Antiviren Programm

[Navy]

> Falsch! Es sind Features, die ein Durchschnittsverbraucher braucht. Ganz ehrlich: seit
> zwei Jahren habe ich weder ein AV Programm auf dem Rechner noch eine Firewall.
> Und das aus einem ganz guten Grund:
> a) Ich weiß was ich mit dem Rechner mache

Soweit noch OK...

> b) Ich vertraue dem AV Scanner meines Servers, dass er alle Virenverseuchten Mails
> rausfiltert

In Zusammenhang mit a) ist das mehr oder weniger noch zu vertreten. Generell jedoch ist das Vertrauen in einen Scanner immer eher schlecht. Es gibt keine zuverlässige Antivirenengine, die schnell genug die immer größer werdende Zahl von Schädlingen bewältigen oder gar erkennen kann. Gerade generische Schädlinge sind nur über heuristische Verfahren zu erkennen und umso unschärfer die Heuristik desto größer die Wahrscheinlichkeit von "false-positives"

> c) Ich vertraue meiner Firewall (HW), dass wenn doch ein Virus eindringt, nichts nach
> außen gelangen kann.

Das ist jetzt aber sehr gewagt. Eine Hardwarefirewall kann nur filtern, was sie auch erkennt, bzw was ihr gesagt wird. Auch IDS/IPS erkennt meistens nur Muster und deren generischen Forks. Geschicktes Tunneln und nutzen der gewollten Routen sind einfach zu Implementieren und schwer zu erkennen.

> d) Ich vertraue den Backups die jede Nacht laufen, dass im Falle eines Falles das
> System wieder sofort lauffähig ist.

Was machst Du, wenn Du einen Schädling erst nach 2 Monaten erkennst?
Was ist, wenn Du keine nichtkomprimitierte Versionen einer Datei besitzt?
Was machst Du, wenn es bei Dir brennt?

Natürlich ist Deine Lösung an sich nicht schlecht, nur bist Du zu vertrauensselig gegenüber Softwarelösungen.

Im Grunde sind die Ansätze aber schon unbedingt vernünftig (außer vielleicht die Verwendung von Windows )

 

[port29]

Natürlich ist Deine Lösung an sich nicht schlecht, nur bist Du zu vertrauensselig gegenüber Softwarelösungen.

Naja genau das ja eben nicht. Eine Software ist einfach nur ein Werkzeug und genauso will ich es auch behandeln. Ich vertraue, dass ich Gefahren erkennen kann. Hardware Firewalls und Filter sind eine gute Hilfe um 99% (quantitativ gesehen) aller Gefahren herauszufiltern.

Das ist jetzt aber sehr gewagt. Eine Hardwarefirewall kann nur filtern, was sie auch erkennt, bzw was ihr gesagt wird. Auch IDS/IPS erkennt meistens nur Muster und deren generischen Forks. Geschicktes Tunneln und nutzen der gewollten Routen sind einfach zu Implementieren und schwer zu erkennen.

In den letzten Jahren habe ich mein Verhalten im Internet analysiert. Herausgekommen ist ein bestimmtes Surfprofil, bestehend aus ca. 100 Seiten und ca. 150 IP Adressen mit dennen ich regelmäßig etwas zutun habe. Und anhand dieses Profils wird gefiltert. Mir ist natürlich klar, dass es trotzdem keinen 100% Schutz gibt, aber wir müssen an der Stelle auch etwas differenzieren, welche Angriffe man denn abwehren will und um was es denn ursprünglich in dem ersten Posting ging.

Wenn jemand tatsächlich Daten aus meiner Workstation / meinem Netzwerk rausschleusen möchte, dann wird die Person vorher eine genaue Analyse der eingesetzten Soft- und Hardware durchführen. Dabei wird ihm sicherlich auffallen, dass ich regelmäßig in dem Tutorials.de Forum etwas schreibe, die Website wird also auf meiner Whitelist stehen. Also wird er z.B. irgendwelche Daten in dem Forum posten und wieder abrufen. Aber da frage ich mich, ob ein laufender Real Time Scanner so etwas verhindert hätte.

Mir geht es jetzt nicht um irgendwelche speziell für mein Netzwerk ausgelegten Bundestrojaner, sondern um einfache Vieren und Würmer, die man "zufällig" bekommt.

Was machst Du, wenn Du einen Schädling erst nach 2 Monaten erkennst?

Auf meiner Fensterbank wohnt seit 4 Monaten eine Spinne. Sie tut mir nichts, ich tuhe ihr nichts. Irgendwann kommt aber der Staubsauger. Hier würde ich nicht anders vorgehen. Solange ein Schädling mir nichts tut, kann er ruhig auf dem System bleiben

Was ist, wenn Du keine nichtkomprimitierte Versionen einer Datei besitzt?

