Schnarchnasige Virenscanner-Hersteller

Post by Michael Landenberger
Hallo,
letztens (genauer: am 2.6.2011, also vor 4 Tagen) flatterte mir eine
E-Mail mit einem Link zu einer ganz offensichtlichem Malware-Datei [1]
in die Inbox. Ich habe die verlinkte Datei sofort bei jotti.org und
virustotal.com hochgeladen. Ergebnis: nur 3 von 20 bzw. 30 Virenscannern
erkannten den Schädling. Die von mir genutzten Microsoft Security
Essentials schöpften ebenfalls keinen Verdacht. Als sich daran nach dem
nächsten Signatur-Update nichts änderte, habe ich mich entschlossen, die
Malware zu Microsoft hochzuladen. Ergebnis: seit dem 3.6.2011 erkennen
die Microsoft Security Essentials den Schädling. 1 Tag ohne Schutz
dürfte aber gereicht haben, um den ein oder anderen DAU-Rechner zu
kapern.
Soeben ergab ein neuer Versuch mit jotti.org und virustotal.com, dass
einige namhafte Virenscanner den Schädling nach satten 4 Tagen immer
noch nicht erkennen, als da wären ClamAV, F-Prot, NOD32, Panda Antivirus
und Sophos. Auch einige weniger verbreitete Virenscanner schöpfen noch
keinen Verdacht. Wer sich also auf einen dieser Scanner verlässt, ist
verlassen.
Soviel zum Thema Virenscanner, Schutz und Sicherheit. Der zuverlässigste
Malware-Schutz ist offenbar immer noch Brain 2011.
[1] Die Malware war in einem ZIP-Archiv namens Order.zip enthalten,
welches man von <hxxx://wordpresslochness.com/Orders/Orders.zip>
herunterladen sollte. Den Betreiber von <http://wordpresslochness.com>
habe ich sofort kontaktiert und ihn auf seinen gehackten Webauftritt
samt untergeschobener Malware hingewiesen, bisher leider ohne die
geringste Reaktion :-/
Gruß
Michael

Sie nicht traurig, so ist nun mal das Leben und die Realitaet.

Juergen P. Meier

2011-06-07 04:52:00 UTC

Post by Michael Landenberger
letztens (genauer: am 2.6.2011, also vor 4 Tagen) flatterte mir eine E-Mail
mit einem Link zu einer ganz offensichtlichem Malware-Datei [1] in die
Inbox. Ich habe die verlinkte Datei sofort bei jotti.org und virustotal.com
hochgeladen. Ergebnis: nur 3 von 20 bzw. 30 Virenscannern erkannten den
Schädling. Die von mir genutzten Microsoft Security Essentials schöpften
ebenfalls keinen Verdacht. Als sich daran nach dem nächsten Signatur-Update
nichts änderte, habe ich mich entschlossen, die Malware zu Microsoft
hochzuladen. Ergebnis: seit dem 3.6.2011 erkennen die Microsoft Security
Essentials den Schädling. 1 Tag ohne Schutz dürfte aber gereicht haben, um
den ein oder anderen DAU-Rechner zu kapern.

Herzlichen Gluehstrumpf, du hast die inhaerente Schwaeche aller
Signatursysteme (AV-Scanner, IDS/IPS Systeme etc. pp.) erkannt.

Nicht jeder Hersteller ist im selben Boot bei der Analyse von
malwareproben, so dass man wenn man eine Variante erkannt haben
moechte, mindestens vier verschiedene Anbietergruppen mit Samples
versorgen muss.

Post by Michael Landenberger
Soviel zum Thema Virenscanner, Schutz und Sicherheit. Der zuverlässigste
Malware-Schutz ist offenbar immer noch Brain 2011.

Ach.

Juergen

--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Helmut Hullen

2011-06-07 05:53:00 UTC

Hallo, Juergen,

Post by Michael Landenberger
letztens (genauer: am 2.6.2011, also vor 4 Tagen) flatterte mir eine
E-Mail mit einem Link zu einer ganz offensichtlichem Malware-Datei
[1] in die Inbox. Ich habe die verlinkte Datei sofort bei jotti.org
und virustotal.com hochgeladen. Ergebnis: nur 3 von 20 bzw. 30
Virenscannern erkannten den Schädling. Die von mir genutzten
Microsoft Security Essentials schöpften ebenfalls keinen Verdacht.
Als sich daran nach dem nächsten Signatur-Update nichts änderte,
habe ich mich entschlossen, die Malware zu Microsoft hochzuladen.
Ergebnis: seit dem 3.6.2011 erkennen die Microsoft Security
Essentials den Schädling. 1 Tag ohne Schutz dürfte aber gereicht
haben, um den ein oder anderen DAU-Rechner zu kapern.

Herzlichen Gluehstrumpf, du hast die inhaerente Schwaeche aller
Signatursysteme (AV-Scanner, IDS/IPS Systeme etc. pp.) erkannt.

Nein. Irgendwann wird das Dreckszeug von den allermeisten Scannern
erkannt, es handelt sich also nicht um eine "inhaerente Schwaeche".

Es dauert nur bei den verschiedenen Programmen unterschiedlich lange,
bis auch dieser neue Virus (o.ä.) erkannt wird. Und das bedeutet, dass
Online-Scanner mit ganz neuen Viren Probleme haben können - aber das ist
(auch) eine steinalte Erkenntnis.

Post by Michael Landenberger
Soviel zum Thema Virenscanner, Schutz und Sicherheit. Der
zuverlässigste Malware-Schutz ist offenbar immer noch Brain 2011.

Nein - nicht jeder Virus (o.ä.) ist derart leicht zu erkennen (oder
wenigstens zu verdächtigen). Da lasse ich lieber auch noch meine
Automaten laufen.
Zusätzlich, nicht stattdessen.

Viele Gruesse!
Helmut

Michael Landenberger

2011-06-07 07:46:44 UTC

Post by Helmut Hullen
Irgendwann wird das Dreckszeug von den allermeisten Scannern
erkannt, es handelt sich also nicht um eine "inhaerente Schwaeche".

Die inhärente Schwäche besteht darin, dass es auch bei den besten
Virenscannern Zeiten gibt, in denen sie eine bestimmte Malware nicht
erkennen. Gewissenhafte Virenscanner-Hersteller versuchen, diese Zeiten
durch schnelle Updates möglichst kurz zu halten bzw. durch Heuristiken zu
überbrücken. Das gelingt aber nicht immer und man kann daher durchaus von
einer inhärenten Schwäche sprechen.

Diesmal war "irgendwann" aber für meine Begriffe überdurchschnittlich lang,
jedenfalls bei manchen Virenscannern. Erstaunlich fand ich auch, dass unter
den Schlafmützen unter den Virenscannern nicht nur relativ unbekannte
Produkte waren, sondern auch namhafte. Möglicherweise sind aber auch die
Nutzer dieser Virenscanner zu bequem, neue Malware zur Analyse einzureichen,
so dass die Hersteller erstmal gar nicht mitbekommen, dass da etwas Neues
sein Unwesen treibt.

Gruß

Michael

Juergen P. Meier

2011-06-07 07:51:41 UTC

Helmut ist Merkbefreit.

Post by Helmut Hullen
Irgendwann wird das Dreckszeug von den allermeisten Scannern
erkannt, es handelt sich also nicht um eine "inhaerente Schwaeche".

Zudem werden einige Varianten, deren Ausbreitung nicht bis in
die Analyse-Labore der AV-Hersteller reicht, oft genug nie von AV-Produkten
erkannt.

Und das ist eine inhaerente Schwaeche einer Technologie, die fuer sich
selbst den Anspruch erhebt "vor Schadprogrammen zu schuetzen".

Post by Michael Landenberger
Produkte waren, sondern auch namhafte. Möglicherweise sind aber auch die
Nutzer dieser Virenscanner zu bequem, neue Malware zur Analyse einzureichen,
so dass die Hersteller erstmal gar nicht mitbekommen, dass da etwas Neues
sein Unwesen treibt.

Von den vielen Varianten und seltenen Exemplaren, die AV-Hersteller
nie in ihre Signaturen aufnehmen, ganz zu schweigen.

AV-Produkte bieten keine Sicherheit. Sie eignen sich nur fuer den
Positiv-Nachweis einer vorhandenen, bekannten Schadsoftware - und auch
das nur solange das System auf dem die AV-Software laeuft nicht
schon laengst kompromittiert wurde.

Nicht mehr und nicht weniger.

Juergen

Helmut Hullen

2011-06-07 08:36:00 UTC

Hallo, Juergen,

Post by Juergen P. Meier
AV-Produkte bieten keine Sicherheit.

Und mal wieder das beliebte Schwarz-Weiss-Denken.
Auch Brain 1.0 bietet keine (absolute) Sicherheit.

Viele Gruesse!
Helmut

Heinz-Mario Frühbeis

2011-06-07 10:38:56 UTC

"Helmut Hullen"...

Post by Helmut Hullen
Hallo, Juergen,

Post by Juergen P. Meier
AV-Produkte bieten keine Sicherheit.

Und mal wieder das beliebte Schwarz-Weiss-Denken.
Auch Brain 1.0 bietet keine (absolute) Sicherheit.

Auf beiden Seiten nicht!

Mit Gruß
Heinz-Mario Frühbeis

Helmut Hullen

2011-06-07 08:34:00 UTC

Hallo, Michael,

Post by Helmut Hullen
Irgendwann wird das Dreckszeug von den allermeisten Scannern
erkannt, es handelt sich also nicht um eine "inhaerente Schwaeche".

Die inhärente Schwäche besteht darin, dass es auch bei den besten
Virenscannern Zeiten gibt, in denen sie eine bestimmte Malware nicht
erkennen.

Klar - gilt übrigens auch für Brain 1.0

Viele Gruesse!
Helmut

Juergen Ilse

2011-06-07 19:51:55 UTC

Hallo,

Post by Helmut Hullen
Irgendwann wird das Dreckszeug von den allermeisten Scannern
erkannt, es handelt sich also nicht um eine "inhaerente Schwaeche".

Die inhärente Schwäche besteht darin, dass es auch bei den besten
Virenscannern Zeiten gibt, in denen sie eine bestimmte Malware nicht
erkennen.

Klar - gilt übrigens auch für Brain 1.0

Wenn ich Mailanhaenge mit Namen wie *.com, *.exe oder *.scr bekomme,
benoetige ich weder einen Virenscanner noch sonderlich viel Intelligenz,
um von "hoechstwarscheinlich Malware, zumindest aber nichts was ich
ausfuehren moechte" zu erkennen. Die wenigen Ausnahmen, bei denen das
anders sein koennte, kann ich i.d.R. an den Fingern einer HAnd abzaehlen
(und meistens fuehre ich auch dann eine per Mail erhaltene solche Datei
nicht aus).

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Helmut Hullen

2011-06-07 20:10:00 UTC

Hallo, Juergen,

Post by Michael Landenberger
Die inhärente Schwäche besteht darin, dass es auch bei den besten
Virenscannern Zeiten gibt, in denen sie eine bestimmte Malware
nicht erkennen.

Klar - gilt übrigens auch für Brain 1.0

Wenn ich Mailanhaenge mit Namen wie *.com, *.exe oder *.scr bekomme,
benoetige ich weder einen Virenscanner noch sonderlich viel
Intelligenz, um von "hoechstwarscheinlich Malware, zumindest aber
nichts was ich ausfuehren moechte" zu erkennen. Die wenigen
Ausnahmen, bei denen das anders sein koennte, kann ich i.d.R. an den
Fingern einer HAnd abzaehlen (und meistens fuehre ich auch dann eine
per Mail erhaltene solche Datei nicht aus).

Das ist nur ein Weg, sich in den Rechner einzuschleichen.
Daneben gibt es noch etliche andere Wege - wie auch Du weisst - , z.B.
per USB-Stick ("conficker", Stuxnet), z.B. per Webseite, z.B. per
Schwachstelle in irgendeiner Anwendung.

Viele Gruesse!
Helmut

Peter Moeckli

2011-06-11 20:21:32 UTC

Post by Helmut Hullen
Daneben gibt es noch etliche andere Wege - wie auch Du weisst - , z.B.
per USB-Stick ("conficker", Stuxnet), z.B. per Webseite, z.B. per
Schwachstelle in irgendeiner Anwendung.

Wieder jemand, der 'Brain' nicht wirklich verstanden hat. Wenn man
'Brain' verwendet, dann gehört es selbstmurmelnd dazu, dass man das
System und alle Programme erstens stets aktuell hält und zweitens
vernünftig konfiguriert, etwa durch Ausschalten der Autorun-Funktion,
damit beim Anschliessen eines USB-Sticks erstmal gar nichts passiert.

Und wenn das System und die Programme aktuell sind, reduziert sich die
Gefahr über Schwachstellen im Browser etc. auch enorm. Was dann noch
übrig bleibt, sind Zero Day-Sachen. Bei denen sind aber auch die
Virenrateprogramme keine Hilfe...

CU
Peter

Helmut Hullen

2011-06-12 05:52:00 UTC

Hallo, Peter,

Post by Helmut Hullen
Daneben gibt es noch etliche andere Wege - wie auch Du weisst - ,
z.B. per USB-Stick ("conficker", Stuxnet), z.B. per Webseite, z.B.
per Schwachstelle in irgendeiner Anwendung.

Wieder jemand, der 'Brain' nicht wirklich verstanden hat.

Du irrst - sorry.

