1) bei personal-firewalls ist immer so ziemlich das erste argument dagegen, dass sie ja leicht zu umgehen seien. das stimmt.

bei Anti-Malware ist es genau das selbe: tunnelen ist in dem fall eben nur patchen/packen/crypten.

dies ist im grunde dieselbe konzeptionelle schwäche.

2) heuristiken kommen nicht mal annähernd auf die genannten 95% erkennungsrate, bei schädlingen, die nicht im source vorliegen (also bei nicht-scripts). jeder, der was anderes behauptet, soll mir dafür einen glaubwürdigen beleg liefern [1].

3) ich kann mir weder sicher sein, dass malware, die laut hersteller erkannt wird, auch wirklich erkannt wird, noch weiß ich genau, dass ein erkannter virus auch wirklich keine fehlinterpretation ist.

4) das problem, dass ein virus erst einmal einem AV-hersteller vorliegen muss, um erkannt zu werden bleibt immer, wie sehr auch einige mit halber sicherheit zu argumentieren versuchen, dass das doch theoretisch [2] ziemlich schnell gehen müsse(übrigens: signatur angepasst).

fazit: virenscanner sind vielleicht nicht grundsätzlich sinnlos. aber: jeder, der den grundsätzlichen nutzen von personal-firewalls abstreitet, macht sich läscherlich, wenn malwarescanner auf einmal als weisheit letzter schluß angesehen werden.

.cruz

[1]im übrigen steigen die fehlalarme exponentiell mit heuristik an, so dass ein weiterer kritikpunkt von firewalls (den user zu verunsichern/überfordern) hinzukommt.

[2] und nein, dass das auch praktisch schon oftmals schnell geklappt hat[3], macht das ganze auch nicht viel besser

[3] auch wenn niemand wirklich genau weiß/wissen kann, wie lange es wirklich gebraucht hat

>bei Anti-Malware ist es genau das selbe:
>tunnelen ist in dem fall eben nur
>patchen/packen/crypten.

Patchen hilft nicht bei neueren Generationen von Virenscannern (z.B. bei der NOD32 2.0 Beta).

Packen und Crypten sind ein Problem. Einige Virenscanner (z.B. NOD32 2.0) gehen deshalb den Weg über Speicherscans oder sie benutzen ihre Emulation um Packer/Crypter zu emulieren

>2) heuristiken kommen nicht mal annähernd auf
>die genannten 95% erkennungsrate, bei
>schädlingen, die nicht im source vorliegen (also
>bei nicht-scripts). jeder, der was anderes
>behauptet, soll mir dafür einen glaubwürdigen
>beleg liefern [1].

Ich bin grade dabei einen entsprechenden Beweis zu liefern. Der Scan läuft derzeit [img]redface.gif[/img] ). Bislang hängt die Erkennung bei ca. 80% - allerdings hab ich vergessen die Backdoors rauszulöschen. Wir sprechen ja von Heuristiken in VIRENSCANNERN.

Das eine Heuristik keine 95% schafft ist EIN GERÜCHT. Bootsektor Viren lassen sich mittlerweile sogar mit 100%iger Genauigkeit erkennen ohne Fehlalarme. Ähnlich Macroviren.

>3) ich kann mir weder sicher sein, dass malware,
>die laut hersteller erkannt wird, auch wirklich
>erkannt wird, noch weiß ich genau, dass ein
>erkannter virus auch wirklich keine
>fehlinterpretation ist.

Zumindest für den letzten Teil gibts den Hersteller Support [img]redface.gif[/img] ).

>4) das problem, dass ein virus erst einmal einem
>AV-hersteller vorliegen muss, um erkannt zu
>werden bleibt immer, wie sehr auch einige mit
>halber sicherheit zu argumentieren versuchen,
>dass das doch theoretisch [2] ziemlich schnell
>gehen müsse(übrigens: signatur angepasst).

Es gibt mitlerweile auch neue Konzepte über Behavior Scanning und Blocking. Die Heuristiken arbeiten bei Viren sehr gute Arbeit (und ich meine nicht die KAV heurstik - ich meine z.B. NOD32, RHBVS usw.).

>[1]im übrigen steigen die fehlalarme
>exponentiell mit heuristik an, so dass ein
>weiterer kritikpunkt von firewalls (den user zu
>verunsichern/überfordern) hinzukommt.

Die Chance eines Fehlalarms steigt auch mit der Anzahl der Signaturen. Gute Heuristiken produzieren nur sehr sehr selten Fehlalarme bis GAR NICHT.

</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak:
Patchen hilft nicht bei neueren Generationen von Virenscannern (z.B. bei der NOD32 2.0 Beta).</font>[/QUOTE]und wie soll das gehen? ist nod32 2.0 nicht signaturbasiert?

</font><blockquote>Zitat:</font><hr />Ich bin grade dabei einen entsprechenden Beweis zu liefern. Der Scan läuft derzeit [img]redface.gif[/img] ). Bislang hängt die Erkennung bei ca. 80% - allerdings hab ich vergessen die Backdoors rauszulöschen. Wir sprechen ja von Heuristiken in VIRENSCANNERN.</font>[/QUOTE]da bin ich ja mal sehr auf dein genaues testszenario gespannt.

</font><blockquote>Zitat:</font><hr />Das eine Heuristik keine 95% schafft ist EIN GERÜCHT.</font>[/QUOTE]nagut sagen wir mal zB bei trojanern, das geht per definition nicht. woher soll ein programm per heuristik wissen, ob es vom user gewollt ist, dass eventuell eingegebene daten an den hersteller gesendet werden, oder nicht? (also die eigentliche definition eines trojaners, ungewollte funktionen). mir würden auf anhieb noch ein paa mehr beispiele einfallen, aber eins reicht ja erstmal.

