Eine hohe Verantwortung

S

storm_chaser

Guest
..ist es ein Virenschutzprodukt auf Millionen von Systemen zu betreuen.

was haltet Ihr von dem : http://www.heise.de/newsticker/meld...ht-Windows-PCs-unbenutzbar-Update-983603.html

Welcher Gefahr setzt man sich aus, ein System einzusetzten, welches die totale Kontrolle über das System erlangt?
Warum fällt soetwas in keinem Test auf ?
Wie hoch ist die Warscheinlichkeit, das ein Virendefinitionsfile echte Viren liefert ?

...ich frage mich dieses ständig, und möchte nicht in der Haut stecken, die diese Verantwortung trägt
 
Zuletzt bearbeitet:
Das passiert eigentlich allen AV Herstellern immer wieder ;)
http://heise-online.mobi/news/Falscher-Alarm-von-avast-und-Gdata-in-user32-dll-Update-685463.html
http://heise-online.mobi/news/Fehlalarm-von-Kaspersky-legt-Windows-Rechner-lahm-680071.html
http://online-trend.net/bitdefender-update-legt-windows-rechner-lahm/

Mal ehrlich: AV Firmen machen ihr Geld damit. Häufige Updates gehören da zum guten Marketing praktisch dazu. Wer nicht täglich die Signaturen updated, bekommt schlechte Bewertungen bei diversen Online/Zeitschriftentests und will ja kein Hersteller :rolleyes:

Zum Thema: da die Updates in sehr kurzen Zeitabständen erfolgen, kann man diese nun mal nicht auf Herz und Nieren prüfen. Es gibt zwar Standardtestverfahren - aber auch die Wahrscheinlichkeit, dass bei einem der Tests irgendein Fehler gemacht wird (z.B seitens der Prüfer - Tests laufen z.B mit alten Signaturen durch oder "nach Murphy" geht auf den Testrechnern alles problemlos). Irgendwann geht es schief.

Welcher Gefahr setzt man sich aus, ein System einzusetzten, welches die totale Kontrolle über das System erlangt?
Ob das nun Windows, Kaspersky, McAfee oder Ubuntu ist. Irgendwas davon hat immer die totale Kontrolle und alle haben dieverse Fehler ;). Wobei das Geschäft mit AV eigentlich nur bei Windows so richtig boomt.
Vielleicht sollte aber Microsoft mal für die schon seit NT4 integrierten Sichrheitsfeatures (Benutzerrechtezuteilung/Einschränkung/Policies) ein bisschen Werbung machen? Immerhin können diese durchaus mächtigen Features Großteil der AV-Guards Funktionalität ersetzen.
 
Viel spannender finde ich eigentlich die alte Frage ob nicht viele der Viren und Würmer die die Netzbürger so plagen nicht ursprünglich den AV-Schmieden entstammen...
Ich meine je schneller & effektiver eine solche Firma auf gefährliche Schädlinge reagiert, desto größer ist ihr Ansehen und damit auch ihr Profit... Und wie könnten sie schneller auf gefährlichen Code reagieren, als wenn sie ihn selbt geschrieben haben?

Denkt mal drüber nach! :wink:
 
hi,

möglich ist alles.

so schnell wie viren kommen sind auch prompt die dazugehörigen updates für die av's da. seltsam ist es ja schon und auch fragwürdig. man weiss ja nie mit welchen mitteln und methoden solche firmen arbeiten.
 
Viel spannender finde ich eigentlich die alte Frage ob nicht viele der Viren und Würmer die die Netzbürger so plagen nicht ursprünglich den AV-Schmieden entstammen...
Ich meine je schneller & effektiver eine solche Firma auf gefährliche Schädlinge reagiert, desto größer ist ihr Ansehen und damit auch ihr Profit... Und wie könnten sie schneller auf gefährlichen Code reagieren, als wenn sie ihn selbt geschrieben haben?

Denkt mal drüber nach! :wink:

nene das ist ein Mythos und der ist wirklich nicht wahr.Da muss man sich nur einmal in ein paar einschlägigen Foren umschauen.Kein AV-Hersteller hat es nötig sowas zu machen,die Cybercrime gibt es wirklich so in der Form wie man in den Medien davon redet.Die meisten Bots aber stammen aus dem Russischen bereich,dort werden die zu tausenden angeboten und verkauft.

Auch viel von der Malware von der man in den Medien liest ist wirklich Public Malware also frei zum Download verfügbar.


