Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Ich sehe nicht, inwiefern dieser Angriff gefährlicher sein soll als die bisherigen. Selbst in diesem Fall muß Schadsoftware zunächst einmal auf den Rechner gebracht und auch noch ausgeführt werden. Der einzige Unterschied ist, daß die Angreifer für die Verschlüsselung eine Systemfunktion mißbrauchen können.
AV-Software ist als Verteidigungslinie immer nur Fallback. Wenn die Software einschreiten muß liegt in jedem Fall Nutzerversagen vor. Der Umstand, daß heutzutage die AV-Software fälschlich als erste und wichtigste Verteidigung gilt ist vor allem der Tatsache geschuldet, daß die Nutzer in Fragen der IT-Sicherheit weitgehend unmündig sind.
Diese Mündigkeit (bzw. ihr fehlen) macht sich nicht an der Frage fest ob jemand Adblocker einsetzt oder nicht. Software hat damit überhaupt nichts zu tun. Die Frage ist vielmehr, ob der Nutzer einen potentiellen Angriffsversuch überhaupt erkennen würde. Nur wenn er wenigstens erkennt, daß er gerade angegriffen wird kann er überhaupt angemessen reagieren. Phishingmails sind ungefährlich wenn sie rechtzeitig als das erkannt werden was sie sind. Die im Anhang lauernde Ransomware kann gar nicht erst zum Zuge kommen wenn die Bedrohung rechtzeitig erkannt wird. Der erste Schritt einer Falle zu entgehen ist zu wissen, daß es sie überhaupt gibt.
Und genau da liegt das Problem. Die Nutzer wissen vielleicht, aufgeschreckt durch entsprechende Berichte, daß es "da draußen" irgendwo Gefahren gibt. Da sie aber nie gelernt haben diese Gefahren zu identifizieren, bleibt es bei einem diffusen Bedrohungsgefühl bei dem es Glückssache ist ob eine reale Bedrohung tatsächlich als solche erkannt wird. Noch unwahrscheinlicher ist es, daß die Nutzer erkennen worin genau die Bedrohung überhaupt liegt. Solange das so ist, ist der Nutzer buchstäblich eine Sicherheitslücke auf zwei Beinen und kann der Rolle die ihm eigentlich zukommt, nämlich die erste Verteidigungslinie zu sein, nicht annähernd gerecht werden.
Alles richtig. DENNOCH darf nicht vergessen werden, daß der Auftrag einer jeden Schadsoftware ist, unerkannt auf den Rechner zu kommen. Völlig unabhängig davon, wie sicht- oder unsichtbar sie sein will, wenn sie erstmal da ist.
Schadsoftware, die den Weg auf den PC nicht findet, ist unnütz und hat ihr Ziel verfehlt.
Plus, Infektionen nicht-kontrollierbarer externer Umgebungen. Wieder mal ein Ad-Network gehackt und als Malwareschleuder mißbraucht? Pech gehabt, da nützt auch das hochstilisierte HTTPS nichts, der Anwender sieht das Schloß (evtl sogar als EV) und ist glücklich, er hat sich nicht auf fragwürdigen Sites rumgetrieben oder irgendwo Ungünstiges geklickt, kurz: hat ALLES gemacht, was er auch im Bestfall hätte tun können und hat aber TROTZDEM den Virus gefangen.
Das ist nur EIN Beispiel.
Natürlich muß die Grundaufgabe in der Kompetenzschulung liegen.
Wer überall hinklickt und noch die Virenwarnung wegklickt, der hat es - überspitzt -- nicht anders verdient.
Auf der anderen Seite hilft gegen gutes Social Engineering kaum ein Kraut, am allerwenigsten Brain.exe, hier MUSS softwareseitig unterstützend eingegriffen werden, zB durch (ausschließlich) signierten Mailverkehr.
Zu glauben, daß es mit der Kompetenz des jeweiligen Anwenders getan ist, ist GROB fahrlässig. Es bedarf IMMER zumindest eines Fallbacks, idealerweise deren mehr.
Welche Möglichkeiten die Schadsoftware nutzt ist am Ende ohnehin scheißegal. Die ältesten davon haben auch einfach deltree /Y gesagt oder rm -rf / oder dergleichen mehr. Das waren auch einfach nur Bordmittel.
Problematischer wird es, wenn AV-Software gekapert werden kann und - sinngemäß -- das Immunsystem des PCs gegen ihn verwendet werden kann.
Daß AV-Software natürlich selbst nur Software ist und damit ebenfalls Sicherheitslücken hat, sollte auch auf der Hand liegen. 100%igen Schutz gibt es nie, nicht nach innen und auch nicht nach außen, aber das heißt NICHT, daß man deswegen gleich von vorneherein darauf verzichten kann, darf, soll oder gar muß.
Microsoft hat den Defender auch nicht zum Spaß in Windows integriert: das taten die, WEIL die Kombination aus DAU und Naivling keine Schutzsoftware einsetzten, mehr und mehr Windows-PCs zur Schleuder wurden und sich zum einen sich selbst und, weitaus schlimmer, allen anderen schadeten.
AV-Software war bisher blind für diesen Angriffsvektor. Das machte diesen Angriff bisher gefährlicher als andere....für Besitzer einer Pro-Version oder höher. Insbesondere, aber eben nicht ausschließlich, für Leute die auf alles Klicken was nicht bei "Drei" auf den Bäumen ist oder die gezielt angegriffen wurden.
lol
Als ob Antivirenprogramme überhaupt nennenswerten Schutz bieten würden.
"blind für diesen Angriffsvektor" heißt in erster Linie, da ist noch was im System, wo sie noch nicht herumgepfuscht haben.
Wie erfoglreich Antivirenprogramme sind Systeme zu zerstören oder Sicherheit zu unterminieren haben wir ja nun schon oft genug bestaunen dürfen.
Naja zumindest könnten AV Programme den Vorgang stoppen falls sie ihn erkennen würden und den Nutzer fragen ob das auch gewollt ist.
Die UAC könnte auch einschreiten.
Wobei ich es mittlerweile so halte dass ich den normalen User aus der Administrator Benutzergruppe entferne.
Ist zwar dann nicht mehr ganz so bequem aber ich halte es einfach für sicherer.
Natürlich muss man dann vorher noch ein neues Konto mit Administratorrechten erstellen oder das ADMINISTRATOR Konto aktivieren.
Das bedeutet ja im Klartext, die Schadsoftware ist schon längst aktiv. Die AV-Software hat schon vorher ihren Job nicht gemacht. Und wer weiß, was sie schon alles angestellt hat bevor sie das mit dem EncFS probiert hat.
Ja aber wenn eine unbekannte Schadsoftware inaktiv ist wie soll das irgendwas erkennen?
Ich schreib dir wenn ich denn wollte zu 100% ein solches Programm welches dann irgendwann aktiv wird und von nichts erkannt werden kann.
So etwas ist doch überhaupt kein Problem und gab es schon unter DOS und wahrscheinlich noch früher!
Ansonsten geb ich dir natürlich total recht.
Und was lernt man daraus? Nix is sicher.
Das ist ja der Witz. Wenn die Schadsoftware erst einmal auf dem System aktiv ist hat man in jedem Fall verloren. Denn ein intelligenter Malware-Programmierer wird natürlich die Registry auf diesen Schlüssel überprüfen und ihn gegebenenfalls wieder löschen.
Aus dem Grund bleibe ich auch dabei, daß der Nutzer die erste und wichtigste Verteidigungslinie ist. Alles andere kann und wird immer nur Fallback sein und greift dann HOFFENTLICH ein wenn der Nutzer versagt hat. Dabei gilt, daß AV-Software jeder Art Schadsoftware SICHER nur auf Basis der hoffentlich aktuellen Signaturdaten erkennt. Die Heuristik kann funktionieren, wetten würde ich darauf allerdings nicht.
