-
Hallo liebe Userinnen und User,
nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.
Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.
Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.
Virenscanner, das Geschäft mit Angst und fragwürdiger Moral
- Ersteller alter_Bekannter
- Erstellt am
Und wo ist der Unterschied zwischen einem "Netzwerkmodul eines Virenscanners" und "Firewall einer Security-Suite" - außer der Begriff?
Novgorod
ngb-Nutte
- Registriert
- 14 Juli 2013
- Beiträge
- 3.055
das bringt dann was, wenn man die sandbox nicht zum "testen" nutzt, sondern als präservativ.. wenn ich nur den freischaltcode von einem keygen haben will, ist es mir latte, ob er im hintergrund versucht, ein rootkit zu installieren oder ob er die sandbox erkennt und die füße still hält.. dass "nichts weiter passiert" ist selbstverständlich noch lange kein beweis dafür, dass die exe tatsächlich "sicher" ist..
Ich gebs ja zu,der ist von Fefe. Aber mal ehrlich, ist das nicht geil?
Wir blockieren mal fröhlich die Kill-Switch-Domain, weil wir die ja aus WannyCrpyt() extrahiert haben.
Ist das die hochgelobte intelligente Erkennung von der immer geredet wird? Ein strings() über den Schädling laufen lassen, und alles was sich mit regex rausziehen lässt in ne Blacklist zu klopfen? Rly?
Wir blockieren mal fröhlich die Kill-Switch-Domain, weil wir die ja aus WannyCrpyt() extrahiert haben.
Ist das die hochgelobte intelligente Erkennung von der immer geredet wird? Ein strings() über den Schädling laufen lassen, und alles was sich mit regex rausziehen lässt in ne Blacklist zu klopfen? Rly?
sia
gesperrt
Alter, das tut sowas von weh.
Welche Virenscanner/IDS außer Sophos blockieren diese Domain denn? Gibt's da ne Liste?
nik
肉まん
alter_Bekannter
N.A.C.J.A.C.
- Thread Starter Thread Starter
- #147
Naja die WIndows Defender Lücke die Google gefunden hat war das gleiche auf Steroiden.
Jop, die Sache war schon extrem nett.
Ich hatte eine Wette am laufen und hatte auf den TLS Stack gesetzt, als Tavis auf Twitter ankündigte, dass sie etwas gefunden hatten.
Aber auch ne geile Idee, unkontrolliert JS, so es denn nur genug obfuscated ist, ausserhalb der Sandbox durch den Interpreter zu jagen, die Idee erinnert mich doch an Zapp Brannigans Route mit Brusthaaren.
Tavis ist aber insgesamt ziemlich gut unterwegs. Musst die mal die ganzen Abläufe zu den von ihm gefundenen Trend-MicroBugs anschauen: https://bugs.chromium.org/p/project...us+Priority+Milestone+Owner+Summary&cells=ids
WannaCrypt nutzt ja eine längst gepatchte Lücke.
Aber scheinbar fühlen sich viele Unternehmen hinter ihren Firewalls so sicher, dass Updates erst 20 e-Compliance Runden drehen müssen bevor sie aufgespielt werden.
Dieses Gefühl wird durch den Einsatz von den ganzen AV-Lösungen ja noch gestärkt.
Wenn dann noch fett "CLOUD" in der Werbung steht ist es dann Fachleuten nicht gerade einfacher gemacht, das Management von einer ordentlichen Update (und ggf. Backup) Strategie zu überzeugen.
Also nur 12 Stunden, wow ist die Sache mit der Cloud geil.
Und der Macher von WannaCrypt hat scheinbar Humor:
Hängt man hinter einem Proxy, haut die Sache mit dem Killswitch nicht hin: https://blog.didierstevens.com/2017/05/13/quickpost-wcry-killswitch-check-is-not-proxy-aware/
(da fällt mir gerade ein, wie ich mal bei der e-Compliance antanzen durfte, weil ich sci-hub ansurfen wollte. Der eifrige Proxydienst wusste das zu unterbinden und zu melden)
Ich hatte eine Wette am laufen und hatte auf den TLS Stack gesetzt, als Tavis auf Twitter ankündigte, dass sie etwas gefunden hatten.
Aber auch ne geile Idee, unkontrolliert JS, so es denn nur genug obfuscated ist, ausserhalb der Sandbox durch den Interpreter zu jagen, die Idee erinnert mich doch an Zapp Brannigans Route mit Brusthaaren.
