[meshua]

Hallo,

Wie schon all die Jahre berichtet:

1. Rechner sicher konfigurieren (Nicht als Admin arbeiten, Nutzlose Ports schliessen, kein IE ins Internet lassen, regelmaessig und zeitnah Windows und Programme aktualisieren, keine Programme aus unserioesen/zweifelhaften Quellen downloaden/installieren...)

Mit diesen Massnahmen wurde bereits die Daseinsberechtigung einer Personal Firewall entzogen. Achja: ausgehender Verkehr laesst sich NICHT zuverlaessig blocken. D.h. das ein nach Updates suchendes Adobe gemeldet wird, aber der hinterlistige root-Keylogger nutzt einfach den IE zum Datentransport ("Wollen sie dem Programm "Internet Explorer" den Zugriff auf das Internet gewaehren? [JA] [NEIN] -> Autsch)
Falls ein Router vorhanden ist, sollte man in diesem nur die absolut notwendigen Ports freigeben (80, 110, 119, gglfs. noch SSH) Der Rest wird REJECTED (nicht geDROPed!!)
Denn Dropping heist im Marketing "Stealth" und fuehrt bei Angreifern nur zu einem mueden laecheln und wissen durch die ausbleibende Antwort, dass ein Rechner existiert.

Virenscanner finden Viren, die sie in ihrer Datenbank haben. D.h. die Komplementaermenge wird nicht erkannt - schlimmer noch: das AV Tool gibt die Meldung "Keine Viren gefunden" aus, was viele als virenfrei interpretieren -> nochmals Autsch. Daher: wie gehe ich mit dieser Meldung um? In der Schlussfolgerung bietet ein Virenscanner keinen vernuenftigen Schutz und produziert falsch zu deutende Meldungen. Desweiteren sollte man bei der Meldung "Virus XYZ wurde gefunden" stutzig werden, wenn es sich dabei nicht um (Mail-)Archive handelt. Hier ist das System bereits kompromittiert. Das nun folgende versprechen, den Virus zu entfernen, kann man auch unter "Kaffeesatzlesen" abhaken, denn den Code herauszuschneiden mag noch einfach sein, jedoch die bereits geschehenen Folgen zu eleminieren ist kaum moeglich, schon ueberhaupt nicht automatisiert.

Fazit: Softwarefirewall = sinnfrei, AV-Scanner ist gut fuer die Neugierde. Beides einzeln oder zusammen schuetzt nicht ansatzweise so gut, wie die in (1) erwaehnten Punkte + eigenes Nachdenken.

Wer alles nochmals nachlesen moechte, sollte dies in de.comp.security.* tun. Wer ueber die Verlierer einmal ablachen moechte, liest microsoft.public.de.security.home. Da tummeln sich die, dessen System einen taeglichen Datenschwund erleidet, der IE stets PRON-Seiten "von selbst" laedt und auch der Rest des Systems in der Hose ist. Es werden Seitenweise Spybot Search& Destroy logs geposted und am Ende steht meist "Die Firewall (Zonealarm et all) und Virenscanner sind immer aktuell gehalten" Sehr amuesant, aber die Geschichten gleichen sich am Ende immer wieder

Meine Sichtweise und Erfahrung zur Problematik.

Gruesse, Torsten

[Jerichos]

Öhm ja, Eure Anstrengungen in allen Ehren, aber ich brauch eine Virenscanner/Firewall-Komplettlösung. Kein Aufklärung darüber, wie ich mein System zu pflegen hab.

Also ganz einfache Frage: Welche Software ist zu empfehlen?

[baerlichkeit]

Kann man online bei Heise lesen, leider nicht ganz vollständig...

http://www.heise.de/ct/07/12/148/

http://www.heise.de/ct/08/01/092/

Viele Grüße
Andreas

[TorstenG]

Zitat:

Zitat von Jerichos

Also ganz einfache Frage: Welche Software ist zu empfehlen?

Öhm, wenn ich den c't-Bericht anschaue, ... eigentlich keiner! Egal welchen man nimmt, er hat irgendwo eklatante Schwächen! GData Antivirus 2008 scheint hier aber noch recht gut wegzukommen, aber ist halt seeehr laaangsaaam! Im Bereich der Heuristik und bei Rootkits gibt es wohl die größten Probleme (für alle)! Ist aber nur ein Test der Virenscanner, Firewall etc. nicht inbegriffen!

