Am 06.06.2012, 17:17 Uhr, schrieb Helmut Hullen <
Hel...@hullen.de>:
>
> Nein? Meine Virenscanner sagen das aber. Sollte ich sie ersetzen?
>
Ich begründe nun, wie viele sicher schon vor mir, nochmal, warum diese das
nicht tun KÖNNEN:
Das Konzept, welches du favorisierst, ist, erst mal alles jedem auf dem
Rechner zu erlauben.
Genauer: alle Programme ausführbar zu halten, vollkommen egal woher sie
stammen und was sie sind.
Und dann später das "böse Zeug" an Hand einer Liste zu verbieten.
Dadurch bedingt:
Zum Einen müssen hunderttausende (Schad)Programme geblacklistet werden,
die du eben dann als Ausnahme NICHT ausführen willst.
Du befindest dich also ständig in einem Wettlauf mit den
Virenprogrammierern,
den du niemals gewinnen kannst. Das liegt in der Natur der Sache.
Denn der Virus muss ja irgendwo schon einmal Schaden angerichtet haben, um
überhaupt zur
Analyse eingereicht zu werden.
Zum Anderen gibt es stets ein mehr oder minder großes Zeitfenster,
vom ersten Auftreten, bis zum Erscheinen auf der Blacklist. Also der
Signaturendatenbank.
Je nach dem, wie "gut" der Virus gemacht ist, können dies auch schonmal
Jahre sein,
wie das aktuelle Beispiel zeigt.
Heuristiken funktionieren nicht, da der Vergleich von Signaturen mit
bekannten Viren auf Abänderungen
und Ähnlichkeiten sehr leicht umgangen werden kann.
Verhaltensanalyse ist "kaputt by Design".
Ich behaupte, nein ich weiß es, dass jeder versierte 16 Jährige, der mit
einem Virenbaukasten umzugehen weiß,
dir innerhalb von einigen Stunden einen Virus auftischt, der weder von
deinem Virenprogramm erkannt wird,
noch auf irgendeiner Signaturdatenbank zu finden ist, solang du ihn nicht
als verdächtig einreichst.
Und selbst dann dauert es nochmal.
Jeder, der sich ernsthaft mit IT-Sicherheit befasst, wird dir sagen, dass
dein Konzept einfach fürn Popo
ist, wenn du in so einem Wettlauf gefangen bist und du Umdenken solltest.
Das betrifft jetzt nicht nur AV Programme,
sondern ist eine Grundlage.
>> Wie werden denn die meisten "Superviren" erkannt? Doch nicht durch
>> AV-Software, sondern durch ihre Aktivität!
>
> Mag sein - so etwas scheint bei meinen Rechnern noch nicht eingebaut zu
> sein. Mache ich was falsch?
>
Okay, entschuldige, mit so viel Polemik hätte ich jetzt gar nicht
gerechnet.
Rhetorisch geschickter von mir wäre es gewesen, "Superviren" durch "neuen
Viren"
zu ersetzen.
Ich dachte aber, der Sinn erschließt sich und wird nicht absichtlich
falsch verstanden um
ihn dann,folglich auch falsch, auszuschlachten. Mein Fehler.
Aber um bei deinem kleinen polemischen Sticheleien zu bleiben:
Der "Schein" wird dich möglicherweise trügen, denn Schutz davor hast du
NULL.
>> Sind sie einmal bekannt, brauch ich auch bloß kein AV, denn dann weis
>> ich wie sie arbeiten und passe mein Sicherheitskonzept ggf. an.
>
> Du willst hier doch nicht etwa offen eingestehen, dass auch Dein
> Sicherheitskonzept keinen 100-prozentigen Schutz liefert?
>
Wer behauptet denn, er könne 100%igen Schutz liefern? Das wäre grober
Unfug von Grund auf.
Ich bin aber in der Lage, im Gegensatz zu AV-Programmen, mich ÜBERHAUPT zu
schützen.
