Holzfällerhemd
Lieutenant
- Registriert
- Mai 2018
- Beiträge
- 986
Ich denke eher nicht, dass irgendeine Linux-Distribution eine Konkurrenz für ein Microsoft-Betriebssystem ist.R50M schrieb:
News Sicherheits-Software: Microsoft Defender ATP schützt jetzt auch Linux
- Ersteller SVΞN
- Erstellt am
- Zur News: Sicherheits-Software: Microsoft Defender ATP schützt jetzt auch Linux
t3chn0
Fleet Admiral
- Registriert
- Okt. 2003
- Beiträge
- 10.280
Die MS Defender ATP ist derzeit so ziemlich die Beste Enterprise Security Lösung welche verfügbar ist. Gerade auch im Vergleich zu ehemaligen Vorreitern wie Cylance hat Microsoft hier extrem gute Arbeit geleistet.
Es kostet halt viel Geld, ist aber auch sehr gut.
Es kostet halt viel Geld, ist aber auch sehr gut.
DocWindows
Vice Admiral
- Registriert
- Mai 2013
- Beiträge
- 6.812
Capet schrieb:
Hallo. Das Jahr 2000 hat angerufen und will seine Angriffsvektoren zurück.
Niemand bei klarem Verstand verschickt heute noch Viren per Mail. Die Bedrohungen kommen von Fake E-Mails mit Fake Links, damit du dir die Schadsoftware selber runterladen kannst, oder durch Anhänge mit legitim erscheinenden Dokumenten, aber mit nicht ganz so legitimen Makrofunktionen.
Diese Arten von Angriffen (bis auf die Makronummer) sind betriebssystemunanhängig.
Und falls der Linux-Desktop unter Noobs irgendwann mal eine gewisse Relevanz erreichen sollte, kannst du davon ausgehen dass es auch dafür entsprechende maßgeschneiderte Angriffe geben wird.
pmkrefeld
Captain
- Registriert
- Feb. 2012
- Beiträge
- 4.011
Wattwanderer schrieb:
Du meinst also wir sollten ein Problem lösen dass es nicht gibt?
Ich glaube dass ein Desktop viel schneller überflüssig sein wird als sich Linux am Mainstream-Desktop durchsetzt.
Außerdem wäre es sinnvoll mal den Artikel zu lesen, und zwar den ersten Satz:
MS versucht KEINE Desktops abzusichern sondern Server!
Yuuri schrieb:
Nö, kein System braucht einen Virenscanner.
Virenscanner brauchen Verantwortliche um aufzeigen zu können dass sie 'Maßnahmen' getroffen haben.
Capet schrieb:
Dann hat deine ITSEC schonmal versagt. Haken dran.
Yuuri schrieb:
Eine Recht harte Stellung, vor allem da deine Aussage genauso inhaltslos war.
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.252
Das Hauptproblem gekaperter WP Instanzen ist eigentlich, dass Wordpress von Vielen nach der Installation nicht mehr angefasst wird. In schlimmen Fällen werden die WP Instanzen noch mit Pluginschrott "aufgerüstet". Dagegen dann eine weitere Schutzschicht Schlangenöl einzuziehen ist ein typisches Antipattern. Das Problem gehört jedoch grundlegend angegangen. Was eben auch bedeutet, dass es Strategien geben muss, die Securityfixes nach spätestens 24h ausgerollt haben.Yuuri schrieb:
Ein grundlegendes Problem an der Stelle wäre, was hast du vertraglich mit der Tkom abgemacht? Prinzipiell soll ein Mailserver ja Nachrichten durchleiten und nicht weiter auswerten/scannen. Ein Virenscanner wäre bereits eine deutliche Erweiterung und impliziert vertraglich (Datenverarbeitung -> Datenschutz) allerhand. Zudem ein Virenscanner auch neue Probleme aufwirft. An der Stelle wo der Virenscanner Dateien anpackt, ist prinzipiell dieser Scanner ein mögliches Einfallstor für einen Angriff auf den ausführenden Server.Marcel55 schrieb:
Wenn Nutzer die ganze Zeit als root herumlaufen oder bei jedem Problem als erstes ein "sudo" einsetzen, bringt der AV-Scanner sehr wenig. Root darf alles[1], grundsätzlich also auch AV-Lösungen killen.Rome1981 schrieb:
[1] Alles untzer Ring0 auf x86 CPUs wenn ich es richtig im Kopf habe, aber auf Ring0 würde auch keine AV-Software laufen.
