News AV-Test: Viele Antivirenprogramme bleiben selbst ungeschützt

[IRON67]

Wieso musst du ständig dinge fett oder groß schreiben?

Weil der Editor mir die Möglichkeit gibt, Dinge hervorzuheben und ich nicht einsehe, warum ich dies nicht nutzen soll, wenn ich Dinge hervorheben möchte.

Ich habe übrigens gegoogelt und nichts über eine aktuell offene Sicherheitslücke gefunden.

Ja klar. Wie viele Treffer mit welchen Suchbegriffen hast du denn angeklickt? Aktuell offen? Du hast wie die meisten Menschen doch gar nicht die Möglichkeiten und den Zugang zu relevanten Infos, um das beurteilen zu können. Nur ein Bruchteil der Zero-Day-Lücken und sonstigen Sicherheitslücken schafft es in die Schlagzeilen, weil es um weit verbreitete Anwendungen geht.

Anders ausgedrückt: Du kannst es nicht belegen?

Völlig falsch. Das ist die zweite Frage, auf die ich nur gewartet habe. Ich habe zwar gehofft, dass du nicht so unvorsichtig bist, sie zu stellen, aber ....

Als erstes: Wer wie du eine sicherheitsrelevante These aufstellt, die derart riskant ist und erst nach und nach einräumt, unter welchen speziellen Bedingungen er sie verstanden haben möchte ("normalerweise sollten...", gutes System, sicheres System, "ich teste in der VM", "nahezu unmöglich" usw.), der sollte ganz leise treten.

Dann: Allein, von mir nun Beweise zu fordern und zu unterstellen, ich hätte keine, heißt doch nur, dass du mir grundsätzlich unterstellst, ich würde lügen, ich hätte keine Fakten und würde dir nur aus Spaß an der Freud widersprechen. Das ist unverschämt und beleidigend.
Bist du nicht bereit, mir mindestens so viel Verstand und Erfahrung zuzubilligen, wie du selber zu bieten hast? Welche Motive sollte ich haben, deine Ansichten als falsch darzustellen? Müsste ich nicht befürchten, dass DU MIR Beweise vorlegst, die deine Position stärken?

Der ganze Wirbel um die VM ist witzlos. Malware-Autoren müssen ihre Software hauptsächlich deshalb auf eine VM vorbereiten, weil sie wissen, dass die Labore der AV-Hersteller die Samples automatisch in ihren VMs untersuchen werden. Dabei geht es nicht etwa darum, sie für alle Zeiten undurchschaubar und unerkennbar zu machen. Es reichen ein paar Tage. Die Malware muss nicht ausbrechen und auch nur etwa ein Fünftel davon tarnt sich durch Inaktivität. Während die Labore noch analysieren, ist die Malware längst verbreitet und bei den Opfern auf den Rechnern. Wenn nach einer halben oder ganzen Woche endlich die namhaften AVs alle eine neue Malwarevariante erkennen, gibts bereits massenhaft Opfer und die Malware-Autoren entwickeln die nächste Variante. Die AVs haben keine Chance.
Kein normaler Nutzer verwendet eine VM, um jeden Download einer Software erstmal dort zu testen. Die meisten wissen nichtmal, was eine VM ist.
Mein Hinweis, dass auch eine VM nicht sicher ist, war eigentlich nur als Nebenbemerkung gedacht, denn das Hauptargument hattest du ja bereits nicht entkräften können und die VM ist als Schutz irrelevant.

Ganz kurz zurück zum Thema Google: Besuche mal Heise.de und lass dir Artikel über VMs anzeigen. Wenn hier einer "rumeiert", dann warst du das.

Du meinst doch hier wie unsicher es ist. Ich habe dir gesagt welche Sicherheits- und VM-Software ich nutze und dir angeboten eine Malware von dir zu öffnen.
Mehr kann ich dir nicht entgegen kommen.