Tavis ist aber insgesamt ziemlich gut unterwegs. Musst die mal die ganzen Abläufe zu den von ihm gefundenen Trend-MicroBugs anschauen: https://bugs.chromium.org/p/project...us+Priority+Milestone+Owner+Summary&cells=ids
WannaCrypt nutzt ja eine längst gepatchte Lücke.
Aber scheinbar fühlen sich viele Unternehmen hinter ihren Firewalls so sicher, dass Updates erst 20 e-Compliance Runden drehen müssen bevor sie aufgespielt werden.
Dieses Gefühl wird durch den Einsatz von den ganzen AV-Lösungen ja noch gestärkt.
Wenn dann noch fett "CLOUD" in der Werbung steht ist es dann Fachleuten nicht gerade einfacher gemacht, das Management von einer ordentlichen Update (und ggf. Backup) Strategie zu überzeugen.
Also nur 12 Stunden, wow ist die Sache mit der Cloud geil.
Und der Macher von WannaCrypt hat scheinbar Humor:
Hängt man hinter einem Proxy, haut die Sache mit dem Killswitch nicht hin: https://blog.didierstevens.com/2017/05/13/quickpost-wcry-killswitch-check-is-not-proxy-aware/
(da fällt mir gerade ein, wie ich mal bei der e-Compliance antanzen durfte, weil ich sci-hub ansurfen wollte. Der eifrige Proxydienst wusste das zu unterbinden und zu melden)
virtus
Gehasst
Hört sich für mich so an, als hätte jemand verpatzt falsche Rootzertifikate zu installieren. Der Browser erkennt dann völlig zu Recht, dass sich ein MITM eingeklinkt hat und warnt eben davor. Dass dieser MITM nun die AV Software ist, mag im Sinne der AV Software sein, nicht aber in dem des Browsers. Der Browser sorgt dafür, dass eben kein MITM-Angriff möglich ist bzw. warnt den Nutzer davor.
Jaja, Kaspersky und die nette MITM Geschichte.
Wenn die Browserhersteller die SSL Ingeration schon nicht verbocken, hat wenigstens der AV-Hersteller noch ne Chance.
Wenn die Browserhersteller die SSL Ingeration schon nicht verbocken, hat wenigstens der AV-Hersteller noch ne Chance.
virtus
Gehasst
Der häufigste Datendiebstahl im Consumer-Bereich baut auf Layer 8 Schwachstellen auf ("Verfizieren Sie ihre PayPal/ Amazon/ Deutsche Post/ <Kreditkartenunternehmen> Daten"). Dagegen hilft die beste Antivirussoftware genau und exakt 0,nichts. Klassische Trojaner sind vergleichsweise selten und auch nur eine spezielle Ausprägung von Viren.
Und wenn du unbedingt über Schutz vor Randsomware sprechen willst, dann habe ich einen einzigen Namen für dich: WannaCry
Willst du noch ein paar Märchen über Snakeoil erzählen?
Warum sollte eine Antivirussoftware da nichts bringen? Wenn es im Firmen-Logfile immer wieder blockierte Versuche gibt auf genau solche Adressen zuzugreifen die vom Antivirus oder proxy blockiert werden?
Klar ist es auch hier ein wettrennen zwischen dem Anbieter die Liste von url's zu pflegen und dem Angreifer neue Seiten hoch zu ziehen und die es gibt sicher mehr als genug Fälle in denen Phisching gelingt.
Und wegen WannaCry - zum einen wäre der 0 Problem gewesen wenn die Firmen ihre Systeme *irgendwann* mal Patchen würden - zum anderen hatte ich schon mehr als genug Ransomware in Dateiform die von diversen Scannern durchaus blockiert wurde. Infektion hab es keine. Den WannaCry habe ich diesmal leider nicht live zu Gesicht bekommen.
Ich habe ja kein Problem damit wenn ein Admin seine Firma komplett ohne Virenscanner und ähnliches betreibt - im Gegenteil mich würde nach 2-3 Jahren auch mal die ein oder andere Erfahrung interessieren und ob dafür dann schneller gepatched wird und was man sonst so betreibt - und sei es Schulung? - Um einen *besseren* Schutz als mit klassischen Mitteln sicherzustellen.
