Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Freitags-Frage: MS Office-Viren

Mitglied: Fennek11

Fennek11 (Level 1) - Jetzt verbinden

08.07.2020 um 08:44 Uhr, 423 Aufrufe, 7 Kommentare, 3 Danke

Hallo,

aus einer Datenbank (ähnlich wie Virustotal) kann sich jeder Beispiele von aktuellen Viren herunterladen und analysieren. Dadurch sieht man, von welchen Ansätzen sich die crooks gewisse Erfolgswahrscheinlichkeiten versprechen:

Malware - Ansätze:

- Excel4Macro
- Dateitypen vor 2007, xls, xla, etc
- VBA Aufruf von Powershell
- oleObject
- links
- "malformed zip"
- purged

Im Umkehrschluß kann jeder Verantwortliche prüfen, ob seine Vorkehrungen ausreichend sind.

Frage: Würden Ihre Sicherheitskonzept solche Viren blockieren, auch bevor die Anti-Viren-Software anschlägt?



mfg
Mitglied: Lochkartenstanzer
08.07.2020 um 09:09 Uhr
Zitat von Fennek11:

Frage: Würden Ihre Sicherheitskonzept solche Viren blockieren, auch bevor die Anti-Viren-Software anschlägt?

Ja.

lks
Bitte warten ..
Mitglied: sabines
08.07.2020 um 09:47 Uhr
Moin,

ebenfalls ja.

Gruss

NB:
Da das meiste davon per Mail oder Link den Weg ins Haus sucht, gehört eine ordentliche Firewall, Content Filter Systeme und Sperren sowie eine Mail Appliance vor das Netz.
Bitte warten ..
Mitglied: NetzwerkDude
08.07.2020 um 10:06 Uhr
Nein, weil die User einfach das MS Office weiterbenutzen wollen, kann ich nicht für sicherheit sorgen ¯\_(ツ)_/¯
Bitte warten ..
Mitglied: ArnoNymous
08.07.2020 um 10:08 Uhr
Zitat von Fennek11:

Hallo,


Frage: Würden Ihre Sicherheitskonzept solche Viren blockieren, auch bevor die Anti-Viren-Software anschlägt?



Moin,

ja.
Idealerweise kommt die Schadsoftware gar nicht bis zur AV-Software durch. Wenn diese Alarm schlägt, ist es ja fast schon zu spät. Schlimmer ist es nur, wenn sie es nicht tut ;)

Gruß
Bitte warten ..
Mitglied: ASP.NET.Core
08.07.2020, aktualisiert um 11:51 Uhr
Zitat von ArnoNymous:
Idealerweise kommt die Schadsoftware gar nicht bis zur AV-Software durch. Wenn diese Alarm schlägt, ist es ja fast schon zu spät.

Fast? Dann IST es zu spät. AV sind ein eigener Angriffsvektor, weil hochkomplexe Black-Box. Wer jetzt aber glaubt, deswegen würden die AV-Hersteller besondere Sorgfalt walten lassen und überdurchschnittliche Qualitätsanforderungen in ihrer Software durchsetzen, der outet sich als äußerst naiv:

Nur mal ein aktuelles Beispiel:
Avast führt verdächtigen Code innerhalb eines hoch privilegierten Prozesses aus, ohne dass dieser in einer Sandbox eingesperrt ist. Das ist in etwa so, als ob der Wächter in einem Lager mit Pulverfässern mit brennenden Fackeln jongliert.

Zitat von ArnoNymous:
Schlimmer ist es nur, wenn sie es nicht tut ;)

Also wenn der User die Schadsoftware ausgeführt hätte, läuft die in einer vernünftig konfigurierten Umgebung nicht mit root Rechten und kann somit weniger Schaden anrichten. Das sollte ausreichen, um ein großes Fragezeichen hinter diese Aussage zu packen.

Ich finde es sowieso erschreckend, wie viele auch im Jahre 2020 noch den Virenscannern zu vertrauen scheinen. Laut AV-Test Institut gibt es über 350.000 Schadprogramme pro TAG. Selbst wenn ein Virenscanner eine Erkennungsrate von 99% besitzt (was ich schon für optimistisch halte, aber gehen wir mal vom besten Falle aus) heißt das, der erkennt 3.500 Schädlinge nicht - und das jeden Tag, unter optimalen Bedingungen. Morgen sind es schon 7000. Lassen wir ein WE verstreichen, ist die 10.000er Marke geknackt.