Dein komplettes "Angebot" ist völlig realitätsfern. Das habe ich dir nun schon mehrmals gesagt. Kapiere es doch endlich. Dass es einige wenige Leute gibt, die ihre Systeme absichern können, so dass Malware so gut wie keine Chance hat, bezweifelt niemand. Und selbst da muss man einschränken, weil es nun mal prinzipiell keine 100%ige Sicherheit geben kann.
Aber die breite Masse der User ist dazu nicht in der Lage, ganz egal, ob sie es versucht oder nicht.
Man kann die Sicherheit eines Systems nicht mit einer Prozentzahl beziffern, das ist rein fiktional. Vor allem deshalb, weil sich die Situation minütlich ändert. Jeder Mensch -auch der erfahrenste - macht Fehler und hat mal einen schwachen Moment. Was gestern noch ein ziemlich sicheres System war, kann heute schon kompromittiert werden, weil Malware-Autoren eine bisher unbekannte 0-day-Lücke sofort ausnutzen und es keinen Patch für die Anwendung gibt. Man ist zerstreut, klickt das Falsche an, versteht eine Meldung falsch, bekommt ne Mail und glaubt, sie wäre von einem vertrauenswürdigen Kollegen usw. Es gibt immer einen Fehler, den man machen kann. Und die Masse macht diese Fehler ständig - oft mehrere pro Tag.
Du kannst also gerne einen privaten Malware-Analyse-Test anbieten oder vorführen, wie sicher DEIN System ist - beweisen kannst du damit weder, dass deine Ansichten richtig sind, noch dass sich irgendwer nach ihnen richten sollte.

Wenn du meinst mein System ist verwundbar musst du es schon beweisen.

Wozu sollte ich das beweisen wollen? Bist wohl sehr stolz drauf, hm? Dein System interessiert niemanden. Es geht hier um Tipps und Ratschläge, die ALLE betreffen. Dies ist ein öffentliches Forum, in dem JEDER mitlesen kann, um was zu lernen oder Hilfe zu bekommen. Niemand außer dir hat DEIN System und deine Erfahrungen.

Was interessiert mich was die Mehrheit hat? Es geht darum wie sicher ein System sein kann, nicht wie sicher das Durchschnittssystem ist.

Dann bist du hier falsch. Dieses Forum dreht sich nicht um die Sicherheit DEINES Systems. Es geht hier um allgemein anwendbare Dinge, nicht um einen Spezialfall mit Einschränkungen.

 

[S.Kara]

@IRON67

Spoiler

Weil der Editor mir die Möglichkeit gibt, Dinge hervorzuheben und ich nicht einsehe, warum ich dies nicht nutzen soll, wenn ich Dinge hervorheben möchte.

Nur mal so: es ist ziemlich nervig wenn man es ständig macht. Und eine "und ich nicht einsehe" Einstellung macht dich nicht gerade sympathisch.

Ja klar. Wie viele Treffer mit welchen Suchbegriffen hast du denn angeklickt?

Äh keine Ahnung? Ausreichend um mir ein Bild von der aktuellen Lage zu machen.

Nur ein Bruchteil der Zero-Day-Lücken und sonstigen Sicherheitslücken schafft es in die Schlagzeilen

Weil google ja auch nur "Schlagzeilen" findet..
Und zum Glück gibt es auch keine Foren in denen man sich Malware für bestimmte Zwecke kaufen kann. Dass es dort nichts gegen VM's gibt liegt natürlich daran, dass es "zu Zero" ist oder was?

Völlig falsch. Das ist die zweite Frage, auf die ich nur gewartet habe. Ich habe zwar gehofft, dass du nicht so unvorsichtig bist, sie zu stellen, aber ....

... du bringst wieder keine Belege. Und dabei hast du schon auf diese Frage gewartet? Außer Provokationen kommt von dir rein garnichts.

Als erstes: [...]

Vielleicht sollte lieber derjenige leise treten, der etwas zu viel von sich hält und in keinster Weise irgendwelche Belege bringen kann?
Du kanntes von Anfang an meine Sicherheitssoftware. Dass ich deine Malware in einer VM laufen lassen würde macht keinen Unterschied. Du solltest ursprünglich ja nicht aus einer VM ausbrechen, sondern meine Software umgehen können. Ob VM oder nicht spielt dabei überhaupt keine Rolle.
Du hattest damit angefangen dass VMs unsicher sind, natürlich wieder ohne irgendwelche Belege.

