Ich möchte die von ROT bereits zweimal gestellte Frage aufgreifen um hier eine Frage respektive einen Arbeitsauftrag zu hinterlassen:

Wie muss ein System konfiguriert sein und welche Anforderungen muss ein User erfüllen, damit ein Rechner ohne Sicherheitssofware (Virenscanner, Spywarescanner, PFW...) mehr oder minder gefahrlos ins Netz gehen kann?

Um die hoffentlich folgende Diskussion etwas zu fokussieren stelle ich hier drei Fragen, die als Leitplanke dienen sollen:

Wie sind die Ursachen einer möglichen Kompromittierung zu bewerten?
Unter der Annahme, dass der User es selbst in der Hand hat, ob er infizierte Archive oder ausführbare Dateien auf den Rechner holt (Stichwort: Filesharing, Crackseiten, vertrauenswürdige Quellen), bleibt die Frage, ob er sich durch umsichtiges Verhalten wirklich vor einer Kompromittierung schützen kann? Kann er mit einer vernünftigen Browserkonfiguration (und natürlich auch einer vern. Systemkonfiguration) und eine vernünftige Auswahl der Zielseiten sein Risiko auf ein vertretbares Maß senken?

Wie kann der User den Zustand seines Systems beurteilen?
Diese Frage zielt darauf ab, wie der User ohne direkt auf dem System installierte Virenscanner, PFWs oder sonstige Sicherheitssoftware, mit ausreichender Sicherheit davon ausgehen kann, dass sein System nicht kompromittiert ist?

Wie muss die Konfiguration eines solchen System aussehen?
Was sind die Anforderungen an die Konfiguration im Allgemeinen aber auch im Detail (zB Stichwort: Autostarts bei Useraccounts, sicherheitskritische Anwendungssoftware etc)

Ich lasse das jetzt einfach mal so im Raum stehen. Wenn ich mir während der Ostervöllerei Gedanken dazu gemacht habe, werde ich sie posten. Die Diskussion ist aber trotzdem schon eröffnet.

Zitat:

Wie muss ein System konfiguriert sein und welche Anforderungen muss ein User erfüllen, damit ein Rechner ohne Sicherheitssofware (Virenscanner, Spywarescanner, PFW...) mehr oder minder gefahrlos ins Netz gehen kann?

Wie immer machts der Benutzer. Wenn dieser keine Erfahrung im Bereich Computer aufweist siehts schlecht aus ... Die Frage ist eher - von wo soll man ausgehen? Man kann nicht erwarten dass jeder den Unterschied zwischen einem Trojaner und einem Wurm kennt, so als Beispiel.

Zudem ist ein enormer Großteil aller Benutzer sehr unerfahren in Bezug auf Computerprobleme - Hauptsache es läuft. Und wenns nimmer läuft wirds halt Alltag bis mal etwas wichtiges anfällt.

Virenscanner, Spywarescanner sowie PFW's sind nur dazu da den Großteil der Benutzer vor ihrer Unwissenheit zu schützen.

Zitat:

Wie sind die Ursachen einer möglichen Kompromittierung zu bewerten?
Unter der Annahme, dass der User es selbst in der Hand hat, ob er infizierte Archive oder ausführbare Dateien auf den Rechner holt (Stichwort: Filesharing, Crackseiten, vertrauenswürdige Quellen), bleibt die Frage, ob er sich durch umsichtiges Verhalten wirklich vor einer Kompromittierung schützen kann? Kann er mit einer vernünftigen Browserkonfiguration (und natürlich auch einer vern. Systemkonfiguration) und eine vernünftige Auswahl der Zielseiten sein Risiko auf ein vertretbares Maß senken?

Das könnte er - theoretisch, macht es aber nicht. Never change a running System - das höre ich fast öfter als "Guten Tag"
Man kann nicht von jedem erwarten, dass er sich bevor er den ersten Mausklick macht 10 Bücher über Sicherheit durchliest.

Zitat:

Wie kann der User den Zustand seines Systems beurteilen?
Diese Frage zielt darauf ab, wie der User ohne direkt auf dem System installierte Virenscanner, PFWs oder sonstige Sicherheitssoftware, mit ausreichender Sicherheit davon ausgehen kann, dass sein System nicht kompromittiert ist?

