommen hat (und dann sind sie ja bereits in Umlauf,
woher sollte sie der Scanner-Hersteller sonst erhalten haben?).

"Selbst das Anlegen eines zweiten Nutzerkontos mit eingeschränkten
Rechten lohnt nicht mehr und nervt eher.

Das haette ich jetzt nicht erwartet. Ich finde es enttaeuschend, dass
dort so etwas ausgesagt wird ...

Viren waren die ersten Programme, die vernünftig ohne Administratorrechte
arbeiten und sich denn in Browser-Verbindungen zum Angriff aufs Online-
Banking einklinken konnten."

Schadsoftware kann mit Administratorrechten dem System groesseren Schaden
zufuegen und sich tiefer ins System einbetten. Das gilt noch immer und ist
ein guter Grund, Massnahmen zu ergreifen, um Schadsoftware (wenn sie denn
ueberhaupt zur Ausfuehrung kommt) ??zumindest nicht mit Admin-Rechten zur
Ausfuehrung zu bringen.

Bei dem Gedanken, Systeme durch ominoese "Antivirussoftware" "reinigen"
zu lassen, koennte mir spontan das Fruehstueck wieder aus dem Gesicht
fallen ...

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Helmut Hullen

2011-09-13 14:11:00 UTC

Hallo, Juergen,

Post by Juergen Ilse
Der beste Virenschutz ist eine Systemkonfiguration die es
Schadsoftware moeglichst schwer macht sich einzunisten in Kombination
mit Usern, die wissen was sie tun und nicht auf allem herumklicken
was das Pech hat nicht schnell genug vom Bildschirm zu verschwinden
...

Der Hersteller und der Betreiber eines Betriebssystems für den
Endverbraucher können sich die Käufer/Nutzer nicht aussuchen,
insbesondere können sie deren Qualifikation nicht testen und bei
Unterschreiten irgendeines Levels den Erwerb und/oder die Benutzung
unterbinden.

"Selbst das Anlegen eines zweiten Nutzerkontos mit eingeschränkten
Rechten lohnt nicht mehr und nervt eher.

Das haette ich jetzt nicht erwartet. Ich finde es enttaeuschend, dass
dort so etwas ausgesagt wird ...

Wie schon mehrfach in der Windows-Newsgroup erwähnt wurde: seit Vista
ist die Zuordnung von Administrator-Rechten usw. ein wenig geändert
worden. In sehr verkützter Form: auch der Installateur von Windows 7
arbeitet später (nach Vor-Einstellung) nicht als Administrator. Also
braucht er kein weiteres Konto mit eingeschränkten Rechten.

Das hat der Verfasser der (inhaltlich falschen) Behauptung im Betreff
nicht so recht kapiert (ok - vielleicht hat auch er sich inzwischen
weitergebildet).

Post by Juergen Ilse
Schadsoftware kann mit Administratorrechten dem System groesseren
Schaden zufuegen und sich tiefer ins System einbetten. Das gilt noch
immer und ist ein guter Grund, Massnahmen zu ergreifen, um
Schadsoftware (wenn sie denn ueberhaupt zur Ausfuehrung kommt)
??zumindest nicht mit Admin-Rechten zur Ausfuehrung zu bringen.

Lies Dir mal (im gleichen c't-Heft) durch, wie ZeuS arbeitet, lies im
Heise-Newsticker die Meldung über BIOS-Viren nach: das Mistzeugs braucht
keine förmlichen Administratorrechte mehr.

Viele Gruesse!
Helmut

Juergen Ilse

2011-09-13 14:39:24 UTC

Hallo,

Es ist auch nicht deren Aufgabe, die eigenen Kunden daran zu hindern,
ihr System zu zerschiessen, wenn diese es mit allen zur Verfuegung
stehenden Mitteln darauf anlegen ...

"Selbst das Anlegen eines zweiten Nutzerkontos mit eingeschränkten
Rechten lohnt nicht mehr und nervt eher.

Das haette ich jetzt nicht erwartet. Ich finde es enttaeuschend, dass
dort so etwas ausgesagt wird ...

Der zitierte Text beschraenkte sich nicht (soweit ich gelesen habe)
nicht auf Systeme mit aktiviertem UAC ...

Lies Dir mal (im gleichen c't-Heft) durch, wie ZeuS arbeitet, lies im
Heise-Newsticker die Meldung über BIOS-Viren nach: das Mistzeugs braucht
keine förmlichen Administratorrechte mehr.

Was sind denn "foermliche Administratorrechte" und wie kann man ohne
Administratorrechte Systemdaten veraendern oder auf direkten Hardware-
zugriff erlangen?

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Helmut Hullen

2011-09-13 14:50:00 UTC

Hallo, Juergen,

Post by Juergen Ilse
Schadsoftware kann mit Administratorrechten dem System groesseren
Schaden zufuegen und sich tiefer ins System einbetten. Das gilt
noch immer und ist ein guter Grund, Massnahmen zu ergreifen, um
Schadsoftware (wenn sie denn ueberhaupt zur Ausfuehrung kommt)
??zumindest nicht mit Admin-Rechten zur Ausfuehrung zu bringen.

Lies Dir mal (im gleichen c't-Heft) durch, wie ZeuS arbeitet, lies
im Heise-Newsticker die Meldung über BIOS-Viren nach: das Mistzeugs
braucht keine förmlichen Administratorrechte mehr.