Dann: Allein, von mir nun Beweise zu fordern und zu unterstellen, ich hätte keine, heißt doch nur, dass du mir grundsätzlich unterstellst, ich würde lügen, ich hätte keine Fakten und würde dir nur aus Spaß an der Freud widersprechen. Das ist unverschämt und beleidigend.

Nicht aus Spass aber vielleicht wegen deines Egos?
Keine Ahnung, aber wenn du doch so viel weißt teile dein Wissen mit uns. Vielleicht hast du Ahnung, kann ja sein, aber jeder normale Mensch würde seine Aussagen dann auch untermauern.
Diejenigen die einfach nur Dinge behaupten und es nicht nötig haben irgendetwas zu beweisen haben idR. einfach nur eine große Klappe und mehr nicht. Das soll jetzt keine Beleidigung sein, nur eine allgemeine Aussage.

Bist du nicht bereit, mir mindestens so viel Verstand und Erfahrung zuzubilligen, wie du selber zu bieten hast?

Wie denn auch wenn von dir nur Behauptungen kommen?

Müsste ich nicht befürchten, dass DU MIR Beweise vorlegst, die deine Position stärken?

Nein müsstest du nicht. Denn man kann nicht beweisen dass ein System sicher ist. Alles was man tun kann ist zu zeigen, dass es allen Angriffen standhält. Das ist auch genau das was ich dir angeboten hatte.

Der ganze Wirbel um die VM ist witzlos.

Sehe ich anders. Wenn du behauptest VMs sind nicht sicher, dann beweise es. Wenn du es nicht für mich tun willst, dann tue es für die Allgemeinheit.
Ich für mein Teil bin sehr daran interessiert wie sicher sie sind.

Malware-Autoren müssen ihre Software hauptsächlich deshalb auf eine VM vorbereiten, weil sie wissen, dass die Labore der AV-Hersteller die Samples automatisch in ihren VMs untersuchen werden.

Normalerweise bin ich ja nicht so, aber: lol.
Sorry wollte auch mal. Fühlt sich doch irgendwie gut an.

Ganz kurz zurück zum Thema Google: Besuche mal Heise.de und lass dir Artikel über VMs anzeigen. Wenn hier einer "rumeiert", dann warst du das.

OK und wo steht da dass VMs unsicher sind?
Außer dass es bei Programm X in der Version Y mal möglich war ist nichts zu finden. Und selbst dann sind noch die Umstände unklar.

Dein komplettes "Angebot" ist völlig realitätsfern.

Merkst du eigentlich, dass du oft ziemlich weit abschweifst?
Und keine Ahnung warum es so realitätsfern sein sollte. Ich nutze keine Top-Secret-Software und der richtige Umgang ist auch nicht wirklich schwer.

Du kannst also gerne einen privaten Malware-Analyse-Test anbieten oder vorführen, wie sicher DEIN System ist - beweisen kannst du damit weder, dass deine Ansichten richtig sind, noch dass sich irgendwer nach ihnen richten sollte.

Klar, soll jeder machen wie er will. Es geht aber garnicht unbedingt um MEIN System. Ich nutze Software die für jeden erhältlich ist.

Wozu sollte ich das beweisen wollen? Bist wohl sehr stolz drauf, hm? Dein System interessiert niemanden. Es geht hier um Tipps und Ratschläge, die ALLE betreffen. Dies ist ein öffentliches Forum, in dem JEDER mitlesen kann, um was zu lernen oder Hilfe zu bekommen. Niemand außer dir hat DEIN System und deine Erfahrungen.

Wozu? Vielleicht um zu zeigen wie unsicher meine Software ist, die vermutlich auch von millionen anderer verwendet wird? Es geht nicht um "MEIN System", sondern um die von mir verwendete Software. Und gerade weil das hier öffentlich ist, ist es auch für andere interessant wenn du es schaffst meine Software zu umgehen.

Dann bist du hier falsch. Dieses Forum dreht sich nicht um die Sicherheit DEINES Systems. Es geht hier um allgemein anwendbare Dinge, nicht um einen Spezialfall mit Einschränkungen.

Damit du nacher nicht wieder behauptest ich gehe auf deine Argumente ein: Es geht um meine Sofware die auch andere verwenden, nicht um mein System.


