Nutzen von Virenscannern
Farbcodierungen:
In den untenstehenden Betrachtungen werden Farben benutzt, um die
Vor- und Nachteile einzelner Methoden herauszuheben, so dass man ggf.
schnell querlesen kann:
Rot gesetze Passagen kennzeichnen Nachteile
und Einschränkungen der jeweiligen Methode.
Grün kennzeichnet Vorteile.
Orange weise auf Problemfelder und Zweifelsfälle
hin.
Szenario 1
Ausführbare Mailwürmer mit Verbreitung durch Userklick
a) Virenscanner
Wenn der Schädling bekannt ist, kann der Scanner ggf. eine Infektion
verhindern, wenn er korrekt installiert und konfiguriert ist.
Systembedingt gibt es aber eine gewisse Population, bei der der
Schutz zu spät kommt. Je schneller sich der Wurm verbreitet, desto
größer ist diese Population.
Für Fälle, in denen andere Maßnahmen nicht ergriffen werden können,
also eine sinnvolle Maßnahme zur Verringerung der Infektionszahl.
b) verringerte BenutzerrechteNutzerrechte
In der Regel existieren verschiedene Berechtigungsstufen, von denen die
oberste, der Administrator sich zumeist auch über
alle Schutzmaßnahmen hinwegsetzen kann - z.B. um Dateien aller Benutzer
backuppen zu können, oder verlorene Paßwörter zurücksetzen zu können.
Übliche moderne Betriebssysteme (Unix, Windows ab Windows NT) unterscheiden
verschiedene Benutzer und sind in der Lage, sie mit verschiedenen Rechten
auszustatten.
Dieser Mechanismus ist dazu gedacht, zu vermeiden, daß Benutzer versehentlich
oder auch absichtlich anderen Benutzern schaden, indem Sie z.B. deren Dateien
unberechtigt verändern oder den Zugriff auf das System verhindern.
Vielen Schädlingen dürften auch normale Nutzerrechte vollauf genügen,
um ihre Schadfunktion zu entfalten - schließlich wollen sie im
Wesentlichen Mail versenden, was ein normaler Benutzer üblicherweise
darf.
Evtl. stolpern einige weil sie nachlässig programmiert sind und
einfach AdministratorrechteAdministrator
Der Verwalter eines Computersystems. Der Begriff bezeichnet auch alle
Benutzer, deren Nutzerrechte es ermöglichen,
Sicherheitsmaßnahmen des Systems zu umgehen. Die Arbeit auf solchen
Benutzerkonten sollte auf Verwaltungsaufgaben beschränkt werden, da
Fehler besonders drastische Konsequenzen haben können.
voraussetzen.
Präventive Wirkung also gering,
aber ein Wiederaufsetzen des Systems wird
deutlich vereinfacht - es muss nämlich nicht der Rechner neu
aufgesetzt werden, sondern es genügt, die Userdaten zu sichern, den
Nutzer neu anzulegen und die (ggf. geeignet gefilterten) Benutzerdaten
zurückzuspielen.
c) Benutzeraufklärung und entsprechender Umgang mit Fremdbinaries
Lesen Sie dazu auch unseren Artikel über den Nutzen von Virenscannern.
Soweit durchführbar,
ist die präventive Wirkung
sehr hoch. Es gibt nur wenige Spezialfälle, in denen überhaupt ein
regelmäßiger, nicht speziell koordinierter Empfang von ausführbarem
Code notwendig ist.
Dieser Umgang kann durch geeignete Maßnahmen noch unterstützt werden.
Also hinreichend auffällige Warnungen im Client, ggf. auch administrative
Sperrung bestimmter Attachments, Sichtung durch einen entsprechend
qualifizierten Benutzer, Austausch von Binaries mit vertrauenswürdigen
Partnern nur per signierter Mail, etc.
Der Vorteil dieser Methode liegt in der nahezu
100%igen Schutzwirkung für sehr viele Szenarien.
