[Doodle]

Zitat (d4rkn3ss4ev3r: 21. Juli 2016 - 21:28)

Die Links sind sehr wohl noch aktuell.
Threads anhand des Alters abzulehnen ist keine gute Wahl, aber ich lasse dich in deine Unwissenheit.

Man kann heute genauso wenig machen wie zur Erstellung des Threads.
Kompromitiert ist Kompromitiert.

Ja ja ... manche dachten früher auch die Erde ist eine Scheibe.

Über 12 Jahre alte Threads im Pc-Bereich ...

Ich weiss, jetzt werden es wieder viele besser wissen, weil es unter XP usw. ja auch so war. Also ist heute auch noch so.

Und AV-Test hat keine Aahnung. Ja nee ist klar.

Unglaublich wie verbohrt manche in diesem Bereich sind.

[Samstag]

Zitat (Doodle: 21. Juli 2016 - 21:35)

Und AV-Test hat keine Aahnung. Ja nee ist klar.

Unglaublich wie verbohrt manche in diesem Bereich sind.

Wir hattens da auch schonmal drüber, und ich bleibe da immer noch bei meiner Meinung:

Zitat (Samstag: 06. Dezember 2015 - 22:03)

Der Bericht und damit das Fazit fällt schon alleine deswegen komplett raus:

Zitat

Das Testverfahren

...

Die verwendeten Malware-Samples waren allen Lösungen bereits bekannt und sollten daher definitiv erkannt werden.
...

Welcher Malwareverbreiter achtet denn darauf, dass seine Malware auch ja dem Antivirenprogrmm bekannt ist?
Und selbst bei dem Test sind noch einige durchgefallen, obwohl die Malware bekannt war.
Sorry, aber du wirst einsehen dass das realitätsfern ist.

Der Test ist nicht aussagekräftig. Wundert mich dass du ihn immer noch verlinkst, der ist nämlich tatsächlich überholt.
Versteh mich nicht falsch, ich hab nichts gegen AV-Test, noch möchte ich behaupten dass die Jungs keine Ahnung haben. Ich seh da halt nur dass der Test komplett unrealistisch ist.
Und selbst du wirst nicht abreden können, dass der Code seit Windows XP nicht weniger geworden ist. Mehr Code: Mehr Möglichkeiten für Malware.

[RalphS]

Wenn Integrität verloren ist, dann ist sie verloren, egal ob heute oder vor 100 Jahren oder in 100 Jahren.

Man kann sie aber wiederherstellen, zB indem man von jeder einzelnen Datei auf dem System eine Prüfsumme hat, die man gegenprüfen kann.

Das reicht dann natürlich noch nicht für die Registry, da müßte man sich was anderes einfallen lassen.

Und für die Dateidaten übrigens ebenfalls nicht, jedenfalls dann nicht, wenn sie lokal gespeichert wurden. Irgendwo im Netz mag das möglicherweise über ein VCS verwaltet werden; dann kann man das prüfen und bis auf den letzten Edit rekonstruieren.

Blöderweise müßte dieses "Prüfsummenarchiv" ebenfalls anderswo gespeichert werden (also insbesondere nicht auf dem bewußten Rechner selber) und wenn man an dem Punkt angekommen ist, kann man eigentlich genausogut ein Backup ziehen.

Und so ein VCS richtet sich auch nicht jeder ein, um nicht zu sagen 'praktisch gar keiner'.

Mit anderen Worten, am Ende kann man sich seine Systemintegrität zu ~90% oder so durchaus wiederherstellen, sicher auch noch paar Prozentpunkte mehr. Aber 100% werden es garantiert nicht und während das für privat absolut uninteressant ist (der Kompromittierungsleitfaden findet für Privat-PCs faktisch keine Anwendung, bzw ist Overkill und schadet hier insgesamt eher).