Leider erwarten die allermeisten Menschen (auch in den einschlägigen Foren) von AV-Software weit mehr als sie zu leisten imstande ist. Wie gesagt bedeutet das einschreiten der AV-Software IMMER, daß der Nutzer gerade versagt hat.
Der letzte Fallback-Mechanismus ist dann unter Windows eine auf höchste Stufe geschaltete UAC bzw. das Arbeiten unter einem eingeschränkten Nutzeraccount. Wenn dann irgendein Programm Adminrechte anfordert hat man somit die letze Chance das Desaster zu verhindern. Wobei das mit der UAC auch nicht OOTB funktioniert weil sie aus Komfortgründen serienmäßig nur auf die zweitempfindlichste Stufe geschaltet ist. Bei dieser zweiten Stufe gibt es dann eine Liste automatisch vertrauenswürdiger Programme bei denen natürlich auch die Windows-eigenen Settings drin sind. Blöd nur wenn ein Angreifer gerade an der Stelle ansetzt. Nur auf der höchsten Stufe fragt Windows wirklich IMMER nach.
Die große Tragik der heutigen Zeit ist, daß die Betriebssysteme (und damit ist auch Linux gemeint) zwar so designt wurden, daß man damit alles machen kann, aber das gilt eben auch für die "Bad Guys". Darüber hinaus man den Leuten erfolgreich eingeredet, daß Computer so unkritisch und einfach zu bedienen sind wie eine Küchenmaschine. Und genau so bedienen die Menschen ihre Computer auch.
Wirklich dausicher wäre das System dann, wenn die Systemsicherheit auf viel niedrigerer Ebene anfinge zu greifen. Das finge schon damit an, daß es eben keine Blacklist von verbotenen Programmen gibt, sondern eine Whitelist von erlaubten Programmen (inkl. Checksummen der Binaries) bei deren Erweiterung angegeben werden muß was das Programm darf und wo im Dateisystem es überhaupt aktiv werden darf.
Beispiel Office-Programm:
Eine Textverarbeitung muß nicht auf Systemsettings zugreifen. Sie muß auch nicht auf Programm- oder Systemverzeichnisse zugreifen abgesehen von ihrem eigenen. Es wäre sogar gut sie nur auf bestimmte Verzeichnisse im Bereich der Nutzdaten zugreifen zu lassen. Wie wäre es mit einem Backupverzeichnis mit beschränkten Zugriffsrechten für ALLE Programme, inkl. serienmäßig aktiviertem Überschreibschutz der Schreibzugriffe sämtlicher Prozesse nicht umleitet (wie bei der Virtualstore-Geschichte) sondern von Anfang an verhindert?
Die derzeitige Ausgestaltung der Systemsicherheit funktioniert NUR für Menschen die wissen was sie tun. In der Zeit der sogenannten Freaks war das auch in Ordnung so. Nur taugt der Ansatz mittlerweile einfach nicht mehr.
Naja. Dafür gibts doch die ganzen Updates für die Virendatenbank. Und dann scannt man halt Dateien vor der Ausführung nach einer bekannten Virensignatur und findet so den Virus.
Das ist die klassische Weise wie Antivirenprogramme arbeiten.
Ja. Zauberwort ist der passende Begriff.
Mit dieser ominösen Verhaltsanalyse gestehen die Antivirenhersteller letztlich ein, das ihre Signaturen wertlos sind.
Was macht die Verhaltensanalyse? Die guckt und beobachtet die Vorgänge auf dem System. Wird übrigens auch gern auf Servern gemacht in Form von Intrusion-Detection. Da funktioniert das sogar halbwegs. Aber nur darum, weil Server eine definierte Umgebung sind. Man weiß halt sehr genau, was normale Vorgänge sind und wie unnormale Vorgänge aussehen.