[meshua]

Zitat:

Zitat von Jerichos

Öhm ja, Eure Anstrengungen in allen Ehren, aber ich brauch eine Virenscanner/Firewall-Komplettlösung. Kein Aufklärung darüber, wie ich mein System zu pflegen hab.

Also ganz einfache Frage: Welche Software ist zu empfehlen?

Kurze Antwort: es gibt fuer dein Problem keine Loesung.

Gruesse, Torsten.

[Jens N.]

Zitat:

Zitat von meshua

Wie schon all die Jahre berichtet:

1. Rechner sicher konfigurieren (Nicht als Admin arbeiten, Nutzlose Ports schliessen, kein IE ins Internet lassen, regelmaessig und zeitnah Windows und Programme aktualisieren, keine Programme aus unserioesen/zweifelhaften Quellen downloaden/installieren...)

Mit diesen Massnahmen wurde bereits die Daseinsberechtigung einer Personal Firewall entzogen.

Nein. Erstens -ich erwähnte das glaube ich schon an anderer Stelle- gibt es auch noch Würmer, Scripts und sonstige Malware, die sich mehr oder weniger ohne Zutun des Anwenders installieren/verbreiten können, zweitens können auch Programme aus nicht "unseriösen/zweifelhaften" Quellen (wie immer man das auch definieren will, da fängt es doch schon an) mal Probleme machen und drittens: wie schließe ich ohne Firewall nutzlose Ports? Ein Router mit firewall ist beim Fragesteller ja nicht vorhanden.

Zitat:

Achja: ausgehender Verkehr laesst sich NICHT zuverlaessig blocken. D.h. das ein nach Updates suchendes Adobe gemeldet wird, aber der hinterlistige root-Keylogger nutzt einfach den IE zum Datentransport ("Wollen sie dem Programm "Internet Explorer" den Zugriff auf das Internet gewaehren? [JA] [NEIN] -> Autsch)

Was kennst du denn für software firewalls? Wenn die natürlich nach dem Schema arbeiten, gebe ich dir recht. Die meisten (alle?) kann man aber -entsprechende Grundkenntnisse vorausgesetzt (auch das ist allerdings ein Thema für sich)- wesentlich differenzierter konfigurieren. Ich kann z.B. festlegen, über welchen Port und zu welcher IP mein Bankprogramm ausschließlich kommunizieren darf, um nur mal ein Beispiel zu nennen. Das leistet keine in einem Router integrierte Firewall.

Davon abgesehen funktioniert dein Beispiel aber auch aus einem anderen Grund nicht: aktuelle (gute) firewalls haben Schutzfunktionen, die durch Malware veränderte Dateien erkennen und melden können. D.h. wenn ich dem IE den Zugang zum Netz gewähre, dieser aber plötzlich durch die firewall erneut angefragt wird, dann müssen (und können) die Alarmglocken klingeln.

Daher halte ich es nicht für richtig, software firewalls grundsätzlich ihre Daseinsberechtigung abzusprechen.

Zitat:

Virenscanner finden Viren, die sie in ihrer Datenbank haben. D.h. die Komplementaermenge wird nicht erkannt

Praktisch alle modernen Virenscanner arbeiten mit Heuristiken, die prinzipiell auch unbekannte Malware erkennen können soll - wie gut das funktioniert, ist natürlich wieder ein anderes Thema, aber so pauschal ist deine Darstellung leider falsch.

Zitat:

- schlimmer noch: das AV Tool gibt die Meldung "Keine Viren gefunden" aus, was viele als virenfrei interpretieren -> nochmals Autsch. Daher: wie gehe ich mit dieser Meldung um?

Tja, da kommt dann wieder "Brain 1.0" ins Spiel

Zitat:

In der Schlussfolgerung bietet ein Virenscanner keinen vernuenftigen Schutz und produziert falsch zu deutende Meldungen.

Also weil Virenscanner nicht perfekt sind und man ggf. trotzdem ein wenig nachdenken muß, sind sie grundsätzlich sinnlos? DAS sehe ich nun ganz anders - wer sich ganz ohne Virenscanner im Netz bewegt, handelt meiner Meinung nach grob fahrlässig.