Schlupflöcher bilden menschliche Fehler und mit
einem klassischen VirusVirus
Ein Programm, das in der Lage ist, sich in andere Programme einzuschleusen.
Diese Schädlingsklasse war verbereitet, als Daten und Programme noch
vorwiegend über Datenträger ausgetauscht wurden.
Moderne Schadprogramme sind genau genommen zumeist sog. Würmer oder
auch Mailwürmer, werden aber dennoch aus historischen Gründen häufig
als Virus bezeichnet.
d) technische Maßnahmen
Sofern eine Umsetzung von c) nicht erfolgversprechend erscheint, weil
z.B. die Benutzer nicht kooperieren (öffentliche Terminals), oder deren
entsprechende Ausbildung nicht praktikabel erscheint, kann man versuchen
einen ähnlichen Effekt mit technischen Mitteln durchzusetzen:
Das wären Software Restriction Policies, generelle Filterung von
potentiell ausführbaren Attachments, etc.
Die Schutzwirkung ist ähnlich hoch bis höher als
bei c)
mit dem Nachteil, dass evtl. dadurch die Arbeit
stärker erschwert wird und der administrative Aufwand steigt.
Wenn Binaries regelmäßig ausgetauscht werden müssen, ist diese Maßnahme
nicht durchführbar.
Szenario 2
Macroviren
a) Virenscanner
siehe Szenario 1, Punkt a)
b) verringerte BenutzerrechteNutzerrechte
In der Regel existieren verschiedene Berechtigungsstufen, von denen die
oberste, der Administrator sich zumeist auch über
alle Schutzmaßnahmen hinwegsetzen kann - z.B. um Dateien aller Benutzer
backuppen zu können, oder verlorene Paßwörter zurücksetzen zu können.
Übliche moderne Betriebssysteme (Unix, Windows ab Windows NT) unterscheiden
verschiedene Benutzer und sind in der Lage, sie mit verschiedenen Rechten
auszustatten.
Dieser Mechanismus ist dazu gedacht, zu vermeiden, daß Benutzer versehentlich
oder auch absichtlich anderen Benutzern schaden, indem Sie z.B. deren Dateien
unberechtigt verändern oder den Zugriff auf das System verhindern.
siehe Szenario 1, Punkt b)
Allerdings ist es noch etwas wahrscheinlicher, dass dem
Schädling normale Nutzerrechte genügen.
c) Benutzeraufklärung
Die Erkennung durch den Benutzer funktioniert
nur gut, wenn er eine vernünftige Indikation hat, dass ein Dokument
ggf. schädlichen Macrocode trägt.
Die üblichen Applikationen mit eingebautem
Macrointerpreter warnen eigentlich deutlich vor dem automatischen
Ausführen von Macros. Leider nehmen
viele Benutzer diese Warnungen nicht hinreichend ernst.
Die Wirkung dieser Warnung hängt stark davon ab, wie oft in regulären
Dokumenten entsprechende Warnungen auftreten.
Die Schutzwirkung variiert hier je nach Umfeld sehr stark.
d) technische Maßnahmen
Der Einsatz von Viewern, die die entsprechenden
Makrosprachen nicht interpretieren, aber den Dateiinhalt ausreichend
darstellen bzw. eine entsprechende Konfiguration des "normalen"
Anzeige-/Editierprogrammes, Makros zu ignorieren, erzielt eine gute
Schutzwirkung.
Es hängt stark von den Aufgaben der Benutzer ab,
ob solche Viewer akzeptabel sind. Wenn gemeinsam an Dokumenten gearbeitet
werden muss, sind sie zumeist nicht einsetzbar. In diesen Fällen kann
aber oft noch mit einem geeignet konfigurierten "normalen"
Anzeige-/Editierprogramm gearbeitet werden.
