[HaBo]

storm_chaser

Anzeige

..ist es ein Virenschutzprodukt auf Millionen von Systemen zu betreuen.

was haltet Ihr von dem : http://www.heise.de/newsticker/meldu...te-983603.html

Welcher Gefahr setzt man sich aus, ein System einzusetzten, welches die totale Kontrolle über das System erlangt?
Warum fällt soetwas in keinem Test auf ?
Wie hoch ist die Warscheinlichkeit, das ein Virendefinitionsfile echte Viren liefert ?

...ich frage mich dieses ständig, und möchte nicht in der Haut stecken, die diese Verantwortung trägt

CDW

Das passiert eigentlich allen AV Herstellern immer wieder
http://heise-online.mobi/news/Falsch...te-685463.html
http://heise-online.mobi/news/Fehlal...hm-680071.html
http://online-trend.net/bitdefender-...-rechner-lahm/

Mal ehrlich: AV Firmen machen ihr Geld damit. Häufige Updates gehören da zum guten Marketing praktisch dazu. Wer nicht täglich die Signaturen updated, bekommt schlechte Bewertungen bei diversen Online/Zeitschriftentests und will ja kein Hersteller

Zum Thema: da die Updates in sehr kurzen Zeitabständen erfolgen, kann man diese nun mal nicht auf Herz und Nieren prüfen. Es gibt zwar Standardtestverfahren - aber auch die Wahrscheinlichkeit, dass bei einem der Tests irgendein Fehler gemacht wird (z.B seitens der Prüfer - Tests laufen z.B mit alten Signaturen durch oder "nach Murphy" geht auf den Testrechnern alles problemlos). Irgendwann geht es schief.

Ob das nun Windows, Kaspersky, McAfee oder Ubuntu ist. Irgendwas davon hat immer die totale Kontrolle und alle haben dieverse Fehler . Wobei das Geschäft mit AV eigentlich nur bei Windows so richtig boomt.
Vielleicht sollte aber Microsoft mal für die schon seit NT4 integrierten Sichrheitsfeatures (Benutzerrechtezuteilung/Einschränkung/Policies) ein bisschen Werbung machen? Immerhin können diese durchaus mächtigen Features Großteil der AV-Guards Funktionalität ersetzen.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

Tarantoga

Viel spannender finde ich eigentlich die alte Frage ob nicht viele der Viren und Würmer die die Netzbürger so plagen nicht ursprünglich den AV-Schmieden entstammen...
Ich meine je schneller & effektiver eine solche Firma auf gefährliche Schädlinge reagiert, desto größer ist ihr Ansehen und damit auch ihr Profit... Und wie könnten sie schneller auf gefährlichen Code reagieren, als wenn sie ihn selbt geschrieben haben?

Denkt mal drüber nach!

==[Andy]==

hi,

möglich ist alles.

so schnell wie viren kommen sind auch prompt die dazugehörigen updates für die av's da. seltsam ist es ja schon und auch fragwürdig. man weiss ja nie mit welchen mitteln und methoden solche firmen arbeiten.

rat

nene das ist ein Mythos und der ist wirklich nicht wahr.Da muss man sich nur einmal in ein paar einschlägigen Foren umschauen.Kein AV-Hersteller hat es nötig sowas zu machen,die Cybercrime gibt es wirklich so in der Form wie man in den Medien davon redet.Die meisten Bots aber stammen aus dem Russischen bereich,dort werden die zu tausenden angeboten und verkauft.

Auch viel von der Malware von der man in den Medien liest ist wirklich Public Malware also frei zum Download verfügbar.


Medienname = Programmierer Name
Metafisher = AgentDQ
http://www.heise.de/security/meldung...ch-112878.html

Mariposa = Butterfly Bot
http://www.heise.de/security/meldung...nt-945386.html

Kneber,zBot,Zeus = Zeus Bot
http://www.golem.de/1002/73239.html

Spy Eye = Spy Eye
http://www.heise.de/security/meldung...on-926478.html

Storm Worm = Zunkerbot
http://www.heise.de/security/meldung...en-190897.html

Chimera = Elite Loader
http://blogs.zdnet.com/security/?p=3045


Und ich könnte diese Liste ewig so weiterführen.

