Druckversion des Themas

Geschrieben von: Oldie 21.12.2016, 17:43

Ein sehr interessanter Bericht über AV-Programme, die selbst das größte Sicherheitsrisiko darstellen:
http://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.html

Geschrieben von: RamDMC 21.12.2016, 19:08

Also in Zukunft dann doch eher Excubits oder Ähnliches.

Geschrieben von: Oldie 22.12.2016, 10:26

Stellungnahme von Fabian Wosar (Emsisoft) zu diesem Thema im Emsisoft-Forum:
https://support.emsisoft.com/topic/26548-nutzen-von-av-software/

Geschrieben von: SLE 22.12.2016, 11:48

Sehr schön, wie immer

Im Grunde gibt Fabian der Grundintention des im Artikel angesprochenen Problems ja auch Recht. Jede Drittanbietersoftware bringt neuen Code, enthält dieser Lücken kann er ausgenutzt werden. Mehr Code mehr potentielle Lücken so einfach.
AVs laufen mit hohen Systemrechten, gibt es da Lücken hat diese die Malware auch. Fertig. So ein übertriebener Artikel und das ganze Schlangenöl zu nennen ist dennoch falsch, denn AVs blockieren ja durchaus Malware.

Die Whitelisting Debatte: Jein. Klar wenn nur als sicher Bekanntes ausgeführt werden kann, ist das Infektionsrisiko viel geringer als bei Blacklists.
Nur: Wer hat so große Datenbanken? Es nervt ja schon wenn z.B. der Smartscreen von Windows mal wieder sinnloserweise Alarm schlägt, weil ein neues kleines Programm nicht bekannt ist. (Änhliches gilt für alle Produkte, z.B. auch EAM )
Die Entwicklung geht dennoch etwas in die Richtung soviel Whitelisting wie möglich: M$ würde am liebsten alles whitelisten und Google hat VT auch nicht aus Gemeinnützigkeit übernommen, die Hashes und Informationen die da hochgeladen werden sind Bares wert.

Was stimmt an der Kritik an vielen AVs:
Sie wollen Nutzer schützen, haben aber teilweise scheinbar banale Schwachstellen und brauchen manchmal ewig zum fixen. Das Beispiel vom Saftladen Comodo zeigt das mal wieder
Manche nutzen nicht die im OS integrierten Sicherheitsmechanismen (Bsp.: ASLR) , um die eigenen Prozesse zu schützen. Aus solchen Aussagen und Tests (AV-Test nennt sowas dann Selbstschutz Test) auf Lücken zu schließen ist aber mit Vorsicht zu genießen, denn es gibt auch andere Möglichkeiten die eigenen Prozesse zu schützen.

Wichtig ist doch nur: Wie schnell reagiert ein Hersteller auf eine gemeldete Lücke und fixt dies? Bei Windows, Browsern, Java, Flash, Adobe, Office etc. fordert jeder sofort und man achtet darauf. Wie ist es bei AVs? Nur andererseits werden Exploits auch bevorzugt für die meistverbreitete Software geschrieben und nicht für AVs


Nette kleine Produkte, die zum Glück nicht massentauglich sind. Sympathischer Entwickler, der auch nicht in den Kanon "Linux ist vom Design viel sicherer als Windows" einstimmt, sondern eher gegenteiliger Meinung ist. Dennoch: Auch diese Produkte als kleine Kerneltreiber bringen mehr Code mit, eine Lücke darin die ausgenutzt wird hätte auch Folgen. Nur bei Nischenprodukten ist es sehr gering, dass man die attackiert.

Das im Artikel kritisierte Zertifikatsaustauschen um in TLS/SSL Verbindungen herumzuschnüffeln ist auch nicht neu. Das betonen wir hier im Forum seit mindestens 2009/2010 aber viele Nutzer stehen halt auf Streamscanner (WebAV) und Mailscanner...

Geschrieben von: Oldie 22.12.2016, 12:11

Ich habe mir mal das Video von Excubits über die Installaltion von "Türsteher" angesehen und bin zu dem Ergebnis gekommen, dass das für mich als Privatanwender einfach zu umständlich ist.
https://www.youtube.com/watch?v=6X-wlP3Lmc0

Außerdem wird dort für Anfänger empfohlen, ganze Verzeichnisse von Anwendungsprogrammen freizugeben. Wenn sich nun ein Schadprogramm einfach in so ein Verzeichnis installiert, dann hat es ja wohl freie Bahn und wird durch den Türsteher nicht mehr aufgehalten.

