Sicher Software beziehen

[Gast dnyc]

Ich bezog viele meiner Anwendungen seit fast 16 Jahren von Chip.de. Natürlich habe ich dort nur die manuelle Installation gewählt.

Langsam frage ich mich aber, ob das so sicher ist. Ist ja eigentlich ein Computermagazin, welches man auch bei Supermärkten etc kaufen kann, von daher müssten die ja eigentlich seriös sein.

Was ist aber, wenn die Datei verseucht ist und die Redaktion es nicht mitbekommen hat, weil sie es z. B. von einer falschen Seite bezogen haben?

Viele sagen ja, dass man Software von der Herstellerseite beziehen soll. Woher weiß ich aber, welches wirklich die offizielle Seite eines Produktes ist? Nur weil ich 7-Zip in Google einwerfe und die erste Seite 7-zip.de ist, könnte das doch auch falsch sein. Es gibt ja keine Garantie, kein Siegel, wie "Offizielle Seite - Siegel" oder so.

Ich habe jetzt die Alpha Version von 7-Zip installiert, und bei Virustotal gab es ein Treffer: https://www.virustotal.com/gui/file/93b1739c237179186d4da1a6c0e821e208663915d3f1bbd7a4377d96aa6894a4/detection

Den Hash scheint man nicht prüfen zu können, da auf 7-zip.org/de keiner steht, zumindest sehe ich es nicht.

Das ist eigentlich ein Unding, dass Windows keinen offizielen Store hat, wo jeder Hersteller seine Software einreichen kann und diese geprüft wird. Es gibt zwar den Windows Store, aber der ist doch nur für so bestimmte Art von Apps, oder?

Naja, was soll man da machen...

[Thanks-and-Goodbye]

Von welcher Seite hast du 7-Zip Alpha heruntergeladen?

Wie bewertest du das Scanergebnis von Virustotal.com: 1 von 73 Engines hat den Installer bemängelt?

Was spricht gegen den Einsatz von brain 1.0?

Zitat

Das ist eigentlich ein Unding, dass Windows keinen offizielen Store hat, wo jeder Hersteller seine Software einreichen kann und diese geprüft wird.

Echt? Willst du die Verhältnisse, die Apple auf den iPhones und iPads durchgedrückt haben auch auf dem nächsten System durchdrücken? Formatiere deine Festplatte und installiere dir Win 10 S. https://support.microsoft.com/de-de/help/4020089/windows-10-in-s-mode-faq

Zitat

Naja, was soll man da machen...

Hirn einschalten wenn man den PC einschaltet. Was anderes wirkt halt nicht so richtig.

[Gast ADM]

vor 4 Minuten schrieb dnyc:

Langsam frage ich mich aber, ob das so sicher ist. Ist ja eigentlich ein Computermagazin, welches man auch bei Supermärkten etc kaufen kann, von daher müssten die ja eigentlich seriös sein.

Seriös war chip.de noch nie. Weder deren Empfehlungen noch deren Download Portal, da man dort nicht nur die eigentliche Software sondern zusätzlichen Adware Müll erhält.

vor 9 Minuten schrieb dnyc:

Viele sagen ja, dass man Software von der Herstellerseite beziehen soll. Woher weiß ich aber, welches wirklich die offizielle Seite eines Produktes ist?

Grundsätzlich ist es richtig, dass man ein Software Produkt direkt vom Hersteller beziehen sollte. Man sollte sich dazu auch gründlich über die Software und deren Hersteller informieren. Dann kann eigentlich wenig passieren.

Zitat

Echt? Willst du die Verhältnisse, die Apple auf den iPhones und iPads durchgedrückt haben auch auf dem nächsten System durchdrücken? 

Naja, ein Store ist ja grundsätzlich nicht schlecht, auch nicht die Sicherheitsüberprüfung durch Apple, Google. Leider wird das halt auch potenziell missbraucht. Hier hat halt leider die Politik bzw. das Kartellamt zu lange weggesehen.

Es gibt übrigens auch freie alternative "Stores" bzw. Paketmanager z.B. Chocolatey.