Bevor du jetzt wieder in die Tasten haust:
- ja, 100% tigen Schutz gibt es nicht, ist auch OK so und es hat niemand etwas anderes behauptet
- ja, man kann sich recht effektiv vor Malware schützen, hierbei kommt es auf die SW und den Umgang an
- nein, man kann nicht ausschließen, dass irgendjemand einen Weg gefunden hat, um aus aktuelle VMs auszubrechen

Ich denke soweit stimmen wir überein.
Dass mein System unsicher ist möchtest du nicht beweisen, dass es sicher ist kann ich nicht beweisen. Am besten belassen wir es dabei. Falls du es dir doch anders überlegen möchtest gebe ich dir einfach mal 2 Wochen Zeit mir eine Malware zu schicken.

Falls du dich für den ganzen Text weiter oben noch rechtfertigen willst kannst du das gerne tun, ich werde es auch lesen. Antworten werde vermutlich aber nicht darauf, das driftet für diesen Thread einfach zu weit ab. Außerdem kostet es doch recht viel Zeit und Nerven auf deine Beiträge zu antworten.

 

[Scheitel]

Weil google ja auch nur "Schlagzeilen" findet..
Und zum Glück gibt es auch keine Foren in denen man sich Malware für bestimmte Zwecke kaufen kann. Dass es dort nichts gegen VM's gibt liegt natürlich daran, dass es "zu Zero" ist oder was?

Sowas findet man, nur muss man da zum Glück meist mehr als ein bisschen Googlen. Aber ein paar Minuten im Darknet und man halt alles.

Ohne gegooglet zu haben, gibts doch sicherlich auch Packs mit "normaler" Malware, die könnteste ja mal der Reihe nach ausführen in der VM mit AV & FW. Dann schauste auf dem Host was da an Traffic raus geht aus der VM.

 

[IRON67]

@IRON67Und eine "und ich nicht einsehe" Einstellung macht dich nicht gerade sympathisch.

Ja genau. Mach das an formalen Fragen wie dem Aussehen der Postings fest. Nur nicht an den Argumenten. Ich finde es wesentlich unsypathischer, dass du Leuten rätst, sich "etwas mehr mit der Sache auseinandersetzen" oder "von ihrem hohen Ross herunterzukommen" und selbst so tust, als hättest du den vollen Durchblick, ohne zu realisieren, wie weltfremd deine Ansichten sind.

Ausreichend um mir ein Bild von der aktuellen Lage zu machen.

Offensichtlich nicht.

Dass es dort nichts gegen VM's gibt liegt natürlich daran, dass es "zu Zero" ist oder was?

Nein. Es liegt daran, dass VMs völlig irrelevant sind. Schrieb ich schon, aber du kapierst es einfach nicht, oder? Normalanwender testen nicht per VM. Und hier pauschal über die Unwirksamkeit der einen und die vermeintliche Wirksamkeit der anderen Firewall für Normalanwender zu urteilen oder über die Wirksamkeit von AVs, so wie du es getan hast, ist fahrlässig.

... du bringst wieder keine Belege. Und dabei hast du schon auf diese Frage gewartet?

Ich muss keine bringen. Selbst wenn ich dir jetzt ein dutzend Beispiele verlinken würde, würdest du ja doch wieder irgend eine Ausrede finden oder äußern, die Links wären ja schon drei Wochen alt oder ähnliches. Es geht hier ums Prinzip, um die Machbarkeit. VMs SIND unsicher, verbreitete Sanbboxen noch viel mehr. Wenn du das nicht glauben willst, dann recherchiere gefälligst selbst.

Außer Provokationen kommt von dir rein garnichts.

Weil ich dir widerspreche, ist das eine Provokation, ja? Fass dich mal an die eigene Nase. Ich erinnere an "hohes Ross ... keine Belege, also kannst du es nicht belegen ... Kann, kann, kann. Das ist wohl dein Lieblingswort."

Du kanntes von Anfang an meine Sicherheitssoftware.

Es geht hier weder um deine Sicherheitssoftware noch um dein System. Wie oft muss ich es dir noch sagen?

Dass ich deine Malware in einer VM laufen lassen würde macht keinen Unterschied.

Ja nee, is klar. Natürlich macht es einen. Sonst hättest du die VM nicht erwähnt und auch nicht verwendet, wenn ich dir denn ein Programm angeboten hätte.