ONV kann das nicht wirklich. Da wird die Spyware schnell zum Trojaner, der Mauszeiger zum Wurm und ein versteckter Ordner zum Rootkit. (Mehr fällt mir gar nicht dazu ein .. )

Zitat:

Wie muss die Konfiguration eines solchen System aussehen?
Was sind die Anforderungen an die Konfiguration im Allgemeinen aber auch im Detail (zB Stichwort: Autostarts bei Useraccounts, sicherheitskritische Anwendungssoftware etc)

Nunja ... ich seh das gerade aus 20 Blinwinkeln und nirgends leuchtet was auf.
Mal gespannt welch würziger Senf heute nocha ufs Brötchen kommt

mfg,
Markus

OK, von der Frage, ob ein Netzdasein ohne Sicherheitssoftware für jeden User möglich ist, sollten wir vllt ablassen. Wir sollten uns hier eher auf die User konzentrieren, die auch tatsächlich in der Lage wären so etwas umzusetzen. Die dafür nicht prädistinierten User würden beim Gedanken an ein "völlig ungeschütztes System" eh Schweissausbrüche bekommen.

Ich ziele mit dem Thread mehr auf die konkrete Umsetzung als auf das für und wider ab. Als Frage formuliert: Was muss gegeben sein, damit das ganze funktioniert?

HI,

ich rede mal kurz darüber.

Das Problem: zuerst ins Internet dann erst seinen PC mit seinen Funktionen kennelernen. Diese Reihenfolge sollte umgekehrt sein. Ich kenne Leute, die sich nur wegen dem Internet einen PC gekauft haben und dann wild drauf los klicken oder vor Angst dann doch fast gar nicht surfen, weil man könnte sich ja gleich einen Dialer, Trojanisches Pferd etc. einfangen und von der Presse oder Freunden mit lauter Ratschlägen total verrückt machen lassen.

Viele User haben wenig Zeit sich richtig zu informieren und wollen/müssen auch beruflich das Internet.
Es wird auf das Betriebsystem vertraut und mittlerweile gibt es ja auch schon autom. Windowsupdates, aber die reichen für die Sicherheit im Netz nicht vollkommen aus.

Der Benutzer müsste PC-Zeitschriften lesen, dort gibt es immer wieder gute Tipps oder/und sich durch viele Foren lesen um Einblick zu haben. Aber wer macht das ? Ausser es wäre ein Hobby.
Nicht zu vergessen learning by doing.

Man kann seinen PC vor lauter Angst "total zuverammeln", daß man nur Rein-Text Seiten sieht, die Bilder sind weg, die E-Mails ohne Farbe und und ...

Information über Internetsicherheit muß sein. Trotzdem es funktioniert nie,
weil viele sich in dieses Thema gar nicht "hineindenken" können.

Wer seinen PC kennt, bemerkt eventuell jede kleinste Veränderung im Verhalten und könnte somit Rückschlüsse auf Malwarebefall ziehen.
Ein Onlinescan würde meiner Meinung in falsche Sicherheit wiegen, weil die Malware vielleicht gerade bei dieser Untersuchung sich selbst ausschließen könnte.

Also "vertraue" ich auf einen Scanner mit Wächter, aber man muß wissen zuerst ist immer die Malware da, dann die Signatur.

Zum Schluß: Browser zB: Opera, dann für E-Mails vielleicht Thunderbird und sonst immer das Betriebsystem aktuallisieren. Nervöse Finger sind auch schlecht.

Wenn jetzt das Betriebsystem eine eigene Firewall herausbringt, die mir Phonehome anzeigt, dann vielleicht OK, ansonsten habe ich nur Software der ich vertraue (keine Pfw), mir bleibt ja nix anderes übrig. Die Firewall hilft da nur sehr bedingt.
Nur je mehr Software, desto mehr Sicherheitlücken....denke ich.

Ich hoffe, ich bin am Thema nicht ganz vorbei - aber konkreter können ja andere dann posten.