</font><blockquote>Zitat:</font><hr />Es gibt mitlerweile auch neue Konzepte über Behavior Scanning und Blocking. </font>[/QUOTE]das mag ja sein, wie kann ich das _heute_ einsetzen und wie gut funktioniert das _heute_?

</font><blockquote>Zitat:</font><hr />Die Chance eines Fehlalarms steigt auch mit der Anzahl der Signaturen. </font>[/QUOTE]ein weiteres argument dagegen [img]tongue.gif[/img]

.cruz

achso, ich habe einen (nicht ganz ernst gemeinten) vorschlag, alle genannten probleme auf einmal zu lösen. man arbeitet anstatt mit blacklisten einfach mit whitelisten [img]tongue.gif[/img]

.cruz

&gt;und wie soll das gehen? ist nod32 2.0 nicht
&gt;signaturbasiert?

NOD32 2.0 benutzt Behavior Scanning.

&gt;da bin ich ja mal sehr auf dein genaues
&gt;testszenario gespannt.

Ca. 200.000 Malwaresamples werden gescannt mit NOD32.

&gt;nagut sagen wir mal zB bei trojanern, das geht
&gt;per definition nicht.

Stimmt. Es gibt Malwaretypen (z.B. Trojaner und noch einige andere) bei denen ist eine Heuristik schwer. Für diese gibt es aber Anti-Trojaner Programme, die Heuristiken bieten, deren Trefferquote bei über 50% liegt. Das ist nicht viel, aber immerhin ein Anfang.

Windows 32 Infektoren bekommst Du heutzutage kaum noch vor einer guten Heuristik versteckt. DOS schon seit einigen Jahren nicht mehr.

&gt;das mag ja sein, wie kann ich das _heute_
&gt;einsetzen und wie gut funktioniert das _heute_?

Für den Massenmarkt ist es nicht verfügbar.

&gt;&gt;Die Chance eines Fehlalarms steigt auch mit der
&gt;&gt;Anzahl der Signaturen.
&gt;ein weiteres argument dagegen [img]tongue.gif[/img]

Das sollte ja nur eine Ergänzung zu deinem Argument sein.

</font><blockquote>Zitat:</font><hr /> das mag ja sein, wie kann ich das _heute_ einsetzen und wie gut funktioniert das _heute_? </font>[/QUOTE]Genau... den Firewall-Herstellern wird ja von einigen hier auch keine Zeit zugestanden, die durch TooLeaky & Co dokumentierten Lücken zu schließen (und sogar ignoriert, dass einige FWs zumindest diese Lücken nicht mehr haben).
Warum werden bei Virenscannern andere Maßstäbe angelegt?

[ 11. Oktober 2002, 18:39: Beitrag editiert von: forge77 ]

Weil Firewalls durch Lücken umgangen werden, die bereits mehrere JAHRE bekannt sind - deshalb.

Virenhersteller die gut sind, reagieren recht gut. Siehe McAfee, KAV, RAV, NOD32 ... .

Der erste tunnelnde Backdoor-Trojaner ist aber noch nicht sehr alt... TooLeaky & Firehole sind auch nicht viel älter (jedenfalls noch kein Jahr.)

Die Prinzipien sind alt. Es gibt noch mehr Tools als Firehole z.B. . NGLT nutzte die selbe Methode wie Firehole und ist über ein jahr alt.

</font><blockquote>Zitat:</font><hr /> NGLT nutzte die selbe Methode wie Firehole und ist über ein jahr alt. </font>[/QUOTE]Mensch! Damit hättest du RICHTIG berühmt werden können!

bin ich doch eh scho *fg*

@Seltsam Du hast davon berichtet, dass die AV Hersteller mit Mailserverbetreibern wie GMX ein Abkommen geschlossen haben und verdächtige Mails untersuchen dürfen (so habe ich es zumindest verstanden).

Ich habe da GANZ ERHEBLICHE datenschutzrechtliche Bedenken und meine auch, dass ein solches Vorgehen (Lesen und Analysieren von Emails durch Dritte auf Verdacht) von den GMX AGB's nicht gedeckt wäre.

@Alle Any comments?

Gruss Nautilus

Bei GMX bin ich mir nicht sicher. WEB.DE hat ne Vereinbarung mit NAI - das weiß ich. hotmail imho auch. eins und eins mit norton.

Es werden auch AUSSCHLIESSLICH die Attachments analysiert. Keine Inhalte.

Wenn z.B. 20 verschiedene Personen das selbe Attachment verschicken, dann werden z.B. einige Frühwarnsysteme aktiv und der Admin leitet die Attachments an die AV Hersteller weiter.

Bei Hotmail steht bestimmt in den AGB, dass Email, Adressen und sogar das Haus eines jeden Mitglieds an beliebige Dritte verkauft werden dürfen

Im Ernst: Auch bei Attachments hätte ich noch Bedenken. Was ist etwa mit einer Worddatei, die VIELLEICHT einen Macrovirus enthält, mit Sicherheit aber vertrauliche und persönliche Informationen?

[ 11. Oktober 2002, 20:41: Beitrag editiert von: Nautilus ]

Mir fällt in diesem Zusammenhang auf, dass ich manchmal einige Dateiattachments bei GMX nicht downloaden kann, meistens solche, die ich auch nicht bestellt habe Aber ich habe für diesen Fall eine Testumgebung geschaffen ... nur um checken, ob da wirklich "böse Dinge" vorhanden sind [img]redface.gif[/img]

Hat das was mit dieser 'Überwachung' zu tun?

Gruß!
MyThinkTank