Virenscanner

Zitat von marinasala

inziwschen habe ich 2 Laptops, die eurer Meinung nach mit Sicherheit 'veraltet' sind,

Du kannst andere Software abseits von Windows bzw. macOS nutzen die diese Geräte problemfrei unterstützen.

Zum Thema 3. Anbieter virenscanner, ich persönlich halte diese für unnötig,

Funktionen wie bsp. Browser Erweiterungen die SSL Verbindungen aufbrechen wie es einige dieser Programme anbieten halte ich für kritisch und sollten nicht aktiviert/ genutzt werden.

Zitat von marinasala

Apple Store

iOS und macOS nutzen verschiedene Stores.

marinasala : hier liegt ein Missverständnis vor: nicht "wir" legen fest, wann ein Gerät veraltet ist, das tut jeder Hersteller selbst; Beispiel Apple:

So lange unterstützt Apple Macs mit Updates wirklich

Ausführliche Statistik zu Apples Unterstützung von Macs mit macOS- und Sicherheits-Updates erschienen.

www.macwelt.de

Zitat von LebenimSueden

Und die neuesten (Sicherheits)updates sind tatsächlich wichtig. Angriffe auf bekannte Sicherheitslücken erfordern kaum Fachkenntnis, dafür gibt es diverse Exploit-Frameworks. Und da Webseiten heute nicht einfach nur Webseite sind, sondern Inhalte von überall einbinden, hilft auch aufpassen nur bedingt.

Ich halte die Diskussion von "Sicherheitslücken" für Normalnutzer für überbewertet. Normalnutzer werden üblicherweise nicht über Zero-Day-Exploits gehackt (wenn sie überhaupt auf technischem Wege gehackt werden!).

Eine Standard-Windowsinstallation hat zwei massive Sicherheitslücken, nämlich:

a) Der Normaluser ist als Administrator unterwegs.

b) Dateien in den Userverzeichnissen können ausgeführt werden.

Das Updaten und Virenscannerinstallieren ist im Vergleich dazu lediglich ein Herumdoktern an Symptomen.

Ein gut administriertes System sollte zwei Bereiche haben

a) Den Programmbereich, der im Normalbetrieb schreibgeschützt ist. Nein, noch nicht einmal schreibgeschützt, sondern schreibsicher. Ich präzisiere das deswegen, damit keiner kommt und behauptet, daß die Benutzersteuerung UAC ja ein gewisser Schutz sei. Er ist in der Tat als Schutz nicht 0, aber der Schutz dürfte minimal sein.

b) Den Datenbereich, in den man logischerweise hineinschreiben können muß. Was dort allerdings hineingeschrieben wird, darf dort nicht ausführbar sein.

Sollte sich ein Leser schon einmal darüber gewundert haben, daß sich ein Programm völlig problemlos installieren ließ, obwohl er doch aus Sicherheitsgründen mit einem Benutzerkonto mit eingeschränkten Rechten unterwegs sei, der möchte einfach mal nachschauen, wo sich das Programm installiert hat. Im Programmverzeichnis wird er es nicht finden, dort darf der eingeschränkte Benutzer ja nicht schreiben. Er wird es in seinem Benutzerverzeichnis finden. Dort darf der eingeschränkte Benutzer schreiben und auch dort installierte Programme ausführen.

Das Dateisystem von Windows unterstützt das obige Konzept aus der Schachtel. Allerdings muß man es konfigurieren, und daran mangelt es (speziell beim zweiten Punkt).

Es hat mal Zeiten gegeben, in denen man in allen Gazetten die strenge (sachlich richtige!) Mahnung lesen konnte, man solle auch als Einzelnutzer zwei Konten anlegen, nämlich ein Adminstratorkonto, in das man sich nur einzeichnet, wenn man ein neues Programm installiert, und ein Benutzerkonto, das man üblicherweise zum Arbeiten mit dem Rechner nimmt. Diesen sinnvollen Hinweis habe ich schon lang nicht mehr gelesen, wohingegen man die treuherzigen Ermahnungen, auch nur ja immer nur die neuesten Softwareversionen einzuspielen und selbstverständlich auch einen Virenscanner, einem auf Schritt und Tritt begegnen, wenn man sich im Netz bewegt.

