Discussion:
Und die AV-Software-Ablehner hier haben dann doch Recht?
(zu alt für eine Antwort)
Uwe Premer
2012-06-04 11:30:34 UTC
Permalink
http://heise.de/-1589640

Die AV-Hersteller seien so ziemlich machtlos gegen staatlich
hergestellte Schadsoftware, weil diese mit dermassen riesigen Budgets
erstellt worden seien, dass AV-Software einfach überrannt würde.

Heise meint zudem, dass wohl langsam auch nicht-staatliche AV-Ersteller
dermassen grosse Ressourcen zur Verfügung hätten, dass Entwicklungen von
Viren möglich seien, die von den AV-Herstellern nicht mehr entgegnet
werden könnten.

Die Frage ist, wo soll das letztendlich hinführen?

Uwe
Lars Gebauer
2012-06-04 12:26:09 UTC
Permalink
Post by Uwe Premer
http://heise.de/-1589640
Die AV-Hersteller seien so ziemlich machtlos gegen staatlich
hergestellte Schadsoftware, weil diese mit dermassen riesigen Budgets
erstellt worden seien, dass AV-Software einfach überrannt würde.
Einsicht ist der 1. Schritt zur Besserung?

| Der Virenexperte folgert aus den bisher bekannten Fällen, dass die
| Antivirenhersteller Ihre Nutzer zwar gegen alltägliche Bedrohungen
| wie Bank-Trojaner, Key-Logger oder E-Mail-Würmer schützen können,

Na ja. Was man eben alles so "Schutz" nennt ...

| nicht jedoch gegen spezielle Angriffe, die von Staaten mit nahezu
| unlimitierten Budgets ausgehen.

Nicht das Budget ist das Problem, sondern die simple Tatsache, daß es
sich um Malware handelte, die sich höchst unauffällig verhielt. Eine
Malware, mit der massenhaft Computer infiziert werden und die irgendwas
tut, was jedem Anwender ziemlich schnell sauer aufstößt ist natürlich
bedeutend auffälliger als eine Malware, die immer hübsch unter dem Radar
bleibt.

Das ist aber nicht neu. Mit den gängigen Standardmaßnahmen, beginnend
bei einer sinnvollen Konfiguration, konnte man sich schon immer gegen
die üblichen, ungerichteten Attacken schützen. Ein gezielter Angriff
hingegen hat das Problem schon immer auf eine ganz andere Ebene gehoben.
Uwe Premer
2012-06-04 12:51:03 UTC
Permalink
Post by Lars Gebauer
Post by Uwe Premer
http://heise.de/-1589640
Die AV-Hersteller seien so ziemlich machtlos gegen staatlich
hergestellte Schadsoftware, weil diese mit dermassen riesigen Budgets
erstellt worden seien, dass AV-Software einfach überrannt würde.
Einsicht ist der 1. Schritt zur Besserung?
Keine Ahnung, ob die ein Einsehen haben.
Post by Lars Gebauer
| nicht jedoch gegen spezielle Angriffe, die von Staaten mit nahezu
| unlimitierten Budgets ausgehen.
Nicht das Budget ist das Problem, sondern die simple Tatsache, daß es
sich um Malware handelte, die sich höchst unauffällig verhielt.
Die hätten durch ihr riesiges Budget die Möglichkeit, ihre Malware gegen
alle auf dem Markt befindlichen AV-Programme ausführlich zu testen und
dann so zu optimieren, dass AV-Software chancenlos sei.
Post by Lars Gebauer
Das ist aber nicht neu. Mit den gängigen Standardmaßnahmen, beginnend
bei einer sinnvollen Konfiguration, konnte man sich schon immer gegen
die üblichen, ungerichteten Attacken schützen.
Selbst, wenn man Admin-Zugriffe sperrt, kann trotzdem immer noch was am
User-Account kaputt gemacht werden, was dann auch ärgerlich sein kann.
Post by Lars Gebauer
Ein gezielter Angriff
hingegen hat das Problem schon immer auf eine ganz andere Ebene gehoben.
Klar.

Uwe
Lars Gebauer
2012-06-04 15:03:11 UTC
Permalink
Post by Uwe Premer
Post by Lars Gebauer
Nicht das Budget ist das Problem, sondern die simple Tatsache, daß es
sich um Malware handelte, die sich höchst unauffällig verhielt.
Die hätten durch ihr riesiges Budget die Möglichkeit, ihre Malware gegen
alle auf dem Markt befindlichen AV-Programme ausführlich zu testen und
dann so zu optimieren, dass AV-Software chancenlos sei.
Diese Möglichkeit habe ich auch ohne ein riesiges Budget. Wenn ich
arbeitslos wäre hätte ich sogar die Zeit dazu. ;)

Nein, es war das unauffällige Verhalten, die niedrige Zahl der
infizierten Co9mputer in Kombination mit Gimmicks wie digitale Signatur
(wie Jens angemerkt hat).

Natürlich braucht man ein paar fähige Programmierer - aber so irrsinnig
teuer ist das auch nicht.
Post by Uwe Premer
Post by Lars Gebauer
Das ist aber nicht neu. Mit den gängigen Standardmaßnahmen, beginnend
bei einer sinnvollen Konfiguration, konnte man sich schon immer gegen
die üblichen, ungerichteten Attacken schützen.
Selbst, wenn man Admin-Zugriffe sperrt, kann trotzdem immer noch was am
User-Account kaputt gemacht werden, was dann auch ärgerlich sein kann.
War doch kürzlich erst (wieder mal) (hier oder in einer der anderen
dcs.*-Gruppen) Thema. Auch dieses Risiko läßt sich eindämmen.
Uwe Premer
2012-06-04 15:47:39 UTC
Permalink
Post by Lars Gebauer
Post by Uwe Premer
Post by Lars Gebauer
Nicht das Budget ist das Problem, sondern die simple Tatsache, daß es
sich um Malware handelte, die sich höchst unauffällig verhielt.
Die hätten durch ihr riesiges Budget die Möglichkeit, ihre Malware gegen
alle auf dem Markt befindlichen AV-Programme ausführlich zu testen und
dann so zu optimieren, dass AV-Software chancenlos sei.
Diese Möglichkeit habe ich auch ohne ein riesiges Budget. Wenn ich
arbeitslos wäre hätte ich sogar die Zeit dazu. ;)
Schon. Aber dann muß natürlich auch entsprechendes Fach- und
Insiderwissen da sein.
Post by Lars Gebauer
Nein, es war das unauffällige Verhalten, die niedrige Zahl der
infizierten Co9mputer in Kombination mit Gimmicks wie digitale Signatur
(wie Jens angemerkt hat).
Ja.
Post by Lars Gebauer
Post by Uwe Premer
Selbst, wenn man Admin-Zugriffe sperrt, kann trotzdem immer noch was am
User-Account kaputt gemacht werden, was dann auch ärgerlich sein kann.
War doch kürzlich erst (wieder mal) (hier oder in einer der anderen
dcs.*-Gruppen) Thema. Auch dieses Risiko läßt sich eindämmen.
Interessant. Oder anders: würde mich interessieren.
Hast du oder sonst Jemand mal die entsprechenden MIDs zu den jeweiligen
Thread-OPs?

Uwe
Lars Gebauer
2012-06-04 16:12:15 UTC
Permalink
Post by Uwe Premer
Post by Lars Gebauer
Post by Uwe Premer
Selbst, wenn man Admin-Zugriffe sperrt, kann trotzdem immer noch was am
User-Account kaputt gemacht werden, was dann auch ärgerlich sein kann.
War doch kürzlich erst (wieder mal) (hier oder in einer der anderen
dcs.*-Gruppen) Thema. Auch dieses Risiko läßt sich eindämmen.
Interessant. Oder anders: würde mich interessieren.
Hast du oder sonst Jemand mal die entsprechenden MIDs zu den jeweiligen
Thread-OPs?
Suche einfach nach den Postings von Stefan Kanthak. Im wesentlichen geht
es hierum: Message-ID:
<4fc7cbef$0$6559$***@newsspool4.arcor-online.net>
Uwe Premer
2012-06-04 17:24:37 UTC
Permalink
Post by Lars Gebauer
Post by Uwe Premer
Post by Lars Gebauer
Post by Uwe Premer
Selbst, wenn man Admin-Zugriffe sperrt, kann trotzdem immer noch was am
User-Account kaputt gemacht werden, was dann auch ärgerlich sein kann.
War doch kürzlich erst (wieder mal) (hier oder in einer der anderen
dcs.*-Gruppen) Thema. Auch dieses Risiko läßt sich eindämmen.
Interessant. Oder anders: würde mich interessieren.
Hast du oder sonst Jemand mal die entsprechenden MIDs zu den jeweiligen
Thread-OPs?
Suche einfach nach den Postings von Stefan Kanthak. Im wesentlichen geht
Das Problem ist, dass ich von Stefans "Safer"-Zeugs nichts halte.
Ich hatte mir das mal angesehen: viel zu restriktiv.
Dann kann ich alles auch gleich sein lassen.
So restriktiv ist noch nichtmal ein Linux.

Nein, das kann es nicht sein.

Ausserdem sagt er dort selbst, dass er das Zeugs auch nur in 1/3 seiner
Installationen einsetzt.

Uwe
Daniel Kohl
2012-06-04 17:52:42 UTC
Permalink
Post by Uwe Premer
Das Problem ist, dass ich von Stefans "Safer"-Zeugs nichts halte.
Ich hatte mir das mal angesehen: viel zu restriktiv.
Dann kann ich alles auch gleich sein lassen.
So restriktiv ist noch nichtmal ein Linux.
Nein, das kann es nicht sein.
Ausserdem sagt er dort selbst, dass er das Zeugs auch nur in 1/3 seine=
r
Post by Uwe Premer
Installationen einsetzt.
Uwe
Dann vielleicht besser den Gedanken dahinter verstehen und umsetzten,
sowie auf deinen Bed=FCrfnisse anpassen.
Das ist ja das =DCbel, ohne Restriktionen wird es nicht sicherer. Jedwed=
e =

Sicherheit wird mit einem
Minus an Benutzerfreundlichkeit erkauft. Auf Knopfdruck, wie es die =

AV-Firmen verkaufen wollen, geht
es nun mal nicht.


--
Stefan Kanthak
2012-06-04 20:02:27 UTC
Permalink
Post by Uwe Premer
Post by Lars Gebauer
Post by Uwe Premer
Post by Lars Gebauer
Post by Uwe Premer
Selbst, wenn man Admin-Zugriffe sperrt, kann trotzdem immer noch was am
User-Account kaputt gemacht werden, was dann auch ärgerlich sein kann.
War doch kürzlich erst (wieder mal) (hier oder in einer der anderen
dcs.*-Gruppen) Thema. Auch dieses Risiko läßt sich eindämmen.
Interessant. Oder anders: würde mich interessieren.
Hast du oder sonst Jemand mal die entsprechenden MIDs zu den jeweiligen
Thread-OPs?
Suche einfach nach den Postings von Stefan Kanthak. Im wesentlichen geht
Das Problem ist, dass ich von Stefans "Safer"-Zeugs nichts halte.
Dein Problem!
Post by Uwe Premer
Ich hatte mir das mal angesehen: viel zu restriktiv.
Aha. Was an "Benutzer duerfen alle Anwendungen ausfuehren, die der
Administrator installiert hat" ist Dir zu restriktiv?
Post by Uwe Premer
Dann kann ich alles auch gleich sein lassen.
So restriktiv ist noch nichtmal ein Linux.
Aber sicher ist es das: speichere doch mal mit dem Web-Browser eine
Datei in Dein $HOME und versuche dann, sie auszufuehren. MERKST DU WAS?
Oder nimm (D)einen Editor, schreibe ein Shell-Skript, speichere es in
$HOME und versuche es auszufuehren.

Unter UNIX bevorzuge ich allerdings "mount /home -o noexec"!
Post by Uwe Premer
Nein, das kann es nicht sein.
Doch, genau das ist es.
Post by Uwe Premer
Ausserdem sagt er dort selbst, dass er das Zeugs auch nur in 1/3 seiner
Installationen einsetzt.
BLOEDSINN! Oder soll ich Dich "Luegner" nennen?

SAFER wird hier seit 2006 auf JEDER XP-Installation ab Installations-
Medium aktiviert!

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Uwe Premer
2012-06-04 21:26:34 UTC
Permalink
Post by Stefan Kanthak
Post by Uwe Premer
Post by Lars Gebauer
Post by Uwe Premer
Post by Lars Gebauer
Post by Uwe Premer
Selbst, wenn man Admin-Zugriffe sperrt, kann trotzdem immer noch was am
User-Account kaputt gemacht werden, was dann auch ärgerlich sein kann.
War doch kürzlich erst (wieder mal) (hier oder in einer der anderen
dcs.*-Gruppen) Thema. Auch dieses Risiko läßt sich eindämmen.
Interessant. Oder anders: würde mich interessieren.
Hast du oder sonst Jemand mal die entsprechenden MIDs zu den jeweiligen
Thread-OPs?
Suche einfach nach den Postings von Stefan Kanthak. Im wesentlichen geht
Das Problem ist, dass ich von Stefans "Safer"-Zeugs nichts halte.
Dein Problem!
Natürlich.
Post by Stefan Kanthak
Post by Uwe Premer
Ich hatte mir das mal angesehen: viel zu restriktiv.
Aha. Was an "Benutzer duerfen alle Anwendungen ausfuehren, die der
Administrator installiert hat" ist Dir zu restriktiv?
Genau das.
Post by Stefan Kanthak
Post by Uwe Premer
Dann kann ich alles auch gleich sein lassen.
So restriktiv ist noch nichtmal ein Linux.
Aber sicher ist es das: speichere doch mal mit dem Web-Browser eine
Datei in Dein $HOME und versuche dann, sie auszufuehren. MERKST DU WAS?
Oder nimm (D)einen Editor, schreibe ein Shell-Skript, speichere es in
$HOME und versuche es auszufuehren.
Ja und? Genau das kann ich auch bei meinen Linuxen und das ist so (von
mir) gewollt.
Post by Stefan Kanthak
Unter UNIX bevorzuge ich allerdings "mount /home -o noexec"!
Ich nicht.
Post by Stefan Kanthak
Post by Uwe Premer
Nein, das kann es nicht sein.
Doch, genau das ist es.
Man kann sich auch einen Knüppel ans Bein binden und die 100 Meter in 3
Stunden laufen.
Post by Stefan Kanthak
Post by Uwe Premer
Ausserdem sagt er dort selbst, dass er das Zeugs auch nur in 1/3 seiner
Installationen einsetzt.
BLOEDSINN! Oder soll ich Dich "Luegner" nennen?
In deinem Posting <4fc7cbef$0$6559$***@newsspool4.arcor-online.net>
schreibst du, ich zitiere:

| Siehe u.a. <http://home.arcor.de/skanthak/download/XP_FIXIT.INF> und
| <http://home.arcor.de/skanthak/download/XP_SAFER.INF>, die etwa 30%
| der Einstellungen meiner Installationen ausmachen.

Gut, ich gebe zu, dass 1/3 etwas "ungenau" ist, sagen wir also korrekt
"30%".
Post by Stefan Kanthak
SAFER wird hier seit 2006 auf JEDER XP-Installation ab Installations-
Medium aktiviert!
Na prima.
Hier wurde noch nie das installiert.
Infektionen unter Win XP Pro, Vista und Win 7: exakt Null

Unter den Linuxen und Mac OS X ebenso.

Bedarf also für mich an "SAFER": null.

Uwe
Lars Gebauer
2012-06-05 07:04:14 UTC
Permalink
Post by Uwe Premer
Post by Stefan Kanthak
Post by Uwe Premer
Ich hatte mir das mal angesehen: viel zu restriktiv.
Aha. Was an "Benutzer duerfen alle Anwendungen ausfuehren, die der
Administrator installiert hat" ist Dir zu restriktiv?
Genau das.
Wie bitte?! Kannst Du das näher erläutern?
Post by Uwe Premer
Post by Stefan Kanthak
Post by Uwe Premer
Ausserdem sagt er dort selbst, dass er das Zeugs auch nur in 1/3 seiner
Installationen einsetzt.
BLOEDSINN! Oder soll ich Dich "Luegner" nennen?
| Siehe u.a. <http://home.arcor.de/skanthak/download/XP_FIXIT.INF> und
| <http://home.arcor.de/skanthak/download/XP_SAFER.INF>, die etwa 30%
| der Einstellungen meiner Installationen ausmachen.
Gut, ich gebe zu, dass 1/3 etwas "ungenau" ist, sagen wir also korrekt
"30%".
Weder. Noch.
Post by Uwe Premer
Post by Stefan Kanthak
SAFER wird hier seit 2006 auf JEDER XP-Installation ab Installations-
Medium aktiviert!
Na prima.
Hier wurde noch nie das installiert.
Infektionen unter Win XP Pro, Vista und Win 7: exakt Null
Unter den Linuxen und Mac OS X ebenso.
Bedarf also für mich an "SAFER": null.
Ob Du Bedarf daran hast ist mir, ehrlich gesagt, völlig Wumpe. Aber
Deine Logik solltest Du trotzdem in die Generalüberholung geben.
Stefan Kanthak
2012-06-05 16:20:42 UTC
Permalink
[ Software Restriction Policies ]
Post by Uwe Premer
Post by Stefan Kanthak
Post by Uwe Premer
Ich hatte mir das mal angesehen: viel zu restriktiv.
Aha. Was an "Benutzer duerfen alle Anwendungen ausfuehren, die der
Administrator installiert hat" ist Dir zu restriktiv?
Genau das.
Du solltest LANGSAM mal anfangen, ueber Rechtetrennung (und "Benutzer"-
Rollen) in "modernen" Betruebssystemen nachzudenken!
Post by Uwe Premer
Post by Stefan Kanthak
Post by Uwe Premer
Dann kann ich alles auch gleich sein lassen.
So restriktiv ist noch nichtmal ein Linux.
Aber sicher ist es das: speichere doch mal mit dem Web-Browser eine
Datei in Dein $HOME und versuche dann, sie auszufuehren. MERKST DU WAS?
Oder nimm (D)einen Editor, schreibe ein Shell-Skript, speichere es in
$HOME und versuche es auszufuehren.
Ja und? Genau das kann ich auch bei meinen Linuxen und das ist so (von
mir) gewollt.
MERKBEFREIT?! Oder einfach nur komplett ahnungslos?
Dein Linux wird KEINE der Dateien ausfuehren!
UNIX setzt dummerweise beim Anlegen von Dateien die Permissions 111 NICHT!

