Präventive Maßnahmen gegen Viren

[lightsaver]

Trojaner in der VirtualBox laufen auch, bis man die VirtualBox beendet. Und bei mir zumindest ist auch in der VirtualBox Internetzugriff vorkonfiguriert.

Richtig und ich nehme mal an, der Browser soll dann ja mit Sicherheit auch in der VM laufen, wäre sonst ja witzlos. Wenn ich da dann nun aber die Passwörter speichere, ist das Problem doch wieder exakt das gleiche.

Wo ich Break zustimme, ist, dass manche Konfigurationen vielleicht nicht so gut sind, allerdings möchte ich da im Bezug auf Sandboxie doch mal meine Erfahrung einfließen lassen:

Es muss eingestellt werden, welche Programme in der Sandbox laufen sollen. Es werden mit der Installation von Sandboxie nicht einfach Programme plötzlich in dieser ausgeführt. Man muss sich also selber damit erstmal beschäftigen. An dieser Stelle ist dann aber wieder ein Punkt wichtig, der auch bei anderen Sicherheitsprogrammen zutrifft:
Wenn ich nicht weiß, was ich da mache, dann muss ich das jemand machen lassen, der es tut. Man kann auch Sandboxie so einstellen, dass im Prinzip Vollzugriff auf das System besteht.

Richtig ist, dass Programme, die durch ein Programm in der Sandbox aufgerufen wurden, ebenfalls in der Sandbox ausgeführt werden und das soll ja auch so sein. Dass diese dann in der Standardkonfiguration Internetzugriff haben ist richtig, lässt sich aber umkonfigurieren, womit wir wieder bei dem vorher genannten Punkt sind, wenn man nicht weiß was man tut...

Gleiches gilt aber auch für Antivirenprogramme und Firewalls. Auch diese kann man so einstellen, dass sie nicht mehr wirklich schützen.



Da das Thema Personal Firewalls ja auch nochmal aufgekommen ist. Für viele Sachen mögen die ja funktionieren, letztendlich bieten sie aber nur eine trügerische Sicherheit. Dazu bietet die Forensuche hier auch andere Threads. Sicher wäre hier nur eine Firewall auf einem anderen System, aber auch diese muss wieder von jemandem eingestellt werden, der sich auskennt.

Letztendlich wird man, wie man sieht, in jedem Konzept für den Heimbereich Schwachstellen finden und man muss einen Kompromiss zwischen Sicherheit und relativ komfortabler Nutzung finden. Genau da sind meiner Meinung nach VMs eher ungeeigneter.

 

[xrayn]

Für die richtig Paranoiden unter euch eignet sich http://qubes-os.org/Home.html. Hier läuft jedes Programm in einer eigenen VM.

 

[gucky]

An den Threadstarter:
Für 5€ gibt es bei 3-2-1 Pc-Wächter Karten, die sind sehr einfach zu installieren und geben dir den maximal möglichen Schutz, da sie das System beim Bootvorgang immer zurücksetzen. Ein einfacher Virenscanner reicht dann.

 

[xrayn]

An den Threadstarter:
Für 5€ gibt es bei 3-2-1 Pc-Wächter Karten, die sind sehr einfach zu installieren und geben dir den maximal möglichen Schutz, da sie das System beim Bootvorgang immer zurücksetzen. Ein einfacher Virenscanner reicht dann.

Das bringt dir aber nichts, wenn du dich infizierst, dann dich iwo anmeldest und saemtliche Eingaben mitgelesen/weitergeschickt werden.

 

[ChiefWiggum]

Das bringt dir aber nichts, wenn du dich infizierst, dann dich iwo anmeldest und saemtliche Eingaben mitgelesen/weitergeschickt werden.