Post by Peter Moeckli
Wenn man 'Brain' verwendet, dann gehört es selbstmurmelnd dazu, dass
man das System und alle Programme erstens stets aktuell hält und
zweitens vernünftig konfiguriert, etwa durch Ausschalten der Autorun-
Funktion, damit beim Anschliessen eines USB-Sticks erstmal gar nichts
passiert.

Das ist nicht "Brain 1.0". Das ist "Fromme Hoffnung 0.1"

"Brain 1.0" gibt es in sehr vielen Varianten, je nach aktuellem
Besitzer. Viele Versionen sind nicht update-fähig.

Oder definierst Du "Brain 1.0" rückwärts? "Brain 1.0 haben wir dann,
wenn wir 100-prozentige Sicherheit haben"?

Viele Gruesse!
Helmut

Peter Moeckli

2011-06-12 08:12:35 UTC

Post by Peter Moeckli
Wieder jemand, der 'Brain' nicht wirklich verstanden hat.

Du irrst - sorry.

Tu ich das? Kaum...

Post by Helmut Hullen
Das ist nicht "Brain 1.0". Das ist "Fromme Hoffnung 0.1"

Warum sollte das so sein? Wenn ich die Autostart-Funktion ausschalte,
wird keine CD, kein USB-Stick automatisch gestartet und somit kein
Conficker ausgeführt. Das ist nachhaltige Vorbeugung. Warum sollte das
'Fromme Hoffnung' sein?

Post by Helmut Hullen
Oder definierst Du "Brain 1.0" rückwärts? "Brain 1.0 haben wir dann,
wenn wir 100-prozentige Sicherheit haben"?

Wer hat denn etwas von 100% behauptet? Wie wir alle wissen, ist eine
100%ige Sicherheit nicht möglich. Man kann nur versuchen, sich dem so
weit wie möglich anzunähern.

Und dass Conficker auch Systeme von diversen Firmen befallen hat, zeigt
doch, dass das mit dem 'professionell betreut' nicht wirklich viel
aussagt. Je nach Firma setzen sich auch die Manager durch, denen es zu
unbequem ist, wenn sie nach Anstecken eines USB-Sticks selber im
Explorer auf das Laufwerk klicken müssen. So bleibt dort dann Autorun
eingeschaltet und schon kann Conficker zuschlagen.

CU
Peter

Helmut Hullen

2011-06-12 08:26:00 UTC

Hallo, Peter,

Post by Helmut Hullen
Das ist nicht "Brain 1.0". Das ist "Fromme Hoffnung 0.1"

Inzwischen wissen einige Leute, dass (mindestens) ein Virus diese Option
ausgenutzt hat. Bei einigen war das Kind bereits in den Brunnen
gefallen. Auch sie waren der Meinung, Brain 1.0 angewandt zu haben.

Im aktuellen Spiegel (Heft 24/2011, S. 20) wird u.a. erwähnt, "Über
manipulierte Werbebanner können sich Nutzer selbst auf
vertrauenswürdigen Websites Schadprogramme einfangen und zum 'Bot'
werden - dazu müssen sie die Banner nicht einmal mehr anklicken." Wie
schützt Brain 1.0 dagegen? Nur noch mit "lynx" surfen?

Und demnächst werden weitere Mechanismen ausgenutzt werden, um meinen
Rechner zum Teil eines Botnetzes zu machen - damit ist viel Geld zu
verdienen, also wird es passieren. Brain 1.0 wirkt dann, wenn das Kind
im Brunnen liegt und laut jammert.

Post by Helmut Hullen
Oder definierst Du "Brain 1.0" rückwärts? "Brain 1.0 haben wir dann,
wenn wir 100-prozentige Sicherheit haben"?

Wer hat denn etwas von 100% behauptet? Wie wir alle wissen, ist eine
100%ige Sicherheit nicht möglich. Man kann nur versuchen, sich dem so
weit wie möglich anzunähern.

Aha - also Brain 0.95

Post by Peter Moeckli
Und dass Conficker auch Systeme von diversen Firmen befallen hat,
zeigt doch, dass das mit dem 'professionell betreut' nicht wirklich
viel aussagt. Je nach Firma setzen sich auch die Manager durch, denen
es zu unbequem ist, wenn sie nach Anstecken eines USB-Sticks selber
im Explorer auf das Laufwerk klicken müssen. So bleibt dort dann
Autorun eingeschaltet und schon kann Conficker zuschlagen.

Wo finde ich also Brain 1.0? Wird etwa nach dem Kriterium "zufällig noch
mal Glück gehabt" sortiert?

Viele Gruesse!
Helmut

Juergen Ilse

2011-06-13 07:20:55 UTC

Hallo,

Post by Helmut Hullen
Im aktuellen Spiegel (Heft 24/2011, S. 20) wird u.a. erwähnt, "Über
manipulierte Werbebanner können sich Nutzer selbst auf
vertrauenswürdigen Websites Schadprogramme einfangen und zum 'Bot'
werden - dazu müssen sie die Banner nicht einmal mehr anklicken."

Damit hat der Spiegel es tatsaechlich geschafft, etliche Jahre altes
Wissen auch mal zu veroeffentlichen ... Das Spielchen ueber getuerkte
Werbebanner ist doch schon mindestens 5 Jahre alt.

Post by Helmut Hullen
Wie schützt Brain 1.0 dagegen? Nur noch mit "lynx" surfen?

Aktuell halten der verwendeten Software, ggfs. abschalten "aktiver Inhalte",
keine Webseite als "uneingeschraenkt vertrauenswuerdig ansehen (denn das
kann sie nicht sein, wenn sie Inhalte von anderen Servern einblendet, was
bei Werbebannern nahezu immer der Fall ist). Virenscanner helfen da auch
nicht mehr als das aktuell halten und restriktiv konfigurieren der ver-
wendeten Software.

Wo finde ich also Brain 1.0? Wird etwa nach dem Kriterium "zufällig noch
mal Glück gehabt" sortiert?

Das abschalten von autostart war schon Jahre vor "Conficker" eine empfeh-
lenswerte Einstellung (auch wenn das von vielen aus diversen Gruenden
ignoriert wurde). Autostart war schon immer eine Schnapsidee (auch wenn
sehr viele Personen und Firmen das bis heute nicht begriffen haben).

Tschuess,
Juergen Ilse (***@usenet-verwaltung)

--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Ralph Lehmann

2011-06-13 07:50:50 UTC

Post by Helmut Hullen
Wie schützt Brain 1.0 dagegen? Nur noch mit "lynx" surfen?

Aktuell halten der verwendeten Software, ggfs. abschalten "aktiver Inhalte"

Also doch mit lynx surfen. ;-) BTW: Hast Du schon mal in letzter Zeit
versucht, dass _normale_ Internet ohne Flash zu benutzen?

Nein, ich meine damit nicht:
"Ich wollte ja, aber es ging nicht, also rutscht mir doch den Buckel
'runter, dann kauf ich eben bei Tante Emma um die Ecke!",
ich meine tatsächlich:
"benutzen"!

ciao Ralph

Juergen Ilse

2011-06-13 13:08:01 UTC

Hallo,

Post by Helmut Hullen
Wie schützt Brain 1.0 dagegen? Nur noch mit "lynx" surfen?

Aktuell halten der verwendeten Software, ggfs. abschalten "aktiver Inhalte"

Also doch mit lynx surfen. ;-) BTW: Hast Du schon mal in letzter Zeit
versucht, dass _normale_ Internet ohne Flash zu benutzen?

Ja, das passiert bei mir per Default automatisch, da ich per Default
Flash im Browser blockiere. Die fuer mich interessanten Seiten waren
auch dann i.d.R. noch nutzbar.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Edgar Sippel

2011-06-13 18:51:22 UTC

Post by Michael Landenberger
Hallo,

Post by Helmut Hullen
Wie schützt Brain 1.0 dagegen? Nur noch mit "lynx" surfen?

Aktuell halten der verwendeten Software, ggfs. abschalten "aktiver Inhalte"

Also doch mit lynx surfen. ;-) BTW: Hast Du schon mal in letzter Zeit
versucht, dass _normale_ Internet ohne Flash zu benutzen?

Ja, das passiert bei mir per Default automatisch, da ich per Default
Flash im Browser blockiere. Die fuer mich interessanten Seiten waren
auch dann i.d.R. noch nutzbar.

Gibt es im ernst noch Leute jenseits des DAU mit Aldi-PC, die etwas anderes
machen? Der ganze aktive Rotz inkl. JacaScript und _sämtlicher_
Browser-Plugins gehört doch per Default abgeschaltet und wird nur höchst
selektiv für einzelne Seiten freigegeben - selbst ohne Vieren, Fünfen und
Sechsen ist doch gerade das normale Internet ohne derartige Maßnahmen quasi
unbenutzbar, weil einem buntes Werbegeflimmer sowohl die Leitung verstopft
als auch die Sicht auf die gewünschten Inhalte vernebelt...

Grüße,
Edgar

--
X-No-Sig: Yes

Ralph Lehmann

2011-06-13 19:45:09 UTC

Post by Edgar Sippel

Post by Michael Landenberger
Hallo,

Post by Helmut Hullen
Wie schützt Brain 1.0 dagegen? Nur noch mit "lynx" surfen?

Aktuell halten der verwendeten Software, ggfs. abschalten "aktiver Inhalte"

Also doch mit lynx surfen. ;-) BTW: Hast Du schon mal in letzter Zeit
versucht, dass _normale_ Internet ohne Flash zu benutzen?

Ja, das passiert bei mir per Default automatisch, da ich per Default
Flash im Browser blockiere. Die fuer mich interessanten Seiten waren
auch dann i.d.R. noch nutzbar.

OK, wenn die für Dich interessanten Seiten ohne Flash auskommen (was
auch meiner Meinung nach sehr lobenswert ist), ist das sicherlich die
für Deine Anforderungen beste Methode.

Post by Edgar Sippel
Gibt es im ernst noch Leute jenseits des DAU mit Aldi-PC, die etwas anderes
machen?

Und an der Stelle habe ich aufgehört zu lesen. Wenn ich Heise-Trolls
will, nehme ich das Original.

Stefan Kanthak

2011-06-14 18:20:18 UTC

Post by Helmut Hullen
Wie schützt Brain 1.0 dagegen? Nur noch mit "lynx" surfen?

Aktuell halten der verwendeten Software, ggfs. abschalten "aktiver Inhalte"

Also doch mit lynx surfen. ;-) BTW: Hast Du schon mal in letzter Zeit
versucht, dass _normale_ Internet ohne Flash zu benutzen?

Nicht nur in letzter Zeit, sondern generell: ja, problemlos!
Nicht nur hier, sondern auch da und dort, bei ONU!

Stefan
[

--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)

Peter Moeckli

2011-06-19 11:39:56 UTC

Post by Helmut Hullen
Inzwischen wissen einige Leute, dass (mindestens) ein Virus diese Option
ausgenutzt hat. Bei einigen war das Kind bereits in den Brunnen
gefallen. Auch sie waren der Meinung, Brain 1.0 angewandt zu haben.

Und was hätte die Virenklingel da genutzt? Wer den Autorun nicht
ausschaltet, muss entweder anderweitig Vorkehrungen treffen, damit beim
Anschluss von USB-Sticks aus unsicherer oder unbekannter Quelle nichts
direkt ausgeführt wird. Oder handelt fahrlässig und wendet somit kein
Brain an.

Post by Helmut Hullen
Im aktuellen Spiegel (Heft 24/2011, S. 20) wird u.a. erwähnt, "Über...

Browser inkl. aller Plugins aktuell halten. Plugins wie Werbeblocker und
Noscript, damit standardmässig keine Werbung geladen wird (dadurch
werden viele Webseiten auch deutlich besser lesbar...) und Javascript
ausgeschaltet ist. Bei Bedarf kann man dann gezielt das (temporär)
erlauben, was zwingend nötig ist.

Das ist natürlich auch keine völlig perfekte Lösung. Reduziert das
Risiko, sich über 'Drive by' etwas einzufangen aber enorm. Und
ursächlich, statt nur symptomatisch.

Nehmen wir ein Beispiel aus jüngster Vergangenheit:
http://www.heise.de/newsticker/meldung/Exploit-auf-Amnesty-Seiten-trickste-AV-Software-aus-1230357.html

Die Virenklingel hat, u.a. wegen des Tricks, den die Kriminellen
angewendet haben, üblicherweise nichts gemerkt. Wer hingegen sein System
vernünftig pflegt und aktuell hält, der hatte bereits ein Update für die
ausgenutzte Sicherheitslücke installiert und war somit nicht mehr anfällig.

Post by Helmut Hullen
Brain 1.0 wirkt dann, wenn das Kind im Brunnen liegt und laut jammert.

Falsch. Den Autorun schaltet man ja vorgängig ab, wenn man das System
grad frisch einrichtet. Wenn irgendwann später ein Schädling auftaucht,
der auf diesem Weg daherkommt, kann er nichts machen, da kein Autorun.

Wenn ich Javascript per default verbiete, kann beim erstmaligen Aufrufen
einer präparierten Seite nichts passieren. Erst wenn ich dann etwas von
dem Javascript (temporär) erlaube, gibt es ein gewisses Risiko.

Post by Helmut Hullen
Wo finde ich also Brain 1.0? Wird etwa nach dem Kriterium "zufällig noch
mal Glück gehabt" sortiert?

