Virenscanner-Info

Könnte jemand mal den Virenscanner-Herstellern beibringen, dass das Feature “Absender bezüglich enthaltenem Schädling benachrichtigen” sinnlos ist und nur zu Spam führt? Ich arbeite als normaler (hinsichtlich der Systemeinstellungen unprivilegierter) Benutzer, betrachte meine eMails als “plain Text”. Anhänge müsste ich abspeichern und dann erst ausführen (Sylpheed), wobei ich momentan noch auf Wine zurückgreifen müsste, um die Dinge zum Laufen zu bringen. Und trotzdem erhalte ich auf mein öffentliches eMail-Konto Verwarnungen von Software XYZ, weil in einer von mir empfangenen eMail ein Wurm enthalten wäre und ich doch mein System untersuchen sollte. Nachrichten über Gute Anti-Viren und Anti-Spam -Software gibt es hier.

Ich kann mir nicht vorstellen, daß die Hersteller noch nichts von gefälschten Absendern gehört haben. Ein Wurm sucht sich doch die nötigen Adressen aus Adressbüchern und dem Browser-Cache des befallenen PCs zusammen. Möglichkeit 1: Die Virenscanner-Hersteller bieten dies netterweise als Feature an und einige Kunden sind zu… unerfahren, es abzustellen. Möglichkeit 2: Diese Warnung soll unerfahrene Warn-eMail-Empfänger zum Laden/Kaufen der entsprechenden Anti-Viren-Software verleiten. Bei Möglichkeit 2 wäre das ganze dann ja schon mit ordinärem
Werbespam gleichzusetzen.

 Dies gilt erst recht für Liedchen Müller & Co: die brauchen gar keine Serverdienste für draußen; Richtig. Also schaltet man auf Rechnern für diese Leute selbige ganz einfach ab.So, und wie soll Liedchen Müller das bitte alleine hinkriegen? Eine Personal Firewall zu installieren schafft eigentlich jeder User, und es soll sogar Leute geben, die noch nie in ihrem Leben etwas über Ports, Dienste etc. gehört haben.  ußerdem: Wenn ein Benutzer keine Ahnung hat von Netzwerken, soll er

deiner Meinung nach eine Software installieren, welche zur Konfiguration Ahnung von Netzwerken voraussetzt (mal unabhängig vom Sinn oder Unsinn von? Schau Hier Um potentielle Angriffsflächen zu minimieren, muss man die Schwachstellen erstmal kennen. Dazu sind mind. 90% der Normaluser nicht in der Lage und denen ist mit einer PF sehr wohl geholfen. Du meinst, dass ein Skript auszuführen schwerer ist, als eine PFW zu installieren? Du meinst einer Schritt-für-Schritt-Anleitung zu folgen ist zu kompliziert für den Normalsterblichen? Du meinst 2-3 Seiten lesen und verstehen, die für DAUs geschrieben sind, können die Leute nicht? kopfschüttelnd Problematisch wird es allenfalls für Leute die im Internet auch zocken wollen — da stört so eine PFW etwas.

Da muss man die Sache dann halt umdrehen: alles eingehende freigeben, und die von den Serverdiensten verwendeten wie eine betriebliche altersvorsorge Also ich habe da wirklich gar keine Probleme. Jod, gib mir auch was von deinem Stoff.

Die Viren heutzutage nutzen die Rechner heute so zu sagen als Zeltplatz. Sie kommen mit ihrem tollen Deuter Rucksack an und schlagen dann ihre eigentlich sehr “tollen” Zelte im Rechner auf. Das bringt viele Leute zum Durchdrehn wenn sie nach 2 Wochen mal ihren Virenscanner durchlaufen lassen un sie dann solche Camper auf ihrem Rechner finden. Aber dank der guten Software, die einen Hund als Logo trägt, lassen sich auch diese Zelter verscheuchen.