Aber nur für den Zeitraum bis zum nächsten Reboot. Und ich glaube die meisten Keylogger sind nicht eingestellt, dauerhaft die Daten zu übertragen, aber im Prinzip hast du Recht, da bringt dir die Wächter-Karte erstmal nix.
Ich lade verdächtige Dateien @ anubis (http://anubis.iseclab.org) hoch und schau mir den Report an.
Sich beendende Dateien schau ich mir dann gar nicht mehr genauer an ;-)
Ansonsten könnte (der "erfahrenere" User) noch mit PEiD nach möglichen Signaturen / Packern suchen, ggf auch nach Strings in der Exe ( FileExplorer oder wie das Prog heißt, ist vom gleichen Hersteller (?) wie Spybot Search & Destroy ) suchen und halt die Import-Einträge.
Je nachdem kann man dann einstufen, ob die Datei verdächtig ist oder nicht, notfalls halt in ner Sandbox den guten alten Olly anschmeißen und selbst was rumschnüffeln ;-)
Oder aber bei .NET Anwendungen hilft der Reflector gerne.
[Hab damit letztens ne undetected Botnet-Anwendung gefunden.. Jetzt ist sie nicht mehr ud (schön bei Avira + Virustotal hochgeladen)]
Für meine Methode spricht, dass ich ein halbes Jahr ohne AV unterwechs war und keinen Virus o.Ä. eingefangen hab. Jetzt hab ich wieder ein AV drauf, da ich mir ein paar verdächtige Dateien gezogen hab und erstmal das AV drüberlaufen lassen wollte und generell ist das eg nicht so schlecht.
[Bei uns @ Schule ist z.Z. (komischerweise) der Conficker unterwechs. Ich desinfizier die Rechner jedes mal wenn ich da bin aber dummerweise isser immer wieder neu da, und vor dem dummen Autorun der auf die Sticks geschrieben wird vom Virus hilft das AV ja ziemlich gut (wenn der Virus denn erkannt wurde)


so far,

 

[xrayn]

@AlterHacker: Jedes mal die Datei hochzuladen ist nichts für eine Produktivumgebung, außerdem kann der 0815-Benutzer herzlich wenig mit den Resultaten von Anubis anfangen, mal ganz davon abgesehen, dass die meiste Malware mittlerweile mit "Sandboxerkennungsroutinen", sodass sie in solchen ein anderes Verhalten an den Tag legen. Virustotal hilft auch nur gegen bekannte Schaedlinge. Und jedes mal die Datei mit Olly/IDA durch zu gucken verschlingt auch zu viel Zeit. Außerdem was machst du bei PDFs, die Exploits, Websiten, die Browserexploits enthalten usw. Ich denke, dass der Ansatz der Isolation schon der sinnvollste ist.

 

[Latias]

An den Threadstarter:
Für 5€ gibt es bei 3-2-1 Pc-Wächter Karten, die sind sehr einfach zu installieren und geben dir den maximal möglichen Schutz, da sie das System beim Bootvorgang immer zurücksetzen. Ein einfacher Virenscanner reicht dann.

Heißt das wenn ich etwas installiert habe ist es nach dem nächsten Boot wieder weg, also ist das dann wie ein Image von dem immer wieder geladen wird?

 

[ChiefWiggum]

@AlterHacker: Jedes mal die Datei hochzuladen ist nichts für eine Produktivumgebung, außerdem kann der 0815-Benutzer herzlich wenig mit den Resultaten von Anubis anfangen, mal ganz davon abgesehen, dass die meiste Malware mittlerweile mit "Sandboxerkennungsroutinen", sodass sie in solchen ein anderes Verhalten an den Tag legen. Virustotal hilft auch nur gegen bekannte Schaedlinge. Und jedes mal die Datei mit Olly/IDA durch zu gucken verschlingt auch zu viel Zeit. Außerdem was machst du bei PDFs, die Exploits, Websiten, die Browserexploits enthalten usw. Ich denke, dass der Ansatz der Isolation schon der sinnvollste ist.

Natürlich, da hast du recht. Aber ich habe ja geschrieben was ich mache ^^.
Klar gegen exploits oder sowas ist man damit Machtlos, bei Arbeitsplätzen würd ich auch eine ordentliche Firewall installieren (ich glaub bei der Comodo-Firewall muss man alles einstellen, die Erkennt auch Prozess-Injections etc.)
Exploits werden ja auch immer weiter erschwert (siehe Stack-Cookies etc. ) aber allgemein gibt es ja kein "sicher".
Wie heißt es so schön - Auch der Rechner der ausgeschaltet ist, ist nicht sicher, denn der Social Engineer bringt jemanden dazu, diesen Rechner einzuschalten.
Für 0815-User ist es generell schwer, sich zu schützen, viele verlassen sich dann auch auf ihr Antivir / möglicherweise noch ne Firewall, werden aber trotzdem dann infiziert weil sie denken, dass sie sicher sind.

Heißt das wenn ich etwas installiert habe ist es nach dem nächsten Boot wieder weg, also ist das dann wie ein Image von dem immer wieder geladen wird?

