Hilfe
Neues Thema
Dieses Thema ist geschlossen
Ich möchte hier einige Zitate bringen und meine Meinung wiedergeben.
Feedback dann bitte hier:
Feedback Zu Neuem Sticky Thema
Zum Thema PersonalFirewalls:
Auf die Frage hin ob sich denn etwas in diesem Bereich gebessert hätte und ob man weiterhin sich eher gegen eine PFW aussprechen sollte, erhielt ich von Volker Birk folgende Antworten:
Zitat
Ich sehe nichts, was sich wesentliches an den "Personal Firewalls"
verbessert hätte.
Insbesondere sind halt die Konzepte der "Personal Firewalls" kaputt. Am
Dümmsten finde ich ja immer noch das Konzept, den Benutzer zu fragen, ob
eine Applikation "nach Hause telefonieren" können soll. Ausgerechnet der
Benutzer, die Person also, die geschützt werden soll. Und die macht man
jetzt zu der Person, die für den Schutz verantwortlich ist.
Ich frage mich, warum das so schwer zu verstehen ist, dass das die
dümmste aller Vorgehensweisen ist.
Welches "Sicherheitspaket" hat denn inzwischen wirklich nützliche
Features wie beispielsweise einen Tor-Client oder einen AN.ON-Client,
OpenPGP-Unterstützung für's Mail oder ähnliches? Richtig, leider keiner.
Stattdessen gibt's die übliche Augenwischerei.
verbessert hätte.
Insbesondere sind halt die Konzepte der "Personal Firewalls" kaputt. Am
Dümmsten finde ich ja immer noch das Konzept, den Benutzer zu fragen, ob
eine Applikation "nach Hause telefonieren" können soll. Ausgerechnet der
Benutzer, die Person also, die geschützt werden soll. Und die macht man
jetzt zu der Person, die für den Schutz verantwortlich ist.
Ich frage mich, warum das so schwer zu verstehen ist, dass das die
dümmste aller Vorgehensweisen ist.
Welches "Sicherheitspaket" hat denn inzwischen wirklich nützliche
Features wie beispielsweise einen Tor-Client oder einen AN.ON-Client,
OpenPGP-Unterstützung für's Mail oder ähnliches? Richtig, leider keiner.
Stattdessen gibt's die übliche Augenwischerei.
Gerade der letzte Punkt wäre doch ein Aufruf dazu, solche Features doch mal zu implementieren. Ob man das als Nutzer aber nicht selber macht mit den verfügbaren Tools ist eine andere Frage.
Die Meinung von Ansgar Wiechers zum Thema:
Zitat
Sicherheit ist immer vom gegebenen Szenario abhängig, insofern ist es
selten sinnvoll, *strikt* von irgendetwas abzuraten. Selbst für Personal
Firewalls gibt es Szenarien, in denen sie sinnvoll eingesetzt werden
können, beispielsweise Notebooks, die in Netzen mit unterschiedlicher
Vertrauensstellung betrieben werden soll, oder Dienste, die sich nicht
vom externen Interface entbinden lassen.
Problematisch ist bei den meisten PFWs (jedenfalls bei den meisten, die
ich mir bisher angesehen habe), dass sie
- schwerwiegende Designfehler aufweisen (beispielsweise ist es einfach
riegeldumm, interaktive Dienste mit erhöhten Rechten zu haben, dafür
gibt es bessere Lösungen),
- ausgehenden Traffic nicht ohne massive Eingriffe in die Funktionsweise
von Windows zuverlässig steuern können,
- den Benutzer (der aufgrund seines Mangels an Kenntnissen über
Netzwerke und Windows-Interna geschützt werden soll) mit Popups
verwirren, die dieser aufgrund seines Mangels an
Kenntnissen über Netzwerke und Windows-Interna gar nicht verstehen
kann,
- die Codebasis (und damit die Menge der potenziell exploitbaren Bugs)
vergrößern, was dazu führen kann, dass die PFW selbst zum Einfallstor
wird (wie im Fall W32/Witty.worm bereits geschehen),
- immer mehr Features in die Programme bekommen, was die Komplexität
(sowohl in Bezug auf die Codebasis als auch auf die Bedienbarkeit) und
damit auch die Wahrscheinlichkeit für Konfigurationsfehler und
exploitbare Bugs erhöht.