Du hattest damit angefangen dass VMs unsicher sind, natürlich wieder ohne irgendwelche Belege.

Ach sind wir jetzt im Kindergarten, wo es darum geht, wer angefangen hat? Na gut. Du hast damit angefangen, mit deinen Programmierfähigkeiten zu prahlen, andere wegen angeblich mangelnder Sachkenntnis abzukanzeln und da schaltete ich mich ein.

Vielleicht hast du Ahnung, kann ja sein, aber jeder normale Mensch würde seine Aussagen dann auch untermauern.

Dann untermauere mal DU deine Aussage, dass ein System, auf dem Malware läuft, solange nicht kompromittiert ist, wie das AV auch noch "läuft" und eine Firewall den ausgehenden Traffic blockiert.

Denn man kann nicht beweisen dass ein System sicher ist. Alles was man tun kann ist zu zeigen, dass es allen Angriffen standhält. Das ist auch genau das was ich dir angeboten hatte.

Falsch. Du zäumst das Pferd von hinten auf. Informiere dich mal über die Bedeutung von "definierter Zustand" im Hinblick auf Systemsicherheit. DEIN System kann ich diesbezüglich selbst nach einem erfolgreich abgeschmetterten Malwareangriff nicht als in einem definierten Zustand oder gar als sicher bezeichnen. Sicherheit ist kein Produkt (ob nun Comodo oder was auch immer), sondern ein Prozess.

Merkst du eigentlich, dass du oft ziemlich weit abschweifst?

Das kommt dir nur so vor, weil du nicht begreifst, dass du völlig falsch liegst.

Und keine Ahnung warum es so realitätsfern sein sollte. Ich nutze keine Top-Secret-Software und der richtige Umgang ist auch nicht wirklich schwer.

Es geht nicht um die Software. Es geht um die Nutzer und den Zustand ihrer Systeme bzw. wie sie tagtäglich damit umgehen.

- ja, 100% tigen Schutz gibt es nicht, ist auch OK so und es hat niemand etwas anderes behauptet

Wenn irgendwer mit weniger Ahnung als du und ich, deine folgende Aussage liest und glaubt, sieht das aber anders aus:

Ich halte es für praktisch unmöglich alle Systeme von Comodo zu überlisten.

Und dann....

- nein, man kann nicht ausschließen, dass irgendjemand einen Weg gefunden hat, um aus aktuelle VMs auszubrechen

Warum willst du dann von mir Beweise? Bis jetzt hast du doch so getan, als hätte ich mir das aus den Fingern gesaugt.

Ich denke soweit stimmen wir überein.

Nein. Wir stimmen in gar nichts überein, denn das, was du zuletzt schriebst, waren reine Lippenbekenntnisse, an die du offensichtlich nicht selbst glaubst. Du vertraust blind auf deine Software und deine Fähigkeiten, Malware draußen zu halten. Dass ein Normalanwender meilenweit davon entfernt ist, auch nur zu begreifen, wie Malware funktioniert und warum dauernd alles voller Werbung ist und wieso Warnung X und Hinweis Y andauernd aufpoppen, ignorierst du. Hier ist kein geschlossener Zirkel für IT-Nerds. Hier fragen, wenn auch nicht übermäßig oft, Leute mit Problemen und nicht Leute OHNE Probleme. Ganz zu schweigen von stillen Mitlesern. In anderen Foren ist es noch viel schlimmer. Da schlagen sie täglich dutzendweise auf.

Wenn dann von Leuten wie dir solche fahrlässigen Tipps und Ansichten kommen, richten diese mehr Schaden an, als die Malware, denn sie wirken im Kopf länger nach und verführen zu wiederholten Fehlentscheidungen.

Abschließend noch zwei lehrreiche Links, die ungeachtet ihres hohen Alters unverändert gültig sind. Wenn du die verinnerlicht hast, melde dich wieder.

https://technet.microsoft.com/de-de/library/00a1ea3a-9ef3-44cf-b6ff-c5715eda2a65
https://technet.microsoft.com/de-de/library/d532ebf5-ff5b-49b3-a14e-6becfe5fdaf8

 

[S.Kara]

Ohne gegooglet zu haben, gibts doch sicherlich auch Packs mit "normaler" Malware, die könnteste ja mal der Reihe nach ausführen in der VM mit AV & FW. Dann schauste auf dem Host was da an Traffic raus geht aus der VM.

