-
Wieso überhaupt eingreifen?
Autor: SoniX 04.01.17 - 13:36
Wieso müssen diese Virenscanner überhaupt eingreifen?
Klar, ohne sich dazwischenzusetzen, die Verschlüsselung damit aufzubrechen und etliche Probleme und Lücken aufzureissen, können sie den Datenstrom nicht untersuchen.
Aber wozu sollte der überhaupt untersucht werden?
Selbst wenn Schadcode verschlüsselt heruntergeladen wird, er landet unverschlüsselt auf dem Rechner und da kann ein Virenscanner auch eingreifen. Schadcode wird ja nicht verschlüsselt ausgeführt.
Ich habe meinem Scanner jegliche Untersuchung verschlüsselter Verbindungen untersagt und habe das entsprechende Zertifikat aus dem System gelöscht.
Ich muss mir also keine Sorgen um etwaiige Lücken machen die der Scanner aufgerissen hätte und habe auch sonst keine Probleme über welche man häufig liest in Zusammenhang mit verschlüsselten Verbindungen wenn der Virenscanner dazwischenfunkt.
Un ich fühle mich auch mit diesem Setting keineswegs irgendwie unsicherer.
Warum der Zwang da unbedingt mitlesen zu müssen?
Gleicher Nonsens wie diese mitinstallierten Browserplugins welche die Sicherheit keinen Zentimeter weiterbringen? -
Re: Wieso überhaupt eingreifen?
Autor: Anonymer Nutzer 04.01.17 - 13:53
den browsern fehlt wohl eine pluginfunktion für virenscanner. würd der browser direkt nach dem download zuerst den virenscanner laufen lassen, wär das aufbrechen nicht nötig. das scheint anscheinend zu fehlen.
-
Re: Wieso überhaupt eingreifen?
Autor: cyzz 04.01.17 - 13:53
SoniX schrieb:
--------------------------------------------------------------------------------
> Wieso müssen diese Virenscanner überhaupt eingreifen?
>
> Klar, ohne sich dazwischenzusetzen, die Verschlüsselung damit aufzubrechen
> und etliche Probleme und Lücken aufzureissen, können sie den Datenstrom
> nicht untersuchen.
>
> Aber wozu sollte der überhaupt untersucht werden?
>
> Selbst wenn Schadcode verschlüsselt heruntergeladen wird, er landet
> unverschlüsselt auf dem Rechner und da kann ein Virenscanner auch
> eingreifen. Schadcode wird ja nicht verschlüsselt ausgeführt.
>
> Ich habe meinem Scanner jegliche Untersuchung verschlüsselter Verbindungen
> untersagt und habe das entsprechende Zertifikat aus dem System gelöscht.
>
> Ich muss mir also keine Sorgen um etwaiige Lücken machen die der Scanner
> aufgerissen hätte und habe auch sonst keine Probleme über welche man häufig
> liest in Zusammenhang mit verschlüsselten Verbindungen wenn der
> Virenscanner dazwischenfunkt.
>
> Un ich fühle mich auch mit diesem Setting keineswegs irgendwie unsicherer.
>
> Warum der Zwang da unbedingt mitlesen zu müssen?
>
> Gleicher Nonsens wie diese mitinstallierten Browserplugins welche die
> Sicherheit keinen Zentimeter weiterbringen?
Trotzdem bekommt es Eugene gebacken den Leuten mit einem Taschenspielertrick ordentlich Geld aus den Rippen zu leiern. -
Re: Wieso überhaupt eingreifen?
Autor: SoniX 04.01.17 - 14:06
Das sollte der Virenscanner automatisch machen wenn eine Datei erstellt wird oder auf sie zugegriffen wird oder sie ausgeführt wird. Darum heißt das Teil ja Echtzeitschutz.
Das Plugin habe ich natürlich auch rausgeschmissen. Hilft der Sicherheit kein Stück; hat aber in der Vergangenheit auch schon oft Probleme gemacht (zB verfing sich Thunderbird Update in einer Endlosschleife und war nichtmehr abzubrechen wg des Plugins). -
Re: Wieso überhaupt eingreifen?
Autor: SoniX 04.01.17 - 14:08
Naja, ich mag nicht gegen Virenscanner ansich wettern; die haben schon auch Ihre Daseinsberechtigung.
Aber Manches was da als Feature verkauft wird ist für mich einfach nur Unsinn. -
Re: Wieso überhaupt eingreifen?
Autor: cyzz 04.01.17 - 14:11
SoniX schrieb:
--------------------------------------------------------------------------------
> Naja, ich mag nicht gegen Virenscanner ansich wettern; die haben schon auch
> Ihre Daseinsberechtigung.
>
> Aber Manches was da als Feature verkauft wird ist für mich einfach nur
> Unsinn.
