1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Phishing-Studie: Neugier siegt über…

Falscher Ansatz

Über PC-Games lässt sich am besten ohne nerviges Gedöns oder Flamewar labern! Dafür gibt's den Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Falscher Ansatz

    Autor: JörgLudwig 04.08.16 - 17:37

    Ich kann der Aussage des Artikels nicht zustimmen. Im echten Leben erwarte ich auch, dass ich hingehen kann, wo ich will, ohne Angst um meine Gesundheit zu haben. Das gleiche sollte fürs Internet gelten. Wenn das reine Betrachten einer Webseite schon zum Sicherheitsrisiko wird, kann man das Web auch gleich ganz abschalten. Hier sind die Browser-Hersteller gefragt, weniger auf neue Funktionen und mehr auf Sicherheit zu setzen. Im Zweifel müssen halt gefährliche Funktionen erst auf Nachfrage aktiviert werden, wie es bei Flash und Java bereits der Fall ist.

  2. Re: Falscher Ansatz

    Autor: Wallbreaker 04.08.16 - 19:36

    JörgLudwig schrieb:
    --------------------------------------------------------------------------------
    > Ich kann der Aussage des Artikels nicht zustimmen. Im echten Leben erwarte
    > ich auch, dass ich hingehen kann, wo ich will, ohne Angst um meine
    > Gesundheit zu haben. Das gleiche sollte fürs Internet gelten.

    Echt jetzt? Das reale Leben mit einer digitalen Welt vergleichen? An sich muss man in beiden keine Angst haben, jedoch real kann einem immer etwas passieren, virtuell dagegen kann man es nahezu verhindern. Nur führt Fahrlässigkeit grundsätzlich zu Problemen. Man kann nicht real und digital leben, und meinen, man kann völlig den Verstand abschalten, und die Frage der Sicherheit auf Andere abwälzen.

    > Wenn das reine Betrachten einer Webseite schon zum Sicherheitsrisiko wird,
    > kann man das Web auch gleich ganz abschalten. Hier sind die Browser-Hersteller
    > gefragt, weniger auf neue Funktionen und mehr auf Sicherheit zu setzen. Im
    > Zweifel müssen halt gefährliche Funktionen erst auf Nachfrage aktiviert
    > werden, wie es bei Flash und Java bereits der Fall ist.

    Ich glaube du siehst nicht die Komplexität solcher Probleme. Erstens sind vielfach nicht die Browser selbst das Problem, sondern meist unsichere Drittanbieter-Plugins. Und zweitens sind die Browser bereits sehr gut abgesichert. Nur das hilft herzlich wenig, wenn Nutzer faul sind bei Updates, essentielle Meldungen/Warnungen übergehen, oder den Feind unmittelbar absichtlich herunterladen und ausführen. Es ist nicht die Aufgabe eines Browsers das zu prüfen noch zu verhindern. Der hat sich um Wichtigeres zu kümmern, als um Funktionen die den Browser nur aufblasen, und letztlich anfälliger machen. Hier ist das darunter liegende Betriebssystem gefragt, eine Anwendung zu isolieren, dass nicht irgendein dubioser Netzinhalt via Browser, irgendwelche Schäden hervorrufen kann.

    Und da sind wir wieder beim allseits beliebten Thema Windows, und dem dazu gehörenden Ökosystem, dass Phishing und Vieles mehr geradezu extrem begünstigt.
    Mit so einer Basis kann man keine Sicherheit aufbauen, beim besten Willen nicht. Dem System fehlen essentielle Optionen, die immer mit Drittanbieter-Software irgendwie hergeholt werden müssen. Wobei nicht einmal sicher gestellt ist, ob das dann auch wirksam ist. Hinzu kommt die mieserable Update-Politik, und eine mangelhafte Codequalität. Was nutzen einem Sicherheitsfunktionen, wenn diese vielfach ausgehebelt werden können? Gerade unter Windows 10 gibt es im Schnitt unter allen Lücken, zu 47,4% Rechte-Eskalationen, durch die beliebiger Code zum Administrator wurde. Unter Linux sind es nur an die 5,5%, was Systemrestriktionen erheblich wirksamer macht. Und auch das lässt sich mit weiteren Maßnahmen noch herabsetzen.

