Wie kommst Du darauf?
Keine Antwort ist auch eine Antwort, und diese Nichtantwort hast Du ja ausreichend gegeben.
Diese Penetranz von "Achim weiß alles und besser und muss das letzte Wort haben" ist mehr als nervig.
Virenscanner
- marinasala
-
9. April 2024 um 18:35 - Erledigt
-
-
Diese Penetranz... ...ist mehr als nervig.
Auch eine Art der Eskalation.
-
Die Tatsache, daß Du Dich offensichtlich um die Beantwortung dieser Frage herumdrückst, läßt vermuten, daß die Antwort "ja" wäre, daß Du auf Deinem eigenen System diese Sicherheitslücke also nicht geschlossen hast.
Bliebe die grundsätzliche Frage zu klären, ob ein Programm, dass im Benutzerkontext läuft überhaupt eine Sicherheitslücke darstellt. Zumal, wenn es sich um ein reinen Einzelbenutzersystem handelt. Da reicht ja lt. Deiner Aussage bereits 'Brain 1.0' um sich vor allem Bösen zu schützen.
Gibt inzwischen genug Anwendungen, die explizit im Kontext des Benutzers ausgeführt werden (z.B. Browser, MS Teams, usw.). Wenn ein Benutzer also mit eingeschränkten Nutzerrechten arbeitet, ist das auf Einzelplatzsystemen durchaus vertretbar. Leider nutzen sehr viele Menschen auf Ihrem Privatrechner gern einen Benutzer mit administrativen Rechten!
Erlebe ich leider ständig, wenn ich mal bei Freunden/Bekannten mal 'schnell was am Rechner' erledigen soll. Da ist dann leider auch kein Verständnis da, wenn ich auf diese Sicherheitslücke hinweise. Bei einem Multi-Users-System sieht die Sache natürlich ganz anders aus. Wenn dann noch RDS/Citrix eine Rolle spielen sollte man sogar einen Schritt weiter gehen und die auf dem System ausführbaren Applikationen explizit freigeben (Whitelisten). Möglichst sogar per Hashwertbildung um ein Einschleusen von evtl. namensgleichen Dateien zu verhindern.
Auf zentral gemanagten Systemen ist das Ganze mit vertretbarem Aufwand umsetzbar.
Bei uns im Unternehmen hat ein entsprechender Vorfall vor einiger Zeit zu einem Umdenken in Sachen Sicherheit geführt.
Und kaum ist jetzt eine neue GF an Bord, wird schon wieder darüber sinniert, diese Sicherheit wieder auszuhöhlen. Schließlich kennt man es ja vom alten AG, dass die GF quasi einen Freifahrtsschein in Sachen IT-Sicherheit hat.
Da kann man eben nicht mal eben eine neue Anwendung installieren, sondern muss immer einen offiziellen Prozess durchlaufen.
-
Da draussen gibt es unzählige Botnetzwerke von ungepatchten Windows-Systemen, die fleissig Spam und Malware verteilen, ohne dass ihre Besitzer das überhaupt merken. Windows-Updates braucht man ja angeblich nicht und immer ist der Nachbar ein lohnenderes Ziel als man selbst, der nichts zu verbergen hat und bei dem eh nichts zu holen ist, weil er ja alles im Griff hat. BSI, CCC, netzpolitik.org - die haben alle keine Ahnung.
Mit dem Bewusstsein, dass eben alle für aller Sicherheit Verantwortung tragen ist es nicht (mehr) weit her, leider...
-
Die Haupt einfallstore:
Phising dass was auch immer mehr hier im Forum angewandt wird Durch Anrufe, Fake Mails und Fake Nachrichten, kurz Spam.
Ein weiterer Bereich sind
Drive by Infektion
Und bzgl iOT Geräte
Offene Ports verwundbarer Dienste (z.b. Überwachungskameras, nas Systeme , Server oder Router)
Alle 3 letzt genannten Punkte sind durch Software Updates in aller Regel behebbar.
Ein weiterer Punkt ist natürlich der Nutzer selbst,
denn die gröste Lücke sitzt oder steht zwischen Stuhl und Bildschirm und ist anfällig auch für erst genannte Attacken.
-
Bliebe die grundsätzliche Frage zu klären, ob ein Programm, das im Benutzerkontext läuft, überhaupt eine Sicherheitslücke darstellt.