Zitat:

Desweiteren sollte man bei der Meldung "Virus XYZ wurde gefunden" stutzig werden, wenn es sich dabei nicht um (Mail-)Archive handelt. Hier ist das System bereits kompromittiert. Das nun folgende versprechen, den Virus zu entfernen, kann man auch unter "Kaffeesatzlesen" abhaken, denn den Code herauszuschneiden mag noch einfach sein, jedoch die bereits geschehenen Folgen zu eleminieren ist kaum moeglich, schon ueberhaupt nicht automatisiert.

Häh?! Die infizierte Datei wird gelöscht, in Quarantäne geschickt (oder was immer der Anwender sonst möchte) und fertig. Mit der Warnung wird erstmal eine Ausführung der Datei und damit eine Infektion weiterer, auf dem Rechner befindlicher Dateien verhindert, der Zweck ist erfüllt. Die infizierte "Trägerdatei" interessiert doch erstmal gar nicht.

Zitat:

Meine Sichtweise und Erfahrung zur Problematik.

IMO eine sehr merkwürdige Sichtweise, sorry. Und was deine Erfahrung angeht, hege ich nach den zitierten Absätzen ehrlich gesagt auch ein paar Zweifel, nichts für Ungut.

Wir sind uns absolut einig, daß es keine 100%ige Sicherheit gibt, daß keine Software perfekt ist (ebensowenig wie Hardwarelösungen übrigens) und dem User nicht das Denken, bzw. die nötige Vorsicht abnehmen sollte. Ich stimme nur nicht der Schlussfolgerung zu, daß diese Lösungen deshalb überflüssig oder gar schädlich wären.

Um das mal als Beispiel in einen anderen Bereich zu übertragen: Impfungen sind auch nicht 100% sicher und haben ihre Nachteile, deshalb sind sie aber noch lange nicht schlecht.

[meshua]

Zitat:

Zitat von Jens N.

Nein. Erstens -ich erwähnte das glaube ich schon an anderer Stelle- gibt es auch noch Würmer, Scripts und sonstige Malware, die sich mehr oder weniger ohne Zutun des Anwenders installieren/verbreiten können, zweitens können auch Programme aus nicht "unseriösen/zweifelhaften" Quellen (wie immer man das auch definieren will, da fängt es doch schon an) mal Probleme machen und drittens: wie schließe ich ohne Firewall nutzlose Ports? Ein Router mit Firewall ist beim Fragesteller ja nicht vorhanden.

Nein, es installiert sich nichts "ohne Zutun". Lies dir bitte noch einmal (1) durch und erzaehle, wie durch diese Massnahmen sich etwas installieren kann. Sicher gibt es bei Programmen stets dass Restrisiko von ungepatchten Luecken... Auch besteht das Minimalrisiko einer Kompromittierung bei serioesen Quellen...das streitet auch keiner ab, dass es nicht den 100% Schutz gibt. Im Gegensatz zu den Securitysuites, die dreist den User anluegen... Komplettschutz soll doch suggeriert, man ist 100% sicher - man packt es nur in geeignete Wortwatte. Ehe ich es noch vergesse: wie man Ports schliesst kann man fuer Windows XP hier nachlesen.

Zitat:

Was kennst du denn für software firewalls? Wenn die natürlich nach dem Schema arbeiten, gebe ich dir recht. Die meisten (alle?) kann man aber -entsprechende Grundkenntnisse vorausgesetzt (auch das ist allerdings ein Thema für sich)- wesentlich differenzierter konfigurieren. Ich kann z.B. festlegen, über welchen Port und zu welcher IP mein Bankprogramm ausschließlich kommunizieren darf, um nur mal ein Beispiel zu nennen.[...]

Was moechtest Du damit bezwecken? Wo ist der Sicherheitsgewinn zu sehen? Zur Konfiguration von Softwarefirewalls interagieren diese mit dem User, was schon die erste Konzeptschwaeche ist. Und ob der OK-Button zum Auschalten der Software-Firewall von der Maus des Users oder einem rootscript "gedrueckt" wurde, kann diese selbst nicht unterscheiden.

Was alles moeglich sein kann, ist unter http://www.linkblock.de zusammengetragen.

Zitat:

Praktisch alle modernen Virenscanner arbeiten mit Heuristiken, die prinzipiell auch unbekannte Malware erkennen können soll

Das behaupten die Verpackungen.