[Visar]

Aus welchem Grund genau benötigt ein Endnutzer eigentlich eine Alpha-Version einer Software, deren Hauptfunktion darin besteht Archive zu (ent-)packen? Davon abgesehen: Du musst dir darüber im Klaren sein, dass ein Treffer in einer Datenbank bzw. bei einem einzelnen Scanner erst einmal gar nichts heißt. Erinnern wir uns einfach an die selige Zeit Anfang der 2000er zurück, wo Norton Antivirus teilweise system32 auf einem frisch installierten System als Gefahr eingestuft hat. Yay. Ursächlich können dafür auch nicht aktuelle Datenbanken auf Seiten des Herstellers sein, was gefährlich ist, was nicht oder ein grds. zu scharfer Scan. Wie gesagt: Norton. Wobei ich zu Symantecs Verteidigung sagen muss, dass Avira das vor Ewigkeiten auch schaffen konnte in jeder Dritten Datei etwas zu finden, wo sonst keiner etwas finden wollte.

Pro-Tipp: Wenn ein Installer an Avast, Avira, Bitdefender, Windows Defender, Fortinet UND alle anderen, renommierten Tools vorbei kommt, wird da mit extrem hoher Wahrscheinlichkeit nichts böses dran sein.

Anyhow.. in dem Fall kommt der "negative" Check von einer Software, die wohl eher für den chinesischen Markt konzipiert ist. Insofern wohl guten Gewissens zu vernachlässigen. Ansonsten bleibt aber natürlich noch die Frage offen, weshalb du überhaupt eine Software installierst bei der du - aufgrund dieses Ergebnisses - ein so offenkundig schlechtes Gefühl hast. Ich meine... nein, Visar, aus jetzt. Geh schlafen.

[pr0gg3r]

vor 2 Stunden schrieb ADM:

Grundsätzlich ist es richtig, dass man ein Software Produkt direkt vom Hersteller beziehen sollte. Man sollte sich dazu auch gründlich über die Software und deren Hersteller informieren. Dann kann eigentlich wenig passieren.

 

Naja, es kann durchaus die Webseite kompromittiert sein, der Quellcode der Software kann kompromittiert sein, eine Bibliothek die von dem Programm verwendet wird kann kompromittiert sein... 

Die Lösung sollte weniger Vertrauen auf das Programm oder die Antiviren-Software sein, sondern eher, ein Programm nur mit den Rechten auszuführen, die es auch tatsächlich benötigt...

Auch interessant sind die Kommentare (https://www.virustotal.com/gui/file/93b1739c237179186d4da1a6c0e821e208663915d3f1bbd7a4377d96aa6894a4/community), natürlich kann auch immer ein False-Positive dabei sein.

Bearbeitet 27. Mai 2020 von pr0gg3r

[MartinSt]

Das Problem besteht doch grundsätzlich, nicht nur bei Software.
Woher weißt du, dass dein Autohaus dir die guten Originalersatzteile einbaut und nicht Billigkopien?
Wie prüfst du, dass es wirklich ein Marken-Shirt ist, dass du im Einzelhandel kaufst?

In Apotheken läuft beispielsweise aktuell ein richtig aufwändige Aktion, dass der Apotheker bei jeder Lieferung über den Großhandel für jede einzelne Packung prüfen soll, dass diese wirklich original vom Hersteller ist und keine Kopie. Da diese Prüfung anhand der Chargennummer nur online sinnvoll machbar ist, fallen uns als Informatiker jetzt gleich wieder 100 mögliche Angriffsszenarien für diese Prüfung ein.

[allesweg]

vor 8 Stunden schrieb dnyc:

Ist ja eigentlich ein Computermagazin

Das behauptet die ComputerBILD auch von sich.

vor 8 Stunden schrieb dnyc:

bei Virustotal gab es ein Treffer

Ein Virenscanner sucht nach bekannten Mustern von Schädlingen. Je nach Ähnlichkeit schlagen sie auch mal zu früh an.

