@sulihari:
Ich will ja nicht streiten, aber erstens hat er diesen Vorschlag als Alternative schon länger (#2) und wenn sich zweitens jemand zu einem solchen Rat
sulihari schrieb:
Firewall und Virenscanner temporaer ganz abschalten.
aufschwingt, dann sollte da zumindest noch der Hinweis stehen, daß für diesen Zeitraum der verwendete Computer
keine weitere physikalische Verbindung zum Internet haben darf/sollte.
Richtig verantwortungsvoll wäre es am Ende sogar, wenn man so etwas nur in einer Umgebung empfiehlt, in der sich alle "Gebrauchsspuren" wieder rückstandslos entfernen lassen, z.B. in einer virtuellen Maschine mit Snapshot- oder "GoBack"-Funktion.
Ich kann (ohne Kenntnis der Quellen zum ruKernelTool) zwar
annehmen, daß die Fehlermeldungen einiger Sicherheits-Suiten auf der Verhaltensanalyse beruhen und es sich um "falsch positive" Meldungen handelt, aber das kann ich ansonsten nicht einmal dann attestieren, wenn ich es selbst schon einmal erfolgreich angewendet habe und dabei nichts Unerwartetes/Unerwünschtes geschehen ist. Auch das Argument "Wenn es Schadsoftware wäre, würde die so weit optimiert, daß die Virenscanner da gar nichts finden würden." (schon gehört) hat auf den ersten Blick eine nicht zu bestreitende Logik, was aber, wenn der Angreifer genau darauf vertraut?
Auch berücksichtigt dieser Rat in keinster Weise, daß heute auf so ziemlich jeder Windows-Installation auch ohne das Zutun des Benutzers (das gilt auch für andere Betriebssysteme, aber da ist der Rat i.d.R. unnötig, weil die meisten Rechner dann ohnehin ohne entsprechende Sicherheitsvorkehrungen arbeiten) jede Menge Netzwerk-Verbindungen zur Prüfung von vorhandenen Updates u.v.m. aufgebaut werden und dabei die Injektion von Schadsoftware auch anhand einer Verhaltensanalyse problemlos möglich wäre. Wenn jemand parallel zu einer Frage nach einem Update für eine angreifbare Software nach einem Update für Virensignaturen eines Scanners fragt, dann kann ich davon ausgehen, daß dort eine entsprechende Sicherung vorhanden ist und unterlasse den Angriff auf das Update, ansonsten jubele ich dem Updater meine eigene infizierte Version mit passender Backdoor unter.
Das "CeWe-Fotobuch" war vor etwas mehr als einem Jahr z.B.
ein solcher Kandidat, da es die Liste der Updates unsigniert über eine unverschlüsselte Verbindung bezog und da die zu aktualisierenden Dateien auch noch mit voller URL enthalten waren und keine Signaturprüfung für die zu installierenden Dateien ausgeführt wurde. Das sind schon mal vier Sünden für einen Updater einer ansonsten unverdächtigen Software, die sich ein potentieller Angreifer - wenn er in den Netzwerkverkehr seines Opfers nur früh genug eingreifen kann als MITM - ohne weiteres zu Nutze machen konnte. Ich habe keine Ahnung, ob das nicht auch heute noch so ist, denn ich habe da nie eine Rückmeldung erhalten und das Tool hatte auch keine Beziehung zu meinem Gluteus maximus, die ich im geometrischen Sinne als tangential beschreiben würde und so habe ich die Geschichte nach der Meldung nicht weiter verfolgt. Es ist auch nur ein Beispiel von vielen ...
Unter diesen Voraussetzungen nutzt mir auch die Kenntnis, daß da ja auch bei eingeschalteter Sicherheitssoftware "nichts Böses" beim Update zu sehen ist, rein gar nichts ... es geht also nicht nur um (potentiell) kritisches Verhalten von wissentlich und willentlich ausgeführter Software, es geht auch um die - für den Zeitraum des Abschaltens - erhöhte Infektionsgefahr von/für andere Software, die "im Normalfall" eher ein unkritisches Verhalten zeigt.
Ansonsten ist so ein Rat (ohne entsprechende Begründung oder gesichertes Wissen) genauso sinnentleert wie der Tipp, beim Sex mit einer/einem ansonsten Unbekannten ohne Kondom /nur oben/nur unten/gar nicht/ zu liegen, dann wäre eine /HIV-Infektion/Schwangerschaft/was auch inmer/ schon ausgeschlossen ... wenn das x-mal funktioniert hat, muß das erstens nicht an der Stellung (so das überhaupt praktikabel ist) gelegen haben und kann beim (x+1)-ten Versuch gewaltige Probleme bereiten.
Das hat auch nichts per se mit dem ruKernelTool an sich zu tun ... sonst hätte ich es nicht selbst erwähnt. Auch wenn die verfolgte Politik der "ablaufenden Beta-Versionen" mit automatischem Update-Angebot da ein zusätzliches Risiko eröffnet, es sei denn, der ruKernelTool-Installer/-Updater (ist auch nicht signiert, wenn ich mich recht erinnere) prüft die nachgeladene Software selbst ausreichend (eine Hash-Kollision wäre aber (zumindest bei MD5, für staatliche Angreifer vermutlich sogar bei SHA1) berechenbar und die Frage, wie die Gültigkeit des Vergleichswertes sichergestellt wird, bleibt dann auch noch offen, denn das bräuchte ja auch eine Sicherung oder einen unabhängigen Übermittlungsweg) ... aber das ist ein anderes Thema und ich will (außer mit dem Autor selbst) nicht über dieses Vorgehen streiten bzw. darüber richten. Ich habe den Update-Prozess beim ruKernelTool auch noch nie genau untersucht, nur einige Male erleben müssen, daß die neue Version des ruKernelTools beim angebotenen automatischen Update erst einmal von mindestens einem Virenscanner (es war Norton Antivirus, wenn ich das richtig im Gedächtnis habe) in Quarantäne gesteckt wurde.
Aber einen so kritischen Rat wie "Virenscanner und Firewall komplett abschalten" sollte man nur dann geben, wenn man die dazu notwendigen Voraussetzungen auch ausdrücklich benennt. Selbst beim Hersteller des Windows-Betriebssystems finden sich in neueren KB-Einträgen immer häufiger entsprechende Warnungen, wenn diese Empfehlung an irgendeiner Stelle
aus einem konkreten Anlaß gegeben wird.
Just my 2 cents ...