__________________

CDW

Was aber kein Mythos ist, sind die "beliebten" Malware-Crypter, deren Prinzip auf dem Aufruf von 3-4 sehr spezifischen APIs bisiert und schon Jahre auf dem Buckel hat . RunPE wäre das richtige Stichwort und praktisch 99% aller Malwarecrypter, die man käuflich erwerben kann, basieren darauf.

Trotzdem ziehen es AV Hersteller vor, diese Dinge anstatt per (recht simpler, vor allem da die AV Guards eher die Kernelfunktionen hooken) Verhaltensheuristik auf "CreateProcess(self,...,SUSPENDED)" ->"ZwUnmapView" ->"WriteProcessMemory" ->"ResumeThread" API Aufrufe lieber über Signaturen oder komische PE-Heuristiken zu erkennen . Diese API Aufrufe an sich und vor allem nacheinander sind afaik so spezifisch, dass man diese getrost sperren kann und die wenigen Anwendungen, die das wirklich benötigen, auf eine Whitelist setzen.
Vor allem weil sonstige Heuristiken inzwischen alles mögliche als "verdächtig" markieren - "non-massencompiler" produziere Executables oder solche, die z.B größere Ressourcenabschnitte haben.

Aber eine gründliche Erkennung würde den "Cybermarkt" im Malware-Crypterbereich dramatisch schrumpfen lassen (ich schätze, dass ca. 90% der täglichen AV-Signaturupdates nur auf "Crypterkonto" gehen) und bei der restlichen "professioneller" Malware ließe sich die Statistik mit erfolgreicher Erkennung nicht so gut vermarkten, da die Erkennung in diesem Bereich (drive-by downloads, Rootkits und proffessionelle Bots) eben ziemlich zu wünschen übrig lässt

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

Cat

Sagt mal habt ihr nichts anderes zu tun
Hier schreiben immer nur die gleichen Leute

Themen sind uninteressant
Hier könnt ihr über Gott und Welt diskutieren

Edit Stellt bei News neue Hardware usw.

Chromatin

Ergaenzend darf man (noch mal) sicher festhalten, dasz gerade AVes am allerwenigsten an einer sicheren Softwarewelt interessiert sind

__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/

xrayn

Genauso wenig wie ein Arzt an deiner Gesundheit, ein Lehrer dich zu bilden, ein Koch dich zu saettigen oder du an deinem Job. Denn wenn alle ihren Job gemacht haben, haben sie keine Kunden mehr! Macht echt Sinn, danke!

Chromatin

Es duerfte nicht allzuschwer fallen die Intentionen dieser Berufe und einem AV fuer jederman einleuchtend darzulegen.

__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/

CDW

Die Intention von MacDonalds ist also satt zu machen ... und über einige Zahnärzte wollen wir gar nicht reden

Du redest von einzelnen Personen, bei denen es durchaus ankommt, ihren Job gut zu machen. Das kannst du aber genauso auf die Sicherheitsbranche übertragen - ein einzelner "Sicherheitsfachmann" bzw. kleinere spezialisierte Gruppe ist durchaus daran interessiert, ihre Aufgabe möglichst gut zu erledigen weil sonst die Kunden schlichtweg ausbleiben.
Nimmt man aber größere "Gruppen" wie Lebensmittel- Pharmaindustrie (oder eben "Sicherheitsoftware"), schaut es schon anders aus - dass die Pharmas nicht wirklich in Richtung "auf_einen_Schlag_Gesundmacher" geforscht wird, ist _keine_ Verschwörungstheorie, sondern Realität. Dass die Lebensmittelindustrie gerne Chemiecocktails verkauft, dürfte auch nicht ganz so neu sein

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

enkore

http://blog.fefe.de/?ts=b52b2458

rat

Recht hat er,wie sagt man so schön wo kein Kläger da kein Richter oder so ähnlich ^^

