Post by Goetz HoffartNutzt ja nix - ein Virenscanner hält ja nie alles ab, und du schreibst
ja selbst »Das erste Mal ist bereits zuviel.«
Genau das ist das Problem mit dem Schlangenöl: es hinkt der Entwicklung
immer hinterher.
Post by Goetz HoffartUnd wie wir heute
endgültig wissen, wäre der Virenscanner selbst auch ein gutes
Einfallstor.
Diesen Verdacht hatten wir schon zur Hochzeit der Viren im Mac-Bereich,
also so um 1990/1991 herum. Eine These war, daß die Anti-Virus-Programme
die nächste Generation Schad-Software gleich mitbringen, damit ihre
Existenzgrundlage erhalten bleibt. Deswegen war ich froh, daß die
Virus-Autoren die Windows-Welt entdeckten und sich aus dem Mac-Bereich
nahezu komplett zurückzogen. Das frei erhältliche Disinfectant wurde
1997 endgültig eingestellt, weil es nicht mehr gebraucht wurde.
BTW es war zu Zeiten des späten System 6 und frühen System 7 bereits so,
daß Antivirus-Software, die nebenbei im laufenden Betrieb reinkommende
Dateien und Medien prüfte u.ä. Hokuspokus betrieb, die Stabilität des
Systems negativ beeinflußte.
Post by Goetz HoffartVor 20 Jahren war da noch schön Flash bei.
Das, was in der Anfangszeit des Web zappelte, waren animierte GIFs.
Realplayer und Java hatten nahezu von Anfang an einen schlechten Ruf.
Bei mir war's so, daß nach einer kurzen Phase der Begeisterung über die
neuen Möglichkeiten die Skepsis überwog und genau diese Elemente recht
schnell entsorgt waren. Was Javascript anging waren die Möglichkeiten zu
Beginn des Jahrtausends noch deutlich eingeschränkt zu dem, was heute
gemacht wird. Heute gibt's keine Unterscheidung mehr zwischen Web-Seiten
mit quasi statischem Inhalt und komplexer Anwendungs-Software, die
zufällig in Javascript geschrieben auf dem PC des Opfers läuft. Wie vor
ein paar Tagen erwähnt: bei der FAZ kommt gar kein Inhalt mehr, wenn
kein Javascript verwendet wird. Wie blöd sind denn die?
Post by Goetz HoffartSandbox war
auch nicht, und normale Macs und Windows-PCs hatten ja nichtmal
Speicherschutz, oder eine Rechteverwaltung.
Der Schutz ist auch heute nicht so toll. Das wird regelmäßig umgangen.
Post by Goetz HoffartAber das »früher war
es sicherer«, was ich da zwischen den Zeilen lese, halte ich für falsch.
Es ist andersherum: das Risiko war damals nicht so groß. Ransomware?
Seit ein paar Jahren in Umlauf. Botnetze? Vor 15 Jahren völlig
unbekannt. Ich frage mich manchmal, was die Schad-Software damals um
1990 herum überhaupt machte, was heute auffällig wäre. Die verbreitete
sich über Speichermedien, machte die ein oder andere Anwendung kaputt.
War da mehr? Das macht der unvermeidbare Windows-10-Updater heute ab
Werk und mit Ansage.
Schaue ich mir die Schilderungen an, was heute ganz normale Programme
auf den Schlaufonen machen wie z.B. Datenweitergabe übers Netz, dann
wäre das 1990 als GAU empfunden worden, heute betrachtet es fast jeder
Nutzer eines Schlaufons als normal oder interessiert sich nicht dafür.
Dazu bekamen wir in den vergangenen Jahren Software untergeschoben, die
es "damals" nie hätte geben können: das Betriebssystem unter dem
Betriebssystem, Intels AMT. Dieses hat die Kontrolle über die Hardware
völlig unabhängig davon, ob drüber irgendein Windows, MacOS (Intel) oder
ein Linux läuft. Und es ist fernsteuerbar.
Um dessen Aktivitäten zu erkennen und nachzuweisen müßte ich ein IDS in
meinem lokalen Netz betreiben. Du könntest das, ich könnte das mit einer
entsprechenden Einarbeitungszeit. Wer überwacht sein Netz tatsächlich?
Post by Goetz HoffartDie Krypto damals war entweder nicht vorhanden, oder ein schlechter Witz
- Netscape mit 40 Bit Kryptoexporterlaubnis ... das war von Tag 1 durch
die Dienste abschnorchelbar.
Was hat man denn vor 20 Jahren im Web (nicht Email) gemacht, wo der
Inhalt hätte verschlüsselt werden müssen? Online-Shops, Online-Banking
u.ä. gab's nicht.
Die Verbindungsdaten gibt's mit Verschlüsselung trotzdem, und die sind
heute für die Dienste bereits mehr wert als die Inhalte. Außer der
Nutzer "spielt" mit Tor, VPN oder Anonymisierungsdiensten. Und das
kostet Zeit, Wissen und/oder Geld.
Post by Goetz HoffartSoftware wurde nicht zielgerichtet auf Schwachstellen
untersucht, es gab kein Project Zero und keine Bug Bounties. Sicherheit
gleich einzubauen war keine Priorität (im Segment der »normalen« PCs und
Macs).
Da hat sich bei "normaler" PC-Software bis heute nichts geändert. Ganz
im Gegenteil ist das Risiko mit moderner Software noch gewachsen, denn
heutige Coder basteln letztendlich "nur" noch ein paar Programmzeilen
zwischen die Nutzung von Fremdcode. Was da drin steckt und wie die
funktioniert bleibt den allermeisten verborgen, Fehler inklusive.
Dagegen war z.B. Mac-Software um 1990 herum überschaubar. Die konnte von
einem engagierten "Hobbyforscher" in wenigen Tagen in überschaubaren
Häppchen analysiert sein. BTDT.
BTW Project Zero ist von Google initiiert, AFAIK. Da kann man gleich den
Fuchs auf den Hühnerstall aufpassen lassen.
Post by Goetz HoffartIch bleib dabei: wenn du wirklich Sorge um deine Rechnersicherheit hast,
darfst du dich nicht vernetzen. Du kannst den Angriffsvektor verringern,
in dem du auf Features verzichtest. JavaScript. GIF. JPEG. Schriften.
Alles, was einen (serverbasierten) Login benötigt. Letzten Endes kommt
man dabei dann knapp über Gopher, aber ohne Bilder raus.
Dann kommen wir zum gleichen Ergebnis. Meine Einschätzung der
Entwicklung unterscheidet sich nicht wesentlich von Deiner. Nur meine
Konsequenzen sind andere. Ich hab's langsam satt diese ganze
Infrastruktur zu betreiben, nur damit ich ein paar Sachen im Web machen
kann. Der Aufwand mit den Routern, den verschiedenen Rechnern und
Browsern und anderen Anwendungen wird immer größer statt geringer. Es
führt dazu, daß ein Zeitungsabonnement wieder preisgünstiger wird als im
Web unterwegs zu sein.
Oder ich kauf mir monatlich einen vorinstallierten Rechner zum Sörfen,
speichere systematisch keine persönlichen Daten drauf und werfe den dann
in die Tonne. Das kostet beim billigsten Angebot, dem Raspi 3 mit
Speicherkarte, um die 45 Euros. Pro Monat. Wenn er nicht so lange
durchhält, dann wird's eben teurer. Die Router-Struktur brauche ich
trotzdem, denn diesen Sörf-PC würde ich nie in dasselbe Netz hängen, in
dem die anderen, die wichtigen Rechner sind.
Gruß, Ralf