Verwendet ihr noch eine Antivirensoftware?

[Creeping.Death]

Das sollte man sicherlich nicht ignorieren. Aber gleichzeitig darf man auch nicht vergessen, dass zur Ausnutzung einer Schwachstelle der Schadcode trotzdem erst einmal auf dein System muss.
Somit muss man sich also für den "worst case" erst mal Schadcode einfangen. Dieser muss dann auch noch zu deinem Virenscanner und deiner Version des Virenscanners passen (in welchem die Exploits noch offen sind).
Immerhin wird er dann mit erhöhten Rechten belohnt.

Ohne Virenscanner ("Schlangenöl") ist keine derartig spezialisierte Schadsoftware erforderlich. Hier werden dann eher Windows-Lücken ausgenützt, was für den Entwickler der Malware ein lohnenderes Ziel darstellen dürfte. Somit müsste dies die gängigere Variante sein.

 

[andy_m4]

Naja, "Placebo" halte ich für unangebracht in diesem Zusammenhang. Dass Virenscanner absolut keinen Schutz bieten bzw. deren Schutzversprechen reines Marketing ist, halte ich für falsch.

Gut. Geschenkt.
Was ich damit sagen wollte ist, das Schutzversprechen und tatsächliche Schutzwirkung weit auseinander liegen.

Aber selbst wenn nur 10% Schutzwirkung erzielt werden kann, ist dies - meiner Meinung nach - besser als 0%.

Naja. Ich würde es eher anders herum sehen. Selbst 90% Schutzwirkung wären noch ziemlich wenig. Das bedeutet nämlich, das von 10 "Angriffen" gerade mal 9 abgewehrt werden. Das Wesentliche sind nämlich nicht die Attacken die abgewehrt werden, sondern der eine der durch kommt. Der denn halt dafür sorgt, das meine Dokumente weg sind. Oder das meine Produktion still steht.
Da kann ich mich ja schlecht hinstellen und mich darüber freuen, das der ja heute vormittag noch 3 Viren abgewehrt hat. :-)
Ich muss ja trotzdem meine Systeme neu aufsetzen und mein Backup wiederherstellen. Egal, obs nun ein Virus war oder 10.

Das hilft nichts, wenn du unter den Ersten bist, aber erhöht einerseits deine Chancen, wenn dir eine ältere Malware untergeschoben wird und andererseits bekommst du wenigstens nach einiger Zeit die Meldung, dass dein System befallen ist.

Gut. Prüfen ob das System manipuliert ist, dafür brauch ich kein Antivirenprogramm.
Ansonsten ist halt einfach die Grundstrategie fragwürdig mit nem Scanner drüber zu gucken, ob da potentiell irgendwas infektiöses zu finden ist.

Dieses Argument a-la "Wir installieren AV und die schützt zwar nicht perfekt aber wenigstens erwischen wir ein paar" etc. impliziert ja die Annahme, das Antivir die einzige Schutzmaßnahme ist, die wir haben.
Aber die Annahme stimmt ja schon nicht.
Und es gibt sowieso nicht eine einzelne Maßnahme die die Sicherheit erhöht, sondern es sind ja eigentlich eine ganze Reihe an Maßnahmen die sich gegenseitig ergänzen. Und selbst wenn man Antivir dazu zählt, wäre das ja dann auch nur eine Maßnahme unter Vielen. Und dann sieht man auch schnell das da die Gewichtung gar nicht mehr so hoch ist.

Das Narrativ in der Antivir ja immer schwimmt und was dazu führt, das man Antivir als alternativlos angesehen wird ist ja gerade, das es die einzig echte Verteidigungslinie ist, die wir haben.

Die Erkennungsrate war teilweise ziemlich beeindruckend.

Wobei so Labortests natürlich immer ein gewisses Geschmäckle haben.
Ansonsten hatte ich mich zu Thematik verhaltensbasierter Erkennung schon mal im Nachbarthread ausgelassen:
https://www.computerbase.de/forum/t...ieder-am-bloaten.1985941/page-3#post-24987488

Leider werden diese Tests inzwischen nicht mehr durchgeführt.

Liegt vielleicht an dem übergroßen Realitätsabstand. :-)
Ich meine, die Virenautoren sind ja auch nicht doof. Der schreibt ja nicht einfach seinen Virus und schickt den raus in die Welt und guckt, wie "erfolgreich" er ist. Der hat ja auch den Defender. AVG und wie sie alle heißen und dann guckt der halt, ob sein Werk gefunden wird. Und falls ja, dann justiert der nach. Und falls nicht, dann ist (aus seiner Sicht) alles gut.
Es gibt in der Szene sogar Anbieter die Dein Code gegen zig AV-Engines testen (weil bei virustotal.com will man das ja eher nicht machen, weil Dein Code dann sofort den AV-Herstellern in die Hände fällt und die meines Wissens nach dort eh keine verhaltensbasierte Analyse machen).
Sozusagen Viruscheck-as-a-Service :-)

Das würde ich vergleichen mit der Aussage ein Sicherheitsgurt im PKW wäre "Schlangenöl", da es nachweislich Unfälle gibt, wo die Insassen ohne Gurt überlebt hätten.