>> Da unterstellst du teilweise richtig. In meinem Sicherheitskonzept
>> haben Virenscanner durchaus ihren Platz.
>> Jedoch nicht zum Schutz und nicht auf dem System, sondern als Live
>> DVD. Ich nutze ganz gerne Desinfect der CT,
>> da diese eh abonniert ist. Jedoch setze ich diese 4 Scanengines weder
>> zum Schutz ein, noch installiere ich irgendwas.
>
> Hmmm - ich habe eine Weile mit dem Paket experimentiert. Für eine Live-
> CD ist es mir zu unhandlich. Aber jeder nach seinen Fähigkeiten ...
Verstehe ich jetzt nicht. Desinfect IST eine (Ubuntu)LiveCD- welche nur 4
AV Engines enthält.
Wo ganau ist da das Problem?
>> Der Trick bei mir besteht darin, dass ich wirksam verhindere, dass
>> sich überhaupt ein Virsu "einschleichen" kann.
>
> Aha - also kommt bei Dir sowieso keine Schadsoftware auf den Rechner.
> Dann müsstest Du aber auch nicht mit einer Live-CD jonglieren.
>
Bei mir kann in der keine Schadsoftware ausgeführt werden, nein.
Die Live CD dient nicht dem Schutz, sondern der Analyse.
>> Konsequentes Softwarewhitelisting, striktes Multiuserprinzip und
>> damit verbundene NTFS Berechtigungen und
>> du verhinderst, dass überhaupt ein Virus auf dem PC ausgeführt werden
>> kann.
>
> Aber dann hätte er sich ja bereits eingeschlichen.
> Auf einem meiner Rechner liegen inzwischen etwa 30 Virenpakete - die
> richten keinen Schaden an.
>
Wann sollte er sich bitte einschleichen? Das Systenm wird aufgesetzt und
entsprechend Konfiguriert, ehe es
produktiv wird.
Auf meinen Rechnern befinden sich daher genau NULL
Virenpackete und richten somit ebenfalls keinen Schaden an.
>> Wovor mein Sicherheitskonzept nicht schützt, schützt dich auch kein
>> AV-Programm. Von daher stellt sich die Frage nach dem Erkennen nicht.
>
> Doch.
> Du betreibst viel manuellen Aufwand und weisst, dass Du keinen 100-
> prozentigen Schutz hast.
> Ich verlagere den grössten Teil der Arbeit auf Automaten - reicht bei
> meinen Rechnern. Und entlastet mich.
>
Und das ist eben ein Irrglaube und weit verbreiteter Mythos. Es gibt nun
mal keine Sicherheit auf Knopfdruck.
Es gibt ebensowenig Sicherheit, dadurch, dass man einmal etwas
konfiguriert und es dann in Ruhe lässt
und sich denkt "Nun bin ich ja sicher".
Nein, es ist vielmehr ein immerwährender Prozess und bedarf ständiger
Aufmerksamkeit.
Es müssen ständig Logs geprüft, Prozesse wie Installationen gründlich
geplant und durchgeführt
und somit ein gewisser Aufwand betrieben werden, wenn man auf Sicherheit
wirklich Wert legt.
Alles Andere ist Augenwischerei.
>> Daher nutze ich ganz gerne, als kleinen Teil des Konzeptes, einen
>> Offlinescanner wie Desinfect.
>> Jedoch nicht als Schutzmechanismus!
>
> [...]
>
>> Gebraucht habe ich es auf den von mir konfigurierten Geräten in all
>> den Jahren genau NULL mal.
>
> Bei meinem Schutzsystem habe ich in den letzten etwa 20 Jahren keinen
> Virenbefall gehabt ... ohne zusätzlichen Arbeitsaufwand.
>
Du wirst es mir nachsehen, wenn es mir schwer fällt, das zu glauben.
Da du dich ja scheinbar alleine, oder wenigsten hauptsächlich,
auf deine Software verlässt, würde dir ein Befall wahrscheinlich nicht
auffallen, wenn dein AV nicht anschlägt.