Wenn Bundi doch kommt, gebe ich mal ein paar klitzekleine Infos zu den Möglichkeiten schon vorhandener Malware:
- Virenscanner erkennen aktuell gerade ca. 35 % der Malware
- die Updates bleiben verdächtig klein obwohl die Malware explodiert und das hat einen Grund: die Signaturen älterer Malware fliegen schon aus der Erkennungsliste raus (teils Jahreszeitraum!)
- schon früher haben Virenscanner bestimmte Malware erst nach Jahren entdeckt. Mit billigster "Verschlüsselung", Kompression exotischer Formate usw. kann Malware sehr einfach gewandelt werden und dann paßt die Signatur nicht mehr. "Bundi" müßte dann praktisch zeitnah erkannt werden
- eine Infektion muß erst mal auffallen. Unauffälligkeit ist aber ein primäres Ziel sämtlicher Trojaner und einen erst mal zu jagen und zu fangen erfordert fortgeschrittene PC-Kenntnisse und Zeit! (Fulltime-Job, zumindest zeitweise). Die Hersteller der Virenscanner benötigen ja erst mal eine gewisse Zuarbeit, ansonsten müßten die ja nahezu sämtliche PCs der User "auseinandernehmen"
- signaturbasierte Malwareerkennung hat nur bis 2007 halbwegs Sinn gemacht - schon jetzt reicht das nicht wirklich. Etwa 20% der PCs sind mit Rootkits infiziert - da besteht schon ein Sicherheitsdefizit und allein die sichere Entfernung ist aufwändig (sauberes Image bzw. Neuinstallation)
Firewalls helfen bedingt, aber kaum gegen Zero-Day-Exploits wenn dahinter ein gefährdeter Dienst usw. lauert bzw. gar benötigt wird. Auf http, smtp, dns, ... wird man kaum verzichten können, auf ICMP bei IPV4 notfalls, bei IPV6 aber schon nicht mehr - und über ICMP kann man afaik eine Firewall tunneln. Http, FTP, DNS braucht man dagegen aber wirklich.
Live-CD ist ein Ansatz, hat aber auch Lücken. Malware muß nicht zwangsläufig auf einem Datenträger installiert werden, dies kann auch nur im RAM geschehen. Den RAM nach Malware zu durchforsten ist extrem zeit- und arbeitsaufwändig (=> z. B. hiberfil.sys oder andere Kopie durchforsten). Das ist echt nur etwas für Profis.
Ok, beim nächsten Neustart ist die Malware wieder "draußen" (Dinge wie ACPI-Rootkits usw. sollen nur nebenbei erwähnt werden). Was, wenn es in einem dringend benötigten Dienst eine Lücke gibt, über die die Malware "bei jeder Einwahl" wieder - nur im RAM - installiert wird?
Gut, daß die Regierung noch nicht so weit ist wie die Malware-Mafia. Es lohnt aber durchaus wieder mal über Systemsicherheit nachzudenken.