Die Liste ließe sich noch fortsetzen, aber das sind die wesentlichen
Kritikpunkte. Man muss nun diese Kritikpunkte und die Schutzfunktionen
gegeneinander abwägen.
Inbound Control lässt sich bekanntermaßen ohne diese Nebenwirkungen
dadurch erreichen, dass man keine Dienste nach außen anbietet. Wo das
nicht möglich ist, kann - wie oben gesagt - der Einsatz einer PFW
sinnvoll sein, im Regelfall trifft das aber nicht zu.
Outbound Control lässt sich bei Windows auf "normalem" Weg nicht
erreichen, weil sie prinzipbedingt erst dann greifen kann, wenn die
Malware bereits ausgeführt wird. Dann ist es für Gegenmaßnahmen aber
schon zu spät, insbesondere wenn der User administrative Rechte hat.
PFWs verwenden daher zunehmend Rootkit-Techniken (z.B. Kernel-Hooks),
um Manipulationen selbst durch administrative Benutzer unterbinden zu
können. Was natürlich regelmäßig zu Problemen führt, wenn dann der
Systemverwalter das System nicht mehr verwalten kann. Mark Russinovich
hat dazu mal sehr treffend gesagt:
"If a software developer ever believes a rootkit is a necessary
part of their architecture they should go back and re-architect
their solution."
Quelle: http://blogs.technet.com/markrussinovich/a...l-software.aspx
Wem es lediglich um die Beobachtung des ausgehenden Traffics geht, der
kann das weitaus ressourcenschonender mit Tools wie Port Reporter oder
TCPView haben.
selten sinnvoll, *strikt* von irgendetwas abzuraten. Selbst für Personal
Firewalls gibt es Szenarien, in denen sie sinnvoll eingesetzt werden
können, beispielsweise Notebooks, die in Netzen mit unterschiedlicher
Vertrauensstellung betrieben werden soll, oder Dienste, die sich nicht
vom externen Interface entbinden lassen.
Problematisch ist bei den meisten PFWs (jedenfalls bei den meisten, die
ich mir bisher angesehen habe), dass sie
- schwerwiegende Designfehler aufweisen (beispielsweise ist es einfach
riegeldumm, interaktive Dienste mit erhöhten Rechten zu haben, dafür
gibt es bessere Lösungen),
- ausgehenden Traffic nicht ohne massive Eingriffe in die Funktionsweise
von Windows zuverlässig steuern können,
- den Benutzer (der aufgrund seines Mangels an Kenntnissen über
Netzwerke und Windows-Interna geschützt werden soll) mit Popups
verwirren, die dieser aufgrund seines Mangels an
Kenntnissen über Netzwerke und Windows-Interna gar nicht verstehen
kann,
- die Codebasis (und damit die Menge der potenziell exploitbaren Bugs)
vergrößern, was dazu führen kann, dass die PFW selbst zum Einfallstor
wird (wie im Fall W32/Witty.worm bereits geschehen),
- immer mehr Features in die Programme bekommen, was die Komplexität
(sowohl in Bezug auf die Codebasis als auch auf die Bedienbarkeit) und
damit auch die Wahrscheinlichkeit für Konfigurationsfehler und
exploitbare Bugs erhöht.
Die Liste ließe sich noch fortsetzen, aber das sind die wesentlichen
Kritikpunkte. Man muss nun diese Kritikpunkte und die Schutzfunktionen
gegeneinander abwägen.
Inbound Control lässt sich bekanntermaßen ohne diese Nebenwirkungen
dadurch erreichen, dass man keine Dienste nach außen anbietet. Wo das
nicht möglich ist, kann - wie oben gesagt - der Einsatz einer PFW
sinnvoll sein, im Regelfall trifft das aber nicht zu.
Outbound Control lässt sich bei Windows auf "normalem" Weg nicht
erreichen, weil sie prinzipbedingt erst dann greifen kann, wenn die
Malware bereits ausgeführt wird. Dann ist es für Gegenmaßnahmen aber
schon zu spät, insbesondere wenn der User administrative Rechte hat.