Zitat:

Also weil Virenscanner nicht perfekt sind und man ggf. trotzdem ein wenig nachdenken muß, sind sie grundsätzlich sinnlos?

Das wird in dem von Dir zitieren Absatz auch nicht behautet.

Zitat:

Häh?! Die infizierte Datei wird gelöscht, in Quarantäne geschickt (oder was immer der Anwender sonst möchte) und fertig. Mit der Warnung wird erstmal eine Ausführung der Datei und damit eine Infektion weiterer, auf dem Rechner befindlicher Dateien verhindert, der Zweck ist erfüllt.

Wenn die kompromittierte Datei sich bereits in einem Systemverzeichnis befindet, ist das Kind in den Brunnen gefallen. Dass mit dem Loeschen der infizierten Datei die Welt wieder in Ordnung glaubst Du wirklich? Ich frage nur nach.

Gruesse, Torsten.

[duncan.blues]

Also meine persönlichen Empfehlungen für das sichere Surfen im Internet mit Windows kann ich wie folgt zusammenfassen:

- Windows Updates regelmäßig installieren
- Virenscanner installieren (die Qualitätsunterschiede sind IMHO marginal und variieren auch von Test zu Test und sogar schon zwischen einzelnen Updates. Wichtig ist aber überhaupt erstmal einen zu haben)
- Virenscanner aktuell halten. IMMER
- Windows Updates regelmäßig installieren
- Internet Explorer in die Tonne treten und Firefox oder Opera nehmen
- Firefox bzw Opera aktuell halten
- Windows Updates regelmäßig installieren
- Spybot Search & Destroy einsetzen
- Outlook Express in die Tonne treten und brauchbares Mailprogramm wie z.B. Thunderbird installieren
- Brain 1.0 einsetzen

Und bevor ich's vergesse: Windows Updates installieren



Ich reite ungern drauf rum, aber der monatliche Patch Day von M$ ist absolutes Pflichtprogramm. Es nützt der beste Virenscanner und die tollste Software Firewall nichts, wenn sich z.B. mal wieder ein Exploit im TCP/IP Stack von Windoof findet, der sich auf unterster Kernel-Ebene ausnutzen lässt. Da kucken nämlich alle drüberliegenden Programme in die Röhre.

Für den Normalsurfer halte ich die XP-eigene Firewall für durchaus ausreichend. Eine einfache Hardware-Firewall in einem 08/15 DSL Router ist immer eine feine Sache, weil die z.B. die oben genannten TCP/IP Hacks meist schon ganz von alleine ohne besondere Configs verhindert dadurch das kein unaufgeforderter Verbindungsaufbau aus dem Internet auf den heimischen PC durchgelassen wird. Ein DSL-Router hat den Vorteil, dass die PCs dahinter dank NAT aus dem Internet gar nicht direkt sichtbar sind.
Von Zone-Alarm halte ich inzwischen nicht mehr allzu viel. Für die meisten Otto-Normalsurfer sind die ständigen Warnungen für größtenteils völlig harmlose Vorgänge vollkommen verwirrend. Auch wenn für jeden einfachen Portscan eines Skript-Kiddies welches mal eben ein paar tausend IP-Adressen nach einem Known-Exploit abklappert will ich keine fette Warnmeldung sehen a la "Warnung! Da versucht grad einer ihren PC zu hacken!" ... bullshit. Solche Scans rauschen tagtäglich zu hunderdtausenden durch's Netz und an einer einfachen DSL-Router Firewall prallen die eh schon ab und einen sauber gepatchten Windows PC tangieren die normalerweise selbst ohne Firewall nicht.

Die meisten Hacker machen sich eh keine Mühe, einen halbwegs sauber gepflegten PC zu hacken bei dem keine super-einfachen Known Hacks funktionieren, weil die ungepatchten, falsch konfigurierten und größtenteils schon mit Backdoors verwanzten PCs bereits schon zu zigtausenden im Internet rumstehen, bereit um exploited zu werden. Es LOHNT einfach nicht, einen sauber gepatchten PC mit dem Grundbestand an Sicherheitssoftware zu attackieren, es gibt tausendfach viel, viel einfachere Ziele überall.
Also: XP Firewall und/oder DSL-Router mit Firewall, Antivir, Spybot und Windows Updates und gut ist.

Sorgfalt rein, Panik raus.