Informieren, Wissen aneignen, lernen. Conficker befällt Systeme via
Autorun-Funktion? Was ist da grundlegend hilfreich? Autorun ausschalten.
Ein Wurm befällt den RPC-Dienst und versucht, eine Sicherheitslücke
auszunutzen? Dann schaue ich, ob es ein Update gibt, welches diese
Sicherheitslücke schliesst. Oder ob ich den Dienst so konfigurieren
kann, dass er von aussen nicht erreichbar ist. Oder als letzte
Möglichkeit, indem ich den Zugriff mittels Paketfilter beschränke bzw.
verhindere.

CU
Peter

Helmut Hullen

2011-06-19 12:30:00 UTC

Hallo, Peter,

Post by Helmut Hullen
Inzwischen wissen einige Leute, dass (mindestens) ein Virus diese
Option ausgenutzt hat. Bei einigen war das Kind bereits in den
Brunnen gefallen. Auch sie waren der Meinung, Brain 1.0 angewandt zu
haben.

Und was hätte die Virenklingel da genutzt? Wer den Autorun nicht
ausschaltet, muss entweder anderweitig Vorkehrungen treffen, damit
beim Anschluss von USB-Sticks aus unsicherer oder unbekannter Quelle
nichts direkt ausgeführt wird. Oder handelt fahrlässig und wendet
somit kein Brain an.

Doch - er wendet (sein) Brain an. Das Programm ist nur ausgesprochen
unzuverlässig.

[...]

Post by Peter Moeckli
http://www.heise.de/newsticker/meldung/Exploit-auf-Amnesty-Seiten-tri
ckste-AV-Software-aus-1230357.html
Die Virenklingel hat, u.a. wegen des Tricks, den die Kriminellen
angewendet haben, üblicherweise nichts gemerkt. Wer hingegen sein
System vernünftig pflegt und aktuell hält, der hatte bereits ein
Update für die ausgenutzte Sicherheitslücke installiert und war somit
nicht mehr anfällig.

Da bleibt immer noch eine Zeitspanne zwischen Ausnutzen der Lücke und
Update zum Stopfen dieser Lücke. Auch bei "vernünftiger Pflege".

Egal, was für ein Sicherungssystem Du benutzt.

Das haben schon einige Systembetreuer leidvoll erfahren dürfen.

Post by Helmut Hullen
Brain 1.0 wirkt dann, wenn das Kind im Brunnen liegt und laut
jammert.

Falsch. Den Autorun schaltet man ja vorgängig ab, wenn man das System
grad frisch einrichtet.

"man"? Na ja ...

Redest Du jetzt vom Fachmann, der stets alles richtig macht? Oder redest
Du von ONU oder DAU?

Post by Helmut Hullen
Wo finde ich also Brain 1.0? Wird etwa nach dem Kriterium "zufällig
noch mal Glück gehabt" sortiert?

Informieren, Wissen aneignen, lernen.

Redest Du jetzt vom Fachmann, der stets alles richtig macht? Oder redest
Du von ONU oder DAU?

ONU und DAU betreiben ihr System nicht vorrangig, um sich Wissen über
Gefahren anzueignen usw. - die wollen nur surfen und chatten.

Und diese Mentalität lässt sich (bei Beachtung der Menschenrechte) nicht
ändern. Insbesondere nicht durch Träumen vom besseren Menschen (im IT-
Bereich).

Viele Gruesse!
Helmut

Juergen Ilse

2011-06-20 15:34:59 UTC

Post by Peter Moeckli
Und was hätte die Virenklingel da genutzt? Wer den Autorun nicht
ausschaltet, muss entweder anderweitig Vorkehrungen treffen, damit
beim Anschluss von USB-Sticks aus unsicherer oder unbekannter Quelle
nichts direkt ausgeführt wird. Oder handelt fahrlässig und wendet
somit kein Brain an.

Doch - er wendet (sein) Brain an. Das Programm ist nur ausgesprochen
unzuverlässig.

Ich bin fast geneigt, dir in deinem Fall zuzustimmen ...

Da bleibt immer noch eine Zeitspanne zwischen Ausnutzen der Lücke und
Update zum Stopfen dieser Lücke. Auch bei "vernünftiger Pflege".

"Zero-Day-Exploits" sind weitaus seltener als die (prinzipbedingten)
"Reaktionszeiten der Antivirus-Hersteller auf neue Schaedlinge" ...

Post by Helmut Hullen
Brain 1.0 wirkt dann, wenn das Kind im Brunnen liegt und laut jammert.

Falsch. Den Autorun schaltet man ja vorgängig ab, wenn man das System
grad frisch einrichtet.

"man"? Na ja ...

Beim einrichten der PCs fuer die Firma meines Bruders gehoerte das zu
den ersten Aenderungen, noch vor der Installation der benoetigten Soft-
ware, und wenn diese Rechner demnaechst ersetzt werden (weil "in die
Jahre gekommen" und nicht mehr leistungsfaehig genug"), wird das wieder
eine der ersten Dinge sein, die ich nach Installation des Betriebssystems
tun werde. Was meine Person betrifft (und sicherlich auch sehr viele
andere), so stimmt das "man".

Post by Helmut Hullen
Redest Du jetzt vom Fachmann, der stets alles richtig macht? Oder redest
Du von ONU oder DAU?

ONU oder DAU sollte jemanden hinzuziehen, der fuer ihn die Systemadminis-
tration uebernimmt, wenn er selbst damit ueberfordert ist.

Post by Helmut Hullen
Wo finde ich also Brain 1.0? Wird etwa nach dem Kriterium "zufällig
noch mal Glück gehabt" sortiert?

Informieren, Wissen aneignen, lernen.

Redest Du jetzt vom Fachmann, der stets alles richtig macht? Oder redest
Du von ONU oder DAU?

Von demjeniegen, der Systeme administriert, egal, ob das nun ein Dienst-
leister, ein "Kumpel mit genug Wissen", ein familienangehoeriger mit genug
Ahnung oder der User selbst ist.

Post by Helmut Hullen
ONU und DAU betreiben ihr System nicht vorrangig, um sich Wissen über
Gefahren anzueignen usw. - die wollen nur surfen und chatten.

Dann muessen sie es genauso machen, wie z.B. die meisten Autofahrer auch:
Wenn dort eineReparatur ansteht, lassen sie das vom Fachmann erledigen,
die regelmaessigen Ueberpruefungen des Fahrzeugzustands (Inspektionen,
TUEV-Termine) eingeschlossen. Nur der PC ist ja "so einfach, dass man
keinen Fachmann hinzuziehen muss sondern alles selbst herumbasteln kann".
Diese Einstellung ("ich kann das doch sicher alles selber") zusammen mit
mangelndem Wissen und fehlender Lernbereitschaft ist das eigentliche
Uebel, dass es den Viren-Autoren so einfach macht ...

Post by Helmut Hullen
Und diese Mentalität lässt sich (bei Beachtung der Menschenrechte) nicht
ändern. Insbesondere nicht durch Träumen vom besseren Menschen (im IT-
Bereich).

Wuerde man Fahrlaessigkeit beim Betrieb von Rechnern in oeffentlichen
Netzwerken nicht mehr als "hoehere Gewalt" ansehen sondern die fahr-
laessig handelnden fuer die durch sie mittelbar verursachten Schaeden
(mit-)verantwortlich machen, wuerde sich das sehr schnell aendern.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Helmut Hullen

2011-06-20 15:51:00 UTC

Hallo, Juergen,

Post by Peter Moeckli
Und was hätte die Virenklingel da genutzt? Wer den Autorun nicht
ausschaltet, muss entweder anderweitig Vorkehrungen treffen, damit
beim Anschluss von USB-Sticks aus unsicherer oder unbekannter
Quelle nichts direkt ausgeführt wird. Oder handelt fahrlässig und
wendet somit kein Brain an.

Doch - er wendet (sein) Brain an. Das Programm ist nur ausgesprochen
unzuverlässig.

Ich bin fast geneigt, dir in deinem Fall zuzustimmen ...

Danke - ich erlaube mir gelegentlich, "Normaluser" zu sein.

[...]

Post by Helmut Hullen
Brain 1.0 wirkt dann, wenn das Kind im Brunnen liegt und laut jammert.

Falsch. Den Autorun schaltet man ja vorgängig ab, wenn man das
System grad frisch einrichtet.

"man"? Na ja ...

Beim einrichten der PCs fuer die Firma meines Bruders gehoerte das zu
den ersten Aenderungen, noch vor der Installation der benoetigten
Soft- ware,

Wenn ich Dich zum Einrichten meines nächsten Windows-Rechners
hinzuziehe: wie teuer wird das?

Post by Helmut Hullen
Redest Du jetzt vom Fachmann, der stets alles richtig macht? Oder
redest Du von ONU oder DAU?

ONU oder DAU sollte jemanden hinzuziehen, der fuer ihn die
Systemadministration uebernimmt, wenn er selbst damit ueberfordert
ist.

Klar: "sollte".

Und wie geht die Geschichte weiter, wenn er das nicht macht? Ok - die
Schuldfrage ist dann geklärt.

Post by Helmut Hullen
ONU und DAU betreiben ihr System nicht vorrangig, um sich Wissen
über Gefahren anzueignen usw. - die wollen nur surfen und chatten.
Und diese Mentalität lässt sich (bei Beachtung der Menschenrechte)
nicht ändern. Insbesondere nicht durch Träumen vom besseren Menschen
(im IT- Bereich).

[...]

Post by Juergen Ilse
Wuerde man Fahrlaessigkeit beim Betrieb von Rechnern in oeffentlichen
Netzwerken nicht mehr als "hoehere Gewalt" ansehen sondern die fahr-
laessig handelnden fuer die durch sie mittelbar verursachten Schaeden
(mit-)verantwortlich machen, wuerde sich das sehr schnell aendern.

Ok - soweit zur Theorie.
Und was folgt daraus für die Praxis?
Du träumst immer noch vom besseren Menschen (mindestens im IT-Bereich).

Viele Gruesse!
Helmut

Juergen Ilse

2011-06-20 16:54:08 UTC

Hallo,

Post by Juergen Ilse
Beim einrichten der PCs fuer die Firma meines Bruders gehoerte das zu
den ersten Aenderungen, noch vor der Installation der benoetigten
Soft- ware,

Wenn ich Dich zum Einrichten meines nächsten Windows-Rechners
hinzuziehe: wie teuer wird das?

Ich mache keine Windows-Administration gegen Bezahlung. Das mache ich nur
fuer die Familie. Wenn es um andere EDV-Aufgaben geht: Eine Anfrage bei
meinem Arbeitgeber duerfte die Frage fuer dich klaeren (wird aber vermut-
lich oberhalb dessen liegen, was du zu zahlen bereit waerst).

[...]

Ok - soweit zur Theorie.
Und was folgt daraus für die Praxis?
Du träumst immer noch vom besseren Menschen (mindestens im IT-Bereich).

Nein, ich traeume davon, wo jemand fuer den grob fahrlaessigen Betrieb
seines Rechners in oeffentlichen Dateennetzen fuer die von ihm mittelbar
verursachten Schaeden mit zur Verantwortung gezogen werden kann und auch
wird.

Im Strassenverkehr wird so etwas als selbstverstaendlich angesehen, in
der EDV (leider) nicht (zumindest *noch* nicht).

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Helmut Hullen

2011-06-20 17:37:00 UTC

Hallo, Juergen,

Post by Juergen Ilse
Beim einrichten der PCs fuer die Firma meines Bruders gehoerte das
zu den ersten Aenderungen, noch vor der Installation der
benoetigten Soft- ware,

Wenn ich Dich zum Einrichten meines nächsten Windows-Rechners
hinzuziehe: wie teuer wird das?

Ich mache keine Windows-Administration gegen Bezahlung. Das mache ich
nur fuer die Familie. Wenn es um andere EDV-Aufgaben geht: Eine
Anfrage bei meinem Arbeitgeber duerfte die Frage fuer dich klaeren
(wird aber vermut- lich oberhalb dessen liegen, was du zu zahlen
bereit waerst).

Eben - für viele mögliche Nutzer dürfte es teuer werden, den Rechner
fachgerecht einrichten zu lassen. Also unterlassen sie diese Arbeit. Das
ist die Praxis.

Post by Helmut Hullen
Du träumst immer noch vom besseren Menschen (mindestens im
IT-Bereich).

Und wie soll die Zeit bis zur Erfüllung dieses Traums überbrückt werden?

(am Rande: rechnest Du damit, dass Dein Traum zu Deinen Lebzeiten in
Erfüllung geht?)

Post by Juergen Ilse
Im Strassenverkehr wird so etwas als selbstverstaendlich angesehen,
in der EDV (leider) nicht (zumindest *noch* nicht).

Die nötigen Gesetze (Haftung usw.) gibt es längst, sie müssten (wenn sie
denn anwendbar wären) nur angewandt werden. Wann wirst Du den nötigen
Musterprozess starten?

Viele Gruesse!
Helmut

Ralph Lehmann

2011-06-20 16:42:12 UTC

Post by Juergen Ilse
"Zero-Day-Exploits" sind weitaus seltener als die (prinzipbedingten)
"Reaktionszeiten der Antivirus-Hersteller auf neue Schaedlinge" ...

Je grüner, desto schwimmt es. :-)

SCNR, Ralph

Stefan Kanthak

2011-06-20 18:14:38 UTC

Post by Peter Moeckli
Falsch. Den Autorun schaltet man ja vorgängig ab, wenn man das System
grad frisch einrichtet.