    Beispielsweise verfügt der Linux-Kernel noch zusätzlich, über effektive Sandboxing und Virtualisierungstechnologien, die man sich unmittelbar zunutze machen kann. Allein der Browser ist auf simple Weise ,in kaum zwei Minuten in einer Sandbox (Firejail), die weder nervt, noch auffällt, und selbst für Anfänger kinderleicht zu nutzen ist. Ab hier spielt Phishing schon kaum eine Rolle mehr, oder worauf Irgendjemand geklickt hat. Ebenso auch infizierte Werbe-Netzwerke mit Exploit-Kits, die nur auf Opfer warten. Mit Windows macht man einfache Verteidigung um ein Vielfaches schwieriger, und sich selbst das Leben schwer.

  3. Re: Falscher Ansatz

    Autor: Schläfer 04.08.16 - 20:34

    JörgLudwig schrieb:
    --------------------------------------------------------------------------------
    > Im echten Leben erwarte
    > ich auch, dass ich hingehen kann, wo ich will, ohne Angst um meine
    > Gesundheit zu haben. Das gleiche sollte fürs Internet gelten.

    Haben dir deine Eltern nicht beigebracht, nicht zu Fremden ins Auto zu steigen, auch wenn sie dir Süßigkeiten anbieten?

  4. Re: Falscher Ansatz

    Autor: Sybok 04.08.16 - 21:15

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube du siehst nicht die Komplexität solcher Probleme. Erstens sind
    > vielfach nicht die Browser selbst das Problem, sondern meist unsichere
    > Drittanbieter-Plugins. Und zweitens sind die Browser bereits sehr gut
    > abgesichert. Nur das hilft herzlich wenig, wenn Nutzer faul sind bei
    > Updates, essentielle Meldungen/Warnungen übergehen, oder den Feind
    > unmittelbar absichtlich herunterladen und ausführen. Es ist nicht die
    > Aufgabe eines Browsers das zu prüfen noch zu verhindern. Der hat sich um
    > Wichtigeres zu kümmern, als um Funktionen die den Browser nur aufblasen,
    > und letztlich anfälliger machen. Hier ist das darunter liegende
    > Betriebssystem gefragt, eine Anwendung zu isolieren, dass nicht irgendein
    > dubioser Netzinhalt via Browser, irgendwelche Schäden hervorrufen kann.

    Bis hierhin war es doch noch so sinnvoll. Aber dann kam das:

    > Und da sind wir wieder beim allseits beliebten Thema Windows, und dem dazu
    > gehörenden Ökosystem, dass Phishing und Vieles mehr geradezu extrem
    > begünstigt.

    Soso. Das "Ökosystem" von Windows begünstigt also Phishing? Machen wir uns nichts vor: Vor Windows 8 gab es praktisch gar kein Windows-Ökosystem, da man sich dort alles selbst besorgen musste. Klar: Es gab "Windows-Software", aber ein Ökosystem ist das noch nicht. Und der restriktive Store ab 8 (den man erstmalig als so was wie einen Versuch, ein echtes "Ökosystem" aufzubauen, bezeichnen kann) begünstigt sicherlich kein Phishing.

    > Mit so einer Basis kann man keine Sicherheit aufbauen, beim besten Willen
    > nicht. Dem System fehlen essentielle Optionen, die immer mit
    > Drittanbieter-Software irgendwie hergeholt werden müssen.

    Aha. Welche essentiellen Optionen wären denn das?

    > Wobei nicht einmal sicher gestellt ist, ob das dann auch wirksam ist.

    > Hinzu kommt die mieserable Update-Politik,

    Die Update-Politik ist eigentlich inzwischen relativ gut, jedenfalls sehe ich genug andere die es wesentlich schlechter machen (man schaue sich nur mal die Situation bei Android an). Und auch wenn man es als Nerd ganz toll finden mag, wenn bei einem Consumer-Linux innerhalb von ein paar Stunden ein mit heißer Nadel gestrickter Patch da ist, der das Problem dann immerhin zu 33% löst, so ist sowas in Unternehmen undenkbar, und deshalb nicht umsonst in Enterprise-Distris auch gänzlich anders.