Den zweiten Punkt kennen praktisch nur Experten. Ich zitiere mal aus https://schneegans.de/windows/safer/ , einer Seite, die sicherlich nichts für den Normaluser ist:

*_SAFER.INF konfiguriert Windows so, daß Benutzer (also Nicht-Administratoren) Programme nur dort ausführen dürfen, wo sie keine Schreibrechte haben. Ein Benutzer kann somit ein Schadprogramm nicht zur Ausführung bringen, selbst wenn er wollte – wo er es ablegen kann, darf er es nicht ausführen, und wo er es ausführen dürfte, darf er es nicht ablegen.

Sehr viel Malware wird heruntergeladen und landet dann im jeweiligen Nutzerverzeichnis. Sie kann dort keinen Schaden anrichten, sofern das Downloadverzeichnis so konfiguriert ist, daß das Betriebssystem Dateien dort nicht ausführen darf. Das ist ein systematischer Schutz, der sehr viel wirksamer ist als der pragmatische Schutz durch einen Virenscanner. Der Virenscanner schaut die Download-Datei an, stellt möglicherweise fest, daß er gerade eine .exe untersucht, checkt seine Signaturen, findet nichts und läßt die Datei dann durch. Wenn der Virenscanner eine Malware nicht erkennt, ist sie im System. Der geschilderte Schutz funktioniert völlig anders: Man kann alles herunterladen, was man will, aber man kann es dort, wo man es als Normalnutzer speichern darf, nicht ausführen. Es wird überhaupt nicht geprüft, ob eine Datei gut oder böse ist, sondern da Ausführen wird generell blockiert, also zu 100%.

Unsere IT hält uns regelmäßig die sattsam bekannten Gardinenpredigten - aber vermutlich kein einziges System im Haus ist in der oben geschilderten Weise dicht. Ich kann völlig problemlos eigene Software installieren und auch zur Ausführung bringen, weil mein Nutzerbereich wie bei praktisch allen Windows-Rechnern nicht ausführungsgeschützt ist. Ich brauche das auch beruflich: Der Windows-Standard-Bildbetrachter beherrscht bestimmte Bildformate nicht, die uns regelmäßig zugeschickt werden. Also habe ich mir einen passenden Konverter installiert. Die Kollegen wissen das mittlerweile, ich konvertiere die entsprechenden Dateien für alle. Ich habe das Problem mal der IT gemeldet und angeregt, daß das Konverterprogramm auf allen Stationen installiert werde. Man hat mir daraufhin eine Gardinenpredigt in hoheitlichem Ton gehalten und beschieden, daß so etwas aus Sicherheitsgründen keinesfalls erwogen werden könnte. Man könnte mir allenfalls anbieten, im Einzelfall entsprechende Dateien einzureichen, wo sie dann fachmännisch untersucht und ggf. konvertiert werden können.

Ich brauche die Funktion jeden Tag, das wäre also unpraktikabel.

Ich habe mich höflich für die Aufklärung bedankt, habe mir meinen Teil dabei gedacht und konvertiere meine Dateien weiterhin in der bisher praktizierten Methode.

Wenn man alle Fenster des Hauses mit gutem Schwedenstahl vergittert, aber ein Fenster bei dieser Maßnahme vergißt, ist das nicht viel besser, als hätte man überhaupt keine Vorsorge getroffen.

Oben im Thread hat einer eine Script-Sammlung erwähnt, mit der man Windows härten könne. Das kann man in der Tat, aber ich würde es einem Normal-DAU nicht empfehlen, Scripte von unbekannten Seiten auszuführen. Ein x-beliebiges Programm kann gut oder böse sein (die allermeisten sind gut), ein x-beliebiges Script kann gut oder böse sein (die allermeisten sind gut).

Über das treuherzige Updaten und Virenscannerinstallieren werde ich dennoch weiter schmunzeln (was meinem Fanclub hier im Forum ohne Frage den Schaum vor den Mund treiben dürfte).

Im Januar 2024 ist Microsoft selbst einem Hackerangriff zum Opfer gefallen. Wenn nicht Microsoft, wer sonst hätte das aktuellste Windows auf seinen Geräten? Es hat ihnen nicht geholfen und sie laborieren immer noch daran herum.

Zitat von Achim Weiss

Ich halte die Diskussion von "Sicherheitslücken" für Normalnutzer für überbewertet. Normalnutzer werden üblicherweise nicht über Zero-Day-Exploits gehackt (wenn sie überhaupt auf technischem Wege gehackt werden!).

Ich habe mir den Rest des Posts gespart, denn du hast mich genau bestätigt.

