Plug-Ins der Virenscanner und Internet Security Suites

    Bei der Erkennung von Malware-Samples beißt sich der Hund schon in den Schwanz. Ist das Betriebssystem infiziert, muss davon ausgegangen werden, dass auch das Antivirenprogramm kompromittiert wurde. Somit stellt sich die Frage, wie weit will oder kann man dem Scan-Ergebnis noch trauen!?

    Auf den ersten Blick mag das fatalistisch klingen. Aber letztlich erschüttert diese Betrachtungsweise nicht nur das Vertrauen in die Zuverlässigkeit des Scanners. Vor allem erschüttert sie das Vertrauen in die Sicherheit der persönlichen Daten, die sich auf diesem Rechner befinden. Bislang ist noch kein Scanner auf dem Markt, dessen Logs nicht von einem Schädling manipuliert werden können.

    Absolute Sicherheit gibt es nicht. Bestenfalls kann man den Sicherheitsmechanismen eine möglichst hohe Priorität einräumen. Das lässt sich am ehesten noch in Firmennetzwerken durchsetzen. Aber spätestens dann beginnt eine unbequeme Gratwanderung zwischen Sicherheit, Wirtschaftlichkeit und Komfort. Otto Normalverbraucher macht das nicht mit. Für ihn steht der Komfort an erster Stelle.

    Von der Notwendigkeit eines ganzheitlichen Sicherheitskonzeptes hat die Mehrheit der Home User noch nie etwas gehört, oder sie will sich aus Bequemlichkeit nicht damit auseinandersetzen. Und somit wird wohl auch in Zukunft ein Security-Programm das erste und letzte Bollwerk gegen Bedrohungen aus dem Cyberspace sein.

    Zitat

    Bei der Erkennung von Malware-Samples


    Deswegen ist eine Signaturenerkennung auch kein alleiniges Merkmal eines AV-Programms mehr.
    Es gibt wohl jede Menge unerkanntes Zeug und täglich kommt neues dazu, nur das sind
    teilweise alles Varianten, die man noch per Signatur finden kann. So richtig fette Brummer wie
    den letzten Zeus-Ableger, findet man nicht so, sondern durch ihr Verhalten. Und daraus lässt
    sich wieder eine Signatur erstellen.

    Zitat

    wie weit will oder kann man dem Scan-Ergebnis noch trauen!?


    Es ist wie bei dem Ehrlichen und dem Lügner - du hast genau eine Frage, um herauszubekommen,
    wer wer von den beiden ist. Entweder findet man den Schädling - oder das, was er vorgaukelt, nicht zu sein.

    Zitat von .Ulli

    Woran soll denn nun besagter Home User erkennen, dass er ein inhärent unsicheres Biotop erstanden hat ?


    Ein jungfräulicher Rechner (vorausgesetzt, er ist aktuell gepatcht) ist nicht wirklich unsicher. Das System müsste schon gezielt z. B. durch einen Portscan angegriffen werden. Aber dazu müsste dieser Rechner erst einmal in den Fokus eines Angreifers geraten, was bei einem Home User, der sich nicht selbst exponiert, unwahrscheinlich ist.

    Ein System ist nicht unsicher, es wird unsicher. Das ist ein schleichender Prozess, der, je länger er läuft, sich aus sich selbst heraus beschleunigt. Irgendwann ist dann ein Point of no return erreicht, an dem die Vertrauenswürdigkeit nur noch durch eine Neuinstallation wieder hergestellt werden kann. Hektisch Patches nachzuinstallieren und uralte Programmleichen nachträglich upzudaten, kann man sich schenken. Die Gefahr ist viel zu groß, dass diese Lücken bereits ausgenutzt werden, oder sogar schon ausgenutzt wurden.

    Otto Normaluser hat fast gar keine Chance dies zu erkennen. Schließlich müsste er dazu all sein mühsam erworbenes "Wissen" über die schier uneingeschränkten Fähigkeiten seines AV-Programms über Bord werfen. Aber wer macht das schon, zumal der Verkäufer des Scanners von einem Rundumsorglos-Paket sprach!?

    So lange der Rechner ohne (erkennbare) Probleme läuft, fehlt ihm nichts. Der einfache User weiß nicht, dass Malwareautoren so gut vernetzt sind, dass sie bereits wenige Stunden nach bekannt werden einer Sicherheitslücke (insbesondere in Flash und Java) diese bereits aktiv für Drive-by-Infections erfolgreich ausnutzen können.

    Fatalerweise hat Otto Normaluser von der Boshaftigkeit des Räubers Hotzenplotz ein weitaus klareres Bild, als von Malware. Er weiß nicht wie Malware auf den heimischen Rechner gelangt, weiß nicht welches ganz konkrete Schadpotenzial z. B. ein Banking-Trojaner für seine Spargroschen auf dem Konto haben kann, und er weiß nicht, dass mit seinen gehijackten Daten jeder Hobbyganove im Cyberspace auf seine Kosten auf Shoppingtour gehen kann.

    Vielen Dank für die implizite Bestätigung dafür, dass ein gewisses Biotop für einen gewissen Anwenderkreis ungeeignet ist.

    Zitat von Docc

    Ein jungfräulicher Rechner (vorausgesetzt, er ist aktuell gepatcht) ist nicht wirklich unsicher.

    Der Kunde ersteht einen PC, dessen Image des Biotops wohl abgehangen ist. Die Anzahl der Märkte, die den Kunden zum Besuch des Cafés insistieren, damit die aktuellen Patches aufgespielt werden können, dürfte sehr gering sein.

    Zitat von Docc

    Aber dazu müsste dieser Rechner erst einmal in den Fokus eines Angreifers geraten, was bei einem Home User, der sich nicht selbst exponiert, unwahrscheinlich ist.

    An dieser Stelle unterliegst du einer Täuschung.
    Es gab einmal eine Untersuchung, ich glaube sie ging vom Honeynet aus, nachdem eine normaler PC innerhalb einer Minute infiziert war. Der damals benutze PC trug auch den sinnigen Namen "sitting duck".

    Zitat von Docc

    Otto Normaluser hat fast gar keine Chance dies zu erkennen.

    Nein, er hat keine Chance.
    Er benutzt den PC wie sein altes Dampfradio. Da gab es auch keinerlei Hinweise wie man den Rückendeckel abschraubt um dann mit dem Staubsauger die Drehkondensatoren zu reinigen.

    Zitat von Docc

    Fatalerweise hat Otto Normaluser von der Boshaftigkeit des Räubers Hotzenplotz ein weitaus klareres Bild, als von Malware.

    Ja aber selbstverständlich.
    Der läuft doch in einer ganz anderen Liga.

    Zitat von Docc

    Er weiß nicht […], weiß nicht […], und er weiß nicht, […]

    Warum soll er auch ?
    Die Kiste ist ein profaner Gebrauchsgegenstand - mehr nicht.

    P.S. oftmals finde ich es erstaunlich, wie man die Verantwortung für Mängel eines Produkts auf die Käufer überträgt.