Was sind denn "foermliche Administratorrechte" und wie kann man ohne
Administratorrechte Systemdaten veraendern oder auf direkten
Hardware-zugriff erlangen?

Der Begriff "foermliche Administratorrechte" mag etwas untechnisch sein.
Lies Dir mal in der c't den Artikel "Beim ZeuS" (S. 182 - 185) durch -
da wird erklärt, mit welch simplen Mitteln dieser Virus den ganzen
Krempel mit Administratorrechten etc. umgeht.

Viele Gruesse!
Helmut

Carsten Krueger

2011-09-28 12:41:54 UTC

Post by Helmut Hullen
Lies Dir mal in der c't den Artikel "Beim ZeuS" (S. 182 - 185) durch -
da wird erklärt, mit welch simplen Mitteln dieser Virus den ganzen
Krempel mit Administratorrechten etc. umgeht.

Der umgeht garnichts. Er kann nur alles das was ein Benutzer darf, nicht
mehr und nicht weniger.
Die Infektion kann sich also nicht ausbreiten auf der lokalen Machine.

Gruß Carsten

--
ID = 0x2BFBF5D8 FP = 53CA 1609 B00A D2DB A066 314C 6493 69AB 2BFB F5D8
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://www.spamgourmet.com/ + http://mailcatch.com/ - Antispam
cakruege (at) gmail (dot) com

Burkhard Ott

2011-09-13 19:29:06 UTC

Lies Dir mal (im gleichen c't-Heft) durch, wie ZeuS arbeitet, lies im
Heise-Newsticker die Meldung über BIOS-Viren nach: das Mistzeugs
braucht keine förmlichen Administratorrechte mehr.

Was sind denn "foermliche Administratorrechte" und wie kann man ohne
Administratorrechte Systemdaten veraendern oder auf direkten Hardware-
zugriff erlangen?

e.g. http://www.phrack.org/issues.html?issue=65&id=10
Mit admin rechten einfacher aber nicht unbedingt noetig.
UAC kannst Du inzwischen als process auch umgehen.

cheers

Juergen Ilse

2011-09-14 09:38:38 UTC

Hallo,

Post by Burkhard Ott

Post by Juergen Ilse
Was sind denn "foermliche Administratorrechte" und wie kann man ohne
Administratorrechte Systemdaten veraendern oder auf direkten Hardware-
zugriff erlangen?

e.g. http://www.phrack.org/issues.html?issue=65&id=10

Beim oberflaechlichen lesen sah das fuer mich wie ein "local root exploit",
also eine Methode um Administratorrechte zu erlangen aus. Wenn das System
Fehler enthaelt, die einem unpriviligierten Prozess erlauben, Admin-Rechte
zu erlangen, ist das natuerlich eine Luecke, die es Schadsoftware die nicht
mit Admin-Rechten gestarteten Prozessen Moeglichkeiten zum direkten Hardware-
zugriff oder Aenderungen an Systemdateien ermoeglicht. Allerdings liegt
die Huerde dann immer noch ein bischen hoeher als bei gleich mit Admin-
rechten ausgefuehrter Schadsoftware: es muss eine solche Luecke im System
vorhanden sein *und* die Schadsoftware muss sie erkennen und ausnutzen.

Post by Burkhard Ott
Mit admin rechten einfacher aber nicht unbedingt noetig.
UAC kannst Du inzwischen als process auch umgehen.

Deswegen vertraue ich nicht auf UAC als Sicherheitsnetz, wenn der genutzte
User bereits Admin-Rechte haette (und somit nur die Nachfrage von UAC be-
staetigen muesste ohne das Admin-Passwort einzugeben) ...

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Armin G.

2011-09-13 15:22:23 UTC

Post by Uwe Premer
dieses Topic gehört sicher auch nach de.comp.security.virus, daher FUp2
dorthin.

Hallo allerseits!

Moin!

Abend

"Windows-Anwender wissen: Ohne Virenschutz geht es nicht."

In meinen aktuellen Linuxen verwende ich überhaupt keine
Antivirensoftware.

Auch du nutzt Antivirensoftware, nur sitzt sie bei dir in einem
hochmodernen organischen Computer vor deinem Linuxsystem.

Post by Uwe Premer
Des weiteren wäre wichtig, dass Antivirensoftware zeitgleich mit den
Viren die Updates bereitsstellt.

Ob man die Programmierer unter einen Hut bringen kann?
Während sie sich im Büro gegenüber sitzen programmiert der eine die
Viren und der andere den Schutz :-)

Viren waren die ersten
Programme, die vernünftig ohne Administratorrechte arbeiten und
sich denn in Browser-Verbindungen zum Angriff aufs Online-Banking
einklinken konnten."

Kann ich nur bestätigen, ich weis am Monatsende nie wo mein Geld
geblieben ist.

Tja, da fällt einem nix mehr ein.

Wenn der Virenschutz vor dem Rechner sitzt, haben sie doch Recht. Was
gibts da auszusetzen?

--
MfG Armin G.

Joerg Lorenz

2011-09-14 05:50:15 UTC

Post by Armin G.

Post by Uwe Premer
dieses Topic gehört sicher auch nach de.comp.security.virus, daher FUp2
dorthin.

Hallo allerseits!

Moin!

Abend