PFWs verwenden daher zunehmend Rootkit-Techniken (z.B. Kernel-Hooks),
um Manipulationen selbst durch administrative Benutzer unterbinden zu
können. Was natürlich regelmäßig zu Problemen führt, wenn dann der
Systemverwalter das System nicht mehr verwalten kann. Mark Russinovich
hat dazu mal sehr treffend gesagt:
"If a software developer ever believes a rootkit is a necessary
part of their architecture they should go back and re-architect
their solution."
Quelle: http://blogs.technet.com/markrussinovich/a...l-software.aspx
Wem es lediglich um die Beobachtung des ausgehenden Traffics geht, der
kann das weitaus ressourcenschonender mit Tools wie Port Reporter oder
TCPView haben.
Darauf folgend:
Zitat
Microsoft hat dokumentiert, dass die Security-Boundary bei Windows der
Desktop ist. Nach innen hat ein Desktop kein Sicherheitssystem (abge-
sehen von den anderweitig vorhandenen Sicherheitssystemen wie ACLs,
Privilegien, Speicherschutz, etc.). Um nun das Umgehen von Outbound
Control zu verhindern, müssten die Hersteller ein Sicherheitssystem
nachrüsten, das an den entsprechenden Stellen Zugriffskontrollen
nachrüstet. Das belegt zum einen Systemresourcen, senkt also die
effektiv nutzbare Systemleistung, und erfordert zum anderen, dass
irgendjemand das konfiguriert. Da es sich um ein proprietäres Sicher-
heitssystem für normale Windows-Funktionen handelt, muss also jemand
die guten Programme ins Töpfchen, und die schlechten Programme ins
Kröpfchen werfen. Um hier eine qualifizierte Entscheidung treffen zu
können, braucht man ein gewisses Grundverständnis der Windows-Interna.
Dies ist jedoch bei der Zielgruppe von PFWs (einfache Anwender) meist
gar nicht vorhanden.
In Bezug auf die Popups hat sich gar nichts verbessert. Die Informa-
tionen, die dort angeboten werden, sind meist für Laien verwirrend und
für Fachleute unzureichend, und wenn man die weiter oben angesprochenen
zusätzlichen Filter zur Bekämpfung von Leaks aktiviert, gibt es noch
mehr Popups.
zum Argument "weniger Lücken in PFWs als in Windows:
Das ist erstens sehr blauäugig, und zweitens unerheblich. Es läuft
zusätzlicher Code, der zusätzliche exploitbare Lücken enthalten kann.
Punkt. Zumal der Windows-Code mit sämtlichen Lücken ja weiterhin läuft.
Wenn man nicht benötigte Dienste abschaltet, läuft hingegen nicht nur
kein zusätzlicher Code, sondern der Code der nicht benötigten Dienste
läuft ebenfalls nicht. Man hat also nicht nur die Codebasis nicht
vergrößert, sondern man hat sie verkleinert, was potenziell weniger
exploitbare Lücken im System bedeutet.
Manche Features funktionieren durchaus, wenn man sie sinnvoll konfi-
guriert. Das setzt aber entsprechende Kenntnisse beim Anwender voraus,
die regelmäßig nicht vorhanden sind. Schließlich wird ja meist genau
deswegen überhaupt eine PFW verwendet.
Andere Features hingegen (z.B. "Stealth" oder automatisches Blockieren
von "Angreifern") sind schlicht höherer Blödsinn.
Desktop ist. Nach innen hat ein Desktop kein Sicherheitssystem (abge-
sehen von den anderweitig vorhandenen Sicherheitssystemen wie ACLs,
Privilegien, Speicherschutz, etc.). Um nun das Umgehen von Outbound
Control zu verhindern, müssten die Hersteller ein Sicherheitssystem
nachrüsten, das an den entsprechenden Stellen Zugriffskontrollen
nachrüstet. Das belegt zum einen Systemresourcen, senkt also die
effektiv nutzbare Systemleistung, und erfordert zum anderen, dass
irgendjemand das konfiguriert. Da es sich um ein proprietäres Sicher-
heitssystem für normale Windows-Funktionen handelt, muss also jemand
die guten Programme ins Töpfchen, und die schlechten Programme ins
Kröpfchen werfen. Um hier eine qualifizierte Entscheidung treffen zu
können, braucht man ein gewisses Grundverständnis der Windows-Interna.