Szenario 3
Trojanische Pferde
a) Virenscannersiehe Szenario 1, Punkt a)
b) verringerte BenutzerrechteNutzerrechte
In der Regel existieren verschiedene Berechtigungsstufen, von denen die
oberste, der Administrator sich zumeist auch über
alle Schutzmaßnahmen hinwegsetzen kann - z.B. um Dateien aller Benutzer
backuppen zu können, oder verlorene Paßwörter zurücksetzen zu können.
Übliche moderne Betriebssysteme (Unix, Windows ab Windows NT) unterscheiden
verschiedene Benutzer und sind in der Lage, sie mit verschiedenen Rechten
auszustatten.
Dieser Mechanismus ist dazu gedacht, zu vermeiden, daß Benutzer versehentlich
oder auch absichtlich anderen Benutzern schaden, indem Sie z.B. deren Dateien
unberechtigt verändern oder den Zugriff auf das System verhindern.
Nicht relevant, da bei absichtlicher Installation
AdminrechteAdministrator
Der Verwalter eines Computersystems. Der Begriff bezeichnet auch alle
Benutzer, deren Nutzerrechte es ermöglichen,
Sicherheitsmaßnahmen des Systems zu umgehen. Die Arbeit auf solchen
Benutzerkonten sollte auf Verwaltungsaufgaben beschränkt werden, da
Fehler besonders drastische Konsequenzen haben können.
vorliegen werden.
c) Benutzeraufklärung
Problematisch.
Im Firmenumfeld mit entsprechend qualifizierter
IT-Abteilung eher problemarm,
im Privatumfeld sehr problematisch.
Der Nutzer will ja die betreffende Software
installieren.
d) technische Maßnahmen
In der Regel existieren verschiedene Berechtigungsstufen, von denen die
oberste, der Administrator sich zumeist auch über
alle Schutzmaßnahmen hinwegsetzen kann - z.B. um Dateien aller Benutzer
backuppen zu können, oder verlorene Paßwörter zurücksetzen zu können.
Nur im Firmenumfeld relevant: BenutzerrechteNutzerrechte
Übliche moderne Betriebssysteme (Unix, Windows ab Windows NT) unterscheiden
verschiedene Benutzer und sind in der Lage, sie mit verschiedenen Rechten
auszustatten.
Dieser Mechanismus ist dazu gedacht, zu vermeiden, daß Benutzer versehentlich
oder auch absichtlich anderen Benutzern schaden, indem Sie z.B. deren Dateien
unberechtigt verändern oder den Zugriff auf das System verhindern.
Szenario 4
Per ExploitExploit
Von engl. "ausnutzen". Ein Programm oder besonders gewählte Daten, die dazu
geeignet sind, einen Programmfehler zum eigenen Vorteil auszunutzen.
Dazu wird in der Regel eine unvorhergesehene Situation provoziert (z.B.
die Übertragung einer 300-stelligen Bankleitzahl, obwohl eigentlich nur
8 Zeichen eingegeben werden können), die dann einen fehlerhaften
Programmablauf verursacht, der für den Angreifer vorteilhaft ist.
Eine besonders wichtige Art des Exploits stellt der
Buffer Overflow dar.
gegen Browserkomponenten, Mailclients oder
andere Clients automatisch gestartete Malware.
a) Virenscanner
siehe Szenario 1, Punkt a)
Aufgrund der normalerweise hohen
Verbreitungsgeschwindigkeit dieser Malwareart ist mit einer
besonders großen Population von ungeschützten Systemen zu rechnen.
Des weiteren ist es evtl. schwierig, sich in alle relevanten
Eingangsdatenströme zu klinken.
c) Benutzeraufklärung
Kaum möglich.
Ggf. geringer Einfluss durch Auswahl der besuchten
Inhaltsanbieter möglich. (Web und andere Medien, bei denen man
die Inhalte vorwiegend aktiv bestimmt.)
Ich halte den Einfluss für gering, da es durch die zunehmende Verbreitung
von Werbeeinblendungen per IFRAME oder serverseitigem Include möglich
wird, durch Kompromittierung eines einzelnen Ad-Serve-Systems auch über
ganz seriöse Seiten Malware verbreiten zu können. Natürlich kann man
sein Riskio erheblich erhöhen, indem man besonders wenig vertrauenswürdige
Sites (Cracks, Serialz, Porn, etc.) besucht.