Emsisoft hatte mal die Firewall Online Armor im Angebot. Da war nach meiner Erinnerung eine Whitelist für gängige Programme schon dabei und man konnte die Firewall bezüglich der Freigabe weiterer Programme trainieren und ggf. mit einem Klick freigeben. Das war m.E. wesentlich anwendungsfreundlicher. Hatte natürlich das Risiko, dass evtl. schon vor Installation von Online Armor vorhandene Schadprogramme freigegeben wurden. Ich erinnere mich, dass ich nach dem Trainingslauf von Online Armor sehr viel googlen musste, um rauszufindden, was bestimmte ausführbare Programme eigentlich machen.

Ich werd wohl bei EAM bleiben. Bisher hatte ich jedenfalls noch keinen Ärger mit Malware.

Geschrieben von: Der Moloch 22.12.2016, 12:13

Gehen wir mal von der Zielgruppe Heimanwender aus. Diese können alternative Sicherheitslösungen nicht sinnvoll nutzen, weil sie damit nicht umgehen können. Ein Heimanwender hingegen, der versteht, wie Malware auf den Rechner kommt, wie die anderen Sicherheitsansätze funktionieren und davor schützen, der braucht diese Programme nicht mehr. Im Gegenteil, er kommt nie in die Situation, in welcher sie ihn tatsächlich beschützen, sondern hat bloß zusätzlichen Aufwand mit der Einrichtung, dem Betreiben und den Problemen, die daraus entstehen.

Hinzu kommt, dass die alternativen Ansätze einen unbedarften Heimanwender nicht vor sich selbst schützen können, da man sie zu oft deaktivieren muss, um legitime Vorgänge durchzuführen.



Wenn ich so inhaltsleere Feststellungen wie "so ist es" lese, kann ich mir nur an den Kopf fassen. Wenn man zu faul dafür ist, es zu begründen, kann man sich den Beitrag auch ersparen.

Geschrieben von: Hexo 22.12.2016, 12:14

Verwenden nicht alle großen AV Hersteller (Avira, Avast, Kaspersky usw.) das System die TLS/SSL Verbindungen zu beschnüffeln?

Geschrieben von: SLE 22.12.2016, 13:31

Ja viele, aber man kann es ja deaktivieren Man bedient eben die Kundenwünsche, die man selbst erschaffen hat - Teufelskreis.

Geschrieben von: RamDMC 22.12.2016, 17:08

[quote name='Der Moloch' date='22.12.2016, 12:13' post='402274']
Gehen wir mal von der Zielgruppe Heimanwender aus. Diese können alternative Sicherheitslösungen nicht sinnvoll nutzen, weil sie damit nicht umgehen können. Ein Heimanwender hingegen, der versteht, wie Malware auf den Rechner kommt, wie die anderen Sicherheitsansätze funktionieren und davor schützen, der braucht diese Programme nicht mehr. Im Gegenteil, er kommt nie in die Situation, in welcher sie ihn tatsächlich beschützen, sondern hat bloß zusätzlichen Aufwand mit der Einrichtung, dem Betreiben und den Problemen, die daraus entstehen.

Chapeau, äußerst überzeugende und nun auch für mich nachvollziehbare Argumentation., die mich davor bewahrt, mich intensiver mit diesen Programmen zu beschäftigen.
Bedankt.

Geschrieben von: Der Moloch 22.12.2016, 18:33

Dich davor bewahren, sich intensiver mit derartigen Programmen zu beschäftigen, wollte ich keinesfalls. Im Gegenteil: Sich damit zu beschäftigen, lohnt sich durchaus. Zwar weniger, um so ein Programm hinterher einzusetzen, sondern eher, weil man so viel dabei lernen kann, dass man anschließend die eigene Anfälligkeit für eine Malwareinfektion drastisch reduziert hat.

Geschrieben von: RamDMC 22.12.2016, 18:47

Schon verstanden. Und zusammen mit Fabian Wosars o.g. Ausführungen zum Thema bin ich nun umfassend informiert.