Joah könnte man machen.
Das Problem ist halt dass diese eben bekannt sind und daher auch erkannt werden/sollten. Das ganze wäre mir dann doch zu Zeitaufwändig.

@IRON67
Ich bin mir jetzt nicht sicher ob du noch eine Antwort von mir auf deinem Beitrag willst. Falls ja schick mir eine PN, bekommst dann eine zurück in der ich dir das Teil wieder auseinandernehme.

 

[IRON67]

@IRON67
Ich bin mir jetzt nicht sicher ob du noch eine Antwort von mir auf deinem Beitrag willst. Falls ja schick mir eine PN, bekommst dann eine zurück in der ich dir das Teil wieder auseinandernehme.

Das hier ist ein öffentliches Forum. Wenn du dich bemüßigt fühlst, mir zu "antworten", dann tu es, wenn nicht, dann lass es. Mir zumindest ist spätestens heute klargeworden, dass du nicht verstehen willst oder kannst. Was ich zu sagen und zu kritisieren hatte, hab ich abgeliefert. Was du draus machst, ist deine Sache. Weiteres trotziges Füßeaufstampfen a lá "Beweise, Beweise, bring Belege" und "du hast angefangen" will ich jedenfalls kein weiteres Mal lesen.

 

[Scheitel]

Das Problem ist halt dass diese eben bekannt sind und daher auch erkannt werden/sollten.

Einfach alte Signaturen nehmen, oder wenn nicht vorhanden, einen älteren Fullinstaller und eben ein aktuelles Malwareset
Aber ja, der Aufwand ist nicht gering.

 

[Neronomicon]

Joah könnte man machen.
Das Problem ist halt dass diese eben bekannt sind und daher auch erkannt werden/sollten. Das ganze wäre mir dann doch zu Zeitaufwändig.

Ging es nicht bei dir darum das deine Firewall eine Infektion verhindern kann? Wenn die bekannt sind müsste dein AV+ Firewall eine Infektion doch verhindern und du könntest sehen wie gut dein Comodo ist ( oder was du für ein Programm hast).

Aber bitte den ersten Durchgang ohne VM. Dann mit. Auch hast du ein Backup. Also ist der Aufwand nicht so groß. Ich glaub, etwas ketzerisch gesagt, du hast Angst das deine Programme eine Infektion nicht verhindern können^^.

Aber nicht nur öffnen, das Av meldet " da ist was", sondern auch danach ausführen! Nur so können wir doch wissen wie gut deine Progs wirklich sind. Also deine Firewall, die ja so gut sein soll.
Es können dir ja die User helfen, in manchen E-Mail Konten sind bestimmt noch eine wunderschöne Mails mit Anhängen vorhanden. Gruß

 

[S.Kara]

Aber ja, der Aufwand ist nicht gering.

Zu hoch als dass ich Lust dazu hätte. ^^

Ging es nicht bei dir darum das deine Firewall eine Infektion verhindern kann? Wenn die bekannt sind müsste dein AV+ Firewall eine Infektion doch verhindern und du könntest sehen wie gut dein Comodo ist ( oder was du für ein Programm hast).

Naja eher so: die Firewall lässt nichts raus und dafür sorgen andere Programme, dass nichts an die Firewall kommt.

Ich glaub, etwas ketzerisch gesagt, du hast Angst das deine Programme eine Infektion nicht verhindern können^^.

Da hast du vollkommen recht.
Es kann noch so unwahrscheinlich sein, würde es nie einfach so riskieren dass mir meine Daten gestohlen werden.

Nur so können wir doch wissen wie gut deine Progs wirklich sind. Also deine Firewall, die ja so gut sein soll.

Naja wenn wir jetzt mal bei Comodo bleiben: Es ist der HIPS-Modus der die Sicherheit liefert. Der sorgt dafür, dass kein Prozess einfach auf einen anderen zugreifen, sich in den Autostart setzen oder auch irgendetwas an der Firewall ändern kann.
Kommt natürlich alles stark auf die gewählten Einstellungen an.
Dieses ganze Zeug gibt es aber auch nicht nur bei Comodo. Heißt bei anderen Herstellern nur anders, ist aber mehr oder weniger das gleiche.