> > > Es gab mehrfach Versuche, eine feingranulare Rechtevergabe in Linux
> > > vorzusehen. Durchgesetzt hat sich augenscheinlich kein Ansatz. Keine
> > > der groszen Distrubtionen bietet eine unterstuetzung feingranualrer
> > > Rechte an.
> >
> > NaJa, schau Dir mal ‘man setfacl’ und ‘man getfacl’ an > >
> Kennen wir/ich. Trotzdem sind diese Ansaetze nicht ausreichend weit
> unterstuetzt. Gruende siehe u.a. Beitrag von HErrn Schillling, muss
> ich hier nicht wiederholen …..
Ok. Für den Virenscanner würde es reichen, da man so einem weiteren
Nutzer dediziert Rechte zuweisen kann.
> > > Falls ich REchte feingestuft zuteilen kann, brauche ich auch keinen
> > > omnipotenten Root-Benutzer mehr, vgl Solaris.
> >
> > Und wer hat Das Recht derartige Rechte zu vergeben?
>
> Muss/Darf ein Prozess, welcher Rechte bzw Faehigkeiten an Objekte
> vergibt, diese Objekte auch erzeugen? OBjekt: z.B. ausfuehrbare
> DAtei, FAehigkeiten: ausgefuehrt zu werden ….
Ein Objekt welches das Recht hat Rechte zu vergeben kann sich selbst
auch die absoluten Rechte geben, selbst wenn es sie ursprünglich
nicht hat.
Wenn man dieses Einschränkt, dann kann es vorkommen, daß gewisse
Objekte überhauptnichtmehr zugreifbar sind (Weil ggf. die Rechte zum
Zugriff auf dieses Objekt nur dem Objekt selbst gewährt sind). Dies
ist aber garantiert nicht gewollt. Dementsprechend wird es in jedem
System einen Nutzer geben, welcher — direkt oder indirekt — alle
Rechte ausüben kann.
Tschau
Stm

href=”http://www.ecomdev.de/2008/09/01/vmware-fusion-20-mit-virenscanner/”>virenscannerrf ein Prozess, welcher Rechte bzw Faehigkeiten an Objekte
> > vergibt, diese Objekte auch erzeugen? OBjekt: z.B. ausfuehrbare
> > DAtei, FAehigkeiten: ausgefuehrt zu werden ….
>
> Ein Objekt welches das Recht hat Rechte zu vergeben kann sich selbst
> auch die absoluten Rechte geben, selbst wenn es sie ursprünglich
> nicht hat.
Wenn man das will, dann muesste man saemtliche Filesysteme erweitern.
Klar sind Loesungen denkbar bei denen ein ausfuehrbares File
zusaetzliche Metadaten bekommt die eine Rechteliste darstellen.
Das Problem ist hier aber, dasz dies wenig flexibel ist, weil man
nicht einem Binary unterschiedliche Moeglichkeiten nach den Rechten
der Nutzer geben kann.
Auszerdem bedeutete dies, dasz man zuzaetzlich ACLs braeuchte
die den Zugriff Regeln. Das bedeutet aber ein unwartbares System,
denn wenn man einen Ueberblick braeuchte welcher Nutzer welche
Rechte hat, muesste man alle Dateien im Filesystem abklappern.
> Wenn man dieses Einschränkt, dann kann es vorkommen, daß gewisse
> Objekte überhauptnichtmehr zugreifbar sind (Weil ggf. die Rechte zum
> Zugriff auf dieses Objekt nur dem Objekt selbst gewährt sind). Dies
> ist aber garantiert nicht gewollt. Dementsprechend wird es in jedem
> System einen Nutzer geben, welcher — direkt oder indirekt — alle
> Rechte ausüben kann.
Das ist nicht noetig.
Auf Systemen der Sicherheitsstufe “B” darf es sowas sogar nicht
geben. Die B-Klassifizierung legt fest, dasz ein Nutzer der
zuviele Einzelrechte zu akkumulieren versucht, aller Rechte zu
berauben ist.