* sollte laufen lassenSV3N schrieb:
Die Realität schaut da auch sehr übel aus...
Wobei Monitoring auf jeden Fall angebracht ist, AV-Software aber nicht unbedingt. AV-Software ist immer auch ein Angriffsvektor. Es gibt Konstellationen, da macht eine solche Software keinen Sinn oder sollte zumindest sehr gut vom Hauptsystem entkoppelt werden.
Autostart ging auch über die .bashrc des Nutzers, das ist jedoch vergleichsweise unspektakulär. Denn alles was da ausgeführt wird läuft mit Nutzerrechten. Das taugt allein nicht zur "priviledge escalation". Es benötigt einen weiteren Bug und/oder Nutzerinteraktion (den Goldstandard wie man Nutzer davon abhält sich das eigene Bein weg zu schießen suchen alle Admins dieser Welt!). Das ist aber genau gleich wie unter Windows, da kann Nutzer sich ja auch fröhlich Autostarts mit Nutzerrechten anlegen.BeBur schrieb:
Supply-Chain ist der feuchte Traum überhaupt und kommt immer wieder vor. Mit der Manipulation einzelner Pakete für npm (javascript), pip (python), apt (Debian, Ubuntu + Familien), flatpak, docker, ... ist man von jetzt auf dann auf tausenden Servern etabliert.
Beispiel:
https://nakedsecurity.sophos.com/20...m-package-taken-down-after-microsoft-warning/
Sandboxes in Browsern, bei den Hackingwettbewerben zum Thema und BugBounties sind entsprechende Angriffe mittlerweile gut bezahlt und das Niveau wirklich sehr hoch. Gleichzeitig sind die Preise auf dem Schwarzmarkt verhältnismäßig klein, da die Exploits oft nicht lange Bestand haben.
Die Writeups zu den letzten Pown2Own Veranstaltungen waren entsprechend gehaltvoll.
Das "Nutzer führt schädliche Dinge auf seiner Kiste aus" ist nicht neu. Da gab es für Windows und Linux schon Geschichten, dass Terminalbefehle auf Seiten standen und im Hintergrund Javascript lauerte, welches versuchte die Zwischenablage des Nutzers bei einem "copy" mit anderem Inhalt befüllte.
Holzfällerhemd schrieb:Ich denke eher nicht, dass irgendeine Linux-Distribution eine Konkurrenz für ein Microsoft-Betriebssystem ist.
guter Witz! Nachdem WindowsServer Federn lassen musste, Windows Mobile von Android verdrängt wurde und Ms vor abwandernden Entwicklern derart Schiss hat, dass sie dieses WSL-Geraffel gestartet haben.Will ich auf einem Desktop-PC denn unbedingt Root Rechte? Als Nutzer habe ich Zugriff auf nahezu alles, was der Nutzer sieht und macht und kann die gesamten Hardware-Ressourcen nutzen wie es mir beliebt.Piktogramm schrieb:
so spontan aus der hüfte geschossen: Kann ich nicht einfach ein malicous alias/funktion für
sudo einrichten? PS.: Spontanes googlen ergibt diverse Möglichkeiten: LinkJa.. sudo böse kann man sagen.. aber wie viel % der Linux Desktop Nutzer nutzen wohl kein sudo?
