1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Antivirensoftware: Die…

Realität sieht anders aus

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2

Neues Thema


  1. Realität sieht anders aus

    Autor: FRug 22.12.16 - 08:03

    Wo geht der Artikel denn über altbekannte Behauptungen hinaus?

    Wo sind die Daten und Fakten?
    Wo werden durch AV verhinderte Infektionen den durch AVs verursachte Infektionen gegenüberstellt?

    Whitelisting treibt mir ein Schmunzeln ins Gesicht. User-zentrisches Whitelisting ist für die allermeisten absolut unbedienbar, es benötigt hohe Kenntnisse und einen hohen Zeitaufwand. Updatefunktionalitäten im Hintergrund auszuführen kann man dann schon mal getrost in die Tonne stecken.

    Zentralisiertes Whitelisting wie es Firmen anbieten BASIERT letztlich auf AV, denn die Whitelists werden wie folgt erstellt:
    1. Idee: Whitelisting! Millionen von Files am Tag müssen geprüft werden ob sie sauber sind.
    2. Erkenntnis: "Ohje, das schafft ja kein Mensch"
    3. Idee: "Lasst uns mit Herstellern der sauberen Software kooperieren!"
    4. Erkenntnis "Ohje das sind ja viel zu viele! Und die fragen danach was sie davon haben!"
    5. Idee: "Lizensieren wir AVs oder Meta Scanner!"
    6. Profit: "Next generation! Whitelisting ist die Lösung"
    7. In der Nische bleiben weil sich die Wartung der Extrawürste kein Schwein in der IT antun will.

    Das ist nicht überspitzt sondern für alle mir bekannten Whitelist Anbieter genau in der Form der Fall.

    Sorry, aber der Artikel ist dermassen realitätsfern und was mich in diesen Fällen am meisten stört: Eine Alternativlösung die dem ALLTAG von Homeusern, Unternehmens IT und somit der REALITÄT standhält hat keiner der Fingerzeiger in petto. Hauptsache mal gemotzt und einen auf elitär gemacht.

    Und was wollt ihr denn immer mit Signaturen? Woher kommt die irsinnige Annahme das AVs heute noch so funktioneren?

    Bug Bounties ein no-go? Avira - Bug Bounty, Avast - Bug Bounty, Kaspersky - Bug Bounty, Malwarebytes - Bug Bounty... keine Minute google bemüht.

    Ihr schlauen Leute: Entwickelt die bessere Lösung, behauptet euch damit am Markt. Alles andere ist Stammtischpolemik und nützt keinem User was.
    Da müsste man doch Millionen mit scheffeln können mit dem Alternativansatz?
    Warum hat da keiner Lust das zu entwickeln? Die Angel-Investoren überschlagen sich sicherlich!

    Ja warum wohl...



    8 mal bearbeitet, zuletzt am 22.12.16 08:23 durch FRug.

  2. Re: Realität sieht anders aus

    Autor: Solarix 22.12.16 - 10:22

    Mir ist bei dem Artikel auch fast der Kaffee wieder hochgekommen...

    bei heutigen AV Lösungen sind die festen Signaturen der kleinste Teil des Schutzes.
    Der weit grössere Teil ist Intrusion detection, Heuristik und Cloud Anbindung.
    Heißt, wenn bspw Symantec Endpoint Protection einen neuen Virus findet der sich schnell verbreitet, dann wird das an ein Symantec Labor weitergeleitet zur weiteren Analyse. Wann gab es denn zuletzt einen Wurm wie bspw W32.Blaster?
    Da heutzutage selbst in https/ssl/ssh immer wieder Löcher gefunden werden und viele Technologien und Software darauf aufbaut ist es klar, dass dann dieselben Probleme auftreten.

    Das Schlimmste am Test war aber den Windows Defender so zu loben, dieses rudimentäre Stück Software mit minimaler Erkennungsrate...