Auf dem normalen PC gilt das alles nicht. Da hast Du eine schier unendliche Anzahl an Software und Softwarekombinationen die Du abdecken musst. Du musst die Empfindlichkeit also extrem weit runterregeln, weil Du sonst ständig Fehlalarme hättest. Das Ergebnis ist, das dann diese Verhaltensanalyse auch nahezu wertlos wird. Und selbst wenn sie mal anschlägt, weißt Du immer noch nicht obs nicht doch unbegründet ist. Denn der normale PC-Anwender kann das im Zweifel gar nicht beurteilen.
Bei Intrusion-Detection auf Servern guckt sich im Fall einer Meldung das der Admin an. Aber der hat i.d.R. auch die nötigen Kenntnisse, um die Meldung und die Werte zu interpretieren.
Weil Du von DOS-Zeiten sprachst. Mit Heuristik haben Antivirenprogramme schon damals geworben. Seitdem sind einige Jahrzehnte ins Land gegangen. Wäre das ein brauchbarer Ansatz, müssten die ja inzwischen so weit sein jeden Virus erkennen. Das ist aber bei weitem nicht der Fall.
ThanRo schrieb:
Die große Tragik der heutigen Zeit ist, daß die Betriebssysteme (und damit ist auch Linux gemeint) zwar so designt wurden, daß man damit alles machen kann, aber das gilt eben auch für die "Bad Guys".
Das ist eigentlich keine Tragik. Das man alles machen kann ermöglicht ja gerade die Flexibilität der Computer und trägt dazu bei, das sich neue Ideen rasch entwickeln.
Klar hast Du dann auch die Bad-Guys im Nacken. Aber das ist halt der Preis dafür.
Wenn man das nicht will, muss man einschränken. Solche Ansätze gibts ja auch durchaus. Man denke da an Spielkonsolen.
ThanRo schrieb:
Eine Textverarbeitung muß nicht auf Systemsettings zugreifen. Sie muß auch nicht auf Programm- oder Systemverzeichnisse zugreifen abgesehen von ihrem eigenen. Es wäre sogar gut sie nur auf bestimmte Verzeichnisse im Bereich der Nutzdaten zugreifen zu lassen.
Ja. Auch das gibt es schon länger. Unter Linux gibts beispielsweise dafür AppArmor oder auch Firejail.
Unter Windows gabs mal mit CoreForce eine vergleichbare Lösung. Offenbar hält Microsoft es aber nicht für nötig sowas mal fest einzubauen.
ThanRo schrieb:
Wie wäre es mit einem Backupverzeichnis mit beschränkten Zugriffsrechten für ALLE Programme, inkl. serienmäßig aktiviertem Überschreibschutz der Schreibzugriffe sämtlicher Prozesse nicht umleitet (wie bei der Virtualstore-Geschichte) sondern von Anfang an verhindert?
Auch so was ließe sich realisieren. Aber die Anbieter von Sicherheitssoftware kreieren ja lieber irgendwelche halbgaren Lösungen, um den Leuten das Geld aus der Tasche zu ziehen.
ThanRo schrieb:
Das finge schon damit an, daß es eben keine Blacklist von verbotenen Programmen gibt, sondern eine Whitelist von erlaubten Programmen
Sowas gibt es ja unter Windows auch.
In Form von Software Restriction Policies / AppLocker.
Leider sind die in der Professional und Home-Version von Windows nicht zugänglich (außer man bedient sich irgendwelcher Registry-Hacks).
Security ist halt nicht für alle. Das lässt sich Microsoft gut bezahlen. :-)
Ich würde nicht so weit gehen zu sagen, daß die Signaturen wertlos sind. Nur sollte man sich von der Zwangsvorstellung lösen, daß ein AV-Programm auf automagische Weise irgendeinen zuverlässigen Schutz gegen eine NEUE Bedrohung bietet. Es kann eventuell sein, daß die Heuristik anschlägt und das AV-Programm einen warnt, es kann aber genauso gut sein, daß die Warnung ausbleibt. Wie gesagt gibt es einen einigermaßen zuverlässigen Schutz eben ausschließlich gegen bekannte Bedrohungen.
