SonyUserforum

meshua · 24.01.2008, 15:06

Hallo,

Wie schon all die Jahre berichtet:

1. Rechner sicher konfigurieren (Nicht als Admin arbeiten, Nutzlose Ports schliessen, kein IE ins Internet lassen, regelmaessig und zeitnah Windows und Programme aktualisieren, keine Programme aus unserioesen/zweifelhaften Quellen downloaden/installieren...)

Mit diesen Massnahmen wurde bereits die Daseinsberechtigung einer Personal Firewall entzogen. Achja: ausgehender Verkehr laesst sich NICHT zuverlaessig blocken. D.h. das ein nach Updates suchendes Adobe gemeldet wird, aber der hinterlistige root-Keylogger nutzt einfach den IE zum Datentransport ("Wollen sie dem Programm "Internet Explorer" den Zugriff auf das Internet gewaehren? [JA] [NEIN] -> Autsch)
Falls ein Router vorhanden ist, sollte man in diesem nur die absolut notwendigen Ports freigeben (80, 110, 119, gglfs. noch SSH) Der Rest wird REJECTED (nicht geDROPed!!)
Denn Dropping heist im Marketing "Stealth" und fuehrt bei Angreifern nur zu einem mueden laecheln und wissen durch die ausbleibende Antwort, dass ein Rechner existiert.

Virenscanner finden Viren, die sie in ihrer Datenbank haben. D.h. die Komplementaermenge wird nicht erkannt - schlimmer noch: das AV Tool gibt die Meldung "Keine Viren gefunden" aus, was viele als virenfrei interpretieren -> nochmals Autsch. Daher: wie gehe ich mit dieser Meldung um? In der Schlussfolgerung bietet ein Virenscanner keinen vernuenftigen Schutz und produziert falsch zu deutende Meldungen. Desweiteren sollte man bei der Meldung "Virus XYZ wurde gefunden" stutzig werden, wenn es sich dabei nicht um (Mail-)Archive handelt. Hier ist das System bereits kompromittiert. Das nun folgende versprechen, den Virus zu entfernen, kann man auch unter "Kaffeesatzlesen" abhaken, denn den Code herauszuschneiden mag noch einfach sein, jedoch die bereits geschehenen Folgen zu eleminieren ist kaum moeglich, schon ueberhaupt nicht automatisiert.

Fazit: Softwarefirewall = sinnfrei, AV-Scanner ist gut fuer die Neugierde. Beides einzeln oder zusammen schuetzt nicht ansatzweise so gut, wie die in (1) erwaehnten Punkte + eigenes Nachdenken.

Wer alles nochmals nachlesen moechte, sollte dies in de.comp.security.* tun. Wer ueber die Verlierer einmal ablachen moechte, liest microsoft.public.de.security.home. Da tummeln sich die, dessen System einen taeglichen Datenschwund erleidet, der IE stets PRON-Seiten "von selbst" laedt und auch der Rest des Systems in der Hose ist. Es werden Seitenweise Spybot Search& Destroy logs geposted und am Ende steht meist "Die Firewall (Zonealarm et all) und Virenscanner sind immer aktuell gehalten"

Sehr amuesant, aber die Geschichten gleichen sich am Ende immer wieder

Meine Sichtweise und Erfahrung zur Problematik.

Gruesse, Torsten

24.01.2008, 15:06	#26
meshua Registriert seit: 08.08.2005 Ort: Ocean Ave, San Francisco, CA 94112 Beiträge: 5.473	Hallo, Wie schon all die Jahre berichtet: 1. Rechner sicher konfigurieren (Nicht als Admin arbeiten, Nutzlose Ports schliessen, kein IE ins Internet lassen, regelmaessig und zeitnah Windows und Programme aktualisieren, keine Programme aus unserioesen/zweifelhaften Quellen downloaden/installieren...) Mit diesen Massnahmen wurde bereits die Daseinsberechtigung einer Personal Firewall entzogen. Achja: ausgehender Verkehr laesst sich NICHT zuverlaessig blocken. D.h. das ein nach Updates suchendes Adobe gemeldet wird, aber der hinterlistige root-Keylogger nutzt einfach den IE zum Datentransport ("Wollen sie dem Programm "Internet Explorer" den Zugriff auf das Internet gewaehren? [JA] [NEIN] -> Autsch) Falls ein Router vorhanden ist, sollte man in diesem nur die absolut notwendigen Ports freigeben (80, 110, 119, gglfs. noch SSH) Der Rest wird REJECTED (nicht geDROPed!!) Denn Dropping heist im Marketing "Stealth" und fuehrt bei Angreifern nur zu einem mueden laecheln und wissen durch die ausbleibende Antwort, dass ein Rechner existiert. Virenscanner finden Viren, die sie in ihrer Datenbank haben. D.h. die Komplementaermenge wird nicht erkannt - schlimmer noch: das AV Tool gibt die Meldung "Keine Viren gefunden" aus, was viele als virenfrei interpretieren -> nochmals Autsch. Daher: wie gehe ich mit dieser Meldung um? In der Schlussfolgerung bietet ein Virenscanner keinen vernuenftigen Schutz und produziert falsch zu deutende Meldungen. Desweiteren sollte man bei der Meldung "Virus XYZ wurde gefunden" stutzig werden, wenn es sich dabei nicht um (Mail-)Archive handelt. Hier ist das System bereits kompromittiert. Das nun folgende versprechen, den Virus zu entfernen, kann man auch unter "Kaffeesatzlesen" abhaken, denn den Code herauszuschneiden mag noch einfach sein, jedoch die bereits geschehenen Folgen zu eleminieren ist kaum moeglich, schon ueberhaupt nicht automatisiert. Fazit: Softwarefirewall = sinnfrei, AV-Scanner ist gut fuer die Neugierde. Beides einzeln oder zusammen schuetzt nicht ansatzweise so gut, wie die in (1) erwaehnten Punkte + eigenes Nachdenken. Wer alles nochmals nachlesen moechte, sollte dies in de.comp.security.* tun. Wer ueber die Verlierer einmal ablachen moechte, liest microsoft.public.de.security.home. Da tummeln sich die, dessen System einen taeglichen Datenschwund erleidet, der IE stets PRON-Seiten "von selbst" laedt und auch der Rest des Systems in der Hose ist. Es werden Seitenweise Spybot Search& Destroy logs geposted und am Ende steht meist "Die Firewall (Zonealarm et all) und Virenscanner sind immer aktuell gehalten" Sehr amuesant, aber die Geschichten gleichen sich am Ende immer wieder Meine Sichtweise und Erfahrung zur Problematik. Gruesse, Torsten __________________ Aktuelle Serie: Eun Kyung - A Late Summer Afternoon \|\| San Francisco \| Frankfurt \| Hongkong: Google+ * IG * FB