Aber ein produktiv genutztes System - also ein System, das umsatzkritisch ist --- da sieht das anders aus. Wenn das Wohl der Firma mit der Integrität der IT steigt und fällt, dann muß da nicht lang diskutiert werden darüber, ob man jetzt alles los ist oder nicht. Drehen wir den Spieß doch einfach mal rum: nehmen wir an da ist ein Handwerksbetrieb der für uns das Mobiliar wartet. Mit denen haben wir einen längerfristigen Vertrag und entsprechend haben die auch unsere Daten, einschließlich unserer email-Adresse(n), die da durchaus 'intern' sein können (also nicht nach außen für die Allgemeinheit kommuniziert werden). So und eines schönen Tages fängt unser Mailserver an, von diesem Handwerksbetrieb aus jede Menge Spam und Viren in unser Hausnetz zu pumpen und wie's immer so ist, irgendwen Dummen haben wir auch in unserer IT der da draufklickt --- was übrigens auch durchaus der Geschäftsführer selber sein könnte; wenn da ne Mail kommt wo Abrechnung drin steht und die ist von nem Vertragspartner und die Abrechnung stand eh aus... dann kann man das dem G/S auch nicht vorwerfen da zu klicken.
Anyway an dieser Stelle fallen BEI UNS Mannstunden an, um die Viren wieder loszuwerden.
So jetzt sind wir nett, also richtig nett meine ich, und wir informieren den Betrieb daß sie ein Netzwerkproblem haben mit Spam und daß ihre Infrastruktur kompromittiert scheint.

- Was meint ihr wohl wird passieren, wenn nach all diesen Vorfällen und Zugeständnissen *weiter* Spam und Viren von demselben Absender eintrudeln?

---

Wenn es partout kein Backup gibt und die letzte Wahl ist, irgendwie restaurieren oder Gewerbe abmelden, bleibt natürlich nur noch restaurieren übrig und - wie eingangs erwähnt -- der dringende Bedarf an einem Sicherheitskonzept.

Ansonsten wäre an dieser Stelle eine neue Maschine einzurichten (idealerweise wirklich ein anderer Blechkamerad). Der müßte dann reinstalliert und entsprechend Vorgaben eingerichtet werden. Schließlich müßte man dann einen dedizierten Link (zB via Crossover-Kabel) zwischen 'Neu'PC und 'Alt'PC aufmachen, wo sonst keiner mitreden kann (=> und sich also nix unkontrolliert ausbreiten kann) da einen AV-Wächter des Vertrauens dranhängen (und per Firewall alles blocken, was nicht für den Dateitransfer nötig ist). Dann kann man Stück für Stück die Dateidaten durchgehen und vom alten PC zum neuen PC übertragen. Bei Officedokumenten unbedingt auf Existenz von Macros prüfen (Word, Excel, ...). Als Text exportieren, anschauen und wieder importieren wäre ideal, da geht dann aber natürlich alles an Formatierung und/oder Formelgetier verloren. Und wenn im Zweifel, dann nur das übernehmen, was wirklich übernommen werden *muß* (da "alternativlos"). Lieber ein Worddokument mit drei Zeilen und einmal Überschrift formatiert neu erstellt als das kopiert und prompt den Virus von Alt nach Neu übernehmen.

Mails sind dann eine ganz eigene Pandoradose. "Normal" sollten die alle weg. Das ist aber natürlich in der Firma gar keine gute Idee. Daher also zusehen, daß man den Mailspeicher (wo immer der ist) so isoliert, daß nur noch autorisierte Personen drauf zugreifen können, die dann ihre Mailclients zusätzlich absichern müssen (sinngemäß: alles aus und Mails nur als Plaintext anzeigen und das war's). Anhänge sind aber an dieser Stelle ein echtes Problem, insbesondere wenn nicht bekannt ist, wann Tag X war. Jeden Anhang einzeln prüfen ist aufwendig, dauert und birgt ein echtes Risiko, da den Virus wieder einzufangen und zu aktivieren.



Hab ich schon erwähnt, daß "Backup zurückspielen" die einzig praktikable Option ist? Falls nicht tue ich es hiermit.