  3. Re: Realität sieht anders aus

    Autor: Freiheit statt Apple 22.12.16 - 10:53

    Die Realität sieht so aus, dass wir auf Endkundenrechnern regelmässig Befall feststellen - und zwar auf Rechnern mit aktuellem Norton/Kaspersky/McAfee/Avira/... und wie sie noch alle heissen.
    Das zeigt uns, dass offenbar (neben den ohnehin ziemlich wirkungslosen signaturbasierten Methoden) auch all die schönen anderen Konzepte à la Verhaltensanalyse, Cloud-Schutz etc. oft versagen.

  4. Re: Realität sieht anders aus

    Autor: Nikolaus117 22.12.16 - 11:13

    und ist es dann besser NOCH mehr Befall zu ermöglichen?
    Es gibt keinen 100% Schutz gegen Zero Day Exploits, Fehlerhafte Sicherheitstechniken usw.

    Da müssen Netzwerk Konzept wie die Netzwerk Fabric, Segmentierung und Verhaltenserkennung her. Natürlich nur etwas für Firmen.
    Das schützt zwar nicht vor einzelnen Befall aber es verhindert weiteren Schaden.

  5. Re: Realität sieht anders aus

    Autor: FRug 22.12.16 - 11:37

    Eben, was mich hier so annervt ist das man sich hier auf der Kritikerrolle ausruht und sich darin suhlt das andere nicht perfekt sind, sich letzlich aber ausser Stande sieht eine bessere Lösung anzubieten.

    Wie war das noch gleich? Das schöne an der Opposition ist, das man sich nicht um Lösungen scheren muss.

    Man tätschelt sich selbst auf den Rücken, bringt aber ausserhalb der Rolle des Advocatus Diaboli keinen nennenswerten Mehrwert mit an den Tisch.

    Gilt leider auch für talentierte Reverser wie Tavis. Ihre Rolle ist erfüllt wenn ein Problem aufgezeigt wird, am Besten in einer Form die nach Jahren immer wieder für persönliche Publicity verwendet werden kann. Die aktive Arbeit an Lösungen ist dann nicht mehr sexy genug, warum auch.

    Finde ich schade.

  6. Re: Realität sieht anders aus

    Autor: DrWatson 22.12.16 - 12:03

    FRug schrieb:
    --------------------------------------------------------------------------------
    > Eben, was mich hier so annervt ist das man sich hier auf der Kritikerrolle
    > ausruht und sich darin suhlt das andere nicht perfekt sind, sich letzlich
    > aber ausser Stande sieht eine bessere Lösung anzubieten.

    Im Artikel wird doch klar gesagt, was mehr bringt: Regelmäßige Patches, Application Whitelisting und Sandboxing. Ich weiß gar nicht, warum das jetzt ignoriert wird, nur um auf dem Autor herumzuhacken. Stattdessen werden Buzzwords wie Intrusion detection, Heuristik, Cloud und Verhaltensanalyse genannt, die einem ein Gefühl von Sicherheit geben sollen.

  7. Re: Realität sieht anders aus

    Autor: Freiheit statt Apple 22.12.16 - 12:18

    Nikolaus117 schrieb:
    --------------------------------------------------------------------------------
    > und ist es dann besser NOCH mehr Befall zu ermöglichen?
    > Es gibt keinen 100% Schutz gegen Zero Day Exploits, Fehlerhafte
    > Sicherheitstechniken usw.


    Das ist dann die Frage, ob man ohne Virenscanner NOCH mehr Ärger hat als mit.
    Es könnte auch andersrum sein, wenn man bedenkt, wie viele Schäden erst durch Virenscanner entstehen.
    Ich will mir hier kein statistisches Urteil anmassen, weil wir dazu keine exakte Statistik führen, aber gefühlt sehen wir an der "Front" eher mehr Problemfälle die durch Virenscanner verursacht wurden als Problemfälle, die durch Viren verursacht wurden.