Welcher Hersteller, in der Branche, ist denn vertrauenswürdig? -
Re: Wieso überhaupt eingreifen?
Autor: Anonymer Nutzer 04.01.17 - 14:12
es wird aber gar keine datei erstellt. die daten kommen aus tls verbindung und werden direkt dargestellt. es mag sein, dass danach oder gleichzeitig eine datei im cache geschrieben wird, diese zu scannen ist aber schon zu spät.
-
Re: Wieso überhaupt eingreifen?
Autor: SoniX 04.01.17 - 14:33
Der Code will aber auch ausgeführt werden. Da kann der Scanner ansetzen. Bloß das herunterladen ist ja nicht das Problem und gerade beim herunterladen kann man Malware leicht verstecken. Selbst wenn der Scanner die Verschlüsselung aufbricht kommt die Malware eben per js verschlüsselt an oder versteckt in einem Bild/was auch immer dessen Code erst am Client zusammengesetzt wird.
-
Re: Wieso überhaupt eingreifen?
Autor: SoniX 04.01.17 - 14:34
Clam AV? ;)
Ich weiß schon was du meinst. :) -
Re: Wieso überhaupt eingreifen?
Autor: Anonymer Nutzer 04.01.17 - 14:38
es geht ja beim aufbrechen der tls verschlüsselung nicht um downloads von dateien, die auf der festplatte gespeichert werden sondern und inhalte, die direkt vom browser verwendet werden. sie werden gesannt bei der übertragung, da eben der richtige pluginmechanismus da zu fehlen scheint.
-
Re: Wieso überhaupt eingreifen?
Autor: SoniX 04.01.17 - 15:00
Ok, aber was sollte beim alleinigen herunterladen gefährlich sein?
Der Knackpunkt ist doch die Ausführung des Codes und zu diesem Zeitpunkt hat der Virenscanner auch Zugriff darauf. -
Re: Wieso überhaupt eingreifen?
Autor: Anonymer Nutzer 04.01.17 - 15:08
beim runterladen nichts. denk dir, eine javascript datei, die eine bekannte sicherheitslücke im browser ausnützt, wird geladen. sie kommt aus dem tls raus und wird direkt, ohne auf die festplatte geschrieben zu werden, vom browser ausgeführt. wie soll der virenscanner das prüfen, ohne VOR der interpretation des javascripts durch den browser den javascript code scannen zu können? dafür bräuchte es einen hook, der jegliche daten, die vom browser geladen werden, vor deren verwendung durch den browser gescannt werden. anscheinend gibt es diesen hook nicht, sodass der virenscanner daten scannt, bevor der browser sie überhaupt bekommt. damit kann er viren darin erkennen, bevor der browser sie ausführt.
und noch mal: es geht nicht um exe dateien, die auf die festplatten geschrieben werden. es geht um beispielsweise javascript code, der direkt vom browser verwendet wird. -
Re: Wieso überhaupt eingreifen?
Autor: ThorstenMUC 04.01.17 - 15:11
cyzz schrieb:
--------------------------------------------------------------------------------
> Welcher Hersteller, in der Branche, ist denn vertrauenswürdig?
Meine Hoffnung ist, dass sich die Schnüffler der NSA in Windows und die des FSB in Kaspersky gegenseitig blockieren und mein System dadurch etwas sicherer wird ;-) -
Re: Wieso überhaupt eingreifen?
Autor: SoniX 04.01.17 - 17:29
Ich verstehe schon was du meinst..
Aber genau das ist sinnlos. Es ist ein einfaches den Code nicht so wie er ist als Ganzes aus dem Netz zu laden sondern als einzelne Stücke oder anders verschlüsselt sodass ein Virenscanner anhand des Datenstroms keine Chance hat zu erkennen um was es sich dabei handelt.
Ein Virenscanner muss eingreifen bevor der Code ausgeführt wird oder er muss zumindest an seinem schädlichen Verhalten erkannt und gestoppt werden. -
Re: Wieso überhaupt eingreifen?
Autor: Anonymer Nutzer 04.01.17 - 18:02
SoniX schrieb:
--------------------------------------------------------------------------------
> Ich verstehe schon was du meinst..
das glaub ich nicht... -
Re: Wieso überhaupt eingreifen?
Autor: SoniX 04.01.17 - 18:36
Weil?
Wie gesagt, den Datenstrom zu scannen bringt keine Sicherheit.
Jeder der etwas von js versteht kann ein Script so laden lassen dass es nicht auffallen kann.
Erst dann wenn es am Client zusammengesetzt wird.... -
Re: Wieso überhaupt eingreifen?
Autor: SoniX 04.01.17 - 19:41
PS: Und natürlich scannt ein Virenscanner auch den Arbeitsspeicher. Der ist ja nicht nur auf files beschränkt.