Ich für mich kenne trotzdem keine realistische Alternative für einen Großteil der Einsatzszenarien. Klar gibt es Konfigurationen die man fahren kann die Sicher sind keine Frage, aber dann bedarf es auch einer Firmenstruktur und Arbeitsweise sowie Führung die diese Konfiguration zulässt und durch *Einschränkungen* nicht mehr kaputt geht als geschützt wird. Wenn ich einen Personenkreis habe der sehr spezifische Tätigkeiten macht hilft das ja z.B. ungemein - aber in vielen Firmen werden die Arbeitskräfte eher immer breiter aufgestellt als zum Fließband-Büro-Job degradiert.
Klar ist es auch hier ein wettrennen zwischen dem Anbieter die Liste von url's zu pflegen und dem Angreifer neue Seiten hoch zu ziehen und die es gibt sicher mehr als genug Fälle in denen Phisching gelingt.
Und wegen WannaCry - zum einen wäre der 0 Problem gewesen wenn die Firmen ihre Systeme *irgendwann* mal Patchen würden - zum anderen hatte ich schon mehr als genug Ransomware in Dateiform die von diversen Scannern durchaus blockiert wurde. Infektion hab es keine. Den WannaCry habe ich diesmal leider nicht live zu Gesicht bekommen.
Ich habe ja kein Problem damit wenn ein Admin seine Firma komplett ohne Virenscanner und ähnliches betreibt - im Gegenteil mich würde nach 2-3 Jahren auch mal die ein oder andere Erfahrung interessieren und ob dafür dann schneller gepatched wird und was man sonst so betreibt - und sei es Schulung? - Um einen *besseren* Schutz als mit klassischen Mitteln sicherzustellen.
Ich für mich kenne trotzdem keine realistische Alternative für einen Großteil der Einsatzszenarien. Klar gibt es Konfigurationen die man fahren kann die Sicher sind keine Frage, aber dann bedarf es auch einer Firmenstruktur und Arbeitsweise sowie Führung die diese Konfiguration zulässt und durch *Einschränkungen* nicht mehr kaputt geht als geschützt wird. Wenn ich einen Personenkreis habe der sehr spezifische Tätigkeiten macht hilft das ja z.B. ungemein - aber in vielen Firmen werden die Arbeitskräfte eher immer breiter aufgestellt als zum Fließband-Büro-Job degradiert.
virtus
Gehasst
Fällt dir etwas auf?
Weil Antivirus-Software kein Proxy ist? Der "Schutz", den dein Proxy liefert, mag schön und gut sein, dafür brauche ich jedoch keine AV Suite.
Allerdings machen wir uns bitte nichts vor, im Privatbereich werden die aller wenigsten Nutzer Proxys einsetzen.
Dein toller AV-Online-Schutz kann nur mit Blacklists arbeiten, das sollte klar sein, oder?
Phishing-Angriffe sind gewöhnlich auf etwa 24 Stunden ausgelegt. Das ist die Zeit, in der die meisten Opfer an Land gezogen werden können und - denken wir einmal nach - meistens auch die Zeit, die es braucht, bis die ersten Blacklists geupdatet und an die Nutzer verteilt werden. Siehst du eventuell einen Zusammenhang?
Jetzt überlegen wir uns mal: Wenn innerhalb der ersten 24 Stunden, also dann, wenn die Gefahr akut ist, sowieso keine Erkennung stattfindet, wieso sollte ich dann einen AV Scanner einsetzen? Dann kann ich auch darauf verzichten. Da kann ich auch jeden anderen Webfilter - und sei es der in Chrome integrierte - einsetzen. Zusätzliche AV Software bringt keinen Zugewinn an Sicherheit.
Das ist vollkommen korrekt. Allerdings.. Für ein Update/ Patch benötigt es jedoch keinen AV-Scanner. Wozu sollte ich mir Snakeoil installieren, wenn ich es gar nicht benötige?
Auch dieser Punkt spricht in keinster Weise für einen Virenscanner.
Das ist schön und gut. Die Frage ist allerdings: Was bringt dir dein AV Scanner gegen WannaCry? - Nichts!
Der Punkt ist nicht, dass irgendwann der AV-Scanner eine Malware erkennt und blockiert, sondern dass innerhalb der ersten 24+ Stunden eine Malware auf mio. Systeme gelangen und wirtschaftliche Schäden im Mrd. Bereich verursachen kann, noch bevor der erste Scanner anschlägt.
sia
gesperrt
Gibt ja durchaus auch Verhaltensanalyse, aber dem durchschnittlichen Anwender traue ich nicht zu, Fehlalarme zuverlässig zu erkennen.
Da wird dann einfach immer auf "OK" geklickt, auch wenn dann mal der eine "true positive" dabei ist, der zur Infektion führt.