    Persönlich bin ich übrigens der Meinung, dass das im Artikel angesprochene "Stop Trying to Fix the User" falsch ist. Man muss den User schulen, denn seine Inkompetenz ist das Haupteinfallstor für Malware.
    Natürlich werden viele trotz Schulung nicht zur vernünftigen Nutzung in der Lage sein. Aber das ist ja beim Automobil das selbe - und da käme auch keiner auf die absurde Idee, die Führerscheinprüfung als unnötig abzuschaffen, nur weil realistisch betrachtet trotz Führerschein ein gewisser Teil der Automobilisten nie in der Lage sein wird, sich vernünftig im Strtassenverkehr zu verhalten.

    Man kann also durch Schulung sicher nicht annähernd 100%ige Sicherheit für alle herstellen, aber man kann die Sicherheit insgesamt erhöhen (und zwar ohne negative Nebenwirkungen).
    So lange man also keine umsetzbaren technischen Sicherheitskonzepte hat, investiert man meines Erachtens besser in Schulung als in den teurersten Virenscanner.

  8. Re: Realität sieht anders aus

    Autor: SkeeveDCD 22.12.16 - 12:19

    Ok, das würde mich jetzt mal im Detail interessieren!

    Welche Erkennungsnamen sind das? Gibt es Häufungen? Oder meldet da einfach irgendein Tool jeglichen harmlosen Crack oder Cookie als Malware und das wird als "infiziertes System" gewertet?

    Mit welchen Tools wird denn der Befall festgestellt, wenn die genannten AV-Produkte versagen und nichts erkennen?

    Was ich aus Erfahrung mitgekriegt habe:

    - User schalten die Cloud Erkennung aus, weil Cloud ist ja böse

    - User schalten den Echtzeitscanner nach einer Erkennung aus, weil das muss ja ein Fehlalarm und dieser tolle Crack kann gar nicht infiziert sein und der User will ihn unbedingt ausführen


    Freiheit statt Apple schrieb:
    --------------------------------------------------------------------------------
    > Die Realität sieht so aus, dass wir auf Endkundenrechnern regelmässig
    > Befall feststellen - und zwar auf Rechnern mit aktuellem
    > Norton/Kaspersky/McAfee/Avira/... und wie sie noch alle heissen.
    > Das zeigt uns, dass offenbar (neben den ohnehin ziemlich wirkungslosen
    > signaturbasierten Methoden) auch all die schönen anderen Konzepte à la
    > Verhaltensanalyse, Cloud-Schutz etc. oft versagen.

  9. Re: Realität sieht anders aus

    Autor: pumok 22.12.16 - 12:20

    FRug schrieb:
    --------------------------------------------------------------------------------
    >Hauptsache mal gemotzt und einen auf elitär gemacht.

    >Ihr schlauen Leute: Entwickelt die bessere Lösung, behauptet euch damit am Markt. >Alles andere ist Stammtischpolemik und nützt keinem User was.

    Ich lach mich krumm.
    Und wo ist Deine Lösung? Du machst doch genau das, was Du dem Autor (zu unrecht) vorwirfst :D :D

  10. Re: Realität sieht anders aus

    Autor: Freiheit statt Apple 22.12.16 - 12:31

    @ SkeeveDCD

    Ich bitte dich, bei uns arbeiten keine Vollidioten... einen Crack oder ein Cookie können wir durchaus von einem richtigen Malwarebefall unterscheiden ;)

    Aktuell ist sicher gerade die Welle einiger neuer "Crypto-Trojaner".

    Verbreitung eigentlich immer via Mail-Anhänge die von unvorsichtigen Usern geöffnet werden. In der Regel lässt sich anschliessend sogar recht leicht nachweisen, welcher Anhang es denn nun war (u.a. weil sie ein paar Tage später dann jeweils in der Signaturerkennung der gängigen Virenscanner auffallen... aber eben erst ein paar Tage später).