So etwas halte ich für weniger wahrscheinlich. Um das zu verstehen, muss man sich die Dateien anschauen, mit denen ein Entwickler zutun hat. Das, was wirklich Geld kostet, sind Quelltexte. Manipulationen an Quelltexten würde ich sofort merken, z.B. weil Subversion sagt, dass eine Datei geändert wurde, in der ich garnicht gearbeitet habe. [Da fällt mit gerade ein, was andere Schüler in der 11. Klasse Informatik gemacht hatten. Da die Algorithmen nicht umsetzen konnten, hatten die einfach zig Tabs in eine Zeile eingefügt und dann Ausgaben zu verschiedenen Werten hardgecoded. Ich hätte gewettet, dass es auffällt. Aber nein, weder der Fehler in dem Algorithmus ist aufgefallen, noch der "andere" Quellcode.] Ein Scrollbalken bei einer 1920er Auflösung würde mir doch schon etwas komisch vorkommen. Und irgendwo muss es ja eine saubere Version geben. Entweder auf dem Mailserver (bzw. den Backups des Mailservers) oder im Repository. Wenn nicht, dann war die Ursprungsdatei infiziert.

Was machst Du, wenn es bei Dir brennt?

Mich freuen, weil die Versicherung alles deckt. (Backups werden natürlich nicht zu Hause aufbewahrt)

Ich muss sagen, dass ich die "Was wäre wenn" Szenarien nicht wirklich mag. Es wird immer Sachen geben, auf die man nicht vorbereitet ist. Das nächste AKW ist z.B. knapp 50km entfernt. Was passiert denn, wenn es hochgeht? Oder was passiert, wenn die Vogonen die Erde sprengen, um einen intergalaktischen Highway zu bauen?

 

[CSANecromancer]

Oder was passiert, wenn die Vogonen die Erde sprengen, um einen intergalaktischen Highway zu bauen?

Dann solltest du TUNLICHST ein Handtuch zur Hand haben.
Sorry, konnte ich mir nicht verkneifen.

 

[Navy]

> Mir ist natürlich klar, dass es trotzdem keinen 100% Schutz gibt, aber wir müssen an
> der Stelle auch etwas differenzieren, welche Angriffe man denn abwehren will und um
> was es denn ursprünglich in dem ersten Posting ging.

Ich wollte auf keinem Fall Dein Verhalten oder Deine Sicherheitskonfiguration schlecht machen. Im Gegenteil finde ich gerade das Auseinandersetzen mit dem Thema sehr wichtig und gerade Deine Analyse des eigenen Verhaltens überdurchschnittlich zeugt von vorhandener Kompetenz -- das machen beileibe nicht viele.

[...]
> Aber da frage ich mich, ob ein laufender Real Time Scanner so etwas verhindert hätte.

Nein. Jedoch /könnte/ so ein Scanner Dich im ungünstigsten Fall vor einer Datenwiederherstellung bewahren, denn ein Datenstrom wird ja erst auf Deiner Maschine wiederhergestellt und wird von dem Scanner auf Deinem Server nicht zusammenhängend untersucht.

> Auf meiner Fensterbank wohnt seit 4 Monaten eine Spinne. Sie tut mir nichts, ich tuhe
> ihr nichts. Irgendwann kommt aber der Staubsauger. Hier würde ich nicht anders
> vorgehen. Solange ein Schädling mir nichts tut, kann er ruhig auf dem System bleiben

Woher weißt Du, ob ein solcher Schädling Dir nichts tut? Er muß ja keine Daten verändern sondern es reicht, wenn er Deine Daten ins Netz bläst. In diesem Falle hat die Spinne also einen Abdruck Deines Wohnungstürschlüssels gemacht und diesen weitergegeben

In diesem Fall /könnte/ ein Scanner diesen Schädling anhand seiner Signatur erkennen. Wie Du aber schon sagtest, ist absolute Sicherheit nicht möglich -- hier könntest Du das Risiko noch minimieren.

> Mich freuen, weil die Versicherung alles deckt. (Backups werden natürlich nicht zu
> Hause aufbewahrt)

Das hattest Du vorher nicht erwähnt

> Oder was passiert, wenn die Vogonen die Erde sprengen, um einen intergalaktischen
> Highway zu bauen?

Dann solltest Du vogonische Gedichte mögen *und* unbedingt den "hitchhikers guide" dabei haben. Das Handtuch wurde ja schon erwähnt...