Solche Zahlen sind natürlich mit Vorsicht zu genießen, da es schlicht unmöglich ist, sämtliche Schadsoftware zu kennen. Aber sie zeigen einem, in welchen Dimensionen wir da agieren. Ob die Erkennungsrate am Ende bei 99%, 90% oder auch nur 50% liegt, ist mit Weitblick zweitrangig wenn man bedenkt, dass nur EIN Schädling reicht, um den GAU auszulösen. Und die oben beispielhaft angesprochene Gefahr durch AVs selbst ist hier noch gar nicht einkalkuliert.

Deswegen finde ich die Frage vom TE interessant:
Er impliziert ja eben, dass die Sicherheit außerhalb von AVs stattfinden sollte, dem ich nur zustimmen kann. Bei mir im Betrieb ist das großteils auch bereits implementiert. Einzige Ausnahme sind aktuell Powerpoint Dateien. Das hat MS wieder mal hervorragend gemacht, dass man ohne Makros keinen Seitenzähler da rein bekommen hat. Als Workaround wird evaluiert, die wenigstens zu signieren. Zumindest der Rest wird aber gefiltert. Wenn der Benutzer meint die Daten zu brauchen, wendet er sich an die IT. Der Second Level Support prüft das dann ggf. Ist aber die Ausnahme.

Durch Schulung und Sensibilisierung haben viele Benutzer meines Eindrucks nach auch bereits ein grundlegendes Verständnis bekommen. Es gibt viele Phishingversuche und oft bekommen wir das mit bevor Schaden entstehen kann, weil die Leute das erkennen und sich an den Support wenden. Dementsprechend kommt es selten vor, dass jemand tatsächlich den Anhang Bewerbungsunterlagen.zip.exe haben möchte.
Bitte warten ..
Mitglied: ArnoNymous
08.07.2020 um 11:52 Uhr
Zitat von ASP.NET.Core:

Zitat von ArnoNymous:
Idealerweise kommt die Schadsoftware gar nicht bis zur AV-Software durch. Wenn diese Alarm schlägt, ist es ja fast schon zu spät.

Fast? Dann IST es zu spät. AV sind ein eigener Angriffsvektor, weil hochkomplexe Black-Box. Wer jetzt aber glaubt, deswegen würden die AV-Hersteller besondere Sorgfalt walten lassen und überdurchschnittliche Qualitätsanforderungen in ihrer Software durchsetzen, der outet sich als äußerst naiv:

Nur mal ein aktuelles Beispiel:
Avast führt verdächtigen Code innerhalb eines hoch privilegierten Prozesses aus, ohne dass dieser in einer Sandbox eingesperrt ist. Das ist in etwa so, als ob der Wächter in einem Lager mit Pulverfässern mit brennenden Fackeln jongliert.

Zitat von ArnoNymous:
Schlimmer ist es nur, wenn sie es nicht tut ;)

Also wenn der User die Schadsoftware ausgeführt hätte, läuft die in einer vernünftig konfigurierten Umgebung nicht mit root Rechten und kann somit weniger Schaden anrichten. Das sollte ausreichen, um ein großes Fragezeichen hinter diese Aussage zu packen.


Stimmt, weil ich ja davon sprach, das AV-Software die einzige Sicherheitsmaßnahme darstellen sollte. Kannst dein großes Fragezeichen wieder einpacken, bitte.

Ich finde es sowieso erschreckend, wie viele auch im Jahre 2020 noch den Virenscannern zu vertrauen scheinen. Laut AV-Test Institut gibt es über 350.000 Schadprogramme pro TAG. Selbst wenn ein Virenscanner eine Erkennungsrate von 99% besitzt (was ich schon für optimistisch halte, aber gehen wir mal vom besten Falle aus) heißt das, der erkennt 3.500 Schädlinge nicht - und das jeden Tag, unter optimalen Bedingungen. Morgen sind es schon 7000. Lassen wir ein WE verstreichen, ist die 10.000er Marke geknackt.