Was ich zu sagen und zu kritisieren hatte, hab ich abgeliefert.

OK dann belassen wir es dabei.
Nur am Rande: Du hast für sehr viele Lacher und Fremdschämen bei meinen Kumpels und mir gesorgt. Dass ich das jetzt sage soll dich nicht runter, sondern dir etwas klar machen.

So bin raus für heute - Pegel steigt.

 

[IRON67]

Nur am Rande: Du hast für sehr viele Lacher und Fremdschämen bei meinen Kumpels und mir gesorgt. Dass ich das jetzt sage soll dich nicht runter, sondern dir etwas klar machen.

Dito, dito. Für Leute wie dich ist dieses Forum wirklich nicht der richtige Ort, um über die ach so bewundernswerten Fähigkeiten deiner Software zu philosophieren. Da wäre Rokop oder Trojaner-Board weit eher geeignet. Denn da brutzeln diese Leute vor allem im eigenen Saft - besonders bei Rokop - und schaden niemandem. Hier dagegen so zu tun, als wäre irgend eine Schutzsoftware so wahnsinnig gut, dass man sich derartig auf sie verlassen könnte, ist - ich wiederhole es - fahrlässig.

Ob deine Kumpels da lachen, ist eher unwichtig. Es geht nicht darum, was du lustig findest, sondern was du verstehst - und das war bis jetzt eher wenig. Für mich ist vor allem wichtig, solche gefährlichen Ideen wie deine nicht unwidersprochen stehen zu lassen. Jemand könnte sie sonst für gut und richtig befinden und nachahmen.

 

[meesurik]

Escaping VMware Workstation through COM1

Das ist jetzt nur ein Beispiel. Darin werden mehrere Schwachstellen beschrieben, die es Schadsoftware ermöglichen, aus einer VMware Workstation auszubrechen.
Die Frage ist hier nur noch ob Du bzw. Deine Host-Schutzsoftware es bemerken würde. Deine Firewall würde das definitiv nicht (ist auch nicht deren Aufgabe). Mit einem HIPS hättest Du zumindest die Chance, wenn

- für die ausgenutzten Prozesse noch keine entsprechenden Regelsätze eingepflegt wurden (was unwahrscheinlich ist, da der Angriff über VMware-eigene Prozesse initiiert wird)
- Du als Anwender diesen Angriff auch als solchen erkennst und entsprechend handelst (?)

​
Die verlinkten Lücken wurden vom Google Security Team gefunden und erst nach über 3 Monaten mit Erscheinen der Version 11.1.1 am 09.06.2015 geschlossen.

​
Auf der anderen Seite wird natürlich bei Privatanwendern mit solchen Lücken wenig bis gar nichts zu holen sein. Und da es Kriminellen nun einmal meistens ums Geld geht, wird wohl solche Schadsoftware vorerst auch nicht ITW auftauchen. Das heißt aber nicht, dass es sie nicht gibt. Deine Aufforderung, man möge Dir solche Malware zum Testen schicken, ist etwas leichtsinnig.


btw: Ihr seid hier ziemlich off topic unterwegs...

 

[S.Kara]

Das funktioniert aber nur, wenn man die Version 11.1 verwerndet und den Seriellen Port aktiviert (was um ehrlich zu sein wohl bei fast niemanden der Fall ist) hat.
Aber ja es war möglich auszubrechen und das war es ja nicht das erste mal. Das heißt aber nicht, dass es immer noch möglich ist bzw. dass VMWare jetzt unsicher ist.

Mit einem HIPS hättest Du zumindest die Chance

Davon gehe ich mal stark aus. Egal ob auf Host oder Gast, es findet ein Zugriff auf einen anderen Speicherbereich statt. Soetwas sollte eigentlich jedes halbwegs sichere System erkennen.

 

[Ochse]

@S.Kara
Was hindert die Schadsoftware bspw. daran bei der nächsten Eingabe des Adminpasswortes, dieses mitzuschneiden und dann sämtliche Sicherheitsmechanismen von Comodo auszuschalten? Es gibt einfach sehr viele Möglichkeiten solche Schutzsysteme zu umgehen. Ich glaube kaum das Comodo da eine Ausnahme darstellt.