    > und eine mangelhafte Codequalität.

    Da eine fehlerhafte Funktionalität nicht zwingend auf eine schlechte Codequalität schließen lässt (sondern auch auf Inkompatibilitäten mit Drittsoftware, nie vorgesehene Sonderfälle etc. pp. zurückzuführen sein kann) und Du mit Sicherheit keinen Einblick in die Codequalität von Microsoft hast, brauchen wir darüber kaum zu reden. Was bisher von Insidern nach außen gedrungen ist war eigentlich eher dass der neuere Code bei Microsoft eine ziemlich hohe Qualität und gute Struktur hat, aber der alte Legacy-Code (den man aus Kompatibilitätsgründen weder rauswerfen noch wirklich anfassen kann) natürlich teils echter Murks ist. Das ist nicht sonderlich überraschend aber solche Kröten muss man bei einem Produkt dieser Verbreitung manchmal schlucken. Wenn man allen Legacy-Code rausschmeißt, dann gehen zu viele Kunden auf die Barrikaden weil ihre Uralt-Software plötzlich nicht mehr läuft.

    > Was nutzen einem Sicherheitsfunktionen, wenn diese vielfach ausgehebelt werden können?

    Schön gesagt, stimmt nur so nicht. Die Sicherheitsfunktionen von Windows werden eben nicht öfter ausgehebelt als die von Linux. Und jetzt bitte nicht wieder die Lücken von Windows 7 bis Windows 10 addieren - wir wissen alle, dass 80+% davon deckungsgleich sind.

    > Gerade unter Windows 10 gibt es im Schnitt unter allen Lücken, zu 47,4%
    > Rechte-Eskalationen, durch die beliebiger Code zum Administrator wurde.
    > Unter Linux sind es nur an die 5,5%, was Systemrestriktionen erheblich
    > wirksamer macht. Und auch das lässt sich mit weiteren Maßnahmen noch
    > herabsetzen.

    Ja, würfeln wir einfach mal ein paar Werte mit krummen Nachkommastellen aus und schon klingt selbst die abstruseste Behauptung ohne jegliche Quellen plausibel. Ein Blick in die bekannten Exploit-Datenbanken sagt nur leider regelmäßig was anderes. Aber wen interessieren schon solche Details. Allein 2016 gab es laut cvedetails schon anderthalbmal soviele Lücken im Linux-Kernel wie im gesamten Windows 10 (und in den jeweiligen Distris kommt oftmals noch so einiges dazu), und davon nicht wenige sehr kritische Lücken. Klar ist natürlich, dass bei der riesiegen Zahl der Anfälligkeiten in den CVE-Datenbanken die wirklich schweren Lücken bei Linux einen niedrigeren relativen Prozentsatz haben, aber dafür ist die absolute Zahl der bekannten Sicherheitslücken auch oftmals sehr viel größer.

    > Beispielsweise verfügt der Linux-Kernel noch zusätzlich, über effektive
    > Sandboxing und Virtualisierungstechnologien, die man sich unmittelbar
    > zunutze machen kann.

    Aha, so argumentieren wir. Nun: Sicherheitsfeatures die man sich zunutze machen kann bietet der Windows-Kernel auch viele. Dass bei vielen Programmen aber viele davon nicht eingesetzt werden ist sicher nicht nur(!) Microsofts Schuld.

    Und wie toll Linux mit seinen Sicherheitstechniken vorraus ist sieht man auch daran, dass es immerhin nur sieben Jahre nach Windows vollständigen ASLR-Support hatte, oder wie lange es bei vielen Distris dauerte bis SELinux implementiert (und auch aktiv) war.

    > Allein der Browser ist auf simple Weise ,in kaum zwei
    > Minuten in einer Sandbox (Firejail), die weder nervt, noch auffällt, und
    > selbst für Anfänger kinderleicht zu nutzen ist. Ab hier spielt Phishing
    > schon kaum eine Rolle mehr, oder worauf Irgendjemand geklickt hat.

    Was ist das denn für ein Käse? Erstens sind die aktuelleren MS-Browser auch in einer Sandbox (beim IE optional, beim Edge zwingend), und zweitens kann keine Sandbox der Welt vor Phishing schützen - wie zum Geier sollte sie auch???