Ein Exploit-Framework enthält eben keine Zero-Days, sondern die abgeranzten Exploits der Vergangenheit. Gegen die man sich sehr einfach schützen könnte, indem man die Systeme aktuell hält. Und natürlich werden normale Nutzer auf technischem Weg gehackt. Gerade die normalen Nutzer. Ein bösartiges Skript auf einer Webseite laufen zu lassen, kostet sehr viel weniger Aufwand als ein Social Engineering Angriff

Zitat von Achim Weiss

Ich halte die Diskussion von "Sicherheitslücken" für Normalnutzer für überbewertet.

Zitat von LebenimSueden

Ich habe mir den Rest des Posts gespart, denn du hast mich genau bestätigt.

Ein Exploit-Framework enthält eben keine Zero-Days, sondern die abgeranzten Exploits der Vergangenheit. Gegen die man sich sehr einfach schützen könnte, indem man die Systeme aktuell hält.

Ich habe versucht darzustellen, daß ein offenes Scheuentor im Vergleich zu einem offenen Kellerfenster das größere Problem darstellt. Offenbar konntest Du diesen Gedankengang nicht nachvollziehen.

Macht auch nichts. Jeder schützt sein eigenes System (oder er tut es eben halt nicht).

Zitat von Achim Weiss

Ich habe versucht darzustellen, daß ein offenes Scheuentor im Vergleich zu einem offenen Kellerfenster das größere Problem darstellt. Offenbar konntest Du diesen Gedankengang nicht nachvollziehen.

Macht auch nichts. Jeder schützt sein eigenes System (oder er tut es eben halt nicht).

Du gehst da gerade sehr Richtung "Alternative Wahrheit"!

Wir haben hier einige IT-Profis im Forum, mich eingeschlossen, und der große Konsens ist, dass es wichtig ist, durch aktuelle Software die Angriffsfläche durch bekannte Sicherheitslücken zu minimieren.

Dein missionarischer Eifer dagegen anzuschreiben wird nicht dadurch gerechtfertigt, dass Du, richtigerweise, darauf hinweist, dass es auch andere Fehler gibt, die man machen kann.

Zitat von itschytoo

Dein missionarischer Eifer dagegen anzuschreiben wird nicht dadurch gerechtfertigt, dass Du, richtigerweise, darauf hinweist, dass es auch andere Fehler gibt, die man machen kann.

Mal direkt gefragt:

Kann man auf Deinem eigenen System Programme in Deinen Userbereich einspielen und dort starten?

Auf meinem eigenen System kann man das nicht. Auf allen System in der Firma, auf die ich Zugriff habe, kann man das.

Die Antwort auf Deine Frage lautet "Privilege Escalation" und ist eine von den Schwachstellen, die man über Updates stopfen kann/muss/soll um zu verhindern, dass auch aus einem eingeschränkten Userspace Schadcode mit Admin-Privilegien ausgeführt werden kann.

Zitat von Achim Weiss

Kann man auf Deinem eigenen System Programme in Deinen Userbereich einspielen und dort starten?

Auf meinem eigenen System kann man das nicht. Auf allen System in der Firma, auf die ich Zugriff habe, kann man das.

Zitat von itschytoo

Die Antwort auf Deine Frage lautet "Privilege Escalation"

Du weichst aus. Die Antwort auf meine obige Frage müßte "ja" oder "nein" lauten.

Mit "Privilege Escalation" hat das beschriebene Scheunentor im übrigen nichts zu tun.

Auf einem Standard-Windows-System werden ausführbare Dateien unabhängig davon ausgeführt, wo sie gespeichert sind. Das ist zunächst einmal kein Sicherheitsproblem, wenn diese Dateien an Stellen gespeichert sind, an denen ein Normalnutzer kein Schreibrecht hat, wo also nur ein Administrator etwas hinschreiben kann ("Programmbereich"), wo der Adminstrator also unter der Kontrolle hat, was er installiert.

Das ist aber sehr wohl ein Sicherheitsproblem, wenn die betreffende Datei im Datenbereich steht, in dem der Nutzer notwendigerweise Schreibrecht haben muß.

Man kann das mit Bordmitteln wegkonfigurieren. Die notwendigen Fähigkeiten, um diese Sicherheitslücke zu schließen, sind in Windows sämtlich eingebaut. Aber man muß das halt auch tun. Wie oben schon erwähnt:

Wo man eine Datei ausführen kann, darf der Nutzer kein Schreibrecht haben.

Wo der Nutzer Schreibrecht hat, darf eine Datei nicht ausgeführt werden können.