    Für den Befallsnachweis braucht man freilich keinen Virenscanner, das erkennt man ganz leicht dadurch, dass die Files verschlüsselt sind und überall die Erpressungsbotschaften hinterlegt werden ;)

    Der aktuellste Fall den ich da habe (Ende letzter Woche) war auf einem System, das von einer aktuellen & aktiven Version von Avast "geschützt" wurde (laut dem humoristischen Testportal av-test.org haben die aktuell eine Zero-Day-Malware Erkennungsrate von 100% höhö... bei uns landen aber immer die restlichen 0% ;))
    Wir haben das selbe Spiel im Lauf der Jahre aber schon bei so ziemlich allen bekannten Anbietern gesehen.





    SkeeveDCD schrieb:
    --------------------------------------------------------------------------------
    > Ok, das würde mich jetzt mal im Detail interessieren!
    >
    > Welche Erkennungsnamen sind das? Gibt es Häufungen? Oder meldet da einfach
    > irgendein Tool jeglichen harmlosen Crack oder Cookie als Malware und das
    > wird als "infiziertes System" gewertet?
    >
    > Mit welchen Tools wird denn der Befall festgestellt, wenn die genannten
    > AV-Produkte versagen und nichts erkennen?
    >
    > Was ich aus Erfahrung mitgekriegt habe:
    >
    > - User schalten die Cloud Erkennung aus, weil Cloud ist ja böse
    >
    > - User schalten den Echtzeitscanner nach einer Erkennung aus, weil das muss
    > ja ein Fehlalarm und dieser tolle Crack kann gar nicht infiziert sein und
    > der User will ihn unbedingt ausführen
    >
    >

  11. Re: Realität sieht anders aus

    Autor: SkeeveDCD 22.12.16 - 12:41

    Ich habe nicht unterstellt das bei euch Deppen arbeiten, es halt nur meine Erfahrung das sich viele Kunden beschweren "Wäääh ihr erkennt aber abc nicht, das Tool wxy schon" und dann stellt sich heraus das es Trash ist, aber keine Malware.

    Klar, Ransoms gehen seit Monaten verstärkt durch, Email Spam, Exploits. Gerade am Montag wieder eine neue Welle von Goldeneye aka Petya.

    Bei unserem Produkt wird alles was du aus der Kombination Browser+Office oder Email Client+Office heraus an neuen PE Files startest immer gleich mit der Cloud überprüft und da kann ich sehr gut die Erkennungsraten sehen bzw. das was verpasst wird.

    Für Office Dokumente, PDF oder Script Files geht das leider nicht (Privacy), daher ist da die Erkennung deutlich niedriger. Stört mich aber nicht, wenn das Payload was dann heruntergeladen oder gleich gedroppt wird erkannt wird - und der eigentliche Ransom nicht zur Ausführung kommt.

    Hast du evtl. ein paar SHA256 von derartigen Misses? Wie gesagt, ich bin immer brennend an nicht erkannter Malware interessiert.

    Freiheit statt Apple schrieb:
    --------------------------------------------------------------------------------
    > @ SkeeveDCD
    >
    > Ich bitte dich, bei uns arbeiten keine Vollidioten... einen Crack oder ein
    > Cookie können wir durchaus von einem richtigen Malwarebefall unterscheiden
    > ;)
    >
    > Aktuell ist sicher gerade die Welle einiger neuer "Crypto-Trojaner".
    >
    > Verbreitung eigentlich immer via Mail-Anhänge die von unvorsichtigen Usern
    > geöffnet werden. In der Regel lässt sich anschliessend sogar recht leicht
    > nachweisen, welcher Anhang es denn nun war (u.a. weil sie ein paar Tage
    > später dann jeweils in der Signaturerkennung der gängigen Virenscanner
    > auffallen... aber eben erst ein paar Tage später).
    >
    > Für den Befallsnachweis braucht man freilich keinen Virenscanner, das
    > erkennt man ganz leicht dadurch, dass die Files verschlüsselt sind und
    > überall die Erpressungsbotschaften hinterlegt werden ;)
    >
    > Der aktuellste Fall den ich da habe (Ende letzter Woche) war auf einem
    > System, das von einer aktuellen & aktiven Version von Avast "geschützt"
    > wurde (laut dem humoristischen Testportal av-test.org haben die aktuell
    > eine Zero-Day-Malware Erkennungsrate von 100% höhö... bei uns landen aber
    > immer die restlichen 0% ;))
    > Wir haben das selbe Spiel im Lauf der Jahre aber schon bei so ziemlich
    > allen bekannten Anbietern gesehen.
    >

  12. Re: Realität sieht anders aus

    Autor: Freiheit statt Apple 22.12.16 - 12:53

    SkeeveDCD schrieb:
    > Hast du evtl. ein paar SHA256 von derartigen Misses? Wie gesagt, ich bin
    > immer brennend an nicht erkannter Malware interessiert.

    Nein, denn nach ein paar Tagen (manchmal auch Stunden) sind es ja keine 'Misses' mehr. Die werden ja dann schon irgendwann erkannt, aber halt einfach erst dann, wenns nicht mehr relevant ist für den Kunden, der bereits Stunden oder Tage zuvor draufgeklickt hat.
    leidergerade nichts, weil wir sowas nicht gezielt sammeln. Sind ja kein Forschungsinstitut sondern Praktiker.

  13. Re: Realität sieht anders aus

    Autor: FRug 22.12.16 - 13:12

    Ich hätte erwartet dass der Rückschluss zu meiner Profession aus meinem doch relativ emotionalen Beitrag relativ offensichtlich ist. Ich bemühe mich hauptberuflich darum Endnutzer mit den in der Informatik verfügbaren technischen Mitteln so sicher wie möglich zu machen.

    Das dem Grenzen gesetzt sind und auch nicht immer alles optimal läuft heißt aber auch nicht das man derartig besserwisserischen Rufmord - Schlangenölverkäufer waren letztlich Betrüger die über Leichen gingen - unkommentiert lassen muss.

    Irgendwann reagiert man auf den ganzen Blödsinn der verzapft wird auch mal allergisch wenn man sich redlich Mühe gibt anderen Leuten zu helfen.

  14. Re: Realität sieht anders aus

    Autor: SkeeveDCD 22.12.16 - 13:59

    Mit Miss meine ich intiale Misses, die beim Eintreffen nicht erkannt werden. Was 1 Minute später passiert ist mir egal, es zählt nur die Erkennung in dem Moment wo der User das File anclickt/startet.

    Nachträglich erkannte Files sind für mich trotzdem interessant, weil ich die Erkennungs- und Anfragehistorie der Datei einsehen kann in unserer Cloud.

    Falls Malware initial nicht erkannt wird, werden die Systeme, die da versagt haben angepasst damit weitere User die von neuen Varianten dieser Malware (mit ähnlichen Infektionsmuster) betroffen sind dann geschützt werden. Und nein, ich rede hier nicht von Blacklisten der Files und Signaturen.

    Freiheit statt Apple schrieb:
    --------------------------------------------------------------------------------
    > SkeeveDCD schrieb:
    > > Hast du evtl. ein paar SHA256 von derartigen Misses? Wie gesagt, ich bin
    > > immer brennend an nicht erkannter Malware interessiert.
    >
    > Nein, denn nach ein paar Tagen (manchmal auch Stunden) sind es ja keine
    > 'Misses' mehr. Die werden ja dann schon irgendwann erkannt, aber halt
    > einfach erst dann, wenns nicht mehr relevant ist für den Kunden, der
    > bereits Stunden oder Tage zuvor draufgeklickt hat.
    > leidergerade nichts, weil wir sowas nicht gezielt sammeln. Sind ja kein
    > Forschungsinstitut sondern Praktiker.

  15. Re: Realität sieht anders aus

    Autor: ayngush 22.12.16 - 14:23

    Antivirenhersteller gehen auch über "Leichen", auch wenn sie nur virtuell sind.
    Es schert sie, genau wie die Snake Oil Anbieter seinerzeit, einen Dreck, ob das, was sie da Verkaufen technisch sinnvoll ist, funktioniert oder ob es sogar schädlich ein falsches Sicherheitsgefühl vermittelt. Und alle "PC-Reperaturdienste", die Privatleuten so eine Scheiße mit dem Hinweis auf "Sicherheit" verkaufen sind keinen Deut besser!

    Ich ziehe meine Erkenntnisse aus der regelmäßigen Abwehr von Angriffen auf unser Unternehmensnetzwerk, in letzter Zeit zu nahezu 100% bestehend aus Ransomware Droppern, und kann Dir versichern, dass die Viren, die wir per E-Mail an unser Haus gesendet bekommen, nicht von folgenden Schutzsysstemen erkannt werden:

    * Client AV McAfee Enterprise 10.1...
    * Client AV Sophos Endpoint Pretection UTM
    * Viruswall Sophos SG230 UTM Scanner A (Sophos Engine)
    * Viruswall Sophos SG230 UTM Scanner B (Avira Engine)

    Schützen tuen uns folgende Maßnahmen:

    * Office-Makros dürfen auf den Rechnern des Unternehmens nur ausgeführt werden, so sie denn mit unserer Code-Signatur signiert wurden.

    * Einstellungen zu Office-Makros können von den angemeldeten Benutzern nicht geändert werden.

    * Alle E-Mails, die Office-Dokumente im veralteten Format oder Office-Dokumente mit Makros beinhalten werden zentral in ein Quarantänefilter geparkt und erst nach Sicherheitsprüfung durch Experten freigegeben oder eben gelöscht. Diese Maßnahme ist die wirksamste, was die ganzen Ransomware-Angriffe in letzte Zeit betrifft und stoppt den Mist bereits vor dem Benutzer-Systemen, sodass man sich die wenig nachhaltigen Anwenderschulungen weitestgehend sparen bzw. sie eher auf ein generisches Niveau hin ausrichten kann.

    AV-Software ist und bleibt Unfähig und wird gefährlich, wenn sie einen "Schutz" vermittelt, der nachgewiesener Weise nicht existiert und erheblich gefährlich, wenn sie selber voller Sicherheitslücken steckt. Immerhin sind AV-Lösungen häufig Prozesse, die mit den aller höchsten Systemrechten ausgeführt werden. Alleine das verursacht bei mir schon Bauchschmerzen.

    Grüße

    PS: Für Deinen Job kann ich ja nichts. Die normalen Anwenderrechner sind halt Freiwild im Netz. Ist leider so. Dagegen helfen nur Aufklärungskampagnen, die im Artikel angesprochenen White-Lists, die nicht vom User sondern von Plattformanbietern gepflegt werden, ganz wichtig sind die vernünftigen Defaults (default: Zwangsupdate, expert mode: Zwangsupdate abschaltbar etc.) und ein allgemein besseres Verständnis für den Umgang mit modernen IT-Systemen. Letzteres müsste an Schulen vermittelt werden, so sie denn über Fachkräfte verfügen würden... Abgesehen von ordentlich zertifizierten und mit MACs versehenen Kommunikationsprotokollen. E-Mail halte ich per se für genau so kaputt, wie HTTP ohne S, FTP und die ganzen unverschlüsselten, unsignierten, vertrauensunwürdigen Protokollaltlasten der Informatik. Wie man es besser macht ist bekannt. Implementieren tun es nur leider die wenigsten. Dabei gibt es für nahe all den veralteten Müll moderne Protokolle, die als sicher anzusehen sind.

  16. Re: Realität sieht anders aus

    Autor: Anonymer Nutzer 22.12.16 - 14:37

    > * Alle E-Mails, die Office-Dokumente im veralteten Format oder
    > Office-Dokumente mit Makros beinhalten werden zentral in ein
    > Quarantänefilter geparkt und erst nach Sicherheitsprüfung durch Experten
    > freigegeben oder eben gelöscht.