"man"? Na ja ...

Sollte das Betruebssystem "Windows" heissen: AUTORUN wird dort schon
LANGE vom Hersteller abgeschaltet!

Stefan
[

Juergen Ilse

2011-06-20 20:36:55 UTC

Hallo,

Post by Peter Moeckli
Falsch. Den Autorun schaltet man ja vorgängig ab, wenn man das System
grad frisch einrichtet.

"man"? Na ja ...

Sollte das Betruebssystem "Windows" heissen: AUTORUN wird dort schon
LANGE vom Hersteller abgeschaltet!

Nihct fuer CD/DVD, und dort stoert es mich nicht minder, also schalte ich
es auch dort ab.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Juergen P. Meier

2011-06-21 02:52:54 UTC

Post by Peter Moeckli
Falsch. Den Autorun schaltet man ja vorgängig ab, wenn man das System
grad frisch einrichtet.

"man"? Na ja ...

Sollte das Betruebssystem "Windows" heissen: AUTORUN wird dort schon
LANGE vom Hersteller abgeschaltet!

Nicht fuer Geraete, die sich dem System gegenueber als "Ich bin ein
CD-ROM !!!1elf" oder gar "Ich bin ein (USB)-Diskettenlaufwerk!!!1elf"
ausgeben.

Solche manipulierten USB-CD-ROMs-on-a-stick kannst du vermutlich im
Schwarzmarkt billig einkaufen, dort wo es auch keylogger u.ae. gibt.

Michael Paul

2011-06-22 12:45:42 UTC

Post by Juergen P. Meier
Solche manipulierten USB-CD-ROMs-on-a-stick kannst du vermutlich im
Schwarzmarkt billig einkaufen,

U3-Stick (Markenprodukt) vom örtlichen Blödmarkt reicht nicht?
Ansonsten fiele mir noch mein UMTS-STick ein, der sich erstmal
ebenfalls als CD-Laufwerk tarnt.
Oder ist "evil payload" bei deinem Szenario Voraussetzung?

Michael

Juergen P. Meier

2011-06-22 16:56:44 UTC

Post by Michael Paul
U3-Stick (Markenprodukt) vom örtlichen Blödmarkt reicht nicht?
Ansonsten fiele mir noch mein UMTS-STick ein, der sich erstmal
ebenfalls als CD-Laufwerk tarnt.
Oder ist "evil payload" bei deinem Szenario Voraussetzung?

Ja.

Stefan Kanthak

2011-06-23 15:54:02 UTC

Post by Peter Moeckli
Falsch. Den Autorun schaltet man ja vorgängig ab, wenn man das System
grad frisch einrichtet.

"man"? Na ja ...

Sollte das Betruebssystem "Windows" heissen: AUTORUN wird dort schon
LANGE vom Hersteller abgeschaltet!

Nicht fuer Geraete, die sich dem System gegenueber als "Ich bin ein
CD-ROM !!!1elf"

Soweit korrekt.

Post by Juergen P. Meier
oder gar "Ich bin ein (USB)-Diskettenlaufwerk!!!1elf" ausgeben.

Fuer Diskettenlaufwerke gips kein AUTORUN!

Post by Juergen P. Meier
Solche manipulierten USB-CD-ROMs-on-a-stick kannst du vermutlich im
Schwarzmarkt billig einkaufen, dort wo es auch keylogger u.ae. gibt.

Korrekt. Oder USB-xxx mit U3 (nicht) verwenden.

Stefan
[

Michael Paul

2011-06-28 09:57:15 UTC

Gemeinerweise sieht man es dem USB-Stick von aussen nicht unbedingt an,
ob er diese "U3" Funktionalitaet beeinhaltet ...

Dafür hat Sandisk doch extra ein schickes Logo designen lassen.
Marketingtechnisch wäre das Weglassen dieses Logos bei einem U3-Stick
daher ein schweres Vergehen ;-)

Michael

Stefan Kanthak

2011-06-19 18:32:37 UTC

Und was hätte die Virenklingel da genutzt? Wer den Autorun nicht
ausschaltet,

Das Hullen ist VOLLKOMMEN merkbefreit: AUTORUN wird schon LANGE durch
Sicherheitspatches von Microsoft abgeschaltet (genauer: ist nur noch
fuer CD-ROM aktiv).

Stefan
[

Helmut Hullen

2011-06-19 19:05:00 UTC

Hallo, Stefan,

Post by Helmut Hullen
Inzwischen wissen einige Leute, dass (mindestens) ein Virus diese
Option ausgenutzt hat. Bei einigen war das Kind bereits in den
Brunnen gefallen. Auch sie waren der Meinung, Brain 1.0 angewandt
zu haben.

Und was hätte die Virenklingel da genutzt? Wer den Autorun nicht
ausschaltet,

Das Hullen ist VOLLKOMMEN merkbefreit: AUTORUN wird schon LANGE durch
Sicherheitspatches von Microsoft abgeschaltet (genauer: ist nur noch
fuer CD-ROM aktiv).

Sagt unser Schreibaby ...

Seltsamerweise konnte "Conficker" sich trotzdem auch in grossen
Betrieben mit eigener IT-Abteilung ausbreiten. Trotz (oder wegen) Brain
1.0

Viele Gruesse!
Helmut

Burkhard Ott

2011-06-07 20:26:05 UTC

Post by Juergen Ilse
Wenn ich Mailanhaenge mit Namen wie *.com, *.exe oder *.scr bekomme,
benoetige ich weder einen Virenscanner noch sonderlich viel Intelligenz,
um von "hoechstwarscheinlich Malware, zumindest aber nichts was ich
ausfuehren moechte" zu erkennen. Die wenigen Ausnahmen, bei denen das
anders sein koennte, kann ich i.d.R. an den Fingern einer HAnd abzaehlen
(und meistens fuehre ich auch dann eine per Mail erhaltene solche Datei
nicht aus).

So far so good.

Mit .doc,xls etc sieht das click Verhalten dann aber schon wieder ganz
anders aus.

cheers

Stefan Kanthak

2011-06-07 20:45:59 UTC

Post by Burkhard Ott

Post by Juergen Ilse
Wenn ich Mailanhaenge mit Namen wie *.com, *.exe oder *.scr bekomme,
(und meistens fuehre ich auch dann eine per Mail erhaltene solche Datei
nicht aus).

So far so good.
Mit .doc,xls etc sieht das click Verhalten dann aber schon wieder ganz
anders aus.

Im Gegensatz zu den o.g. Dateien werden die aber nicht vom Betruebs-
system ausgefuehrt, sondern von einer Anwendung "interpretiert".
Ein Schaedling muesste zum Anrichten von Unheil im Hostsystem erst
aus der Anwendung ausbrechen; das ist durch einen Sandkasten vermeidbar.

Und: der ausgebrochene Schaedling muss wieder vom Betruebssystem
ausgefuehrt werden. Das laesst sich durch W^X im Dateisystem verhindern.

Stefan
[

Juergen Ilse

2011-06-07 19:43:08 UTC

Hallo,

Post by Michael Landenberger
letztens (genauer: am 2.6.2011, also vor 4 Tagen) flatterte mir eine
E-Mail mit einem Link zu einer ganz offensichtlichem Malware-Datei
[1] in die Inbox. Ich habe die verlinkte Datei sofort bei jotti.org
und virustotal.com hochgeladen. Ergebnis: nur 3 von 20 bzw. 30
Virenscannern erkannten den Schädling. Die von mir genutzten
Microsoft Security Essentials schöpften ebenfalls keinen Verdacht.
Als sich daran nach dem nächsten Signatur-Update nichts änderte,
habe ich mich entschlossen, die Malware zu Microsoft hochzuladen.
Ergebnis: seit dem 3.6.2011 erkennen die Microsoft Security
Essentials den Schädling. 1 Tag ohne Schutz dürfte aber gereicht
haben, um den ein oder anderen DAU-Rechner zu kapern.

Herzlichen Gluehstrumpf, du hast die inhaerente Schwaeche aller
Signatursysteme (AV-Scanner, IDS/IPS Systeme etc. pp.) erkannt.

Nein.

Doch.

Post by Helmut Hullen
Irgendwann wird das Dreckszeug von den allermeisten Scannern
erkannt, es handelt sich also nicht um eine "inhaerente Schwaeche".

Ist der "pruefende Rechner" bis zu diesem Zeitpunkt bereits kompromittiert,
ist die korrekte Funktionsweise des Scanners (und die Erkennung des Schaed-
lings) u.U. auch bei "uptodate Signaturen" nicht mehr gewaehrleistet.
Wenn dann noch etwas erkannt werden sollte, waere das reiner Zufall (oder
Unfaehigkeit des Schaedlingsautors oder beides). Damit ist es eine prinzi-
pielle Schwaeche, weil die Signaturen prinzipbedingt niemals "wirklich
aktuell" sein koennen sondern den neuen Entwicklungen der Schaedlinge
*immer* hinterherhinken.

Post by Michael Landenberger
Soviel zum Thema Virenscanner, Schutz und Sicherheit. Der
zuverlässigste Malware-Schutz ist offenbar immer noch Brain 2011.

Nein - nicht jeder Virus (o.ä.) ist derart leicht zu erkennen (oder
wenigstens zu verdächtigen).

Ich habe auch kein Problem damit, auf meinem Rechner keinen Scanner zu
haben. Der Grund, weshalb ich momentan trotzdem einen drauf habe (unter
Windows) ist, dass ich das als Referenz fuer evt. durch den Scanner ver-
ursachte Probleme verwende (da ich ein paar Rechner betreue, deren Be-
sitzer nicht auf einen Scanner verzichten wollen).

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Helmut Hullen

2011-06-07 20:01:00 UTC

Hallo, Juergen,

Post by Helmut Hullen
Irgendwann wird das Dreckszeug von den allermeisten Scannern
erkannt, es handelt sich also nicht um eine "inhaerente Schwaeche".

Ist der "pruefende Rechner" bis zu diesem Zeitpunkt bereits
kompromittiert, ist die korrekte Funktionsweise des Scanners (und die
Erkennung des Schaedlings) u.U. auch bei "uptodate Signaturen"
nicht mehr gewaehrleistet.

Stimmt. Aber das ist ein Grundproblem bei jedem Virus (oder Bakterie):
solange er/sie nicht erkannt wird, rutscht er/sie durch jedes
Prüfverfahren hindurch. Gilt auch für Brain 1.0.

Die Folgen einer Verseuchung sind übrigens komplett unabhängig vom
Virenscanner, sie taugen also nicht als Beleg für die Wirksamkeit oder
Unwirksamkeit von Scannern.

Post by Juergen Ilse
Wenn dann noch etwas erkannt werden sollte, waere das reiner Zufall
(oder Unfaehigkeit des Schaedlingsautors oder beides).

Nein.
Ich lagere meine Virensammlung auf einem Linux-Rechner, in einer ext2-
Partition. Für den Linux-Rechner sind sie alle ungefährlich.

Post by Juergen Ilse
Damit ist es eine prinzipielle
Schwaeche, weil die Signaturen prinzipbedingt niemals "wirklich
aktuell" sein koennen sondern den neuen Entwicklungen der Schaedlinge
*immer* hinterherhinken.

s.o. - das gilt für jedes Verfahren, Viren o.ä. aufzuspüren. Nicht
einzig für die Programme, die den Aufkleber "Virenscanner" haben.

Gerade liefen auf "arte" "Vom Digitalangriff zum Cyberkrieg" und "Die
Welt der Cyberpiraten"; was dort so ganz nebenbei z.B. über Stuxnet
erzählt wurde, ist mehr als erschreckend. Bleibt nur zu hoffen, dass den
Profis mein Rechner nicht interessant genug ist.

Viele Gruesse!
Helmut

Juergen Ilse

2011-06-08 04:46:50 UTC

Hallo,

Post by Helmut Hullen
Irgendwann wird das Dreckszeug von den allermeisten Scannern
erkannt, es handelt sich also nicht um eine "inhaerente Schwaeche".

solange er/sie nicht erkannt wird, rutscht er/sie durch jedes
Prüfverfahren hindurch. Gilt auch für Brain 1.0.

Liest du eigentlich manchmal auch, worauf du antwortest?

Das von mir beschriebene Szenario war:

1. Virus ist zu neu und wird (noch) nicht erkannt
2. Rechner mit Virenscanner wird infiziert
4. Virus modifiziert das System und/oder den Virenscanner dahingehend,
dass er selbst auch bei aktualisierten Signaturen nicht erkannt wird
5. Signaturen werden aktualisiert, Virus bleibt trotzdem (dauerhaft)
unbemerkt

Ein kompromittiertes System liefert keine vertrauenswuerdigen Daten
mehr, das heisst insbesondere, dass auch die Ergebnisse eines darauf
laufenden Virenscanners nicht mehr vertrauenswuerdig sind.
Da zwischen erstem auftreten eines neuen Schaedlings und dem erschei-
nen von Virenscanner/Signaturupdates mit denen der Schaedling erkannt
werden koennte *immer* zwischen mehreren Stunden und teils bis zu
einigen Wochen liegen, ist diese Zeitspanne (die keineswegs irrelevant
ist) eine inhaerente Schwaeche d Prinzips "Virenscanner, der auf dem
Host selbst aufgefuehrt wird" (und damit nahezu aller ueblichen Viren-
scanner-Installationen bei Privatleuten).