Dies ist jedoch bei der Zielgruppe von PFWs (einfache Anwender) meist
gar nicht vorhanden.
In Bezug auf die Popups hat sich gar nichts verbessert. Die Informa-
tionen, die dort angeboten werden, sind meist für Laien verwirrend und
für Fachleute unzureichend, und wenn man die weiter oben angesprochenen
zusätzlichen Filter zur Bekämpfung von Leaks aktiviert, gibt es noch
mehr Popups.
zum Argument "weniger Lücken in PFWs als in Windows:
Das ist erstens sehr blauäugig, und zweitens unerheblich. Es läuft
zusätzlicher Code, der zusätzliche exploitbare Lücken enthalten kann.
Punkt. Zumal der Windows-Code mit sämtlichen Lücken ja weiterhin läuft.
Wenn man nicht benötigte Dienste abschaltet, läuft hingegen nicht nur
kein zusätzlicher Code, sondern der Code der nicht benötigten Dienste
läuft ebenfalls nicht. Man hat also nicht nur die Codebasis nicht
vergrößert, sondern man hat sie verkleinert, was potenziell weniger
exploitbare Lücken im System bedeutet.
Manche Features funktionieren durchaus, wenn man sie sinnvoll konfi-
guriert. Das setzt aber entsprechende Kenntnisse beim Anwender voraus,
die regelmäßig nicht vorhanden sind. Schließlich wird ja meist genau
deswegen überhaupt eine PFW verwendet.
Andere Features hingegen (z.B. "Stealth" oder automatisches Blockieren
von "Angreifern") sind schlicht höherer Blödsinn.
Man kann durchaus eine PFW einsetzen, nur kann man die meisten Szenarien ohne sie besser lösen und sollte man sie doch einsetzen, erfordert sie mehr Wissen als der eigentliche User es überhaupt besitzt. Man sollte wirklich die Kritikpunkte beachten und dann versuchen abzuschätzen. Somit bleibt die Linie "Contra-PFW" meist doch eher die sinnvollere, man muss aber die Szenarien gezielt betrachten.
Kommen wir zum Thema Virenscanner, die einige nur im on-demand Modus laufen lassen, andere hingegenen on-access:
Dazu von Volker Birk:
Zitat
Übrigens: zum Thema Virenscanner kann man wirklich geteilter Meinung
sein.
Sie sind sicher nützlich, um bereits bekannte und verbreitete Viren zu
erkennen, möglichst vor einer Infektion, und diese zu verhindern. Sie
haben allerdings auch ein paar Nachteile:
- Neue, noch nicht weit verbreitete Viren werden gar nicht erkannt, die
Heuristiken zum Erkennen von unbekannten Viren greifen in der Praxis
gar nicht. Das ist den meisten Nutzern nicht bewusst: "Virenscanner
schützen nicht vor Viren, sondern entledigen einen der Last der vielen
Viren, die bereits bekannt sind".
- Ist ein Rechner einmal infiziert, so ist es Glückssache, wenn der
Virus dumm programmiert ist, und so der Virenscanner den Virus
überhaupt noch erkennen kann. Trotzdem kann hier eine Erkennungs-
leistung noch sinnvoll sein.
- Virenscanner machen einen PC nicht nur sicherer, sondern andererseits
auch mindestens theoretisch unsicherer, weil sie die angreifbare Code-
Basis erhöhen.
Diese Nachteile sind prinzipieller Natur, und können nie ganz verhindert
werden. Dazu kommen noch Nachteile gängiger Virenscanner-
Implementierungen:
- Wie kürzlich wieder bei Symantec-Produkten gezeigt, werden
Virenscanner wirklich für Angriffe genutzt, machen PCs also hin und
wieder durchaus auch in der Praxis unsicher.
