Immer sicher gegen Trojaner?

243 views
Skip to first unread message

Hanuman

unread,
Jan 24, 2008, 5:40:19 AM1/24/08
to
Wiege ich mich eigentlich in truegerischer Sicherheit, wenn ich annehme,
dass dadurch, dass ich gruendsaetzlich nicht aus dem Admin.-Konto operiere,
sich auch keine Schadsoftware auf meinem Computer installieren kann, selbst
dann nicht, wenn ich - was ich ohnehin nie tue - infizierende
E-Mail-Anhaenge oeffnete?

Martin


Lutz Donnerhacke

unread,
Jan 24, 2008, 5:46:13 AM1/24/08
to
* Hanuman wrote:
> Wiege ich mich eigentlich in truegerischer Sicherheit, wenn ich annehme,
> dass dadurch, dass ich gruendsaetzlich nicht aus dem Admin.-Konto operiere,
> sich auch keine Schadsoftware auf meinem Computer installieren kann

Ja.

Bernd Eckenfels

unread,
Jan 24, 2008, 6:03:01 AM1/24/08
to

Ja, es ist nicht 100% sicher, aber besser als nichts. Wenn du uns noch dein
OS verrätst können wir die auch Details liefern. Unter Linux z.B. diverse
Priveledge escalations oder einfach Modifikationen im Bereich dot-files.
Unter Windows diverse Priveledge Escalations, falsch gesetzte Rechte und
natürlich ebenfalls Profil-spezifische settings.

Ein nicht-kompromittiertes System hilft dir wenig, wenn du einen
kompromittierten User hast.

Gruss
Bernd

Hanuman

unread,
Jan 24, 2008, 8:38:33 AM1/24/08
to

"Bernd Eckenfels" <ec...@lina.inka.de> schrieb im Newsbeitrag
news:fn9r94$rii$1...@inti.inka.org...

> Hanuman <han...@muskelshirt.de> wrote:
>> Wiege ich mich eigentlich in truegerischer Sicherheit, wenn ich annehme,
>> dass dadurch, dass ich gruendsaetzlich nicht aus dem Admin.-Konto
>> operiere,
>> sich auch keine Schadsoftware auf meinem Computer installieren kann,
>> selbst
>> dann nicht, wenn ich - was ich ohnehin nie tue - infizierende
>> E-Mail-Anhaenge oeffnete?
>
> Ja, es ist nicht 100% sicher, aber besser als nichts. Wenn du uns noch
> dein
> OS verrätst können wir die auch Details liefern.

XP...

> Unter Windows diverse Priveledge Escalations, falsch gesetzte Rechte und
> natürlich ebenfalls Profil-spezifische settings.

Martin


Arno Welzel

unread,
Jan 24, 2008, 11:02:15 AM1/24/08
to
Hanuman wrote:

Ja.

s/installieren/ausführen

--
http://arnowelzel.de
http://de-rec-fahrrad.de

Helmut Schneider

unread,
Jan 24, 2008, 4:51:12 PM1/24/08
to
Hanuman <han...@muskelshirt.de> wrote:
>
> "Bernd Eckenfels" <ec...@lina.inka.de> schrieb im Newsbeitrag
> news:fn9r94$rii$1...@inti.inka.org...
>> Hanuman <han...@muskelshirt.de> wrote:
>>> Wiege ich mich eigentlich in truegerischer Sicherheit, wenn ich annehme,
>>> dass dadurch, dass ich gruendsaetzlich nicht aus dem Admin.-Konto
>>> operiere,
>>> sich auch keine Schadsoftware auf meinem Computer installieren kann,
>>> selbst
>>> dann nicht, wenn ich - was ich ohnehin nie tue - infizierende
>>> E-Mail-Anhaenge oeffnete?
>>
>> Ja, es ist nicht 100% sicher, aber besser als nichts. Wenn du uns noch
>> dein
>> OS verrätst können wir die auch Details liefern.
>
> XP...