Post by Helmut Hullen
Die Folgen einer Verseuchung sind übrigens komplett unabhängig vom
Virenscanner, sie taugen also nicht als Beleg für die Wirksamkeit oder
Unwirksamkeit von Scannern.

Lerne zu verstehen, was ich geschrieben habe. Ich schrieb nicht von
den Folgen einer Verseuchung (abgesehen von der potentiellen Unwirk-
samkeit des Scanners nach der Verseuchung, und auf genau diesen Punkt
gehst du vorichtshalber nicht ein, weil er deine Argumentation ent-
kraeften wuerde).

Post by Juergen Ilse
Wenn dann noch etwas erkannt werden sollte, waere das reiner Zufall
(oder Unfaehigkeit des Schaedlingsautors oder beides).

Nein.

Doch, genau so ist es.

Post by Helmut Hullen
Gerade liefen auf "arte" "Vom Digitalangriff zum Cyberkrieg" und "Die
Welt der Cyberpiraten"; was dort so ganz nebenbei z.B. über Stuxnet
erzählt wurde, ist mehr als erschreckend.

... und lag zu wesentlichen Teilen an krasser Fehlkonfiguration der
betroffenen Rechner (auch wenn diese krasse Fehlkonfiguration *leider*
bei Windows der Default ist): "AUTOSTART" gehoert abgeschaltet, fuer
*alle* Medien. "AUTOSTART" ar schon immer bzgl. Sicherheit eine der
groessten KAtastrophen, die sich jemals jemand aus dem Hirn gequetsct
hat (dicht gefolgt vom "dokumentenzentrierten arbeiten", das den An-
wender zielstrebig davon abzuhalten versucht, den Unterschied zwischen
"Datei ansehen" und "Datei als Programm durchstarten" zu erkennen,
obwohl beides bei Sicherheitsbetrachtungen ein eklatanter Unterschied
ist, den auch der Anwender kennen sollte).

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Juergen P. Meier

2011-06-08 04:59:23 UTC

Post by Juergen Ilse
Liest du eigentlich manchmal auch, worauf du antwortest?

Spar dir die Muehe.

fup2p
Juergen

Helmut Hullen

2011-06-08 06:42:00 UTC

Hallo, Juergen,

Post by Helmut Hullen
Stimmt. Aber das ist ein Grundproblem bei jedem Virus (oder
Bakterie): solange er/sie nicht erkannt wird, rutscht er/sie durch
jedes Prüfverfahren hindurch. Gilt auch für Brain 1.0.

Liest du eigentlich manchmal auch, worauf du antwortest?

Doch - ja.

Post by Juergen Ilse
1. Virus ist zu neu und wird (noch) nicht erkannt
2. Rechner mit Virenscanner wird infiziert
4. Virus modifiziert das System und/oder den Virenscanner
dahingehend, dass er selbst auch bei aktualisierten Signaturen
nicht erkannt wird
5. Signaturen werden aktualisiert, Virus bleibt
trotzdem (dauerhaft) unbemerkt

Startpunkt war Jürgen P. Meiers Behauptung, dass (einzig?) Virenscanner
eine inhärente Schwäche derart hätten, dass sie ganz neues Dreckszeugs
nicht unbedingt erkennen. Damit beschäftigen sich Deine Punkte 1 und 2,
und was dort beschrieben ist, das gilt (u.a.) auch für Brain 1.0

Siehe Conficker, siehe Stuxnet - da wurden auch Systeme befallen, die
von fachkundigem Personal betrieben wurden.

Was Du in Punkt 4 und 5 beschreibst, das ist nur eines der Merkmale
jedes "intelligenten" Virus: er täuscht dem Anwender eine heiles System
vor. Siehe Stuxnet. Siehe Bundestrojaner.

Post by Juergen Ilse
Ein kompromittiertes System liefert keine vertrauenswuerdigen Daten
mehr,

Stimmt - aber das ist eine ganz andere Baustelle als die "inhärente
Schwäche".

Post by Juergen Ilse
Wenn dann noch etwas erkannt werden sollte, waere das reiner Zufall
(oder Unfaehigkeit des Schaedlingsautors oder beides).

Nein.

Doch, genau so ist es.

Gestern haben ClamAV und f-prot erstmals einen Virus in einem Paket
entdeckt, das ich am 4. Juni bekommen hatte. Aber das Paket kann keinen
Schaden anrichten. Genausowenig wie die anderen Pakete in dem
Verzeichnis.
Die pure Existenz eines Virenpakets auf einem Rechner besagt gar nichts.

Post by Helmut Hullen
Gerade liefen auf "arte" "Vom Digitalangriff zum Cyberkrieg" und
"Die Welt der Cyberpiraten"; was dort so ganz nebenbei z.B. über
Stuxnet erzählt wurde, ist mehr als erschreckend.

... und lag zu wesentlichen Teilen an krasser Fehlkonfiguration der
betroffenen Rechner

Ja und?
Auch dort arbeiten Menschen. Und es gibt vereinzelt Menschen, die ab und
zu Fehler machen. Darf ich vermuten, dass selbst Du ab und zu einen
Fehler machst?

Viele Gruesse!
Helmut

Ansgar -59cobalt- Wiechers

2011-06-08 08:36:15 UTC

[ irgendwas ]

Post by Juergen Ilse
Liest du eigentlich manchmal auch, worauf du antwortest?

Nein. Warum fütterst Du ihn immer noch?

cu
59cobalt

--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq

Helmut Hullen

2011-06-07 05:47:00 UTC

Hallo, Michael,

[...]

Post by Michael Landenberger
Soeben ergab ein neuer Versuch mit jotti.org und virustotal.com, dass
einige namhafte Virenscanner den Schädling nach satten 4 Tagen immer
noch nicht erkennen, als da wären ClamAV, F-Prot, NOD32, Panda
Antivirus und Sophos. Auch einige weniger verbreitete Virenscanner
schöpfen noch keinen Verdacht. Wer sich also auf einen dieser Scanner
verlässt, ist verlassen.
Soviel zum Thema Virenscanner, Schutz und Sicherheit. Der
zuverlässigste Malware-Schutz ist offenbar immer noch Brain 2011.
[1] Die Malware war in einem ZIP-Archiv namens Order.zip enthalten,

Ja - ähnliches Ergebnis mit "DHL mail.zip"; wird ebenfalls von einigen
Scannern immer noch nicht erkannt. Die Online-Mailscanner lassen sich
inzwischen leicht unterlaufen.

Test mit o.g. "Orders.zip" bei "jotti.org": 12 von 20 Scannern haben
Malware gemeldet.
Nieten u.a. bei Avast, F-Prot, Nod32 und Panda.

Desgleichen mit "DHL mail.zip": 11 von 20 Scannern haben Malware
gemeldet.
Nieten u.a. bei Avast, ClamAV, Dr.Web und Panda.

Viele Gruesse!
Helmut

Michael Landenberger

2011-06-08 10:49:20 UTC

Post by Helmut Hullen
Test mit o.g. "Orders.zip" bei "jotti.org": 12 von 20 Scannern
haben Malware gemeldet.
Nieten u.a. bei Avast, F-Prot, Nod32 und Panda.

Kleiner Nachtrag: die Datei kann nach wie vor von
<http://wordpresslochness.com> heruntergeladen werden, obwohl ich den
Betreiber der Seite schon vor 2 Tagen über die Malware auf seinem Server
informiert habe. Sollte ich weitere Maßnahmen unternehmen, beispielsweise
den Webhoster informieren?

Einen neuen Test bei jotti.org & Co. spare ich mir jetzt. Ich müsste dazu
den Schädling nochmal runterladen, und das gegen den erbitterten Widerstand
meiner Microsoft Security Essentials (die den Schädling ja inzwischen
erkennen) tun zu müssen, ist mir zu mühsam.

Gruß

Michael

Helmut Hullen

2011-06-08 11:06:00 UTC

Hallo, Michael,

Post by Helmut Hullen
Test mit o.g. "Orders.zip" bei "jotti.org": 12 von 20 Scannern
haben Malware gemeldet.
Nieten u.a. bei Avast, F-Prot, Nod32 und Panda.

Könnte sinnvoll sein - schaden kann ein solcher Hinweis gewiss nicht.

Post by Michael Landenberger
Einen neuen Test bei jotti.org & Co. spare ich mir jetzt.

Gerade eben: 13 von 20 Scannern haben einen Virus erkannt - ClamAV hat
upgedatet.

Viele Gruesse!
Helmut

Juergen P. Meier

2011-06-09 04:04:37 UTC

Post by Michael Landenberger
Kleiner Nachtrag: die Datei kann nach wie vor von
<http://wordpresslochness.com> heruntergeladen werden, obwohl ich den
Betreiber der Seite schon vor 2 Tagen über die Malware auf seinem Server
informiert habe. Sollte ich weitere Maßnahmen unternehmen, beispielsweise
den Webhoster informieren?

Den Hoster (und ISP) zu informieren haette deine erste Reaktion sein
muessen.

Der Seitenbetreiber selbst ist ob der offensichtlichen
Kompromittierung mit hoher Wahrscheinlichkeit garnicht mehr direkt
erreichbar, und du hast vermutlich nur denjenigen, der das
Schadprogramm eingestellt hat informiert...

Das ist wieder das Kompromittierungsproblem: ein gehostetes System,
dass uebernommen wurde beeinhaltet idR. nicht nur den Web-Service
sondern auch den Mailservice. D.h. Deine Mail an den "Seitenbetreiber"
erreicht vermutlich nur den Angreifer.

Darum immer auch gleich den Hoster und ggf. den ISP informieren.
Der hat idR. die echten Kontaktdaten seines (zahlenden) Kunden und
kann sofort reagieren.

Juergen

Michael Landenberger

2011-06-09 10:57:19 UTC

Post by Juergen P. Meier
Den Hoster (und ISP) zu informieren haette deine erste Reaktion
sein muessen.

Ok, dann werde ich das jetzt nachholen. Hoster ist ThePlanet.com, wie sind
die Erfahrungen mit dessen Abusedesk?

Gruß

Michael

Ralph Angenendt

2011-06-09 12:10:29 UTC

Post by Juergen P. Meier
Den Hoster (und ISP) zu informieren haette deine erste Reaktion
sein muessen.

Ok, dann werde ich das jetzt nachholen. Hoster ist ThePlanet.com, wie sind
die Erfahrungen mit dessen Abusedesk?

Gibt es nicht mehr. The Planet ist von Softlayer aufgekauft worden, mit
deren *support* ich recht zufrieden bin. Wie deren Abuse ist, weiß ich
nicht. Also im Ernstfall mal bei beiden Abusedesks probieren.

http://www.softlayer.com/press/release/501/softlayer-and-the-planet-begin-merged-operations

Ralph

--
Wir sind gekommen, die Geschenke abzuholen

Nicht schreiben können: http://lestighaniker.de/

Karl-Josef Ziegler

2011-06-10 07:39:42 UTC

Post by Michael Landenberger
Ok, dann werde ich das jetzt nachholen. Hoster ist ThePlanet.com, wie sind
die Erfahrungen mit dessen Abusedesk?

In Fachkreisen auch als 'Planet of Spam' bekannt. Das sagt eigentlich
alles...

Viele Grüße,

- Karl-Josef

Jens Hektor

2011-06-09 08:44:28 UTC

Einen neuen Test bei jotti.org & Co. spare ich mir jetzt. Ich müsste dazu den Schädling nochmal runterladen, und das gegen den erbitterten Widerstand meiner Microsoft Security Essentials (die den Schädling ja inzwischen erkennen) tun zu
müssen, ist mir zu mühsam.

MD5 ist: 62d9aa8cc192ffcf86a4c25b748a4dc3

Andreas M. Kirchwitz

2011-06-08 08:39:50 UTC

Dieser eine Schädling wird nicht erkannt, tausende von anderen schon.
Immer noch ein große Hilfe, wenn man sich sonst nicht anders zu helfen
weiss.

Es liegt in der Natur der Sache, dass erst mal ein paar Leute darunter
leiden müssen, bevor ein Schädling wahrgenommen wird. Leider nicht nur
bei Computern.

Post by Michael Landenberger
Soviel zum Thema Virenscanner, Schutz und Sicherheit. Der zuverlässigste
Malware-Schutz ist offenbar immer noch Brain 2011.

Wie man in der Praxis sieht, ist bei der Mehrheit der Anwender "Brain"
der mit Abstand mieseste Schutz, sonst gäbe es nämlich nicht so viele
verseuchte Computer.

Selbst Profis stehen vor dem Problem, was sie mit Daten von im Grunde
vertrauenswürdigen Personen oder Sites machen sollen. Die Personen
dahinter mögen nette Leute sein, die einem nichts Böses wollen, aber
trotzdem kommen viele Schädlinge ungewollt aus dem Freundeskreis oder
Arbeitsumfeld. Der Feind ist überall, doch dummerweise leben wir in
einer vernetzten Welt. "Offline" geht nicht mehr.

Eigentlich ist das auch gar nicht Aufgabe des Anwenders. Statt immer
dämlichere Features zur Bequemlichkeit einzubauen, sollten die Firmen
mal ein bisschen über die Sicherheit ihrer Produkte nachdenken. Man
sollte Firmen vielleicht auch mal haftbar machen für die Folgen von
Sicherheitsproblemen, so wie das bei vielen anderen Produkten üblich
ist. Dann würden sich die Firmen vielleicht mehr Mühe geben.