ROT

na, dann werd ich auch mal....

auf die gefahr hin, daß ich jetzt gesteinigt werde: mein sys läuft, so wie es ist, abgesehen von 3 oder 4 patchaktionen (das letzte müßte der lsass-patch gewesen sein), seit dem 22.01.2002 unverändert - es ist kein sp installiert, keine fw aktiv, antivir läuft als guard im hintergrund, hat aber eh keine echte funktion hier, ich nutze icq und irc und emule und noch mehr böse sachen. ich sehe schon, wie die ersten an dieser stelle die hände über'm kopf zusammenschlagen...

zur story (und hier kann ich mich meinem vorschreiber sehr gut anschließen, daß viele einfach schlecht einsteigen): es dauerte seine zeit, bis ich ins internet ging. und ich las unheimlich viel. meine ersten gehversuche im net fanden über ein internet-café statt, was den entscheidenden vorteil mit sich bringt, daß man nicht die eigene kiste schrottet . mit der zeit lernt man, was es so an schädlingen gibt und daß sie im prinzip wie smarties sind: sehen alle unterschiedlich aus, schmecken aber alle gleich. die methoden sind auch heute noch die gleichen, die verpackung ist anders, und ein wenig scheint sich auch das ziel verschoben zu haben in den letzten paar jahren. "früher" ging es meist in erster linie um den schabernack, den man mit anderen treiben konnte. die meisten viren waren nur bedingt gefährlich, eher lästig. und welches "echte" pferdchen kam ohne "open cd-rom"-button daher? heute geht es um profit, stichwort botnetze, oder darum, in möglichst kurzer zeit möglichst viel kaputt zu machen, das hat sich schon geändert. aber ich würde jede wette eingehen, daß der hauptinfektionsgrund nach wie vor der gleiche ist wie damals: unaufmerksamkeit, laisser-faire und "das betrifft mich nicht".

aber ich fange an zu schwafeln, sorry . ich wollte damals bei meinem eigenen einstieg ins internet natürlich gleich alles richtig machen. von natur aus eher begriffstutzig erkannte ich trotzdem erstaunlich schnell, daß es nicht darum gehen kann, eine infektion sicher entfernen zu können, sondern eher darum, sich erst gar nichts einzufangen. ich kam auf die grandiose idee, mir auf einer "hackerseite" eine (wohl nicht ganz offizielle) version von ZA herunterzuladen, die dann auch gleich ihren eigenen trojaner mitbrachte. dadurch landete ich hier. war mir zu fein, zu posten und las stattdessen lange zeit einfach stumm mit. 2 desktop-firewalls später und mit der erkenntnis, einiges falsch angegangen zu sein, kam dann auch ein neuer rechner - welch gelegenheit, sich neu zu versuchen - dessen erstinstallation ich natürlich sofort in den sand setzte. beim zweiten anlauf hatte ich dann einen plan, und der scheint bis heute aufzugehen.

- zunächst läuft hier als bootmanager bootstar (kennt den einer?). sehr komfortabel, sehr einfach, läßt sich allerdings nur mit der (dafür erstellten) diskette verändern, fehler sind fatal bis katastrophal, aber wer braucht nicht ab und zu etwas nervenkitzel ? partitionen sind "sys-ausfall-freundlich" eingerichtet, versteht sich.

- das sys ist xp pro. natürlich sind alle unnötigen dienste deaktiviert. halte ich mit für das wichtigste (und hier ist auch der erste ansatz für meine sp-verweigerung: wozu (dienstebedingte) lücken schließen, die mich ohne sp gar nicht erst betreffen, weil sie ohnehin inaktiv sind? never touch a running system...). in der "anfangsphase" dieses sys' habe ich darüber hinaus progrämmchen genutzt wie ad-aware, spybot sd, xp antispy.... - wobei: alexa kann man auch von hand entfernen. ansonsten alles raus, was keine verwendung hat, noch einige veränderungen am sys (ordneroptionen, inf-ordner, festen host vergeben, usw...)

- dann habe ich eine schreckliche aversion gegen den IE. bin irgend wann auf mozi umgestiegen und dann auch dabei geblieben. daß ich gut daran tue, bestätigte sich, als ich das letzte mal den IE nutzen _mußte_, weil ich (laisser-faire) eine neuere version von mozi über eine alte drüberinstallierte und dabei vergessen hatte, wieviel ich an der alten version (unaufmerksamkeit) herumgebastelt hatte. die folge war ein böser schluckauf von mozilla und die notwendigkeit, das mozi-package neu zu saugen, weil ich es ("das betrifft mich nicht") bereits gelöscht hatte. als IE-nutzer würde ich mal beim a-amt fragen, ob die nicht einen 1-euro-jobber entbehren können, der mir die ganzen popups schließt...