Geschrieben von: simracer 22.12.2016, 19:38

Tja und die "Experten" bei chip.de bewerben(und loben)die neue Comodo Internet Security 10 und deren neues "Hammer-Feature": http://www.chip.de/news/Comodo-10-ist-da-Kostenlose-Internet-Security-mit-Hammer-Feature_105956878.html

Geschrieben von: hyyyper 22.12.2016, 20:59

Ich habe mich vor ein paar Tagen noch gefragt, wann dieses Thema mal wieder ausgegraben wird. Wurde aber auch mal Zeit.
Würde mich mal interessieren, wie viele Kunden Ihren Super-Hightech Antivirus-Hersteller per Support kontaktieren und beängstigt ausquetschen, ob deren Produkt auch Lücken hat

Es gilt leider nun mal folgendes Prinzip: Programm hat Code - Code hat Lücken. Das gilt aber bekannterweise nicht nur für Virenscanner - diese werden halt nur immer wieder dermaßen kritisiert,
weil sie halt mit besonderen Rechten ihre Arbeit verrichten - denn ohne sie könnten sie schließlich keine Malware desinfizieren/vernichten.

Witzig finde ich, wie immer wieder kritisiert wird, aber kein wirklich konstruktiver Verbesserungsvorschlag kommt.

Wie bereits erwähnt: wenn man whitelistet, geht das Chaos erst richtig los. Datenbanken müssten im Sekundentakt aktualisiert werden. Hat der Anwender die Möglichkeit manuell zu whitelisten, kann man auch gleich ohne Schutz rumrennen, denn der Großteil an berufs oder freizeitbedingten PC-Anwendern kann zwischen gut und böse nur schwer unterscheiden, da die Malware schließlich immer besser wird.
Selbst den Mega-Cloud-Netzwerken von Symantec, Kaspersky, Avira, Avast, BitDefender und Co sind noch viel zu viele Anwendungen/Dateien unbekannt, um eine solche Whitelist-Funktion anzubieten. Kaspersky's Funktion namens "Modus für vertrauenswürdige Programme" hat auf meinem System z.B. 42 unbekannte Systemobjekte gefunden, womit dieser Modus für mich nicht in Frage kommt.

Aktuell wäre eine Anti-Executable-Lösung die bessere Wahl. Wie es recht ressourcenschonend und anwenderfreundlich geht, zeigt beispielsweise VoodooShield.

Die Aussage, welche ich doch öfters lese "3rd-Party Engines haben eh alle Lücken, daher nutze ich den Defender" kritisiere ich. Denn was der Defender für effektive Schutzwirkung an den Tag legt ist trotz Cloud-Scanning (noch) unterirdisch. Da lege ich eher Wert auf eine gute Gesamtschutzleistung als auf eine Engine mit weniger Lücken, die jede zweite Ransomware durchlässt. Denn ich denke auch der Defender wird nicht lückenfrei sein.

Also für mich persönlich sind folgende Faktoren ausschlaggebend für einen nützlichen Virenschutz:
https://www.av-test.org/de/news/news-single-view/dauertest-geben-schutz-pakete-staendig-viele-fehlalarme/
https://www.av-comparatives.org/false-alarm-tests/
https://www.av-test.org/de/news/news-single-view/spezial-antivirus-tools-im-test-das-leisten-die-systemretter-im-notfall/
https://www.av-test.org/de/news/news-single-view/so-gut-reparieren-schutz-suiten-ihr-system-nach-einer-schaedlings-attacke/
https://www.av-comparatives.org/removal-tests/
https://www.av-test.org/de/news/news-single-view/check-2015-selbstschutz-in-antiviren-software/

Und letztendlich dann noch die Real-World-Protection -/File-Detection Tests des letzten Jahres. Ich denke, da wird schnell klar, dass der Windows Defender alles andere als ausreichend ist!
Die Anwendung muss einfach funktionieren, möglichst wenig nerven und wenig Fehler in anderen Anwendungen verursachen.

Desweiteren halte ich die Antivirus-Leak-Story für völlig hochgeschaukelt. Schließlich ist ein Antivirus-Programm gerade mal 10% eines Sicherheitskonzepts.

Viel getextet - bin mal gespannt wer's liest

Schöne Feiertage & Liebe Grüße

Geschrieben von: wotan 24.12.2016, 10:48

Badesalz und Schlangenöl...

Grundsätzlich stimme ich hyyyper zu.
Es gibt keine 100%ige Sicherheit, ob mit oder ohne AV. Denn auch die haben ihre Tücken bzw. Leaks.
Für mich macht letztendlich nur ein stimmiges Gesamtpaket Sinn:

- Betriebssystem immer auf neuestem Stand halten
- AV regelmässig updaten
- Browser regelmässig aktualisieren
und schliesslich das Gehirn einschalten, auf was man klickt und welche Anhänge man öffnet.

In diesem Sinne allen ein sicheres und frohes Weihnachtsfest!

Geschrieben von: simracer 24.12.2016, 11:20

So weit so gut wotan aber machst du keine Systembackups/images und auch keine Datensicherungern dir wichtiger Dateien die nicht verloren gehen sollen? http://www.smilies.4-user.de

Geschrieben von: wotan 24.12.2016, 11:35

Klar @simracer mach ich die und das auch regelmässig...
Vergessen mit aufzuführen.
Nobodys perfect
Aber macht das auch der "Ottonormaluser"?
Eher nicht, daher eine gute Anregung

Geschrieben von: simracer 24.12.2016, 11:55

wotan du wirst langsam alt und vergesslich http://www.smilies.4-user.de

Zu viele machen das immer noch nicht und öffnen dann nicht selten noch irgendwelche Anhänge von E-Mails und öffnen so Verschlüsselungstrojanern den Weg zu ihrem System so das ihre Dateien wie Fotos, Musik, Dokumente usw verschlüsselt werden

Geschrieben von: GerhardKO 24.12.2016, 12:25

und was ist mit SecureAPlus, die arbeiten doch zumeist nur mit Whitelisting ? haben zusätzlich über die Cloud 12 AV`s und eine sehr gute Erkennung. Und ist mittlerweile mit der neuen Version extrem einfach zu bedienen und nicht mehr verwirrend.

Geschrieben von: hyyyper 27.12.2016, 21:04

Was noch ganz nützlich sein dürfte: so viele URL-Filter wie möglich hinzufügen.

Bei mir z.B. laufen Kaspersky, einige Filter von uBlock Origin und DNS-Filter im Router "Norton ConnectSafe", damit man nach Möglichkeit erst
gar nicht Zugriff auf die Seiten mit schädlichen Inhalten bekommt.

Backups mach ich natürlich auch - mitm Chinesen "Aomei". Echt genial einfach und funktioniert, funktioniert und funktioniert immer noch

Geschrieben von: wotan 28.12.2016, 21:13

Zitat @simracer: "Zu viele machen das immer noch nicht und öffnen dann nicht selten noch irgendwelche Anhänge von E-Mails und öffnen so Verschlüsselungstrojanern den Weg zu ihrem System so das ihre Dateien wie Fotos, Musik, Dokumente usw verschlüsselt werden"

Die grösste Gefahr sich Malware einzuhandeln, liegt nach meiner Erfahrung im unbedachten Öffnen von Emailanhängen.
Egal ob mit oder ohne AV, hier ist absolut Vorsicht geboten. Man sollte Emailanhänge oder überhaupt Emails, deren Absender einem unbekannt sind, nicht öffnen oder direkt löschen.
Das erspart unter Umständen jede Menge Ärger.

Geschrieben von: GerhardKO 29.12.2016, 14:52

hier ein neuer Test von SecureAplus:

https://www.youtube.com/watch?v=l1-gHHK16vM

interessant, dass es Malware gibt, die eine Signatur haben, die als sicher gilt.

Ich habe jetzt sehr viel gelesen über AV`s und AV`s mit Whitelistening. Ich denke, dass AV`s mit Whitelistening die Zukunft sein werden. Nachteil, die Klickerititis ist vorbei, man muss mit denken, den einem AV vollkommen zu vertrauen, wie die Mehrheit der User es tun, die Zeit ist vorbei.

Geschrieben von: RiderOTS 29.01.2017, 13:28

Bin auf den Blogger http://www.ms-it-consulting.biz/#aboutUs gestoßen, der sich mit Schutzprogrammen beruflich beschäftigt und dabei die neue Gattung der WhiteList Programme sehr positiv bewertet und begründet dies über das Anwachsen von Ransomware, die über klassische AV Schutzprogramme in einer frühen Phase der Verbreitung nicht entdeckt werden und somit nicht am Starten gestoppt werden. WhiteList Programme blocken jede unbekannte exe, die nicht freigegeben ist.

https://www.securedsector.com/next-generation-av-software-vs-traditionelle-av-software der Blog Artikel zum Thema "Next-generation AV-Software vs. traditionelle AV-Software".