__________________

storm_chaser

Hallo CDW,

Das sehe ich ähnlich, die Sicherheit sollte das OS mitibringen. Und das tut es ja auch in großen Teilen wenn man sie nutzt.
So langsam hängt mir der ganze Weakness- und malware Kram zu Halse raus:
Wie wäre es mit einem neuen Betriebssystem im microkernel - Format?
Wie seht Ihr die Chancen für ein sicheres microkernel OS, welches über dem kernel nur mit managed code arbeitet, sowie die Teststudie von MS im Bereich singularity. Dass es malware gibt, und dass es malware detection gibt liegt doch an den Voraussetzungen den OS. Warum nicht das Übel am Haaransatz fassen und es unter starken Schmerzen herauszeihen....
Heutzutage ist auch meistens die Software ein Schwachpunkt, z.B. der großartige Reader von PDF Dokumenten, der sich sich ja als gutes Beispiel als Dauer-Sicherheitslücke entpuppt. Und das durch Pufferüberläufe noch und nöcher...braucht man diese wirklich ?

Chromatin

Es ist "nicht so leicht", mal eben das populaerste OS "Umzuschreiben". MS wuerde das intern sicherlich hinkriegen. Aber wie sollen die sicherstellen dasz der ganze Mist sehr unsicherer Software, gerade im Grafikbereich, dann auch noch laeuft? Das ist eine praktisch nicht zu bewaeltigende Logistik. Die Nationen und grossen ISPs kriegen es ja nichtmal hin IPv6 einzufuehren, was im verhaeltnis dazu viel leichter ist.
Und warum machen sie es nicht? Weil sich mit bisherigen NAT Konzepten Geld verdienen laesst. Und am Ende der tatsaechlichen Verknappung werden sie nochmal schoen zulangen und dann zu IPv6 migrieren. Das wird noch Jahrzehnte dauern.

Und wer hat wirkliches Interesse an Inet Sicherheit?

Der User etwa?
Der User frisst alles und ist irrelevant. Man biegt ihn durch Medien genau dorthin, wo er am meisten nuetzt: KONSUMIEREN. In diesem Falle Sicherheitsprodukte aller Art (Die unart sich gegen alles zu Versichern shclaegt sich wohl auch im Netz nieder).


Die OS Hersteller?
Sicherheit kostet Geld. Fuer MS ist es immer schon ein Imageproblem gewesen. Das wird der Grund sein, warum sie sehr viel Geld in Sicherheit investieren. Der Impuls kam jedoch von aussen, der Comunity.

Die Softwarehersteller?
Die wollen das ihre Software rennt. Gibts nen Bug? Dann ist eben das OS Schuld. Und wenns eindeutig die SW ist, who the fuck cares? Es wird gepatcht - die Leute nutzen es doch eh.

Secutity ist fuer ALLE ein Riesengeschaeft. Fuer Malwareautoren, carder, dropper, whatever, genauso wie fuer AVes und sog. Sicherheitsspezialisten und deren Firmen, die wie Pilze aus dem Boden schieszen und zu 99% nichts als symptone glaetten.

Sicherheitsproblem wird gefunden
-> hacker verkauft 0day gewinnbringend
-> Szene nutzt das Problem, verdient Geld
-> Anbieter von Sicherheitssoftware kaufen Infos um Ihre Produkte und Dienstleistungen zu verkaufen

-> Security Consultant (nutzt sicherheitstools, core impact, whatever)
-> Empfiehlt Produkte, Kunde kauft
-> HP gedoense
-> Cisco gedoense
-> Sicherheitssoftware
-> Security consultant bietet Support Vertrag

Sicherheitsprobleme akkumulieren Geld! (fuer irgendjemanden)


Natuerlich klingt das alles nach nem fiesen Plan.
Aber jetzt zeig mir doch mal einer eine Liste von Leuten, die wirklich, aufrichtig, an Sicherheit arbeiten? Ich meine nicht die Leute rund um IETF, CERN, CERT und ICANN. Und ich meine auch keine Wiederkaeuer ala Fefe.

__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/