c't 12/2017 mit aktueller Desinfect-DVD gerade erschienen --> Kaufbefehl ;-)

[moronoxyd]

Das ist richtig und im Zusammenhang mit Viren leider sehr fehleranfällig. Man kann sich im Ernstfall nicht darauf verlassen, es sei denn, die Partition wird vorher komplett entschlüsselt und dann wird nach Schädlingen gesucht.

Deine Aussage wird nicht wahrer, nur weil du sie ständig wiederholst.
Es macht für den Virenscanner null Unterschied, ob er direkt über den Dateisystemtreiber auf die Daten zugreift, oder ob noch VeraCrypt dazwischen sitzt. Das ist ja gerade der Sinn vonn transparenter Verschlüsselung.

Was spricht denn dagegen sich zuerst eine unverschlüsselte Kopie der Platte zu ziehen, desinfect wie vorgesehen da drüber zu jagen
und die Kopie je nach Ergebnis entweder entwurmt zurückzuverschlüsseln oder mit mehrfachem überschreiben zu löschen?

Der Aufwand. Warum erst einen Kopie der Festplatte erstellen, diese komplett entschlüsseln, um dann zu schauen, ob Schädlinge darauf sind, wenn man stattdessen die Festplatte einfach über das Verschlüsselungstool mounten und ebenso die gesamte Festplatte untersuchen kann?
Das Erstellen einer unverschlüsselten Kopie der Festplatte bringt keinen Mehrwert (auch wenn think_pad immer noch mit hanebpüchenen Argumenten versucht, das herbeizureden), macht aber deutlich mehr Aufwand.

Für mich viel wichtiger: Aus was besteht denn die Wundertüte?
Ich bin mittlerweile etwas skeptisch gegenüber Heftbeigaben, denn nicht selten handelt es sich um wilde Zusammenwürfelungen
von für Privatanwender frei downloadbaren Freewareprogrammen die, mit etwas Werbung garniert, als Allheilmittel verkauft werden.

Aktuelles Ubuntu mit lizenzierten Antivirenprogrammen verschiedener Hersteller.

 

[think_pad]

Es macht für den Virenscanner null Unterschied, ob er direkt über den Dateisystemtreiber auf die Daten zugreift, oder ob noch VeraCrypt dazwischen sitzt. Das ist ja gerade der Sinn vonn transparenter Verschlüsselung.

Das hat doch niemand bestritten, ist uralt und ist schon tausendmal wiederholt worden: Du sagst, ein Dosenöffner kann Konservendosen öffnen, und die eigentliche Frage ist, ob der Inhalt der Dose mit Bakterien oder Viren verseucht ist.

 

[moronoxyd]

Das hat doch niemand bestritten, ist uralt und ist schon tausendmal wiederholt worden: Du sagst, ein Dosenöffner kann Konservendosen öffnen, und die eigentliche Frage ist, ob der Inhalt der Dose mit Bakterien oder Viren verseucht ist.

Und wie passen deine Aussagen in die Analogie?
Du sagst, daß der Einsatz des Dosenöffners das Risiko für die Lebensmittel erhöht, dabei liegen die Lebensmittel​ aber nun mal in der Dose vor, und man kann sie nicht auf Schädlinge testen, ohne sie zu öffnen.

 

[think_pad]

Du sagst, daß der Einsatz des Dosenöffners das Risiko für die Lebensmittel erhöht, ...

Nein, das war damit nicht gemeint. Die Dose/Verschlüsselung an sich ist das Problem, nicht der Öffner oder die geöffnete Dose.

... und man kann sie nicht auf Schädlinge testen, ohne sie zu öffnen.