Worst case: Du schaust Dir mit Quicktime oder VLC ein Filmchen an. Dabei
wird Dir wegen
http://www.heise.de/security/Auch-Sicherheitsluecken-in-QuickTime-und-VLC--/news/meldung/101654
ein Exploit untergeschoben, der
http://www.microsoft.com/technet/security/bulletin/ms08-001.mspx ausnützt.
Dann helfen auch eingeschränkte Rechte nicht.

Sowas kann Dir allerdings auch mit *ix passieren:
http://www.securityfocus.com/bid/27336/discuss

Aber auch ohne worst case Szenario hindern die eingeschränkten Rechte das
Schadprogramm ja nicht daran, alles das zu tun, was auch Du tun kannst. Und
sei es, an Gott und die Welt SPAM zu versenden.

Schau Dich einfach mal ein wenig um:
http://www.securityfocus.com/vulnerabilities
Da ist für alles und jeden was dabei.

--
No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn

Juergen P. Meier

unread,
Jan 25, 2008, 2:39:13 AM1/25/08
to
Hanuman <han...@muskelshirt.de>:

>
> "Bernd Eckenfels" <ec...@lina.inka.de> schrieb im Newsbeitrag
>>
>> Ja, es ist nicht 100% sicher, aber besser als nichts. Wenn du uns noch
>> dein
>> OS verrätst können wir die auch Details liefern.
>
> XP...
>
>> Unter Windows diverse Priveledge Escalations, falsch gesetzte Rechte und
>> natürlich ebenfalls Profil-spezifische settings.

Die Sicherheitsmassnahmen (eingeschraenkte Benutzeraccounts,
Vermeidung konzeptionell loechriger Software wie IE und OE ...)
leisten durchaus Schutz vor der Mehrzahl der im Umlauf befindlichen
Angriffe, da diese auf DAUs mit Adminkonten abzielen.

Sie leisten aber keinen Schutz gegen Angriffe, die ungepatchte sog.
Privilege-Elevation Exploits im Betriebsystem zusammen mit Schwachstellen
in benutzten Programmen (VLC-Beispiel im Parallelposting) ausnutzen.

Dieses (wenn auch kleine) Restrisiko kann man jedoch mit anderen
Sicherheitsmassnahmen kompensieren:

Regelmaessige Vollbackups des Systems mit mehreren Generationen, und
bei Verdacht auf Kompromittierung zurueckspielen der Backups bis zum
sauberen Stand.

Aus der Ecke der Esotheriker mag hierzu der Rat kommen, diesem
Restrisiko mit Antivirusprogrammen zu begegnen, dazu sollte man aber
folgendes Bedenken:

Bei diesem Restrisiko (sofern man Sicherheitspatches zuegig einspielt)
handelt es sich immer um neue, teilweise auch 0-Day-Exploit genannte
Schadfunktionen und Schadprogramme, oftmals auch spezielle
zielgerichtete Schadprogramme, die von AV-Programmen in der gesammten
Geschichte der EDV-Zeitalters bisher noch kein einziges mal schnell
/genug/ erkannt werden konnten (Kunststueck: niemand kann Hellsehen).

Sich hier also auf AV-Programme zu verlassen ist genau der Falsche
Ansatz, da dies in der Praxis zu einer Verhaltensaenderung fuehrt (ich
hab ja ein AV-Programm das nix meldet, also kann dieses komische
Verhalten ja auch kein Schadprogramm sein, darum ignoriere ich es),
die dazu fuehrt, dass der Admin die Anzeichen einer erfolgreichen
Kompromitierung nicht mehr erkennt.

Solange man sich bewusst ist, dass einem ein AV-Programm genau keine
Sicherheit bieten kann, kann man es natuerlich verwenden, um den
ganzen veralteten Schmutz automatisiert zu erkennen und wegzufiltern.
(Wobei hier die Wahl des AV-Programms wichtig ist, einige Hersteller
entfernen Signaturen besonders alter Schadprogramme einfach aus ihren
Daten. Eine Renissance von UR-Alt Viren bei Leuten, die sich auf
AV-Programme verlassen gelernt haben, ist zumindest nichts neues.)

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Carsten Krueger

unread,
Jan 25, 2008, 12:11:05 PM1/25/08
to
Am Thu, 24 Jan 2008 14:38:33 +0100 schrieb Hanuman:

> XP...