[...]
Post by Uwe Premer
Post by Stefan Kanthak
Post by Uwe Premer
Ausserdem sagt er dort selbst, dass er das Zeugs auch nur in 1/3 seiner
Installationen einsetzt.
BLOEDSINN! Oder soll ich Dich "Luegner" nennen?
| Siehe u.a. <http://home.arcor.de/skanthak/download/XP_FIXIT.INF> und
| <http://home.arcor.de/skanthak/download/XP_SAFER.INF>, die etwa 30%
| der Einstellungen meiner Installationen ausmachen. ~~~
~~~~~~~~~~~~~~~~~
Post by Uwe Premer
Gut, ich gebe zu, dass 1/3 etwas "ungenau" ist, sagen wir also korrekt
"30%".
Du solltest Deine Lese- und Verstaendnisschwaeche WIRKLICH behandeln
lassen!

Damit auch Du es kapierst: 70% der EINSTELLUNGEN, die alle meine
Installationen bekommen, stehen NICHT in diesen beiden Skripts!
100% meiner Installationen bekommen 100% meiner Einstellungen!

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Helmut Hullen
2012-06-05 17:19:00 UTC
Permalink
Hallo, Stefan,
Post by Stefan Kanthak
Post by Uwe Premer
Post by Stefan Kanthak
Aber sicher ist es das: speichere doch mal mit dem Web-Browser eine
Datei in Dein $HOME und versuche dann, sie auszufuehren. MERKST DU
WAS? Oder nimm (D)einen Editor, schreibe ein Shell-Skript,
speichere es in $HOME und versuche es auszufuehren.
Ja und? Genau das kann ich auch bei meinen Linuxen und das ist so
(von mir) gewollt.
MERKBEFREIT?! Oder einfach nur komplett ahnungslos?
Dein Linux wird KEINE der Dateien ausfuehren!
UNIX setzt dummerweise beim Anlegen von Dateien die Permissions 111 NICHT!
Auch wenn Du recht laut schreist: Du irrst.
Um Stefan Kanthak zu zitieren: "MERKBEFREIT?! Oder einfach nur komplett
ahnungslos?"

Hilfsweise:

sh $script

oder

bash $script

funktioniert recht gut, bei passenden Skripts.
Ähnlich auch bei anderen Programmiersprachen.

Viele Gruesse!
Helmut
Uwe Premer
2012-06-05 21:27:43 UTC
Permalink
Post by Stefan Kanthak
Post by Uwe Premer
Ja und? Genau das kann ich auch bei meinen Linuxen und das ist so (von
mir) gewollt.
MERKBEFREIT?! Oder einfach nur komplett ahnungslos?
Du vll. selbst.
Post by Stefan Kanthak
Dein Linux wird KEINE der Dateien ausfuehren!
UNIX setzt dummerweise beim Anlegen von Dateien die Permissions 111 NICHT!
Ich kompiliere recht oft Source direkt im Home-Verzeichnis.
Das dadurch generierte File ist sofort und ohne Umwege ausführbar und
zwar im Quellverzeichnis, welches im Home liegt.
Und das mit
./configure
und
make

und zwar ohne sudo und ohne jeglichen Rootrechten.
Nach dem make kann ich das Kompilat sofort ausführen mittels
./File

Uwe
Stefan Kanthak
2012-06-05 21:41:59 UTC
Permalink
Post by Uwe Premer
Post by Stefan Kanthak
Post by Uwe Premer
Ja und? Genau das kann ich auch bei meinen Linuxen und das ist so (von
mir) gewollt.
MERKBEFREIT?! Oder einfach nur komplett ahnungslos?
Du vll. selbst.
Post by Stefan Kanthak
Dein Linux wird KEINE der Dateien ausfuehren!
UNIX setzt dummerweise beim Anlegen von Dateien die Permissions 111 NICHT!
Ich kompiliere recht oft Source direkt im Home-Verzeichnis.
Das dadurch generierte File ist sofort und ohne Umwege ausführbar
Falsch!
Probiers mal direkt mit "cc" und einem simplen "Hello world!"
Post by Uwe Premer
und zwar im Quellverzeichnis, welches im Home liegt.
Und das mit
./configure
und
make
Und sowas nennst Du "direkt"?
Post by Uwe Premer
und zwar ohne sudo und ohne jeglichen Rootrechten.
Nach dem make kann ich das Kompilat sofort ausführen mittels
./File
Sieh Dir das Makefile an, Dummerchen!
Dort wirst Du ein "chmod +x ./File" finden (mindestens beim Target
install:, das Du in Deiner grenzenlosen Unwissenheit unterschlagen
hast).

JFTR: meine *_SAFER.INF sind fuer ONU, nicht fuer Softwareentwickler.
Letzteren traue ich durchaus zu, die SAFER-Regeln so anzupassen, dass
sie selbsterstellte Software aufrufen koennen. Wenn ein Entwickler DAS
nicht kann, dann soll er besser keine Software entwickeln oder aendern.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Uwe Premer
2012-06-05 22:37:06 UTC
Permalink
Post by Stefan Kanthak
Post by Uwe Premer
Und das mit
./configure
und
make
Und sowas nennst Du "direkt"?
Letztendlich ging es doch darum, dass es im Home laut deiner Definition
nicht möglich sein darf, dass ausführbare Dateien ausgeführt werden dürfen.
Aber genau das will ich halt machen können/dürfen und zwar sowohl unter
Linux (aus obigen Gründen, um nicht gleich ein sudo make install machen
zu müssen, sondern erstmal das Ausführbare so zu testen) als auch aus
selbigen Gründen unter Windows.

Und da sind mir halt die SAFER-Regeln etwas "im Weg".

Uwe
Lars Gebauer
2012-06-06 12:53:29 UTC
Permalink
Post by Uwe Premer
Letztendlich ging es doch darum, dass es im Home laut deiner Definition
nicht möglich sein darf, dass ausführbare Dateien ausgeführt werden dürfen.
Aber genau das will ich halt machen können/dürfen und zwar sowohl unter
Linux (aus obigen Gründen, um nicht gleich ein sudo make install machen
zu müssen, sondern erstmal das Ausführbare so zu testen) als auch aus
selbigen Gründen unter Windows.
Und da sind mir halt die SAFER-Regeln etwas "im Weg".
Stefan schrieb (wahrscheinlich nicht ohne Grund);

| JFTR: meine *_SAFER.INF sind fuer ONU, nicht fuer Softwareentwickler.
| Letzteren traue ich durchaus zu, die SAFER-Regeln so anzupassen, dass
| sie selbsterstellte Software aufrufen koennen. Wenn ein Entwickler DAS
| nicht kann, dann soll er besser keine Software entwickeln oder
| aendern.

Warum hast Du das nicht mitzitiert bzw. gehst nicht darauf ein?
Uwe Premer
2012-06-06 13:23:35 UTC
Permalink
Post by Lars Gebauer
Post by Uwe Premer
Und da sind mir halt die SAFER-Regeln etwas "im Weg".
Stefan schrieb (wahrscheinlich nicht ohne Grund);
| JFTR: meine *_SAFER.INF sind fuer ONU, nicht fuer Softwareentwickler.
| Letzteren traue ich durchaus zu, die SAFER-Regeln so anzupassen, dass
| sie selbsterstellte Software aufrufen koennen. Wenn ein Entwickler DAS
| nicht kann, dann soll er besser keine Software entwickeln oder
| aendern.
Warum hast Du das nicht mitzitiert bzw. gehst nicht darauf ein?
Weil ich halt kein Software-Entwickler bin.

Uwe
Burkhard Ott
2012-06-05 22:37:51 UTC
Permalink
Post by Stefan Kanthak
Post by Uwe Premer
Post by Stefan Kanthak
Post by Uwe Premer
Ja und? Genau das kann ich auch bei meinen Linuxen und das ist so
(von mir) gewollt.
MERKBEFREIT?! Oder einfach nur komplett ahnungslos?
Du vll. selbst.
Post by Stefan Kanthak
Dein Linux wird KEINE der Dateien ausfuehren! UNIX setzt dummerweise
beim Anlegen von Dateien die Permissions 111 NICHT!
Ich kompiliere recht oft Source direkt im Home-Verzeichnis. Das dadurch
generierte File ist sofort und ohne Umwege ausführbar
Falsch!
Probiers mal direkt mit "cc" und einem simplen "Hello world!"
Klar gehts das.
Post by Stefan Kanthak
Post by Uwe Premer
und zwar im Quellverzeichnis, welches im Home liegt. Und das mit
./configure
und
make
Und sowas nennst Du "direkt"?
Und? Hier spart man sich das tippen, ob nun das make file den compiler
aufruft oder Du das eintippst ist relativ bummi. Solange Du deine umask
002 hast wird das binary immer 755 angelegt.
Post by Stefan Kanthak
Post by Uwe Premer
und zwar ohne sudo und ohne jeglichen Rootrechten. Nach dem make kann
ich das Kompilat sofort ausführen mittels ./File
Sieh Dir das Makefile an, Dummerchen! Dort wirst Du ein "chmod +x
./File" finden (mindestens beim Target install:, das Du in Deiner
grenzenlosen Unwissenheit unterschlagen hast).
Nee, ich kann das ganz direkt machen ohne makefile und ohne alles:

cc -o fertig test.c
./fertig
geht doch!

ls -la
-rwxr-xr-x 6544 Jun 5 15:30 fertig

man umask


cheers
Juergen Ilse
2012-06-06 09:29:18 UTC
Permalink
Hallo,
Post by Burkhard Ott
Und? Hier spart man sich das tippen, ob nun das make file den compiler
aufruft oder Du das eintippst ist relativ bummi. Solange Du deine umask
002 hast wird das binary immer 755 angelegt.
Auch wenn es sicherlich nur ein Fluechtigkeitsafehler war: Bei umask 002
werden die Dateirechte 775 werden, fuer 755 als Dateirechte muesste die
umask auf 022 stehen ...

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Burkhard Ott
2012-06-07 15:28:51 UTC
Permalink
Post by Helmut Hullen
Hallo,
Post by Burkhard Ott
Und? Hier spart man sich das tippen, ob nun das make file den compiler
aufruft oder Du das eintippst ist relativ bummi. Solange Du deine umask
002 hast wird das binary immer 755 angelegt.
Auch wenn es sicherlich nur ein Fluechtigkeitsafehler war: Bei umask 002
werden die Dateirechte 775 werden, fuer 755 als Dateirechte muesste die
umask auf 022 stehen ...
Ack, 022 ist die dafault Einstellung da hast Du Recht.

cheers
Helmut Hullen
2012-06-06 06:59:00 UTC
Permalink
Hallo, Stefan,
Post by Stefan Kanthak
Post by Uwe Premer
Post by Stefan Kanthak
Dein Linux wird KEINE der Dateien ausfuehren!
UNIX setzt dummerweise beim Anlegen von Dateien die Permissions 111 NICHT!
Ja und?
Post by Stefan Kanthak
Post by Uwe Premer
Ich kompiliere recht oft Source direkt im Home-Verzeichnis.
Das dadurch generierte File ist sofort und ohne Umwege ausführbar
Falsch!
Probiers mal direkt mit "cc" und einem simplen "Hello world!"
Probier doch mal
cd

echo 'echo Hallo Welt!' > hallo.sh
bash hallo.sh


Willst Du partout darauf hinaus, dass die Datei als "ausführbar" geführt
werden muss?

Das Recht kann ich (rein technisch) jeder beliebigen Datei in meinem
Home-Verzeichnis geben.

Viele Gruesse!
Helmut
Juergen Ilse
2012-06-06 09:32:08 UTC
Permalink
Hallo,
Post by Helmut Hullen
Probier doch mal
cd
echo 'echo Hallo Welt!' > hallo.sh
bash hallo.sh
Halt doch mal bitte deine voellig andere Baustelle aus der Diskussion heraus.
Ode rhast du noch nicht einmal bemerkt, dass es sich um eine voellig andere
Baustelle handelt?
Post by Helmut Hullen
Willst Du partout darauf hinaus, dass die Datei als "ausführbar" geführt
werden muss?
Darauf (und auf das ausfuehren von binaries, nicht von shell-scripten,
wollte er hinaus, ja).

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Helmut Hullen
2012-06-06 11:51:00 UTC
Permalink
Hallo, Juergen,
Post by Juergen Ilse
Post by Helmut Hullen
Willst Du partout darauf hinaus, dass die Datei als "ausführbar"
geführt werden muss?
Darauf (und auf das ausfuehren von binaries, nicht von
shell-scripten, wollte er hinaus, ja).
Aha - eine Sonder-Baustelle. Schön, dass Du erklärst, was Stefan meint
(und zu schreiben versäumt).

Viele Gruesse!
Helmut
Juergen Ilse
2012-06-06 09:26:24 UTC
Permalink
Hallo,
Post by Stefan Kanthak
Post by Uwe Premer
Ich kompiliere recht oft Source direkt im Home-Verzeichnis.
Das dadurch generierte File ist sofort und ohne Umwege ausführbar
Falsch!
Ich vermute, dass er in seiner umask nicht unbedingt alle Exec-Bits gesetzt
hat, folglich wird es bei ihm so wie von ihm genannt funktionieren.
Post by Stefan Kanthak
Probiers mal direkt mit "cc" und einem simplen "Hello world!"
Stefan, du bist sicherlich bei Windows ein kompetenter und empfehlenswerter
Ratgeber, in diesem Fall liegst du aber wirklich daneben ...
----------------
***@ubuntu:~$ ls -l bla.out
ls: Zugriff auf bla.out nicht möglich: Datei oder Verzeichnis nicht gefunden
***@ubuntu:~$ echo 'int main(){return 0;}' | gcc -o bla.out -x c -
***@ubuntu:~$ ls -l bla.out
-rwxrwxr-x 1 ilse ilse 7115 Jun 6 11:14 bla.out
***@ubuntu:~$ umask
0002
***@ubuntu:~$
----------------
Ich habe mir erlaubt, den "printf" Aufruf wegzulassen, aber das aendert ja
nichts an den Dateirechten der Ausgabedatei (ja, ich weiss, dass auf diesem
Rechner die umask sehr "freizuegig" gesetzt ist, aber das ist in diesem
Fall ausnahmsweise mal Absicht) ...
Post by Stefan Kanthak
Post by Uwe Premer
und zwar im Quellverzeichnis, welches im Home liegt.
Und das mit
./configure
und
make
Das Ergebnis wird das selbe sein, da auch dabei die executable Datei nur
durch den Aufruf des Compilers erzeugt wird (und der Compileraufruf laeuft
dann genauso wie von mir oben angegeben, nur durch restriktiveres setzen
der umask bekommt man den Compiler dahin, dass fuer den output des von ihm
aufgerufenen Linkers keine execute-Rechte gesetzt werden ...).
Post by Stefan Kanthak
Post by Uwe Premer
und zwar ohne sudo und ohne jeglichen Rootrechten.
Das hat mit Root-Rechten gar nichts zu tun. Wenn eine Datei dir gehoert
und du Schreibrechte (und execute-Rechte) in dem Verzeichnis hast, in dem
die Datei liegt, hast du beim klassischen unix-Rechte-System auch das
Recht, die Dateirechte jener Datei zu aendern, selbst dann, wenn du vorher
keinerlei Rechte auf die Datei hattest.
Post by Stefan Kanthak
Post by Uwe Premer
Nach dem make kann ich das Kompilat sofort ausführen mittels
./File
Sieh Dir das Makefile an, Dummerchen!
Dort wirst Du ein "chmod +x ./File" finden (mindestens beim Target
install:, das Du in Deiner grenzenlosen Unwissenheit unterschlagen
hast).
In meinem oben zitierten Compileraufruf ist keinerlei "chmod" im Spiel.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Stefan Kanthak
2012-06-06 18:07:35 UTC
Permalink
Post by Helmut Hullen
Hallo,
Post by Stefan Kanthak
Probiers mal direkt mit "cc" und einem simplen "Hello world!"
Stefan, du bist sicherlich bei Windows ein kompetenter und empfehlenswerter
Ratgeber, in diesem Fall liegst du aber wirklich daneben ...
Ich habe seit Monaten kein UNIX mehr angefasst.
Frueher[TM] taeglich (und LANGE vor DOS oder Windows) ...
Post by Helmut Hullen
----------------
ls: Zugriff auf bla.out nicht möglich: Datei oder Verzeichnis nicht gefunden
-rwxrwxr-x 1 ilse ilse 7115 Jun 6 11:14 bla.out
0002
----------------
[...]
Post by Helmut Hullen
In meinem oben zitierten Compileraufruf ist keinerlei "chmod" im Spiel.
und daher das bekannte vi^W$EDITOR-Verhalten, --x--x--x nicht zu setzen,
unzulaessig verallgemeinert.

Dummerweise tut das meiner Argumentation keinen Abbruch: Uwe sollte den
Unterschied zwischen Windows und UNIX kapieren!

JFTR: $SHELL -c *.sh verhaelt sich genauso wie %COMSPEC% /C CALL *.CMD
aber darum geht's auch nicht!

Unter Windows sind ALLE Dateien, auch mit dem Browser heruntergeladene
oder vom MUA gespeicherte, ohne weiteres Zutun ausfuehrbar (das
ShellExecute() bei im NTFS-ADS abgelegten "stammt aus dem Internet" ggf.
warnt ist irrelevant, denn CreateProcess() warnt selbstverstaendlich
nicht).

Unter UNIX sind sie es dagegen nicht.

Stefan

PS: Ja, "chmod +x ..." kann jeder $BENUTZER aufrufen, und es wirkt
sogar, wenn $BENUTZER Schreibrechte im Verzeichnis hat (sonst
haette er die Datei dort aber auch gar nicht anlegen koennen).

Unter Windows kann man stattdessen die ACE "(D;OIIO;WP;;;WD)" auf
"%USERPROFILE%" und "%ALLUSERSPROFILE%" setzen: verweigere (D)
allen Benutzern (WD = "WORLD\Everyone") das Ausfuehren (WP) von
Dateien (OI) in diesem Verzeichnis und den Unterverzeichnissen (IO).

Ja, ein Benutzer kann diese ACE von seinen eigenen Dateien entfernen.
ONU wird es i.d.R. aber nicht koennen.
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Juergen Ilse
2012-06-07 08:14:38 UTC
Permalink
Hallo,
Post by Stefan Kanthak
Post by Juergen Ilse
Post by Stefan Kanthak
Probiers mal direkt mit "cc" und einem simplen "Hello world!"
Stefan, du bist sicherlich bei Windows ein kompetenter und empfehlenswerter
Ratgeber, in diesem Fall liegst du aber wirklich daneben ...
----------------
ls: Zugriff auf bla.out nicht möglich: Datei oder Verzeichnis nicht gefunden
-rwxrwxr-x 1 ilse ilse 7115 Jun 6 11:14 bla.out
0002
----------------
[...]
Post by Juergen Ilse
In meinem oben zitierten Compileraufruf ist keinerlei "chmod" im Spiel.
und daher das bekannte vi^W$EDITOR-Verhalten, --x--x--x nicht zu setzen,
unzulaessig verallgemeinert.
???
Der Compiler-Aufruf (der dann auch gleich noch den Assembler und den Linker
aufruft) erzeugt direkt eine ausfuehrbare Datei (genaugenommen schreibt erst
der Linker das executable File). Deine Aussage. neu angelegte Dateien im
eigenen $HOME waeren erst einmal *niemals* executable, wenn man nicht aus-
druecklich die Rechte umsetzen wuerde, ist in dieser Allgemeinheit falsch.
Wenn per Texteditor neu erstellte Dateien erst einmal nicht ausfuehrbar
sind, dann nur deshalb, weil der Texteditor die Eigenschaft hat, die Datei
eben mit nicht mit executable-Rechten anzulegen. Das ist keine Eigenschaft
des Systems oder der System-Einstellungen sondern nur eine Eigenschaft
dieses einen Anwendungsprogramms "Texteditor" ...
Post by Stefan Kanthak
Dummerweise tut das meiner Argumentation keinen Abbruch: Uwe sollte den
Unterschied zwischen Windows und UNIX kapieren!
JFTR: $SHELL -c *.sh verhaelt sich genauso wie %COMSPEC% /C CALL *.CMD
aber darum geht's auch nicht!
Das ist die "andere Baustelle", die Helmut in diesem Thread aufgemacht
hat, und ich hatte ihn schon darum gebeten, dass doch bitte zu unter-
lassen, weil seine Einlassung am thema vorbei gehen wuerde ...
Post by Stefan Kanthak
Unter Windows sind ALLE Dateien, auch mit dem Browser heruntergeladene
oder vom MUA gespeicherte, ohne weiteres Zutun ausfuehrbar (das
ShellExecute() bei im NTFS-ADS abgelegten "stammt aus dem Internet" ggf.
warnt ist irrelevant, denn CreateProcess() warnt selbstverstaendlich
nicht).
Unter UNIX sind sie es dagegen nicht.
Unter unix wird die "Ausfuehrbarkeit" durch die Dateirechte festgelegt
(und es wird zwischen "read-Recht" und "execute-Recht" unterschieden).
Die Unterscheidung zwsichen "read-Recht" und "execute-Recht" gibt es
AFAIK so beim Windows *nicht* (dafuer wird aber z.B. zwischen "schreiben"
und "aendern" unterschieden). Die "Ausfuehrbarkeit" wird im Endeffekt
durch den "Systemoberbau" durch den Zusammenhang mit dem Dateinamen und
den dafuer eingestellten Methoden zum oeffnen von Dateien festgemacht
(solange kein SRP im Spiel ist). Deswegen halte ich es auch fuer fatal,
per Default die "Dateiendungen" (die ja in diesem System eine so grosse
Bedeutung gewinnen) auszublenden ... Die Microsoft-Entwickler (oder
zumindest die Leute, die die Default-Einstellungen fuer Windows erstellt
haben) scheinen das aber (leider) anders zu sehen ...
:-(
Post by Stefan Kanthak
PS: Ja, "chmod +x ..." kann jeder $BENUTZER aufrufen, und es wirkt
sogar, wenn $BENUTZER Schreibrechte im Verzeichnis hat (sonst
haette er die Datei dort aber auch gar nicht anlegen koennen).
Du irrst:
---------------------
***@ubuntu:~$ sudo -s
[sudo] password for ilse:
***@ubuntu:~# touch datei_von_root
***@ubuntu:~# chmod a+rw datei_von_root
***@ubuntu:~# exit
***@ubuntu:~$ chmod a+x datei_von_root
chmod: Beim Setzen der Zugriffsrechte für »datei_von_root???: Die Operation ist nicht erlaubt
***@ubuntu:~$ ls -l datei_von_root
-rw-rw-rw- 1 root root 0 Jun 7 10:11 datei_von_root
***@ubuntu:~$
----------------------
Allerdings darf jeder die Zugriffsrechte auf seine eigenen Dateien
beliebig aendern, nicht jedoch auf Dateien anderer Benutzer.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Stefan Kanthak
2012-06-07 17:15:02 UTC
Permalink
Post by Helmut Hullen
Hallo,
Post by Stefan Kanthak
Post by Juergen Ilse
Post by Stefan Kanthak
Probiers mal direkt mit "cc" und einem simplen "Hello world!"
-rwxrwxr-x 1 ilse ilse 7115 Jun 6 11:14 bla.out
In meinem oben zitierten Compileraufruf ist keinerlei "chmod" im Spiel.
und daher das bekannte vi^W$EDITOR-Verhalten, --x--x--x nicht zu setzen,
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Post by Helmut Hullen
Post by Stefan Kanthak
unzulaessig verallgemeinert.
~~~~~~~~~~~~~~~~~~~~~~~~~~~
Post by Helmut Hullen
???
Mein Satz beginnt vor dem Zitat!
Post by Helmut Hullen
Der Compiler-Aufruf (der dann auch gleich noch den Assembler und den Linker
aufruft) erzeugt direkt eine ausfuehrbare Datei (genaugenommen schreibt erst
der Linker das executable File). Deine Aussage. neu angelegte Dateien im
eigenen $HOME waeren erst einmal *niemals* executable, wenn man nicht aus-
druecklich die Rechte umsetzen wuerde, ist in dieser Allgemeinheit falsch.
Richtig. Ich hab's extra fuer Dich nochmal unterstrichen!