Holt sich ein Nutzer eine Datei auf den Rechner, etwa als E-Mail-Anhang oder per USB, dann landet die Datei auf dem Datenbereich dieses Rechners. Selbst, wenn ein Virenscanner diese Datei untersuchen sollte, kommen dabei falsch negative Ergebnisse vor. Es kann sein, daß ein Virenscanner eine Malwaredatei nicht als solche erkennt und sie somit auch nicht blockiert. Wenn das geschieht, ist auf den meisten Systemen Feuer frei. Die Malware hat dann ungehinderten Zugang zu allen Daten auf diesem System, möglicherweise auch noch auf Daten, die übers Netz zugreifbar sind.

Bei meinem System funktioniert das so nicht. Mein Windows führt keine Datei aus, die im Datenbereich liegt. Es prüft noch nicht einmal, ob eine solche Datei gut oder böse wäre, sondern es führt einfach keine Datei aus, die dort liegt, wo ich als Normalnutzer Schreibrecht habe.

Dies ist methodisch schlichtweg der bessere Ansatz als ein Virenscanner. Mich wundert, warum er nur Nerds bekannt ist.

Du wirst mir mein Schmunzeln zugestehen müssen, wenn ich mir das bedeutungsschwangere Sicherheitsgemurmel unserer IT-"Fachleute" vor Augen führe und daneben weiß, daß ich als Anwender, den man noch nichtmal die Uhrzeit im Rechner nachschauen läßt ("Fragen Sie Ihren Administrator!"), einfach nur einen USB-Stick an den Rechner stecken muß und davon alles an Programmen installieren kann, was ich will. IT-Sicherheit geht sicherlich anders.

Das ist aber nicht nur bei uns in der Firma so, sondern in fast allen Installationen, die mir seit vielen Jahren untergekommen sind.

Zu Deiner Beruhigung habe ich natürlich auch einen Virenscanner im Rechner, allerdings reicht mir dort der standardmäßige Defender. Ich gebe kein Geld für Schlangenöl aus.

Zitat von marinasala

Liebes Nordlicht, (m/w) was auch immer, vielen herzlichsten Dank für deinen wertvollen Tipp! Tatsächlich habe ich gerade High Sierra auf Catalina upgedatet und siehe da: Safari funktioniert wieder und auch der Papierkorb, der sich nur noch teilweise leeren ließ, führt alle Befehle brav aus!!! Wenn ich gewusst hätte, dass das so unkompliziert funktioniert, hätte ich es schon früher gemacht. Ich habe ja noch firefox drauf, da das Mailprogramm von Safari ein bißchen zickt und mir den Ordner 'unbekannt' sowie die Mails von web.de vorenthält!

Mit Mailprogramme von Safari meinst Du vermutlich Apple Mail; Safari ist ein Internetbrowser von Apple wie Firefox von Mozilla. Wenn Apple Mail (von Apple) zickt (tuts bei mir auch bisweilen 😉) dann installiere mal Thunderbird (von Mozilla) aus dem AppStore von Apple…

Du redest gerne vom Soll-Zustand (und der ist vor allem unter Windows schon extrem problematisch, da ein funktionierendes Rechtesystem nicht wirklich existiert). In der Praxis ist eine Remote Code Execution das Ziel jedes Exploits. Dann kannst du fast alles machen, was du willst. Und der heilige Gral ist das mit Root Rechten zu machen bzw. kombiniert mit Privilege Escalation. Dann hast du nämlich die volle Kontrolle., idealerweise mit der Möglichkeit zur Privilege Escalation.

Dabei reden wir übrigens nicht unbedingt darüber, dass man sich etwas herunterlädt. Auch wenn das zu Filesharing-Zeiten natürlich gerne so genutzt wurde. Es gibt aber auch die Drive-by-exploits, bei denen es reicht, bösartigen Content mit einem ungeschützten Browser aufzurufen.