- Virenscannerhersteller lassen von dem Blödsinn nicht ab, den Kunden
einzureden, sie könnten auch Viren mit ihren "Tools" "entfernen", die
Code nachladen. Damit verhindern Sie, dass die Kunden das Einzige tun,
was man bei einem infizierten System tun kann, um es wieder sauber zu
kriegen, wenn dort eine Software ausgeführt wurde, von der nicht klar
ist, was sie genau gemacht hat: nämlich, das System platt zu machen
und neu aufzusetzen. Entsprechend sind Virenscanner-Hersteller de
facto Förderer von Botnetzen, was besonders traurig ist.
Trotzdem: ein Virenscanner, richtig eingesetzt, kann auf einem
Windows-PC sehr nützlich sein. Man muss sich halt fragen, welchem
Hersteller man vertraut, und man muss sich der Grenzen eines
Virenscanners bewusst sein:
Ein Virenscanner kann niemals vor allen Viren schützen, aber vor vielen,
die sonst möglicherweise lästig wären. Damit ist er in etwa so nützlich
wie ein Spamfilter, den der schützt auch nicht vor aller Spam, aber vor
so vieler, dass man ganz froh ist über den Schutz.
Ein Virenscanner ersetzt deshalb kein Sicherheitskonzept und kein
vorsichtiges Arbeiten am PC.
Ein Virenscanner muss Daten scannen, bevor sie ins sonstige System
gelangen; danach zu scannen ist CPU-Verschwendung. Ein Virenscanner kann
aber von einem zweiten System aus gestartet werden, um das eigentliche
System zu scannen während es nicht läuft; dazu darf das zweite System
allerdings während der Laufzeit des ersten Systems nicht schreibbar
sein. Eine extra Partition genügt also nicht.
Virenscanner-Signaturlisten müssen standaktuell sein, damit überhaupt
was Vernünftiges passiert. Ein automatisches Update ist mehr als
angebracht, gefährdet jedoch bei Fehlern der Virenscanner-Hersteller den
PC (wie im Falle Symantec gesehen).
sein.
Sie sind sicher nützlich, um bereits bekannte und verbreitete Viren zu
erkennen, möglichst vor einer Infektion, und diese zu verhindern. Sie
haben allerdings auch ein paar Nachteile:
- Neue, noch nicht weit verbreitete Viren werden gar nicht erkannt, die
Heuristiken zum Erkennen von unbekannten Viren greifen in der Praxis
gar nicht. Das ist den meisten Nutzern nicht bewusst: "Virenscanner
schützen nicht vor Viren, sondern entledigen einen der Last der vielen
Viren, die bereits bekannt sind".
- Ist ein Rechner einmal infiziert, so ist es Glückssache, wenn der
Virus dumm programmiert ist, und so der Virenscanner den Virus
überhaupt noch erkennen kann. Trotzdem kann hier eine Erkennungs-
leistung noch sinnvoll sein.
- Virenscanner machen einen PC nicht nur sicherer, sondern andererseits
auch mindestens theoretisch unsicherer, weil sie die angreifbare Code-
Basis erhöhen.
Diese Nachteile sind prinzipieller Natur, und können nie ganz verhindert
werden. Dazu kommen noch Nachteile gängiger Virenscanner-
Implementierungen:
- Wie kürzlich wieder bei Symantec-Produkten gezeigt, werden
Virenscanner wirklich für Angriffe genutzt, machen PCs also hin und
wieder durchaus auch in der Praxis unsicher.
- Virenscannerhersteller lassen von dem Blödsinn nicht ab, den Kunden
einzureden, sie könnten auch Viren mit ihren "Tools" "entfernen", die
Code nachladen. Damit verhindern Sie, dass die Kunden das Einzige tun,
was man bei einem infizierten System tun kann, um es wieder sauber zu
kriegen, wenn dort eine Software ausgeführt wurde, von der nicht klar
ist, was sie genau gemacht hat: nämlich, das System platt zu machen
und neu aufzusetzen. Entsprechend sind Virenscanner-Hersteller de
facto Förderer von Botnetzen, was besonders traurig ist.
Trotzdem: ein Virenscanner, richtig eingesetzt, kann auf einem
Windows-PC sehr nützlich sein. Man muss sich halt fragen, welchem
Hersteller man vertraut, und man muss sich der Grenzen eines
Virenscanners bewusst sein:
Ein Virenscanner kann niemals vor allen Viren schützen, aber vor vielen,
die sonst möglicherweise lästig wären. Damit ist er in etwa so nützlich
wie ein Spamfilter, den der schützt auch nicht vor aller Spam, aber vor
so vieler, dass man ganz froh ist über den Schutz.