Es geht darum, welche von Otto Normalbenutzer mit den von ihm typischerweise
verwendeten Anwendungen (Web-Browser, Messenger, Office-Krimskrams, ...)
erstellten Dateien "ausfuehrbar" sind (oder sein muessen). ONU verwendet
typischerweise weder "cc" noch "make"!
Post by Helmut Hullen
Wenn per Texteditor neu erstellte Dateien erst einmal nicht ausfuehrbar
sind, dann nur deshalb, weil der Texteditor die Eigenschaft hat, die Datei
eben mit nicht mit executable-Rechten anzulegen. Das ist keine Eigenschaft
des Systems oder der System-Einstellungen sondern nur eine Eigenschaft
dieses einen Anwendungsprogramms "Texteditor" ...
Modulo der Einstellung von umask...
Post by Helmut Hullen
Post by Stefan Kanthak
Unter Windows sind ALLE Dateien, auch mit dem Browser heruntergeladene
oder vom MUA gespeicherte, ohne weiteres Zutun ausfuehrbar (das
ShellExecute() bei im NTFS-ADS abgelegten "stammt aus dem Internet" ggf.
warnt ist irrelevant, denn CreateProcess() warnt selbstverstaendlich
nicht).
Unter UNIX sind sie es dagegen nicht.
Unter unix wird die "Ausfuehrbarkeit" durch die Dateirechte festgelegt
(und es wird zwischen "read-Recht" und "execute-Recht" unterschieden).
Korrekt.
Post by Helmut Hullen
Die Unterscheidung zwsichen "read-Recht" und "execute-Recht" gibt es
AFAIK so beim Windows *nicht*
Falsch!
Windows kennt

1. die generischen Rechte (<http://msdn.microsoft.com/en-us/aa446632.aspx>)
"generic write", "generic read", "generic execute" und "generic all":
diese generischen Rechte werden auf Mengen/Kombinationen spezieller
Rechte abgebildet (wobei diese Abbildung auf verschiedenen Windows-
Versionen unterschiedlich, aber per Win32-API erfragbar ist).

2. die "einfachen" Rechte "Vollzugriff", "Aendern", "Lesen/Ausfuehren",
"Lesen" und "Schreiben": auch diese sind auf Kombinationen spezieller
Rechte abgebildet.

3. die "speziellen" (eigentlich: elementaren) Rechte:
(<http://msdn.microsoft.com/en-us/aa379607.aspx>,
<http://msdn.microsoft.com/en-us/aa364399.aspx>,
<http://msdn.microsoft.com/en-us/aa446614.aspx>,
<http://msdn.microsoft.com/en-us/ms724878.aspx>, ...)
"Lesen", "Schreiben", "Anhaengen", "Lesen erweiterter Attribute",
"Schreiben erweiterter Attribute", "Ausfuehren" (resp. "Durchlaufen"),
"Lesen Attribute", "Schreiben Attribute", "Loeschen", ...
Post by Helmut Hullen
(dafuer wird aber z.B. zwischen "schreiben" und "aendern" unterschieden).
Ab jetzt nur noch GIGO!
Post by Helmut Hullen
Die "Ausfuehrbarkeit" wird im Endeffekt durch den "Systemoberbau" durch
den Zusammenhang mit dem Dateinamen und den dafuer eingestellten Methoden
zum oeffnen von Dateien festgemacht (solange kein SRP im Spiel ist).
Eben NICHT:

0. Rechtsklick->Eigenschaften:Sicherheit [Erweitert] [Anzeigen] zeigt
Dir ganz deutlich "Ausfuehren/Ordner durchsuchen". Entferne dieses
Recht von einer ausfuehrbaren Datei (*.EXE, genauer: Win32-PE, oder
*.COM) und versuche sie aufzufuehren. Merkst Du was?

1. Was Du als "Systemoberbau" bezeichnest wird durch ShellExecute()
realisiert: anhand des Dateityps feststellen, mit welchem Programm
eine Datei zu "Oeffnen" (oder "Auszufuehren" ist), daraus die
Kommandozeile fuer den Aufruf dieses Programms mit der zu oeffnenden
Datei basteln und diese Kommandozeile an CreateProcess() verfuettern.

Diese Arbeitsteilung ist NOTWENDIG, denn CreateProcess() startet
ausschliesslich Binaerprogramme.

2. Ein zu ShellExecute() analoger Mechanismus ist bei UNIX im Unterbau
(exec*()) vorhanden: der shebang!

Im Gegensatz zu CreateProcess() fuehrt exec*() nicht nur Binaer-
Programme, sondern auch Textdateien aus.
Post by Helmut Hullen
Deswegen halte ich es auch fuer fatal, per Default die "Dateiendungen"
(die ja in diesem System eine so grosse Bedeutung gewinnen) auszublenden ...
Worin unterscheidet sich das von UNIX?
Siehst Du einer Datei "foobar" am Namen an, was passiert, wenn Du sie
an exec*() verfuetterst? Oder in $SHELL aufrufst?

Ist sie ein (ausfuehrbares) Binaerprogramm, eine (nicht ausfuehrbare)
Datendatei oder ein (ausfuehrbares) {sh,bash,awk,sed,perl,...}-Skript
mit "#!/bin/interpreter -options"?

[...]
Post by Helmut Hullen
Post by Stefan Kanthak
PS: Ja, "chmod +x ..." kann jeder $BENUTZER aufrufen, und es wirkt
sogar, wenn $BENUTZER Schreibrechte im Verzeichnis hat (sonst
haette er die Datei dort aber auch gar nicht anlegen koennen).
Nein. Klassisches UNIX vs. POSIX (siehe auch "POSIXLY_CORRECT").

Und dann gibt's noch das "sticky bit"...

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Helmut Hullen
2012-06-07 17:55:00 UTC
Permalink
Hallo, Stefan,
Post by Stefan Kanthak
Post by Stefan Kanthak
Probiers mal direkt mit "cc" und einem simplen "Hello world!"
Es geht darum, welche von Otto Normalbenutzer mit den von ihm
typischerweise verwendeten Anwendungen (Web-Browser, Messenger,
Office-Krimskrams, ...) erstellten Dateien "ausfuehrbar" sind (oder
sein muessen). ONU verwendet typischerweise weder "cc" noch "make"!
Ach ja - auch Du schiebst jetzt die passenden Einschränkungen nach.

Viele Gruesse!
Helmut
Juergen Ilse
2012-06-08 07:10:24 UTC
Permalink
Hallo,
Post by Stefan Kanthak
Post by Stefan Kanthak
PS: Ja, "chmod +x ..." kann jeder $BENUTZER aufrufen, und es wirkt
sogar, wenn $BENUTZER Schreibrechte im Verzeichnis hat (sonst
haette er die Datei dort aber auch gar nicht anlegen koennen).
Nein. Klassisches UNIX vs. POSIX (siehe auch "POSIXLY_CORRECT").
Ich irre nicht. Das folgende gibt uebrigens (abgesehen vom genauen Wortlaut
der Fehlermeldung) das gleiche Ergebnis nicht nur wie hier unter linux son-
dern auch z.B. unter Solaris, HP/UX, AIX, *BSD, ...

----------------------
***@ubuntu:~# ls -l blubb
-rw-rw-rw- 1 root root 0 Jun 8 09:02 blubb
***@ubuntu:~# exit
***@ubuntu:~$ export POSIXLY_CORRECT=true
***@ubuntu:~$ chmod a+x blubb
chmod: Beim Setzen der Zugriffsrechte für »blubb???: Die Operation ist nicht erlaubt
***@ubuntu:~$ ls -l blubb
-rw-rw-rw- 1 root root 0 Jun 8 09:02 blubb
***@ubuntu:~$ ls -ld .
drwxr-xr-x 98 ilse ilse 12288 Jun 8 09:03 .
***@ubuntu:~$
-----------------------
Jeder Nutzer darf die Rechte seiner *eigenen* Dateien aendern, nicht jedoch
die Rechte fremder Dateien (auch dann nicht, wenn er im Verzeichnis Schreib-
rechte hat, noch nicht einmal dann, wenn er zusaetzlich auch noch auf die
Datei Schreibrechte hat). Nur root darf auch fuer fremde Dateien die Datei-
rechte umsetzen ...
Post by Stefan Kanthak
Und dann gibt's noch das "sticky bit"...
... und das SetUID-Bit (das du vermutlich meintest, als du sticky Bit
geschrieben hast, denn das sticky Bit ist wieder etwas voellig anderes)
und das SetGID-Bit. Nur was sollen die jetzt mit dieser Diskussion zu
tun haben?

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Juergen P. Meier
2012-06-08 08:56:29 UTC
Permalink
Post by Juergen Ilse
Post by Stefan Kanthak
Nein. Klassisches UNIX vs. POSIX (siehe auch "POSIXLY_CORRECT").
-rw-rw-rw- 1 root root 0 Jun 8 09:02 blubb
chmod: Beim Setzen der Zugriffsrechte für »blubb???: Die Operation ist nicht erlaubt
-rw-rw-rw- 1 root root 0 Jun 8 09:02 blubb
drwxr-xr-x 98 ilse ilse 12288 Jun 8 09:03 .
Das ist eine eigenwillige Impelementierung von Linux. Oder auch nicht.
Man koennte chmod() genauso limitieren wie ulink() und rename(), oder
es so machen wie Linux, das jeglichen chmod() auf Dateien die einem
nicht gehoeren verbietet. Oder man koennte chmod() von den
schreibrechten abhaengig machen... (man liest raus: ich bin zu faul
andere Plattformen auszuprobieren. DAs darf jeder selbst)

POSIX FAC ist halt nunmal recht beschraenkt in den Moeglichkeiten und
bietet leider recht viel Spielraum fuer Interpretation.
Post by Juergen Ilse
Post by Stefan Kanthak
Und dann gibt's noch das "sticky bit"...
Das auch Systemabhaengig ist und idR. nur rename()/unlink() limitiert.
Post by Juergen Ilse
... und das SetUID-Bit (das du vermutlich meintest, als du sticky Bit
Nein, das Sticky-Bit ist S_ISVTX oder auch t-Bit, nicht zu verwechseln
mit den Set-ID-bits S_ISUID und. S_ISGID.
Post by Juergen Ilse
geschrieben hast, denn das sticky Bit ist wieder etwas voellig anderes)
und das SetGID-Bit. Nur was sollen die jetzt mit dieser Diskussion zu
tun haben?
Das Sticky-Bit beschreankt idR. den Zugriff auf Dateien im eigenen
Verzeichnis, die dem User nicht gehoeren. Allerdings ueblicherweise
nur fuer ulink() und rename().

HTH,
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Juergen Ilse
2012-06-08 10:55:10 UTC
Permalink
Post by Juergen P. Meier
Post by Juergen Ilse
Post by Stefan Kanthak
Nein. Klassisches UNIX vs. POSIX (siehe auch "POSIXLY_CORRECT").
-rw-rw-rw- 1 root root 0 Jun 8 09:02 blubb
chmod: Beim Setzen der Zugriffsrechte für »blubb???: Die Operation ist nicht erlaubt
-rw-rw-rw- 1 root root 0 Jun 8 09:02 blubb
drwxr-xr-x 98 ilse ilse 12288 Jun 8 09:03 .
Das ist eine eigenwillige Impelementierung von Linux. Oder auch nicht.
"Nicht".
Unter Solaris sieht es im Prinzip genauso aus:

------------------
~ # touch bla
~ # chmod a=rw bla
~ # exit
~ $ ls -l bla
-rw-rw-rw- 1 root 0 Jun 8 12:47 bla
~ $ ls -ld .
drwxr-xr-x 94 ilse 61952 Jun 8 12:47 .
~ $ chmod a+x bla
chmod: WARNING: can't change bla
~ $
-------------------

Das war jetzt unter Solaris 10 auf Sparc Hardware.
Post by Juergen P. Meier
Man koennte chmod() genauso limitieren wie ulink() und rename(), oder
es so machen wie Linux, das jeglichen chmod() auf Dateien die einem
nicht gehoeren verbietet.
Ach, du meintest mit "eigenartig" nicht das Verhalten der gaengigen
unixoiden Systeme sondern das Verhalten wie es Stefan beschrieben hat.
OK, dann nehme ich das "Nicht" zurueck ...
Post by Juergen P. Meier
POSIX FAC ist halt nunmal recht beschraenkt in den Moeglichkeiten und
bietet leider recht viel Spielraum fuer Interpretation.
Ich meinte das "althergebrachte unix-Rechte-System", also ohne POSIX-ACLs
zusaetzlich ...
Post by Juergen P. Meier
Post by Juergen Ilse
Post by Stefan Kanthak
Und dann gibt's noch das "sticky bit"...
Das auch Systemabhaengig ist und idR. nur rename()/unlink() limitiert.
Korrekt.
Post by Juergen P. Meier
Post by Juergen Ilse
... und das SetUID-Bit (das du vermutlich meintest, als du sticky Bit
Nein, das Sticky-Bit ist S_ISVTX oder auch t-Bit, nicht zu verwechseln
mit den Set-ID-bits S_ISUID und. S_ISGID.
Ich weiss das, ich lese aber nur allzu regelmaessig, dass SetUID und
Sticky in den Postings im Usenet munter durcheinandergeworfen werden ...
Post by Juergen P. Meier
Post by Juergen Ilse
geschrieben hast, denn das sticky Bit ist wieder etwas voellig anderes)
und das SetGID-Bit. Nur was sollen die jetzt mit dieser Diskussion zu
tun haben?
Das Sticky-Bit beschreankt idR. den Zugriff auf Dateien im eigenen
Verzeichnis, die dem User nicht gehoeren.
Wirkt sich aber nicht bzgl. "chmod" aus (da darf auf den ueblichen unix-
Systemen ohnehin nur root die Rechte auf fremde Dateien aendern, alle
anderen duerfen nur an den Rechten der eigenen Dateien fummeln ...).
Post by Juergen P. Meier
Allerdings ueblicherweise nur fuer ulink() und rename().
Eben.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Stefan Kanthak
2012-06-08 13:20:38 UTC
Permalink
Post by Helmut Hullen
Hallo,
Post by Stefan Kanthak
Post by Stefan Kanthak
PS: Ja, "chmod +x ..." kann jeder $BENUTZER aufrufen, und es wirkt
sogar, wenn $BENUTZER Schreibrechte im Verzeichnis hat (sonst
haette er die Datei dort aber auch gar nicht anlegen koennen).
Nein. Klassisches UNIX vs. POSIX (siehe auch "POSIXLY_CORRECT").
Ich irre nicht.
Stimmt.
Post by Helmut Hullen
Jeder Nutzer darf die Rechte seiner *eigenen* Dateien aendern, nicht jedoch
die Rechte fremder Dateien (auch dann nicht, wenn er im Verzeichnis Schreib-
rechte hat, noch nicht einmal dann, wenn er zusaetzlich auch noch auf die
Datei Schreibrechte hat).
Korrekt.
Ich habe fuer chmod() faelschlich^Wbloederweise einen Zugriff aufs
Directory angenommen. Dort steht aber nur der Dateiname; die Attribute
der Datei stehen in deren inode.
Post by Helmut Hullen
Nur root darf auch fuer fremde Dateien die Dateirechte umsetzen ...
Post by Stefan Kanthak
Und dann gibt's noch das "sticky bit"...
... und das SetUID-Bit (das du vermutlich meintest, als du sticky Bit
geschrieben hast, denn das sticky Bit ist wieder etwas voellig anderes)
Ich meine, was ich schreibe!
Post by Helmut Hullen
und das SetGID-Bit.
Zum (Anlegen und) Loeschen von Dateien ist Schreibzugriff im Verzeichnis
noetig.
Ohne "sticky bit" kann ein Benutzer mit Schreibzugriff im Verzeichnis
die Dateien anderer Benutzer loeschen, auch wenn er auf die Dateien
selbst keinen Zugriff hat.
Mit "sticky bit" muss ein Benutzer Eigentuemer der Datei oder des
Verzeichnis oder "root" sein.
Post by Helmut Hullen
Nur was sollen die jetzt mit dieser Diskussion zu tun haben?
Deren Komplexitaet erhoehen. Den Hinweis auf chmod() hatte ich als PS
geschrieben-