Wirklich sinnvoll ist also eher die Delegation der Administration des PCs an erfahrene Freunde/Familienmitglieder und wenn so jemand nicht vorhanden ist, bei einem PC-Service mit Bring-In. Chocolatey + Admin-Rechte wegnehmen + keine Rechte zur Ausführung von Programmen = ziemlich gute Sicherheit. Macht halt keiner im Privatbereich und im Firmenbereich mahlen die Mühlen bei vielen Firmen zu langsam.
Dass die allermeisten Consumer-PC-Dienste Abzocker sind, ist ein Problem, was wiederum nichts mit Virenscannern zu tun hat.
Da wird dann einfach immer auf "OK" geklickt, auch wenn dann mal der eine "true positive" dabei ist, der zur Infektion führt.
Wirklich sinnvoll ist also eher die Delegation der Administration des PCs an erfahrene Freunde/Familienmitglieder und wenn so jemand nicht vorhanden ist, bei einem PC-Service mit Bring-In. Chocolatey + Admin-Rechte wegnehmen + keine Rechte zur Ausführung von Programmen = ziemlich gute Sicherheit. Macht halt keiner im Privatbereich und im Firmenbereich mahlen die Mühlen bei vielen Firmen zu langsam.
Dass die allermeisten Consumer-PC-Dienste Abzocker sind, ist ein Problem, was wiederum nichts mit Virenscannern zu tun hat.
Sorry das Consumer hatte ich überlesen für meine Erklärung - nur haben auch Consumer-Virenscanner URL-Filter (Neben SmartScreen im OS) Und die aktualisieren deutlich öfter als alle 24h.
Auch sitzt nicht jeder 24h am PC und liest E-Mails etc. Daher ist die Zeitspanne das es oft einige Stunden braucht bis die Listen aktualisiert werden durchaus korrekt und klar werden die ersten Stunden einige 1000 darauf reinfallen. Aber warum sollen DANACH weitere 1000 reinfallen?
Es sagt ja keiner das es für ALLE ein vollständiger Schutz ist - es geht nur um Reduzierung des Risikos.
Und das Virenscanner auch durchaus Fehler und Lücken haben setzt diese Reduzierung nicht auf 0
SmartScreen in Windows ist auch eine Art von Malware-Abwehr. Gerade seit der Defender in Win10 verdammt aufgeholt hat ist die Frage durchaus berechtigt ob man einen *zusätzlichen* Scanner installiert - nur ist ja dann trotzdem einer Installiert und die Aussage war ja hier man benötigt so eine Software im allgemeinen gar nicht.
@Phre4k Ja wenn man den Consumer-PC's die Rechte nehmen würde - würde durchaus weniger Passieren, die normale Ransomeware im Usercontext wird aber trotzdem ausgeführt wenn der Anwender nicht weiß was er da klickt und wie du so schön schreibst *einfach auf ok klickt* - Makros könnte man noch deaktivieren, dann müsste aber auch jegliches Scripting, Hilfedateien die Scriptbar sind usw. deaktiviert werden. Und da sich jetzt schon genug in einschlägigen Foren aufregen das ja Microsoft die Kontrolle über ihren schönen win10 PC hat und alles so schlimm ist und sie nicht mehr *Herr* sind - dürfte das Thema eher unbeliebt sein
@Virtus - was ist denn deine Empfehlung wie der normale Verbraucher wirklich Sicher ist?
Auch sitzt nicht jeder 24h am PC und liest E-Mails etc. Daher ist die Zeitspanne das es oft einige Stunden braucht bis die Listen aktualisiert werden durchaus korrekt und klar werden die ersten Stunden einige 1000 darauf reinfallen. Aber warum sollen DANACH weitere 1000 reinfallen?
Es sagt ja keiner das es für ALLE ein vollständiger Schutz ist - es geht nur um Reduzierung des Risikos.
Und das Virenscanner auch durchaus Fehler und Lücken haben setzt diese Reduzierung nicht auf 0
SmartScreen in Windows ist auch eine Art von Malware-Abwehr. Gerade seit der Defender in Win10 verdammt aufgeholt hat ist die Frage durchaus berechtigt ob man einen *zusätzlichen* Scanner installiert - nur ist ja dann trotzdem einer Installiert und die Aussage war ja hier man benötigt so eine Software im allgemeinen gar nicht.
@Phre4k Ja wenn man den Consumer-PC's die Rechte nehmen würde - würde durchaus weniger Passieren, die normale Ransomeware im Usercontext wird aber trotzdem ausgeführt wenn der Anwender nicht weiß was er da klickt und wie du so schön schreibst *einfach auf ok klickt* - Makros könnte man noch deaktivieren, dann müsste aber auch jegliches Scripting, Hilfedateien die Scriptbar sind usw. deaktiviert werden. Und da sich jetzt schon genug in einschlägigen Foren aufregen das ja Microsoft die Kontrolle über ihren schönen win10 PC hat und alles so schlimm ist und sie nicht mehr *Herr* sind - dürfte das Thema eher unbeliebt sein
@Virtus - was ist denn deine Empfehlung wie der normale Verbraucher wirklich Sicher ist?
sia
gesperrt
Du widersprichst dir in diesem Satz selbst. Wenn der User keine EXE-Dateien und Scripts ausführen darf, kann das auch Ransomware nicht.
Der User, der sich über Scripts Gedanken macht, ist meistens nicht der, dem man die Rechte wegnehmen muss. Glaube kaum, dass mein Opa 1 sicker script0r ist.- Makros könnte man noch deaktivieren, dann müsste aber auch jegliches Scripting, Hilfedateien die Scriptbar sind usw. deaktiviert werden. Und da sich jetzt schon genug in einschlägigen Foren aufregen das ja Microsoft die Kontrolle über ihren schönen win10 PC hat und alles so schlimm ist und sie nicht mehr *Herr* sind - dürfte das Thema eher unbeliebt sein
PCs brauchen Admins und die User von heute sind eben zu unwissend, um das in Personalunion ausüben zu können, überschätzen sich aber selbst.
HoneyBadger
Aktiver NGBler
- Registriert
- 7 Sep. 2015
- Beiträge
- 1.956
Klingt für mich fast, als würdest Du´s begrüßen, wenn sich Desktop-PC´s wie Smartphones verhalten würden.
@phre4k: Du solltest wissen das es mehr Möglichkeiten gibt etwas "auszuführen" als .exe und ein Makro.
Sei es über die Powershell.exe und dem script als Parameter, eine .ps1, vbs oder andere Binary-Artike Dateien sie .com, chm, pif, bat, vbs, ... und wenn ich länger überlege fallen mir sicher noch einige ein. *Anwendungen* muss der Benutzer starten können sonst wird es wohl schwer zu Arbeiten.
Ja für die aller meisten Fälle gibt es durchaus Möglichkeiten eine Blockade einzurichten - je nach Nutzung des PCs muss man hier aber schon wieder abwegen was man abschaltet (z.B. die Hilfedatei .chm?).
Und ich rede nicht davon das der Opa scripte freiwillig ausführt sondern eine .zip im Anhang öffnet die powershell anstartet ... gbt genug nette Wege das unbewusst zu machen.
--- [2017-05-22 12:43 CEST] Automatisch zusammengeführter Beitrag ---
@HoneyBadger: ziemlich genau das gibt es jetzt dann mit Windows 10 S
Sei es über die Powershell.exe und dem script als Parameter, eine .ps1, vbs oder andere Binary-Artike Dateien sie .com, chm, pif, bat, vbs, ... und wenn ich länger überlege fallen mir sicher noch einige ein. *Anwendungen* muss der Benutzer starten können sonst wird es wohl schwer zu Arbeiten.
Ja für die aller meisten Fälle gibt es durchaus Möglichkeiten eine Blockade einzurichten - je nach Nutzung des PCs muss man hier aber schon wieder abwegen was man abschaltet (z.B. die Hilfedatei .chm?).
Und ich rede nicht davon das der Opa scripte freiwillig ausführt sondern eine .zip im Anhang öffnet die powershell anstartet ... gbt genug nette Wege das unbewusst zu machen.
--- [2017-05-22 12:43 CEST] Automatisch zusammengeführter Beitrag ---
@HoneyBadger: ziemlich genau das gibt es jetzt dann mit Windows 10 S
Hab erst letzte Woche einen PC für meine Schwiegermutter aufgesetzt (Win7), bei ihr gab es auch einen AV.
Ich denke, gerade für Leute die gerne mal Mail-Anhänge anklicken und auch sonst relativ unbedarf sind, ist ein AV nicht verkehrt.
Allerdings hat es auch da für mich eher eine Placebo-Wirkung und nichts geht über eine anständige Off-Site Datensicherung.
Es ist daher doch irgendwie auch immer die Frage, wer den Layer8 spielt.