 

[S.Kara]

Selbst wenn die Anwendung das PW kennt muss man den Start und Zugriffe trotzdem erst zulassen.

 

[Ochse]

Welchen Start und welche Zugriffe? UAC ist, soweit ich weiß, leicht zu umgehen falls du dich darauf bezieht (Ist ja nicht mal als Sicherheitsfeature gedacht).
Zudem ist es für die Schadsoftware sobald sie gestartet wurde, ein Leichtes an Adminrechte zu gelangen. Von da an kann Comodo vermutlich sehr einfach platt gemacht werden.

Hast du den Quelltext von Comodo analysiert oder warum bist du dir so sicher?

 

[Kronos60]

Hier dagegen so zu tun, als wäre irgend eine Schutzsoftware so wahnsinnig gut, dass man sich derartig auf sie verlassen könnte, ist - ich wiederhole es - fahrlässig.

Das finde ich auch, als Firewall reicht die Windows-Firewall vollkommen die ist im Betriebssystem dabei, da braucht man keine Drittanbieter Firewall die sich tief im System verankert und die man meistens auch nicht restlos deinstallieren kann.
Und eine Malwareinfektion hat eine Firewall noch nie verhindert ist auch nicht deren Aufgabe.

 

[S.Kara]

Welchen Start und welche Zugriffe?

Start der Malware und Zugriff der Malware auf z.B. andere Prozesse.

Von da an kann Comodo vermutlich sehr einfach platt gemacht werden.

Auch ohne Benutzerkontensteuerung muss man den Zugriff auf Comodo erst manuell zulassen. Wenn man bei Comodo den HIPS Modus deaktiviert hat könnte es schon gut sein, dass es nicht lange hält. Weiß nicht ob die da noch irgendetwas eingebaut haben.

 

[koffeinjunkie]

Woher wollen die Leute wissen, dass sie Virenfrei sind, wenn sie eigentlich gar kein richtiges Programm haben was dieses Aussage bestätigen kann.
Ohne Virenschutz kann mir keiner Sagen ob ich mir was eingefangen hab oder nicht. Und heutzutage kann sich hinter jedem Link ein Virus verstecken.

Das ist so eine Aussage wie zu sagen das es einen Gott gibt und andere dessen Nichtexistenz beweisen sollen.

 

[Ochse]

@S.Kara
Warum Starten? Wir hatten doch bereits vorrausgesetzt, dass du es starten würdest.

Was soll die Maleware davon abhalten, Benutzereingaben zu emulieren und so Comodo selbst manuell zu deaktivieren?
Da hilft auch kein HIPS Modus.

Edit:
Hab grad Comodo Internet Security auf einer virtuellen Maschine getestet. Der Installer hat versucht mir alles mögliche zu verstellen und wollte mir unter anderem die Drittanbietersoftware PrivDog unterjubeln
(http://www.golem.de/news/privdog-software-hebelt-https-sicherheit-aus-1502-112534.html).
Ich habe einfach mal alles installieren lassen und später die VM zurückgesetzt.

Es war problemlos möglich die Firewall per Hand zu deaktivieren und auch sämtliche anderen Einstellung zu verändern ohne das die Benutzerkontensteuerung, die auf höchste Stufe eingestellt war, ansprang. Man braucht also nicht mal Adminrecht um alles auszuschalten und man kann die Comodofenster unsichtbar machen ohne das dies gemeldet wird. Als Malwareprogrammierer würde ich dann auch genauso vorgehen.
1. Das Comodohauptfenster unsichtbar öffnen.
2. Maus und Tastatureingaben dahin senden und damit alles deaktivieren.

Comodo scheint also überhaupt keinen nennenswerten Eigenschutz zu besitzen um mal wieder zu Thema zurück zu kommen.
Die Security Suiten die ich bisher kannte haben für solche Aktionen wenigstens noch eine Bestätigung durch die Benutzerkontensteuerung erfordert.

 

[Kronos60]

Comodo scheint also überhaupt keinen nennenswerten Eigenschutz zu besitzen um mal wieder zu Thema zurück zu kommen.

Ist ja auch nur eine Placebo-Software die dem User zusätzliche Sicherheit vorgaukelt.