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.
2005 (AZ: 1 U 143/04)
Juergen Ilse
2012-06-06 09:09:03 UTC
Permalink
Hallo,
Post by Stefan Kanthak
[ Software Restriction Policies ]
Post by Uwe Premer
Post by Stefan Kanthak
Post by Uwe Premer
Ich hatte mir das mal angesehen: viel zu restriktiv.
Aha. Was an "Benutzer duerfen alle Anwendungen ausfuehren, die der
Administrator installiert hat" ist Dir zu restriktiv?
Genau das.
Du solltest LANGSAM mal anfangen, ueber Rechtetrennung (und "Benutzer"-
Rollen) in "modernen" Betruebssystemen nachzudenken!
Waere zu empfehlen ...
Post by Stefan Kanthak
Post by Uwe Premer
Post by Stefan Kanthak
Post by Uwe Premer
Dann kann ich alles auch gleich sein lassen.
So restriktiv ist noch nichtmal ein Linux.
Aber sicher ist es das: speichere doch mal mit dem Web-Browser eine
Datei in Dein $HOME und versuche dann, sie auszufuehren. MERKST DU WAS?
Oder nimm (D)einen Editor, schreibe ein Shell-Skript, speichere es in
$HOME und versuche es auszufuehren.
Ja und? Genau das kann ich auch bei meinen Linuxen und das ist so (von
mir) gewollt.
MERKBEFREIT?! Oder einfach nur komplett ahnungslos?
Dein Linux wird KEINE der Dateien ausfuehren!
UNIX setzt dummerweise beim Anlegen von Dateien die Permissions 111 NICHT!
Das ist so nicht korrekt. Beim anlegen von Dateien unter Linux werden
genau die Permissions gesetzt, die das Programm dass die Datei anlegt
dafuer bestimmt (ein Editor wird kein execute setzen, der Linker beim
anlegen eines executable Files dagegen schon). Die einzige Ausnahme von
dieser Regel ist, dass die vom Programm "gewuenschten" Rechte noch mit
der "umask" des Benutzers verknuepft wird (alle Bits, die in der umask
gesetzt sind, werden in den Dateirechten neu anzulegender Dateien aus-
geblendet).
Post by Stefan Kanthak
[...]
Post by Uwe Premer
Post by Stefan Kanthak
Post by Uwe Premer
Ausserdem sagt er dort selbst, dass er das Zeugs auch nur in 1/3 seiner
Installationen einsetzt.
BLOEDSINN! Oder soll ich Dich "Luegner" nennen?
| Siehe u.a. <http://home.arcor.de/skanthak/download/XP_FIXIT.INF> und
| <http://home.arcor.de/skanthak/download/XP_SAFER.INF>, die etwa 30%
| der Einstellungen meiner Installationen ausmachen. ~~~
~~~~~~~~~~~~~~~~~
Post by Uwe Premer
Gut, ich gebe zu, dass 1/3 etwas "ungenau" ist, sagen wir also korrekt
"30%".
Du solltest Deine Lese- und Verstaendnisschwaeche WIRKLICH behandeln
lassen!
Damit auch Du es kapierst: 70% der EINSTELLUNGEN, die alle meine
Installationen bekommen, stehen NICHT in diesen beiden Skripts!
100% meiner Installationen bekommen 100% meiner Einstellungen!
So hatte ich das auch verstanden ...

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Juergen P. Meier
2012-06-06 04:41:18 UTC
Permalink
Post by Uwe Premer
Post by Lars Gebauer
Post by Uwe Premer
http://heise.de/-1589640
Die AV-Hersteller seien so ziemlich machtlos gegen staatlich
hergestellte Schadsoftware, weil diese mit dermassen riesigen Budgets
erstellt worden seien, dass AV-Software einfach überrannt würde.
Einsicht ist der 1. Schritt zur Besserung?
Keine Ahnung, ob die ein Einsehen haben.
In diesem speziellen Punkt scheint es Einsehen zu sein.
Post by Uwe Premer
Post by Lars Gebauer
| nicht jedoch gegen spezielle Angriffe, die von Staaten mit nahezu
| unlimitierten Budgets ausgehen.
Nicht das Budget ist das Problem, sondern die simple Tatsache, daß es
sich um Malware handelte, die sich höchst unauffällig verhielt.
Die hätten durch ihr riesiges Budget die Möglichkeit, ihre Malware gegen
alle auf dem Markt befindlichen AV-Programme ausführlich zu testen und
dann so zu optimieren, dass AV-Software chancenlos sei.
Aeh, das kann eigentlich jeder Malwareschreiber.
Da brauchts kein grosses Budget fuer.

Es ist aber nicht das Budget der Hersteller dieser Schadsoftware, die
den AV-Herstellern probleme bereiten - einige Schadprogramme lassen
sich z.B. funktional kaum mehr von diversen "guten" Programmen
unterscheiden (heuristiken versagen regelmaessig). Und alle
Schadsoftwaere, die nicht auf Massenverbreitung ausgelegt ist (also
alles, was zielgerichtet ist - ueblicherweise Industrie-Spionage oder
eben staatliche Spionage sowie Sabotage) umgeht ganz prinzpiell die
etablierten Mechanismen der AV-Hersteller zur Kenntnisnahme, Analyse,
Klassifizierung/Kategorisierung, Musterextraktion und aufnahme
derselben in die Virendatenbank - denen eben in der Regel nur (schlecht
programmierte) Massenverbreitungsschadprogramme in die virtuellen
Netze gehen.

Es zeugt hingegen fast schon von Inkompetenz und Dilletantismus bei
den staatlichen Schadcodeschreiberlingen (dem Anschein nach
insbesondere diejenigen, die fuer die "Cyberabwehr" der USA
arbeiten - siehe die Beispiele Stuxnet/fLAME) dass deren Produkte
ueberhaupt von AV-Herstellern beim Fischen im Trueben gefunden und
als Schadcode identifiziert werden konnten.

Man kann ruhig davon ausgehen, dass dies - wie ueberall auch - nur die
unruehmlichen Ausnahmen schlechter Qualitaet darstellen.
Post by Uwe Premer
Selbst, wenn man Admin-Zugriffe sperrt, kann trotzdem immer noch was am
User-Account kaputt gemacht werden, was dann auch ärgerlich sein kann.
Fuer den User, ja. Fuer das System (und alle anderne User) hingegen nicht.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Jens Hektor
2012-06-04 13:22:47 UTC
Permalink
Post by Lars Gebauer
Nicht das Budget ist das Problem, sondern die simple Tatsache, daß es
sich um Malware handelte, die sich höchst unauffällig verhielt.
Nicht nur das, sie war auch noch gültig signiert.
Juergen P. Meier
2012-06-06 04:53:28 UTC
Permalink
Post by Jens Hektor
Post by Lars Gebauer
Nicht das Budget ist das Problem, sondern die simple Tatsache, daß es
sich um Malware handelte, die sich höchst unauffällig verhielt.
Nicht nur das, sie war auch noch gültig signiert.
Erstaunlich an fLAME ist vielmehr, dass es aufgefallen ist.

Ok, das geschah erst viele Jahre nach der "Markteinfuehrung", aber
immerhin.

Da scheinen wohl auch blinde Huehner bei den AV-Herstellern zu arbeiten.
Daniel Kohl
2012-06-06 07:36:45 UTC
Permalink
Post by Juergen P. Meier
Nicht das Budget ist das Problem, sondern die simple Tatsache, da=DF=
es
Post by Juergen P. Meier
sich um Malware handelte, die sich h=F6chst unauff=E4llig verhielt.
Nicht nur das, sie war auch noch g=FCltig signiert.
Erstaunlich an fLAME ist vielmehr, dass es aufgefallen ist.
Ok, das geschah erst viele Jahre nach der "Markteinfuehrung", aber
immerhin.
Da scheinen wohl auch blinde Huehner bei den AV-Herstellern zu arbeite=
n.

Noch erstaunlihcer ist, dass bereits seit 2010 Samples in den Datenbanke=
n =

von zB F-Secure
und wohl auch bei anderen Herstellern vor lagen, und es einfach niemande=
n =

interessiert hat.

Das ganze TAM-TAM, inclusive Weltuntergangsscenario-Bullshit, was von =

AV_Herstellern und der ITU nun
veranstaltet wird, errinnert mich an das Gelaber zu Anfangszeiten des
"Krieges gegen den Terror", als man Gr=FCnde brauchte, den Menschen ihre=
=

Freiheiten und
Rechte einzuschr=E4nken.

Man darf gespannt sein!


--
Heinz-Mario Frühbeis
2012-06-04 13:26:04 UTC
Permalink
"Uwe Premer"...
Post by Uwe Premer
http://heise.de/-1589640
Die AV-Hersteller seien so ziemlich machtlos gegen staatlich
hergestellte Schadsoftware, weil diese mit dermassen riesigen Budgets
erstellt worden seien, dass AV-Software einfach überrannt würde.
Was in aller Welt hat denn immer das Geld mit Genie zu tun?
Nur weil einer Geld kann_ er sich Genie kaufen?
Wenn* einer wirklich Genie hätte, oder zu min. auch nur 'Sehr gut' in seiner
Arbeit wäre, dann würde er sich nicht verkaufen ...
Uwe Premer
2012-06-04 14:21:12 UTC
Permalink
Post by Heinz-Mario Frühbeis
"Uwe Premer"...
Post by Uwe Premer
http://heise.de/-1589640
Die AV-Hersteller seien so ziemlich machtlos gegen staatlich
hergestellte Schadsoftware, weil diese mit dermassen riesigen Budgets
erstellt worden seien, dass AV-Software einfach überrannt würde.
Was in aller Welt hat denn immer das Geld mit Genie zu tun?
Nur weil einer Geld kann_ er sich Genie kaufen?
Wenn du statt klammen 2 Programmierern gleich ein Team von 20 oder 50
Programmierern an so eine Aufgabe setzen kannst, wird das Ergebnis weit
effektiver.
Ich denke, das hat auch weit weniger mit "Genie" zu tun als einfach mit
Manpower.

Uwe
Ansgar -59cobalt- Wiechers
2012-06-04 17:03:48 UTC
Permalink
Post by Uwe Premer
Post by Heinz-Mario Frühbeis
"Uwe Premer"...
Post by Uwe Premer
http://heise.de/-1589640
Die AV-Hersteller seien so ziemlich machtlos gegen staatlich
hergestellte Schadsoftware, weil diese mit dermassen riesigen Budgets
erstellt worden seien, dass AV-Software einfach überrannt würde.
Was in aller Welt hat denn immer das Geld mit Genie zu tun?
Nur weil einer Geld kann_ er sich Genie kaufen?
Wenn du statt klammen 2 Programmierern gleich ein Team von 20 oder 50
Programmierern an so eine Aufgabe setzen kannst, wird das Ergebnis weit
effektiver.
Ich denke, das hat auch weit weniger mit "Genie" zu tun als einfach mit
Manpower.
Das glauben viele Leute (die Damager von Firmen wie IBM, T-Systems oder
Siemens eingeschlossen). Wahr wird es dadurch allerdings nicht, wie man
an handelsüblichen Großprojekten leicht sehen kann. Software-Entwicklung
lässt sich nicht so trivial in die Breite skalieren.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Juergen P. Meier
2012-06-06 04:54:58 UTC
Permalink
Post by Uwe Premer
Post by Heinz-Mario Frühbeis
"Uwe Premer"...
Post by Uwe Premer
http://heise.de/-1589640
Die AV-Hersteller seien so ziemlich machtlos gegen staatlich
hergestellte Schadsoftware, weil diese mit dermassen riesigen Budgets
erstellt worden seien, dass AV-Software einfach überrannt würde.
Was in aller Welt hat denn immer das Geld mit Genie zu tun?
Nur weil einer Geld kann_ er sich Genie kaufen?
Wenn du statt klammen 2 Programmierern gleich ein Team von 20 oder 50
Programmierern an so eine Aufgabe setzen kannst, wird das Ergebnis weit
effektiver.
Muahahaha haha ahahahaha ahhahha - ROFL

In welchem MAnagermagazin hast du denn diesen Unsinn gelesen?

Wenn das der Realitaet entsprechen wuerde, wuerde Qualitaetssoftware
nur noch aus Indien kommen.

YMMD,
Juergen
Daniel Kohl
2012-06-06 07:40:50 UTC
Permalink
Post by Juergen P. Meier
Post by Heinz-Mario Frühbeis
"Uwe Premer"...
Post by Uwe Premer
http://heise.de/-1589640
Die AV-Hersteller seien so ziemlich machtlos gegen staatlich
hergestellte Schadsoftware, weil diese mit dermassen riesigen Budge=
ts
Post by Juergen P. Meier
Post by Heinz-Mario Frühbeis
Post by Uwe Premer
erstellt worden seien, dass AV-Software einfach =FCberrannt w=FCrde=
.
Post by Juergen P. Meier
Post by Heinz-Mario Frühbeis
Was in aller Welt hat denn immer das Geld mit Genie zu tun?
Nur weil einer Geld kann_ er sich Genie kaufen?
Wenn du statt klammen 2 Programmierern gleich ein Team von 20 oder 50=
Programmierern an so eine Aufgabe setzen kannst, wird das Ergebnis we=
it
Post by Juergen P. Meier
effektiver.
Muahahaha haha ahahahaha ahhahha - ROFL
In welchem MAnagermagazin hast du denn diesen Unsinn gelesen?
Wenn das der Realitaet entsprechen wuerde, wuerde Qualitaetssoftware
nur noch aus Indien kommen.
YMMD,
Juergen
Diese Annahme basiert sicher auf der bekannten Aussage, dass auch Affen,=
=

die man an Schreibmaschinen setzt,
irgendwann einen Bestseller schreiben. Es kommt nur drauf an, wie viele =
=

Affen wie lange auf den Maschinen herum hacken!


--
Uwe Premer
2012-06-06 10:55:23 UTC
Permalink
Post by Juergen P. Meier
Post by Uwe Premer
Post by Heinz-Mario Frühbeis
"Uwe Premer"...
Post by Uwe Premer
http://heise.de/-1589640
Die AV-Hersteller seien so ziemlich machtlos gegen staatlich
hergestellte Schadsoftware, weil diese mit dermassen riesigen Budgets
erstellt worden seien, dass AV-Software einfach überrannt würde.
Was in aller Welt hat denn immer das Geld mit Genie zu tun?
Nur weil einer Geld kann_ er sich Genie kaufen?
Wenn du statt klammen 2 Programmierern gleich ein Team von 20 oder 50
Programmierern an so eine Aufgabe setzen kannst, wird das Ergebnis weit
effektiver.
Muahahaha haha ahahahaha ahhahha - ROFL
In welchem MAnagermagazin hast du denn diesen Unsinn gelesen?
Wenn das der Realitaet entsprechen wuerde, wuerde Qualitaetssoftware
nur noch aus Indien kommen.
Er hier z.B. hat sich wissenschaftlich intensiv damit auseinandergesetzt:
<subs.emis.de/LNI/Proceedings/Proceedings105/gi-proc-105-020.pdf>

Uwe
Ansgar -59cobalt- Wiechers
2012-06-06 13:24:36 UTC
Permalink
Post by Uwe Premer
<subs.emis.de/LNI/Proceedings/Proceedings105/gi-proc-105-020.pdf>
Wo genau in diesem Paper glaubst du die Aussage erkennen zu können,
Software-Entwicklung würde mit der Anzahl der Entwickler prima(tm) in
die Breite skalieren?

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Uwe Premer
2012-06-06 13:56:53 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Post by Uwe Premer
<subs.emis.de/LNI/Proceedings/Proceedings105/gi-proc-105-020.pdf>
Wo genau in diesem Paper glaubst du die Aussage erkennen zu können,
Software-Entwicklung würde mit der Anzahl der Entwickler prima(tm) in
die Breite skalieren?
Dann halt anders:
wenn z.B. bei den Linux-Distributoren Entwickler fehlen, ziehen sich
neue Versionen in Länge.
Es ist einfach so, wenn zuwenig Fachleute vorhanden sind, kann halt
Vieles nicht in der gewünschten Zeit vollendet werden, und das ist bei
Software genauso wie im Handwerk.

Für mich an der Stelle dann EOD, weil weitere Diskussionen über das
Topic nix mehr bringen,
Uwe
Juergen P. Meier
2012-06-06 15:06:22 UTC
Permalink
Post by Uwe Premer
Post by Ansgar -59cobalt- Wiechers
Post by Uwe Premer
<subs.emis.de/LNI/Proceedings/Proceedings105/gi-proc-105-020.pdf>
Wo genau in diesem Paper glaubst du die Aussage erkennen zu können,
Software-Entwicklung würde mit der Anzahl der Entwickler prima(tm) in
die Breite skalieren?
wenn z.B. bei den Linux-Distributoren Entwickler fehlen, ziehen sich
neue Versionen in Länge.
Es ist einfach so, wenn zuwenig Fachleute vorhanden sind, kann halt
Vieles nicht in der gewünschten Zeit vollendet werden, und das ist bei
Software genauso wie im Handwerk.
Es ging um *EINE* Funktionalitaet. Du hingegen beziehst dich auf sowas
kompliziertes wie ein Betriebsystem - das genuegend viele Modular
verschiedene Komponenten enthaelt, damit das in eine bestimmte Breite
skaliert.

Wer hingegen mit Verstand gesegnet ist, versteht, dass eine nicht
teilbare Aufgabe nicht mit der Anzahl der Aufgabenloeser skalieren
*KANN*.

Oder um deinen Handwerksvergleich zu verwenden: Die Aufgabe, mehrere
Gewinde in eine Spindel zu drehen kannst du gerne mal versuchen auf
mehrere Drehbaenke zu verteilen, in der Hoffnung, dass die schneller
und effizienter arbeiten.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Ansgar -59cobalt- Wiechers
2012-06-06 16:59:17 UTC
Permalink
Post by Uwe Premer
Post by Ansgar -59cobalt- Wiechers
Post by Uwe Premer
<subs.emis.de/LNI/Proceedings/Proceedings105/gi-proc-105-020.pdf>
Wo genau in diesem Paper glaubst du die Aussage erkennen zu können,
Software-Entwicklung würde mit der Anzahl der Entwickler prima(tm) in
die Breite skalieren?
wenn z.B. bei den Linux-Distributoren Entwickler fehlen, ziehen sich
neue Versionen in Länge.
Es ist einfach so, wenn zuwenig Fachleute vorhanden sind, kann halt
Vieles nicht in der gewünschten Zeit vollendet werden, und das ist bei
Software genauso wie im Handwerk.
*seufz*

Nochmal: die Fachleute muss man a) erst mal finden, und b) kann man
danach Software-Projekte immer noch nicht beliebig in die Breite
skalieren. Im Gegensatz zum Handwerk läuft Software-Entwicklung nämlich
keineswegs so ab, dass der Architekt eine Zeichnung macht, und der
Entwickler das Werkstück dann einfach gemäß der Zeichnung anfertigt.
Muss dir nicht gefallen, ist aber trotzdem so.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Jens Hektor
2012-06-08 04:07:53 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Im Gegensatz zum Handwerk läuft Software-Entwicklung nämlich
keineswegs so ab, dass der Architekt eine Zeichnung macht, und der
Entwickler das Werkstück dann einfach gemäß der Zeichnung anfertigt.