Ein Virenscanner ersetzt deshalb kein Sicherheitskonzept und kein
vorsichtiges Arbeiten am PC.
Ein Virenscanner muss Daten scannen, bevor sie ins sonstige System
gelangen; danach zu scannen ist CPU-Verschwendung. Ein Virenscanner kann
aber von einem zweiten System aus gestartet werden, um das eigentliche
System zu scannen während es nicht läuft; dazu darf das zweite System
allerdings während der Laufzeit des ersten Systems nicht schreibbar
sein. Eine extra Partition genügt also nicht.
Virenscanner-Signaturlisten müssen standaktuell sein, damit überhaupt
was Vernünftiges passiert. Ein automatisches Update ist mehr als
angebracht, gefährdet jedoch bei Fehlern der Virenscanner-Hersteller den
PC (wie im Falle Symantec gesehen).
Auf meine Frage hin ob er unter den Gesichtspunkten evtl. doch ein sinnvoller Teil des Konzeptes ist antwortete er mir:
Zitat
Möglicherweise ist er eine sinnvolle Ergänzung, ja. Er erspart einem ja
die ganzen bereits bekannten Viren. Er ist also eher ein Teil des
Bequemlichkeitskonzeptes, weniger ein Teil des Sicherheitskonzeptes,
denn das Sicherheitskonzept darf auch bei noch nicht weit verbreiteten
Viren nicht versagen, der Virenscanner tut es höchstwahrscheinlich.
die ganzen bereits bekannten Viren. Er ist also eher ein Teil des
Bequemlichkeitskonzeptes, weniger ein Teil des Sicherheitskonzeptes,
denn das Sicherheitskonzept darf auch bei noch nicht weit verbreiteten
Viren nicht versagen, der Virenscanner tut es höchstwahrscheinlich.
Intressant waren noch folgende Antworten(">>" zeigt meine Fragen an):
Zitat
> > Und ich sage immer Komfort != Sicherheit.
Das sehe ich übrigens gegenteilig. Meiner Ansicht nach muss ein System
für Endbenutzer im Defaultzustand ohne ständige Rückfragen sicher gegen
alle gängigen Angriffe sein, die kein social engineering sind.
> > Aber wie soll
> > sich ein Nutzer schützen vor Viren die nicht bekannt sind
Indem er sich nicht dumm verhält.
> > und z.b von
> > einer Herstellerseite kommen was ja nun doch schon passiert ist?
Gar nicht.
> > Da geht
> > er ja nicht zu Unrecht davon aus, dass dies eine vertrauenswürdige Seite
> > ist.
Klar. Und dagegen ist kein Kraut gewachsen, wird nie ein Kraut gewachsen
sein können.
Das sehe ich übrigens gegenteilig. Meiner Ansicht nach muss ein System
für Endbenutzer im Defaultzustand ohne ständige Rückfragen sicher gegen
alle gängigen Angriffe sein, die kein social engineering sind.
> > Aber wie soll
> > sich ein Nutzer schützen vor Viren die nicht bekannt sind
Indem er sich nicht dumm verhält.
> > und z.b von
> > einer Herstellerseite kommen was ja nun doch schon passiert ist?
Gar nicht.
> > Da geht
> > er ja nicht zu Unrecht davon aus, dass dies eine vertrauenswürdige Seite
> > ist.
Klar. Und dagegen ist kein Kraut gewachsen, wird nie ein Kraut gewachsen
sein können.
Schließlich noch die Meinung von Ansgar Wiechers zu dem Thema:
Zitat
Virenscanner (erstmal unabhängig davon, ob on-demand oder on-access)
versuchen, Malware zu erkennen, *bevor* sie ausgeführt wird. Es ist zwar
richtig, dass man bei geeigneter Systemkonfiguration und hinreichender
Vorsicht auch ohne Virenscanner auskommen kann, ebenso wie es zutrifft,
dass sie kein Allheilmittel sind (z.B. gegen verschlüsselte oder poly-
morphe Viren). Sie stellen IMHO jedoch ein sinnvolles Hilfsmittel dar,
um bereits bekannte Malware zuverlässig erkennen und aussortieren zu
können.
Durch den signaturbasierte Ansatz der gängigen Virenscanner können diese
natürlich nur bereits identifizierte Viren erkennen, und natürlich
müssen die Signaturen aktuell gehalten werden, damit auch neuere Malware
erkannt werden kann. Heuristische bzw. verhaltensbasierte Verfahren
können diese Beschränkung zwar teilweise kompensieren, können false
negatives (Malware wird nicht erkannt) aber trotzdem nicht vollständig
ausschließen und erhöhen darüber hinaus üblicherweise das Risiko von
false positives (Programm wird fälschlich als Malware identifiziert).
Aus diesem Grund sind Heuristiken mit Vorsicht zu genießen, insbesondere
wenn der Benutzer technisch wenig beschlagen ist.
Auch Virenscanner installieren meist einen mit SYSTEM-Rechten laufenden
Dienst (als on-access-Scanner). Für diese Dienste gilt natürlich
dasselbe wie für Dienste bei Personal Firewalls: interaktive Dienste mit
erhöhten Rechten sind broken-by-design, und Software, die so etwas
installiert sollte auf keinen Fall verwendet werden. Aber selbst wenn
der Dienst nicht interaktiv ist, stellt es ein Problem dar, wenn er mit
SYSTEM-Rechten läuft. Es werden immer mal wieder Bugs gefunden, die -
beispielsweise über präparierte Dateien - auf diesem Weg eine privilege
elevation erlauben. Besser (aber auch aufwändiger) wäre es, den Dienst
unter einem eigenen Konto laufen zu lassen, und diesem Konto geeignete
Zugriffsrechte zu geben. Nur macht das AFAIK kein Scanner.
Ungeachtet dieser Probleme halte ich jedoch die Verwendung eines
On-Access-Scanners bei technisch unbedarften Benutzern für ratsam, und
selbst für technisch versierte Benutzer kann ein On-Demand-Scanner eine
Hilfe bzw. Arbeitserleichterung darstellen.
versuchen, Malware zu erkennen, *bevor* sie ausgeführt wird. Es ist zwar
richtig, dass man bei geeigneter Systemkonfiguration und hinreichender
Vorsicht auch ohne Virenscanner auskommen kann, ebenso wie es zutrifft,
dass sie kein Allheilmittel sind (z.B. gegen verschlüsselte oder poly-
morphe Viren). Sie stellen IMHO jedoch ein sinnvolles Hilfsmittel dar,
um bereits bekannte Malware zuverlässig erkennen und aussortieren zu
können.
Durch den signaturbasierte Ansatz der gängigen Virenscanner können diese
natürlich nur bereits identifizierte Viren erkennen, und natürlich
müssen die Signaturen aktuell gehalten werden, damit auch neuere Malware
erkannt werden kann. Heuristische bzw. verhaltensbasierte Verfahren
können diese Beschränkung zwar teilweise kompensieren, können false
negatives (Malware wird nicht erkannt) aber trotzdem nicht vollständig
ausschließen und erhöhen darüber hinaus üblicherweise das Risiko von
false positives (Programm wird fälschlich als Malware identifiziert).
Aus diesem Grund sind Heuristiken mit Vorsicht zu genießen, insbesondere
wenn der Benutzer technisch wenig beschlagen ist.
Auch Virenscanner installieren meist einen mit SYSTEM-Rechten laufenden
Dienst (als on-access-Scanner). Für diese Dienste gilt natürlich
dasselbe wie für Dienste bei Personal Firewalls: interaktive Dienste mit
erhöhten Rechten sind broken-by-design, und Software, die so etwas
installiert sollte auf keinen Fall verwendet werden. Aber selbst wenn
der Dienst nicht interaktiv ist, stellt es ein Problem dar, wenn er mit
SYSTEM-Rechten läuft. Es werden immer mal wieder Bugs gefunden, die -
beispielsweise über präparierte Dateien - auf diesem Weg eine privilege
elevation erlauben. Besser (aber auch aufwändiger) wäre es, den Dienst
unter einem eigenen Konto laufen zu lassen, und diesem Konto geeignete
Zugriffsrechte zu geben. Nur macht das AFAIK kein Scanner.