Er hat sich die WhiteList Programme http://www.ms-it-consulting.biz/blog/2017/01/voodooshield-next-generation-av-software-zum-effektiven-schutz-vor-malware-und-ransomware/ und http://www.ms-it-consulting.biz/blog/category/ransomware näher angeschaut und eine hohe Verläßlichkeit auf Schutz festgestellt.

https://www.secureaplus.com/

https://voodooshield.com

Geschrieben von: wotan 29.01.2017, 15:16

... und woher will man wissen, ob ein Programm, welches man downloaden möchte, sauber ist?
Das whitelistening blockt doch zunächst alles, was neu ist.
Der User muss es dann zulassen.

Geschrieben von: RiderOTS 29.01.2017, 16:45

Das Runterladen einer unbekannten exe ist nicht gefährlich... nur das Starten. Nach meinem Verständnis wird die unbekannte exe über VoodooShield bei 50 AV-Programmen auf Malware abgefragt. In diesem https://www.youtube.com/watch?v=V8oh5Wf89_k wird VoodooShield erklärt und das Arbeiten damit gezeigt.

Auf Basis des Ergebnisses der Abfrage weißt Du, ob du eine saubere Anwendung vor Dir hast oder eine Malware. Im Falle einer Malware schiebst Du diese Anwendung in die BlackList sprich Quarantäne oder in den Papierkorb und löscht das Teil. Damit kann die exe nicht starten und dies auf Dauer.

Geschrieben von: Schulte 30.01.2017, 04:22

Na ja, der Herr S. möchte hier ja sicher auch seine kostenpflichtige Dienste an den Mann bringen. "Wenn Du meinem Expertenrat nicht folgen kannst, miete Dir einen".

PS: einen "Default Deny Modus" wie die beworbenen Programme hat z.B. KL seit der 2014 an Bord. Hat sich wohl noch nicht bis Markdorf herumgesprochen...

Geschrieben von: RiderOTS 30.01.2017, 06:23

Mit meinem Hinweis auf Markus Speckmeier wollte ich nur sagen, daß hier kein reiner Vertriebsmensch Lizenzen verkauft, sondern jemand aus der IT-Branche kommt, der sich in der Materie auskennt.

Die Deny Funktion von Kaspersky Lab gibt es aber nur gegen eine Lizenz von 30 Euro pro Jahr (im Online-Handel 23 Euro incl. Versand). Die nennen wir es mal Deny-Funktion bei VoodoooShield, gibt es für den Home User kostenlos. Der Schutzmechanismus der Free und der Pro-Variante von VoodooShield ist der Gleiche. Die Pro-Variante bietet mehr Einstellmöglichkeiten, die man im Firmennetztwerk braucht.

Geschrieben von: calimero 08.02.2017, 14:38

https://blog.kaspersky.de/is-antivirus-really-dead/9706/

Geschrieben von: virgil 08.02.2017, 15:31

Hm, ja. Was hätte der gute Herr Kaspersky nun auch sagen sollen?

Geschrieben von: Oldie 08.02.2017, 17:50

Hier ein neuer Bericht über die Sicherheitsschwachstellen von AV-Programmen:
https://www.heise.de/security/meldung/Sicherheitsforscher-an-AV-Hersteller-Finger-weg-von-HTTPS-3620159.html

Geschrieben von: Oldie 10.02.2017, 10:38

Hier eine Stellungnahme von Emsisoft:
http://blog.emsisoft.com/2017/02/09/https-interception-what-emsisoft-customers-need-to-know/

Geschrieben von: Rene-gad 26.03.2017, 12:04

http://www.chip.de/news/Forscher-warnen-vor-Antiviren-Tools-Ein-Detail-macht-sie-zur-Gefahr_111284506.html

Geschrieben von: wotan 26.03.2017, 15:43

In der Tat stellt der sogenannte "Man in the middle" ein Sicherheitsrisiko dar.
Bei 360 Total Security ist das offensichtlich nicht der Fall.