Ja, soweit ich weiß, stimmt das.

 

[Break]

Warum nehmt ihr nicht einfach VirtualBox fürs Internet, und für den Rest den Host-PC? Die VirtualBox einfach so einstellen das sie sich jedesmal nach dem beenden zurücksetzt.

Und so Ressourcenanfordernd ist das auchnicht. Ich hab nen 4j. alten PC mit 2GB RAM und ich kann VirtualBox und meinen Host PC parallel völlig flüssig nutzen. Beide XP.

 

[ChiefWiggum]

Warum nehmt ihr nicht einfach VirtualBox fürs Internet, und für den Rest den Host-PC? Die VirtualBox einfach so einstellen das sie sich jedesmal nach dem beenden zurücksetzt.

Und so Ressourcenanfordernd ist das auchnicht. Ich hab nen 4j. alten PC mit 2GB RAM und ich kann VirtualBox und meinen Host PC parallel völlig flüssig nutzen. Beide XP.

Mach ich teilweise auch, aber nicht zum Surfen. Wenn ich Windows/Linux gleichzeitig brauche, hab ich immer noch mein ArchLinux-Box am laufen.(hat halt den vorteil brauch nicht so viel Speicher^^).
Aber um da zu surfen, da vermiss ich einfach den Komfort. Und ich schätze mal langfristig ist es den Usern einfach zu aufwendig, das zu trennen und immer die Box an/aus zu machen (okay Autostart wäre eine Abhilfe aber trotzdem umständlich)

 

[xrayn]

Warum nehmt ihr nicht einfach VirtualBox fürs Internet, und für den Rest den Host-PC? Die VirtualBox einfach so einstellen das sie sich jedesmal nach dem beenden zurücksetzt.

Und so Ressourcenanfordernd ist das auchnicht. Ich hab nen 4j. alten PC mit 2GB RAM und ich kann VirtualBox und meinen Host PC parallel völlig flüssig nutzen. Beide XP.

Ganz einfach, wenn die Internet-VM infiziert wird und du dort Passwoerter eingibst, bringt es dir nichts. Außerdem dauert das Booten viel zu lange oder du musst Dateien aus dem Internet auf deinem Host-PC kopieren, weil du sie dort weiter bearbeiten moechtest und dort koennte ein Exploit versteckt sein.

Exploits werden ja auch immer weiter erschwert (siehe Stack-Cookies etc. )

Stack-Cookies sind sehr einfach zu umgehen, viel schwieriger zu umgehen ist DEP und ASLR, bzw. die Kombination aus beidem, aber selbst das ist moeglich und wird bei fast allen aktuellen Exploits (vor allem Flash/PDF) angewendet.

Lest euch mal den Blog-Artikel durch: http://theinvisiblethings.blogspot.com/2008/09/three-approaches-to-computer-security.html ich denke, dass der Ansatz Security by Isolation durchaus mehr Sinn als alles andere macht. Denn auch Firewalls und Virenscanner haben bei steigender Komplexitaet (was im Allg. auch mit Umfang des Schutzes gleichbedeutend ist) viele Sicherheitsluecken.

 

[ChiefWiggum]

Stack-Cookies sind sehr einfach zu umgehen, viel schwieriger zu umgehen ist DEP und ASLR, bzw. die Kombination aus beidem, aber selbst das ist moeglich und wird bei fast allen aktuellen Exploits (vor allem Flash/PDF) angewendet.

Ich hab ja etc gesagt ^^ Mir fielen gerade die anderen Namen nicht mehr ein

Ganz einfach, wenn die Internet-VM infiziert wird und du dort Passwoerter eingibst, bringt es dir nichts.

Die VirtualBox einfach so einstellen das sie sich jedesmal nach dem beenden zurücksetzt.

Das wäre dann das gleiche wie mit der Waechter-Karte, DIE Patentlösung gibt es meiner Meinung nach nicht.
Ich bin mit meiner Methode bis jetzt immer gut ausgekommen und die Zeit wird zeigen, ob ich was dran ändern muss

 

[gucky]

Heißt das wenn ich etwas installiert habe ist es nach dem nächsten Boot wieder weg, also ist das dann wie ein Image von dem immer wieder geladen wird?