virenscannerbt http://ntvscfg.de
>
> Kenn ich schon. Eignet sich aber nicht im geringsten, um von den DAUs
> aus meinem Freundeskreis verstanden geschweige denn nachvollzogen zu
> werden.
Was eine PFW tut, können sie genausowenig nachvollziehen. Nur hat das
Skript den Vorteil, dass es das zugrundeliegende Problem *löst*,
anstatt es nur zu verdecken.
> > Außerdem: Wenn ein Benutzer keine Ahnung hat von Netzwerken, soll er
> > deiner Meinung nach eine Software installieren, welche zur
> > Konfiguration Ahnung von Netzwerken voraussetzt (mal unabhängig vom
> > Sinn oder Unsinn von PFWs)?
>
> Um ein Progrämmchen wie ZoneAlarm zu installieren braucht man
> wirklich keinerlei Netzwerkkenntnisse,
Um es zu installieren nicht. Um es sinnvoll zu konfigurieren schon.
> da schon in der Standardkonfiguration alle offenen Ports von außen
> nicht mehr sichtbar sind.
Und bei Anwendung des oben genannten Skripts gibt es gar keine
offenen Ports mehr, die von aussen sichtbar sein könnten.
cu
59cobalt

> > > Muss/Darf ein Prozess, welcher Rechte bzw Faehigkeiten an Objekte
> > > vergibt, diese Objekte auch erzeugen? OBjekt: z.B. ausfuehrbare
> > > DAtei, FAehigkeiten: ausgefuehrt zu werden ….
> >
> > Ein Objekt welches das Recht hat Rechte zu vergeben kann sich selbst
> > auch die absoluten Rechte geben, selbst wenn es sie ursprünglich
> > nicht hat.
>
> Wenn man das will, dann muesste man saemtliche Filesysteme erweitern.
> Klar sind Loesungen denkbar bei denen ein ausfuehrbares File
> zusaetzliche Metadaten bekommt die eine Rechteliste darstellen.
> Das Problem ist hier aber, dasz dies wenig flexibel ist, weil man
> nicht einem Binary unterschiedliche Moeglichkeiten nach den Rechten
> der Nutzer geben kann.
Ließ Objekt hier als Nutzer. Ob das angesprochene Objekt ein Nutzer,
ein Executable (mit suid XYZ) o.ä. ist macht eigendlich wenig
unterschiede.
> Auszerdem bedeutete dies, dasz man zuzaetzlich ACLs braeuchte
> die den Zugriff Regeln. Das bedeutet aber ein unwartbares System,
> denn wenn man einen Ueberblick braeuchte welcher Nutzer welche
> Rechte hat, muesste man alle Dateien im Filesystem abklappern.
s.o. Die REchte eines Nutzers sind nur die die er selber hat. Alles
andere sind indirekte REchte.
> > Wenn man dieses Einschränkt, dann kann es vorkommen, daß gewisse
> > Objekte überhauptnichtmehr zugreifbar sind (Weil ggf. die Rechte zum
> > Zugriff auf dieses Objekt nur dem Objekt selbst gewährt sind). Dies
> > ist aber garantiert nicht gewollt. Dementsprechend wird es in jedem
> > System einen Nutzer geben, welcher — direkt oder indirekt — alle
> > Rechte ausüben kann.
>
> Das ist nicht noetig.
>
> Auf Systemen der Sicherheitsstufe “B” darf es sowas sogar nicht
> geben. Die B-Klassifizierung legt fest, dasz ein Nutzer der
> zuviele Einzelrechte zu akkumulieren versucht, aller Rechte zu
> berauben ist.
Hilfe. Ich möchte garnicht erst wissen wie man so ein System nach
einem Crash aus dem Backup wiederherstellen soll… Ganz zu schweigen
wie man erst ein Backup macht…
Tschau
Stm

> > Auszerdem bedeutete dies, dasz man zuzaetzlich ACLs braeuchte
> > die den Zugriff Regeln. Das bedeutet aber ein unwartbares System,
> > denn wenn man einen Ueberblick braeuchte welcher Nutzer welche
> > Rechte hat, muesste man alle Dateien im Filesystem abklappern.
>
> s.o. Die REchte eines Nutzers sind nur die die er selber hat. Alles
> andere sind indirekte REchte.
Wenn Du das so siehst, dann denkst Du noch zu sehr in alten
Kategorien.
> > > Wenn man dieses Einschränkt, dann kann es vorkommen, daß gewisse
> > > Objekte überhauptnichtmehr zugreifbar sind (Weil ggf. die Rechte zum
> > > Zugriff auf dieses Objekt nur dem Objekt selbst gewährt sind). Dies
> > > ist aber garantiert nicht gewollt. Dementsprechend wird es in jedem
> > > System einen Nutzer geben, welcher — direkt oder indirekt — alle
> > > Rechte ausüben kann.
> >
> > Das ist nicht noetig.
> >
> > Auf Systemen der Sicherheitsstufe “B” darf es sowas sogar nicht
> > geben. Die B-Klassifizierung legt fest, dasz ein Nutzer der
> > zuviele Einzelrechte zu akkumulieren versucht, aller Rechte zu
> > berauben ist.
>
> Hilfe. Ich möchte garnicht erst wissen wie man so ein System nach
> einem Crash aus dem Backup wiederherstellen soll… Ganz zu schweigen
> wie man erst ein Backup macht…
Ganz einfach: Du brauchst mit der Rolle als Backup Administrator nur
das Recht “star” aufzurufen und das System gibt dem Programm
star (wenn von Dir gestartet) die Rechte beliebige lokale
Files zu schreiben und beliebige lokale chown’s zu machen.

