Original von Fotos4Fans (Schneeshootings)
[quote] Original von Pixelspalter [quote] Original von kleine|details
Der Punkt ist einfach, es ist unerheblich, ob du 1000 oder 100000 von unendlich vielen Viren erkennen kannst. Das Problem muss an der Wurzel angegangen werden. D.h. Angriffsfläche verringern, verzichten und immer schön alle Daten sichern. Nun da stimme ich Dir uneingeschränkt zu. Nur solange nicht alle(!) Lücken gefixt sind brauche ich Erkennungsmechanismen für Software,die diese Lücken ausnutzen könnte.

Nur gibt es die nicht. [/quote]

doch, gibts es.
Deine Abneigung gegen Virenscanner ist nicht zu verstehen. Ein Virenscanner kann auch 'neue' Maleware finden.
[/quote]

Ja, nennt sich Heuristik. Hatten wir schon.

Original von Fotos4Fans (Schneeshootings)
was nicht heist, dass es ein 100% Schutz ist
was nicht heist, seinen Kopf nicht einzuschalten und z.B. als User nicht auf alles zu klicken

Darum geht es garnicht - dieses "nicht auf alles klicken" wird immer schnell gebracht, ist aber viel differenzierter zu betrachten. In der Tat muss mein System so funktionieren, dass ich mir anschauen kann, was ich will, ohne mir Tod & Teufel zu holen. Dabei hilft mir ein Virenscanner nichts. D.h. mein Mailprogramm ist ein Mailprogramm, sonst nichts. Anhänge werden nicht ausführbar gespeichert und auch nicht als Programmcode ausgeführt. Das Programm läuft unter einem extra User, der nur zu den nötigsten Verzeichnissen Zugriff hat. Das gilt auch für den Browser und Anwendungen, mit denen ich die Dateien öffne. PDF-Betrachter sind Minimalprogramme, die kein Javascript oder Plugins ausführen.
Mein Datenbackup ist immer aktuell.

Original von Fotos4Fans (Schneeshootings)
zu deinem angesprochenen 'sicheren' System gehört eben auch ein 'Program', das dieses System überwacht

Das kann es aber garnicht, auch wenn das so oft erzählt wird.

k|d

Original von Pixelspalter
Mit steigender Rechenpower und Erfahrung werden auch diese automatischen Erkennungen besser.
Daß so etwas funktioniert kann man schon am Erfolg von vielen Spam-Filtern bemessen, die erfolgreich erwünschte von unerwünschten Mails trennen (die kann man ja aber nach Deiner Taktik auch gleich ausschalten ;)

Korrekt. Spamfilter funktionieren ausschließlich mit riesigen Datenbanken. Heuristik bringt nicht viel, erklärte mir gerade erst ein Computerlinguist mit Masterarbeit zu dem Thema.

Original von netAction
So isses. Intrusion Detection heißt: Ich erkenne einen Eindringling und schlage Schaum.

Und auch wenn es dann schon zu spät ist....genau darum geht es.
Erst mal ist ein erkannter Schädling schlagartig wertloser geworden als jeder der noch unsichtbar im Hintergrund agieren kann. Wer weiß wie lange Stuxnet schon sein Unwesen getrieben hat, bevor man ihn gefunden hat? Und der ist auch nur indirekt anhand seiner Auswirkungen erkannt worden

Und ein Schädling der an einer Stelle erkannt wurde kann anschließend weltweit bekämpft werden. Auch über das Schließen der Sicherheitslücke.
Aber wenn ich gar nicht ahne, daß es eine Lücke gibt, weil mir noch keine Software aufgefallen ist, die diese ausnutzt.....dann bin ich wirklich schlecht drann.

Auch für die Firma, die infiziert wurde ist eine Erkennung mehr als wichtig. Sie kann weiteren Schaden verhindern.
Und wenn ich es mir aussuche, ob 1TB an Daten von einem Trojaner abgezogen werden oder nur 500GB, dann bin ich mit letzterem immer noch besser drann

Und die nächste Stufe das Ganzen sind dann Intrusion Prevention Systeme, die ja auf den Daten von IDS beruhen

Original von netAction
Korrekt. Spamfilter funktionieren ausschließlich mit riesigen Datenbanken. Heuristik bringt nicht viel, erklärte mir gerade erst ein Computerlinguist mit Masterarbeit zu dem Thema.

Erklär das mal den Entwicklern von Thunderbird deren Bayes-Filter angeblich ziemlich gut funktioniert ;)
Außerdem ist es mir wurscht, ob da eine riesige Datenbank dahinter ist oder nicht.....jede Spam-Mail die mich nicht erreicht ist eine weniger, die mich nerven kann.