Gerade am Sicherheitsgurt wird besonders deutlich, was ich oben sagte.
Der sorgt ja auch nicht allein für Sicherheit, sondern ist eine Maßnahme von vielen.

Auch das Argument mit dem "sich falsch in Sicherheit wiegen" ist nicht komplett falsch. Ich würde aber z.B. einen "Internet-Kasper" wie meinen Vater niemals ohne Schutz ins Internet lassen. Der ist unvorsichtig ob mit oder ohne AV-Software.

Da ist dann eher die Frage, ob man nicht das System vernagelt.
Ich kenn' auch solche Spezialisten. Und Du kannst an Antivir draufpacken was Du willst. Du wirst den trotzdem regelmäßig was runterkratzen müssen.

 

[Creeping.Death]

@andy_m4 das Argument

Selbst 90% Schutzwirkung wären noch ziemlich wenig. Das bedeutet nämlich, das von 10 "Angriffen" gerade mal 9 abgewehrt werden.

leuchtet mir nicht ein. 1 kommt durch, 9 werden abgewehrt. Ist für mich besser, als 10 kommen durch.

Auch habe ich niemals behauptet, dass eine AV-Software der einzig wahre und alles ersetzende Schutz wäre.
Natürlich muss man gesunden Menschenverstand walten lassen und z.B. keine Dokumente aus unbekannten Quellen öffnen (und selbst bei bekannten Quellen muss man noch aufpassen), bestimmte Websites meiden, auf Seiten mit illegalen Inhalten aufpassen (besser: meiden), ... usw.

Um herauszufinden, ob dein System kompromittiert ist, kann eine AV-Lösung durchaus hilfreich sein. Manche wird erst relativ spät aktiv.

Die Heuristik war früher das Merkmal, welches die sprichwörtliche "Spreu vom Weizen" getrennt hat. Deshalb finde ich das so schade, dass es hierzu keine Tests mehr gibt.

 

[andy_m4]

leuchtet mir nicht ein. 1 kommt durch, 9 werden abgewehrt. Ist für mich besser, als 10 kommen durch.

Hab ich doch erklärt. Es nützt mir nix, wenn 9 abgewehrt werden und einer durch kommt. Weil meine Produktion steht trotzdem still. Meine Backups muss ich so oder so zurück spielen. Gleicher Aufwand/Ärger. Egal ob ich mir einen oder 10 Viren eingefangen hab.

Natürlich muss man gesunden Menschenverstand walten lassen

Ja. Sollte man. Ist aber auch kein tragfähiges Schutzkonzept. Du kannst da auch schulen wie Du willst. Irgendwann klickt trotzdem irgendeiner auf nen Anhang auf den er besser nicht klicken sollte.
Gut. Du kannst Dir natürlich auch sagen. Ich mach Antivir + Mitarbeitersensibilisierung und eines der beiden wird schon greifen. So das Prinzip Hoffnung.
Aber mal ehrlich: Das ist so, als wenn Du zwei Siebe übereinander legst und dann hoffst da kommt kein Wasser mehr durch. :-)

Um herauszufinden, ob dein System kompromittiert ist, kann eine AV-Lösung durchaus hilfreich sein.

Der Ansatz mit nem Antivir das zu machen ist aus zweierlei Gründen fragwürdig:
Ein Durchlauf ohne Fund ist ja nicht gleichbedeutend mit "keine infektion".
Auf der anderen Seite hast Du das Problem der False-Positives. Wenn also fälschlicherweise ein Fund gemeldet wird steht Deine Produktion still und Du musst Backups zurückspielen, obwohl möglicherweise gar keine Infektion da ist. Der Einsatz eines Antivir führt in dem Fall also quasi grundlos zu einem Schaden. Einen Schaden den Du ja eigentlich genau mit dem Antivir vermeiden wolltest.

Du kannst es also drehen und wenden wie Du willst. Da kommt kein sinnvolles Konzept bei raus.

Die Heuristik war früher das Merkmal, welches die sprichwörtliche "Spreu vom Weizen" getrennt hat.

Wie gesagt. Aus mehreren Gründen eine fragwürdige Vorgehensweise. Es hat schon seinen Grund, warum man davon immer weniger hört.

 

[Creeping.Death]

Hab ich doch erklärt. Es nützt mir nix, wenn 9 abgewehrt werden und einer durch kommt. Weil meine Produktion steht trotzdem still. Meine Backups muss ich so oder so zurück spielen. Gleicher Aufwand/Ärger. Egal ob ich mir einen oder 10 Viren eingefangen hab.

Wenn ich - als Privatanwender, der auch einigermaßen weiß, was er tut - nur einmal alle paar Jahre überhaupt mit Malware konfrontiert werde, ist eine 90% Chance trotzdem ungeschoren davon zu kommen nicht schlecht.
Versuche ich mich natürlich absichtlich oder durch massive Dummheit gezielt mit Malware zu verseuchen, dann bringt selbst ein 99%-iger Schutz kaum einen Gewinn.

