Darf ich dazu mal etwas aufklärendes schreiben, auch wenn's schon ein Weilchen her ist?
Zitat (Nachi @ 06.01.2010 13:15:44)wobei ich der Software kein vertrauen schenke, da gibt es ein paar Punkte die mich als PC Freak schon stören.
Hmm Windows als Grundlage benutzen aber dann einem weiteren Programm des Herstellers nicht vertrauen? Etwas inkonsequent, oder?
Zitat (Nachi @ 06.01.2010 13:15:44)1. es wird SpyNet mit installiert, wo man in einem Passus zustimmt das gegebenenfalls persönliche Daten auch an MS übertragen werden. Nee das geht die nix an.
Hier kann ich erklären was in etwa passiert. Unter normalen Umständen wird allenfalls Telemetrie gesammelt (Anzahl der gescannten Dateien, davon bösartig, in welcher Zeit, wie viele Bytes insgesamt usw.). Aber es werden hin und wieder Dateien, welche die Heuristiken als bösartig einstufen, an das jeweilige Virenlabor geschickt. Heuristiken sind Erkennungen die nicht exakt sondern "ungefähr" sind. Die basieren auf bekannten Mustern und erfassen somit häufig auch Exemplare von Malware die dem jeweiligen Hersteller so noch nicht untergekommen sind. Sie haben allerdings auch das Potential für Fehlalarme.
Das passiert übrigens bei einigen anderen Herstellern auch. Kaspersky hat deswegen Probleme, weil deren Heuristiken bspw. einige "Werkzeuge" von US-Geheimdiensten fanden, welche irgendwelche Freiberufler (contractors) mit heim nahmen. KAV hat die dann zu Kaspersky zur weiteren Analyse hochgeladen (meines Wissens nach kann man das auch abstellen und man stimmt dem ansonsten zu; liest nur keiner). Daraufhin warf man Kaspersky Spionage und Zusammenarbeit mit russischen Geheimdiensten vor. Ganz großes Kino. Inzwischen gibt es in den USA und den Niederlanden Gesetze gegen den Einsatz von KAV und aktuell hat das EU-Parlament eine (nicht bindende) Resolution zum Thema verabschiedet, welche die EU-Kommission zum Handeln auffordert.
Die Dateien welche aber nun geschickt werden, können auch Dokumente sein. Das hat einen ganz einfachen Grund. Insbesondere Microsoft Office ist derzeit wieder "im Kommen" in der Szene der Malwareautoren, weil dort gewisse Altlasten, welche Microsoft aus Kompatibilitätsgründen nie entfernt hat, faszinierende Angriffsszenarien ermöglichen. Einige der Erpresserkampagnen (mit Ransomeware) der letzten Zeit wurden über solche Dokumente angestoßen. Es gibt also tatsächlich ein Potential, daß mit einem Dokument welches derart manipuliert (oder auch infiziert) sein kann, das Dokument und dessen Inhalt beim AV-Hersteller landet. Andere betroffene Formate wären PDFs, diverse Bildformate (die Exploits enthalten können, also Merkmale die Softwarelücken ausnutzen) und vieles mehr.
Und genau das ist damit gemeint. Hier wird nicht systematisch dein Dokumentenordner abgeschnorchelt.
Übrigens werden aller Wahrscheinlichkeit selbst die Inhalte jener Dokumente die an den AV-Hersteller gehen keinerlei Beachtung durch einen Menschen finden. Von der Sprachbarriere in der überwiegenden Zahl der Fälle einmal ganz zu schweigen.
Hier müssen also mehrere Dinge zusammenkommen: du mußt Dokumente mit "aktiven" Inhalten haben (Makros/Skripte) und die Heuristiken müssen anschlagen. Sooo wahrscheinlich ist das Szenario dann auch wieder nicht. Die meisten 08/15-Benutzer die ich kenne, haben von Makros noch nie etwas gehört. Malwareautoren hingegen schon ...
Zitat (Nachi @ 06.01.2010 13:15:44)
2. Programmteile können einfach aus dem Installationsordner gelöscht, macht somit das Ding unbrauchbar, andere Antivirusprogramme lassen das nicht zu, ohne Bestätigung das der Anwender das will. Jede dem AV unbekannte Schadsoftware kann dann wenn sie auf dem PC ist das Ding also ausschalten...
Erstens ist dies nicht bei jeder AV-Software abgesichert und zweitens birgt gerade diese vermeintliche Absicherung das Potential eigener Sicherheitslücken.
Übrigens hat sich hier seit Windows 8 auch einiges getan. Stichworte ELAM und AM-PPL. Davon war natürlich 2010/2011 noch nicht viel zu sehen. Wohl wahr.
Zitat (Nachi @ 06.01.2010 13:15:44)
3. den Dienst den das AV von MS Startet kann ich problemlos per einfachen Kommandozeilen-Befehl beenden
Und genauso sollte das bei einem Dienst auch sein. Denn ohnehin kann nur ein Admin den Dienst ausschalten. Wenn aber die bösartige Software bereits Adminrechte hat, wird es ein Katz- und Mausspiel, bei dem die bösartige Software in den meisten Fällen die Nase vorn haben wird. Das liegt einfach daran, daß ein Angreifer unendlich viele Angriffsvektoren zur Verfügung hat, aber ein Verteidiger (also das AV-Programm) nur eine endliche Anzahl davon, nämlich bereits bekannte, abdecken kann. Bei uns lief das immer unter dem Motto: if the system is already infected, all bets are off. Deshalb ist es auch wichtig hin und wieder mal einen AV-Scanner im Offline-Betrieb die Platte beackern zu lassen. Das gilt aber auch für alle AVs, nicht nur für jene die sich vermeintlich nicht selbst schützen ;)
Ich habe vor meiner aktuellen Anstellung auch als Windows-Admin gearbeitet und haßte und hasse noch immer Windows-Dienste die sich nicht beenden lassen. Der Sicherheit hilft dies nicht, aber im Fall von Fehlfunktionen ist es ein Desaster. Das fällt für mich klar unter
Security by Obscurity.
Zitat (Nachi @ 06.01.2010 13:15:44)
Zu viele Dinge die mein System zerstören können.
Dann empfehle ich komplett auf AV-Software zu verzichten, immer (offline) Backups parat zu haben und vor allem immer eine saubere "Baseline" seines Systems zu pflegen auf die man vor jedem Patch-Dienstag zurückgeht und die man dann patcht. Offline ist wichtig, weil natürlich im Fall von Ransomware ggf. sonst deine Backups gleich mitverschlüsselt werden. Ansonsten hilft im Allgemeinen Hirn einschalten.
Irgendwie wünschte ich mir manchmal einen "Führerschein" für's Internet (aber dann eigentlich auch wieder nicht). Ganz einfach weil jemand der seinen Rechner nicht schützt, andere damit gefährdet. Und auch wenn das meist keine lebensbedrohliche Gefährdung sein wird, ist auch dafür das Potential da.
Ansonsten sind da zu viele Halbwahrheiten und Mißverständnisse in deinem Beitrag.
Wann immer jemand unbedingt kostenlos eine Lösung sucht, empfehle ich seit Jahren in dieser Reihenfolge: Microsoft Security Essentials, oder jede beliebige andere namhafte AV-Lösung.
Ich arbeite übrigens seit fast 12 Jahren in der AV-Branche (und nicht für Microsoft). Meine Firma bietet kein kostenloses AV-Produkt, weshalb ich es in solchen Diskussionen auch nicht empfehlen kann. Übrigens hat MS ursprünglich seine Lösung auch eingekauft, und zwar aus Rumänien. An meine Firma sind sie damals auch herangetreten. Allerdings wollte unser Chef nicht in den Nordwesten der USA umsiedeln.
Ach ja. Ein paar kleine Mythen möchte ich noch schnell zerstören:
- Ein AV-Programm welches behauptet, daß euer System sauber sei (also keine Malware enthält), lügt! (Na gut, meistens sind es die Marketingleute die hier die Entwickler zwingen diese Lüge so anzuzeigen.)
- Wenn ein AV-Programm euren Rechner als geschützt bezeichnet, dann umfaßt dies nur bekannte Malware, sowie Malware die von Heuristiken mit erfaßt wird. Zielgerichtete Angriffe von staatlichen Akteuren werdet ihr damit aller Wahrscheinlichkeit nach nicht abwehren können.
- Traue keinem AV-Test den du nicht selbst gefälscht hast. Bei den Tests - auch jenen durch vermeintlich unabhängige Testlabore - wird geschummelt daß die Wände wackeln. Abgesehen davon könnte man einige der Testszenarien auch direkt in die Tonne kloppen.
globetrotter4 Beiträge
