F
Naja, bei der Frage, ob es Sinn ergibt, ein Virenschutzprogramm zu installieren, sollte man meiner Meinung nach folgende Aspekte beachten:
Tatsächliche Erkennungsrate
Signaturbasierter Virensuche ist prinzipbedingt ein praktisch hoffnungsloses Unterfangen. Gerade eben bei neuen Schadprogrammen kann sie nicht funktionieren, da dafür ja keine Signaturen bereitstehen, andererseits sollte man ihr auch zugestehen, normalerweise zumindest weitverbreitete zu erkennen.
Heuristikbasierte Virensuche ist durch die Fehlalarme, die unsichere Anwender (teilweise massiv! – eigene Erfahrung) verunsichern, natürlich nicht optimal, ebenfalls kann sie auch nur erkennen, worauf sie programmiert wurde.
Ähnliches gilt für verhaltensbasierte Analyse, die aus meiner Sicht einerseits relativ vielversprechend ist, aber auch überbewertet. Ich behaupte aber mal, dass das zumindest besser skaliert, als jede Datei gegen eine rießige Datenbank zu prüfen. *ᴬ
Cloudbasierte Vierensuche: Da habe ich wohl zu vorschnell geurteilt, die benötigte Bandbreite um zumindest relevante Teile der Dateien hochzuladen, dürfte aber trotzdem relativ groß sein *ᴮ
Nun ja, ich möchte ja jetzt überhaupt nicht sarkastisch und polemisch werden, aber es ist sicherlich sinnvoll, bei unbekannten Dateien auf Millionen von Noobs zu vertrauen, die sich ganz sicher sind, dass eine Datei harmlos ist, weil sie noch nichts bemerkt haben oder die Datei von jemandem stammt, der sich suuuuuper doll mit Computer und so Zeug auskennt. *ᴮ
Ausbremsung des Systems, Verwendung von Ressourcen
Virenscanner brauchen schon aufgrund ihrer Funktionsweise Systemressourcen, die man oftmals anders besser verwenden könnte (oder, im Sinne des Umweltschutzes, vielleicht gar nicht aufbringen möchte, was aber nur eine untergeordnete Rolle spielen dürfte).
Besonders auf alten Systemen macht sich das Ausbremsen bemerkbar, dazu ein Beispiel:
Mein alter Rechner hat mit einem bestimmten Produkt (darf ich das in Deutschland tatsächlich nicht beim Namen nennen?), welches ich wohl mit Gebietswarnsignal umschreiben kann, gut über fünf Minuten zum Hochfahren gebraucht, nachdem ich es irgendwann mal runtergeschmissen hatte, ging die Zeit auf ca. zwei Minuten zurück. (Meiner Erinnerung nach; der Rest waren andere Programme, und ich meine die Zeit, die er vom Drücken des Knopfes bis zum Einstellen der Festplattenaktivität gebraucht hat)
Auswirkung auf das Verhalten der Nutzer
Große Ausbremsung kann zum Abschalten der Programme führen, Fehlalarme verängstigen viele unerfahrene Nutzer (oder auch mal erfahrene, wenn man die Lautsprecher aufgedreht hat und der Virenscanner während man isst auf einmal ein kreischendes Geräusch abspielt, weil er was gefunden hat … )
Andererseits kommt es dann auch noch zur Überschätzung der Sicherheit, manche werden unglaublich unvorsichtig und vertrauen dem Programm zum Teil blind.
Möglicherweise Öffung eines Einfallstores.
Es gibt seit einiger Zeit schon Schadprogramme, die direkt Virenscanner und Firewalls angreifen, um über Sicherheitslücken an ihre im Regelfall erhöhten Rechte zu kommen, was sie zu einem zusätzlichen Angriffsvektor macht
Vor allem zu Firewalls möchte ich dieses Video empfehlen, ein Chaosseminar aus dem Jahr 2004: http://ulm.ccc.de/old/chaos-seminar/personal-firewalls/recording.html
Abschließend möchte ich sagen, dass ich auf zusätzliche Firewalls, außer der von Windows, verzichten würde, denn wenn etwas Daten versenden will, man das aber aus Sicherheitsgründen nicht möchte, warum hat man dann genug Vertrauen, das Programm überhaupt zu installieren? (So ähnlich wird das auch im Video zusammengefasst, glaube ich.)
Zudem gibt es immernoch die Möglichkeit, die Daten über andere, unscheinbare Protokolle zu tunneln.
Zur Virensuche würde ich einfach ein Programm nehmen, welches nur auf Wunsch sucht, wenn man grad nichts zu tun hat, auf die ganze Überwachung im Hintergrund kann man dann, in Kombination mit der Benutzung des Hirns, die ich als ganz besonders wichtig erachte, eigentlich verzichten. *ᴱ
Anmerkungen:
A: Ich fände es viel besser, diverse Regeln direkt durch das Betriebssystem zu erzwingen, ein bisschen an SeLinux und neuere Entwicklungen bei Windows angelehnt, aber ich habe da eigene Vorstellungen (bzw. hatte, einige sind schon wieder vergessen, da ich sie mir nicht aufgeschrieben habe …). Gegeben durch die Entwicklung haben Programme heutzutage oft viel zu hohe Privilegien, die sie ja eigentlich gar nicht brauchen. (Beispielsweise kann man, zumindest unter Windows, als ganz normales Ring-3-Programm einfach so Zugriff auf den Arbeitsspeicher anderer Programme bekommen und auch Fensternachrichten versenden. – Ich habe mich schon länger gefragt, was das denn soll, die einzigen Programme, die das bräuchten sind im ersten Fall Cheatprogramme und Debugger, im zweiten vielleicht noch Programme für unbeaufsichtigte automatische Installationen (→AutoIt, eine Skriptsprache, ursprünglich genau dafür).
Daher kommt auch meine Idee, Programme in beliebig definierte Gruppen einzuordnen, die mit verschiedenen Rechten ausgestattet sind.
Außerdem, was mir sehr wichtig ist, ich aber bisher nur selten gesehen habe, sollten Benutzerkonto und aktueller Rechtestatus komplett getrennt sein.
Ich will als ein Benutzer unter einer Identität, mit einer Menge von Einstellungen verschiedene Rechte innehaben können. Einige villeicht nur auf gesonderte Anfrage über eine sichere Kommunikationsleitung zum Kernel, die nur durch Hardwaremodifikationen unsicher werden soll.
Allerdings ist es mir ebenso ein wichtiges Anliegen, dass solche Techniken nie gegen einen verwendet werden, man sollte immer Herr seines eigenen Gerätes bleiben können und sich nicht vorschreiben lassen müssen, was man benutzen möchte (das heißt auch, dass auf Wunsch die Schutzfunktionen deaktiviert gekonnt werden sollten).
B: Ich habe noch nie solche Systeme benutzt, kann mir aber nicht vorstellen, dass sie anders funktionieren.
E: Man sollte aber auch nie vergessen, dass einige Leute die Erfahrung, die wir uns angeeignet haben, schlichtweg nicht besitzen, sodass es ihnen praktisch nicht gelingen kann, realistisch einzuschätzen, wie sicher eine Internetseite ist. (Aber auch Dinge, wie dass man sich nach Möglichkeit bei URL-Verkürzern die lange Adresse im Voraus anzeigen lässt. Gegen Infektionen über bisher unbekannte Browserschwachstellen von gecrackten, eigentlich sicheren Seiten, hilft außerdem auch die Erfahrung nicht)
