Hallo,
chillmensch hat geschrieben:Man kann es naiv nennen, aber ich bin von meinem bisherigen Vorgehen überzeugt.
da muss ich Dich leider enttäuschen - das funktioniert so nicht. Vielleicht hast Du bisher Glück gehabt, oder vielleicht ist Dein System bereits verseucht ohne dass Du dies bemerkst oder davon weisst?
Zur Firewall
Davon ausgehend, dass heutzutage praktisch jeder einen DSL Router einsetzt und dieser eine Hardware Firewall integriert hat, ist eine Software Firewall nutzlos. Ja sogar kontraproduktiv!
Eine Software Firewall schützt
nicht vor der Verseuchung durch aktuelle Schadsoftware, heutzutage nur noch die sog. "Trojaner". Eine Software Firewall suggiert eine Sicherheit, die sie nicht zu leisten vermag.
Es gibt einen einzigen sinnvollen Anwendungszweck einer Software Firewall: Kontrolle der ausgehenden Daten. Dazu sollte der Anwender vor dem PC aber auch die Meldungen der Firewall interpretieren und damit umgehen können, sonst bringt das alles gar nichts und die Software Firewall ist eher gefährlich als nützlich.
Wie wird heute ein Windows PC mit Schadsoftware verseucht?
Die Verseuchung erfolgt überwiegend nur noch über infizierte Webseiten oder/und HTML E-Mails mit Hyperlinks zu verseuchten Webseiten.
Was aber heisst "infizierte Webseite"? Hier wird die sog.
Drive-by-Infection (viel mehr Infos über
Google) verwendet.
D.h. ganz normale, harmlose Webseiten werden infolge
- Sicherheitslücken oder
- Konfigurationsfehlern aus dem Webserver
- oder mit Hilfe ausspionierter oder
- unsicherer (erratender, gehackter) Zugangsdaten zum Server
durch die Malware Bösewichte so verändert, dass z.B. ein Hyperlink oder ein spezielles iFrame in den HTML Quelltext eingebaut wird. Über den Hyperlink wird irgendetwas von einem anderen Server nachgeladen: der sog. "Dropper". Dieser andere Server kann ebenfalls ein gehackter Server sein, ist aber meist ein von den Malware Jungs mit Fake Daten angemieteter Server irgendwo im Cyberspace. Meist über mehrere ganz auffällige, sehr dubiose Domain Namen erreichbar.
Der "Dropper" ist quasi ein "Türöffner". Dieses relativ kleine Schadprogramm sucht auf dem PC nach Sicherheitslöchern. Je nach Qualität des Droppers werden mehr oder weniger Löcher überprüft. Gute Dropper prüfen auch aktuelle, noch nicht durch Updates geschlossene Sicherheitslöcher im System. Sehr gute Dropper prüfen auf sog. Zero Day Exploits, d.h. noch nicht bekannte Sicherheitslöcher im System.
Wird der Dropper "fündig", macht er diese Tür auf und setzt sich im System fest. Dieser PC ist jetzt verseucht. Der Dropper meldet sich dann bei seinem "Herrn und Meister", übermittelt die Grunddaten des PC, und "fragt" nach weiteren Anweisungen.
Vom "Command & Control Server" des Bot-Netzes, in dem dieser PC nun ein neuer "
Zombie" ist, wird dann weitere Schadsoftware nachgeladen. Darüber werden spezielle Funktionalitäten aktiviert, je nachdem was der C&C Server an den Zombie schickt. Der neue Zombie kann auf diese Weise total ausspioniert werden (Phishing Trojaner), kann als Proxy Server missbraucht werden, kann als Spam Schleuder (Mail Server) missbraucht werden, kann als DNS oder/und Webserver missbraucht werden, um Domains oder Webseiten mit illegalen Inhalten auf anderen Zombies ansprechen zu können, und anderes mehr. Natürlich können auch mehrere dieser Funktionen kombiniert werden.
Wichtig dabei ist folgendes:
"Gute" Dropper werden von keiner Anti-Viren Software erkannt!
"Gute" Trojaner (die vom Dropper nachgeladen werden!) werden von keiner Anti-Viren Software erkannt!
Und aktuelle, "gute" Trojaner enthalten Stealth-Funktionen, d.h. sie werden nach Verseuchung eines PC im laufenden System garantiert nicht gefunden!
Was schützt vor Verseuchung meines Windows PC?
Ganz ernsthaft: nichts und niemand.
Alternativ: Betrieb ohne Verbindung zu einem Netzwerk. Da dies keine Lösung ist, gilt die erste Antwort: nichts und niemand.
Ein Schutz wäre der Wechsel auf ein "sicheres" Betriebssystem. Aber auch dort müssen Regeln beachtet werden, sonst hilft das "sicherste" Betriebssystem nichts.
Nichts und niemand? Ja, weil ..
- ... es zuviele bekannte Sicherheitslücken gibt, die teilweise wochen- oder gar monatelang nicht geschlossen werden!
- ... es zuviele noch unbekannte Sicherheitslücken gibt, die Bösewichte gezielt ausnutzen! Und ständig kommen neue hinzu ....
- ... es viel zu viele Internet Nutzer gibt, die Sicherheitsupdates für bekannte Löcher nur mit zeitlicher Verzögerung oder gar nicht installieren!
- ... es viel zu viele Internet Nutzer gibt, die nicht
alle Sicherheitsupdates installieren, weil ihnen nicht bewusst ist, dass Updates für
sämtliche auf dem PC vorhandene Software installiert werden müssen, auch wenn diese Software nicht bewusst genutzt wird!
- ... die Hersteller der Anti-Virus Software immer nur hinterherrennen können (Definitionen für bekannte Trojaner erstellen) und die Heuristik Funktionen noch nicht gut genug sind, alle hochwertigen Trojaner zu entdecken und zu blockieren. Ausserdem gibt es bei der AV Software deutliche Qualitätsunterschiede.
Die üblichen Schutzmassnahmen wie Brain.exe und Co. helfen nur sehr eingeschränkt, da alle diese Massnahmen eine "Drive-by-Infection" nicht verhindern können. Es ist eher Zufall oder Glück, dass man bisher noch nicht auf eine Drive-by-Infection verseuchte Webseite gelagt ist ...
Der Beweis für meine Aussagen sind die Vielzahl der Bot-Netze (mehrere hundert) im weltweiten Cyberspace mit insgesamt zig dutzenden Millionen von Zombies. Manche sog. Experten behaupten, dass jeder dritte PC verseucht sei ... was ich durchaus für gar nicht so sehr falsch halte.
Wie noch im Internet surfen? Wer nicht den Wechsel zu einem sicheren Betriebssystem vollziehen will, kann unter seinem geliebten Windows eine Live-DVD in einer virtuellen Maschine (Virtualbox) zum Surfen nutzen. Da kann sich kein Trojaner einschleichen.
Thomas