Deine Vorstellungen vom Handwerk sind gelinde gesagt sehr optimistisch.
Juergen P. Meier
2012-06-08 06:25:35 UTC
Permalink
Post by Jens Hektor
Post by Ansgar -59cobalt- Wiechers
Im Gegensatz zum Handwerk läuft Software-Entwicklung nämlich
keineswegs so ab, dass der Architekt eine Zeichnung macht, und der
Entwickler das Werkstück dann einfach gemäß der Zeichnung anfertigt.
Deine Vorstellungen vom Handwerk sind gelinde gesagt sehr optimistisch.
Also ich kenne das mit dem Handwerk und einfachen Aufgaben so:

Gib die Aufgabe *einem* Handwerker, und er ist nach einem Arbeitstag fertig.

Gib die Aufgabe *zwei* Handwerkern, und sie brauchen zwei Tage fuer.

Gib die Aufgabe *drei* Handwerkern, und nach drei Tagen brauchst du
einen Anwalt.

Da sind wir in der IT noch harmlos gegen.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Ansgar -59cobalt- Wiechers
2012-06-08 13:04:00 UTC
Permalink
Post by Jens Hektor
Post by Ansgar -59cobalt- Wiechers
Im Gegensatz zum Handwerk läuft Software-Entwicklung nämlich
keineswegs so ab, dass der Architekt eine Zeichnung macht, und der
Entwickler das Werkstück dann einfach gemäß der Zeichnung anfertigt.
Deine Vorstellungen vom Handwerk sind gelinde gesagt sehr optimistisch.
Nein, eigentlich nicht. Natürlich ist es nicht so trivial, das weiss ich
selbst. Im Handwerk ist das, was ich oben schrieb, aber immerhin noch
ansatzweise realistisch. Für Software-Entwicklung hingegen ist es völlig
illusorisch.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Lars Gebauer
2012-06-04 15:05:33 UTC
Permalink
Post by Heinz-Mario Frühbeis
"Uwe Premer"...
Post by Uwe Premer
http://heise.de/-1589640
Die AV-Hersteller seien so ziemlich machtlos gegen staatlich
hergestellte Schadsoftware, weil diese mit dermassen riesigen Budgets
erstellt worden seien, dass AV-Software einfach überrannt würde.
Was in aller Welt hat denn immer das Geld mit Genie zu tun?
Nur weil einer Geld kann_ er sich Genie kaufen?
Aber ja, das funktioniert erstaunlich häufig.
Post by Heinz-Mario Frühbeis
Wenn* einer wirklich Genie hätte, oder zu min. auch nur 'Sehr gut' in seiner
Arbeit wäre, dann würde er sich nicht verkaufen ...
Wie bitte? - Idealismus ist ja gut und schön. Sehr weit kommst Du mit
dieser Ansicht allerdings nicht.
Stefan Kanthak
2012-06-04 14:23:54 UTC
Permalink
Post by Uwe Premer
http://heise.de/-1589640
Die AV-Hersteller seien so ziemlich machtlos gegen staatlich
hergestellte Schadsoftware, weil diese mit dermassen riesigen Budgets
erstellt worden seien, dass AV-Software einfach überrannt würde.
Nein, das ist keineswegs der Grund!
Nicht nur F-Secure, sondern auch andere AV^WSchlangenoelproduzenten
hatten "Flame", "Stuxnet" und "Duqu" in ihren Datenbanken, aber haben
den Code oder das Verhalten nicht analysiert.

Fazit (mal wieder): auch gegen bekannte Schaedlinge schuetzt AV-Zeux
NICHT!
Post by Uwe Premer
Heise meint zudem, dass wohl langsam auch nicht-staatliche AV-Ersteller
dermassen grosse Ressourcen zur Verfügung hätten, dass Entwicklungen von
Viren möglich seien, die von den AV-Herstellern nicht mehr entgegnet
werden könnten.
Auch das ist falsch: Botnetz-Betreiber produzieren seit Jahren im Tages-
oder Stundenrhythmus neue Varianten ihrer Schaedlinge und unterlaufen
damit KONTINUIERLICH die (signaturbasierte) Erkennung.
Post by Uwe Premer
Die Frage ist, wo soll das letztendlich hinführen?
ZUM AUFWACHEN! Und zur Besinnung auf WIRKSAME Schutzmassnahmen.

Nicht nur hier[TM] hilft restriktive Konfiguration und Verzicht auf
notorisch unsicher Software gegen Schaedlinge, egal ob [un]bekannt.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Helmut Hullen
2012-06-04 14:51:00 UTC
Permalink
Hallo, Stefan,
Post by Stefan Kanthak
Nicht nur F-Secure, sondern auch andere AV^WSchlangenoelproduzenten
hatten "Flame", "Stuxnet" und "Duqu" in ihren Datenbanken, aber haben
den Code oder das Verhalten nicht analysiert.
Fazit (mal wieder): auch gegen bekannte Schaedlinge schuetzt AV-Zeux
NICHT!
Sie schützt nicht gegen jede Schadsoftware.
Du verallgemeinerst mal wieder unzulässig.

Viele Gruesse!
Helmut
Lars Gebauer
2012-06-04 17:04:18 UTC
Permalink
Post by Helmut Hullen
Post by Stefan Kanthak
Nicht nur F-Secure, sondern auch andere AV^WSchlangenoelproduzenten
hatten "Flame", "Stuxnet" und "Duqu" in ihren Datenbanken, aber haben
den Code oder das Verhalten nicht analysiert.
Fazit (mal wieder): auch gegen bekannte Schaedlinge schuetzt AV-Zeux
NICHT!
Sie schützt nicht gegen jede Schadsoftware.
Du verallgemeinerst mal wieder unzulässig.
Wenn man ja wüßte, gegen /welche/ Malware die Rouletteware denn so
schützt, dann wäre man ja mal einen Schritt weiter ...
Daniel Kohl
2012-06-04 17:54:54 UTC
Permalink
Post by Stefan Kanthak
Nicht nur F-Secure, sondern auch andere AV^WSchlangenoelproduzenten
hatten "Flame", "Stuxnet" und "Duqu" in ihren Datenbanken, aber habe=
n
Post by Stefan Kanthak
den Code oder das Verhalten nicht analysiert.
Fazit (mal wieder): auch gegen bekannte Schaedlinge schuetzt AV-Zeux=
NICHT!
Sie sch=FCtzt nicht gegen jede Schadsoftware.
Du verallgemeinerst mal wieder unzul=E4ssig.
Wenn man ja w=FC=DFte, gegen /welche/ Malware die Rouletteware denn so=
sch=FCtzt, dann w=E4re man ja mal einen Schritt weiter ...
Das weis man doch und damit werben die AV Hersteller immer wieder.

Gegen 99, irgenwas Prozent der alten H=FCte!
--
Ansgar -59cobalt- Wiechers
2012-06-04 17:05:28 UTC
Permalink
Post by Stefan Kanthak
Post by Uwe Premer
Heise meint zudem, dass wohl langsam auch nicht-staatliche AV-Ersteller
dermassen grosse Ressourcen zur Verfügung hätten, dass Entwicklungen von
Viren möglich seien, die von den AV-Herstellern nicht mehr entgegnet
werden könnten.
Auch das ist falsch: Botnetz-Betreiber produzieren seit Jahren im Tages-
oder Stundenrhythmus neue Varianten ihrer Schaedlinge und unterlaufen
damit KONTINUIERLICH die (signaturbasierte) Erkennung.
Und warum verhaltensbasierte Erkennung auch nicht so das Gelbe vom Ei
ist, hat Avira ja gerade demonstriert.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Juergen P. Meier
2012-06-06 04:57:04 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Post by Stefan Kanthak
Post by Uwe Premer
Heise meint zudem, dass wohl langsam auch nicht-staatliche AV-Ersteller
dermassen grosse Ressourcen zur Verfügung hätten, dass Entwicklungen von
Viren möglich seien, die von den AV-Herstellern nicht mehr entgegnet
werden könnten.
Auch das ist falsch: Botnetz-Betreiber produzieren seit Jahren im Tages-
oder Stundenrhythmus neue Varianten ihrer Schaedlinge und unterlaufen
damit KONTINUIERLICH die (signaturbasierte) Erkennung.
Und warum verhaltensbasierte Erkennung auch nicht so das Gelbe vom Ei
ist, hat Avira ja gerade demonstriert.
Wie genau willst du bitteschoen ein Programm, dass ein paar Dateien im
Systemverzeichns schreibt, ein anders Programm startet, ein paar DLLs
nachlaedt, auf ein CIFS-Share zugreift, versucht Registry-KEys in HKLM
und HKCU zu veraendern, einen Netzwerksocket aufmacht und zwei drei
Netzwerverbindungen oeffnet (mittels IE Bibliothek um durch Proxies zu
kommen) von einem Programm unterscheiden, dass ein paar Dateien im
Systemverzeichns schreibt, ein anders Programm startet, ein paar DLLs
nachlaedt, auf ein CIFS-Share zugreift, versucht Registry-KEys in HKLM
und HKCU zu veraendern, einen Netzwerksocket aufmacht und zwei drei
Netzwerverbindungen oeffnet (mittels IE Bibliothek um durch Proxies zu
kommen) unterscheiden?

Vor dieser Aufgabe stehen die Heuristikprogramme der AV-Hersteller.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Daniel Kohl
2012-06-06 07:50:08 UTC
Permalink
Wie genau willst du bitteschoen ein Programm, dass ein paar Dateien im=
Systemverzeichns schreibt, ein anders Programm startet, ein paar DLLs
nachlaedt, auf ein CIFS-Share zugreift, versucht Registry-KEys in HKLM=
und HKCU zu veraendern, einen Netzwerksocket aufmacht und zwei drei
Netzwerverbindungen oeffnet (mittels IE Bibliothek um durch Proxies zu=
kommen) von einem Programm unterscheiden, dass ein paar Dateien im
Systemverzeichns schreibt, ein anders Programm startet, ein paar DLLs
nachlaedt, auf ein CIFS-Share zugreift, versucht Registry-KEys in HKLM=
und HKCU zu veraendern, einen Netzwerksocket aufmacht und zwei drei
Netzwerverbindungen oeffnet (mittels IE Bibliothek um durch Proxies zu=
kommen) unterscheiden?
Vor dieser Aufgabe stehen die Heuristikprogramme der AV-Hersteller.
Juergen
Heuristik !=3D Verhaltensanalyse. F=E4llt mir oft auf, dass dies gleich =
=

gesetzt wird, ist aber ein
himmelweiter Unterschied.

Aber dennoch, beides funktioniert nicht richtig. Verhaltenserkennung aus=
=

dem genannten Grund und Heuristik,
weil Signatur=E4hnlichkeiten einfach gegen getestet werden, bis sie nich=
t =

mehr ausl=F6sen.

Von den AV-Herstellern kommen dazu ja weder Studien, noch klare Aussagen=
, =

aber wenn man einigen Security-Blogs so glaubt,
dann liegt die Heuristik bei der Erkennung bei weit unter 30%, Tendenz =

fallend, und die
Verhaltensanalyse soll sogar =F6fters False-Positves geben, als dass sie=
=

ihren Job richtig tut.

Aber davon liest man nirgends, von den AV-Herstellern. Sondern nur, dass=
=

99,999999 aller
Asbach-Uraltvieren aus irgendwelchen Uraltdatenbanken, die in der Praxis=
=

zum Gro gar nich tmehr
vor kommen, erkannt werden.

-- =

/
Juergen Ilse
2012-06-06 09:41:26 UTC
Permalink
Hallo,
Heuristik != Verhaltensanalyse. Fällt mir oft auf, dass dies gleich
gesetzt wird, ist aber ein
himmelweiter Unterschied.
Verhaltensanalyse ist eigentlich *immer* auch Heuristik (aus den von Juergen
genannten Gruenden), Heuristik aber nicht unbedingt immer Verhaltensanalyse
(man kann auch Heuristiken bei der Erkennung von "Virenpattern" einsetzen,
was allerdings die Wahrscheinlichkeit von Fehlalarmen deutlich erhoehen
duerfte ...).
Von den AV-Herstellern kommen dazu ja weder Studien, noch klare Aussagen,
aber wenn man einigen Security-Blogs so glaubt,
dann liegt die Heuristik bei der Erkennung bei weit unter 30%, Tendenz
fallend, und die
Verhaltensanalyse soll sogar öfters False-Positves geben, als dass sie
ihren Job richtig tut.
Wundert dich das? Mich nicht.
Aber davon liest man nirgends, von den AV-Herstellern. Sondern nur, dass
99,999999 aller
Asbach-Uraltvieren aus irgendwelchen Uraltdatenbanken, die in der Praxis
zum Gro gar nich tmehr
vor kommen, erkannt werden.
Viele davon kommen sogar noch vor, koennen aber oftmals einem aktuell
gehaltenen System mit einem *denkenden* Nutzer gar nichts mehr anhaben ...
Es gibt aber noch viele "ungepatchte Systeme" und "unvorsichtige Nutzer".
Selbst Swen und Sasser soll man noch reichlich in der freien Wildbahn finden.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Daniel Kohl
2012-06-06 10:57:08 UTC
Permalink
In der Antivirerei ist die Heuristik nichts andres als die Pr=FCfung auf=
=

Signatur=E4hnlichkeiten,
das wars dann auch schon. Sicher haben Programme,
die sich =E4hnlich verhalten oft auch =E4hnliche Signaturen, aber das mu=
ss =

nicht sein, wie du schon sagst.
Virusprogrammierer lachen sich jedenfalls auf einschl=E4gigen Boards sch=
lapp =

dar=FCber.

Verhaltensanalyse pr=FCft das logische Verhalten der Software und soll =

"verd=E4chtiges Benehmen melden"
Meiner Meinung nach ist das schon "kaputt by Design", denn es ist nicht =
=

das Verhalten, was einen Virus
von einem gewollten Programm unterscheidet, sondern ob der User dieses =

Verhalten W=DCNSCHT!

Alles nur noch mehr Schlangen=F6l!


-- =

Erstellt mit Operas revolution=E4rem E-Mail-Modul: http://www.opera.com/=
mail/
Juergen Ilse
2012-06-06 11:13:37 UTC
Permalink
Hallo,
In der Antivirerei ist die Heuristik nichts andres als die Prüfung auf
Signaturähnlichkeiten, das wars dann auch schon.
Das was die Hersteller solcher Software so bezeichnen, ist nur das von dir
erwaehnte. Das aendert aber nichts an der Tatsache, dass die bei der Ver-
haltensanalyse verwendeten Methoden letztlich auch auf Heuristik (im eigent-
lichen Sinn, nicht in dem Sinne, wie die Hersteller solcher Software den
Begriff verwenden) beruhen. Das wollte ich mit meinem Posting ausdruecken.
Eigentloich bezeichnet naemlich der Begriff Heuristik eher "mehr oder weniger
qualifiziertes raten", nicht mehr ...

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Helmut Hullen
2012-06-06 11:54:00 UTC
Permalink
Hallo, Daniel,
Verhaltensanalyse prüft das logische Verhalten der Software und soll
"verdächtiges Benehmen melden"
Mag sein.
Ich unterstelle einfach mal, dass Du keinen Virenscanner benutzt. Wie
stellst Du fest, ob sich ein Virus in Dein System eingenistet hat?

Viele Gruesse!
Helmut
Daniel Kohl
2012-06-06 13:31:49 UTC
Permalink
Post by Helmut Hullen
Hallo, Daniel,
Verhaltensanalyse pr=FCft das logische Verhalten der Software und sol=
l
Post by Helmut Hullen
"verd=E4chtiges Benehmen melden"
Mag sein.
Ich unterstelle einfach mal, dass Du keinen Virenscanner benutzt. Wie
stellst Du fest, ob sich ein Virus in Dein System eingenistet hat?
Viele Gruesse!
Helmut
Gegenfrage: Und du als AV-Benutzer, wie erkennst du ihn? Und sag jetzt =

nicht "aber mein AV"!
Das sagt dir in der Regel eben nicht, das sich ein Virus eingeschlichen =
=

hat.

Wie werden denn die meisten "Superviren" erkannt? Doch nicht durch =

AV-Software, sondern durch ihre Aktivit=E4t!
Sind sie einmal bekannt, brauch ich auch blo=DF kein AV, denn dann weis =
ich =

wie sie arbeiten und passe mein Sicherheitskonzept ggf. an.

Da unterstellst du teilweise richtig. In meinem Sicherheitskonzept haben=
=

Virenscanner durchaus ihren Platz.
Jedoch nicht zum Schutz und nicht auf dem System, sondern als Live DVD. =
=

Ich nutze ganz gerne Desinfect der CT,
da diese eh abonniert ist. Jedoch setze ich diese 4 Scanengines weder zu=
m =

Schutz ein, noch installiere ich irgendwas.

Der Trick bei mir besteht darin, dass ich wirksam verhindere, dass sich =
=

=FCberhaupt ein Virsu "einschleichen" kann.
Konsequentes Softwarewhitelisting, striktes Multiuserprinzip und damit =

verbundene NTFS Berechtigungen und
du verhinderst, dass =FCberhaupt ein Virus auf dem PC ausgef=FChrt werde=
n kann.

Ich habe meinetwegen 10 Programme, die erlaubt sind, die ich pflegen und=
=

hegen muss, >>deren Verhalten ich kenne<<.
Das ist besser als der Wettlauf, hunderttausende unbekannte Programme =

blacklisten zu wollen. Zu denen t=E4glich hunderte,
wenn nicht tausende, dazu kommen. Ein Wettlauf, den man nicht gewinnen =

kann. Und daf=FCr diese unvollst=E4ndige Liste f=FCr einen pflegen zu la=
ssen,
bezahlt man dann m=F6glicherweise auch noch Geld!

Zus=E4tzlich nutze ich noch eine Spielerei wie EMET, die bestimmte gezie=
lte =

Angriffsszenarien etwas erschwert.

Sicherlich bleiben IMMER die M=F6glichkeiten von ganz gezielten Angriffe=
n =

auf ein ganz bestimmtes System.
Aber selbst da behaupte ich, mache ich es dem Angreifer schwerer, als =

w=FCrde ich einfach nur Schlangen=F6l-Software installieren
und hoffen, dass sie mich sch=FCtzt.

Wovor mein Sicherheitskonzept nicht sch=FCtzt, sch=FCtzt dich auch kein =
=

AV-Programm. Von daher stellt sich die Frage nach dem Erkennen nicht.


Nat=FCrlich ist mir bewusst, dass (beispielsweise) eine vertrauensw=FCrd=
ige =

Installationsquelle kompromitiert sein k=F6nnte.
Dass es immer die M=F6glichkeit gibt, ein Sicherheitskonzept zu umgehen,=
und =

sei sie noch so komplex, aber es gibt sie meist.

Daher nutze ich ganz gerne, als kleinen Teil des Konzeptes, einen =

Offlinescanner wie Desinfect.
Jedoch nicht als Schutzmechanismus!

Einfach um auch die sehr geringe Eventualit=E4t einer Kompromittierung =

mindestens auf Schlang=F6lbasis zu erkennen,
ohne durch die Installation weitere Sicherheitsl=FCcken aufzurei=DFen, o=
der =

mir das virenhafte, sch=E4dliche Verhalten von
"Live-Guards" antun zu m=FCssen. Eher nach dem Motto: Naja, schaden tut =
es =

so ja auch nichts, als dass ich wirklich vom
Sinn =FCberzeugt w=E4re.

Gebraucht habe ich es auf den von mir konfigurierten Ger=E4ten in all de=
n =

Jahren genau NULL mal.


-- =

Erstellt mit Operas revolution=E4rem E-Mail-Modul: http://www.opera.com/=
mail/
Helmut Hullen
2012-06-06 15:17:00 UTC
Permalink
Hallo, Daniel,
Post by Daniel Kohl
Post by Helmut Hullen
Verhaltensanalyse prüft das logische Verhalten der Software und
soll "verdächtiges Benehmen melden"
Mag sein.
Ich unterstelle einfach mal, dass Du keinen Virenscanner benutzt.
Wie stellst Du fest, ob sich ein Virus in Dein System eingenistet
hat?
Gegenfrage: Und du als AV-Benutzer, wie erkennst du ihn? Und sag
jetzt nicht "aber mein AV"!
Was mir bisher zugeschickt wurde, das hatte entweder schon mein E-Mail-
Provider oder aber mein eigener Filter vorsortiert. Und dann reichte
fast immer ein Blick auf den Absender.

Zu Sasser-Zeiten reichte ein Blick auf die Dateigrösse und auf die Menge
der (Schrott-)Pakete.

Beim Albaner-Virus reicht ein Blick auf den Inhalt.

Bei "root kits" (auf der Linux-Seite) verlasse ich mich weitgehend auf
meine Scanner.

Zusammengefasst: "das kommt drauf an!"
Post by Daniel Kohl
Das sagt dir in der Regel eben nicht, das sich ein Virus
eingeschlichen hat.
Nein? Meine Virenscanner sagen das aber. Sollte ich sie ersetzen?
Post by Daniel Kohl
Wie werden denn die meisten "Superviren" erkannt? Doch nicht durch
AV-Software, sondern durch ihre Aktivität!
Mag sein - so etwas scheint bei meinen Rechnern noch nicht eingebaut zu
sein. Mache ich was falsch?
Post by Daniel Kohl
Sind sie einmal bekannt, brauch ich auch bloß kein AV, denn dann weis
ich wie sie arbeiten und passe mein Sicherheitskonzept ggf. an.
Du willst hier doch nicht etwa offen eingestehen, dass auch Dein
Sicherheitskonzept keinen 100-prozentigen Schutz liefert?
Post by Daniel Kohl
Da unterstellst du teilweise richtig. In meinem Sicherheitskonzept
haben Virenscanner durchaus ihren Platz.
Jedoch nicht zum Schutz und nicht auf dem System, sondern als Live
DVD. Ich nutze ganz gerne Desinfect der CT,
da diese eh abonniert ist. Jedoch setze ich diese 4 Scanengines weder
zum Schutz ein, noch installiere ich irgendwas.
Hmmm - ich habe eine Weile mit dem Paket experimentiert. Für eine Live-
CD ist es mir zu unhandlich. Aber jeder nach seinen Fähigkeiten ...
Post by Daniel Kohl
Der Trick bei mir besteht darin, dass ich wirksam verhindere, dass
sich überhaupt ein Virsu "einschleichen" kann.
Aha - also kommt bei Dir sowieso keine Schadsoftware auf den Rechner.
Dann müsstest Du aber auch nicht mit einer Live-CD jonglieren.
Post by Daniel Kohl
Konsequentes Softwarewhitelisting, striktes Multiuserprinzip und
damit verbundene NTFS Berechtigungen und
du verhinderst, dass überhaupt ein Virus auf dem PC ausgeführt werden
kann.
Aber dann hätte er sich ja bereits eingeschlichen.
Auf einem meiner Rechner liegen inzwischen etwa 30 Virenpakete - die
richten keinen Schaden an.
Post by Daniel Kohl
Wovor mein Sicherheitskonzept nicht schützt, schützt dich auch kein
AV-Programm. Von daher stellt sich die Frage nach dem Erkennen nicht.
Doch.
Du betreibst viel manuellen Aufwand und weisst, dass Du keinen 100-
prozentigen Schutz hast.
Ich verlagere den grössten Teil der Arbeit auf Automaten - reicht bei
meinen Rechnern. Und entlastet mich.
Post by Daniel Kohl
Daher nutze ich ganz gerne, als kleinen Teil des Konzeptes, einen
Offlinescanner wie Desinfect.
Jedoch nicht als Schutzmechanismus!
[...]
Post by Daniel Kohl
Gebraucht habe ich es auf den von mir konfigurierten Geräten in all
den Jahren genau NULL mal.
Bei meinem Schutzsystem habe ich in den letzten etwa 20 Jahren keinen
Virenbefall gehabt ... ohne zusätzlichen Arbeitsaufwand.

Viele Gruesse!
Helmut
Daniel Kohl
2012-06-06 16:40:32 UTC
Permalink
Post by Helmut Hullen
Nein? Meine Virenscanner sagen das aber. Sollte ich sie ersetzen?
Ich begr=FCnde nun, wie viele sicher schon vor mir, nochmal, warum diese=
das =

nicht tun K=D6NNEN:

Das Konzept, welches du favorisierst, ist, erst mal alles jedem auf dem =
=

Rechner zu erlauben.
Genauer: alle Programme ausf=FChrbar zu halten, vollkommen egal woher si=
e =

stammen und was sie sind.
Und dann sp=E4ter das "b=F6se Zeug" an Hand einer Liste zu verbieten.

Dadurch bedingt:

Zum Einen m=FCssen hunderttausende (Schad)Programme geblacklistet werden=
, =

die du eben dann als Ausnahme NICHT ausf=FChren willst.
Du befindest dich also st=E4ndig in einem Wettlauf mit den =

Virenprogrammierern,
den du niemals gewinnen kannst. Das liegt in der Natur der Sache.
Denn der Virus muss ja irgendwo schon einmal Schaden angerichtet haben, =
um =

=FCberhaupt zur
Analyse eingereicht zu werden.

Zum Anderen gibt es stets ein mehr oder minder gro=DFes Zeitfenster,
vom ersten Auftreten, bis zum Erscheinen auf der Blacklist. Also der =

Signaturendatenbank.
Je nach dem, wie "gut" der Virus gemacht ist, k=F6nnen dies auch schonma=
l =

Jahre sein,
wie das aktuelle Beispiel zeigt.

Heuristiken funktionieren nicht, da der Vergleich von Signaturen mit =

bekannten Viren auf Ab=E4nderungen
und =C4hnlichkeiten sehr leicht umgangen werden kann.

Verhaltensanalyse ist "kaputt by Design".


Ich behaupte, nein ich wei=DF es, dass jeder versierte 16 J=E4hrige, der=
mit =

einem Virenbaukasten umzugehen wei=DF,
dir innerhalb von einigen Stunden einen Virus auftischt, der weder von =

deinem Virenprogramm erkannt wird,
noch auf irgendeiner Signaturdatenbank zu finden ist, solang du ihn nich=
t =

als verd=E4chtig einreichst.
Und selbst dann dauert es nochmal.

Jeder, der sich ernsthaft mit IT-Sicherheit befasst, wird dir sagen, das=
s =

dein Konzept einfach f=FCrn Popo
ist, wenn du in so einem Wettlauf gefangen bist und du Umdenken solltest=
. =

Das betrifft jetzt nicht nur AV Programme,
sondern ist eine Grundlage.
Post by Helmut Hullen
Post by Daniel Kohl
Wie werden denn die meisten "Superviren" erkannt? Doch nicht durch
AV-Software, sondern durch ihre Aktivit=E4t!
Mag sein - so etwas scheint bei meinen Rechnern noch nicht eingebaut z=
u
Post by Helmut Hullen
sein. Mache ich was falsch?
Okay, entschuldige, mit so viel Polemik h=E4tte ich jetzt gar nicht =

gerechnet.
Rhetorisch geschickter von mir w=E4re es gewesen, "Superviren" durch "ne=
uen =

Viren"
zu ersetzen.
Ich dachte aber, der Sinn erschlie=DFt sich und wird nicht absichtlich =

falsch verstanden um
ihn dann,folglich auch falsch, auszuschlachten. Mein Fehler.

Aber um bei deinem kleinen polemischen Sticheleien zu bleiben:
Der "Schein" wird dich m=F6glicherweise tr=FCgen, denn Schutz davor hast=
du =

NULL.
Post by Helmut Hullen
Post by Daniel Kohl
Sind sie einmal bekannt, brauch ich auch blo=DF kein AV, denn dann we=
is
Post by Helmut Hullen
Post by Daniel Kohl
ich wie sie arbeiten und passe mein Sicherheitskonzept ggf. an.
Du willst hier doch nicht etwa offen eingestehen, dass auch Dein
Sicherheitskonzept keinen 100-prozentigen Schutz liefert?
Wer behauptet denn, er k=F6nne 100%igen Schutz liefern? Das w=E4re grobe=
r =

Unfug von Grund auf.
Ich bin aber in der Lage, im Gegensatz zu AV-Programmen, mich =DCBERHAUP=
T zu =

sch=FCtzen.
Post by Helmut Hullen
Post by Daniel Kohl
Da unterstellst du teilweise richtig. In meinem Sicherheitskonzept
haben Virenscanner durchaus ihren Platz.
Jedoch nicht zum Schutz und nicht auf dem System, sondern als Live
DVD. Ich nutze ganz gerne Desinfect der CT,
da diese eh abonniert ist. Jedoch setze ich diese 4 Scanengines weder=
zum Schutz ein, noch installiere ich irgendwas.
Hmmm - ich habe eine Weile mit dem Paket experimentiert. F=FCr eine Li=
ve-
Post by Helmut Hullen
CD ist es mir zu unhandlich. Aber jeder nach seinen F=E4higkeiten ...
Verstehe ich jetzt nicht. Desinfect IST eine (Ubuntu)LiveCD- welche nur =
4 =

AV Engines enth=E4lt.
Wo ganau ist da das Problem?
Post by Helmut Hullen
Post by Daniel Kohl
Der Trick bei mir besteht darin, dass ich wirksam verhindere, dass
sich =FCberhaupt ein Virsu "einschleichen" kann.
Aha - also kommt bei Dir sowieso keine Schadsoftware auf den Rechner.
Dann m=FCsstest Du aber auch nicht mit einer Live-CD jonglieren.
Bei mir kann in der keine Schadsoftware ausgef=FChrt werden, nein.
Die Live CD dient nicht dem Schutz, sondern der Analyse.
Post by Helmut Hullen
Post by Daniel Kohl
Konsequentes Softwarewhitelisting, striktes Multiuserprinzip und
damit verbundene NTFS Berechtigungen und
du verhinderst, dass =FCberhaupt ein Virus auf dem PC ausgef=FChrt we=
rden
Post by Helmut Hullen
Post by Daniel Kohl
kann.
Aber dann h=E4tte er sich ja bereits eingeschlichen.
Auf einem meiner Rechner liegen inzwischen etwa 30 Virenpakete - die
richten keinen Schaden an.
Wann sollte er sich bitte einschleichen? Das Systenm wird aufgesetzt und=
=

entsprechend Konfiguriert, ehe es
produktiv wird.

Auf meinen Rechnern befinden sich daher genau NULL
Virenpackete und richten somit ebenfalls keinen Schaden an.
Post by Helmut Hullen
Post by Daniel Kohl
Wovor mein Sicherheitskonzept nicht sch=FCtzt, sch=FCtzt dich auch ke=
in
Post by Helmut Hullen
Post by Daniel Kohl
AV-Programm. Von daher stellt sich die Frage nach dem Erkennen nicht.=
Doch.
Du betreibst viel manuellen Aufwand und weisst, dass Du keinen 100-
prozentigen Schutz hast.
Ich verlagere den gr=F6ssten Teil der Arbeit auf Automaten - reicht be=
i
Post by Helmut Hullen
meinen Rechnern. Und entlastet mich.
Und das ist eben ein Irrglaube und weit verbreiteter Mythos. Es gibt nun=
=

mal keine Sicherheit auf Knopfdruck.
Es gibt ebensowenig Sicherheit, dadurch, dass man einmal etwas =

konfiguriert und es dann in Ruhe l=E4sst
und sich denkt "Nun bin ich ja sicher".

Nein, es ist vielmehr ein immerw=E4hrender Prozess und bedarf st=E4ndige=
r =

Aufmerksamkeit.
Es m=FCssen st=E4ndig Logs gepr=FCft, Prozesse wie Installationen gr=FCn=
dlich =

geplant und durchgef=FChrt
und somit ein gewisser Aufwand betrieben werden, wenn man auf Sicherheit=
=

wirklich Wert legt.
Alles Andere ist Augenwischerei.
Post by Helmut Hullen
Post by Daniel Kohl
Daher nutze ich ganz gerne, als kleinen Teil des Konzeptes, einen
Offlinescanner wie Desinfect.
Jedoch nicht als Schutzmechanismus!
[...]
Post by Daniel Kohl
Gebraucht habe ich es auf den von mir konfigurierten Ger=E4ten in all=
den Jahren genau NULL mal.
Bei meinem Schutzsystem habe ich in den letzten etwa 20 Jahren keinen
Virenbefall gehabt ... ohne zus=E4tzlichen Arbeitsaufwand.
Du wirst es mir nachsehen, wenn es mir schwer f=E4llt, das zu glauben.
Da du dich ja scheinbar alleine, oder wenigsten haupts=E4chlich,
auf deine Software verl=E4sst, w=FCrde dir ein Befall wahrscheinlich nic=
ht =

auffallen, wenn dein AV nicht anschl=E4gt.



-- =

Erstellt mit Operas revolution=E4rem E-Mail-Modul: http://www.opera.com/=
mail/
Helmut Hullen
2012-06-06 17:16:00 UTC
Permalink
Hallo, Daniel,
Post by Helmut Hullen
Nein? Meine Virenscanner sagen das aber. Sollte ich sie ersetzen?
Ich begründe nun, wie viele sicher schon vor mir, nochmal, warum
Das Konzept, welches du favorisierst, ist, erst mal alles jedem auf
dem Rechner zu erlauben.
Nein.
Du gehst von einer falschen Annahme aus. Damit taugen die
Schlussfolgerungen nichts.
Der "Schein" wird dich möglicherweise trügen, denn Schutz davor hast
du NULL.
Das gilt für jeden Schutzmechanismus, das gilt auch für Deine
Bestrebungen, Deinen Rechner zu schützen.
Wer behauptet denn, er könne 100%igen Schutz liefern? Das wäre grober
Unfug von Grund auf.
Ich bin aber in der Lage, im Gegensatz zu AV-Programmen, mich
ÜBERHAUPT zu schützen.
Auch Virenscanner können beim Schutz helfen. Genauso wie Deine
(mehreren) Teil-Verfahren.
Post by Helmut Hullen
Post by Daniel Kohl
Ich nutze ganz gerne Desinfect der CT,
Hmmm - ich habe eine Weile mit dem Paket experimentiert. Für eine
Live- CD ist es mir zu unhandlich. Aber jeder nach seinen
Fähigkeiten ...
Verstehe ich jetzt nicht. Desinfect IST eine (Ubuntu)LiveCD- welche
nur 4 AV Engines enthält.
Wo ganau ist da das Problem?
Kannst Du im zugehörigen Forum nachlesen. Da tauchen etliche Beiträge
auch von mir auf, die die Langzeit-Tauglichkeit usw. betreffen. Das
müssen wir nicht unbedingt hierhin kopieren.

[...]
Wann sollte er sich bitte einschleichen? Das Systenm wird aufgesetzt
und entsprechend Konfiguriert, ehe es
produktiv wird.
Auf meinen Rechnern befinden sich daher genau NULL
Virenpackete und richten somit ebenfalls keinen Schaden an.
"Man muss nur fest dran glauben!"
Post by Helmut Hullen
Ich verlagere den grössten Teil der Arbeit auf Automaten - reicht
bei meinen Rechnern. Und entlastet mich.
Und das ist eben ein Irrglaube und weit verbreiteter Mythos. Es gibt
nun mal keine Sicherheit auf Knopfdruck.
Habe ich nirgendwo behauptet, also musst Du nichts derartiges
widerlegen.
Es gibt ebensowenig Sicherheit, dadurch, dass man einmal etwas
konfiguriert und es dann in Ruhe lässt
und sich denkt "Nun bin ich ja sicher".
Aha!

Wer sagte gerade eben "Auf meinen Rechnern befinden sich daher genau
NULL Virenpackete und richten somit ebenfalls keinen Schaden an."?
Nein, es ist vielmehr ein immerwährender Prozess und bedarf ständiger
Aufmerksamkeit.
Es müssen ständig Logs geprüft, Prozesse wie Installationen gründlich
geplant und durchgeführt
und somit ein gewisser Aufwand betrieben werden, wenn man auf
Sicherheit wirklich Wert legt.
Alles Andere ist Augenwischerei.
Eben - das kann ich mit wenig weiterem Aufwand haben - wie bei meinen
Rechnern seit etwa 20 Jahren - oder aber mit viel weiterem Aufwand.

Also bleibe ich bei meinen Verfahren.
Post by Helmut Hullen
Bei meinem Schutzsystem habe ich in den letzten etwa 20 Jahren
keinen Virenbefall gehabt ... ohne zusätzlichen Arbeitsaufwand.
Du wirst es mir nachsehen, wenn es mir schwer fällt, das zu glauben.
Klar - fällt unter Glaubensfreiheit.
Da du dich ja scheinbar alleine, oder wenigsten hauptsächlich,
auf deine Software verlässt, würde dir ein Befall wahrscheinlich
nicht auffallen, wenn dein AV nicht anschlägt.
Du gehst schon wieder von falschen Annahmen aus.

Zudem: wenn mir nichts auffällt, dann ist das kein Indiz dafür, dass der
Rechner frei von Schad-Software ist.

Viele Gruesse!
Helmut
Daniel Kohl
2012-06-06 17:57:01 UTC
Permalink
Post by Helmut Hullen
Hallo, Daniel,
Post by Daniel Kohl
Post by Helmut Hullen
Nein? Meine Virenscanner sagen das aber. Sollte ich sie ersetzen?
Ich begr=FCnde nun, wie viele sicher schon vor mir, nochmal, warum
Das Konzept, welches du favorisierst, ist, erst mal alles jedem auf
dem Rechner zu erlauben.
Nein.
Du gehst von einer falschen Annahme aus. Damit taugen die
Schlussfolgerungen nichts.
Was ist Softwareblacklisteing, also ein Av denn dann, vom Prinzip her? =

Alles zulassen und unerw=FCnschtes Blacklisten,
Thats AV-Software.

W=FCrdest du Whitelisting verwenden, br=E4uchtest du kein Blacklisting m=
ehr. =

Dein AV w=E4re schlich =FCberfl=FCssig.
Daher meine Schlussfolgerung.


Wie w=E4re es denn, wenn du dein Sicherheitskonzept einmal grob umrissen=
=

vorstellst? Dass es auf Blacklisting beruht,
war f=FCr mich offensichtlich. Wenn ich also falsch gefolgert habe, dann=
=

kl=E4re mich doch bitte auf!
Post by Helmut Hullen
Post by Daniel Kohl
Der "Schein" wird dich m=F6glicherweise tr=FCgen, denn Schutz davor h=
ast
Post by Helmut Hullen
Post by Daniel Kohl
du NULL.
Das gilt f=FCr jeden Schutzmechanismus, das gilt auch f=FCr Deine
Bestrebungen, Deinen Rechner zu sch=FCtzen.
Post by Daniel Kohl
Wer behauptet denn, er k=F6nne 100%igen Schutz liefern? Das w=E4re gr=
ober
Post by Helmut Hullen
Post by Daniel Kohl
Unfug von Grund auf.
Ich bin aber in der Lage, im Gegensatz zu AV-Programmen, mich
=DCBERHAUPT zu sch=FCtzen.
Auch Virenscanner k=F6nnen beim Schutz helfen. Genauso wie Deine
(mehreren) Teil-Verfahren.
Eben nicht. Siehe die, nun wirklich ausf=FChrliche Beschreibung, warum n=
icht.
Ich mag mich da jetzt nicht st=E4ndig wiederholen.
Gehe doch bitte auf die sachlichen, von mir angef=FChrten Argumente ein =
und =

f=FChre m=F6glichst Beispiele an.
Ansonsten knallen wir uns doch nur Standpunkte an den Kopf. Das ist kein=
e =

gesunde Basis f=FCr eine
sinnvolle Diskussion.

Ich stimme dir so weit zu, dass es f=FCr jemdnen, der keine Ahnung und =

keinen hat, der ihm hilft und
den er fragen kann, sowie keinerlei Interesse am Rechner zeigt, sich mit=
=

aller Macht Cracks installieren will
und Keygens nutzt, m=F6glicherweise besser ist, als nichts.
Post by Helmut Hullen
Post by Daniel Kohl
Wann sollte er sich bitte einschleichen? Das Systenm wird aufgesetzt