Ist die Gefahr durch einen ungepatchten Bug drauf zu gehen grösser als die, durch einen Wald-und-Wiesen Schädling hopps zu gehen (>>Klicke hier für einen Turbo-Highspeed-Internetzugang<<)?
In Redmond wird sehr viel Geld ins Programmieren und Patchen gesteckt, ich denke es wird unmöglich sein, eine andere Software-Firma zu finden, die auch nur ähnliche Spheren der Ausgaben erreichen.
Und trotzdem hat sich im Defender eine gravierende Lücke finden lassen.
Wie sieht es wohl bei den ganzen AV Anbietern aus.
Ich installiere was, was sogar privillegierter ist als mein Admin-Account, also sollte da schon echt was dahinter stecken. Wie landet dann die WC-Killswitch-Domain in der Blacklist?
(Klar bei Firmen hinter nem Proxy war da ja egal, aber wieviele Heimnetzwerke wurden dadurch wohl "erschlossen"?)
Und was die AVs zum Teil treiben ist ja schon der Hammer.
Https wird aufgebrochen und damit ein Loch aufgerissen, dass auch die Bismarck hätte sinken lassen.
Updates werden zwar über https bezogen, aber der Zertifikatsscheck ist halt nicht aktiv, who cares?
Und hin und wieder ein RCEV in den Scannern.
Aber die Hersteller vertrauen scheinbar ihrer eigenen Software....
https://bugs.chromium.org/p/project-zero/issues/detail?id=820
Was die Heuristik und False-Positives anbelangt konnten mich die AVs noch nie wirklich überzeugen.
Hatte vor Jahren mal (mit VB6, also könnt Ihr Euch den Zeitrahmen selbst abstecken) einen Quake3-Server-Browser geschrieben.
Ich war mir relativ sicher und bin es heute auch noch, dass ich keinen Trojaner gebastelt hab, auch wenn der AV (ich glaube es war Bitdefender) dies steif und fest behauptete.
Ich denke, gerade für Leute die gerne mal Mail-Anhänge anklicken und auch sonst relativ unbedarf sind, ist ein AV nicht verkehrt.
Allerdings hat es auch da für mich eher eine Placebo-Wirkung und nichts geht über eine anständige Off-Site Datensicherung.
Es ist daher doch irgendwie auch immer die Frage, wer den Layer8 spielt.
Ist die Gefahr durch einen ungepatchten Bug drauf zu gehen grösser als die, durch einen Wald-und-Wiesen Schädling hopps zu gehen (>>Klicke hier für einen Turbo-Highspeed-Internetzugang<<)?
In Redmond wird sehr viel Geld ins Programmieren und Patchen gesteckt, ich denke es wird unmöglich sein, eine andere Software-Firma zu finden, die auch nur ähnliche Spheren der Ausgaben erreichen.
Und trotzdem hat sich im Defender eine gravierende Lücke finden lassen.
Wie sieht es wohl bei den ganzen AV Anbietern aus.
Ich installiere was, was sogar privillegierter ist als mein Admin-Account, also sollte da schon echt was dahinter stecken. Wie landet dann die WC-Killswitch-Domain in der Blacklist?
(Klar bei Firmen hinter nem Proxy war da ja egal, aber wieviele Heimnetzwerke wurden dadurch wohl "erschlossen"?)
Und was die AVs zum Teil treiben ist ja schon der Hammer.
Https wird aufgebrochen und damit ein Loch aufgerissen, dass auch die Bismarck hätte sinken lassen.
Updates werden zwar über https bezogen, aber der Zertifikatsscheck ist halt nicht aktiv, who cares?
Und hin und wieder ein RCEV in den Scannern.
Aber die Hersteller vertrauen scheinbar ihrer eigenen Software....
https://bugs.chromium.org/p/project-zero/issues/detail?id=820
Was die Heuristik und False-Positives anbelangt konnten mich die AVs noch nie wirklich überzeugen.
Hatte vor Jahren mal (mit VB6, also könnt Ihr Euch den Zeitrahmen selbst abstecken) einen Quake3-Server-Browser geschrieben.
Ich war mir relativ sicher und bin es heute auch noch, dass ich keinen Trojaner gebastelt hab, auch wenn der AV (ich glaube es war Bitdefender) dies steif und fest behauptete.
virtus
Gehasst
Also soll ich ein neues Sicherheitsrisiko an Bord bringen, um vorhandene zu minimieren? Logik?
Das kommt auf den konkreten Fall an und wogegen man wen absichern möchte.
Da müsstest du schon einen ganz konkreten Fall vorstellen.