Auf jeden Fall. Allerdings gibt es auf Linux eher ein "kopier dir das hier mal und gib das im Terminal ein:Piktogramm schrieb:
sudo ..." Kultur als unter Windows, wo man eher Software runter lädt. Auch nicht unbedingt besser.. eben verschiedene Vektoren.Stimmt. Ich hatte da an State-Actors, speziell China gedacht.Piktogramm schrieb:
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.252
Realitätsabgleich von der "Wegmachtruppe". Verseuchte Anhänge ob nun mit Office Makros, ausführbare Dateien, versuchte PDFs etc. pp. sind derart häufig, dass die Suche nach diesen Angriffsvektoren der am besten automatisierte Teil der Fehleranalyse ist.DocWindows schrieb:
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.252
@BeBur
Wenn alles was der Angreifer will durch den Nutzer bzw. seine Rechte zugänglich sind stimmt das. In Firmen wo einzelne Nutzer meist nie alles sehen können, will man aber tendenziell mehr. Die Rechteeskalation für das Netzwerk ist als Root auf dem Desktop schon eine Ecke leichter (schon allein weil root Ports >1024 aufmachen darf und so div. rouge Services ins Netzwerk einbringen kann). Genauso wie sich als Root andere Nutzer auf dem Rechner erarbeiten und zentrale Komponenten bearbeiten kann. Gerade die Manipulation verspricht ja, dass man Passwörter vom Loginscreen mitschneiden kann oder gar bei SSH-Logins vom Admin (es gibt genügeng die keine Keys und auch kein ChallengeResponse nutzen).
Die Windowskultur ist halt nicht "kopiere Befehl" sondern "installier dir das mal" wobei gerade in der Adminwerlt von Windows auch viel Copy&Paste von nicht verstandenen powershell scripten stattfindet.
Gegen das Niveau von "State Actor" wird es sowieso schwer wenn die es ernst meinen. Das geht schon etwas in Richtung Ressourcenschlacht.
Wenn alles was der Angreifer will durch den Nutzer bzw. seine Rechte zugänglich sind stimmt das. In Firmen wo einzelne Nutzer meist nie alles sehen können, will man aber tendenziell mehr. Die Rechteeskalation für das Netzwerk ist als Root auf dem Desktop schon eine Ecke leichter (schon allein weil root Ports >1024 aufmachen darf und so div. rouge Services ins Netzwerk einbringen kann). Genauso wie sich als Root andere Nutzer auf dem Rechner erarbeiten und zentrale Komponenten bearbeiten kann. Gerade die Manipulation verspricht ja, dass man Passwörter vom Loginscreen mitschneiden kann oder gar bei SSH-Logins vom Admin (es gibt genügeng die keine Keys und auch kein ChallengeResponse nutzen).
Die Windowskultur ist halt nicht "kopiere Befehl" sondern "installier dir das mal" wobei gerade in der Adminwerlt von Windows auch viel Copy&Paste von nicht verstandenen powershell scripten stattfindet.
Gegen das Niveau von "State Actor" wird es sowieso schwer wenn die es ernst meinen. Das geht schon etwas in Richtung Ressourcenschlacht.
Yuuri
Fleet Admiral
- Registriert
- Okt. 2010
- Beiträge
- 13.928
Da bin ich gern bei dir. Es schaltet aber niemand den Kopf ein. Es geht auch nicht nur um Personalchefin Gertrude Schnellfinger, die nicht wieder "Bewerbung.docx" öffnet und dann noch ganz brav Makros trotz mehrfachen Warnungen aktiviert. Es ist ja auch nicht nur Ransomware, sondern gern auch mal richtige Rootkits bspw. für Spionage und Sabotage. Wie war das mit dem Iran und dem Atomkraftwerk? Ein Virenscanner hätte da wenigstens drauf hinweisen können, was im Nachhinein dann auch passiert ist. Es ist lediglich ein Indikator und speziell bei großen Verteilerpunkten wie Mailservern, sollte man für den ganzen Schmutz halt nicht noch als Verstärker dienen.pmkrefeld schrieb:
Speziell koordinierte Angriffe bekommen dabei allerdings weder Virenscanner, noch Menschen (vielleicht nach Jahren) mit.