Ein Virenscanner sucht nach bekannten Mustern von Schädlingen. Wenn ein Schädling neu ist, kennt keiner das Muster und keiner schlägt an.

 

Es soll sogar schon vorgekommen sein, dass über die programminternen Hersteller-Updateroutinen Schadsoftware verbreitet wurde.

[KeeperOfCoffee]

Was Softwarebeziehen angeht ... ich selbst finde mich da immer mehr auf GitHub. Die meisten Projekte hosten ihr Zeug da schließlich immer noch. Auch, wenn es zu Problemen kommt, bekommt man dort schneller eine Antwort als in jedem Forum des Herstellers. Und die README.md gibt einen nen schönen Überblick über alles, was man auf die Schnelle wissen muss und nützliche Links.

Leider hostet 7zip ihr Zeug noch über sourceforge (yep das lebt immer noch) https://sourceforge.net/projects/sevenzip/files/

Persönlich bin ich ja ein Fan von Package Managern wie unter Linux. Da hat sich unter Windows https://chocolatey.org/ hervorgetan.

Der hat auch 7zip drinnen und nicht die komischen Versionen, die der Microsoft Store hat

 

[tkreutz2]

vor 16 Minuten schrieb KeeperOfCoffee:

Persönlich bin ich ja ein Fan von Package Managern wie unter Linux. Da hat sich unter Windows https://chocolatey.org/ hervorgetan.

Ich nutze auch lieber Package Manager. Abgesehen davon, sollte man als Admin zu jedem System eine passende Sicherungsstrategie entwickeln. Die schützt zwar nicht vor Bedrohungen, aber im Fall eines Falles kommt man wenigstens wieder auf die Last Known Good Version zurück. Daneben Daten + System getrennt halten und Datensicherungen auf Offline Medien verfügbar halten und in passenden Intervallen sichern. Man kann es halt nicht oft genug sagen. Was nützt der beste Scanner, wenn morgen eine Bedrohung kommt, mit der noch keine Sicherheitslösung umgehen kann.

Außerdem sollte man nicht benötigte oder benutze Software tunlichst wieder vom System entfernen. Sofern man vorher entsprechende Images erstellt hat - kein Problem. Aber sicher muss man passende Strategien immer für die passende Anforderung entwickeln.

[allesweg]

vor einer Stunde schrieb KeeperOfCoffee:

Da hat sich unter Windows https://chocolatey.org/ hervorgetan.

Und wer garantiert mir bei deren Repository, dass da nix böses drin ist? Irgend jemandem muss ich immer vertrauen...

[Visar]

vor 3 Minuten schrieb allesweg:

Irgend jemandem muss ich immer vertrauen...

Das kannst du aber nicht. Anders gesagt, das ist dann wohl das Ende des Computerzeitalters ...

🤣

[Whiz-zarD]

vor 10 Stunden schrieb dnyc:

Das ist eigentlich ein Unding, dass Windows keinen offizielen Store hat, wo jeder Hersteller seine Software einreichen kann und diese geprüft wird. Es gibt zwar den Windows Store, aber der ist doch nur für so bestimmte Art von Apps, oder?

Es gibt nun Windows Package Manager.

Die Softwarehersteller können per Pull-Request auf dem Github-Repository ihren Installer registrieren lassen. Microsoft schaut sich das an und entscheidet, welcher Installer aufgenommen wird und welcher nicht.

Bearbeitet 28. Mai 2020 von Whiz-zarD

[KeeperOfCoffee]

vor 6 Minuten schrieb allesweg:

Und wer garantiert mir bei deren Repository, dass da nix böses drin ist? Irgend jemandem muss ich immer vertrauen...

Wer garantiert mir, dass mein Vorgesetzter, der gesagt hat "installiert das Zeug" nicht ein Spion aus Nordkorea ist 

[allesweg]

@KeeperOfCoffee irgendwo zwischen blauäugig alles installieren und Aluhut könnte es auch etwas geben. Auch hier liefert Pratchett:

Zitat

„Nur weil du paranoid bist, heißt das nicht, dass sie nicht hinter dir her sind.“

Nur ist der Angriffsvektor bei einem solchen zentralen Repository größer wie wenn man die Herstellerseite eines Programms kapert und in den Installer/Updater Schadcode einschleust.