Genau deshalb ist ja der Nutzer nicht nur die erste, sondern eben auch die wichtigste Verteidigungslinie. Wenn diese Linie fällt hängt es vor allem von der Neuheit der Schadsoftware ab ob das Desaster ausbleibt. Wir haben doch jetzt schon genügend Malware-Wellen erlebt um endlich mal zu begreifen, daß es im Ernstfall vor allem von Kompetenz und Aufmerksamkeit der Nutzer abhängt ob eine Infektion erfolgt oder auch nicht.
andy_m4 schrieb:
Das ist eigentlich keine Tragik. Das man alles machen kann ermöglicht ja gerade die Flexibilität der Computer und trägt dazu bei, das sich neue Ideen rasch entwickeln.
Nur ist doch die Frage ob Otto Normaldau der eigentlich nur ein wenig Office und Internet machen will wirklich diese Flexibilität braucht. Eine Möglichkeit wäre es OS-Editionen mehr nach Einsatzzweck zu unterscheiden. Also auch eine bewußt eingeschränkte Version die aus Sicherheitsgründen manches einfach nicht zuläßt.
Die IT-Sicherheit, so wie sie sich für besagten Otto Normaldau darstellt, ist definitiv kaputt. Und an sich ist das in der Branche durchaus bekannt. Das Problem ist nur, daß diese schon by Design kaputte Sicherheit glänzende Geschäfte ermöglicht. Ja, Kaspersky, Avira, Sophos und wie ihr alle heißt, ich sehe gerade in eure Richtung.
Daran sind aber Kaspersky oder andere nicht Schuld und versuchen teils wirklich etwas kaputtes abzusichern.
Klar wollen sie auch Kohle machen.
Als Schlangenöl würde ich das aber alles nicht bezeichnen.
Es gibt dabei aber natürlich auch Dinge wie HTTPS aufbrechen die mir so nicht ganz gefallen.
Liegt aber in der Natur der Sache wenn man in Pakete reinschauen möchte.
Wobei, warum ist es eigentlich noch immer ein Problem DNSsec etc. fix ins OS einzubauen?
Ich würde nicht so weit gehen zu sagen, daß die Signaturen wertlos sind. Nur sollte man sich von der Zwangsvorstellung lösen, daß ein AV-Programm auf automagische Weise irgendeinen zuverlässigen Schutz gegen eine NEUE Bedrohung bietet.
Eben die neuen Bedrohungen sind ja das Problem. EIn Virus überhaupt wahrzunehmen, zu analysieren und dann noch Signaturupdates zu verteilen dauert eben.
Diese Art von Scan wird dem Internetzeitalter eben überhaupt nicht gerecht.
ThanRo schrieb:
Genau deshalb ist ja der Nutzer nicht nur die erste, sondern eben auch die wichtigste Verteidigungslinie.
Ich weiß nicht, ob es Sinn macht alles auf den Nutzer abzuwälzen. Auch der beste Computer-Nerd kann sich mal verklicken. Die Systeme müssen auch als solches sicherer werden. Aber wenn selbst solche Sachen wie AppLocker dem Feld-, Wald- und Wiesen-Nutzer nicht bereitgestellt wird, dann ist das halt Asche.
ThanRo schrieb:
Wir haben doch jetzt schon genügend Malware-Wellen erlebt um endlich mal zu begreifen, daß es im Ernstfall vor allem von Kompetenz und Aufmerksamkeit der Nutzer abhängt ob eine Infektion erfolgt oder auch nicht.
Darauf wird man sich aber erfahrungsgemäß nicht verlassen können.
Andererseits verstehe ich auch viele Sachen nicht die sich durchaus technisch lösen lassen. Zum Beispiel bei einer Personalabteilung. Die kriegt irgendwie Mails von Bewerbern. Auch mit Anhängen (PDF) und weiß der Geier.