Wer sich nicht vernetzt, nicht viele "Apps" installiert und nicht
seine Daten mit anderen teilt, gerät ins Abseits. Die Sicherheits-
probleme können selbst Experten kaum noch überschauen. Aber das
ist vielleicht die moderne Variante der natürlichen Selektion.

Grüße, Andreas

Helmut Hullen

2011-06-08 09:37:00 UTC

Hallo, Andreas,

Dieser eine Schädling wird nicht erkannt, tausende von anderen schon.
Immer noch ein große Hilfe, wenn man sich sonst nicht anders zu
helfen weiss.

Klar - obiges Beispiel soll bitteschön nur das grundsätzliche Problem
von Online-Virenscannern zeigen. Nach einiger Zeit (von Hersteller zu
Hersteller verschieden) finden sie alle auch die neuen Viren.

Ist genauso wie bei Brain 1.0 - sobald der Mechanismus von "conficker"
bekannt war, war es recht einfach, auch den Schutz gegen diesen Virus
nachzurüsten. Hinterher.

Bei einigen Betrieben war aber das Kind bereits im Brunnen ...

Post by Andreas M. Kirchwitz
Es liegt in der Natur der Sache, dass erst mal ein paar Leute
darunter leiden müssen, bevor ein Schädling wahrgenommen wird. Leider
nicht nur bei Computern.

Eben - soviel zum Bestreben, einen 100-prozentigen Schutz anzustreben.

Post by Andreas M. Kirchwitz
Eigentlich ist das auch gar nicht Aufgabe des Anwenders. Statt immer
dämlichere Features zur Bequemlichkeit einzubauen, sollten die Firmen
mal ein bisschen über die Sicherheit ihrer Produkte nachdenken. Man
sollte Firmen vielleicht auch mal haftbar machen für die Folgen von
Sicherheitsproblemen, so wie das bei vielen anderen Produkten üblich
ist. Dann würden sich die Firmen vielleicht mehr Mühe geben.

Hmmm - interessanter Ansatz ...

Post by Andreas M. Kirchwitz
Wer sich nicht vernetzt, nicht viele "Apps" installiert und nicht
seine Daten mit anderen teilt, gerät ins Abseits. Die Sicherheits-
probleme können selbst Experten kaum noch überschauen. Aber das
ist vielleicht die moderne Variante der natürlichen Selektion.

So wie bei ungeschütztem Koitus und beim Komasaufen? Auch da fehlt es
den Anwendern nicht an den nötigen Informationen.

Viele Gruesse!
Helmut

Peter Moeckli

2011-06-11 20:36:20 UTC

Post by Helmut Hullen
Klar - obiges Beispiel soll bitteschön nur das grundsätzliche Problem
von Online-Virenscannern zeigen. Nach einiger Zeit (von Hersteller zu
Hersteller verschieden) finden sie alle auch die neuen Viren.

Online-Scanner wie z.B. Virus Total testen eine hochgeladene Datei mit
einer Vielzahl von Virenrateprogrammen. Sie haben aber selber keinen
Einfluss auf die Signaturen dieser Scanner, sie sorgen lediglich dafür,
dass sie stets aktuell sind.

Das Problem liegt bei den Herstellern der Virenrateprogramme. Die
brauchen (zu) lange, um auf neue Schädlinge zu reagieren. Weil die neuen
Schädlinge immer erst auf dem Radar dieser Firmen auftauchen müssen,
damit sie sie analysieren und eine Signatur erstellen können. Z.B. weil
Anwender verdächtige Dateien zu ihnen senden.

Die Autoren der Schädlinge bemühen sich umgekehrt darum, dass ihre
Schädlinge möglichst lange unerkannt bleiben. Etwa, indem sie auf eine
vergleichsweise geringe Verbreitung der einzelnen Varianten achten. In
der Summe aller Varianten ergibt sich dann immer noch eine grosse Zahl
von Opfern.

Post by Helmut Hullen
Ist genauso wie bei Brain 1.0 - sobald der Mechanismus von "conficker"
bekannt war, war es recht einfach, auch den Schutz gegen diesen Virus
nachzurüsten. Hinterher.

Falsch. Brain kümmert sich, wie in meiner anderen Antwort schon erwähnt,
auch um grundlegende Vorkehrungen. Wenn kein Autorun, dann auch keine
Gefahr von Conficker o.ä. über diesen Kanal. Auch schon bevor es
Conficker gab.

CU
Peter

Helmut Hullen

2011-06-12 05:43:00 UTC

Hallo, Peter,

Du meintest am 11.06.11:

[...]

Post by Helmut Hullen
Ist genauso wie bei Brain 1.0 - sobald der Mechanismus von
"conficker" bekannt war, war es recht einfach, auch den Schutz gegen
diesen Virus nachzurüsten. Hinterher.

Falsch. Brain kümmert sich, wie in meiner anderen Antwort schon
erwähnt, auch um grundlegende Vorkehrungen. Wenn kein Autorun, dann
auch keine Gefahr von Conficker o.ä. über diesen Kanal. Auch schon
bevor es Conficker gab.

Hmmm - da auch grosse Systeme befallen wurden, auch Systeme, die
durchaus professionell betreut wurden: gibt es demnach verschiedene
Versionen von Brain 1.0?

Und jeder hofft, dass er eine 100-Prozent-Version hat (und merkt
irgendwann, dass auch er nur die Low-Level-Version erwischt hat).

Viele Gruesse!
Helmut

Juergen Ilse

2011-06-08 09:42:02 UTC

Hallo,

Post by Michael Landenberger
Soviel zum Thema Virenscanner, Schutz und Sicherheit. Der zuverlässigste
Malware-Schutz ist offenbar immer noch Brain 2011.

Wie man in der Praxis sieht, ist bei der Mehrheit der Anwender "Brain"
der mit Abstand mieseste Schutz, sonst gäbe es nämlich nicht so viele
verseuchte Computer.

Dann ist die beste Abhilfe immer noch, die Anwender "weiterzubilden",
damit "Brain" besser funktioniert.

Post by Andreas M. Kirchwitz
Selbst Profis stehen vor dem Problem, was sie mit Daten von im Grunde
vertrauenswürdigen Personen oder Sites machen sollen.

Solange ich vom Absender nicht die Bestaetigung habe, dass er bewusst
und gewollt binaries an mich versendet hat, werde ich ausfuehrbare
Dateien im Mail-Attachement nicht oeffnen. Klingt einfach (und ist es
im Grunde genommen auch).

Vielleicht, ja.

Post by Andreas M. Kirchwitz
Wer sich nicht vernetzt, nicht viele "Apps" installiert und nicht
seine Daten mit anderen teilt, gerät ins Abseits.

Einen wesentlichen Teil der von dir beschriebenen Punkte betreibe ich
*nicht*, und ich habe trotzdem nicht den Eindruck, dadurch "ins Abseits"
zu geraten ...

Post by Andreas M. Kirchwitz
Die Sicherheitsprobleme können selbst Experten kaum noch überschauen.

Deshalb sind Aktionen wie "teilen von persoenlichen Daten", "Apps aus
allen moeglichen Quellen installieren" etc. auch nur massvoll unter
Nutzung von "Brain" zu vollziehen und nicht (wie heute leider nicht
unbedingt unueblich) voellig kritiklos, ohne nachzudenken und ohne
massvolle Beschzraenkung auf das notwendige.

Post by Andreas M. Kirchwitz
Aber das ist vielleicht die moderne Variante der natürlichen Selektion.

Moeglicherweise.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Lars Gebauer

2011-06-08 09:57:01 UTC

Post by Andreas M. Kirchwitz
Selbst Profis stehen vor dem Problem, was sie mit Daten von im Grunde
vertrauenswürdigen Personen oder Sites machen sollen.

Ganz einfach, ja. Selbstverständlich weiß der Absender gar nicht, daß er
Dir einen Link auf eine verseuchte Webseite, eine verseuchte Datei oder
sonstwas geschickt hat.

Deswegen fällt es ihm leicht, Dir die gewünschte Bestätigung zu geben.

Ganz einfach.

Juergen Ilse

2011-06-08 14:16:52 UTC

Hallo,

Post by Andreas M. Kirchwitz
Selbst Profis stehen vor dem Problem, was sie mit Daten von im Grunde
vertrauenswürdigen Personen oder Sites machen sollen.

Ganz einfach, ja. Selbstverständlich weiß der Absender gar nicht, daß er
Dir einen Link auf eine verseuchte Webseite, eine verseuchte Datei oder
sonstwas geschickt hat.

Nun ist ploetzlich nicht mehr von Attachements sondern von Links die
Rede? OK, warum sollte ich den Links in der Mail folgen und ggfs. noch
von dort Software herunterladen (ohne sie verifizieren zu koennen) und
dann die unverifizierte Software auch noch starten?
Und wer sein Mailprogramm so eingestellt hat, dass dieser Kram automatisch
geoeffnet wird, sollte das schnellstmoeglich korrigieren.

Post by Lars Gebauer
Deswegen fällt es ihm leicht, Dir die gewünschte Bestätigung zu geben.
Ganz einfach.

Wenn er nicht weiss, dass er so einen Kram mitgesendet hat, kann dieser
Kram nicht wichtig gewesen sein und muss auch nicht geoeffnet werden.
Ja, das ist so einfach. Zumindest fuer mich.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Lars Gebauer

2011-06-08 14:31:37 UTC

Post by Andreas M. Kirchwitz
Selbst Profis stehen vor dem Problem, was sie mit Daten von im Grunde
vertrauenswürdigen Personen oder Sites machen sollen.

Ganz einfach, ja. Selbstverständlich weiß der Absender gar nicht, daß er
Dir einen Link auf eine verseuchte Webseite, eine verseuchte Datei oder
sonstwas geschickt hat.

Nun ist ploetzlich nicht mehr von Attachements sondern von Links die
Rede?

Es ist im Grunde völlig schnuppe, ob "Schau' Dir mal diese Webseite an"
oder "Schau' Dir mal diese Datei an" in der Mail steht.

Post by Juergen Ilse
OK, warum sollte ich den Links in der Mail folgen und ggfs. noch
von dort Software herunterladen (ohne sie verifizieren zu koennen) und
dann die unverifizierte Software auch noch starten?

Weil Du und Dein Kommunikationspartner an einem Projekt arbeiten zu dem
dies nützlich wäre & Dir Dein Kommunikationsparter die gewünschte
Bestätigung ("bewußt und gewollt") gegeben hat.

Post by Juergen Ilse
Und wer sein Mailprogramm so eingestellt hat, dass dieser Kram automatisch
geoeffnet wird, sollte das schnellstmoeglich korrigieren.

Und *das* hat nun damit gar nichts zu tun.

Post by Lars Gebauer
Deswegen fällt es ihm leicht, Dir die gewünschte Bestätigung zu geben.
Ganz einfach.

Wenn er nicht weiss, dass er so einen Kram mitgesendet hat, kann dieser
Kram nicht wichtig gewesen sein und muss auch nicht geoeffnet werden.

Ahem. Wie bitte?

Post by Juergen Ilse
Ja, das ist so einfach. Zumindest fuer mich.

Manchmal ist es sogar zu einfach.

Juergen Ilse

2011-06-09 08:22:00 UTC

Hallo,

Post by Juergen Ilse
Nun ist ploetzlich nicht mehr von Attachements sondern von Links die
Rede?

Es ist im Grunde völlig schnuppe, ob "Schau' Dir mal diese Webseite an"
oder "Schau' Dir mal diese Datei an" in der Mail steht.

Es ist ein Unterschied, weil beim binary executable Attachement nicht
von "anschauen" sondern um "ausfuehren" geht. Du kommst also von der
"direkten Ausfuehrung eines Schadprogramms" zur "Kompromittierung des
Webbrowsers durch kaputte Webbrowserkonfiguration oder ungepatchte
Sicherheitsluecken im Browser". Letzteres legt (sofern man sein System
und die installierte Software aktuell haelt, was zu sinnvoller System-
administration *zwingend* dazugehoert) die Latte fuer den Angreifer
noch einmal erheblich hoeher.

Weil Du und Dein Kommunikationspartner an einem Projekt arbeiten zu dem
dies nützlich wäre & Dir Dein Kommunikationsparter die gewünschte
Bestätigung ("bewußt und gewollt") gegeben hat.

Wenn die Bestaetigung nicht *bewusst* und *ausdruecklich* gegeben wurde,
starte ich das Attachement dennoch nicht.

Post by Juergen Ilse
Und wer sein Mailprogramm so eingestellt hat, dass dieser Kram automatisch
geoeffnet wird, sollte das schnellstmoeglich korrigieren.

Und *das* hat nun damit gar nichts zu tun.

Doch, hat es.

Post by Lars Gebauer
Deswegen fällt es ihm leicht, Dir die gewünschte Bestätigung zu geben.
Ganz einfach.

Wenn er nicht weiss, dass er so einen Kram mitgesendet hat, kann dieser
Kram nicht wichtig gewesen sein und muss auch nicht geoeffnet werden.

Ahem. Wie bitte?

Wenn ein binary executable Attachement in der Mail wichtig waere, wuerde
der Absender explizit darueber informieren. Tut er dass nicht, betrachte
ich so etwas als "nicht wichtig genug, um den Muell auchz noch zu starten
zu versuchen".

Post by Juergen Ilse
Ja, das ist so einfach. Zumindest fuer mich.

Manchmal ist es sogar zu einfach.

Nein.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Lars Gebauer

2011-06-09 10:47:54 UTC

Post by Juergen Ilse
Nun ist ploetzlich nicht mehr von Attachements sondern von Links die
Rede?