 

 

[tkreutz2]

vor 7 Minuten schrieb allesweg:

@KeeperOfCoffee irgendwo zwischen blauäugig alles installieren und Aluhut könnte es auch etwas geben. Auch hier liefert Pratchett:

Nur ist der Angriffsvektor bei einem solchen zentralen Repository größer wie wenn man die Herstellerseite eines Programms kapert und in den Installer/Updater Schadcode einschleust

dem Human Faktor stets der Faktor, der den größtmöglichen Schaden anrichten kann.

Das ist ja eine tolle Funktion mit dem Editieren, war dann auch mal so frei. Das Thema Sicherheit erinnert mich immer an den Sasser Virus, der eigentlich systemisch nicht hätte eintreffen können, bis ein GF aus dem Osten am  Sonntag nachmittag ins Büro kam, um seinen "eigenen" USB Stick mit der EDV zu verbinden, was dazu führte, dass sämtliche Maschinen.... - na ihr wisst schon - "Authorität fährt ihr System runter, Sie haben noch .... Sekunden Zeit...". Einschließlich der Maschinen, die irgendwie die Produktion steuerten. Das war in den 2000er Jahren zu Zeiten vom guten alten Windows NT 4.0 SP 6a. Und ich glaube, es war Norton Antivirus, bin mir aber nicht mehr sicher. Natürlich die Enterprise Version mit sämtlichen Features.

Bearbeitet 28. Mai 2020 von tkreutz2

[Mathias G.]

was spricht gegen das nutzen des Programms?

wenn man bei 7zip auf Hilfe klickt, zeigt es aus die Herstellerseite

https://www.7-zip.org/

 

 

 

[Thanks-and-Goodbye]

vor 3 Minuten schrieb Mathias G.:

was spricht gegen das nutzen des Programms?

Das ist doch gar nicht die Diskussion! Lies den Thread mit offenen Augen.

[Mathias G.]

vor 12 Stunden schrieb dnyc:

Viele sagen ja, dass man Software von der Herstellerseite beziehen soll. Woher weiß ich aber, welches wirklich die offizielle Seite eines Produktes ist? Nur weil ich 7-Zip in Google einwerfe und die erste Seite 7-zip.de ist, könnte das doch auch falsch sein. Es gibt ja keine Garantie, kein Siegel, wie "Offizielle Seite - Siegel" oder so.

darauf bezog sich meine Antwort. Das (von dir schon genutzte 7Zip) Programm zeigt die die Hersteller Seite an. Wenn es also um Updates gehts oder man das Programm schon im Einsatz hat, kann man da nachsehen

Bearbeitet 28. Mai 2020 von Mathias G.

[allesweg]

Bei meiner Infrastruktur bin ich der Admin und somit die Fehlerquelle auf Layer8, ganz klar.

In einem Unternehmen ist der Betreuer des Updateservers verantwortlich.

Bei einem solchen Tool lagere ich die Verantwortung an einen Unbekannten/eine Community aus.

 

Ich persönlich bevorzuge, den Verantwortlichen greifbar zu haben.

[Thanks-and-Goodbye]

Das sieht man aber erst, NACHDEM man das Programm installiert hat. Bei der falschen Downloadquelle hat man dann eventuell gleich eine PUA mitinstalliert.

 

[Mathias G.]

dann sollten wir unterscheiden

1. updates kann man mit der referenz aus dem genutzten Produkt machen

2. neue Programme muss man ausführlich überprüfen. Da sollte man dann aber auch mehr machen als nur einen Namen googlen. Dabei braucht man also gute Referenzen (die man dann nach einer sicheren Bezugsquelle fragen kann) oder muss sie die Sache selbst ansehen (sandbox)