Ja. Sollte man. Ist aber auch kein tragfähiges Schutzkonzept. Du kannst da auch schulen wie Du willst. Irgendwann klickt trotzdem irgendeiner auf nen Anhang auf den er besser nicht klicken sollte.

Wie der Virenscanner ist auch gesunder Menschenverstand nur einer mehrerer Faktoren, welche die Sicherheit erhöhen können. Der einzige "echte" Schutz ist das Kappen der Internetleitung und der Verzicht auf mobile Datenträger.

Ein Durchlauf ohne Fund ist ja nicht gleichbedeutend mit "keine infektion".

Habe ich auch niemals behauptet. Der genaue Wortlaut war

kann eine AV-Lösung durchaus hilfreich sein

Wie gesagt. Aus mehreren Gründen eine fragwürdige Vorgehensweise. Es hat schon seinen Grund, warum man davon immer weniger hört.

Die Anbieter von Sicherheitssoftware werben nach wie vor damit. Nur wird das von av-comparatives nicht mehr getestet. An Wichtigkeit hat diese Funktion nichts eingebüßt.

 

[Nutzerkennwort]

Der "Normalanwender" surft doch relativ sicher im Netz mit irgendeiner Antiviruslösung. Er wird ja schließlich nicht wie bei AV-Test mit tausenden Viren beschossen. Das ein Antivirenprogramm irgendeinen Virus X durchlässt, ist statistisch gesehen doch eher gering.

Seit ich mich erinnern kann, hat mein PC sich keine Viren eingefangen beim "normalen" surfen.

 

[BeBur]

Zumindest "Internet Security" Suites reißen (faktisch und potenziell) so viele Sicherheitslücken auf, diese sollte man prinzipiell nicht verwenden. Eine Software die solche Funktionen per Default integriert hat oder wo nicht genau ersichtlich ist, was die alles außer Viren-Scannen macht würde ich prinzipiell nicht installieren.

Virenscanner sind bekannt dafür, die Stabilität des Systems zu beeinträchtigen, das wäre mir viel zu riskant mir etwas zu installieren, was eines Tages zu nicht rückverfolgbare Fehler führt.

Wenn ich Bedenke, dass der Mehrwert gegenüber dem Windows Defender sehr fragwürdig ist ist das Fazit, dass man diese Produkte nicht verwenden sollte.

 

[Nutzerkennwort]

Zumindest "Internet Security" Suites reißen (faktisch und potenziell) so viele Sicherheitslücken auf, diese sollte man prinzipiell nicht verwenden.

Unabhängig davon, bremsen die Suiten oft das System extrem aus. Die sogenannten "Sicherheitslücken" sind aber für den "Normalanwender" unerheblich.

 

[BeBur]

Unabhängig davon, bremsen die Suiten oft das System extrem aus. Die sogenannten "Sicherheitslücken" sind aber für den "Normalanwender" unerheblich.

Woran machst du das fest? Das über die Ausnutzung der Lücken bisher nichts bekannt ist?
Das vorgaukeln einer verschlüsselten Ende-zu-Ende Verbindung zu meiner Bank durch das Hinterlegen von "sicheren" Zertifikaten im Betriebssystem und dem damit einhergehenden Scannen der Website und potenziell dem was ich da eingebe halte ich für eine sehr erhebliche Sicherheitslücke.
Dazu ist es regelmäßig so gewesen, dass die entsprechenden Zertifikate problematisch bis hin zu höchst unsicher waren, so dass die Verschlüsselung recht simpel aufhebbar gewesen ist.

Das Aushebeln des vielleicht wichtigsten Sicherheits-Features des Internets halte ich für prinzipiell sehr wesentlich.

 

[Nutzerkennwort]

Woran machst du das fest? Das über die Ausnutzung der Lücken bisher nichts bekannt ist?

Unter Anderem und weil wie oben schon erwähnt der durchschnittliche Normalanwender - als Einzelner im Netz - meist gar nicht das Ziel von Hackern ist, sein kann. Ausnahme:

Eher gefährlicher ist da wohl das Phishing über E-Mail, wo der User seine Daten weitergeben kann.

 

[ThomasK_7]

Wenn ich Bedenke, dass der Mehrwert gegenüber dem Windows Defender sehr fragwürdig ist ist das Fazit, dass man diese Produkte nicht verwenden sollte.

Dieser Aussage kann ich nicht zustimmen.

Ich möchte dafür Beispiele aus der Nicht-Computerwelt bemühen.
Warum lässt man bei technischem Gerät die lebenswichtigen Überprüfungen von externen Firmen machen?
Wer sich selber ohne externe Prüfung zertifizieren darf, der wird sich seltenst ein schlechtes Zeugnis ausstellen.
Hat VW den Abgasbetrug entdeckt?
Hat Boing die Materialmängel selber zum Anlass genommen, seine Flugzeuge nachzubessern?
Hat Medikamentenhersteller XY sein Produkt freiwillig vom Markt genommen, weil schwere Nebenwirkungen aufgetreten sind?

Also wer glaubt, M$ würde hier ein unerreichbares Eigenprodukt der Welt anbieten, der kann das gerne weiterhin glauben. Was für einen Wert würdet Ihr denn kostenlosen technischen Überprüfungen eines Herstellers in anderen Bereichen des Lebens zumessen? Die Interessenlage von Hersteller und Kunde sind einfach zu unterschiedlich, als das man dem Anderen blind vertrauen sollte.

 

[ayngush]

Die Überprüfung der unheiligen Triade "Windows/Exchange/Active Directory" ergibt regelmäßig, dass das eine Vollkatastrophe, ein Software-GAU in Sachen Sicherheit ist. Da schleudern Firmen und Behörden so viel Geld in Konzepte in die vermeidliche "Sicherheit" hinterher und lassen sich dann trotzdem die Daten raustragen und das Netzwerk verschlüsseln...

Das ganze hindert aber irgendwie auch "niemanden" daran den Kram dennoch einzusetzen.
Gut, gibt ja auch genügend Raucher und Säufer da draußen. Intelligenz und Sachverstand scheinen dabei keine zur Entscheidung beitragenden Größenordnungen zu sein.

 

[BeBur]

Ich möchte dafür Beispiele aus der Nicht-Computerwelt bemühen.
Warum lässt man bei technischem Gerät die lebenswichtigen Überprüfungen von externen Firmen machen?

Eine Analogie solltest du noch mit einem direkten Argument stützen, sonst ist das sinnfrei.
Fährst du mit deinem BMW lieber zu einer zertifizierten Vertragswerkstatt oder lieber zu irgendeinem Autoschrauber? Die Reparatur hast du bei der Vertragswerkstatt sogar inklusive. Aber gut, dann kann das ja nicht gut sein.
Direkte Argumente meinerseits siehe meine letzten Beiträge.

Unter Anderem und weil wie oben schon erwähnt der durchschnittliche Normalanwender - als Einzelner im Netz - meist gar nicht das Ziel von Hackern ist, sein kann.

Ja, in aller Regel lohnt sich das nicht, deswegen macht das keiner, stimmt. Aber ich glaube die Leute hätten unabhängig davon gerne ein Produkt das ihre Sicherheit erhöht anstatt eines, das ihre Sicherheit verringert.

Drive-By Downloads im Sinne von Zero-Click sind äußerst selten, dass das externe AV Programm so einen 0day exploit ausgerechnet erkennt ist eher unwahrscheinlich, wahrscheinlicher ist, dass das Programm ein Windows oder Browser Upgrade verhindert und damit so einen Angriff überhaupt erst ermöglicht.

 

[ThomasK_7]

Letzten Absatz finde ich inhaltlich nicht korrekt. Ich glaube, Du bist was die Arbeitsweise moderner professioneller AV-Software betrifft, gar nicht auf dem laufenden Stand.
Die stufen u.a. unbekannte downloads erst einmal grundsätzlich als unsicher ein, egal was die Zertifikate aussagen.

 

[ayngush]

Er ist inhaltlich aber korrekt.
Aber erkläre uns "doofen" doch mal bitte die Arbeitsweise moderner professioneller AV-Software, dann zeige ich dir jeweils die passenden Angriffsvektoren dazu. Edit: Und bitte nicht die "Arbeitsweise" aus den Werbeprospekten, sondern schon die technischen Whitepaper. "Cloud-Blockchain-AI-Neural-Network-Detection" ist keine Arbeitsweise, das ist Marketing-Fubar.

Wie? Kannst du nicht? Woran liegt das? Etwa, weil das alles große Blackboxen sind, die da auf deinen Rechner laufen? Aus "Sicherheitsgründen"? Upsi...

 

[andy_m4]

Wenn ich - als Privatanwender, der auch einigermaßen weiß, was er tut - nur einmal alle paar Jahre überhaupt mit Malware konfrontiert werde

Das stimmt so nicht ganz. Das kann man auch ganz leicht mal selbst prüfen, indem man ne Maschine mit einem total veralteten Patchstand ins Netz stellt. Viele Schutzmechanismen arbeiten nämlich silent. Ohne das der Nutzer davon großartig was mitbekommt (wäre auch super nervig, wenns anders wäre). Was der Nutzer halt aber mitbekommt ist, wenn sein Antivir ein Alert raushaut. Und da muss man jetzt aufpassen das man daraus nicht interpoliert welchen Bedrohungen man tatsächlich ausgesetzt ist.

Wenn man jetzt aber sich mal vergegenwärtigt das von 1000 Angriffen nur einer irgendwie überhaupt in den Fokus von Antivir gerät, dann sieht die Betrachtung schon ganz anders aus. Dann wird es nämlich plötzlich gar nicht mehr so relevant, ob die 10% 50% oder 90% abwehrt, weils halt eine irre kleine Zahl ist wo die Schutzwirkung überhaupt relevant ist.

Und dann stellt sich natürlich auch schnell grundsätzlich die Frage der Nützlichkeit von Antivir.
Denn wie schon gesagt. Das ist nicht so wie bei Hompöopathie die man einfach nimmt und im besten Fall hilft sie halt nicht, aber schadet auch nix.
Antivir hat immer einen negativen Security-Impact.
Damit muss sich ihr Einsatz aber auch automatisch irgendwie rechtfertigen. Man muss abwägen.