Wenn du die Sicherheitseinstellungen für Autostart nicht veränderst, kann
sich der Trojaner bei jedem Userlogin wieder mitstarten.
Er kann alle Tastenanschläge des Benutzers mitprotokollieren, beliebig die
Netzwerkverbingun nutzen, alle Dateien lesen/schreiben auf die der Benutzer
zugriff hat.

Alles ohne das Ausnutzen von Sicherheitslücken.

Gruß Carsten
--
ID = 0x2BFBF5D8 FP = 53CA 1609 B00A D2DB A066 314C 6493 69AB 2BFB F5D8
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://www.spamgourmet.com/ + http://www.temporaryinbox.com/ - Antispam
cakruege (at) gmail (dot) com | http://www.geocities.com/mungfaq/

Robert Jasiek

unread,
Jan 25, 2008, 12:32:48 PM1/25/08
to
On Fri, 25 Jan 2008 18:11:05 +0100, Carsten Krueger
<use.net....@neverbox.com> wrote:
>Wenn du die Sicherheitseinstellungen für Autostart nicht veränderst

Wie werden sie geändert?

Carsten Krueger

unread,
Jan 25, 2008, 12:39:18 PM1/25/08
to

Mit http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx anschauen
was es alles für Orte gibt die Benutzer zum Autostart nehmen können, ACLs
so anpassen, daß Benutzer dort nicht mehr schreiben dürfen (Komfortverlust)

Robert Jasiek

unread,
Jan 25, 2008, 1:59:08 PM1/25/08
to
On Fri, 25 Jan 2008 18:39:18 +0100, Carsten Krueger
<use.net....@neverbox.com> wrote:
>Mit http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx anschauen

Oh! Wenn es bei MS doch nur solche Leute wie Mark Russinovich gäbe...

Ansgar -59cobalt- Wiechers

unread,
Jan 25, 2008, 2:13:15 PM1/25/08
to
Robert Jasiek <jas...@snafu.de> wrote:

> On Fri, 25 Jan 2008 18:39:18 +0100, Carsten Krueger wrote:
>> Mit http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
>> anschauen
>
> Oh! Wenn es bei MS doch nur solche Leute wie Mark Russinovich gäbe...

Nun, da Mark Russinovich seit 2007 bei Microsoft arbeitet würde ich fast
sagen: die gibt es.

cu
59cobalt
--
"The Mac OS X kernel should never panic because, when it does, it
seriously inconveniences the user."
--http://developer.apple.com/technotes/tn2004/tn2118.html

Richard W. Könning

unread,
Jan 25, 2008, 8:31:39 PM1/25/08
to
Ansgar -59cobalt- Wiechers <usene...@planetcobalt.net> wrote:

>Robert Jasiek <jas...@snafu.de> wrote:
>> On Fri, 25 Jan 2008 18:39:18 +0100, Carsten Krueger wrote:
>>> Mit http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
>>> anschauen
>>
>> Oh! Wenn es bei MS doch nur solche Leute wie Mark Russinovich gäbe...
>
>Nun, da Mark Russinovich seit 2007 bei Microsoft arbeitet würde ich fast
>sagen: die gibt es.

Vielleicht liegt die Betonung auf "nur"? Daß das eine MS-Seite ist,
sollte Robert ja aufgefallen sein.
Ciao,
Richard
--
Dr. Richard Könning Heßstraße 63
Tel.: 089/5232488 80798 München

Kai-Uwe Peters

unread,
Jan 29, 2008, 1:56:28 PM1/29/08
to
On 25 Jan., 18:32, Robert Jasiek <jas...@snafu.de> wrote:
> On Fri, 25 Jan 2008 18:11:05 +0100, Carsten Krueger
>
> <use.net.cakru...@neverbox.com> wrote:
> >Wenn du die Sicherheitseinstellungen für Autostart nicht veränderst
>
> Wie werden sie geändert?

Ich nutze dafür das Progrämmchen kafu (http://www.heise.de/software/
download/kafu.exe/30682): Das neue Konto einmal mit Adminrechten
versehen, kafu starten, und danach wieder einschränken.

Gruß,

Holger

Reply all
Reply to author
Forward
0 new messages