    Streich' das mit dem "veraltet" und Du hast den Nagel auf dem Kopf erwischt. Man verschickt keine Officedateien in E-Mails und man öffnet sie nicht in Anhängen. Das sind quasi .exe-Dateien und genauso zu behandeln.

    Ich verstehe, dass es sehr viel bequemer ist, dem Kollegen mal schnell was zu mailen und meistens geht es ja gut, aber....

  17. Re: Realität sieht anders aus

    Autor: FRug 22.12.16 - 15:11

    Ich kenne das Sophos Produkt nicht, die Avira Engine bietet aber zum Beispiel die Option Dokumente mit "aktiven Makros" oder Makros allgemein zu melden. Wäre schade wenn das in der von Ihnen eingesetzten Lösung nicht an den Admin als Option weitergereicht wird.

    Die von Ihnen angwendeten Massnahmen sind sinnvoll und richtig, und es wäre schön wenn alle Firmen dies so umsetzen würden. Digital signierte Makros allein dürfte schon ein Fremdwort für die meisten sein, eigene Sicherheitsexperten die einzelne Mails freigeben ist wohl auch eher ein Luxus der sehr grossen Unternehmen vorbehalten ist.

    Gerade die Whitelists die im Artikel erwähnt sind basieren aber auf der Freigabe durch AVs. Da wird das Problem nur auf den Anbieter der Whitelist verschoben und vor ihnen versteckt, die Lösung dahinter die gewährleistet das keine Malware vorliegt ist letztlich technisch zu einem dominierenden Faktor aber die selbe.

  18. Re: Realität sieht anders aus

    Autor: Freiheit statt Apple 22.12.16 - 15:44

    SkeeveDCD schrieb:
    --------------------------------------------------------------------------------
    > Mit Miss meine ich intiale Misses, die beim Eintreffen nicht erkannt
    > werden. Was 1 Minute später passiert ist mir egal, es zählt nur die
    > Erkennung in dem Moment wo der User das File anclickt/startet.
    >
    > Nachträglich erkannte Files sind für mich trotzdem interessant, weil ich
    > die Erkennungs- und Anfragehistorie der Datei einsehen kann in unserer
    > Cloud.
    >
    > Falls Malware initial nicht erkannt wird, werden die Systeme, die da
    > versagt haben angepasst damit weitere User die von neuen Varianten dieser
    > Malware (mit ähnlichen Infektionsmuster) betroffen sind dann geschützt
    > werden. Und nein, ich rede hier nicht von Blacklisten der Files und
    > Signaturen.

    Wie gesagt, leider sammeln wir auch die "initial misses" nicht, da wir selber ja keine 'Forschung' daran betreiben. Deswegen kann ich hier nicht mit Samples dienen.

    Ich kann daher nur noch einmal die grundsätzliche Erfahrung wiedergeben, die wir seit Jahren immer wieder machen, nämlich dass wir regelnmässig infizierte Geräte "reinkriegen", auf denen eigentlich immer irgend eine Art von Paid oder Free AntiVirus ausgeführt wird.

    Die hauptsächlichen 'Kategorien' von Malware die wir so zu sehen bekommen sind:

    1. Crypto-Trojaner und (v.a. früher) andere Ransomware (BKA-Trojaner und Konsorten, aber das ist inzwischen eig. vorbei bzw. durch die Cryptos abgelöst)

    2. E-Banking-Trojaner

    (3. Den ganzen Betrugs-, Ad-, Hijack-Kram, aber den lassen wir hier mal aussen vor)