Was ist denn da eure Taktik gegen Spam? Der ist schließlich irgendwie nicht beinflussbar, da es hier nicht um Sicherheitslücken geht.

Original von Pixelspalter
[quote]Original von netAction
So isses. Intrusion Detection heißt: Ich erkenne einen Eindringling und schlage Schaum.

Und auch wenn es dann schon zu spät ist....genau darum geht es.
Erst mal ist ein erkannter Schädling schlagartig wertloser geworden als jeder der noch unsichtbar im Hintergrund agieren kann. Wer weiß wie lange Stuxnet schon sein Unwesen getrieben hat, bevor man ihn gefunden hat? Und der ist auch nur indirekt anhand seiner Auswirkungen erkannt worden

Und ein Schädling der an einer Stelle erkannt wurde kann anschließend weltweit bekämpft werden. Auch über das Schließen der Sicherheitslücke.
Aber wenn ich gar nicht ahne, daß es eine Lücke gibt, weil mir noch keine Software aufgefallen ist, die diese ausnutzt.....dann bin ich wirklich schlecht drann.

Auch für die Firma, die infiziert wurde ist eine Erkennung mehr als wichtig. Sie kann weiteren Schaden verhindern.
Und wenn ich es mir aussuche, ob 1TB an Daten von einem Trojaner abgezogen werden oder nur 500GB, dann bin ich mit letzterem immer noch besser drann

Und die nächste Stufe das Ganzen sind dann Intrusion Prevention Systeme, die ja auf den Daten von IDS beruhen[/quote]

Fast richtig. Nur macht man sowas nicht mit einem quietschigen Programm auf dem potenziell betroffenen Rechner sondern außerhalb davon, indem man sich das Verhalten auf dem Netzwerk anschaut. Bei IPS muss man sich auch genau ansehen, was die machen. Basieren sie auf einem Whitelist-Ansatz, ist alles gut. Versuchen sie aber, per Heuristik und Hokuspokus "Angriffe" zu erkennen und daraufhin Dienste zu behindern, ist Missbrauch Tür und Tor geöffnet.

k|d

Original von Pixelspalter
Was ist denn da eure Taktik gegen Spam? Der ist schließlich irgendwie nicht beinflussbar, da es hier nicht um Sicherheitslücken geht.

Ich denke es ist eine gute Methode, gleichartige Mails rauszufischen. Nach dem Motto: Um so öfter etwas gesagt wird, desto weniger wichtig ist es. Dazu ein Anlernen durch viele Benutzer, wie es GMX, Web.de, Google Mail und so weiter machen.

Die Ansätze den DNS nach erlaubten und unerlaubten Absendern einer jeweiligen Domain zu fragen finde ich auch gut. Nur leider gibt es innerhalb einer Domain oft sowohl Spammer als auch Nichtspammer.

Abschließend kann ich diese Frage genau so wenig beantworten wie die vielen Experten, die sich darüber einen Kopf machen.

Original von kleine|details
Bei IPS muss man sich auch genau ansehen, was die machen. Basieren sie auf einem Whitelist-Ansatz, ist alles gut. Versuchen sie aber, per Heuristik und Hokuspokus "Angriffe" zu erkennen und daraufhin Dienste zu behindern, ist Missbrauch Tür und Tor geöffnet.

So weit ich weiß ist der Ansatz beides gleichzeitig. Wenn plötzlich die Datenbankabfragen massiv zunehmen und die Antworten der Datenbank größer werden, stimmt was nicht. Ob man das mit starren Regeln, Heuristik, Neuronalem Netzwerk oder wie auch immer es diese Woche genannt wird einstellt, ist zweitrangig.

@netAction
Was ist jetzt aber der Unterschied, daß Du die gleichen Methoden, die für Spam-Filter zutreffen für Virenscanner unsinnig hältst?
Auch hier kommen Signaturen, Heuristik und intelligente Erkennungsmechanismen zum Einsatz

Meinen ersten und bisher einzigen Virenbefall konnte übrigens auch mein komplett gepatchtes System und mein vorsichtiger und fachmännischer Umgang mit meinem Rechner auch nicht verhindern.
Da bin ich halt etwas ganz Neuem aufgesessen, worüber man im Netz auch noch nicht viel fand.
Seltsamerweise hat aber mein Virenscanner sofort Alarm geschlagen....auch wenn es schon zu spät war.
Aber immerhin wußte ich, daß etwas nicht stimmt und ich mein System neu aufsetzen sollte. Erst so bin ich dahintergekommen, daß ich überhaupt infiziert war.

Ich halte die Prinzipien nicht für unsinnig. So radikal bin ich nicht.
Ich sage nur, dass Sandboxen, Updates und vor allem Verstand nicht geopfert werden sollten für Virenscanner. Und diese Gefahr sehe ich nicht nur bei Sekretärinnen.