Das ist das, wo wir halt hinkommen sollten. Das wir genau gucken und Abwägen usw. Und dann kann hinterher ja von mir aus immer noch bei rauskommen, das Antivir in demunddem Szenario ein Security-Plus bringt.
Aber so weit geht es ja gar nicht. Stattdessen ist Antivir halt immer gesetzt und wird überhaupt nicht mehr infrage gestellt. Und das, obwohl überall die Systeme explodieren.

Wie der Virenscanner ist auch gesunder Menschenverstand nur einer mehrerer Faktoren, welche die Sicherheit erhöhen können.

Mein Reden. Deshalb wundere ich mich ja, warum Antivir so viel Aufmerksamkeit geschenkt wird. Einer Maßnahme, bei der man seit Jahren in der Praxis beobachten kann, das sie nicht funktioniert.

Das ist so ein bisschen wie mit den Quacksalbern im Mittelalter die den Leuten Medizin angedreht haben. Also irgendwelches zusammengerühertes Zeug was z.T. auch hochgiftig war. Die Leute, die daran krepiert sind den wurde dann halt gesagt Die waren so krank. Da konnte man nix mehr machen und bei Leuten die überlebt haben, da war es natürlich nur dank der Medizin.

Die Argumentation kann man auch heute schön bei Antivir beobachten. Wenn da irgendwie ne Firma von Ransomware außer Gefecht gesetzt wird, obwohl sie Antivir im Einsatz hatte stellt ja keiner dieses Antivir-Konzept infrage. Da geht die Ausrede eher in die Richtung: Uns hats trotz Antivir erwischt. Tja da kann man echt nix machen. Das ist Schicksal.

Das Konzept von Antivir ist ja nicht grundsätzlich schlecht. Ende der 80er Anfang der 90er als COmputerviren in der Praxis ein relevantes Problem wurde, war Antivir durchaus ein probates Mittel um die Problematik einzudämmen. Aber damals gabs auch noch nicht so viele Schädlinge. Und die verbreiteten sich auch noch nicht so schnell (Internet war noch weitestgehen irrelevant). Das Problem der Antivir ist halt, das das Konzept schlecht skaliert. Das funktionierte dann irgendwann nicht mehr ausreichend gut.

Wenn man so will ist das ein Relikt aus alten Zeiten. Das ist ein bisschen so, als wenn Du heute mit einer Dampfmaschine um die Ecke kommst. :-)
Fällt bei Antivir halt nur deshalb nicht auf, weil alle Dampfmaschinen verwenden und man deshalb es für das Beste hält, was man kriegen kann.

Wie gesagt. Das hat ja auch eine zeitlang gut funktioniert. Aber irgendwann gehts halt nicht mehr weiter und man muss sich etwas Neues überlegen.

Das ist so wie mit Ritterburgen als Verteidigungsanlagen. Die haben eine zeitlang gut funktioniert, aber mit Verbesserungen in der Waffentechnik und dem Aufkommen von Flugzeugen war das dann eben kein probates Mittel mehr.

Habe ich auch niemals behauptet.

Ich habe auch nicht behauptet das Du das behauptet hast. Es war nur noch mal eine Klarstellung dessen, was AV-Software in dem Bereich überhaupt leisten kann, um zu verdeutlichen wie wenig da bei näheren hinsehen übrig bleibt.

Die Anbieter von Sicherheitssoftware werben nach wie vor damit.

Klar werben die damit. Weils ein Verkaufsargument ist. Aber (wie häufig in der Werbung) ist damit keine Aussage über die Wirksamkeit verbunden.
Das ist so wie mit Antifaltencremes. Die reduzieren auch Falten. Was aber nicht gesagt wird ist, das das halt nur unter dem Mikroskop zu sehen ist. Die Aussage bloß das weglassen einer Information suggeriert, das das bei makroskopischen Falten funktioniert (das ist ja, was der Kunde eigentlich will).
Das damit geworben wird ist also kein Beweis für irgendwas.

An Wichtigkeit hat diese Funktion nichts eingebüßt.

Ich hatte ja Einiges dazu gesagt. Wenn Du darauf nicht mehr zu erwidern hast als An Wichtigkeit hat diese Funktion nichts eingebüßt solltest Du vielleicht in Dich gehen und überlegen, inwieweit Dein Standpunkt da wirklich noch haltbar ist. :-)

Seit ich mich erinnern kann, hat mein PC sich keine Viren eingefangen beim "normalen" surfen.

Ich hab ja so ein speziell magnetisierten Stein auf dem LAN-Kabel liegen. Der zieht aus dem Datenstrom alle Viren raus. Ich hab seit über 20 Jahren keinen Virenscanner im Einsatz und seitdem auch keine Infektion.
Das ist der Beweis, das der Stein funktioniert!!!11!

Merkst selbst, oder? :-)

 

[ThomasK_7]

Das Einstufen unbekannter Downloads als unsicher ist mit den Entsprechenden Hinweisen und Quarantänen ist doch Sicherheit genug, mehr kann keine Software bieten, auch kein M$-Defender!