und entsprechend Konfiguriert, ehe es
produktiv wird.
Auf meinen Rechnern befinden sich daher genau NULL
Virenpackete und richten somit ebenfalls keinen Schaden an.
"Man muss nur fest dran glauben!"
Ich weis es. Viren w=FCrden zumindest versuchen aktiv zu werden.
Das w=FCrde ich in meinen LOGS sehen. Das mal etwas "drive by" in =

irgendeinem TEMP Verzeichnis landet
und sich versucht von dort aus weiter zu kopieren oder sich auszuf=FChre=
n =

kommt vor.
Dies misslingt aber zuverl=E4ssig und ist im LOG ersichtlich. Das ausf=FC=
hren =

wird verhindert, der Inhalt des TEMP
ohnehin regelm=E4ssig gel=F6scht. ENDE

Immernoch besser als 30 installierte Virenpackete, die du ja scheinbar =

nicht mal mehr l=F6schen kannst, da sie sich
wohl schon installiert haben. Oder warum haust du sie nicht einfach runt=
er?
Post by Helmut Hullen
Post by Daniel Kohl
Post by Helmut Hullen
Ich verlagere den gr=F6ssten Teil der Arbeit auf Automaten - reicht
bei meinen Rechnern. Und entlastet mich.
Und das ist eben ein Irrglaube und weit verbreiteter Mythos. Es gibt
nun mal keine Sicherheit auf Knopfdruck.
Habe ich nirgendwo behauptet, also musst Du nichts derartiges
widerlegen.
Die Aussage, dass du die meiste Arbeit "Automaten" =FCberl=E4sst, klingt=
dann =

aber doch sehr nach
diesem Irrglauben.
Post by Helmut Hullen
Post by Daniel Kohl
Es gibt ebensowenig Sicherheit, dadurch, dass man einmal etwas
konfiguriert und es dann in Ruhe l=E4sst
und sich denkt "Nun bin ich ja sicher".
Aha!
Wer sagte gerade eben "Auf meinen Rechnern befinden sich daher genau
NULL Virenpackete und richten somit ebenfalls keinen Schaden an."?
Woher ich das aktuell wei=DF, habe ich oben begr=FCndet. Sieh diese Auss=
age =

bitte im Zusammenhang und
beziehe sie nicht auf einen Satz.
Post by Helmut Hullen
Post by Daniel Kohl
Nein, es ist vielmehr ein immerw=E4hrender Prozess und bedarf st=E4nd=
iger
Post by Helmut Hullen
Post by Daniel Kohl
Aufmerksamkeit.
Es m=FCssen st=E4ndig Logs gepr=FCft, Prozesse wie Installationen gr=FC=
ndlich
Post by Helmut Hullen
Post by Daniel Kohl
geplant und durchgef=FChrt
und somit ein gewisser Aufwand betrieben werden, wenn man auf
Sicherheit wirklich Wert legt.
Alles Andere ist Augenwischerei.
Eben - das kann ich mit wenig weiterem Aufwand haben - wie bei meinen
Rechnern seit etwa 20 Jahren - oder aber mit viel weiterem Aufwand.
Wenn du den erforderlichen Aufwand betreibst, kannst du auf AV Software =
=

verzichten,
denn dann ist sie schlicht =FCberfl=FCssig.
Post by Helmut Hullen
Also bleibe ich bei meinen Verfahren.
Das m=F6chte ich dir auch auf gar keinen Fall ausreden. Ich ging, aufgru=
nd =

deiner Frage, an ernsthaftem
Interesse im Zuge der st=E4ndigen Weiterentwicklung und dem =DCberdenken=
des =

eigenen Sicherheitskonzeptes
deinerseits aus und wollte dir so viele Informationen als Antwort geben,=
=

wie m=F6glich.

Dachte du wolltest dir da m=F6glicherweise ein paar Anregungen raus zieh=
en. =

Und nicht, dein nicht n=E4her beschriebes
Konzept verteidigen.




-- =

Erstellt mit Operas revolution=E4rem E-Mail-Modul: http://www.opera.com/=
mail/
Helmut Hullen
2012-06-06 18:36:00 UTC
Permalink
Hallo, Daniel,
Post by Daniel Kohl
Post by Helmut Hullen
Post by Daniel Kohl
Das Konzept, welches du favorisierst, ist, erst mal alles jedem auf
dem Rechner zu erlauben.
Nein.
Du gehst von einer falschen Annahme aus. Damit taugen die
Schlussfolgerungen nichts.
Was ist Softwareblacklisteing, also ein Av denn dann, vom Prinzip
her? Alles zulassen und unerwünschtes Blacklisten,
Thats AV-Software.
Würdest du Whitelisting verwenden, bräuchtest du kein Blacklisting
mehr. Dein AV wäre schlich überflüssig.
Daher meine Schlussfolgerung.
Sie ist falsch. Weil Du von falschen Annahmen ausgehst.

Viele Gruesse!
Helmut
Daniel Kohl
2012-06-06 18:44:15 UTC
Permalink
Post by Helmut Hullen
Hallo, Daniel,
Post by Daniel Kohl
Post by Helmut Hullen
Das Konzept, welches du favorisierst, ist, erst mal alles jedem auf=
dem Rechner zu erlauben.
Nein.
Du gehst von einer falschen Annahme aus. Damit taugen die
Schlussfolgerungen nichts.
Was ist Softwareblacklisteing, also ein Av denn dann, vom Prinzip
her? Alles zulassen und unerw=FCnschtes Blacklisten,
Thats AV-Software.
W=FCrdest du Whitelisting verwenden, br=E4uchtest du kein Blacklistin=
g
Post by Helmut Hullen
Post by Daniel Kohl
mehr. Dein AV w=E4re schlich =FCberfl=FCssig.
Daher meine Schlussfolgerung.
Sie ist falsch. Weil Du von falschen Annahmen ausgehst.
Viele Gruesse!
Helmut
Du verwendest also kein AV?


-- =

Erstellt mit Operas revolution=E4rem E-Mail-Modul: http://www.opera.com/=
mail/
Helmut Hullen
2012-06-06 19:18:00 UTC
Permalink
Hallo, Daniel,

Du meintest am 06.06.12:

[...]
Post by Daniel Kohl
Post by Helmut Hullen
Post by Daniel Kohl
Würdest du Whitelisting verwenden, bräuchtest du kein Blacklisting
mehr. Dein AV wäre schlich überflüssig.
Daher meine Schlussfolgerung.
Sie ist falsch. Weil Du von falschen Annahmen ausgehst.
Du verwendest also kein AV?
Auch diese Annahme ist falsch.

Viele Gruesse!
Helmut
Daniel Kohl
2012-06-06 19:22:27 UTC
Permalink
Post by Helmut Hullen
Hallo, Daniel,
[...]
Post by Daniel Kohl
Post by Helmut Hullen
W=FCrdest du Whitelisting verwenden, br=E4uchtest du kein Blacklist=
ing
Post by Helmut Hullen
Post by Daniel Kohl
Post by Helmut Hullen
mehr. Dein AV w=E4re schlich =FCberfl=FCssig.
Daher meine Schlussfolgerung.
Sie ist falsch. Weil Du von falschen Annahmen ausgehst.
Du verwendest also kein AV?
Auch diese Annahme ist falsch.
Viele Gruesse!
Helmut
Das war eine Frage! Kl=E4r mich doch einfach mal auf, oder soll ich noch=
ein =

wenig raten?


-- =

Erstellt mit Operas revolution=E4rem E-Mail-Modul: http://www.opera.com/=
mail/
Stefan Kanthak
2012-06-06 21:01:22 UTC
Permalink
Das war eine Frage! Klär mich doch einfach mal auf, oder soll ich noch ein
wenig raten?
Weder noch!
Sondern die Fuetterung des Gruppenclowns einstellen.
Das Hullen ist seit Jahren merkbefreit sollte in jedem gutsortierten
Killfile zu finden sein.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Ansgar -59cobalt- Wiechers
2012-06-06 21:22:40 UTC
Permalink
Das war eine Frage! Klär mich doch einfach mal auf, oder soll ich noch
ein wenig raten?
Hullen ist merkbefreit und sollte in keinem wohlsortierten Killfile
fehlen.</Aufklärung>

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Daniel Kohl
2012-06-08 15:07:01 UTC
Permalink
Hier mal noch ein aktuelles Beispiel, wie toll AVs sch=FCtzen:

http://www.heise.de/newsticker/meldung/Virenpost-durch-Postviren-1614043=
.html

"Eine Hand voll"

Und ich wette, das sind nicht die am weitesten verbreiteten, denn dort =

wurde sicher
gegengetestet.

-- =

Erstellt mit Operas revolution=E4rem E-Mail-Modul: http://www.opera.com/=
mail/
Helmut Hullen
2012-06-08 16:28:00 UTC
Permalink
Hallo, Daniel,
Post by Daniel Kohl
http://www.heise.de/newsticker/meldung/Virenpost-durch-Postviren-1614
043.html
"Eine Hand voll"
Das ist das prinzipbedingte Problem von Virenscannern: ganz neue Viren
erkennen sie nicht unbedingt.

Schön, dass auch Du das weisst.

Meine E-Mail-Provider benutzen weitere Programme, die bisher jedes Paket
dieser Art als verdächtig markiert haben, mein lokaler Filter reagiert
brav darauf und packt solche Pakete in ein spezielles Verzeichnis.

Ach ja: Virenscanner bieten keinen 100-prozentigen Schutz. Die Programme
meiner Provider auch nicht. Brain 1.x auch nicht.

Ist alles altbekannt. Jedenfalls für die allermeisten Leser in dieser
Newsgroup.

Viele Gruesse!
Helmut
Lars Gebauer
2012-06-08 18:00:21 UTC
Permalink
Post by Helmut Hullen
Das ist das prinzipbedingte Problem von Virenscannern: ganz neue Viren
erkennen sie nicht unbedingt.
Mit "nicht unbedingt" meinst Du "gar nicht"?
Post by Helmut Hullen
Ach ja: Virenscanner bieten keinen 100-prozentigen Schutz.
Es würde weiterhelfen, wenn man den Schutz den sie bieten (wollen),
korrekt definieren könnte. Solange das nicht geht ist ein auf
Virenscannern basierendes Konzept pure Esoterik.

Wenn jemand sagt "Virenscanner sind Teil eines /umfassenderen)
Konzeptes", dann könnte man in dieses Konzept auch das Schlachten von
schwarzen Hühnern bei Mitternacht aufnehmen. Schadet ja nicht aber hilft
vielleicht. Manchmal.
Helmut Hullen
2012-06-08 19:25:00 UTC
Permalink
Hallo, Lars,
Post by Lars Gebauer
Post by Helmut Hullen
Das ist das prinzipbedingte Problem von Virenscannern: ganz neue
Viren erkennen sie nicht unbedingt.
Mit "nicht unbedingt" meinst Du "gar nicht"?
Nein.
Post by Lars Gebauer
Post by Helmut Hullen
Ach ja: Virenscanner bieten keinen 100-prozentigen Schutz.
Es würde weiterhelfen, wenn man den Schutz den sie bieten (wollen),
korrekt definieren könnte. Solange das nicht geht ist ein auf
Virenscannern basierendes Konzept pure Esoterik.
So wie jeder andere Schutzmechanismus auch. Auch bei anderen
Schutzmechanismen kann der Schutz nicht "korrekt" definiert werden.

Nur am Rande: wie prüfst Du, ob Dein Rechner Schadsoftware enthält?

Viele Gruesse!
Helmut
Lars Gebauer
2012-06-09 09:55:28 UTC
Permalink
Post by Helmut Hullen
Post by Lars Gebauer
Post by Helmut Hullen
Das ist das prinzipbedingte Problem von Virenscannern: ganz neue
Viren erkennen sie nicht unbedingt.
Mit "nicht unbedingt" meinst Du "gar nicht"?
Nein.
Was dann?
Post by Helmut Hullen
Post by Lars Gebauer
Post by Helmut Hullen
Ach ja: Virenscanner bieten keinen 100-prozentigen Schutz.
Es würde weiterhelfen, wenn man den Schutz den sie bieten (wollen),
korrekt definieren könnte. Solange das nicht geht ist ein auf
Virenscannern basierendes Konzept pure Esoterik.
So wie jeder andere Schutzmechanismus auch. Auch bei anderen
Schutzmechanismen kann der Schutz nicht "korrekt" definiert werden.
Nonsens. Bei jeder tatsächlichen Sicherheitsmaßnahme gibt es eine
Spezifikation, gegen welche Form von Angriffen sie wie weit standhält.
Post by Helmut Hullen
Nur am Rande: wie prüfst Du, ob Dein Rechner Schadsoftware enthält?
Nur so am Rande: Warum versuchst Du vom Thema abzuweichen?
Helmut Hullen
2012-06-09 10:47:00 UTC
Permalink
Hallo, Lars,
Post by Lars Gebauer
Post by Helmut Hullen
Post by Lars Gebauer
Post by Helmut Hullen
Das ist das prinzipbedingte Problem von Virenscannern: ganz neue
Viren erkennen sie nicht unbedingt.
Mit "nicht unbedingt" meinst Du "gar nicht"?
Nein.
Was dann?
Ich meine damit "nicht unbedingt".
Post by Lars Gebauer
Post by Helmut Hullen
Post by Lars Gebauer
Post by Helmut Hullen
Ach ja: Virenscanner bieten keinen 100-prozentigen Schutz.
Es würde weiterhelfen, wenn man den Schutz den sie bieten (wollen),
korrekt definieren könnte. Solange das nicht geht ist ein auf
Virenscannern basierendes Konzept pure Esoterik.
So wie jeder andere Schutzmechanismus auch. Auch bei anderen
Schutzmechanismen kann der Schutz nicht "korrekt" definiert werden.
Nonsens. Bei jeder tatsächlichen Sicherheitsmaßnahme gibt es eine
Spezifikation, gegen welche Form von Angriffen sie wie weit
standhält.
Wo und wie wäre dabei das gern empfohlene "Brain 1.0" einzuordnen, wie
wäre es zu spezifizieren?
Post by Lars Gebauer
Post by Helmut Hullen
Nur am Rande: wie prüfst Du, ob Dein Rechner Schadsoftware enthält?
Nur so am Rande: Warum versuchst Du vom Thema abzuweichen?
Wenn Du 1 Verfahren derart verteufelst, dann wirst Du ja sicherlich
(mindestens) ein anderes Verfahren benutzen. Welches Verfahren benutzt
Du?

Viele Gruesse!
Helmut
Daniel Kohl
2012-06-09 15:07:08 UTC
Permalink
Nur am Rande: wie pr=FCfst Du, ob Dein Rechner Schadsoftware enth=E4lt=
?
Viele Gruesse!
Helmut
Diesen Diskussionsstrang hatten wir doch schon, bei dem du am Ende nicht=
=

weiter wusstest!

Aber geren nochmal: Schadsoftware erkennt man am Verhalten, nicht durch =
=

AVs.
Wann hat jemals ein AV einen Sch=E4dling "erkannt" und nicht ein Mensch
VOR dem Rechner. Noch NIE!

-- =

Erstellt mit Operas revolution=E4rem E-Mail-Modul: http://www.opera.com/=
mail/
Helmut Hullen
2012-06-09 15:27:00 UTC
Permalink
Hallo, Daniel,
Post by Helmut Hullen
Nur am Rande: wie prüfst Du, ob Dein Rechner Schadsoftware enthält?
Aber gern nochmal: Schadsoftware erkennt man am Verhalten, nicht
durch AVs.
Aha - "verhaltensbasiert" ... bei Virenscannern ist das unzuverlässig.
Bei Menschen ebenfalls.

Siehe "flame".
Wann hat jemals ein AV einen Schädling "erkannt" und nicht ein Mensch
VOR dem Rechner. Noch NIE!
Ich habe auf mehreren (fremden) Rechnern mit Hilfe von Virenscannern
Schad-Software entdeckt.
Einige meiner Kollegen auch.

Soviel zum Umfang Deines "NIE".

Viele Gruesse!
Helmut
Daniel Kohl
2012-06-09 15:53:30 UTC
Permalink
Post by Helmut Hullen
Hallo, Daniel,
Nur am Rande: wie pr=FCfst Du, ob Dein Rechner Schadsoftware enth=E4=
lt?
Post by Helmut Hullen
Aber gern nochmal: Schadsoftware erkennt man am Verhalten, nicht
durch AVs.
Aha - "verhaltensbasiert" ... bei Virenscannern ist das unzuverl=E4ssi=
g.
Post by Helmut Hullen
Bei Menschen ebenfalls.
Siehe "flame".
Es waren Menschen, die Flame entdeckt haben, keine Software.
Post by Helmut Hullen
Wann hat jemals ein AV einen Sch=E4dling "erkannt" und nicht ein Mens=
ch
Post by Helmut Hullen
VOR dem Rechner. Noch NIE!
Ich habe auf mehreren (fremden) Rechnern mit Hilfe von Virenscannern
Schad-Software entdeckt.
Einige meiner Kollegen auch.
Soviel zum Umfang Deines "NIE".
Viele Gruesse!
Helmut
Und auch hier, damit dein AV den Virus "melden" konnte mussten ihn erst=
=

Menschen
entdecken und finden. Was dein AV kann, ist Viren zu melden, die ein =

Mensch zuvor
gefunden und in eine Datenbank eingepflegt hat.

Warum machst du das nicht gleich selbst? Ist ganz einfach! Ben=F6tigt ka=
um =

Fachwissen und sollte daher
auch f=FCr dich umsetzbar sein!


-- =

Erstellt mit Operas revolution=E4rem E-Mail-Modul: http://www.opera.com/=
mail/
Helmut Hullen
2012-06-09 18:00:00 UTC
Permalink
Hallo, Daniel,
Post by Daniel Kohl
Post by Helmut Hullen
Aber gern nochmal: Schadsoftware erkennt man am Verhalten, nicht
durch AVs.
Aha - "verhaltensbasiert" ... bei Virenscannern ist das
unzuverlässig. Bei Menschen ebenfalls.
Siehe "flame".
Es waren Menschen, die Flame entdeckt haben, keine Software.
Nein. Die Software hatte "flame" schon vor langer Zeit entdeckt.
Menschen haben die Hinweise übersehen.
Post by Daniel Kohl
Post by Helmut Hullen
Wann hat jemals ein AV einen Schädling "erkannt" und nicht ein
Mensch VOR dem Rechner. Noch NIE!
[...]
Post by Daniel Kohl
Und auch hier, damit dein AV den Virus "melden" konnte mussten ihn
erst Menschen entdecken und finden. Was dein AV kann, ist Viren zu
melden, die ein Mensch zuvor gefunden und in eine Datenbank
eingepflegt hat.
Und sobald der Virus in der Datenbank ist, können Virenscanner ihn
entdecken, auch beim Rechner eines unbedarften Benutzers.
Post by Daniel Kohl
Warum machst du das nicht gleich selbst? Ist ganz einfach! Benötigt
kaum Fachwissen und sollte daher auch für dich umsetzbar sein!
Weil ich meinen Fähigkeiten misstraue. Ich hole lieber noch weitere
Meinungen ein und verlasse mich nicht einzig auf mich.

Viele Gruesse!
Helmut
Daniel Kohl
2012-06-09 18:45:22 UTC
Permalink
Post by Helmut Hullen
Hallo, Daniel,
Post by Daniel Kohl
Post by Helmut Hullen
Aber gern nochmal: Schadsoftware erkennt man am Verhalten, nicht
durch AVs.
Aha - "verhaltensbasiert" ... bei Virenscannern ist das
unzuverl=E4ssig. Bei Menschen ebenfalls.
Siehe "flame".
Es waren Menschen, die Flame entdeckt haben, keine Software.
Nein. Die Software hatte "flame" schon vor langer Zeit entdeckt.
Menschen haben die Hinweise =FCbersehen.
Und wer hat die Samples ein gesendet? Software? Unfug!
Die Software kann nur entdecken, was wir Menschen ihr beibringen. Liegt =
in =

der Natur der Sache.
Post by Helmut Hullen
Post by Daniel Kohl
Und auch hier, damit dein AV den Virus "melden" konnte mussten ihn
erst Menschen entdecken und finden. Was dein AV kann, ist Viren zu
melden, die ein Mensch zuvor gefunden und in eine Datenbank
eingepflegt hat.
Und sobald der Virus in der Datenbank ist, k=F6nnen Virenscanner ihn
entdecken, auch beim Rechner eines unbedarften Benutzers.
Nur ist das f=FCr die Praxis vollkommen irrelevant. relevant sind die ne=
uen =

Viren, die