Es ist im Grunde völlig schnuppe, ob "Schau' Dir mal diese Webseite an"
oder "Schau' Dir mal diese Datei an" in der Mail steht.

Es ist ein Unterschied,

Du hast recht. Es ist ein wahrhaft gigantischer Unterschied. Ein
riesengroßes Brett vor'm Kopf hinderte mich ihn zu sehen.

Weil Du und Dein Kommunikationspartner an einem Projekt arbeiten zu dem
dies nützlich wäre & Dir Dein Kommunikationsparter die gewünschte
Bestätigung ("bewußt und gewollt") gegeben hat.

Wenn die Bestaetigung nicht *bewusst* und *ausdruecklich* gegeben wurde,
starte ich das Attachement dennoch nicht.

*Er hat* bewußt, ausdrücklich und gewollt...

Post by Juergen Ilse
Und wer sein Mailprogramm so eingestellt hat, dass dieser Kram automatisch
geoeffnet wird, sollte das schnellstmoeglich korrigieren.

Und *das* hat nun damit gar nichts zu tun.

Doch, hat es.

Aho? Es ging um *Deine* Vorgabe. Die hat erstmal nix mit den
Einstellungen des Mailprogramm zu tun.

Post by Juergen Ilse
Wenn er nicht weiss, dass er so einen Kram mitgesendet hat, kann dieser
Kram nicht wichtig gewesen sein und muss auch nicht geoeffnet werden.

Ahem. Wie bitte?

Wenn ein binary executable Attachement in der Mail wichtig waere, wuerde
der Absender explizit darueber informieren.

Genau das tut er. Gemäß *Deiner* Vorgabe. Er tut es, weil er nicht weiß
was noch da drinne steckt.

Post by Juergen Ilse
Ja, das ist so einfach. Zumindest fuer mich.

Manchmal ist es sogar zu einfach.

Nein.

Du machst es Dir einfach. Weil Du Deine eigenen Vorgaben beliebig
zurecht biegst.

Helmut Hullen

2011-06-08 10:49:00 UTC

Hallo, Juergen,

Post by Michael Landenberger
Soviel zum Thema Virenscanner, Schutz und Sicherheit. Der
zuverlässigste Malware-Schutz ist offenbar immer noch Brain 2011.

Wie man in der Praxis sieht, ist bei der Mehrheit der Anwender
"Brain" der mit Abstand mieseste Schutz, sonst gäbe es nämlich nicht
so viele verseuchte Computer.

Dann ist die beste Abhilfe immer noch, die Anwender "weiterzubilden",
damit "Brain" besser funktioniert.

Und wie soll das in der Praxis aussehen?
So wie bei der Weiterbildung "Poppen nur mit Gummi" oder bei der
Weiterbildung "Komasaufen nur bis 1,5 Promille" oder "Beachten Sie auch
auf der Autobahn die Geschwindigkeitsbegrenzungen"?

Die Informationen liegen allesamt vor, seit Jahren. Aber noch gibt es
kein mit den Menschenrechten vereinbares Verfahren, jeden möglichen
Anwender dazu zu zwingen, diese Informationen aufzunehmen und stets
anzuwenden.

Viele Gruesse!
Helmut

Juergen Ilse

2011-06-08 14:20:24 UTC

Hallo,

Post by Helmut Hullen
Die Informationen liegen allesamt vor, seit Jahren. Aber noch gibt es
kein mit den Menschenrechten vereinbares Verfahren, jeden möglichen
Anwender dazu zu zwingen, diese Informationen aufzunehmen und stets
anzuwenden.

Bei lernunwilligen an von mir betreuten Rechnern, die auch nach Hinweis und
evt. Verwarnung den Mist nicht lassen, wird der Account gesperrt und die
Wartung der Systeme durch mich eingestellt. Da ich solche Client-PCs nicht
beruflich warten muss, ist die Sache fuer mich tatsaechlich so einfach.
In Firmen koennte (nach entsprechender Ruecksprache mit Firmenleitung
und ggfs. Betriebsrat) die Nichteinhaltung der einfachsten Regeln zu
einer Abmahnung fuehren.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Helmut Hullen

2011-06-08 14:38:00 UTC

Hallo, Juergen,

Post by Helmut Hullen
Die Informationen liegen allesamt vor, seit Jahren. Aber noch gibt
es kein mit den Menschenrechten vereinbares Verfahren, jeden
möglichen Anwender dazu zu zwingen, diese Informationen aufzunehmen
und stets anzuwenden.

Bei lernunwilligen an von mir betreuten Rechnern, die auch nach
Hinweis und evt. Verwarnung den Mist nicht lassen, wird der Account
gesperrt und die Wartung der Systeme durch mich eingestellt.

Das mag in Firmen funktionieren, jedenfalls bei der derzeitigen
Arbeitsmarkt-Situation.

Das hakt schon in Schulen, sowohl bei den Schülern als auch bei den
Kollegen.

Und das hakt ganz gewaltig beim Endanwender in seinem stillen
Kämmerlein: da ist er der BOFH und erlaubt sich alles.

Viele Gruesse!
Helmut

Andreas M. Kirchwitz

2011-06-08 22:07:20 UTC

Post by Andreas M. Kirchwitz
Selbst Profis stehen vor dem Problem, was sie mit Daten von im Grunde
vertrauenswürdigen Personen oder Sites machen sollen.

Ausführbare Programme sind seit Jahren wohl weniger das Problem,
sondern eher manipulierte Daten, die Sicherheitslücken in der
entsprechenden Darstellungsanwendung auszunutzen versuchen.

Das kann eine PDF-Datei sein, das kann aber auch schon ein
eingebettetes Bild sein. Dass der Absender willentlich etwas
verschickt hat, garantiert nicht, dass die Daten nicht von
einem Schädling auf dessen System ohne sein Wissen manipuliert
worden sind.

Als Empfänger steht man dumm da - Profi und Laie gleichermaßen.
Zuverlässigen Schutz gibt es keinen. Die Strategie ist also, so viele
praxistaugliche Maßnahmen wie möglich zu ergreifen, um das Risiko mit
jedem Schritt zu verringern.

Ein Virenscanner ("on demand") hilft dabei. Oder lädst Du jedes PDF,
jede Excel-Tabelle, jedes Word-Document oder gar jedes Bild erst mal
in einen Hex-Editor und analysierst es von Hand? Sicherlich nicht. ;-)

Natürlich gibt es noch viele weitere Maßnahmen. Aber um die ging es
hier ja nicht. Beispielsweise Updates einspielen, Rechner vernünftig
konfigurieren und auch mal das Gehirn einschalten, das alles ist jedem
Anwender ebenfalls zu empfehlen.

Zuverlässigen Schutz gibt es nicht. Kann es nicht geben. Man kann
durch Kombination von Maßnahmen des Risiko aber erheblich verringern.
Sich auf eine Maßnahme allein zu verlassen, war noch nie gut. Gilt
nicht nur für Computer.

Viele Grüße, Andreas

Juergen Ilse

2011-06-09 08:35:29 UTC

Hallo,

Post by Andreas M. Kirchwitz
Selbst Profis stehen vor dem Problem, was sie mit Daten von im Grunde
vertrauenswürdigen Personen oder Sites machen sollen.

Ausführbare Programme sind seit Jahren wohl weniger das Problem,

Es kommt immer noch oefters vor, dass so lustige Mailattachements mit
Endung .pdf.exe oder (noch gemeiner, weil weniger bekannt) .pdf.scr
in der Mailbox aufschlagen.

Post by Andreas M. Kirchwitz
sondern eher manipulierte Daten, die Sicherheitslücken in der
entsprechenden Darstellungsanwendung auszunutzen versuchen.

... die die Virenscanner nur in Ausnahmefaellen erkennen, und selbst wenn,
dann im schlimmsten Fall auch noch zu spaet ...

Eben. Und um diese Empfehlung ging es, und der Ursprung des Threads
wies anhand eines Beispiels darauf hin, dass ein Virenscanner kein
Ersatz fuer diese *notwendigen* Massnahmen sein kann.

Post by Andreas M. Kirchwitz
Zuverlässigen Schutz gibt es nicht. Kann es nicht geben. Man kann
durch Kombination von Maßnahmen des Risiko aber erheblich verringern.

Da der Virenscanner aber kein verlaesslichen Informationen ueber "nicht
Infektionen" liefern kann, sondern im besten Fall nur bestimmte Infektionen
erkennen kann (aber eine einzige Infektion, die nicht erkannt wird zur
Kompromittierung des Systems genuegt), stellt er (bei kompetent adminis-
trierten Systemen und verantwortungsvollen Nutzern) die unwichtigste und
unzuverlaessigste Massnahme dar, die im Falle einer "Fehlerkennung" im
schlimmsten Fall sogar selbst das komplette System ausser Kraft setzen
kann (Beispiele fuer so etwas gab es von fast allen grossen Herstellern
schon mindestens einmal, wo eine wichtige Systemdatei als infiziert er-
kannt und in Quarantaene verschoben wurde, was dann das gesamte System
unbrauchbar machte). Ob man den (geringen) Nutzen des Virenscanners bei
Nutzung der anderen Massnahmen als hoch genug betrachtet, um dieses
Risiko (Virenscanner legt das gesamte System lahm) und die teils recht
deutlichen Performance-Einbussen durch OnAccess-Scanner zu kompensieren,
muss jeder fuer sich selbst entscheiden. Aber dann ist die Entscheidung
"pro Virenscanner" alles andere als selbstverstaendlich.

Tschuess,
Juergen Ilse (***@usenet-verwaltugn.de)

--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Helmut Hullen

2011-06-09 09:54:00 UTC

Hallo, Juergen,

Eben. Und um diese Empfehlung ging es, und der Ursprung des Threads
wies anhand eines Beispiels darauf hin, dass ein Virenscanner kein
Ersatz fuer diese *notwendigen* Massnahmen sein kann.

Das hat ja auch nicht der Erstfrager behauptet, sondern das ("Ersatz für
...") hat Jürgen P. als Argument gegen Virenscanner aus dem Hut
gezaubert, um auf dieses Schein-Argument dann einzudreschen.