Medienname = Programmierer Name
Metafisher = AgentDQ
http://www.heise.de/security/meldung/Trojaner-MetaFisher-fischt-erfolgreich-112878.html

Mariposa = Butterfly Bot
http://www.heise.de/security/meldun...-zu-Mariposa-Verhaftungen-bekannt-945386.html

Kneber,zBot,Zeus = Zeus Bot
http://www.golem.de/1002/73239.html

Spy Eye = Spy Eye
http://www.heise.de/security/meldung/Spion-gegen-Spion-926478.html

Storm Worm = Zunkerbot
http://www.heise.de/security/meldung/Stuermisches-Halloween-190897.html

Chimera = Elite Loader
http://blogs.zdnet.com/security/?p=3045


Und ich könnte diese Liste ewig so weiterführen.
 
Zuletzt bearbeitet:
nene das ist ein Mythos und der ist wirklich nicht wahr.Da muss man sich nur einmal in ein paar einschlägigen Foren umschauen
Was aber kein Mythos ist, sind die "beliebten" Malware-Crypter, deren Prinzip auf dem Aufruf von 3-4 sehr spezifischen APIs bisiert und schon Jahre auf dem Buckel hat ;). RunPE wäre das richtige Stichwort und praktisch 99% aller Malwarecrypter, die man käuflich erwerben kann, basieren darauf.

Trotzdem ziehen es AV Hersteller vor, diese Dinge anstatt per (recht simpler, vor allem da die AV Guards eher die Kernelfunktionen hooken) Verhaltensheuristik auf "CreateProcess(self,...,SUSPENDED)" ->"ZwUnmapView" ->"WriteProcessMemory" ->"ResumeThread" API Aufrufe lieber über Signaturen oder komische PE-Heuristiken zu erkennen :rolleyes:. Diese API Aufrufe an sich und vor allem nacheinander sind afaik so spezifisch, dass man diese getrost sperren kann und die wenigen Anwendungen, die das wirklich benötigen, auf eine Whitelist setzen.
Vor allem weil sonstige Heuristiken inzwischen alles mögliche als "verdächtig" markieren - "non-massencompiler" produziere Executables oder solche, die z.B größere Ressourcenabschnitte haben.

Aber eine gründliche Erkennung würde den "Cybermarkt" im Malware-Crypterbereich dramatisch schrumpfen lassen :rolleyes: (ich schätze, dass ca. 90% der täglichen AV-Signaturupdates nur auf "Crypterkonto" gehen) und bei der restlichen "professioneller" Malware ließe sich die Statistik mit erfolgreicher Erkennung nicht so gut vermarkten, da die Erkennung in diesem Bereich (drive-by downloads, Rootkits und proffessionelle Bots) eben ziemlich zu wünschen übrig lässt :rolleyes:
 
  • Like
Reactions: rat
Sagt mal habt ihr nichts anderes zu tun
Hier schreiben immer nur die gleichen Leute

Themen sind uninteressant
Hier könnt ihr über Gott und Welt diskutieren:wink:

Edit Stellt bei News neue Hardware usw.
 
Zuletzt bearbeitet:
Ergaenzend darf man (noch mal) sicher festhalten, dasz gerade AVes am allerwenigsten an einer sicheren Softwarewelt interessiert sind ;)
 
Ergaenzend darf man (noch mal) sicher festhalten, dasz gerade AVes am allerwenigsten an einer sicheren Softwarewelt interessiert sind ;)

Genauso wenig wie ein Arzt an deiner Gesundheit, ein Lehrer dich zu bilden, ein Koch dich zu saettigen oder du an deinem Job. Denn wenn alle ihren Job gemacht haben, haben sie keine Kunden mehr! Macht echt Sinn, danke!
 
Genauso wenig wie ein Arzt an deiner Gesundheit, ein Lehrer dich zu bilden, ein Koch dich zu saettigen oder du an deinem Job. Denn wenn alle ihren Job gemacht haben, haben sie keine Kunden mehr! Macht echt Sinn, danke!

Es duerfte nicht allzuschwer fallen die Intentionen dieser Berufe und einem AV fuer jederman einleuchtend darzulegen.
 
Genauso wenig wie ein Arzt an deiner Gesundheit, ein Lehrer dich zu bilden, ein Koch dich zu saettigen oder du an deinem Job. Denn wenn alle ihren Job gemacht haben, haben sie keine Kunden mehr! Macht echt Sinn, danke!
Die Intention von MacDonalds ist also satt zu machen ... und über einige Zahnärzte wollen wir gar nicht reden :rolleyes:

Du redest von einzelnen Personen, bei denen es durchaus ankommt, ihren Job gut zu machen. Das kannst du aber genauso auf die Sicherheitsbranche übertragen - ein einzelner "Sicherheitsfachmann" bzw. kleinere spezialisierte Gruppe ist durchaus daran interessiert, ihre Aufgabe möglichst gut zu erledigen weil sonst die Kunden schlichtweg ausbleiben.
Nimmt man aber größere "Gruppen" wie Lebensmittel- Pharmaindustrie (oder eben "Sicherheitsoftware"), schaut es schon anders aus - dass die Pharmas nicht wirklich in Richtung "auf_einen_Schlag_Gesundmacher" geforscht wird, ist _keine_ Verschwörungstheorie, sondern Realität. Dass die Lebensmittelindustrie gerne Chemiecocktails verkauft, dürfte auch nicht ganz so neu sein :rolleyes:
 
Meine Güte ist diese Security-Industrie im Eimer. Seit Jahren gibt es da eine Debatte um Full Disclosure. Wir hatten ja sogar eine Chaosradio-Sendung dazu. Die Frage bei Full Disclosure ist folgende: nehmen wir an, ich finde raus, dass Apple-Notebooks explodieren, wenn man ihnen ein bestimmtes IP-Paket schickt. Ich berichte Apple davon, und Apple sagt, hey, das kommt doch in der Praxis eh nicht vor. Solange nur Apple und ich davon wissen, hat Apple keine Veranlassung, den Bug zu fixen. Ich habe ja bereits gezeigt, dass ich damit nicht an die Öffentlichkeit sondern zu Apple gehe. Apple muß also nicht befürchten, dass ich das veröffentliche. Warum sollten sie also einen Patch veröffentlichen. Das sieht doch nur für ihre Kunden so aus, als seien ihre Produkte nicht sicher! Und wer will schon schlechte PR. Also bleiben Bugs ungefixt, bis man sie unauffällig in einem Service Pack oder einer neuen Produktverision unterbringen kann.

Also haben Bug-Finder angefangen, der Öffentlichkeit zu erzählen, dass sie auf einem Bug sitzen, den sie für kritisch halten. Das interessiert normalerweise zu wenig Leute, um Firmen wie Apple zu motivieren.

Also gibt es das Konzept Full Disclosure. Man erzählt der Öffentlichkeit direkt von dem Bug, und zeigt auch genau, wo er ist. Dann haben es die Hersteller plötzlich immer sehr eilig und sind auch plötzlich überraschend in der Lage, innerhalb von Tagen einen Fix zu produzieren. Natürlich sind die Hersteller über sowas unglücklich und heulen rum. Das führt dazu, dass viele Securityfirmen ihren Mitarbeitern untersagen, ihre Bugs zu veröffentlichen, bevor es einen Fix vom Hersteller gibt, weil sie sonst womöglich weniger Aufträge kriegen. Meine persönliche Lösung ist, dass ich gar keine Bugs veröffentliche, weil ich gar nicht erst unbeauftragt nach Bugs suche. In Open Source Software, wenn ich einen Bug finde, file ich ihn, aber in Closed Source Software gucke ich gar nicht erst. Wenn was nicht geht, investiere ich keine Zeit in Debuggen, warum es nicht geht. Unter dem Strich verlieren also alle gegenüber Full Disclosure.

Nun, warum erzähle ich das alles? Weil man hier gerade hervorragend sehen kann, wie der nächste Schritt aussieht. Das ist ein Blog von Verizon, von deren Sparte, die Security verkauft. Das ist also kein Hersteller, sondern eine Security-Firma, sozusagen. Und die sind jetzt soweit, dass sie nicht nur Full Disclosure untersagen, sondern offen gegen Full Disclosure auftreten und sogar Hacker als Kriminelle und Bug-Veröffentlicher als "Narcissistic Vulnerability Pimp" beschimpfen.

Das ist so das schlechtestmögliche, was sie hätten sagen können. Es gibt auch für sie keinen Grund, das so zu sagen, denn wenn Leute Lücken veröffentlichen, hat Verizon mehr Punkte auf ihrer Liste, was sie bei einem Pentest beim Kunden alles checken können. Die einzige Motivation, so einen hanebüchenen Mist zu bloggen, ist, weil sie bis zum Anschlag im Rektum ihrer Auftraggeber versunken sind, und die Perspektive verloren haben. Man kann ihre Angst förmlich riechen, ihre Kunden zu verlieren. Nach Spaß am Gerät klingt das jedenfalls nicht für mich. Au weia. Da würde ich mir ja lieber einen neuen Beruf suchen, als mir öffentlich so eine Blöße zu geben.