Wenn die Moderation gern Offtopic von den immer gleichen Personen in den immer den gleichen Themen toleriert, kann man irgendwann auch mal seinen Unmut äußern. Was hat sein Post mit dem Thema zu tun, außer dass er mit seinem riesigen Mitteilungsbedürfnis doch wieder rausposaunen muss, wie schlecht doch MS und wie seine Haltung gegenüber dieser Firma ist und wie doch dieses Thema überhaupt keine Relevanz für Endanwender besitzt (was übrigens auch in der News als dicke fette Zwischenüberschrift steht). Wie in jedem anderen Thread, wo es auch nur entfernt um MS geht? Welche Relevanz zum Thema besitzt das? News im Ticker gelesen, in die Kommentare gegangen, obligatorischen Post abgesetzt, Checkliste für heute abgearbeitet?pmkrefeld schrieb:
Code:
🗹 in aller Öffentlichkeit einen inhaltslosen Bash-Kommentar zu Microsoft postenSag das doch dem Hoster, der seine Infrastruktur sauber halten will. Der kann nur einen Virenscanner laufen lassen, die Kunden drauf hinweisen und die Schadsoftware irgendwo in Quarantäne schieben oder das Angebot deaktivieren, sodass sie wenigstens nicht mehr öffentlich zugänglich ist. Über automatische Updates müssen wir denke ich nicht reden, dafür sind alle in der Kette zu doof. Entweder der Hersteller der Basis, der halt auch mal Mist bauen kann oder irgendwas nicht bedacht hat oder halt einer der vielen Plugin-Hersteller, bei denen das Gleiche zutrifft.Piktogramm schrieb:
Vielleicht ist auch einfach das Problem, dass Hosting zu günstig ist oder die Konsequenzen einfach zu niedrig gesteckt werden, sodass jeder Hans Poprich seine eigene Seite in globaler, öffentlicher Infrastruktur hochziehen kann, welche irgendwann definitiv Einfallstor für verschiedene Schädlinge ist und ggf. noch zur Verstärkung dienen kann bspw. bei DNS Amplification. Man muss halt updaten. Aber erklär das doch mal den einzelnen Usern...
Holzfällerhemd
Lieutenant
- Registriert
- Mai 2018
- Beiträge
- 986
Dito guter Witz.Piktogramm schrieb:
Server ist auch eher im geringen Prozentbereich, Windows Phone/Mobile kam einfach zu spät, da gab es schon Android. Sprich, Android hat WM nicht verdrängt. Das alte Windows Mobile kannst du nicht dazu zählen, da eine völlig andere Zeit und ein anderes Ziel.
Und im Desktop braucht sich MS noch lange keine Sorgen zu machen.
cc0dykid
Lieutenant
- Registriert
- Nov. 2013
- Beiträge
- 601
In den Kommentaren mal wieder diese IT-Sec Profis, die laut in die Welt hinein schreien, dass man für Betriebssystem XY keinen Anti-Virus oder Thread Protection braucht. Die Argumente sind immer gleich:
"Wenn man aufpasst, dann passiert nichts."
"Wenn was passiert, dann hat deine IT-Abteilung versagt" (hat so ein pmkrefeld Typ gesagt)
Die würden dann auch argumentieren, dass Autos keine Airbags brauchen, weil wenn man vorsichtig fährt, dann kann gar kein Unfall passieren und wenn doch, ja dann hat der Fahrer versagt. ¯\(ツ)/¯
Ein Begriff was solche Leute nicht kennen ist Schadensbegrenzung.
Wer würde ein Angriff oder ein Virus schneller erkennen und schneller darauf reagieren?
Ein IT-Sec Mensch, der nur eine 8 Stunden Schicht hat oder ein Programm, dass 24/7 läuft?
Hmm, um diese Frage zu beantworten braucht man dann schon einbisschen mehr als nur zwei Hirnzellen.