[tkreutz2]

vor einer Stunde schrieb Mathias G.:

dann sollten wir unterscheiden

2. neue Programme muss man ausführlich überprüfen. Da sollte man dann aber auch mehr machen als nur einen Namen googlen. Dabei braucht man also gute Referenzen (die man dann nach einer sicheren Bezugsquelle fragen kann) oder muss sie die Sache selbst ansehen (sandbox)

Punkt 2 wirft zumindest neue Fragen in den Raum. Wie überprüfe ich denn eine Software, wenn nicht alle Inhalte ohne jegliche Einschränkung quelloffen oder erwünscht sind. Daraus resultiert möglicherweise die Frage: "Kann ich diese Software auch selbst builden ?" Also tief in den Entwicklungsprozess eingreifen und ggf. unerwünschte Teile für mich entfernen ?

Auf der Homepage heißt es: "Der Großteil des Codes ist unter der GNU LGPL lizensiert. Einige Teile des Quelltextes stehen unter der 3-Klausel-BSD-Lizenz". Was ist denn die 3-Klausel-BSD Lizenz ?

In Verbindung mit 3-Klausel-BSD Lizenz findet die Suchmaschine meiner Wahl gleich kritische Artikel, die damit beginnen: "....3. All advertising materials mentioning features or use of this software must ... So gibt es jetzt eine neue BSD-Lizenz, die die Werbeklausel nicht mehr enthält...."

Die Schummelsoftware einiger bekannter Automobilhersteller zum Abgasverhalten, konnte ziemlich lange im Verborgenen bleiben, ganz zu schweigen von dem Termin der Erkennung bis zu dem rechtlichen Anspruch auf möglichen Schadenersatzansprüchen.

Neben der "Kann"-Möglichkeit quelloffene Software zu prüfen, müsste es also auch die technische- und organisatorische Möglichkeit geben, unerwünschte Teile der Software zu entfernen. Das heißt konkret, das Know-How muss auch vorhanden sein. Ich habe mal irgendwo etwas gelesen, dass weniger als 5 Leute wirklich am Linux Kernel einer bekannten Distribution rumbasteln dürfen, selbst wenn sie es könnten.

Sofern die Software im Quelltext vorhanden ist und sich fehlerfrei kompilieren lässt, stellt sich mir die zusätzliche Frage, inwiefern die Qualität der Software einer Bewertung unterzogen werden kann. Heißt konkret, auch mögliche Schwachstellen in sicherheitsrelevanten Zusammenhängen können Risiken darstellen. Man vertraut bei quelloffenen Systemen immer pauschal auf die Leistung der Community und einer theoretischen Fähigkeit einer gegenseitigen Selbstprüfung auf hohem Niveau. In der Regel ist hier aber jede Menge Hobby-Arbeit drin. Bleibt die Frage offen, ob einer Härteprüfung z.B. in Form eines kommerziellen Checks, das Versprechen standhalten kann, oder ob ich mir hierdurch nicht eine Lücke erst ins System hole, die von einer kleinen Gruppe "Insidern" bereits aktiv genutzt wird.

 

Bearbeitet 28. Mai 2020 von tkreutz2

[Asura]

Ich bin überrascht welche Beteiligung das auslöst, worüber ich aber nicht überrascht bin sind die Antworten. Die habe ich sogar so erwartet

vor 14 Stunden schrieb dnyc:

Ich bezog viele meiner Anwendungen seit fast 16 Jahren von Chip.de.

Ich meide Chip unter allen Umständen, lieber bin ich anwendunglos, als dass ich mir von dort Anwendungen hole. Eine "seriöse" Seite die mir u. U. Adware unterjubelt, ist bei mir ganz weit unten durch, wobei auch die fachlichen Beiträge meistens eher Richtung "meh" gehen.

Eine gesunde Menge an Paranoia und Skepsis ist wichtig, allerdings sollte das Dorf in der Kirche bleiben. Jeder der mit einem gesunden und technischen Verstand an die Sache geht, minimiert das Risiko.Ein minimiertes Risiko heißt aber nicht, dass es nicht trotzdem gefährlich werden kann.

Wenn man sich über Jiangmin einliest, kann man sich sehr schnell ein Urteil über diesen Fund bilden..