Solche Zahlen sind natürlich mit Vorsicht zu genießen, da es schlicht unmöglich ist, sämtliche Schadsoftware zu kennen. Aber sie zeigen einem, in welchen Dimensionen wir da agieren. Ob die Erkennungsrate am Ende bei 99%, 90% oder auch nur 50% liegt, ist mit Weitblick zweitrangig wenn man bedenkt, dass nur EIN Schädling reicht, um den GAU auszulösen. Und die oben beispielhaft angesprochene Gefahr durch AVs selbst ist hier noch gar nicht einkalkuliert.

Diesen Gedanken finde ich höchst abwegig. Nur weil ein Produkt keine 100%ige Sicherheit beitet, wird sie dadurch nicht nutzlos.
Ein Sicherheitsgurt oder die Grippeimpfung bieten das auch nicht, trotzdem nutzt man sie. Ein Sicherheitskonzept besteht natürlich immer aus einer Vielzahl von Komponenten und Maßnahmen. Sorry, dass man hier nicht immer das komplette Lehrbuch ausbreitet, wenn jemand eine gezielte Frage stellt. Aber gibt manchen dann natürlich immer die Möglichkeit mal wieder ein wenig den Experten raushängen zu lassen.
Bitte warten ..
Mitglied: ASP.NET.Core
08.07.2020 um 13:46 Uhr
Zitat von ArnoNymous:
Stimmt, weil ich ja davon sprach, das AV-Software die einzige Sicherheitsmaßnahme darstellen sollte. Kannst dein großes Fragezeichen wieder einpacken, bitte.

Das habe ich nie behauptet. Deine Antwort hat wenig mit der von mir zitierten Aussage zutun, in der es darum geht, dass der Virenscanner die Schadsoftware mit root Rechten analysiert ohne das ganze wenigstens in einer Sandbox laufen zu lassen. Außer du meinst damit, es bräuchte Virenscanner für den Virenscanner. Dann ist aber die Frage, zu wie vielen Layern und wie viel Komplexitität das noch führen soll, womit wir schnell wieder beim Thema des tatsächlichen Sicherheitsgewinn solcher Software landen.

Zitat von ArnoNymous:
Diesen Gedanken finde ich höchst abwegig. Nur weil ein Produkt keine 100%ige Sicherheit beitet, wird sie dadurch nicht nutzlos.

Die Aussage, dass es nur dadurch nicht nutzlos wird, ist zwar prinzipiell richtig. Aber man muss sich eben nicht nur einseitig den möglichen den Nutzen anschauen, sondern auch den möglichen Schaden. Also eben nicht "nur" auf die nicht vorhandene 100%tige Sicherheit schauen. Darum ging es in meinem letzten Beitrag.

Zitat von ArnoNymous:
Ein Sicherheitsgurt oder die Grippeimpfung bieten das auch nicht, trotzdem nutzt man sie.

Auch da hat man beides gegeneinander aufgewogen und beim Sicherheitsgurt festgestellt: Einer sehr geringen Anzahl an Gurtunfällen steht einer weitaus größeren Anzahl an reduzierten Verletzungen gegenüber. Somit macht das Sinn und ist vernünftig.

Bei Virenscannern ist das dagegen nicht so eindeutig:
- Keiner weiß genau wie viele Viren und Infektionen es gibt, zumal sich das ständig ändert
- Die Opfer selbst wissen teils gar nicht, dass sie infiziert sind, weil die Schadsoftware z.B. ein Werbebot ist, ein Botnet dass auf eine gewisse Größe für einen Angriff wartet, informationen über das Umfeld sammelt um ihn später damit zu erpressen, ...
- Wie hoch die gesamte Erkennungsrate eines AV ist, weiß auch keiner (sieht man schön daran, wie weit die Ergebnisse von Herstellern und unabhängigen Sicherheitsforschern teils auseinander gehen)
- AVs sind komplex und können Lücken im Kern, in einem der vielen Parser, in Erweiterungen (z.B. Browser) uvm aufweisen
- Ganz zu schweigen von den ganzen Wundermitteln, die als "Zusatz" mit drin sind: Firewall, Webfilter, Exploitfilter usw.
- Aufgrund der vollen Rechte sind Lücken besonders schwerwiegend und können schwere Schäden verursachen bis hin zur Zerstörung des gesamten Systemes
- Sicherheitslücken im AV können daher eine Kompromittierung auch erst möglich machen - Die Botnetz-Betreiber sind bestimmt große Symantec Fans

Hier können wir also nicht einfach Tests durchführen und in die Statistiken schauen wie beim Beispiel des Sicherheitsgurtes. Dort sieht man ja bereits sehr deutlich, wie die Unfalltoten dadurch massiv sinken statt zu steigen, während parallel immer mehr Menschen Auto fahren. Es gibt also keinerlei Anhaltspunkte, dass die Nachteile den Vorteilen auch nur ansatzweise überwiegen.

