Antiviren-Software als Einfallstor

[zerohaxxor]

Ok es ist schon nix neues mehr aber was ist wen genau das Produkt zur falle wierd was mich schützen soll der AV.

Heise bericht
http://www.heise.de/security/Antiviren-Software-als-Einfallstor--/artikel/99749

Also für Private anwender ist es nicht ganz so schlimm aber für Server kann es zur Katastrophe werden.

Wie kann man sich gegen sowas schützen den es ist weniger lustig wen ein solches senario realität wierd.

Aber ich denke auch für Private anwender solten sich gegen sowas schützen den wir sind in zeiten der Botnetze und Stormi verbreitet sich mit rasender geschwindigkeit.

Und es ist nicht auszuschlissen das Botnetze über lücken im AV aufgebaut werden.

 

[Cyberm@ster]

Interessanter Artikel. Erschreckend, dass ein System durch ne AV-Software eher anfälliger als sicherer werden kann... Was kann man dagegen machen? Ich denke die beste Lösung ist wie so oft Brain 1.0 zu benutzen, sprich das System aktuell zu halten (Patches einspielen etc) und sich 2 mal zu überlegen auf welche Sites man geht und was man runterlädt. AV mit eingeschränkten Rechten (oder gar nicht) installieren oder Online Scanner benutzen.

 

[Banur]

Hmm, laut Elderan gibts schon Brain 2.0.

...nichts geht über Brain 2.0...

 

[Cyberm@ster]

[OT] Ist wahrscheinlich ne Beta, 1.0 ist die Last Stable (Wieviele Leute googlen jetzt nach download+"Brain 2.0"?)[/OT]

 

[IsNull]

AV mit eingeschränkten Rechten...

Geht nicht so doll... praktisch jeder Hintergrundwächter ist sehr tief im System verankert - oft hat er mehr "Macht" über das System als das System selber. Zuerst läuft es durch den Wächter und wird erst dann ans System weitergereicht.

... (oder gar nicht) installieren oder Online Scanner benutzen.

IMHO ist das keine gute Idee. Mit Brain 1/2.0 kann man sich sicher effektiv gegen böse e-mail-Anhänge schützen. Ich sehe den Sinn einer Antivirensoftware aber darin, dass sie dich gegen Automatisch (keine Useraktion erforderliuch) ausführende Viren schützt, welche man durch Surfen auflesen kann. Da nützt manchmal ein absolut geupdatetes System nix dagen. EInzig das strikte deaktivieren von JS-Script AJAX unw. schützen davor.

Wenn man eine suspekte Datei vor sich hat, ist ein Online-Scann sicherlich genauer als sich auf eine einzelne Engine zu verlassen.

 

[bitmuncher]

Original von IsNull
Zuerst läuft es durch den Wächter und wird erst dann ans System weitergereicht.

Das stimmt so nicht ganz, nichtmal bei Windows. Die Guards sitzen meist direkt auf den Hardware-Interfaces (z.B. dem Netzwerk-Treiber bzw. dessen Systemschnittstellen) auf. Das System muss aber erstmal den Empfang von Daten und das Weiterreichen an eine Applikation (den Guard) handhaben, sonst würde ein Netzwerkstream garnicht erst angenommen werden. Im Low-Level-Bereich (Kernel-Level) erreichen Viren usw. daher zuerst das System und dann erst den Guard (User-Level).

 

[IsNull]

Original von bitmuncher

Original von IsNull
Zuerst läuft es durch den Wächter und wird erst dann ans System weitergereicht.

Das stimmt so nicht ganz, nichtmal bei Windows. Die Guards sitzen meist direkt auf den Hardware-Interfaces (z.B. dem Netzwerk-Treiber bzw. dessen Systemschnittstellen) auf. Das System muss aber erstmal den Empfang von Daten und das Weiterreichen an eine Applikation (den Guard) handhaben, sonst würde ein Netzwerkstream garnicht erst angenommen werden. Im Low-Level-Bereich (Kernel-Level) erreichen Viren usw. daher zuerst das System und dann erst den Guard (User-Level).

Ich habe mich dabei vorallem auf heikle API Aufrufe bezogen, welche durch die Installation des Virenscanners so umgebogen werden, dass eben erst der Virenscanner die Aktion überprüfen kann bevor er diese ans System weiterleitet. Wo genau sich der Virenscanner einklinkt wird wohl auch auf den Scanner selber ankommen. Ich beziehe mich dabi ausschlisslich auf Windows - bei unix artigen systemen sieht die Sicherheitsarchitektur sowieso anders aus.