okni schrieb:
Schädlich ist ein HIPS-Schutz bestimmt nicht[...]
Das nicht, aber es ist eine berechtigte Frage, ob der Sicherheitsgewinn dem möglichen Sicherheitsverlust durch Programm-Exploit aufwiegt.
Bisher hab ich durch Drittanbieter-Firewalls lediglich die Blockierung des Internetzugriffs für die Werbenetzwerke Open Candy, InstallCore und weitere bei Installationen als "Sicherheitszugewinn" bemerkt.
Vor DriveByAttacken scheint das HIPS wohl sowieso nicht zu schützen oder wie war das nochmal bei purzelbär? Bei so ziemlich allen, selbst heruntergeladenen Programmen schlägt es bei der Ausführung an, aber wenn er einmal aus versehen ein Java-Applet anklickt, kann sein System schon komprimitiert sein. Was lernen wir draus? HIPS ist bestenfalls eine Art zusätzliche Nachfrage, ob der User wirklich das heruntergeladene Programm ausführen möchte. Nicht mehr und nicht weniger. Für einen Exploitschutz müsste man jedoch soviel einschränken wie möglich: Angefangen von den Rechten, bis hin zu Werbung, Javascript und Flash zumindest als Click to Play und schließlich das Java Browser Plugin möglichst ganz weglassen. Allerdings sinkt auch die Bequemlichkeit dabei...
https://www.virustotal.com/de/, bzw.
http://virusscan.jotti.org/de (Linux Scanner) kann man also bei den Auswertungen auch nicht immer zu 100% trauen.
Was ich deshalb noch ganz nett finde, sind verhaltensbasierte Analysedienste wie
https://anubis.iseclab.org/. Kennt jemand noch gute Alternativen, die auch mit mehr als 8MB zurechtkommen?
Ansonsten sind Fehlalarme ein nicht zu unterschätzendes Risiko, welches so ziemlich jedes (Freeware-)Antivirenprogramm treffen kann.
Hier mal paar Beispiele:
http://www.heise.de/thema/Fehlalarm
Allein schon aus diesem Grund finde ich es fahrläßig, ein Antivirenprogramm zu verwenden, ohne die Einstellung vorzunehmen, vor dem Löschen/Quarantäne verschieben gefragt zu werden.