Wir haben auf der einen Seite AVs, die oft schlampig programmiert worden zu sein scheinen, wenn man sich die Exploits der letzten Jahre anschaut (da gibts noch weit mehr als nur die paar hier gezeigten Beispiele). Darüber hinaus sind sie komplex mit zig Funktionen, was schon mal im Gegensatz zu gängigen Best-Practices steht.

Dann sollte man sich mal vor Augen halten, wie ein AV funktioniert. Software-Binaries zu analysieren dauert Tage oder sogar Wochen, vor allem wenn der Entwickler sie dagegen schützt. Das kann ein AV nicht einfach herzaubern, auch nicht mit Cloud. Also muss getrickst werden, womit wir uns von seriöser Bedrohungsabwehr doch etwas entfernen. Als Kollateralschaden kommt es regelmäßig zu Problemen mit anderen Programmen, teils sogar mit Windows selbst. Es kann also passieren, dass man z.B. nach einem Update nicht mehr vernünftig arbeiten kann. Ist zwar keine Schadsoftware, aber dennoch ein (zeitlicher) Schaden.

Als Konsequenz daraus kann ein Virenscanner gar nicht alles erkennen. Bei neuer Schadsoftware (die es regelmäßig gibt) wird nur ein Bruchteil erkannt, wenn die Verhaltenserkennung nicht anschlägt. Erst später kennen die AVs die Software und liefern Signaturen nach. Oft liefern auch die Banditen nach (Stichwort FUD) und das Katz-und-Maus-Spiel geht wieder von vorne los. Bei jeder Änderung können zahlreiche Opfer erfolgreich infiziert werden. Verhält sich die Schadsoftware unauffällig, merken es die AVs ggf auch erst noch später.

Nicht zu missachten ist auch, dass die AVs natürlich selbst Daten sammeln um neue Signaturen generieren zu können. Somit ist mindestens mit Metadaten zu rechnen, eventuell sogar mit dem Abfluss von Inhaltsdaten. Gerade wenn es um sensible Daten geht, sollte das auch bedacht werden.

Soweit mal zu den Fakten. Worüber man nun diskutieren kann, ist, welche Seite der Wage schwerer wiegt. Und worüber man auch diskutieren sollte: Ob die richtigen Gewichte auf der Wage liegen. Denn wie bereits gesagt ist es keineswegs so, dass man zwingend und alternativlos ein AV einsetzen muss. Schon gar nicht flächendeckend überall.

Mit dem Sicherheitsgurt ließe sich das nur vergleichen, wenn der Sicherheitsgurt regelmäßig wegen schlechter Qualität reißen und immer wieder auch mit Brennen anfangen würde, sodass er die ansonsten nur leicht verletzten Insassen auch mal tötet. Dann haben wir eine unvollständige und zerstörerische Wirkung, wie sie auch bei AVs der Fall ist. Unter diesen Umständen würde man auch neu hinterfragen, ob ein derartiger Sicherheitsgurt insgesamt mehr Vor- oder Nachteile bietet. Durch den Gurtbrand könnten auch umliegende Menschen oder Dinge beschädigt werden (weitere Autos brennen, Benzintank, Häuser etc), vergleichbar mit einer Infektion von anderen PCs im Netzwerk, wenn aufgrund des AVs der PC kompromittiert wurde.