Und das letzte Ding ist: Was spricht denn gegen ein Anti-Viren/Anti-Thread Programm, wenn es nur da ist, um zu helfen? Letztendlich hat man dann mehr Sicherheit als ohne. Wie viel mehr Sicherheit, darüber lässt sich streiten. Aber dann warum nicht?
"Wenn man aufpasst, dann passiert nichts."
"Wenn was passiert, dann hat deine IT-Abteilung versagt" (hat so ein pmkrefeld Typ gesagt)
Die würden dann auch argumentieren, dass Autos keine Airbags brauchen, weil wenn man vorsichtig fährt, dann kann gar kein Unfall passieren und wenn doch, ja dann hat der Fahrer versagt. ¯\(ツ)/¯
Ein Begriff was solche Leute nicht kennen ist Schadensbegrenzung.
Wer würde ein Angriff oder ein Virus schneller erkennen und schneller darauf reagieren?
Ein IT-Sec Mensch, der nur eine 8 Stunden Schicht hat oder ein Programm, dass 24/7 läuft?
Hmm, um diese Frage zu beantworten braucht man dann schon einbisschen mehr als nur zwei Hirnzellen.
Und das letzte Ding ist: Was spricht denn gegen ein Anti-Viren/Anti-Thread Programm, wenn es nur da ist, um zu helfen? Letztendlich hat man dann mehr Sicherheit als ohne. Wie viel mehr Sicherheit, darüber lässt sich streiten. Aber dann warum nicht?
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.252
AV braucht Rechenzeit und I/O und ist damit ein Kostenfaktor. Zudem ein AV welches einzelne Dateien oder ganze Instanzen abschießt weil es einen Fund gab, ganz fix die Kunden auf die Palme bringt. Typisch wird da eher sein Monitoring auf dem Traffic laufen zu lassen und auf "abuse"-Nachrichten zu warten.Yuuri schrieb:
He4db4nger
Commodore
- Registriert
- Feb. 2007
- Beiträge
- 4.134
wollte damit eig. trendmicro im unternehmen hier ablösen, aber 1200€ zu 3000€ konnte ich dann nicht durchkriegen. schade.
und nur deswegen kommt eine linux oder android version, damit unternehmen die freie plattformwahl haben.
und nur deswegen kommt eine linux oder android version, damit unternehmen die freie plattformwahl haben.
DocWindows
Vice Admiral
- Registriert
- Mai 2013
- Beiträge
- 6.812
Piktogramm schrieb:
Hab ich doch geschrieben. Makros und natürlich PDFs mit aktivem Code sind häufig, aber eben keine klassischen Viren die sich direkt einnisten und anfangen zu arbeiten. Deshalb ist es so wichtig mehr als nur einen reinen Virenscanner zu haben, weil eben reine Viren nicht mehr verschickt werden. Die Infektion findet häufig erst durch nachgeladene Progrämmchen statt. Die Mail an sich ist meistens clean.
Wär ja auch schön blöd Viren zu schicken, da jeder Rechner mit einem Windows 10 (also zeitlich seit ungefähr 5 Jahren) standardmäßig einen recht guten Schutz dabei hat.
Zuletzt bearbeitet:
longusnickus
Lieutenant
- Registriert
- Dez. 2019
- Beiträge
- 636
Marcel55 schrieb:
ich glaube, dass die größte gefahr für linux nutzer von wine ausgeht.
ich weiß nicht wie weit viren daraus ausbrechen können, aber dein home verzeichnis verschlüssen ist offenbar möglich
Das war hier im Thread grad mal kurz Thema. Kurzum: Sobald dulongusnickus schrieb:
sudo verwendest ist eine privilege-escalation zum root quasi trivial. Wobei bei einem Home-Nutzer ggf. eine solche escalation überhaupt nicht notwendig ist in Bezug auf die Ziele eines Angreifers.In professionellen Umgebungen sieht das natürlich anders aus, aber da ist wine auch sicherlich eher seltener anzutreffen würde ich vermuten (von daher gehe ich davon aus, dass der scope gerade der Privatnutzer ist).