- paranoia: ich klick nicht auf alles, was blinkt, weil's mir allein durch das blinken schon suspekt ist . eine zeit lang reagierte ich auf emails mit anhängen geradezu panisch. sowas gibt sich mit der zeit. darüber hinaus lasse ich mich gern hin und wieder von ix- oder ux-usern per nmap und vergleichbarem abscannen. auch erstelle ich spaßeshalber und sporadisch hjt-logfiles von meiner kiste, such' auch schon mal die registry von hand ab (da lernt man ebenfalls eine menge), für eventualitäten gibt es einen port-watcher und die computerverwaltung ist auf den desktop verlinkt. hab sowas gern in griffweite.

- konsequenz: ich installiere mir nix, bloß weil ich es nett finde. wenn ich nicht genau weiß, was ein programm tut und wozu ich es brauche, wird es auch nicht "mal" installiert, weil es vielleicht irgend wann interessant oder nützlich sein könnte. dadurch sammeln sich keine "altlasten" an, das sys bleibt überschaubar und eventuelle veränderungen würden schneller auffallen. ich installiere auch nicht mehrere programme mit den gleichen oder ähnlichen funktionen (mich wundert immer, wieviele leute z.b. gleich mehrere irc-clients installiert haben. zur identitätsverschleierung gibt's einfachere und effektivere wege).

- keine firewall: gegen einen vernünftigen router hätte ich nichts einzuwenden, aber der lohnt sich für einen einzelnen rechner einfach nicht. eine softwarefirewall ist indiskutabel, sie läßt einen nur träge werden, und auch das argument, daß es einem ja eher darum ginge, programme daran zu hindern, nach draußen zu telefonieren, statt "angriffe" von draußen zu verhindern, will mir nicht ganz einleuchten. wieso installiert man sich ein programm, das sich nicht so verhält, wie man es möchte?

natürlich könnte auch ich nicht behaupten, daß mein rechner 100% sicher ist, möchte ich auch gar nicht. das ganze ist nur der weg, den mein sys hinter sich hat und mit dem ich wie gesagt bis jetzt gut gefahren bin. klar könnte man nun unterstellen, daß die kiste bereits kompromittiert ist und ich es nicht bemerkt habe. wenn dem so wäre, wäre es bisher aber ohne (meßbare) auswirkung. deshalb behaupte ich zumindest einfach mal, die kiste ist sauber und bleibt es vorerst auch . würde mich auch auf das experiment einlassen, auch noch die letzten maßnahmen zu deaktivieren und dann vielleicht in einem halben jahr noch mal zu schauen, ob (und) was passiert ist, sprich die kontrollen einzustellen und den guard auszuschalten.

und wer mich nun als grob fahrlässig einschätzt, bitte . ich würde nie jemandem davon abraten, sich das sp zu installieren, sehe nur für mich selbst diese notwendigkeit einfach nicht. und ansonsten sollte es nicht viel mit mir zu schimpfen geben, oder?

natürlich hat man mit dieser methode am anfang einmal besonders viel zu wurschteln, dafür danach aber weitestgehend nicht mehr. und natürlich mache ich immer mal wieder meine kontrollen, ob alles noch so ist, wie es sein sollte - die paranoia will ja gepflegt werden, außerdem hält es fit. wie gesagt bin ich auch nicht ganz ohne nachpatchen ausgekommen. dennoch würde ich so weit gehen, zu behaupten, zu 98, 99% sicher zu sein. wenn ich mich infizieren würde, dann nur, weil ich mir den schädling selbst auf den rechner hole oder weil sich jemand wirklich mühe gibt...dafür ist die kiste aber nicht interessant genug, der nötige aufwand lohnt einfach nicht. ich finde meine lösung für einen einzelplatzrechner ok, ich weiß, daß alles, was passiert, auf meinem eigenen mist gewachsen ist und bin durch die vorgenommenen maßnahmen nicht in meiner nutzung eingeschränkt (was ich mit einer sfw sicher immer mal wieder wäre).


nicht hauen ,
gruß,
Cassandra

Hallo Cassandra,

nicht hauen keine Angst, jeder hat recht auf seine eigene Meinung IMHO.
Du setzt wenigstens Brain 1.0 ein

chaosman