Einfallstore wird es immer geben, das bestreitet doch Niemand.
Die Frage ist doch vielmehr, wie offen kommuniziert ein Dritter oder der Hersteller selber seine Lücken!
Ich glaube nicht,. das M$ offener und direkter seine Fehler zugibt wie das ein Dritter macht. Die Leben ja vom Entdecken solcher Lücken/Schwachstellen.

 

[Creeping.Death]

Ich hatte ja Einiges dazu gesagt. Wenn Du darauf nicht mehr zu erwidern hast als An Wichtigkeit hat diese Funktion nichts eingebüßt solltest Du vielleicht in Dich gehen und überlegen, inwieweit Dein Standpunkt da wirklich noch haltbar ist. :-)

Na gottseidank war deine Argumentation fundierter

Du scheinst ja (bewusst?) jegliche meiner Aussagen zu ignorieren oder falsch zu interpretieren.
Ich spreche von "Privatanwender, der auch einigermaßen weiß, was er tut" und du konterst mit "Das kann man auch ganz leicht mal selbst prüfen, indem man ne Maschine mit einem total veralteten Patchstand ins Netz stellt".

Ich versuche mich nochmals deutlicher auszudrücken: mir geht es um die Schadsoftware, die sich trotz aller sonstiger Maßnahmen (Windowsupdates, Softwareupdates, Vorsicht im Alltag, Vermeidung unseriöser Quellen, ...) versucht auf mein System zu schleichen. Hier versucht sich dann die AV-Software als weitere Hürde in den Weg zu stellen.
Bei dem Wenigen, was hier im Schnitt noch ankommen dürfte, wäre "9 von 10 erfolgreich abgewehrt" ein relativ guter Schutz.

Warum ich der Meinung bin, dass Heuristik nach wie vor nicht obsolet ist:
Es ist für den Entwickler von Malware wesentlich einfacher, wenn er nur sicherstellen muss, dass der Schadcode von den aktuellen Virensignaturen nicht erkannt wird, als wenn er auch noch die Heuristik sämtlicher Virenscanner erfolgreich umschiffen muss. Ich behaupte nicht, dass da der ultimative Schutz wäre. Aber alles was den Kriminellen das Leben auch nur ein wenig schwerer macht, ist für mich ein Schritt in die richtige Richtung.

Was ist denn deine Strategie, wo du doch das ultimative Wissen besitzt?

 

[andy_m4]

Das Einstufen unbekannter Downloads als unsicher ist mit den Entsprechenden Hinweisen und Quarantänen ist doch Sicherheit genug, mehr kann keine Software bieten, auch kein M$-Defender!

Wenn ich gegen Antivir argumentiere, schließt das den Windows Defender mit ein.
Das generell einstufen von Downloads als "unsicher" ist übrigens kein Antivir-Feature, sondern das macht Windows von sich aus.

Man kann das jetzt natürlich noch kombinieren. Also wenn man die Quarantäne auch als Quarantäne-Zone betrachtet und die Datei erst auch nach einer gewissen Zeit öffnet.
Das man sich sagt: Antivir hat insbesondere mit brandneuen Viren Probleme. Aber wenn wir erst mal ein paar Tage verstreichen lassen und dann mit aktualisierter Signaturdatenbank drüberscannen, dann haben wir die Wahrscheinlichkeit erhöht, das Antivir im Fall des Falles auch was findet.

Könnte man machen. Ist aber erstens total praxisfern. Wenn die Leute eine Datei runterladen, wollen sie sie sofort öffnen und nicht erst ne Woche warten.
Zweitens sind halt auch Antivirenprogramme nicht fehlerfrei. Die eine potentiell infizierte Datei lesen zu lassen ist also ebenfalls ein Risiko.

Du scheinst ja (bewusst?) jegliche meiner Aussagen zu ignorieren oder falsch zu interpretieren.

Bewusst nicht. Deshalb finde ich es sehr gut, das Du ansprichst wenn Du Dich irgendwo falsch verstanden fühlst.

Ich versuche mich nochmals deutlicher auszudrücken: mir geht es um die Schadsoftware, die sich trotz aller sonstiger Maßnahmen (Windowsupdates, Softwareupdates, Vorsicht im Alltag, Vermeidung unseriöser Quellen, ...) versucht auf mein System zu schleichen.

Ist ja auch alles ok. Ich wollte ja das nur ins Verhältnis setzen um eben ein Bewusstsein dafür zu schaffen. Weil viele denken halt: "Ich hatte die letzten 12 Monate nur drei Meldungen also gabs auch nur 3 Angriffe und die hat mein Antvir dann zu 100% abgewehrt"
Verstehst Du, was ich meine? Man kriegt ein völlig verzerrtes Bild von der Realität wenn man so drauf guckt.

Hier versucht sich dann die AV-Software als weitere Hürde in den Weg zu stellen.

Die Frage ist ja die, ob es das tut.

Nehmen wir mal an, Du ladest eine Bilddatei runter. Und Dein Bildbetrachter hat ein Bug, was es ermöglicht Schadcode über ein entsprechend präpariertes Bild ins System einzuschleusen.
Was dagegen hilft ist ohne Zweifel, das der Bug im Bildbetrachter geschlossen wird. Das heißt, Du solltest Dein System regelmäßig aktualisieren.

Stattdessen ein Antivirenscanner einzusetzen impliziert ja die Annahme, das der Bug noch gar nicht geschlossen ist. Das heißt der Antivirenhersteller müsste quasi den Bug kennen bevor der Hersteller des Bildbetrachters den Bug kennt. Und spätestens hier wird es ja offenbar absurd.

Die meisten erfolgreichen Angriffe auf Sicherheitslücken sind die, wo es bereits einen Patch gab die der Nutzer (aus welchen Gründen auch immer) nicht eingespielt hat.

Es gibt dann noch die sogenannten Zero-Day-Securitybugs. Also sicherheitsrelevante Bugs für die es noch keinen Patch gibt. Die sind aber eher selten. Nicht nur weil es davon wenige gibt, sondern weil die in der Szene auch unheimlich wertvoll sind und jeder Einsatz das Risiko birgt, das der bekannt wird (und damit auch die betroffene Software geupdatet wird) und damit der Zero-Day-Bug quasi verbrannt ist.

Wenn Du hier also explizit den Privatanwender ansprichst, der ist von Zero-days eher weniger betroffen. Und in dem Fall würde ihm auch Antivir kaum weiterhelfen, weil wie gesagt. Da hast Du halt mit bis dato unbekannten Zeug zu tun.

Gut. Neben präparierten Datendateien gibts ja dann noch direkt ausführbarer Code. Die gute alte EXE-Datei, ums mal umgangssprachlich zu formulieren. :-)
Vertrauenswürdige Quelle hilft. Besser noch, wenn die und der Übertragungsweg kryptografisch abgesichert ist.
Wenn Du sie nach dem Download dennoch scannen willst brauchst Du aber immer noch keinen lokalen Virenscanner, sondern kannst sie bei Services wie virustotal.com hochladen.
Der Vorteil: Die musst lokal kein Antivir-Prozess laufen haben der Dir ja dabei explodieren kann, sondern die Datei wird auch gleich gegen mehrere dutzend Antivir-Engines geprüft und nicht nur die, die Du zufällig gerade installiert hast.

Das wäre sozusagen mein Friedensangebot an die Pro-Antivir-Fraktion:
Wenn ihr scannen wollt, dann nehmt solche Services. Damit räumt ihr zumindest den Nachteil aus, das ihr lokal durch Antivir angreifbar seit.
Und auch ein False-Positiv ist dann nicht so dramatisch. Der führt dann lediglich dazu, das ihr den Download wegwerft aber sonst hat das keine Folgen.

Es ist für den Entwickler von Malware wesentlich einfacher, wenn er nur sicherstellen muss, dass der Schadcode von den aktuellen Virensignaturen nicht erkannt wird, als wenn er auch noch die Heuristik sämtlicher Virenscanner erfolgreich umschiffen muss.

Ja. Es macht zwar den Angreifern das Leben potentiell schwerer. Aber halt auch den ehrlichen Programmierern. Es gibt auch genug Fälle in dem saubere Software dann fälschlicherweise als "gefährlich" eingestuft wird. Und das Problem ist weitverbreiteter als man denkt.

Endlich auch mal in die Öffentlichkeit gerückt ist die Thematik vor ein paar Jahren, als sich der Ex-Mozilla-Mann Robert O’Callahan dazu mal äußerte. Das Problem war dann halt auch, das reguläre Software um die Antivirenprogramme herumprogrammieren muss. Und das wurde insbesondere zu einem Problem, als man den Firefox absichern wollte. Weil die Techniken die man dazu einsetzt haben prinzipbedingt halt Ähnlichkeiten zu dem, was Virenautoren als Techniken benutzen.

Das führte dann dazu, das man auf Sicherheitsfeatures verzichtete oder die so umständlich implementieren musste, das sie dann halt komplizierter waren was dann wieder die Wahrscheinlichkeit erhöht, das da ein Bug drin ist.

Heuristik ist also ein eher unzuverlässiges Mittel (da es nicht nur bei Schadsoftware anschlägt), sondern verhindert auch, das Sicherheitsfeatures in Programme eingebaut werden.

Was ist denn deine Strategie, wo du doch das ultimative Wissen besitzt?

Ich besitze nicht unbedingt das ultimative Wissen, aber ich steige halt ab, wenn ich merke das ich ein totes Pferd reite. :-)

Ansonsten hatte ich ja schon ein paar Sachen genannt wie z.B. Software aktuell halten. Aber natürlich dabei auch drauf achten, das die Software überhaupt noch irgendeiner Pflege unterliegt. Es gibt auch viele Gammelsoftware da kümmert sich der Autor/Hersteller gar nicht mehr drum. Solche Software sollte man meiden und ggf. ersetzen.

Gleiches gilt auch für die Qualität der Software.
Wenn eine Software in der (jüngeren) Vergangenheit mit Sicherheitsproblemen zu kämpfen hat, ist die Wahrscheinlichkeit hoch, das sie das auch in Zukunft hat.
Also weg damit bzw. ersetzen.