Das ist korrekt, aber der falsche Ansatz:

1. Gäbe es keine Dose bzw. Verschlüsselung, bräuchte man auch keinen Dosenöffner bzw. Decryptor, um an die Nahrung bzw. Daten zu kommen.
2. Gäbe es ein unverschlüsseltes Backup, bräuchte man überhaupt keinen Virenjäger, um die Partition bzw. den Doseninhalt zu retten, sondern würde das Backup oder dessen Daten zurückspielen.
3. Dabei ist bis jetzt noch nicht mal die Frage beantwortet worden, wie Viren die Nahrung der geschlossenen Dose oder Trojaner Daten auf einer verschlüsselten Partition überhaupt angreifen sollen. Das könnten sie im RAM, aber nicht auf direkt auf dem verschlüsselten Datenträger, es sei denn, die Ransom-verschlüsselten Daten aus dem RAM werden dorthin nun auch noch VeraCrypt-verschlüsselt zurück geschrieben. Die Sache ist also komplizierter als eine Konservendose.
4. Die einzige Antwort ist also ein unverschlüsseltes Backup, dass nicht nur ohne Dose/Verschlüsselung ist, sondern aufgrund des Erstellungszeitpunktes auch nicht angegriffen werden konnte. Sollte es dennoch schon früher verseucht worden sein, kann man es zurückspielen und direkt mit der desinfect-DVD testen.
5. Ist ein unverschlüsseltes Backup "zu riskant" aufzubewahren, kann man das Backup bzw. die dafür verwendete Partition ja auch nachträglich extra verschlüsseln, dieser Prozess und alle nachfolgenden bleiben dann eineindeutig.
6. Was man jedenfalls nicht tun sollte, ist eine verschlüsselte Partition, die irgendwie korrumpiert (und damit Ransom-verschlüsselt) wurde, zum Zwecke der Schädlingsbekämpfung vorher mit VeraCrypt zu entschlüsseln.
7. Was man ebenfalls nicht tun sollte, ist für die Schädlingsbekämpfung Medien wie USB-Sticks zu verwenden, die beschreibbar sind und damit selbst korrumpierbar sind. (Stuxnet konnte per USB Rechner infizieren, als kann ein Rechner auch USB-Sticks infizieren.) DVD-ROM kann man nicht infizieren, deshalb erscheint der Datenträger auch in dieser Form.

Das alles muss man sich vorher überlegen, und alles ist eine Frage der digitalen Hygiene...

 

[Helios]

@think_pad

Hast du einen engeren Verwandten, welcher im Oval Office sitzt? Dessen liebstes Medium zur Verbreitung von Postfakten ist ja Twitter, deines das ThinkPad-Forum.

Schlichter Zufall oder nicht?

 

[think_pad]

@think_pad: Hast du einen engeren Verwandten, welcher im Oval Office sitzt?

Du meinst Onkel Donald? .. Na ja, ich habe ihn zehnmal davor gewarnt, sich diesen Job anzutun, aber wollte nicht auf mich hören! Ich habe ihm mehrfach gesagt, dass die versiffte Hauptstadt-Presse über ihn herfallen würde wie ein hungriger Köter über ein frisch gegrilltes Steak! Aber Onkel Donald hatte eben schon immer auch eine masochistische Seite und will sich das Amt und die Verantwortung eben beweisen, oder wie er immer sagt: "The show must go on!"

Mit Twitter und Facebook hatte ich nie etwas zu tun, das Auswerten von Unterschichtenmedien überlasse ich generell meinen Journalisten, die mir am nächsten Tag darüber ebenso ausführlich wie begeistert berichten. Deren Humorlosigkeit beim Zitieren belangloser Messages erspart mir eine Menge Arbeit.

Schlichter Zufall oder nicht?

Eher nicht.

 

[moronoxyd]

Das ist korrekt, aber der falsche Ansatz:

Gäbe es keine Dose bzw. Verschlüsselung, bräuchte man auch keinen Dosenöffner bzw. Decryptor, um an die Nahrung bzw. Daten zu kommen.

Das ist der falsche Ansatz. Der Ausgangspunkt dieser Diskussion war schließlich die Frage, ob und wie man ein mit VeraCrypts PBA verschlüsseltes Windows mittels desinfec't auf Schädlinge überprüfen kann. D.h die vorhandene Verschlüsselung ist gegeben. Das kannst du jetzt nicht einfach ignorieren, nur weil es dir nicht in die Argumentation passt.

Das ist, als ob wir vor einem Fluss stehen und ich dich frage, wie wir ihn überqueren können, und du antwortest "ja wenn hier kein Fluß wäre, könnten wir einfach weitergehen." Faktisch richtig, aber Thema verfehlt, da Vorbedingungen ignoriert.

Und es gibt durchaus Situationen, in denen es Sinn ergibt, sein System mittels Vollverschlüsselung zu sichern. Z.B. bei einem Laptop, mit dem man viel unterwegs ist und auf dem sich Daten befinden, die man einem eventuellen Dieb nicht zugänglich machen will.

Gäbe es ein unverschlüsseltes Backup, bräuchte man überhaupt keinen Virenjäger, um die Partition bzw. den Doseninhalt zu retten, sondern würde das Backup oder dessen Daten zurückspielen.

Und auch das geht am Thema vorbei. Man setzt Virenscanner ja nicht nur ein, wenn man weiß, daß man einen Schädlingsbefall hat, sondern auch, wenn man herausbekommen will, ob es einen solchen gibt.
Und selbst wenn man schon weiß, daß es einen solchen gibt, gibt es halt immer wieder Situationen, in denen man kein aktuelles Backup hat, und dann mag desinfec't + VeraCrypt die letzte Rettung für wichtigen Daten sein.

Du solltest nicht immer nur ein Wunschszenario betrachten (es gibt ein tagesaktuelles Backup), sondern auch weniger ideale Fälle in die Überlegung mit einbeziehen. Sonst könnten wir ja gleich postulieren, daß man sich natürlich nie einen Schädling einfängt und daher auch nie mit Tools wie desinfec't rumhantieren muss. Dann hättest du dir aber auch gleich den Thread sparen können.

Dabei ist bis jetzt noch nicht mal die Frage beantwortet worden, wie Viren die Nahrung der geschlossenen Dose oder Trojaner Daten auf einer verschlüsselten Partition überhaupt angreifen sollen. Das könnten sie im RAM, aber nicht auf direkt auf dem verschlüsselten Datenträger, es sei denn, die Ransom-verschlüsselten Daten aus dem RAM werden dorthin nun auch noch VeraCrypt-verschlüsselt zurück geschrieben. Die Sache ist also komplizierter als eine Konservendose.

Und wieder zeigst du, daß du das Konzept einer transparenten Verschlüsselung nicht verstehst.
Natürlich kann ein Schädling, den man sich im laufenden Windows einfängt, Daten auf der Festplatte befallen. Denn wenn Windows läuft kann der Benutzer (und damit der Schädling) ja transparent auf die Daten zugreifen. PBAs wie VeraCrypt greifen, wenn der Rechner aus ist bzw. die PBA noch nicht entsperrt ist.


Und zu "Die Sache ist also komplizierter als eine Konservendose": Von wem kam noch mal diese Analogie? Erst machst du sie, dann sagst du, daß sie nicht passt? Ja was denn nun?

Was man jedenfalls nicht tun sollte, ist eine verschlüsselte Partition, die irgendwie korrumpiert (und damit Ransom-verschlüsselt) wurde, zum Zwecke der Schädlingsbekämpfung vorher mit VeraCrypt zu entschlüsseln.

Nicht jeder Schädling verschlüsselt Daten. Und nicht jeder verschlüsselnde Schädlich verschlüsselt alles. Und wenn man ein verseuchtes System von einem unabhängigen Medium aus überprüft besteht keine Gefahr, solange man nicht Daten vom verseuchten System ausführt.

Was man ebenfalls nicht tun sollte, ist für die Schädlingsbekämpfung Medien wie USB-Sticks zu verwenden, die beschreibbar sind und damit selbst korrumpierbar sind. (Stuxnet konnte per USB Rechner infizieren, als kann ein Rechner auch USB-Sticks infizieren.) DVD-ROM kann man nicht infizieren, deshalb erscheint der Datenträger auch in dieser Form.

"deshalb erscheint der Datenträger auch in dieser Form", aha. Und warum bietet heise, die den Datenträger erstellt haben, dann extra mehrere Wege an, diesen Datenträger auf USB-Stick zu bannen?

 

[think_pad]

Und wieder zeigst du, daß du das Konzept einer transparenten Verschlüsselung nicht verstehst.

Moronoxyd, die Diskussion ist mir für einen Moderator etwas sehr emotional aufgeladen. Vielleicht sollten wir, auch im Interesse der vielen Mitleser, die Fragen und Antworten etwas professionalisieren.

 

[blafoo]

Warum? Er schreibt ja nicht das du ein Idiot bist, was faktisch richtig wäre, aber am Thema vorbei geht und nicht zielführend ist , er zeigt nur auf das du etwas nicht verstehst, keine emotionale Aufladung, keine Beleidigung, einfach ein sachlicher Hinweis.

Du redest hier die ganze Zeit um den heißen Brei herum, gehst auf keinerlei Fakten ein, sobald du merkst das die Gegenseite dich mit Argumenten geschlagen hat, schreibst du kruses Zeug und / oder willst die Diskussion mit fadenscheinigen Gründen beenden bzw verlagern.

 

[think_pad]

Warum? Er schreibt ja nicht das du ein Idiot bist, was faktisch richtig wäre, aber am Thema vorbei geht und nicht zielführend ist , er zeigt nur auf das du etwas nicht verstehst, keine emotionale Aufladung, keine Beleidigung, einfach ein sachlicher Hinweis.

Also ich nehme trotz des saloppen Tonfalls mal sportlich und gut gelaunt zur Kenntnis, dass du deinen Kollegen kameradschaftlich verteidigst und damit etwas zur Versachlichung der Diskussion beitragen willst. Dies sei hiermit anerkannt.

 

[DerTill]

Wenn man das hier so liest könnte man meinen, hier unterhalten sich irgendwelche Kleinkinder.
Das ein Moderator hier jemananden als "idioten" bezeichnen darf, finde ich schon etwas grenzwertig.

Ob Think_pads Äußerungen nun richtig oder falsch sind, sei mal dahin gestellt. Er hat sein recht, seine Meinung kund zu tun.

Wenn es euch so nervt, dann geht doch erst gar nicht auf seine Aussagen ein. Das würde das ganze hier etwas runterfahren.

Dachte echt das wäre hier ein professinelles Forum, aber das hier ist wirklich etwas lächerlich was hier gemacht wird

 

[blafoo]

2 Dinge:

- Nein, er hat hier im Forum keinerlei Rechte
- Nein, ich habe ihn nicht als Idioten tituliert, ich habe nur eine Formulierung überspitzt dargestellt, er kann froh sein das ich es nur mit Idiot gemacht habe

Wie du ebenso festgestellt haben solltest, ist der Ton hier durchaus mal rauer, was aber der ganzen Sache keinen Abbruch tut. Zumal der "Beleidigte" erkannte das es keine direkte Beleidigung war, sondern eine saloppe Formulierung.

 

[think_pad]

Das ein Moderator hier jemanden als "idioten" bezeichnen darf, finde ich schon etwas grenzwertig.

Ja, aber das ist nun mal das Diskussionsniveau, welches durch dieses Land geht: Man spricht hier von der "Minionisierung der Gesellschaft"...

---

---​

 

[moronoxyd]

Wenn es euch so nervt, dann geht doch erst gar nicht auf seine Aussagen ein. Das würde das ganze hier etwas runterfahren.

Das Problem ist, daß think_pad (nicht nur) hier so tut, als ob er viel Ahnung hat, aber faktisch falsche Aussagen trifft und wilde Theorien verbreitet. Wenn das unwidersprochen bleibt, könnten technisch weniger versierte Benutzer das für bare Münze nehmen und aufgrund falscher Informationen handeln.

Vielleicht sollten wir, auch im Interesse der vielen Mitleser, die Fragen und Antworten etwas professionalisieren.

Das kannst du gerne tun, indem du inhaltlich auf meinen letzen Beitrag eingehst, statt "ironische" Beiträge zu verfassen. Du bist derjenige, der abschweift und mit Philosophie und Psychologie anfängt, wenn dir aufgezeigt wird, daß deine Beträge inhaltlich falsch sind.

 

[supertux]

Der Aufwand. Warum erst einen Kopie der Festplatte erstellen, diese komplett entschlüsseln, um dann zu schauen, ob Schädlinge darauf sind, wenn man stattdessen die Festplatte einfach über das Verschlüsselungstool mounten und ebenso die gesamte Festplatte untersuchen kann?

Die Frage die sich mir stellt ist:
- Ist es bei einer Komplettüberprüfung wie sie von einem Zweitsystem aus durchgeführt wird überhaupt mehr Aufwand?
Um die Analogie mit der Gulaschdose aufzugreifen:
Ist es wirklich weniger Aufwand mit der Gabel alle Fleischstückchen einzeln herauszufischen,
oder ist es einfacher gleich die ganze Dose in eine Pfanne herauszukippen um die Fleischstückchen ohne Gabel auf Genießbarkeit zu überprüfen?
Klar die Pfanne(Kopie) muss gespült werden, aber mit der Gabel muss man länger herumstochern (OnTheFly-Entschlüsselung)

Das dauerhafte Aufheben einer entschlüsselten Sicherung empfinde ich nicht als sinnvoll, da es ein zusätzliches Angriffsrisiko darstellt.
Einzig 2 Ausnahmen sehe ich da:
- Die Verschlüsselung dient nur der Abschottung im mobilen Einsatz (mit dem Laptop unterwegs)
- Die Datensicherung wird entsprechend physikalisch besser abgesichert als die Originalplatte (Aufbewahrung im verschlossenen Safe)

Zu alledem stellt sich die Frage: Ist die Marktabdeckung von VeraCrypt/TrueCrypt groß genug um eine semigewerbliche(die Hefte/Abos werden ja verkauft) Massenlizenz zu rechtfertigen?

Aktuelles Ubuntu mit lizenzierten Antivirenprogrammen verschiedener Hersteller.

Dann lade Dir die Programm herunter und bastele Dir eine eigene DVD für den Fall der Fälle...

Und hier liegt meine Frage begraben: Welche Antiviren-/Cleaningprogramme sind eigentlich drauf? Bzw. sind anderweitig kostenpflichtige Lizenzen dabei?

 

[think_pad]

Und hier liegt meine Frage begraben: Welche Antiviren-/Cleaningprogramme sind eigentlich drauf? Bzw. sind anderweitig kostenpflichtige Lizenzen dabei?

Die Antivirenhersteller haben auch eigene, downloadbare Notfall-CDs, auch mit Nachladefunktion aktueller Signaturen. Die desinfect-DVD enthält eben nur mehrere Virenscanner und enthält passende Tools für die Datenrettung.

 

[der_holzwurm]

Eigentlich dachte ich, dass ich hier im Thread ein paar tipps&tricks zur desinfeCT DVD bekomme. Doch leider dreht sich fast der komplette c-t-12-2017-mit-aktueller-Desinfect-DVD-gerade-erschienen-gt-Kaufbefehl-thread nur um Verschlüsselung und ob da die DVD funtkioniert.

Boah, Leute, wenn ihr solche "Koniferen" seid, dann probiert es doch einfach an einen verschlüsseltem (und verseuchten) System aus und schildert die Ergebnisse in einem Thread a la "Virenscanner funzen mit Veracrypt oä", aber so ist das für Desinfect nicht zielführend. Grabenkämpfe führen zu nix.

Ich bin kein Nerd, habe trotzdem ein Thinkpad und freue mich, wenn mir hier ab und an geholfen wird. Und ja, ich verwende Desinfect und ich habe weder meine HDD, noch meine Backups verschlüsselt. Würde gerne hier noch ein paar tTpps lesen, die sich um desinfect drehen.....

 

[moronoxyd]

Klar die Pfanne(Kopie) muss gespült werden, aber mit der Gabel muss man länger herumstochern (OnTheFly-Entschlüsselung)

Das ist die Frage: Bei der onthefly-Entschlüsselung werden nur die Dateien entschlüsselt, die vom Scanner auch angefasst werden. Das sind ja in der Regel nicht alle Dateien. Beim kompletten Entschlüssel müssen alle entschlüsselt werden (und je nach Einstellung/Verschlüsselungstool auch eigentlich unbenutzte Datenbereiche.

Zu alledem stellt sich die Frage: Ist die Marktabdeckung von VeraCrypt/TrueCrypt groß genug um eine semigewerbliche(die Hefte/Abos werden ja verkauft) Massenlizenz zu rechtfertigen?/QUOTE]
Das ist eine gute Frage, auf die ich keine Antwort habe.
In meinem Umfeld sind sie durchaus gebräuchlich, aber als ITler ist man ja nicht Ottonormaluser

Und hier liegt meine Frage begraben: Welche Antiviren-/Cleaningprogramme sind eigentlich drauf? Bzw. sind anderweitig kostenpflichtige Lizenzen dabei?

Avira, Eset, F-Secure und ClamAV, wenn ich mich recht entsinne (habe den Datenträger gerade nicht zur Hand).

 

[Helios]

Gewisse Malware werden erst auf laufenden Betriebssystemen "aktiv", indem sie ihre Morphologie ändern. Mit externen Virenscanner sind diese nur sehr schlecht zu finden, wenn überhaupt.

 

[harpo]

Avira, Eset, F-Secure und ClamAV, wenn ich mich recht entsinne (habe den Datenträger gerade nicht zur Hand).

Nicht aktuell, das war vielleicht irgendwann mal. Die wechseln offenbar öfter ihre Kombination, wohl je nach Zusammenarbeit mit den jeweiligen Herstellern. Desinfec't 2017 enthält: Avira, Eset, F-Secure und Sophos.

2016 waren es übrigens Avira, Kaspersky, Eset und Clam-AV, 2015 anstelle von Eset noch Bitdefender.

- - - Beitrag zusammengeführt - - -

Gewisse Malware werden erst auf laufenden Betriebssystemen "aktiv", indem sie ihre Morphologie ändern. Mit externen Virenscanner sind diese nur sehr schlecht zu finden, wenn überhaupt.

Es spricht ja auch nichts dagegen, außerdem das OS im laufenden Betrieb zu scannen. Andere Malware kann sich hingegen gut gegen installierte bzw. im laufenden OS ausgeführte Scanner oder Online-Scanner verstecken. Die Kombination aus beidem erhöht die Gewissheit.

Ich finde übrigens Malewarebytes Antimalware (inzw. nur noch Malwarebytes 3) einen zumeist viel zu unbeachtetes bzw unterbewertetes Tool. Das hat schon mehrfach bei diversen Dienstrechnern fiese Sachen entdeckt, bei denen alle verwendeten "großen" namhaften Tools die Segel gestreikt haben. Ist auch ohne Zahlemann zu machen schon als vollwertiger on-demand-Scanner zu haben. Und zudem frisst er sich auch in der on-access-Variante installiert nicht so tief ins System rein, wie die meisten anderen, was ja zumeist der große Kritikpunkt ist.