Dieser Beitrag wurde von RalphS bearbeitet: 21. Juli 2016 - 23:13

[bastelphillip]

@RalphS

Wenn meine Existenz von der Integrität der Daten abhängt, dann würde ich da auch keine Kompromisse
eingehen und mir professionelle Hilfe holen um nach einer finanziell tragbaren und für mein
Unternehmen passenden Lösung zu suchen. Da ist dann aber auch Vertrauen in die Person, die einem
von einer IT-Sicherheitsfirma geschickt wird, vonnöten. Ich habe das selber in unserer Firma
erlebt. Beim ersten Versuch sandte man einen bärbeißig-maulfaulen jungen Mann, dem man jede
Information buchstäblich aus der Nase ziehen musste. Ich hatte dann das zweifelhafte "Vergnügen"
dem Gespräch unseres Boss mit diesem Mann beiwohnen zu dürfen. Das Gespräch war gottlob sehr kurz.
Daraufhin wurde eine andere Firma beauftragt sich um unser Firmennetzwerk zu kümmern.
Diese Zusammenarbeit klappt bis jetzt auch ganz prima.

Aber um nicht weiter abzuschweifen: Allem in deinem letzten Beitrag Geschriebenen stimme ich in
soweit zu. Als Privatanwender brauche ich keinen Mörderaufwand betreiben um meine Daten
safe zu halten. In einer Firma nebst dazugehörigem Netzwerk sieht das jedoch ganz anders aus.

[RalphS]

Wie gesagt, das ist weniger eine Frage der 'Sicherheit' als der 'Integrität', wobei allerdings Sicherheit eine erforderlich Abhängigkeit ist (integer ohne sicher geht nicht).

Zuhause als Admin unterwegs? Blöd, aber geht und ist bis auf Bots schlimmmstenfalls persönliches Pech. Dann sind die Daten eben hinüber, mir doch egal und der Betroffene hat dann hoffentlich was draus gelernt.

In der Firma als Admin unterwegs kompromittiert die Integrität bereits, weil man dann nicht mehr weiß, was wo passiert sein könnte; denn jede Software von diesem bewußten Account darf ja alles. Klar, in 99% der Fälle passiert da nix. Aber, und das ist der springende Punkt, man weiß es nicht, ob das so ist.

Das ist das, was gemeinhin als "Kompromittierung" bezeichnet wird: "Ich kenne den Systemzustand nicht".

Und so weiter. Deswegen ist auch "in der Firma UAC aus" dann und wirklich NUR dann eine gute Idee, wenn Privilege Escalation komplett deaktiviert wird (=> überall da wo sonst ein UAC-Prompt aufpoppt wird stattdessen mit "Access Denied" abgewiesen). Auch und insbesondere in der IT-Abteilung, denn die dürfen ja 'ran'; ein 'Normalo' wird wohl nicht in die Verlegenheit kommen, Adminrechte zu *brauchen* und wenn doch dann hat die IT-Abteilung was falsch gemacht.

Dieser Beitrag wurde von RalphS bearbeitet: 22. Juli 2016 - 09:05

[Marco1279]

Ich wollte euch mal kurz auf Stand bringen was ich gemacht habe.
Da ein Backup aus Sicht des Bekannten keine Möglichkeit darstellt.

Ich hatte 3 verschiede Scanner CDs. Avira, AVG & AData (glaube das
war die Dritte, eine Mischung der CT CD). Habe an allen Rechnern
Intensiv Checks laufen lassen. Die Rechner waren aber soweit "sauber".
Auf dem einen PC lagen alte Archive, dort wurden ein paar Viren gefunden,
es waren aber uralt Dateien.

Es gab vor Kurzem doch eine Nachricht, dass Telekom Daten gehackt wurden.
Vielleicht kamen Dritte dadurch an sein Postfach und haben es dann über
eigene Rechner per Mail verteilt.

PW, wurden alle geändert. Daher ist es gut, dass wir nicht überall neu-
aufgesetzt haben etc. Wozu auch, auf den Rechnern wurde weder Malware,
noch aktuelle Viren gefunden