virenscannere REchte eines Nutzers sind nur die die er selber hat. Alles
> > andere sind indirekte REchte.
>
> Wenn Du das so siehst, dann denkst Du noch zu sehr in alten
> Kategorien.
Mag sein, aber das Problem ist sonst vermutlich nicht deterministisch
lösbar (bzw. zumindest exponentiell mit der Anzahl der Dateien die
indirekte Rechte haben (können)).
> > Hilfe. Ich möchte garnicht erst wissen wie man so ein System nach
> > einem Crash aus dem Backup wiederherstellen soll… Ganz zu schweigen
> > wie man erst ein Backup macht…
>
> Ganz einfach: Du brauchst mit der Rolle als Backup Administrator nur
> das Recht “star” aufzurufen und das System gibt dem Programm
> star (wenn von Dir gestartet) die Rechte beliebige lokale
> Files zu schreiben und beliebige lokale chown’s zu machen.
Lesen muß ich sie auch (sonst kann ich sie schlecht sichern) Aber
damit ist der Angriff doch schon möglich. Ich muß nur dafür sorgen,
daß aus dem Backup repository die Datei mit der die Rechtevergabe
geregelt wird neu geschrieben wird. Als Backup Administrator dürftest
Du auch zugriff auf die Bänder haben und kannst diese dann außerhalb
manipulieren. (Wenn Du jetzt mit Checksummen usw. kommst, Auf die
Schlüssel zur Erzeugung brauche ich auch Zugriff — abgesehen davon
daß sie auch irgendwo im Backup stehen dürften). Das ist zugegebener
maßen sehr vereinfacht — da Du ja nur den einzelnen Programmen die
REchte gibst für mich zu lesen — aber auf diesem Weg sollte es
trotzdem möglich sein belibige REchte zu erhalten.
Tschau
Stm

> > Wenn sie das nicht müssen, dann schaltet man diese Dienste ab. Ganz
> > einfach. Dazu braucht man keine Firewall, schon gar keine, die aus
> > Prinzip nicht funktionieren kann.
a) Personalfirewalls funktionieren.
b) Abschalten ist problematisch: schalte mal den Dienst ab über
den der Blaster reingekommen ist.
> > Richtig. Also schaltet man auf Rechnern für diese Leute selbige ganz
> > einfach ab.
Nun, da kommt ein Problem auf: entweder geht das nicht,
oder (ich bin kein Windows-Profi) ich *kenne* die Dienste
und ihre Optionen schlichtweg nicht.
Ich habe auch auf meinen Linux-Kisten die PFWs an; dort sind
“interne” Server zwar, wenn möglich, so konfiguriert daß sie
nicht auf ppp und ipsec lauschen — aber sicher ist sicher.
> > > — und das sogar
> > > ohne Wartungsaufwand (d.h. man richtet das Ding bei
> > > der Inbetriebnahme ein und fertig).
> >
> > Erzähl noch mehr von Deinen Märchen.
Wo ist denn Wartungsaufwand nötig? Vergiß nicht — ich
rede von Lieschen Müller, andererorts auch “Otto Normal”
genannt. Lieschen und Otto brauchen heute keine Server,
und morgen auch nicht.
> > > Problematisch wird’s allenfalls für Leute die im Internet
> > > auch zocken wollen — da stört so eine PFW etwas. Da
> > > muß man die Sache dann halt umdrehen: alles eingehende
> > > freigeben, und die von den Serverdiensten verwendeten
> > > Ports sperren.
>
> Also ich habe da wirklich gar keine Probleme.
Das liegt aber daran daß Du Deine PFW umkonfigurieren kannst.
Ich gehe dagegen nicht von mir selber aus sondern von meinen
Eltern: dort kann ich halt gelegentlich mal Hand an die Kiste
legen wenn ich sie besuche, und sonst hat die Kiste zu laufen:
ohne Popups, ohne Probleme, ohne Sicherheitslöcher, ohne
Administration. Ohne Personalfirewall wäre das Chaos und
ständige Rumtelefoniererei (”jetzt dorthin klicken, dann
dahin, …) um irgendwelche Updates rechtzeitig auf die
Kiste zu bringen — so ist das Update gegen den Blaster
halt an Weihnachten auf der Büchse gelandet (das Problem mit
dem automatischen Update ist daß ich noch nicht weiß ob
das funktioniert wenn die Kiste nie mit Admin-Rechten
gebootet wird… und ob man es komplett silent stellen
kann (keine Progressanzeigen, keine Aufforderung zum
reboot, kein reboot).
Bei Gelegenheit werde ich mich zwar mal damit beschäftigen
müssen einen “unsichtbaren” VPN-Tunnel zu mir einzurichten
so daß ich ggfs. über einen VNC-Server oder RDP (letzteres
kenne ich noch nicht… insbesondere weiß ich nicht ob man
dafür noch zusätzliche Software braucht, oder was es kann)
Zugriff auf die Kiste habe, aber auch da kann ich nicht
ständig aktiv sein — das wäre ein Notfallzugang. Und VNC
über eine Leitung wo ein 56K Modem auf der einen und TDSL
auf der anderen Seite sitzt ist garantiert auch kein Spaß Alles was ich da aber bisher “weiß” ist daß XP bereits
IPSec kann und Linux kein PPTP, so daß zumindest die
Protokollfrage schon geklärt ist Und für mich selber
brauche ich das eigentlich auch — derzeit gilt mein
gesamter LAN-Traffic als “gut” und darf z.B. durch den
VPN in die Firma, weshalb ich bei LAN-Parties einfach
den Tunnel abstelle. Besser ist es aber natürlich einfach
auf den Desktops einen Tunnel zum Gateway einzurichten
und nur Traffic aus dem LAN-Tunnel in den Firmen-Tunnel
zu lassen In diesselbe Richtung gehen auch andere Ãœberlegungen —
beispielsweise könnte man versuchen über den VPN-Tunnel
eine Art inkrementelles Backup anzufertigen das halt
unsichtbar läuft solange die Kiste online ist; das dürfte
aber, selbst wenn ich geeignete Software finde, schon
daran scheitern daß kurze Modemverbindungen die Datenmengen
wie sich durch Word-Dateien entstehen wahrscheinlich
nicht transportieren können und das Backlog für’s Backup
daher ständig wachsen wird…
Oder ich beschränke mich nicht darauf meinen Eltern zu
erklären daß man keine Attachments startet, sondern route
die Mails durch meine Kiste (VPN-Tunnel = Authentifizierung,
und ich öffne keine zusätzlichen Angriffspunkte) und
installiere dort einen Spamfilter der sich automatisch
updated — das umgeht dann auch die Probleme mit dem
Zeitlimit bei web.de. Das sind derzeit aber nur
Ãœberlegungen was ich verbessern könnte, wenn ich mal
die Zeit dafür finde (haha… ich komme ja nichtmal
dazu die Brennsoftware auf meinem Server zusammenzubasteln,
oder dort einen IMAP-Server für mich einzurichten…).
Das ist auch aus Usersicht unproblematisch, da ich ja
nur die OE-Einstellungen anpassen muß und sich für meine
Eltern nichts ändert.
Hm… ich glaube ich bin etwas abgeschweift Aber egal;
Sicherheits- und Wartungspolicies für den elterlichen
Rechner und Sicherheitspolicies für Firmennetze unterscheiden
sich halt nunmal ziemlich stark.
Christian