Das ist natürlich nüchtern betrachtet hypothetisch und unsinnig. Wenn hier nun die Frage aufkommt, warum ein Gurt plötzlich brennen sollte, wurde das Beispiel nicht verstanden. Erst mit diesen Umständen würden Sicherheitsgurt und AV vergleichbar, weil ein Sicherheitsgurt viele Vorteile mit sehr wenig Nachteilen bietet, ein AV dagegen eine deutlich längere und schwerwiegendere Liste an möglichen "Kollateralschäden". Spätestens jetzt sollte deutlich werden, warum Virenscanner in der IT deutlich umstrittener sind als Sicherheitsgurte ;)

Zitat von ArnoNymous:
Ein Sicherheitskonzept besteht natürlich immer aus einer Vielzahl von Komponenten und Maßnahmen. Sorry, dass man hier nicht immer das komplette Lehrbuch ausbreitet, wenn jemand eine gezielte Frage stellt. Aber gibt manchen dann natürlich immer die Möglichkeit mal wieder ein wenig den Experten raushängen zu lassen.

So natürlich ist das bei allen eben nicht. Gibt (unabhängig von diesem Thema) noch genug Kandidaten, die sich einen Virenscanner installieren und sich dann für unbesiegbar halten, weil der Hersteller vollen Schutz vor allem verspricht mit Cloud und sonst was. Musst doch nicht gleich unsachlich werden und abwertend reagieren, weil wir da scheinbar unterschiedliche Erfahrungen haben.
Bitte warten ..
Ähnliche Inhalte
E-Mail
Spam zum Freitag
Information von Ex0r2k16E-Mail2 Kommentare

Hier mal eine echte Perle: Das "All Rights Reserved" made my day :D

Humor (lol)
Nachtrag vom Freitag
Frage von Dilbert-MDHumor (lol)5 Kommentare

Mahlzeit! Freitag. Es ist schon dunkel. Aufgeregter Anrufer: " mein DATEV-Programm funktioniert nicht mehr" {Ja sicher. Es ist ja ...

Microsoft Office

Verständnis Frag MS 365 ohne Exchange nutzen aber mit eigener Email

Frage von OSelbeckMicrosoft Office11 Kommentare

Hallo zusammen, ich habe ein Office 365, möchte nicht immer die .onmicrosfotblabla adresse eingeben, ist ja auch nicht ganz ...

Humor (lol)

Spaß am Freitag mit der Telefonnummer 0365987452

Erfahrungsbericht von beidermachtvongreyscullHumor (lol)4 Kommentare

Hallo Kollegen, ich bin nun Opfer einer dieser berüchtigten Anrufe geworden, bei denen ein -in meinem Fall stark indisch ...

Neue Wissensbeiträge
Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 1 TagMonitoring1 Kommentar

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 3 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Humor (lol)
! ! Today ist SysAdmin-Day ! !
Information von VGem-e vor 4 TagenHumor (lol)5 Kommentare

Moin, "Happy Birthday" an alle Systemadministratoren, Mausschubser, System-/EDV-Betreuer, SysOps etc!! Siehe auch. Edit (Video hinzugefügt): Gruß VGem-e

Exchange Server
Basic Authentication and Exchange Online
Information von Dani vor 6 TagenExchange Server

Today we are pleased to announce some new changes to Modern Authentication controls in the Microsoft 365 Admin Center, ...

Heiß diskutierte Inhalte
Google Android
Handy gehackt ? - Gegemassnahmen
Frage von hushpuppiesGoogle Android26 Kommentare

Hallo zusammen, folgendes Szenario: Kollegin kommt heute zu mir und erzählt, dass ihre Tochter gestern über WhatsApp von einem ...

Google Android
Smartphone - Internes Radio auf Bluetooth Lautsprecher abspielen
Frage von emeriksGoogle Android25 Kommentare

Hi, vielleicht kann ja einer von Euch auch sowas beantworten. Ich habe hier ein Samsung Smartphone - S10 Lite. ...

Cloud-Dienste
Cisco 8841 - Enter activation code
gelöst Frage von c0d3.r3dCloud-Dienste21 Kommentare

Guten Morgen, ich habe gerade von einem Mitarbeiter den Hinweis bekommen, dass sein Telefon (Cisco 8841) einen Welcome-Screen mit ...

Ausbildung
Wie wird man zum Systemadministrator?
gelöst Frage von DavidHergAusbildung21 Kommentare

Guten Abend zusammen, Ich hatte hier schon ein paar Fragen gestellt, und mir wurde super weiter geholfen! Ich mache ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...