Viele Gruesse!
Helmut

Stefan Kanthak

2011-06-09 17:44:54 UTC

Post by Andreas M. Kirchwitz
Selbst Profis stehen vor dem Problem, was sie mit Daten von im Grunde
vertrauenswürdigen Personen oder Sites machen sollen.

~~~~~~~~~~~~~~~~~~~~~~~~~

Post by Andreas M. Kirchwitz
jedem Schritt zu verringern.
Ein Virenscanner ("on demand") hilft dabei.

Vielleicht. Oder auch nicht. Oder doch?

1. Welcher ONU prueft jede Datei, die er aus externen Quellen erhaelt,
explizit und manuell vor dem "Oeffnen"?`

2. Welcher Virenscanner erkennt alle^Wdie Manipulationen, die die
Luecken in den entsprechenden Anwendungen ausnutzen?

Heute, beim Ausbruch des Schaedlings! Nicht in xxx Tagen, nach
dessen Analyse beim AV-Hersteller und nach dem Update der Signaturen.

Post by Andreas M. Kirchwitz
Oder lädst Du jedes PDF,
jede Excel-Tabelle, jedes Word-Document oder gar jedes Bild erst mal
in einen Hex-Editor und analysierst es von Hand? Sicherlich nicht. ;-)

Welcher ONU scannt jedes PDF, jede Excel-Tabelle, jedes Word-Dokument
und jedes Bild erst mal von Hand mit seinem Virenscanner?
MERKST DU WAS?

Post by Andreas M. Kirchwitz
Natürlich gibt es noch viele weitere Maßnahmen. Aber um die ging es
hier ja nicht. Beispielsweise Updates einspielen, Rechner vernünftig
konfigurieren und auch mal das Gehirn einschalten, das alles ist jedem
Anwender ebenfalls zu empfehlen.
Zuverlässigen Schutz gibt es nicht. Kann es nicht geben. Man kann
durch Kombination von Maßnahmen des Risiko aber erheblich verringern.
Sich auf eine Maßnahme allein zu verlassen, war noch nie gut. Gilt
nicht nur für Computer.

Typischerweise verwendet ONU (wenn ueberhaupt) aber NUR den Virenscanner.
Und der ist prinzipbedingt als SCHUTZ-Massnahme ungeeignet.

Stefan
[

Helmut Hullen

2011-06-09 18:39:00 UTC

Hallo, Stefan,

Post by Stefan Kanthak
Typischerweise verwendet ONU (wenn ueberhaupt) aber NUR den
Virenscanner.

Aha.
Du verfügst sicherlich über verwertbare Untersuchungen.
Und Du weisst demnach, dass "der typische ONU" den Windows-Firewall
abschaltet.

Post by Stefan Kanthak
Und der ist prinzipbedingt als SCHUTZ-Massnahme ungeeignet.

Mal wieder eine in dieser Absolutheit falsche Behauptung.

Vom Kaliber "weil Kondome nicht 100-prozentig schützen, taugen sie nicht
als Schutzmassnahme".

Viele Gruesse!
Helmut

Ralph Lehmann

2011-06-09 20:04:45 UTC

Hallo!

Post by Stefan Kanthak
Und der ist prinzipbedingt als SCHUTZ-Massnahme ungeeignet.

Mal wieder eine in dieser Absolutheit falsche Behauptung.

Diese Diskussion wurde hier schon _so oft_ geführt. Ich fürchte, auch
dieses mal wird sie nicht fruchtbar enden.

ciao Ralph

Helmut Hullen

2011-06-09 20:25:00 UTC

Hallo, Ralph,

Post by Stefan Kanthak
Und der ist prinzipbedingt als SCHUTZ-Massnahme ungeeignet.

Mal wieder eine in dieser Absolutheit falsche Behauptung.

Diese Diskussion wurde hier schon _so oft_ geführt. Ich fürchte, auch
dieses mal wird sie nicht fruchtbar enden.

Diesmal vielleicht doch - Stefan hat mich in seinem Filter, er lässt mir
also das letzte Wort.

Ansonsten hätte er auch die Möglichkeit, nachzugeben und sich als der
Klügere zu fühlen.

Viele Gruesse!
Helmut

Stefan Kanthak

2011-06-09 21:37:48 UTC

Post by Ralph Lehmann
Hallo!

Post by Stefan Kanthak
Und der ist prinzipbedingt als SCHUTZ-Massnahme ungeeignet.

U_n_g_l_a_u_b_l_i_c_h: das Hullen hat's kapiert.

Post by Helmut Hullen
Mal wieder eine in dieser Absolutheit falsche Behauptung.

Naja, es widerspricht sich sofort selbst.

Stefan
[

Helmut Hullen

2011-06-10 05:26:00 UTC

Hallo, Stefan,

Post by Stefan Kanthak
Und der ist prinzipbedingt als SCHUTZ-Massnahme ungeeignet.

U_n_g_l_a_u_b_l_i_c_h: das Hullen hat's kapiert.

Nein - zitiert.
Schon am Schrei-Stil erkennbar.
Hat schon was, dass Du Deinen eigenen Text nicht wiedererkennst.

Viele Gruesse!
Helmut

Michael Landenberger

2011-06-08 10:41:46 UTC

Post by Andreas M. Kirchwitz
Wie man in der Praxis sieht, ist bei der Mehrheit der Anwender
"Brain" der mit Abstand mieseste Schutz, sonst gäbe es nämlich
nicht so viele verseuchte Computer.

Viele dieser verseuchten Computer gibt es ja nicht wegen Brain, sondern
wegen Abwesenheit von Brain ;-) Manche allerdings gibt es trotz Brain, da
hast du recht.

Gruß

Michael

Heiko Schlenker

2011-06-08 11:36:49 UTC

Dieser eine Schädling wird nicht erkannt, tausende von anderen schon.

Es käme aber darauf an, genau jenen Schädling zu erkennen. Wird er es
nicht, droht die Kompromittierung des Systems. Dieser eine Schädling
steht im konkreten Fall kurz vor der Ausführung, die tausenden anderen
nicht.

Post by Andreas M. Kirchwitz
Immer noch ein große Hilfe, wenn man sich sonst nicht anders zu
helfen weiss.

Das Problem in der Praxis ist aber, dass ein Virenscanner ungeeignet
ist, die Abwesenheit von Schädlingen festzustellen. Das hat Michael,
der Ursprungsposter, ja sehr schön gezeigt. Falls ein Virenscanner
meint, die Daten seien sauber, so heißt das noch lange nicht, dass
kein Schädling da ist. Es ist bloß keiner gefunden worden. Das ist
ein kleiner, aber wichtiger Unterschied.

Im Grunde genommen gehört ein Virenscanner nicht in die Hände von
unkundigen Personen, wegen des Risikos, sich in trügerischer
Scheinsicherheit zu wiegen. Ja, das ist eine ziemlich doofe
Situation ...

Gruß, Heiko

Helmut Hullen

2011-06-08 11:43:00 UTC

Hallo, Heiko,

Post by Heiko Schlenker

Post by Andreas M. Kirchwitz
Dieser eine Schädling wird nicht erkannt, tausende von anderen schon.

Es käme aber darauf an, genau jenen Schädling zu erkennen. Wird er es
nicht, droht die Kompromittierung des Systems.

Das gilt für jeden Schutzmechanismus, auch (z.B.) für Brain 1.0.

Kannst Du bitteschön mindestens 1 Verfahren zum Erkennen von Schädlingen
benennen, das *jeden* Schädling zuverlässig erkennt?

Viele Gruesse!
Helmut

Ralph Lehmann

2011-06-08 19:30:08 UTC

Post by Helmut Hullen
Hallo, Heiko,

Post by Heiko Schlenker

Post by Andreas M. Kirchwitz
Dieser eine Schädling wird nicht erkannt, tausende von anderen schon.

Es käme aber darauf an, genau jenen Schädling zu erkennen. Wird er es
nicht, droht die Kompromittierung des Systems.

Das gilt für jeden Schutzmechanismus, auch (z.B.) für Brain 1.0.
Kannst Du bitteschön mindestens 1 Verfahren zum Erkennen von Schädlingen
benennen, das *jeden* Schädling zuverlässig erkennt?

Vergiss es. Eine Diskussion mit Fundamentalisten ist noch nie fruchtbar
gewesen und wird es niemals sein. Dies ist prinzipiell nicht möglich.

ciao Ralph

Stefan Kanthak

2011-06-08 20:16:46 UTC

Post by Helmut Hullen
Kannst Du bitteschön mindestens 1 Verfahren zum Erkennen von Schädlingen
benennen, das *jeden* Schädling zuverlässig erkennt?

Vergiss es. Eine Diskussion mit Fundamentalisten ist noch nie fruchtbar
gewesen und wird es niemals sein. Dies ist prinzipiell nicht möglich.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Ich hab Dir die richtige Antwort unterstrichen.
Ist uebrigens eines der fundamentalen Prinzipien der Informatik.

Dummerweise ist Dein Vorposter merkbefreit, denn sonst wuerde er die
Frage gar nicht stellen.

Die richtige Frage dagegen ist: welche Verfahren/Vorkehrungen verhindern
mit welcher Zuverlaessigkeit die Ausfuehrung unerwuenschter Programme?

Stefan
[

Helmut Hullen

2011-06-08 21:04:00 UTC

Hallo, Stefan,

Post by Helmut Hullen
Kannst Du bitteschön mindestens 1 Verfahren zum Erkennen von
Schädlingen benennen, das *jeden* Schädling zuverlässig erkennt?

Vergiss es. Eine Diskussion mit Fundamentalisten ist noch nie
fruchtbar gewesen und wird es niemals sein. Dies ist prinzipiell
nicht möglich.

Dummerweise ist Dein Vorposter merkbefreit, denn sonst wuerde er die
Frage gar nicht stellen.

Ach was! Das war die Frage nach dem "ob".

Post by Stefan Kanthak
Die richtige Frage dagegen ist: welche Verfahren/Vorkehrungen
verhindern mit welcher Zuverlaessigkeit die Ausfuehrung
unerwuenschter Programme?

Na also - geht doch! Du meinst, dass nach dem "wie" zu fragen sei. Aber
dabei räumst Du klammheimlich ein, dass es kein Verfahren gibt, das
*jeden* Schädling zuverlässig erkennt.

Wobei Du unterstellst, dass die Zuverlässigkeit quantifizierbar sei.

Viele Gruesse!
Helmut

Ralph Lehmann

2011-06-08 21:08:34 UTC

Hallo!

Post by Helmut Hullen
Kannst Du bitteschön mindestens 1 Verfahren zum Erkennen von Schädlingen
benennen, das *jeden* Schädling zuverlässig erkennt?

Vergiss es. Eine Diskussion mit Fundamentalisten ist noch nie fruchtbar
gewesen und wird es niemals sein. Dies ist prinzipiell nicht möglich.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Ich hab Dir die richtige Antwort unterstrichen.

Du meinst sicher die Deiner Meinung nach richtige Antwort.

Post by Stefan Kanthak
Ist uebrigens eines der fundamentalen Prinzipien der Informatik.

Und dieses Prinzip schließt eben IMO auch die 100%i-ge Zuverlässigkeit
von Brain aus.

Post by Stefan Kanthak
Dummerweise ist Dein Vorposter merkbefreit, denn sonst wuerde er die
Frage gar nicht stellen.

Eigentlich lese ich Deine Posts sehr gern, regelmäßig und sehr
interessiert. Derlei Demagogie finde ich deshalb schade.

Post by Stefan Kanthak
Die richtige Frage dagegen ist: welche Verfahren/Vorkehrungen verhindern
mit welcher Zuverlaessigkeit die Ausfuehrung unerwuenschter Programme?

Dem kann ich allerdings nur zustimmen. Die Antwort auf Deine Frage
dürfte allerdings - je nach Lager - höchst unterschiedlich ausfallen.

Was IMO sehr typisch ist für Probleme, deren Lösungen meist weniger
sachlich als vielmehr religiös diskutiert werden.

In dieser NG passiert das IIRC nicht ganz selten ... :-p

ciao Ralph

Stefan Kanthak

2011-06-08 22:24:19 UTC

Post by Ralph Lehmann
Hallo!

Post by Helmut Hullen
Kannst Du bitteschön mindestens 1 Verfahren zum Erkennen von Schädlingen
benennen, das *jeden* Schädling zuverlässig erkennt?

Vergiss es. Eine Diskussion mit Fundamentalisten ist noch nie fruchtbar
gewesen und wird es niemals sein. Dies ist prinzipiell nicht möglich.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Ich hab Dir die richtige Antwort unterstrichen.

Du meinst sicher die Deiner Meinung nach richtige Antwort.

Falsch. Die prinzipiell und beweisbar richtige Antwort!

[...]

Post by Stefan Kanthak
Die richtige Frage dagegen ist: welche Verfahren/Vorkehrungen verhindern
mit welcher Zuverlaessigkeit die Ausfuehrung unerwuenschter Programme?

Dem kann ich allerdings nur zustimmen. Die Antwort auf Deine Frage
dürfte allerdings - je nach Lager - höchst unterschiedlich ausfallen.

Wirklich? Dir ist das OP entgangen!

Dreh die Frage um: welche Verfahren erlauben nur die Ausfuehrung
erwuenschter Programme?

Oder: ist die Anzahl [un]erwuenschter Programme endlich resp. die Menge
[un]erwuenschter Programme abzaehlbar?

Du kannst aber auch Bruce Schneier lesen:
<http://www.schneier.com/blog/archives/2011/01/whitelisting_vs.html>

Dummerweise finde ich das Interview der CEO von Trend Micro aus dem
WIMRE Jahre 2009 gerade nicht: die sagte damals doch tatsaechlich,
dass signaturbasierte Schaedlingserkennung gar nicht zuverlaessig ist
und ausgedient hat.

Stefan
[

Heiko Schlenker

2011-06-08 23:00:10 UTC

Post by Ralph Lehmann
Dies ist prinzipiell nicht möglich.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Post by Stefan Kanthak
Ich hab Dir die richtige Antwort unterstrichen.

Du meinst sicher die Deiner Meinung nach richtige Antwort.

Nö. Das ist eine Erkenntnis der theoretischen Informatik, mit der sich
jeder Informatik-Student bereits im Grundstudium zu beschäftigen hat.

Gruß, Heiko

Ralph Lehmann

2011-06-09 03:36:41 UTC

Post by Heiko Schlenker
Nö. Das ist eine Erkenntnis der theoretischen Informatik, mit der sich
jeder Informatik-Student bereits im Grundstudium zu beschäftigen hat.

Die Auseinandersetzung mit Fundamentalisten ist Bestandteil des
Grundstudiums?!1

Heiko Schlenker

2011-06-09 14:46:17 UTC

Post by Heiko Schlenker
Nö. Das ist eine Erkenntnis der theoretischen Informatik, mit der sich
jeder Informatik-Student bereits im Grundstudium zu beschäftigen hat.

Die Auseinandersetzung mit Fundamentalisten ist Bestandteil des
Grundstudiums?!1

Halteproblem und der Gödelsche Unvollständigkeitssatz.

Gruß, Heiko

Juergen P. Meier

2011-06-09 04:01:16 UTC

Dieser eine Schädling wird nicht erkannt, tausende von anderen schon.
Immer noch ein große Hilfe, wenn man sich sonst nicht anders zu helfen
weiss.

Das interessiert aber niemanden, wenn es dieser eine Schaedling ist,
der dein System kompromittiert.

Genau so wie bei EHEC: es interessiert die Leute auf der
Intensivstation wohl kaum, dass sie immun gegen diverse andere
Coli-Staemme sind, wenn sie Chancen auf einen Platz unter dem
Zentralfriedhof haben.

Juergen

Ralph Lehmann

2011-06-09 06:04:31 UTC

Hallo!

Post by Juergen P. Meier
Genau so wie bei EHEC: es interessiert die Leute auf der
Intensivstation wohl kaum, dass sie immun gegen diverse andere
Coli-Staemme sind

Genau! Und da wir die Ursache bisher nicht gefunden haben, essen wir ab
sofort einfach gar nichts mehr. Man kann ja nie wissen.

Helmut Hullen

2011-06-09 06:07:00 UTC

Hallo, Ralph,

Post by Juergen P. Meier
Genau so wie bei EHEC: es interessiert die Leute auf der
Intensivstation wohl kaum, dass sie immun gegen diverse andere
Coli-Staemme sind

Genau! Und da wir die Ursache bisher nicht gefunden haben, essen wir
ab sofort einfach gar nichts mehr. Man kann ja nie wissen.

Kein Problem!
"Johnny Walker, bist mein bester Freund ..."

Viele Gruesse!
Helmut

Anton Meyninger

2011-06-26 17:59:41 UTC