Ja Latias. Darum sag ich auch, dass ein einfacher Virenscanner reicht. Wenn du merkst, dass da was auftaucht, oder wenn unten rechts plötzlich ein Java Fenster aufgeht, dann machst du einen Reboot und alles ist wieder gut. Oder wenn du dich auf unseriösen Seiten rumtreibst, machst du danach einen Reboot und kannst wieder deine normalen Seiten aufrufen. Das ganze ist auch hilfreich, wenn du dir mal die Windows Einstellungen zerschiesst.

So, nun mal an die anderen hier: Leute, wir wollen hier einem unerfahrenen Anwender helfen und Ihn nicht mit Begriffen und Programmmen verwirren, die er gar nicht haben will. Eine einfache effiziente Lösung sollte das Zeil sein, keine Grundsatzdiskussion über VMs und/ oder Onlinelösungen (nicht böse gemeint, interessantes Thema, aber das hilft ihm/ihr nicht)

 

[Latias]

So, nun mal an die anderen hier: Leute, wir wollen hier einem unerfahrenen Anwender helfen und Ihn nicht mit Begriffen und Programmmen verwirren, die er gar nicht haben will. Eine einfache effiziente Lösung sollte das Zeil sein, keine Grundsatzdiskussion über VMs und/ oder Onlinelösungen (nicht böse gemeint, interessantes Thema, aber das hilft ihm/ihr nicht)

ihm :wink:

So ganz unerfahren bin ich ja nicht, und ich fand das meiste hier schon ziemlich hilfreich.
Ich hab jetzt Kaspersky Internet Security 2011, Firefox, ICQ, etc. laufen unter Sandboxie und zum selber überwachen hab ich hier TCPView, ProcMon und Process Explorer, wie man damit umgeht wird ja ein bisschen in c't security beschrieben.
Außerdem versuch ich jetzt, möglichst wenig Software hier installiert zu haben, dann lässt sich das auch leichter auf dem neuesten Stand halten.

Was mir jetzt noch fehlt ist die richtige Konfigutation von Windows, Dateiendungen immer anzeigen, Autostart deaktivieren ist klar, aber was könnte man noch machen? Bestimmte Dateitypen deaktivieren vllt., Schreibschutz auf bestimmte Ordner/Dateien?

 

[xrayn]

Am besten aktuelle Version von Windows einsetzen. W7 bietet per default schon ein hohes Maß an Sicherheit.

 

[Break]

W7 bietet per default schon ein hohes Maß an Sicherheit.

Und ich bin der Erfinder vom Internet

 

[+++ATH0]

- Mit eingeschränktem Benutzeraccount arbeiten

- Dienste sicher konfigurieren:
http://www.ntsvcfg.de/
http://www.ntsvcfg.de/windows7.html

- Eigenen eingeschränkten Benutzeraccount für jedes "Internetprogramm". Manche Software erledigt dies sogar bei der Installation. Soweit ich mich erinnere taten dies beispielsweise eMule und GFI Languard. Für andere sollte man da nachhelfen.
Spezialfall: Programme, die Admin-Rechte benötigen, kriegen auch einen isolierten Admin-Account mit angepassten ACLs.

- ACLs einrichten. Also Zugriffpolitik der verschiedenen Accounts auf welche Datenträger/Ordner.

- Passwörter sind nicht zum speichern da, sondern zum merken.

- Passwörter in regelmäßigen Zeitabständen unnachvollziehbar ändern.

- Autostarts, installierte Treiber regelmäßig pflegen und überprüfen. (Zum Beispiel mit Sysinternals Autoruns.exe und für Treiber (x86) Rootkit Unhooker, Kernel-Detective, Gmer, Xeqtr...)
Spezialfall: Unter x64 müssen Treiber ohnehin signiert werden. Auf keinen Fall den "Test-Mode" aktivieren für test-signierte Treiber.

- Regelmäßige Updates jeder Software

- Software Restriction Policies einrichten.

Gegen diese Vorkehrungen sieht Antivirensoftware so ziemlich alt aus, und wird nutzlos, ebenso wie seine Geschwistersoftware die Personal Firewall.
Unter Umständen reißen die noch Sicherheitslücken ins System, wenn man bedenkt wie tief (und oft auch instabil) diese Software ins System eingreift (Kernel Hooks, DKOM, Notify-Routines,...)

 

[xrayn]

Und ich bin der Erfinder vom Internet

Dann gib mir ein praktisches Beispiel wie du Windows 7 knackst.

@Latias, außerdem nutze beim surfen NoScript