Ein weitverbreitetes Problem ist auch, das viele Leute alles mögliche installiert haben. Viel installiert heißt aber auch immer viel Angriffsfläche. Ich gucke also genau, was ich brauche und die Sachen, die ich nicht brauche werfe ich konsequent runter.

Schaltet Firewalls an. Ist zwar kein direkter Schutz hat sich aber als zusätzliche Sicherheitsmaßnahme bewährt, falls man irgendwas anderes übersehen hat.
Ich filter z.B: auch immer solche Sachen wie NetBIOS etc. alles gnadenlos weg. Ich benutze das gar nicht. Aber falls halt irgendne Maschine etc. das ausversehen an hat, dann soll mir das nicht gleich Löcher reinreißen.

Am Browser kann man auch viel machen. Das Internet ist ja die Hauptquelle für Angriffe. Und der Internetbrowser ist sozusagen das Tor zum Internet. Hier lohnt sich also am meisten anzusetzen.
Die Browserhersteller machen da schon verschiedenste Sachen selbst inkl. Sandboxing usw. Aber man kann auch zusätzlich noch was tun.
Da gibts zum Beispiel dieses Safe-Surfing-Kram. Im wesentlichen wird da halt geguckt, ob die Seite von der Du grad was lädst als bekannt schädlich eingestuft ist.
Dann kann man natürlich noch Adblocker drauf packen. Die blockieren ja auch nicht nur Werbung, sondern sortieren auch problematische Adressen usw. raus.

Was ich beispielsweise mache um Manipulationen im System zu erkennen ist Prüfsummen über alle wichtigen Dateien und Verzeichnisse zu machen und anhand dessen kann dann bei einem späteren Durchlauf vergleichen, ob sich irgendwas geändert hat.
Der Ansatz hat den Vorteil, das man nicht auf die Erkennungsleistung einer Scan-Software angewiesen ist. Die Erkennung der Manipulation ist sozusagen 100%ig (na hundertprozentig auch nicht; aber nah dran).
Gut. Ne Manipulation bedeutet nicht immer, das eine Schadsoftware dahinter steckt. Aber das hast Du bei Antivir auch nicht. Auch da hast Du False-Positives. Das ist dann mehr ein Hinweis, wo man dann halt genau draufschauen muss.
Der Nachteil ist, das das Verfahren relativ aufwendig ist. Du musst ja z.B. bei jedem Update das Prüfsummenset neu erstellen, weil die alten nicht mehr gültig sind.

Moderne Betriebssysteme sind Mehrbenutzersysteme. Die zeichnen sich dadurch aus, das Accounts relativ gut voneinander getrennt sind. Diese Trennung gehört quasi zu den Basics an Sicherheitsmechanismen die ein System mitbringt. Irgendwas auf den einen Account wirkt sich halt nicht auf einen anderen Account aus. Die sind abgeschottet. Auch das kann man für sich nutzen.
Man kann Aufteilungen vornehmen. Der Account mit dem ich normalerweise arbeite kann z.B: keine Software installieren. Dafür hab ich einen extra Account. Das führt dazu, das ich dann mir nicht ausversehen irgendwie was installiere. Jede Installation wird dann auch zu einem bewussten Akt. Wo ich Zeit hab (haben muss!) darüber nachzudenken, macht die Installation jetzt überhaupt Sinn oder nicht (wichtig auch in Hinblick auf den oben angesprochenen Minimalismus).

Ich mache von dieser Möglichkeit relativ viel Gebrauch. Gerade weils halt nicht auf irgendeine neue Hype-Technologie setzt, sondern Benutzertrennung ist quasi abgehangenes Zeug wo man weiß, das es funktioniert.

Es gibt da natürlich noch ein paar mehr Sachen die man tun kann. Da kann man jetzt natürlich noch quasi endlos ins Detail gehen.

Wichtig ist sich halt klarzumachen, das es eine ganze Reihe von Maßnahmen gibt. Und ja. Manche sind vielleicht ein bisschen anstrengend. Das liegt aber in der Natur der Sache und unserem gegenwärtigen technischen Stand. Und es gibt auch nicht die eine Maßnahme, die quasi als silver-bullet alle Probleme löst.

Das was Antivir ja so attraktiv macht ist ja gerade, das sie den Eindruck schafft man hätte eine Allzweckwaffe gegen das Böse die obendrein noch einfach zu benutzen ist.
Nur die Welt (der Computer-Security) ist halt nicht einfach. Da gibts keine einfachen Antworten. Antvir sind sozusagen die Populisten unter den Security-Maßnahmen. Populisten sind ja - ob ihrer Aussagen - in der politschen Landschaft auch oft erfolgreich, aber aber versagen dann wenns um die Lösung der komplexen Probleme geht, die es in der Welt nun mal gibt.

 

[ayngush]

Remote Code Execution in Windows Defender:
https://www.zdnet.com/article/microsoft-fixes-defender-zero-day-in-january-2021-patch-tuesday/

Gut, dass einen die Schutzsoftware auch wirklich vor schweren Gefahren schützt. Oh, wait...