t=E4glich zu Anwendung kommen und nicht die Viren anno 2010, die oft eh =
das =

neueste
Sicherheitsupdate unm=F6glich macht.

Der Knackpunkt ist doch, dass der Virus erstmal in Umlauf sein mu=DF, da=
mit =

er eingepflegt werden kann.
Er muss zun=E4chst mal ein System befallen haben, um, mit etwas Latenz, =
=

andre Systeme davor zu bewahren.

Somit ist es nur eine Frage der Zeit, bis du derjenige bist, den es =

trifft, und nicht jemand andres.
Post by Helmut Hullen
Post by Daniel Kohl
Warum machst du das nicht gleich selbst? Ist ganz einfach! Ben=F6tigt=
kaum Fachwissen und sollte daher auch f=FCr dich umsetzbar sein!
Weil ich meinen F=E4higkeiten misstraue. Ich hole lieber noch weitere
Meinungen ein und verlasse mich nicht einzig auf mich.
M=F6glicherweise ist da ja f=FCr dich der beste Ansatz.
Und mit "andere Meinungen" meinst du jetzt die Werbeslogans
der Verk=E4ufer, die ihr Schlangen=F6l los werden wollen und nicht die M=
einung =

von Fachleuten wie Stefan?
Komischer Ansatz, echt!


-- =

Erstellt mit Operas revolution=E4rem E-Mail-Modul: http://www.opera.com/=
mail/
Helmut Hullen
2012-06-09 19:10:00 UTC
Permalink
Hallo, Daniel,
Post by Helmut Hullen
Und sobald der Virus in der Datenbank ist, können Virenscanner ihn
entdecken, auch beim Rechner eines unbedarften Benutzers.
Nur ist das für die Praxis vollkommen irrelevant. relevant sind die
neuen Viren, die täglich zu Anwendung kommen und nicht die Viren anno
2010, die oft eh das neueste Sicherheitsupdate unmöglich macht.
Worauf stützt Du diese Behauptung? Hast Du belastbare Unterlagen, welche
Viren derzeit im Umlauf sind?
Post by Helmut Hullen
Post by Daniel Kohl
Warum machst du das nicht gleich selbst? Ist ganz einfach! Benötigt
kaum Fachwissen und sollte daher auch für dich umsetzbar sein!
Weil ich meinen Fähigkeiten misstraue. Ich hole lieber noch weitere
Meinungen ein und verlasse mich nicht einzig auf mich.
Möglicherweise ist da ja für dich der beste Ansatz.
Ja - ich halte mich nicht für unfehlbar.
Und mit "andere Meinungen" meinst du jetzt die Werbeslogans
der Verkäufer, die ihr Schlangenöl los werden wollen und nicht die
Meinung von Fachleuten wie Stefan?
Nein - Du gehst schon wieder von einer falschen Annahme aus.

Wenn Du mit Deinen Annahmen so oft voll daneben liegst, dann solltest Du
auch bei der Einschätzung des Verhaltens Deines Rechners Dich nicht
einzig auf Deine Einschätzung verlassen.
Komischer Ansatz, echt!
Den komischen Ansatz hast Du frei erfunden; gebricht es Dir an Fakten?

Viele Gruesse!
Helmut
Ralph Angenendt
2012-06-09 19:25:56 UTC
Permalink
Post by Helmut Hullen
Post by Helmut Hullen
Und sobald der Virus in der Datenbank ist, können Virenscanner ihn
entdecken, auch beim Rechner eines unbedarften Benutzers.
Nur überleben die meisten Viren gar nicht so lange. Und schon wieder ist
das Problem da, dass man sich durchaus was gefangen haben könnte, wenn
der Virenscanner nichts sagt. Und auch wenn er was sagt, dann hat man
eventuell was auf dem System, was gar nicht mehr funktioniert. Oder
zusätzlich etwas, was man nicht entdecken kann.

Und *wenn* man was auf dem System hat, dann nutzt der Virenscanner eh
nichts mehr, weil man dem System dann gar nicht mehr vertrauen kann.
Post by Helmut Hullen
Nur ist das für die Praxis vollkommen irrelevant. relevant sind die
neuen Viren, die täglich zu Anwendung kommen und nicht die Viren anno
2010, die oft eh das neueste Sicherheitsupdate unmöglich macht.
Worauf stützt Du diese Behauptung? Hast Du belastbare Unterlagen, welche
Viren derzeit im Umlauf sind?
Wie soll man das haben bei Viren, die eine Lebenszeit von ca. 4 Stunden
haben, woher soll man die bekommen, wenn täglich zwischen 30000 und
50000 neue Viren in Umlauf kommen?

Ralph
--
Als hätte es 100 Jahre Philosophie in Göttingen studiert ...
Helmut Hullen
2012-06-09 19:57:00 UTC
Permalink
Hallo, Ralph,
Post by Ralph Angenendt
Post by Helmut Hullen
Post by Helmut Hullen
Und sobald der Virus in der Datenbank ist, können Virenscanner ihn
entdecken, auch beim Rechner eines unbedarften Benutzers.
Nur überleben die meisten Viren gar nicht so lange. Und schon wieder
ist das Problem da, dass man sich durchaus was gefangen haben könnte,
wenn der Virenscanner nichts sagt. Und auch wenn er was sagt, dann
hat man eventuell was auf dem System, was gar nicht mehr
funktioniert. Oder zusätzlich etwas, was man nicht entdecken kann.
100-prozentige Sicherheit gibt es nicht. Bei keinem Verfahren.
Post by Ralph Angenendt
Und *wenn* man was auf dem System hat, dann nutzt der Virenscanner eh
nichts mehr, weil man dem System dann gar nicht mehr vertrauen kann.
Dem System kann ich nie trauen.
Auf einem meiner Rechner liegen etwa 20 Viren - na und?
Ein anderes habe ich gerade frisch aufgesetzt - ist es heute "sauber"?
Ist es auch morgen noch "sauber"?
Post by Ralph Angenendt
Post by Helmut Hullen
Nur ist das für die Praxis vollkommen irrelevant. relevant sind die
neuen Viren, die täglich zu Anwendung kommen und nicht die Viren
anno 2010, die oft eh das neueste Sicherheitsupdate unmöglich
macht.
Worauf stützt Du diese Behauptung? Hast Du belastbare Unterlagen,
welche Viren derzeit im Umlauf sind?
Wie soll man das haben bei Viren, die eine Lebenszeit von ca. 4
Stunden haben, woher soll man die bekommen, wenn täglich zwischen
30000 und 50000 neue Viren in Umlauf kommen?
Woher hast Du die Zahl von "zwischen 30000 und 50000 neue Viren"?

Ansonsten: wieso bekomme ich davon fast nichts ab? Das letzte Paket habe
ich vor mehr als 1 Woche bekommen - hat man mich vergessen?

Viele Gruesse!
Helmut

Daniel Kohl
2012-06-09 19:27:24 UTC
Permalink
Post by Helmut Hullen
Nein - Du gehst schon wieder von einer falschen Annahme aus.
Wenn Du mit Deinen Annahmen so oft voll daneben liegst, dann solltest =
Du
Post by Helmut Hullen
auch bei der Einsch=E4tzung des Verhaltens Deines Rechners Dich nicht
einzig auf Deine Einsch=E4tzung verlassen.
Post by Daniel Kohl
Komischer Ansatz, echt!
Den komischen Ansatz hast Du frei erfunden; gebricht es Dir an Fakten?=
Die Fakten sind, dass aktuelle Viren nun mal neu sind. Das ist eine =

Tatsache, da brauche ich keine Statistik.
Ich glaube, dazu brauche ich keine Statistik, die t=E4glichen Beispiel =

sprechen f=FCr sich.

Wen du dich vor Viren sch=FCtzen willst, musst du dich vor eben diesen =

sch=FCtzen k=F6nnen und das kann dein AV nun mal nicht.
Ansonsten ist die Infection nur ein Frage der Zeit.
Es ist doch wohl unstrittig, das t=E4glich hunderte, wenn nicht tausende=
=

neue Viren entsehen und in Umlauf kommen, oder?

Und wenn du dir die Statisken ma=F6 anschaust, was da so im Umlauf ist, =
zB =

die der TU Wien,
wirst du sehen, dass der Gro=DFteil Varianten =E4lterer Viren sind. Das =
in =

Verbinung mit der miesen Trefferquote
der Heuiristik sollte doch selbst dir zu einem logischen Schlu=DF verhel=
fen.

Und nein, ich verlasse mich nicht auf mich selbst, sondern hole mir Rat =
=

von Leuten die sich
damit auskennen, wenn ich nicht weiter weis, bzw Bilde mich weiter und =

nehme Rat an.

Solltest du auch mal probieren!

PS: Warum fall ich eigentlich imemr auf dieses Getrolle herein?


-- =

Erstellt mit Operas revolution=E4rem E-Mail-Modul: http://www.opera.com/=
mail/
Hans-Peter Matthess
2012-06-09 18:44:27 UTC
Permalink
Post by Helmut Hullen
Nur am Rande: wie prüfst Du, ob Dein Rechner Schadsoftware enthält?
Frag Herrn Hullen mal, ob und wie er abends, wenn er nach Hause kommt,
prüft, ob sich Einbrecher in der Wohnung eingenistet haben. Da wird er
sicher eine sehr umfangreiche Prozedur schildern.
Warum machst du das nicht gleich selbst? Ist ganz einfach! Benötigt kaum
Fachwissen und sollte daher auch für dich umsetzbar sein!
Es ist in der Tat einfach: mit einem brauchbaren Sicherheitskonzept entfällt
das Prüfen, man weiß, dass man keine Malware installiert hat bzw. keine
installieren wird.
Es gibt aber Leute mit einem krankhaften Prüffimmel, die ständig prüfen und
kontrollieren müssen. Obwohl z.B. Virenmails sofort als solche kenntlich
sind, wollen sie sie trotzdem prüfen. Sie messen sich regelmäßig auch jeden
Tag die Körpertemperatur, um die Gesundheit zu prüfen, gehen regelmäßig zum
Astrologen, um ihr Schicksal zu prüfen...
Man bezeichnet sie als Hypochonder und Esoteriker.
--
Scheinsicherheit und System-Zerstörung durch Virenscanner:
http://www.soehnitz.de/itsicherheit/virenscannersinnoderunsinn/index.html
Darum: http://www.soehnitz.de/itsicherheit/wassiewirklichbrauchen/index.html
Konfiguration einfach gemacht: http://home.arcor.de/skanthak/safer.html
Daniel Kohl
2012-06-09 19:06:06 UTC
Permalink
Es gibt aber Leute mit einem krankhaften Pr=FCffimmel, die st=E4ndig p=
r=FCfen =
und
kontrollieren m=FCssen. Obwohl z.B. Virenmails sofort als solche kennt=
lich
sind, wollen sie sie trotzdem pr=FCfen. Sie messen sich regelm=E4=DFig=
auch =
jeden
Tag die K=F6rpertemperatur, um die Gesundheit zu pr=FCfen, gehen regel=
m=E4=DFig =
zum
Astrologen, um ihr Schicksal zu pr=FCfen...
Man bezeichnet sie als Hypochonder und Esoteriker.
Das sehe ich anders. Sicherheit ist nun mal keine Sache, die man mal ebe=
n =

"macht,
sondern ein st=E4ndiger Prozess. Das regelm=E4=DFige Validieren gegen ei=
nen =

Sollzustand
ist dabei mEn Pflicht.

Deswegen bin ich doch weder Hypochonder noch Esoteriker!

-- =

Erstellt mit Operas revolution=E4rem E-Mail-Modul: http://www.opera.com/=
mail/
Ralf Brinkmann
2012-06-09 19:08:25 UTC
Permalink
Hallo Daniel!
Post by Daniel Kohl
Und auch hier, damit dein AV den Virus "melden" konnte mussten ihn
erst Menschen entdecken und finden.
Ich hab's immer gewusst: Die erste KlickTel-CD wurde von 1000 Chinesen
aus dem amtlichen Telefonbuch abgeschrieben und auch in meinem PC steckt
ein winzig kleiner, gelber Mann, der alles ganz schnell mitschreibt, was
ich außen so eintippe, den Zettel dann an andere kleine Männer
weiterreicht und am Ende sitzt dann wieder einer, der Dir von innen
einen Zettel gegen die Scheibe des sogenannten Monitors hält, damit Du
lesen kannst, was ich geschrieben habe.

Gruß, Ralf
--
Windows XP Home SP3
Opera 12.00 - 1450
The Bat! Pro 5.1.6.2
Daniel Kohl
2012-06-09 19:34:38 UTC
Permalink
Am 09.06.2012, 21:08 Uhr, schrieb Ralf Brinkmann =
Post by Ralf Brinkmann
Hallo Daniel!
Post by Daniel Kohl
Und auch hier, damit dein AV den Virus "melden" konnte mussten ihn
erst Menschen entdecken und finden.
Ich hab's immer gewusst: Die erste KlickTel-CD wurde von 1000 Chinesen=
aus dem amtlichen Telefonbuch abgeschrieben und auch in meinem PC stec=
kt
Post by Ralf Brinkmann
ein winzig kleiner, gelber Mann, der alles ganz schnell mitschreibt, w=
as
Post by Ralf Brinkmann
ich au=DFen so eintippe, den Zettel dann an andere kleine M=E4nner
weiterreicht und am Ende sitzt dann wieder einer, der Dir von innen
einen Zettel gegen die Scheibe des sogenannten Monitors h=E4lt, damit =
Du
Post by Ralf Brinkmann
lesen kannst, was ich geschrieben habe.
Gru=DF, Ralf
Alles wird gut!

-- =

Erstellt mit Operas revolution=E4rem E-Mail-Modul: http://www.opera.com/=
mail/
Juergen P. Meier
2012-06-09 05:07:41 UTC
Permalink
Post by Lars Gebauer
Post by Helmut Hullen
Das ist das prinzipbedingte Problem von Virenscannern: ganz neue Viren
erkennen sie nicht unbedingt.
Mit "nicht unbedingt" meinst Du "gar nicht"?
Post by Helmut Hullen
Ach ja: Virenscanner bieten keinen 100-prozentigen Schutz.
Es würde weiterhelfen, wenn man den Schutz den sie bieten (wollen),
korrekt definieren könnte. Solange das nicht geht ist ein auf
Virenscannern basierendes Konzept pure Esoterik.
AV-Software bietet Schutz prinzipiell nur vor einer sache:
Wegen fahrlaessigem Handeln verklagt zu werden.

Und selbst das nicht zu 100%.
Post by Lars Gebauer
Wenn jemand sagt "Virenscanner sind Teil eines /umfassenderen)
Konzeptes", dann könnte man in dieses Konzept auch das Schlachten von
schwarzen Hühnern bei Mitternacht aufnehmen. Schadet ja nicht aber hilft
vielleicht. Manchmal.
Katzen!
Hans-Peter Matthess
2012-06-09 14:26:24 UTC
Permalink
Post by Juergen P. Meier
Wegen fahrlaessigem Handeln verklagt zu werden.
Wo bleiben eigentlich die Leute, die die Hersteller von AV-Ware wegen
fahrlässigem Handeln verklagen? Oder: wo bleiben die Leute, die die Nutzer
von AV-Ware wegen fahrlässigem Handeln verklagen? IMHO ist es höchste Zeit
dafür.
--
Scheinsicherheit und System-Zerstörung durch Virenscanner:
http://www.soehnitz.de/itsicherheit/virenscannersinnoderunsinn/index.html
Darum: http://www.soehnitz.de/itsicherheit/wassiewirklichbrauchen/index.html
Konfiguration einfach gemacht: http://home.arcor.de/skanthak/safer.html
Uwe Premer
2012-06-09 14:28:48 UTC
Permalink
Post by Hans-Peter Matthess
Post by Juergen P. Meier
Wegen fahrlaessigem Handeln verklagt zu werden.
Wo bleiben eigentlich die Leute, die die Hersteller von AV-Ware wegen
fahrlässigem Handeln verklagen? Oder: wo bleiben die Leute, die die Nutzer
von AV-Ware wegen fahrlässigem Handeln verklagen? IMHO ist es höchste Zeit
dafür.
Tja, Ihr 2. Ihr seid dann gefragte Leute.
Also nicht aufrufen zum Verklagen, sondern selber machen!

Und, was ist jetzt?
Uwe
Hans-Peter Matthess
2012-06-09 14:46:42 UTC
Permalink
Post by Uwe Premer
Also nicht aufrufen zum Verklagen, sondern selber machen!
OK, du bekommst demnächst Post von meinem Anwalt. <eg>
--
Scheinsicherheit und System-Zerstörung durch Virenscanner:
http://www.soehnitz.de/itsicherheit/virenscannersinnoderunsinn/index.html
Darum: http://www.soehnitz.de/itsicherheit/wassiewirklichbrauchen/index.html
Konfiguration einfach gemacht: http://home.arcor.de/skanthak/safer.html
Uwe Premer
2012-06-09 15:42:04 UTC
Permalink
Post by Hans-Peter Matthess
Post by Uwe Premer
Also nicht aufrufen zum Verklagen, sondern selber machen!
OK, du bekommst demnächst Post von meinem Anwalt. <eg>
Und da steht dann doch wieder drin, dass ich die Klage machen soll?
Nee, lass mal stecken.

Uwe
Juergen P. Meier
2012-06-06 15:14:45 UTC
Permalink
In der Antivirerei ist die Heuristik nichts andres als die Prüfung auf
Signaturähnlichkeiten,
das wars dann auch schon. Sicher haben Programme,
die sich ähnlich verhalten oft auch ähnliche Signaturen, aber das muss
nicht sein, wie du schon sagst.
Virusprogrammierer lachen sich jedenfalls auf einschlägigen Boards schlapp
darüber.
Das, was vollmundig als Verhaltensanalyse verkauft wird, ist nichts
weiter als die syntaktische Zerlegung in Funktionen (quasi eine
teilweise de-compilierung) und eine heuristische Analyse des
so ermittelten statischen Funktionsbaumes eines stueck unbekannten Codes.

Und zwar heuristisch nach aehnlichkeiten zu bekannt "boesen" Progamm-
logikteilen.
Verhaltensanalyse prüft das logische Verhalten der Software und soll
"verdächtiges Benehmen melden"
Echte verhaltensanalyse bedingt eine Ausfuehrung der potentiellen
Schadsoftware in einer Systemsimulation, das kostet Zeit und
Ressourcen, die man auf dem Desktop nunmal prinzipiell nicht hat -
wenn man konkurenzfaehig sein will.

Also verkauft man lieber erseters unter falschem Namen.
Meiner Meinung nach ist das schon "kaputt by Design", denn es ist nicht
das Verhalten, was einen Virus
von einem gewollten Programm unterscheidet, sondern ob der User dieses
Verhalten WÜNSCHT!
Und das kommt auch noch hinzu.
Alles nur noch mehr Schlangenöl!
Ach.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Daniel Kohl
2012-06-04 18:07:05 UTC
Permalink
Post by Uwe Premer
http://heise.de/-1589640
Die AV-Hersteller seien so ziemlich machtlos gegen staatlich
hergestellte Schadsoftware, weil diese mit dermassen riesigen Budgets
erstellt worden seien, dass AV-Software einfach =FCberrannt w=FCrde.
Heise meint zudem, dass wohl langsam auch nicht-staatliche AV-Erstelle=
r
Post by Uwe Premer
dermassen grosse Ressourcen zur Verf=FCgung h=E4tten, dass Entwicklung=
en von
Post by Uwe Premer
Viren m=F6glich seien, die von den AV-Herstellern nicht mehr entgegnet=
werden k=F6nnten.
Die Frage ist, wo soll das letztendlich hinf=FChren?
Uwe
http://www.wired.com/threatlevel/2012/06/internet-security-fail/

Seit JAHREN(!!) *lach*

Die Besten, der Besten, der Besten, SIR!

-- =

Erstellt mit Operas revolution=E4rem E-Mail-Modul: http://www.opera.com/=
mail/
Loading...