    Die Ransomware landet bei uns, weil sie unübersehbar ist (d.h. der Nutzer kriegt schnell mit, dass er infiziert ist nachdem z.B. seine Files weg sind), bei den E-Banking-Trojanern ist es oft so, dass hier die Banken die Erkennung vornehmen und den Kunden dann die Konti sperren und ihn informieren.
    Dinge die versteckter & raffinierter agieren und die der Kunde (oder dessen Bank) nicht mitkriegt, kriegen wir idR auch nicht mit, weil der Kunde ja gar nicht zu uns kommt, wenn er sich keines Problems bewusst ist. Und bei Geräten die aus anderen Gründen bei uns landen, suchen wir nur wenn wir einen konkreten Verdacht haben.
    (z.B. wenn irgendwelcher Adware, Suchhijack-Müll etc. zu finden ist - was der Kunde ja manchmal selber nicht realisiert - denn dann gehen wir davon aus, dass wer sich sowas einfängt sich vielleicht auch noch was anderes eingefangen hat.)

    Als Verbreitungsweg gehen wir grösstenteils von Mailanhängen aus, weil dies in vielen Fällen auch direkt feststellbar ist bzw. oft sogar vom User selbst "zugegeben" wird.
    Angriffe auf veraltete PlugIns (Java und so) sind, glaube ich, inzwischen eher selten geworden. Vor einigen Jahren, zu den "besten" Zeiten des BKA-Trojaners, war das wohl noch deutlich häufiger.

  19. Re: Realität sieht anders aus

    Autor: ayngush 22.12.16 - 19:42

    Ja, man verschickt sie nicht.
    Wird aber dennoch gemacht, können wir auch keinen Einfluss drauf nehmen, außer mit "gutem Beispiel" voran zu gehen.
    Unsere Erzeugnisse sind PDFs und wenn wir Dokumente versenden, dann als PDF. Es gibt aber wenige Ausnahmen.

    Dennoch: Die neuen *x-Formate sind weitestgehend unproblematisch, was die Programmierbarkeit und das Einbetten von Müll angeht. Zumindest so unproblematisch, dass man die nicht unbedingt rausfiltern muss nach unseren Dafürhalten.

  20. Re: Realität sieht anders aus

    Autor: TechnikSchaaf 22.12.16 - 20:14

    Freiheit statt Apple schrieb:
    --------------------------------------------------------------------------------
    > Nikolaus117 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > und ist es dann besser NOCH mehr Befall zu ermöglichen?
    > > Es gibt keinen 100% Schutz gegen Zero Day Exploits, Fehlerhafte
    > > Sicherheitstechniken usw.
    >
    > Das ist dann die Frage, ob man ohne Virenscanner NOCH mehr Ärger hat als
    > mit.
    > Es könnte auch andersrum sein, wenn man bedenkt, wie viele Schäden erst
    > durch Virenscanner entstehen.
    > Ich will mir hier kein statistisches Urteil anmassen, weil wir dazu keine
    > exakte Statistik führen, aber gefühlt sehen wir an der "Front" eher mehr
    > Problemfälle die durch Virenscanner verursacht wurden als Problemfälle, die
    > durch Viren verursacht wurden.

    Hieraus irgendwelche Schlüsse zu ziehen die über "auch Virenscanner machen Probleme" halte ich für falsch.
    Solange man keine Vergleichszahlen hat wie viele Probleme man mit Viren ohne Virenscanner hätte fehlt schlicht jegliche Basis für Rückschlüsse.

  1. Thema
  1. 1
  2. 2

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Microsoft Office 365 & Power Platform Developer (m/w)
    Marc Cain GmbH, Bodelshausen
  2. Senior Business Analyst*
    IKOR GmbH, deutschlandweit, remote
  3. IT Netzwerk Administrator (m/w/d)
    ST Extruded Products Group (STEP-G), Bonn
  4. Netzwerkadministrator (m/w/d)
    operational services GmbH & Co. KG, Wolfsburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 29,99€
  2. 7,49€
  3. (u. a. Paper Mario: The Origami King (Switch) für 27€ statt 69,99€, Star Wars Squadrons (PS4...
  4. 31,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de