Warum, zum Teufel, müssen da z.B. Anhänge mit vollen Userrechten geöffnet werden, so das sich etwaige Schadsoftware schön auf dem Rechner breit machen kann und noch vielleicht sogar auf Netzwerklaufwerke zugreifen kann.
Versteh ich nicht. Das könnte man so prima absichern.
ThanRo schrieb:
Nur ist doch die Frage ob Otto Normaldau der eigentlich nur ein wenig Office und Internet machen will wirklich diese Flexibilität braucht.
Windows S geht ja so in die Richtung. Wird aber jetzt auch nicht gerade mit Begeisterung aufgenommen.
Ich glaub auch, man macht es sich so einfach, wenn man dem Normalnutzer unterstellt, der macht nur Internet und Office. Klar. Es mag solche Leute geben, aber das sind weniger, als man glaubt.
Und einige dieser Leute werden ja auch schon von Smartphone und Tablet abgeholt. Das ist ja sowas in der Richtung. Du hast Internet. Du hast so ein bisschen ein behüteten Bereich namens AppStore.
Die Leute, die sich dann doch ein PC hinstellen, die wollen i.d.R. auch ein wenig mehr machen. Sei es irgendwie ein Game oder Sonstiges.
Ansonsten könnte man ja auch sofort nen halbwegs sicheren PC anbieten. Da nimmt man irgendein Linux. Da hast Du das auch durch die Paketverwaltung dieses Store-Feeling. Du bist einigermaßen sicher, weil die Schadsoftware für Linux "in the wild" ist immer noch sehr überschaubar.
Aber der Markt bietet da halt nur wenig an. Viele kaufen sich ein fertiges Gerät und auf dem ist zu 99% Windows vorinstalliert. Dabei könnte man das anders machen und könnte sogar noch mit "sicher" werben.
Passiert aber irgendwie nicht.
ThanRo schrieb:
Die IT-Sicherheit, so wie sie sich für besagten Otto Normaldau darstellt, ist definitiv kaputt.
Gute Frage. :-)
Hat vielleicht keine Priorität bei Microsoft. Haben ja andere Sicherheitsfeatures auch nicht. Warum sollen Sie bei DNSSec und Konsorten dann plötzlich Tempo vorlegen? :-)
Du möchtest gerne über den Sinn oder Unsinn von Antivirenprogrammen diskutieren? Das finde ich gut!
Aber bitte sei so nett und öffne dafür einen eigenen Thread. Hier geht es um einen neuen Angriffsvector gegen Windows.
Ich hab das Thema Antivirenprogramm nicht mit eingebracht. Es wurde nur bemängelt, das das Antivirenprogramme nicht erkennen.
Ich hab lediglich darauf geantwortet.
Der Schutz ist dann gegeben wenn der User keine Adminrechte hat und sich auch nicht einfach ergattern kann.
Und genau dort liegt der Hund begraben.
"Als Administrator ausführen" noch dazu ohne Passwort möglich.
Noch dazu sehe ich für 90% der Programme keinen Grund dass diese Administratorrechte für eine Installation benötigen würden.
Hier könnte auch noch nachgebessert werden.
Das hat mit Passwort oder nicht Passwort nichts zu tun, es sei denn Admin und Nutzer sind unterschiedliche Personen. Das Problem ist, daß die weit überwiegende Mehrheit der Nutzer sich der Tragweite einer Operation mit Adminrechten einfach nicht bewußt ist. Wer entsprechende UAC-Nachfragen gedankenlos wegklickt wird auf Anfrage sein Passwort ebenso gedankenlos eingeben.
Auch das die meisten Programme für die Installation Adminrechte haben wollen sehe ich nicht als Problem. Wer in Systemverzeichnisse schreiben will benötigt nun einmal Adminrechte. Das ist unter Linux genauso wie unter Windows.