 

[port29]

Ich wollte auf keinem Fall Dein Verhalten oder Deine Sicherheitskonfiguration schlecht machen. Im Gegenteil finde ich gerade das Auseinandersetzen mit dem Thema sehr wichtig und gerade Deine Analyse des eigenen Verhaltens überdurchschnittlich zeugt von vorhandener Kompetenz -- das machen beileibe nicht viele.

Danke!

[...]
> Aber da frage ich mich, ob ein laufender Real Time Scanner so etwas verhindert hätte.

Nein. Jedoch /könnte/ so ein Scanner Dich im ungünstigsten Fall vor einer Datenwiederherstellung bewahren, denn ein Datenstrom wird ja erst auf Deiner Maschine wiederhergestellt und wird von dem Scanner auf Deinem Server nicht zusammenhängend untersucht.

Und genau das ist das Kosten / Nutzen Problem. Der Betrieb eines Real Time Scanners ist einfach zu teuer (im Sinne der Leistung).

> Auf meiner Fensterbank wohnt seit 4 Monaten eine Spinne. Sie tut mir nichts, ich tuhe
> ihr nichts. Irgendwann kommt aber der Staubsauger. Hier würde ich nicht anders
> vorgehen. Solange ein Schädling mir nichts tut, kann er ruhig auf dem System bleiben

Woher weißt Du, ob ein solcher Schädling Dir nichts tut? Er muß ja keine Daten verändern sondern es reicht, wenn er Deine Daten ins Netz bläst. In diesem Falle hat die Spinne also einen Abdruck Deines Wohnungstürschlüssels gemacht und diesen weitergegeben

Kein Problem, ich stelle gerne ein Foto meines Schlüssels ins Internet. Und das auch noch in voller Auflösung! http://rootix.de/CIMG3004.JPG

Wenn du jemanden gefunden hast, der den Schlüssel nachmachen kann, sag mir bescheid

> Mich freuen, weil die Versicherung alles deckt. (Backups werden natürlich nicht zu
> Hause aufbewahrt)

Das hattest Du vorher nicht erwähnt

Backups bewahrt man nicht zu Hause auf. Dafür gibt es andere Orte.

> Oder was passiert, wenn die Vogonen die Erde sprengen, um einen intergalaktischen
> Highway zu bauen?

Dann solltest Du vogonische Gedichte mögen *und* unbedingt den "hitchhikers guide" dabei haben. Das Handtuch wurde ja schon erwähnt...

Ja... den "hitchhikers guide" werde ich noch irgendwo auf nem PDA oder Handy unterbringen können... Aber ein Handtuch...

 

[Maxsoft]

Kennt ihr so etwas?

Ja. Ich habe seit einiger Zeit Avira Antivir Personal Classic (Freeware) installiert.

 

[olqs]

Wenn du keinen Online Virenscanner:
Bitdefender (ActiveX)
TrendMicro (Java oder ActiveX)

nutzen willst, dann würde ich dir zur reinen Virenscanner Lösung von Bitdefender raten.

Meiner Meinung verbrät der Echtzeit Scanner nicht wirklich viel CPU Leistung, aber nach dem Ausschalten des Scanners gibts keine Beeinträchtigung mehr.

An meinen Netzwerkeinstellungen hat der noch nie was verändert und wenn ich Probleme mit dem Routing hatte war bei mir immer mein OpenWRT schuld

 

[Grimreaper]

Meiner Meinung verbrät der Echtzeit Scanner nicht wirklich viel CPU Leistung, aber nach dem Ausschalten des Scanners gibts keine Beeinträchtigung mehr.

Also ich find auch dass ein Echtzeitscanner (Paradebeispiel Norton) das System spuerbar bremst.

 

[olqs]

Also ich find auch dass ein Echtzeitscanner (Paradebeispiel Norton) das System spuerbar bremst.

Bitte nicht mit Zitaten das Posting auseinander reissen.

Ich rede von der Virenscanner Lösung von Bitdefender.

Norton seh ich immer als negativ Beispiel für nen guten Scanner und deshalb hab ich den nichtmal erwähnt.

 

[Grimreaper]

Entschuldige, ich hab dich da missverstanden. Ich dachte du beziehst dich da auf Scanner und CPU Last im Allgemeinen. Ich haette dir sogar recht gegeben: Die CPU Last haelt sich noch in Grenzen, aber Lese- und Schreiboperationen werden stark verlangsamt (ist ja auch kein Wunder).

Zu Bitdefender kann ich mich nicht aeussern, ich hab die Software nie benutzt.