Diese Frage stellt sich natürlich nicht, was Du als IT-Mensch auch wissen dürftest.
Zumal, wenn es sich um ein reinen Einzelbenutzersystem handelt.
Ein im Nutzerdatenbereich installierter Verschlüsselungstrojaner kann locker flockig den gesamten Datenbestand eines Einzelbenutzersystems verschlüsseln.
Gibt inzwischen genug Anwendungen, die explizit im Kontext des Benutzers ausgeführt werden (z.B. Browser, MS Teams, usw.).
Systematische Sicherheitslücke, aus Sicherheitsaspekten total inakzeptabel. Jeder IT-Fachmann bekommt ob dessen graue Haare. Er ist aber halt zu klein, um sich gegen so große Firmen zu stellen. Das weißt Du auch, schließlich arbeitest Du in der Branche.
Es ist bequem für den User, daß er ohne Rücksprache mit der Haus-IT Programme auf seinem Rechner installieren kann, und fast alle Windows-Systeme lassen das ja auch zu. Aber es ist halt ein Sicherheitsproblem, das man mit dem Notnagel "Virenscanner" vergeblich zu schließen versucht.
Aus gutem Grund hat itschytoo die Information zurückgehalten, daß sein privater Rechner unter Debian läuft. Linux hat das Problem prinzipbedingt nicht. Alle Unix-Derivate haben von Anfang an eine entsprechende Rechteverwaltung - rwx- Lesen (read), Schreiben (write) und Ausführen (execute). Selbstverständlich hat bei jedem normalen Linux-System der Datenbereich kein Execute-Flag, von vornherein nicht. Das Scheunentor ist von Anfang an zu. Linux ist von seiner strukturellen Sicherheit her Windows haushoch überlegen. Das weiß Du natürlich, aber der Laie weiß das nicht.
Leider nutzen sehr viele Menschen auf Ihrem Privatrechner gern einen Benutzer mit administrativen Rechten! Erlebe ich leider ständig, wenn ich mal bei Freunden/Bekannten mal 'schnell was am Rechner' erledigen soll. Da ist dann leider auch kein Verständnis da, wenn ich auf diese Sicherheitslücke hinweise.
Wenn man einen Windows-Rechner kauft, ist er so installiert, und nur wenige Nutzer installieren ihren Windows-Rechner von Grund auf neu.
Das sind aber zwei Paar Stiefel: Das Administratorkonto und die Ausführbarkeit von Programmen im Nutzerbereich.
Wenn er mit eingeschränkten Rechten unterwegs ist, kann er cum grano salis die vorhandene Installation nicht zerstören, also etwa sein geliebtes Word löschen. Sich einen Verschlüsselungstrojaner einfangen, der dann sein zerstörerisches Werk tut, geht damit trotzdem.
Bei einem Multi-Users-System sieht die Sache natürlich ganz anders aus. Wenn dann noch RDS/Citrix eine Rolle spielen, sollte man sogar einen Schritt weiter gehen und die auf dem System ausführbaren Applikationen explizit freigeben (whitelisten). Möglichst sogar per Hashwertbildung, um ein Einschleusen von evtl. namensgleichen Dateien zu verhindern.Auf zentral gemanagten Systemen ist das Ganze mit vertretbarem Aufwand umsetzbar.
Bei uns im Unternehmen hat ein entsprechender Vorfall vor einiger Zeit zu einem Umdenken in Sachen Sicherheit geführt.
Und kaum ist jetzt eine neue GF an Bord, wird schon wieder darüber sinniert, diese Sicherheit wieder auszuhöhlen. Schließlich kennt man es ja vom alten AG, dass die GF quasi einen Freifahrtsschein in Sachen IT-Sicherheit hat.
Wasser auf meine Mühlen. Du bestätigst das, was ich in diesem Thread immer wieder schreibe.
-
Aus gutem Grund hat itschytoo die Information zurückgehalten, daß sein privater Rechner unter Debian läuft. Linux hat das Problem prinzipbedingt nicht. Alle Unix-Derivate haben von Anfang an eine entsprechende Rechteverwaltung - rwx- Lesen (read), Schreiben (write) und Ausführen (execute). Selbstverständlich hat bei jedem normalen Linux-System der Datenbereich kein Execute-Flag, von vornherein nicht.
Oh Junge....