LebenimSueden : ich stimme Dir uneingeschränkt zu: die Rechtevergabe unter Windows war, ist und bleibt unterirdisch. Ich habe nie verstanden, warum M$ nicht schon lange parallel ein vernünftiges OS parallel entwickelt (siehe Debian oder als Netzwerk-OS NetWare) und diesenWindows-Mist dann mal durch ein brauchbares System ablöst. 🤷🏼‍♂️

Zitat von Nordnordlicht

LebenimSueden : ich stimme Dir uneingeschränkt zu: die Rechtevergabe unter Windows war, ist und bleibt unterirdisch. Ich habe nie verstanden, warum M$ nicht schon lange parallel ein vernünftiges OS parallel entwickelt (siehe Debian oder als Netzwerk-OS NetWare) und diesenWindows-Mist dann mal durch ein brauchbares System ablöst. 🤷🏼‍♂️

So ähnlich war das ja mal mit Windows NT gedacht. Das Problem war - wie immer - dass ein harter Bruch eben ein harter Bruch ist. Ältere Software läuft nicht mehr und damit ist die fehlende Akzeptanz bei Kunden garantiert. Das betrifft übrigens nicht nur Großkunden mit einer IT, die an Behörden erinnert. Ich kann mich noch recht gut daran erinnern, dass gewisse Spiele dann halt nicht mehr liefen. Und dann kommt eben ein Teufelskreis in Gang. Die Maßnahme wird nur halbherzig umgesetzt, damit der alte Krams noch läuft. Kunden haben keinen Druck, ihre alte Software zu aktualisieren und Entwickler haben keinen Druck, ihre Software an ein strengeres System anzupassen. Man muss an der Stelle auch sehen, dass für fast alle Entwickler sowas auch nur ein lästiger Nebenschauplatz ist, der von der eigentlich (=geldbringenden) Arbeit ablenkt. Und weil nichts sauber angepasst ist, wird weiterhin alles nur halbherzig umgesetzt.

Und dann hat sich natürlich die Computerwelt verändert. Plötzlich war mobile first und alles im Internet. Also auch nicht unbedingt ein Anreiz, jetzt nochmal ein neues Betriebssystem auf die Beine zu stellen. Microsoft ist auf dem PC so stark, weil sie in den 90ern ein Quasi-Monopol erreicht haben. Mit einem harten Schnitt riskieren sie, dass das vorbei sein könnte.

Zitat von Achim Weiss

Mit "Privilege Escalation" hat das beschriebene Scheunentor im übrigen nichts zu tun.

Ich sage: Sicherheitslücken sollten geschlossen werden.

Du sagst: Dir können Sicherheitslücken nichts anhaben, weil Du Deinem Betriebsystem gesagt hast, es soll nicht auf Dich hören und Du daher allen möglichen Mist machen kannst ohne das das OS kompromitiert werden kann.

Mit "Privilege Escalation" wird aber genau diese Trennung umgangen und das über die eben nicht gestopfen Sicherheitslücken.

Ich finde es echt gut, dass Du Deine Benutzerumgebung härtest und auch Deine Abneigung gegen Schlangenöl teile ich. Ich mache mir auch keine Sorgen, dass Du Dir einen Virus einfängst, aber Dein Kreuzzug anderen auszureden, dass sie Updates machen ist recht gefährlich. Das ist nämlich das was Normalnutzer gerade noch so hinbekommen:

- Einen Virenscanner installieren

- Updates machen

Wenn Du jedem, dem Du sagst er soll seine alte Software weiter verwenden auch erklärst wie sie mit EMET etc umgehen und für all die anderen Risiken sensibilisierst: Bravo!

Zitat von itschytoo

Ich sage: Sicherheitslücken sollten geschlossen werden.

Ich hatte Dich konkret gefragt, ob auf Deinem System Programme in Deinem Userbereich laufen oder nicht.

Diese Frage ist mit "ja" oder "nein" zu beantworten.

Für mein System hier lautet die Antwort "nein".

Die Tatsache, daß Du Dich offensichtlich um die Beantwortung dieser Frage herumdrückst, läßt vermuten, daß die Antwort "ja" wäre, daß Du auf Deinem eigenen System diese Sicherheitslücke also nicht geschlossen hast.

Entschuldige mal, wie kommst Du darauf, dass ich Dir für irgendwas Rechenschaft schuldig wäre?


Ich benutze im übrigen Linux, da ist die Trennung zwischen userspace und kernelspace schon von Anfang an sinnvoll umgesetzt.

Was Du mit "Programme in meinem Userbereich laufen lassen" meinst, weißt vermutlich nur Du selbst. Ist hier aber auch nur Thema, weil Du es dazu machen willst.

Das wird also vermutlich wieder eine von diesen Unterhaltungen werden wo Du irgendwann alleine vor Dich hin redest. Nun denn...

Zitat von itschytoo

Entschuldige mal, wie kommst Du darauf, dass ich Dir für irgendwas Rechenschaft schuldig wäre?

Wie kommst Du darauf?

Keine Antwort ist auch eine Antwort, und diese Nichtantwort hast Du ja ausreichend gegeben.