Ungeachtet dieser Probleme halte ich jedoch die Verwendung eines
On-Access-Scanners bei technisch unbedarften Benutzern für ratsam, und
selbst für technisch versierte Benutzer kann ein On-Demand-Scanner eine
Hilfe bzw. Arbeitserleichterung darstellen.
Es könnte also ein On-Access-Scanner durchaus Sinn machen, aber man sieht erneut, es kommt auf das Szenario, das System und den Benutzer an. Man hat wieder eine Entscheidung zu treffen und muss die Vor- und Nachteile in Betracht ziehen. Meiner Meinung nach macht mittlerweile ein On-Access-Scanner auf einem System eines eher weniger kundigen Benutzers Sinn, dafür reicht es Leuten wie mir immer mal das System von Hand zu scannen oder einen On-Demand-Scanner installiert zu haben.
Eher allgemein zum Thema war diese Antwort von Volker Birk:
Zitat
Ich würde eher sagen, Microsoft muss Systeme im Default-Zustand und by
Design sicher ausliefern.
Das wirkt tausendmal besser als alles, was die "Personal Firewalls" je
"nachliefern" können. Das meiste, was da implementiert ist, ist sowieso
kontraproduktiv oder produktivitätsverhindernd.
Kontraproduktiv ist, dem Benutzer sicherheitstechnisch relevante
Entscheidungen aufzubürden, produktivitätsverhindernd ist es, den
Benutzer während dem normalen Arbyten mit Popups zuzupflastern. Leider
beginnt auch Vista diesen Unfug.
Warum können die Leute nicht einfach einsehen, dass es zu spät ist, wenn
Malware ausgeführt wird, und dass man Malware vorher an der Verbreitung
hindern muss? So gut wie alle Massnahmen, die danach kommen, sind
kontraproduktiv oder zumindest produktivitätsverhindernd.
Design sicher ausliefern.
Das wirkt tausendmal besser als alles, was die "Personal Firewalls" je
"nachliefern" können. Das meiste, was da implementiert ist, ist sowieso
kontraproduktiv oder produktivitätsverhindernd.
Kontraproduktiv ist, dem Benutzer sicherheitstechnisch relevante
Entscheidungen aufzubürden, produktivitätsverhindernd ist es, den
Benutzer während dem normalen Arbyten mit Popups zuzupflastern. Leider
beginnt auch Vista diesen Unfug.
Warum können die Leute nicht einfach einsehen, dass es zu spät ist, wenn
Malware ausgeführt wird, und dass man Malware vorher an der Verbreitung
hindern muss? So gut wie alle Massnahmen, die danach kommen, sind
kontraproduktiv oder zumindest produktivitätsverhindernd.
Ob sich daran jedoch irgendwann etwas ändern wird ist fraglich.
Und zum Abschluß noch etwas zum schmunzeln, wie ich finde:
Zitat
Der ONU braucht keinen Fachmann, sondern ein ab Werk sicheres System.
Man sieht die Diskussion kann man ewig und mit verschiednene Meinungen führen. Es gibt gewise Grundtendenzen aber schnell geht es in die Gegend, in der man die Entscheidung abhänig machen muss davon, welche Nutzer, welches System, welche Gegebenheiten vorliegen. Dennoch denke ich, dass für viele Nutzer es weiterhin besser ist, sich an die Konzepte von ntsvcfg.de und dem linkblock.de zu halten. Wie meine Erfahrung zeigt, produziert dieser Weg weniger Stress, Fehler und Kompromittierungsfälle.
Jede Diskussion bitte wieder entsprechend der Boardregeln führen und bitte sachlich bleiben. Ich wollte mich einfach über den aktuellen Stand bei den Kollegen informieren, die die Vorträge zu PersonalFirewalls und Windows Sicherheit gemacht haben.
Feedback:
Feedback Zu Neuem Sticky Thema
Dieser Beitrag wurde von ShadowHunter bearbeitet: 26. März 2007 - 13:53
Nach oben