Ein Detail noch: ich habe gehört, Verizon macht für die US-Regierung Aufträge, u.a. auch IT-Security bei Militärbasen. Die einzigen, die einen handfesten Vorteil davon haben, wenn Bugs nicht veröffentlicht und gefixt werden, sind Militärs.
http://blog.fefe.de/?ts=b52b2458
 
Das passiert eigentlich allen AV Herstellern immer Wobei das Geschäft mit AV eigentlich nur bei Windows so richtig boomt.
Vielleicht sollte aber Microsoft mal für die schon seit NT4 integrierten Sichrheitsfeatures (Benutzerrechtezuteilung/Einschränkung/Policies) ein bisschen Werbung machen? Immerhin können diese durchaus mächtigen Features Großteil der AV-Guards Funktionalität ersetzen.

Hallo CDW,

Das sehe ich ähnlich, die Sicherheit sollte das OS mitibringen. Und das tut es ja auch in großen Teilen wenn man sie nutzt.
So langsam hängt mir der ganze Weakness- und malware Kram zu Halse raus:
Wie wäre es mit einem neuen Betriebssystem im microkernel - Format?
Wie seht Ihr die Chancen für ein sicheres microkernel OS, welches über dem kernel nur mit managed code arbeitet, sowie die Teststudie von MS im Bereich singularity. Dass es malware gibt, und dass es malware detection gibt liegt doch an den Voraussetzungen den OS. Warum nicht das Übel am Haaransatz fassen und es unter starken Schmerzen herauszeihen....
Heutzutage ist auch meistens die Software ein Schwachpunkt, z.B. der großartige Reader von PDF Dokumenten, der sich sich ja als gutes Beispiel als Dauer-Sicherheitslücke entpuppt. Und das durch Pufferüberläufe noch und nöcher...braucht man diese wirklich ?
 
Dass es malware gibt, und dass es malware detection gibt liegt doch an den Voraussetzungen den OS. Warum nicht das Übel am Haaransatz fassen und es unter starken Schmerzen herauszeihen....

Es ist "nicht so leicht", mal eben das populaerste OS "Umzuschreiben". MS wuerde das intern sicherlich hinkriegen. Aber wie sollen die sicherstellen dasz der ganze Mist sehr unsicherer Software, gerade im Grafikbereich, dann auch noch laeuft? Das ist eine praktisch nicht zu bewaeltigende Logistik. Die Nationen und grossen ISPs kriegen es ja nichtmal hin IPv6 einzufuehren, was im verhaeltnis dazu viel leichter ist.
Und warum machen sie es nicht? Weil sich mit bisherigen NAT Konzepten Geld verdienen laesst. Und am Ende der tatsaechlichen Verknappung werden sie nochmal schoen zulangen und dann zu IPv6 migrieren. Das wird noch Jahrzehnte dauern.

Und wer hat wirkliches Interesse an Inet Sicherheit?

Der User etwa?

Der User frisst alles und ist irrelevant. Man biegt ihn durch Medien genau dorthin, wo er am meisten nuetzt: KONSUMIEREN. In diesem Falle Sicherheitsprodukte aller Art (Die unart sich gegen alles zu Versichern shclaegt sich wohl auch im Netz nieder).


Die OS Hersteller?
Sicherheit kostet Geld. Fuer MS ist es immer schon ein Imageproblem gewesen. Das wird der Grund sein, warum sie sehr viel Geld in Sicherheit investieren. Der Impuls kam jedoch von aussen, der Comunity.

Die Softwarehersteller?
Die wollen das ihre Software rennt. Gibts nen Bug? Dann ist eben das OS Schuld. Und wenns eindeutig die SW ist, who the fuck cares? Es wird gepatcht - die Leute nutzen es doch eh.

Secutity ist fuer ALLE ein Riesengeschaeft. Fuer Malwareautoren, carder, dropper, whatever, genauso wie fuer AVes und sog. Sicherheitsspezialisten und deren Firmen, die wie Pilze aus dem Boden schieszen und zu 99% nichts als symptone glaetten.

Sicherheitsproblem wird gefunden
-> hacker verkauft 0day gewinnbringend
-> Szene nutzt das Problem, verdient Geld
-> Anbieter von Sicherheitssoftware kaufen Infos um Ihre Produkte und Dienstleistungen zu verkaufen

-> Security Consultant (nutzt sicherheitstools, core impact, whatever)
-> Empfiehlt Produkte, Kunde kauft
-> HP gedoense
-> Cisco gedoense
-> Sicherheitssoftware
-> Security consultant bietet Support Vertrag

Sicherheitsprobleme akkumulieren Geld! (fuer irgendjemanden)


Natuerlich klingt das alles nach nem fiesen Plan.
Aber jetzt zeig mir doch mal einer eine Liste von Leuten, die wirklich, aufrichtig, an Sicherheit arbeiten? Ich meine nicht die Leute rund um IETF, CERN, CERT und ICANN. Und ich meine auch keine Wiederkaeuer ala Fefe.
 
  • Like
Reactions: CDW
Zurück
Oben