1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Security: Malware mit legitimen…

Aua aua aua ... haben die Forscher auch nochmal selber mit IDA nachgeschaut?

  1. Thema

Neues Thema Ansicht wechseln


  1. Aua aua aua ... haben die Forscher auch nochmal selber mit IDA nachgeschaut?

    Autor: Onsdag 07.11.17 - 11:46

    Soso, VirusTotal wurde also benutzt um zu ermitteln, daß es sich um Malware handelt.

    Daß es auch Fehlalarme bei absolut harmloser Software gibt, scheint den Autoren nicht geläufig zu sein. Ich selbst habe mehrere meiner Programme über die Jahre immer mal wieder als Malware deklariert bekommen. Und das obwohl die Analysten sich ganz einfach den passenden Quellcode dazu hätten angucken können.

    Das wirkliche Problem ist, daß Erkennungen (ganz allgemein) innerhalb der Industrie kopiert werden (Kaspersky hatte das ja auch schon öffentlichkeitswirksam nachgewiesen). Aber wenn sich dann eine Erkennung bei einer Firma als Fehlalarm herausstellt, wird dieser Fakt eben nicht "kopiert". Denn Fehlalarme sind ein Negativkriterium in Tests, während Erkennungen ein Positivkriterium sind. Es gibt also jeden Anreiz (und auch die entsprechenden industrieinternen Mechanismen, wie bspw. Norman's Protokoll zum Austausch von Samples) sich über die Erkennungen anderer Firmen zu "informieren" (in Wirklichkeit werden die Scanner auch zwischen den Analysten verschiedener Firmen ausgetauscht) und diese zu "übernehmen", aber es gibt keinerlei Anreiz für die Firmen Fehlalarme untereinander zu kommunizieren. Oft sind ja gerade sie es die in Tests den Unterschied ausmachen.

    Alles in allem eine ziemlich verzwackte Situation, vor allem wenn man als Opensource-Entwickler oder kleine Firma praktisch chancenlos gegen die AV-Firmen dasteht.

    Es wäre an der Zeit, daß sich zum Austausch bösartiger Samples (und nicht wenige davon kommen direkt von VirusTotal) auch ein Austausch über entdeckte Fehlalarme gesellt. Ansätze gibt es bereits. Taggant hingegen ist auch nur eine weitere Verschiebung des Problems ("Signaturen" für Laufzeitpacker). Während die Meldung einer fehlenden oder vermeintlich fehlenden Erkennung superleicht gemacht wird, ist es irre schwer bei Fehlalarmen dutzende Firmen dazu zu bringen 1.) den Fehlalarm einzugestehen (und nicht jeder kann RCE um das auch technisch wasserdicht darzubringen) und 2.) ihn zu beheben.

    Und während man noch mit der Firma X beschäftigt ist, mehrt sich Firma Y auch nach Wochen nicht aus, weshalb sich Firma Z wiederum entschließt die Erkennung von Firma Y zu übernehmen. Somit werden Fehlalarme oft zu frustrierenden "Stehaufmännchen" für die betroffenen Softwareautoren/-hersteller.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ZIEHL-ABEGG SE, Künzelsau
  2. Adecco Personaldienstleistungen GmbH, München
  3. Wirecard Technologies GmbH, Aschheim bei München
  4. Dataport, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-10%) 17,99€
  2. 51,99€
  3. 3,61€
  4. 4,26€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bosch-Parkplatzsensor im Test: Ein Knöllchen von LoRa
Bosch-Parkplatzsensor im Test
Ein Knöllchen von LoRa

Immer häufiger übernehmen Sensoren die Überwachung von Parkplätzen. Doch wie zuverlässig ist die Technik auf Basis von LoRa inzwischen? Golem.de hat einen Sensor von Bosch getestet und erläutert die Unterschiede zum Parking Pilot von Smart City System.
Ein Test von Friedhelm Greis

  1. Automated Valet Parking Daimler und Bosch dürfen autonom parken
  2. Enhanced Summon Teslas sollen künftig ausparken und vorfahren

Kognitive Produktionssteuerung: Auf der Suche nach dem Universalroboter
Kognitive Produktionssteuerung
Auf der Suche nach dem Universalroboter

Roboter erledigen am Band jetzt schon viele Arbeiten. Allerdings müssen sie oft noch von Menschen kontrolliert und ihre Fehler ausgebessert werden. Wissenschaftler arbeiten daran, dass das in Zukunft nicht mehr so ist. Ziel ist ein selbstständig lernender Roboter für die Automobilindustrie.
Ein Bericht von Friedrich List

  1. Ocean Discovery X Prize Autonome Fraunhofer-Roboter erforschen die Tiefsee

Videospiellokalisierung: Lost in Translation
Videospiellokalisierung
Lost in Translation

Damit Videospiele in möglichst viele Länder verkauft werden können, müssen sie übersetzt beziehungsweise lokalisiert werden. Ein kniffliger Job, denn die Textdatei eines Games hat oft auf den ersten Blick keine logische Struktur - dafür aber Hunderte Seiten.
Von Nadine Emmerich

  1. Spielebranche Entwickler können bis 2023 mit Millionenförderung rechnen
  2. Planet Zoo im Test Tierische Tüftelei
  3. Förderung Spielentwickler sollen 2020 nur einen "Ausgaberest" bekommen

  1. Scheuer: Steuergelder sollen 5.000 weiße Flecken schließen
    Scheuer
    Steuergelder sollen 5.000 weiße Flecken schließen

    Die Bundesregierung will den Mobilfunkausbau vereinfachen und 1,1 Milliarden Euro für die Schließung weißer Flecken ausgeben. Doch bis wann die Mobilfunkstrategie umgesetzt sein soll, ist völlig unklar.

  2. E-Privacy-Verordnung: Medien sollen Tracking-Erlaubnis bekommen
    E-Privacy-Verordnung
    Medien sollen Tracking-Erlaubnis bekommen

    In die jahrelangen Verhandlungen zur E-Privacy-Verordnung kommt Bewegung. Die EU-Mitgliedstaaten könnten sich auf eine pauschale Tracking-Erlaubnis für Medien und Drittanbieter einigen.

  3. Chemiekonzern: BASF kauft 3D-Druck-Dienstleister Sculpteo
    Chemiekonzern
    BASF kauft 3D-Druck-Dienstleister Sculpteo

    3D-Druck on Demand ist für den größten Chemiekonzern BASF so interessant, dass er den 3D-Druck-Anbieter Sculpteo übernimmt. Das Unternehmen möchte Sculpteo als ein Schaufenster für seine Materialien nutzen, erklärte der Gründer.


  1. 18:59

  2. 18:41

  3. 18:29

  4. 18:00

  5. 17:52

  6. 17:38

  7. 17:29

  8. 16:55