Kaum Einfluss bei Medien wie Mail.
d) technische Maßnahmen
Dazu wird in der Regel eine unvorhergesehene Situation provoziert (z.B.
die Übertragung einer 300-stelligen Bankleitzahl, obwohl eigentlich nur
8 Zeichen eingegeben werden können), die dann einen fehlerhaften
Programmablauf verursacht, der für den Angreifer vorteilhaft ist.
Eine besonders wichtige Art des Exploits stellt der
Buffer Overflow dar.
Aktuellhalten der Software, Einsatz stabiler Software, Nutzung von
Tools, die ExploitsExploit
Von engl. "ausnutzen". Ein Programm oder besonders gewählte Daten, die dazu
geeignet sind, einen Programmfehler zum eigenen Vorteil auszunutzen.
Die Schutzwirkung ist (zur Zeit) in der Regel
sehr gut. Zero Day Exploits sind relativ rar.
Szenario 5
Per ExploitExploit
Von engl. "ausnutzen". Ein Programm oder besonders gewählte Daten, die dazu
geeignet sind, einen Programmfehler zum eigenen Vorteil auszunutzen.
Dazu wird in der Regel eine unvorhergesehene Situation provoziert (z.B.
die Übertragung einer 300-stelligen Bankleitzahl, obwohl eigentlich nur
8 Zeichen eingegeben werden können), die dann einen fehlerhaften
Programmablauf verursacht, der für den Angreifer vorteilhaft ist.
Eine besonders wichtige Art des Exploits stellt der
Buffer Overflow dar.
gegen Dienste gestartete Malware
a) Virenscanner
siehe Szenario 4, Punkt a)
Die Schwierigkeiten des Einsatzes treten
hier allerdings noch ausgeprägter auf, da die Dienste oft sehr weit
verbreitet sind (große Populationsdichte) und ein Einklinken in ihre
Datenströme den Normalbetrieb stark beeinträchtigen kann und daher oft
nicht erfolgt.
Besonders ärgerlich ist, dass die weite Verbreitung der Dienste
völlig überflüssig ist. Für sehr viele Szenarien
werden diese Dienste gar nicht, oder nur innerhalb des LANs benötigt
und sollten daher abgeschaltet oder von außen nicht erreichbar sein.
b) verringerte BenutzerrechteNutzerrechte
In der Regel existieren verschiedene Berechtigungsstufen, von denen die
oberste, der Administrator sich zumeist auch über
alle Schutzmaßnahmen hinwegsetzen kann - z.B. um Dateien aller Benutzer
backuppen zu können, oder verlorene Paßwörter zurücksetzen zu können.
Übliche moderne Betriebssysteme (Unix, Windows ab Windows NT) unterscheiden
verschiedene Benutzer und sind in der Lage, sie mit verschiedenen Rechten
auszustatten.
Dieser Mechanismus ist dazu gedacht, zu vermeiden, daß Benutzer versehentlich
oder auch absichtlich anderen Benutzern schaden, indem Sie z.B. deren Dateien
unberechtigt verändern oder den Zugriff auf das System verhindern.
Nicht relevant, da die Dienste meist mit sehr
umfassenden Privilegien laufen.
c) Benutzeraufklärung
Nicht relevant, da die Dienste ohne
Nutzerinteraktion laufen.
d) technische Maßnahmen
Aktuellhalten der Software, Einsatz stabiler Software, Abschalten/
Unzugänglichmachen nicht benötigter Dienste, Nutzung von Tools, die
Exploits erschweren, Konfiguration der Dienste auf minimale
Privilegien.
Die Schutzwirkung ist in der Regel sehr gut.
Die Angriffsfläche kann oft massiv verringert werden. Zero Day
Exploits sind relativ rar.