    > Ebenso auch infizierte Werbe-Netzwerke mit Exploit-Kits, die nur auf Opfer warten.
    > Mit Windows macht man einfache Verteidigung um ein Vielfaches schwieriger,
    > und sich selbst das Leben schwer.

    Würdest Du auch mal echte, fundierte Argumente liefern, dann könnte man Dich ernst nehmen. So fallen leider nur die Unwissenden auf Dich herein.

  5. Re: Falscher Ansatz

    Autor: JörgLudwig 05.08.16 - 01:04

    > Haben dir deine Eltern nicht beigebracht, nicht zu Fremden ins Auto zu
    > steigen, auch wenn sie dir Süßigkeiten anbieten?

    Haben sie. Und es hat mich 10 lange Jahre gekostet, das wieder abzulegen. Inzwischen unterhalte ich mich mit allem und jedem, der mir so über den Weg läuft, und stelle fest, dass 99% aller Leute super liebenswürdig und interessant sind. Ich bin der festen Überzeugung, dass man im Leben mit Vertrauen viel weiter kommt als mit Misstrauen. Aber ich komme vom Thema ab. :D

    Bei Technik sehe ich das ganz pragmatisch. Ein Computer ist ein Werkzeug wie jedes andere. Es muss so einfach wie möglich funktionieren. Es soll den Anwender entlasten und das Leben nicht unnötig verkomplizieren. Wenn irgendwas schief geht, ist meiner Meinung nach grundsätzlich der Entwickler schuld und nicht der Anwender. Wir Programmierer sind leider oft ziemlich abgehoben. Normale Menschen sollten besseres zu tun haben, als sich über Browsereinstellungen Gedanken zu machen.

  6. Re: Falscher Ansatz

    Autor: Peter Brülls 05.08.16 - 07:02

    JörgLudwig schrieb:
    --------------------------------------------------------------------------------
    > Ich kann der Aussage des Artikels nicht zustimmen. Im echten Leben erwarte
    > ich auch, dass ich hingehen kann, wo ich will, ohne Angst um meine
    > Gesundheit zu haben.

    Echt?

  7. Re: Falscher Ansatz

    Autor: Niaxa 05.08.16 - 08:28

    Also würdest du on verseuchte Gebiete gehen, auf Baustellen ein Schild "Spielplatz" stellen, in Minenfeldern Tanzen und und und? Weil vertrauen und der Drang alles überall machen zu können so hoch ist? Super Idee. Und das mit dem Misstrauen ablegen ist gut. Ich komme demnächst als Handwerker und Stromversorgung etc. vorbei, denn mit dir lässt sich sicher gut Geld verdienen. Ach und 100% super duper Geldanlagen, Versicherungen und Strom,- Gas,- und sonstige Verträge bring ich gleich mit. Glaub mir ich werde so vertrauenswürdig sein wie irgend möglich ;-). Poste mir doch bitte kurz deinen vollen Namen und deine Bankdaten... einschließlich Pin. Es ist für mich natürlich ein Serviceangebot für die Kunden, nicht selbst zur Bank zu müssen.

    Ich mag deine rosa Welt.



    1 mal bearbeitet, zuletzt am 05.08.16 08:30 durch Niaxa.

  8. Re: Falscher Ansatz

    Autor: Subsessor 05.08.16 - 09:47

    Sybok schrieb:
    --------------------------------------------------------------------------------
    Oh man, danke. Ähnliches habe ich beim Lesen des Posts auch gedacht, wenngleich nicht so ausführlich und professionell.
    Grade das Sandboxing erinnert mich an diese schöne Lücke bei Docker, wo ja wirklich alles separat läuft - aber hat man dann einen Exploit gehört sofort die gesamte Architektur dem Angreifer...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Bundesamt für Sicherheit in der Informationstechnik, Bonn
  2. Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen
  3. Bits Bayern IT Service, München
  4. Endress+Hauser Process Solutions AG, Freiburg im Breisgau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Unravel für 9,99€, Battlefield 1 für 7,99€, Anthem für 8,99€)
  2. 7,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme