ausblenden > Mac-Software
D: Alle gegen Botnetze
MacFlieger:
--- Zitat von: Florian am September 17, 2010, 12:35:24 ---Wie Bot-Aktivitäten erkannt werden wird nicht offenbart. Lässt das vielleicht tief blicken? Bin jetzt doch recht skeptisch, danke für das Augen öffnen.
--- Ende Zitat ---
Da steht nur, dass der Rechner anhand von Verhaltensmustern erkannt wird.
--- Zitat ---Von einer Warnseite habe ich nichts gelesen. Von Email und Briefen ist die Rede.
--- Ende Zitat ---
Ich bin mir eigentlich sicher, dass ich das auf deren Seiten gelesen habe. Ich finde es aber nicht mehr wieder. Also bitte mein obiges Statements ignorieren.
warlord:
--- Zitat von: MacFlieger am September 17, 2010, 11:49:06 ---Das bedeutet eine verdachtsunabhängige DPI müsste eingeführt werden. Das wiederum würde mich schon stark irritieren.
--- Ende Zitat ---
Was irritiert Dich daran denn stärker als ein Spam-Filter, der sich die Mails anschaut, die so bei ihm vorbei kommen?
MacFlieger:
--- Zitat von: warlord am September 17, 2010, 12:53:50 ---Was irritiert Dich daran denn stärker als ein Spam-Filter, der sich die Mails anschaut, die so bei ihm vorbei kommen?
--- Ende Zitat ---
Das ist eine gute Frage. :)
Mich stört daran, dass das noch deutlich weiter geht und umfassender ist.
Bei den Mails ist es so, dass nur Mails verarbeitet werden und dieses bei jedem Mailprovider einzeln mit unterschiedlichen Kriterien. Hier die komplette Kommunikation einer Person (mehrere Mail-Adressen) für andere Zwecke auszuwerten, ist daher nicht so "attraktiv" und es weckt keine Begehrlichkeiten.
Am Rande: Ich erlebe es durchaus auch, dass diese Automatismen bei Spam-Mails teilweise schon zu weit gehen. Beispielsweise kann ich Bekannten, die Hotmail verwenden, kaum noch Mails schicken. Bereits deren Eingangsserver lehnt meine Mails fast alle ab und schickt die zurück. D.h. der Empfänger bekommt keinerlei Rückmeldung, dass da für ihn was gekommen wäre.
Daher benutze ich auch Provider, die eben keine Spam-Sortierung machen bzw. schalte das ab. Das kann mein Mail besser.
Was ist bei diesem BotNetz-Schutz anders (oder scheint anders)?
Es muss der komplette Datenverkehr von Dir analysiert werden. Und da man sehr viel unterschiedlichsten Verkehr zu unterschiedlichsten Zwecken auslöst, muss man schon sehr genau die Pakete anschauen und analysieren. Dafür muss die notwendige Infrastruktur bei den Providern neu geschaffen werden. Jetzt habe ich da aber zwei Sachen:
- Ich frage mich weiterhin, wie man selbst mit einer DPI einen Bot (mal abgesehen von Spam-Mails) einfach am Verhalten erkennen können soll. Einzig Zugriffe auf Server, bei denen sich der Bot neue Befehle holt, wird man recht gut finden können. Dazu muss dann aber das Botnetz schon ausgeforscht sein und ständig die Providerfilter von einer zentralen Stelle aus neu justiert werden. Ich vermute daher, dass die reine Verhaltensanalyse recht ineffektiv sein wird.
- Steht erst einmal eine solche Infrastruktur zur verdachtsunabhängigen DPI, werden sehr schnell viele Begehrlichkeiten wach. Das war hier in Deutschland in letzter Zeit immer so, dass wenn irgendwo Daten gesammelt wurden, ganz schnell die Forderung nach einer Ausweitung im Raum stand und dann auch durchgesetzt wurde.
Beide Punkte zusammen (Massnahme ist in der Realität nur wenig geeignet, Infrastruktur mit erheblich mehr Möglichkeiten wird etabliert) gab es in letzter Zeit hier in Deutschland auch öfters und es war jedes Mal klar, dass der vorgeschobene Grund nicht das Ende sein sollte.
Also zusammenfassend: Die verdachtsunabhängige DPI im Gegensatz zum Spamfilter ist deutlich umfassender und bietet erheblich mehr Möglichkeiten zum Missbrauch oder Ausweitung, was meiner Meinung nach das eigentliche Ziel zu sein scheint.
MacFlieger:
Der De-Cleaner scheint noch nicht ganz sauber zu arbeiten und produziert jede Menge falscher Alarme:
DE-Cleaner verunsichert Anwender mit Fehlalarmen
Dabei gibt das Programm zunächst einmal Warnungen aus, die man dann im Anschluss daran dann im Internet noch einmal gegen prüfen lassen soll/muss. Dann kommt die Entwarnung.
Einige wissen das nicht, denn die lesen sowieso keine Anleitungen, und kriegen Panik.
Andre prüfen das ein paar mal gegen, bekommen ständig gesagt, dass die Warnung eine Fehlermeldung war und stumpfen ab, d.h. irgendwann prüfen die nicht mehr, weil es ja eh "eine Falschmeldung ist".
Als weiteres Gegenmittel sollen sich betroffene Programmhersteller auf eine Whitelist setzen lassen, die natürlich was kostet...
warlord:
Ein ausführlicherer Artikel von Bruce Schneier zum Thema Internet-Quarantäne:
http://www.forbes.com/2010/11/10/microsoft-viruses-security-technology-quarantine.html
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln