News Virenschutz im Test: Windows Defender bietet ausreichenden Schutz

[andy_m4]

Aber auch solche User sollten nicht auf einen Virenschutz verzichten egal von welchem Hersteller der ist, sonst würden die sich noch mehr Infektionen einfangen.

Meine These war ja nicht nur, dass Virenscanner nicht alles abfangen, sondern sie auch den Nutzer verleiten leichtsinnig zu sein.

Das ist nicht nur bei Software so: Gehe heute zum Media Markt und sag dem Verkäufer du willst einen neuen Fernseher kaufen,

Es ging um die Größe des Webrebudgets. Nicht um den Preis der Software.

Abgesehen davon erwarte ich insbesondere bei einem Laden wie MediaMarkt gar nicht kompetent beraten zu werden. Und bei jedem Verkäufer ist mir klar, dass der mir irgendwas aufschwatzen will. Und offenbar gehts nicht nur mir so, sondern vielen anderen auch. Es gibt ein deutlich sichtbaren Trend dahin, dass sich die Leute selbst informieren (Dank Internet ja auch kein großes Problem mehr) und dann dort auch bestellen.

Ich bin mir sicher ne gute Beratung würde für nicht wenige Kunden ein echter Mehrwert sein. Aber sie ist halt rar eben wegen der Tendenz zum aufschwatzen.
Bin ja schon seit einer Weile der Meinung das man für Beratung auch bezahlen sollte. Bezahlen muss man sie ja sowieso. Nur jetzt ist sie im Produkt eingepreist. Transparenter wäre das als Dienstleistung anzubieten. Dann hätte man auch nicht mehr den Vorbehalt das der Verkäufer einem was aufschwatzen will. Der der Verkäufer braucht nicht zu befürchten, dass er sein "Beratungshonorar" nicht kriegt weil der Kunde sich beraten lässt und dann aber nichts kauft und im Internet bestellt. Von daher wäre das eigentlich ne Win-Win-Situation.

So wie es jetzt ist, ist es Murks. Um beim Beispiel MediaMarkt zu bleiben. Die versuchen halt immer noch mit dem Online-Handel zu konkurrieren. Das heißt aber auch, dass sie die Preise moderat halten müssen. Das heißt aber auch, dass sie irgendwo einsparen müssen. Deshalb sind die Berater da auch fast alle Pfeifen.
Die leben im Prinzip nach meiner Wahrnehmung vornehmlich vom Handygeschäft und der Tatsache, dass man als Kunde das gesehene Produkt sofort mitnehmen kann ohne erst bestellen und warten zu müssen.

Wie lange das noch funktioniert, wird man abwarten müssen. Preislich kann man jedenfalls nicht mit dem Online-Handel mithalten. Und das mit der Beratung als Mehrwert hat man gründlich vergeigt.

Um mal den Bogen zu AV-Industrie zurückzuschlagen. Die machen (wie hier jemand schon anmerkte) vor allem ihr Geschäft mit der Angst. Und gerade so Hacking-Geschichten die durch die Medien laufen wie eben diese Massen-Doxxing-Geschichte sind da natürlich Wasser auf die Mühlen der Werbemaschinerie.
Aber ob ich jemanden, der bewusst und vorsätzlich aus Angst Kapital schlägt (ohne ein brauchbares Produkt zur Abwehr zu liefern) wirklich als Geschäftspartner haben möchte, würde ich für mich klar verneinen.

 

[DaveStar]

@DaveStar
Glaubst du es gäbe weniger infizierte Windows PC's vor allem bei Heimanwender wenn die auf Virenschutz Programme, egal von welchem Hersteller, verzichten würden?

Ich denke wenn man eine sinnvolle Debatte führen will, dann sollte man in erster Linie von "geschädigten PCs" und nicht nur von "infizierten PCs" sprechen. Sonst blendet man aus, dass Virenscanner ja nicht nur wenig helfen, sondern v.a. auch oft Schaden anrichten.
(Infektionen wären dann natürlich eine Teilmenge von Schädigungen.)

Diesbezüglich sage ich ja: Ich halte es durchaus für wahrscheinlich, dass die Zahl der geschädigten PCs ohne AV-Software geringer wäre als mit.
Dies ergibt sich aus der Vemutung, dass die Zahl der infizierten Geräte nur geringfügig höher wäre, die Zahl der anderweitig geschädigten Geräte hingegen deutlich geringer.


Nun gibt es mit dem Windows Defender aber eine Lösung deren Schadenspotential nach bisherigem Erkenntnisstand deutlich geringer ist als bei den meisten anderen "Lösungen" und die zudem auch nicht von einem zwielichtigen Anbieter betrieben wird. Daher muss man gar nicht komplett auf einen Virenscanner verzichten.


Im Übrigen habe ich früher bereits an anderer Stelle erläutert, wie es in der Realität mit den Erkennungsraten von AV-Software aussieht.
Vereinfacht kann man sagen:
- Die überwiegende Mehrheit der Schadsoftware führt der Anwender freiwillig auf seinem Rechner aus
- Wer einmal darauf reinfällt, wird üblicherweise wiederholt darauf reinfallen
- Die Angriffsversuche sind häufig
- Die Erkennungsraten sind niedrig
- Ergo: AV-Software zögert die Infektion bestenfalls einen (eher kleinen) Zeitraum hinaus

 

[andy_m4]

Nun gibt es mit dem Windows Defender aber eine Lösung deren Schadenspotential nach bisherigem Erkenntnisstand deutlich geringer ist als bei den meisten anderen "Lösungen"

Naja. Da waren aber auch schon einige Klopse mit dabei. Microsoft selbst traut seiner Antiviren-Lösung so viel (besser gesagt: so wenig!), dass sie sie inzwischen in eine Sandbox packen. :-)

Aber ja. Generell stimme ich Deinem Posting zu. Insofern ist mein Beitrag auch eher als Ergänzung zu sehen.

 

[DaveStar]

Naja. Da waren aber auch schon einige Klopse mit dabei. Microsoft selbst traut seiner Antiviren-Lösung so viel (besser gesagt: so wenig!), dass sie sie inzwischen in eine Sandbox packen. :-)

Exakt. Die Tatsache dass sie das Ding jetzt in die Sandbox packen, spricht ja für das Produkt, oder? ;-)

 

[Darlis]

Eine Sandbox ist eher ein Eingeständnis, dass man Software nicht sicher programmieren kann und sich bewusst ist, dass Antiviren systemweite Rechte haben. Mit so einem Buffer-Overflow kann ein Angreifer den AV als Einfallstor nutzen. Aber das betrifft glücklicherweise ja nur den schlechten Code von Microsoft, alle anderen sind super sicher!1!!

 

[andy_m4]

Eine Sandbox ist eher ein Eingeständnis, dass man Software nicht sicher programmieren kann

Kann man schon.

und sich bewusst ist, dass Antiviren systemweite Rechte haben.

Wobei das gar nicht notwendig ist. Klar. Um auf die Dateien zuzugreifen schon. Aber der eigentliche (und meist auch kritische da fehleranfällige) Scan-Vorgang kann mit den niedrigsten Rechten ausgeführt werden.

Aber das betrifft glücklicherweise ja nur den schlechten Code von Microsoft, alle anderen sind super sicher!1!!

Betrifft alle. Exemplarisch am Microsoft-Scanner erläutert. Ist doch eigentlich nicht so schwer zu verstehen.

 

[Darlis]

Kann man schon.

Klar, ist aber aufwändig. Irgendwann muss die Software ja mal released werden und die meisten wollen damit auch noch Gewinn machen. Gerade bei Antiviren ist man zudem unter Zeitdruck, den Virenschreibern immer zuvor zu kommen.

Aber der eigentliche (und meist auch kritische da fehleranfällige) Scan-Vorgang kann mit den niedrigsten Rechten ausgeführt werden.

Damit kommt man aber nicht an Systemdateien ran, ein Virus der Admin/System-Rechte bekommt wäre damit automatisch immun gegen Antiviren. Außerdem reichen schon eingeschränkte Benutzerrechte um Schaden anzurichten, so wie es die Ransomviren machen. Nur dass diese dann vom Antivirus gestartet werden, nicht vom Benutzer.

Betrifft alle. Exemplarisch am Microsoft-Scanner erläutert. Ist doch eigentlich nicht so schwer zu verstehen.

Ich finde diesen Satz schon schwer "auf alle" zu übertragen.

Microsoft selbst traut seiner Antiviren-Lösung so viel (besser gesagt: so wenig!), dass sie sie inzwischen in eine Sandbox packen. :-)

Ist der Smily am Ende der entscheidende Hinweis? Sehr subtil.

 

[Scheitel]

Auch mit allerlei zwielichtigem Zeugs. Trotz Virenscanner!

Pup und Toolbars sind halt keine Viren und nicht jedes AV ist so eingestellt, dass die "Tools" nicht aufer Platte landen/installiert werden. Die Chip Installer ist ja z.B. auch so ein Kandidat und die Chip ist zumindest nicht vollkommen unseriös.

Insofern sehe ich da schon ne Zielgruppe.

Die ist auch da, mein Bekanntenkreis nutzt den Rechner primär zum Zocken, meine Eltern natürlich nicht, aber die sind mit Office und Co aufgrund ihrer Jobs vertraut und auch zu unflexibel zum Wechseln. Android Handys sind da schon ne Herausforderung

MacOS besser aufgehoben als bei Windows.

Theoretisch bestimmt, in der Praxis ist das halt ne Glaubensfrage.

Der Preis ist gerade nicht so attraktiv.

Ne Konsole kostet weniger als ne gehobene Mitttelklassegrafikkarte? Wie kann da ne Konsole teuer sein?

Meine Erfahrung ist, wenn für ein Produkt Werbung gemacht wird, ist es schon fast ein Garant dafür, dass es ein schlechtes Produkt ist. Wenns ein Gutes wäre, hätten sie Werbung gar nicht nötig.

Ohne Werbung läuft so gut wie nichts, das hat am Ende nicht mal zwangsweise was mit Produktqulität sondern mit gutem Marketing zu tun. Gutes Marketing (egal wobei) ist nur halt leider selten. Und wonach soll der unbedarfte Nutzer sonst gehen, wenn die Produkte alle ähnlich gut abschneiden?

Mit so einem Buffer-Overflow kann ein Angreifer den AV als Einfallstor nutzen.

Natürlich, aber MS tut schon ne Menge um gewisse Prozesse zu isolieren und es Angreifern schwerer zu machen. Das ist und bleibt natürlich ein ewiges Katz und Maus spiel, das haste eben überall in allen Branchen. Ist biem Koperischutz von Spielen und Programmen ja nicht anders.

Aber der eigentliche (und meist auch kritische da fehleranfällige) Scan-Vorgang kann mit den niedrigsten Rechten ausgeführt werden.

Der Scanvorgang kann natürlich ohne Adminrechte ausgeführt werden, aber wie Darlis schon schreibt, ist der Nutzen dessen eingschränkt.
Normalerweise braucht man auch keinen manuellen Scan anzustoßen, denn alle AV's haben einen Dateisystemwächter der eben im Systemkontext läuft und je nach Einstellung eben Sachen beim Lesen/schreiben/Ausführen überprüft und das halt Systemweit.

 

[andy_m4]

Klar, ist aber aufwändig. Irgendwann muss die Software ja mal released werden und die meisten wollen damit auch noch Gewinn machen.

Ja. Ist durchaus richtig. Nur deckt sich hastige Programmierung eben nicht mit dem Ziel Sicherheit.
Aber Danke, dass Du noch einmal klar verdeutlicht hast, warum der Kram nicht zuverlässig funktionieren kann.

Gerade bei Antiviren ist man zudem unter Zeitdruck, den Virenschreibern immer zuvor zu kommen.

Das hat aber i.d.R. weniger mit dem eigentlichen Scanner zu tun. Die Signaturen mit denen gecheckt wiurd, ob und womit eine Datei infiziert ist sind ja getrennt vom Programm in einer Datenbank. Bei neuen Schädlingen muss also nur diese Datenbank um entsprechende Einträge ergänzt werden. Am Programm muss dazu meistens nix geändert werden. Man hat also durchaus schon eine gewisse Zeit das Programm reifen zu lassen.
Dumm nur, dass man diese Zeit lieber in neue (und meist fragwürdige) Features investiert als in ein solides Produkt.
Auch der Fakt das viele AV-Hersteller lieber Geld in Werbung stecken als ins Produkt lassen nicht gerade auf die Seriosität dieser Branche schließen.

Damit kommt man aber nicht an Systemdateien ran, ein Virus der Admin/System-Rechte bekommt wäre damit automatisch immun gegen Antiviren.

Also ich erklärts noch mal. Der Scanner besteht aus zwei Prozessen. Ein Prozess A mit hohen Rechten (damit er alle Dateien lesen kann) und ein Prozess mit niedrigen Rechten. Prozess A macht nix anderes als die Datei zu lesen. Ist also so schlank wie möglich damit der Teil der hohe Rechte hat möglichst klein und unanfällig ist. Prozess B kriegt von Prozess A den Inhalt der gelesenen Datei übergeben und macht den eigentlichen Scanvorgang.

Außerdem reichen schon eingeschränkte Benutzerrechte um Schaden anzurichten, so wie es die Ransomviren machen.

Der Scanvorgang braucht nicht mal mit Nutzerrechten laufen. Der bekommt die niedrigsten die es gibt. Der braucht nicht mal Zugriffsrechte auf die Laufwerke.

Ich finde diesen Satz schon schwer "auf alle" zu übertragen.

Ich hab ja gar nicht behauptet, dass die anderen besser sind. Mag sein, dass ich mich unklar ausgedrückt hab. Aber das ich deshalb annehme das alle anderen besser sind ist dann Deine alleinige Interpretation.

Ist der Smily am Ende der entscheidende Hinweis? Sehr subtil.

Steht doch alles da.

Pup und Toolbars sind halt keine Viren und nicht jedes AV ist so eingestellt, dass die "Tools" nicht aufer Platte landen/installiert werden.

Du findest da alles. Von A bis Z.

die Chip ist zumindest nicht vollkommen unseriös.

Eine nette Umschreibung für diesen Schrott. :-)

Die ist auch da, mein Bekanntenkreis nutzt den Rechner primär zum Zocken

Gut. Wenn die eh nix Wichtiges damit machen, kann der Rechner auch ruhig verranzt sein. :-)

Android Handys sind da schon ne Herausforderung

Wie schon gesagt. Ist sicher nicht für jeden etwas.

Ne Konsole kostet weniger als ne gehobene Mitttelklassegrafikkarte? Wie kann da ne Konsole teuer sein?

Dafür kann man mit der Konsole auch nur spielen und nix Anderes. Gut außer vielleicht hier und da noch ein paar Apps.
Man darf nicht den Preis als absolute Zahl sehen, sondern gegenüber der Leistung.
Ein PC kostet mehr. Aber ich kann auch viel mehr damit machen.
Und die Spiele sind ja preislich auch nicht ganz Ohne.

Ohne Werbung läuft so gut wie nichts, das hat am Ende nicht mal zwangsweise was mit Produktqulität sondern mit gutem Marketing zu tun.

Ja. Das ist häufig (leider) so. Allerdings würde ich den Einfluss auch nicht überbewerten.
Und ich beobachte das ja bei mir, dass wenn ich die Wahl zwischen einem No-Name-Produkt und einem bekannten Markenprodukt habe, dass ich eher geneigt bin dem No-Name-Produkt die Chance zu geben.

Und es gibt durchaus Produkte die auch ohne Werbung erfolgreich sind. Einfach weil sie überzeugen. Das dauert zwar länger bis man daran wirklich gut verdient, dürfte aber nachhaltiger sein.

Und wonach soll der unbedarfte Nutzer sonst gehen, wenn die Produkte alle ähnlich gut abschneiden?

Werbung (wo ich quasi schon mit Ansage belogen werde) würde ich als letztes Kriterium nehmen, um mich für ein Produkt zu entscheiden. Dann eher im oben genannten negativen Sinne.
Viele sehen das anscheinend ähnlich und schauen sich eher Nutzerrezensionen an und so. Gut. Die sind natürlich auch nicht selten "im Auftrag" geschrieben. Aber es zeigt, dass plumpe Werbung allein nicht (mehr) wirkt.

Natürlich, aber MS tut schon ne Menge um gewisse Prozesse zu isolieren und es Angreifern schwerer zu machen.

Wobei so ein Buffer-Overflow heutzutage eigentlich nicht mehr vorkommen dürfte. Gerade diese Fehler lassen sich recht gut vermeiden. Was aber wieder einmal mehr zeigt, wie geradezu schlampig in den AV-Buden gearbeitet wird.

Normalerweise braucht man auch keinen manuellen Scan anzustoßen, denn alle AV's haben einen Dateisystemwächter der eben im Systemkontext läuft und je nach Einstellung eben Sachen beim Lesen/schreiben/Ausführen überprüft und das halt Systemweit.

Schon klar. Ändert aber nix an meiner Aussage.

 

[Darlis]

Bei neuen Schädlingen muss also nur diese Datenbank um entsprechende Einträge ergänzt werden. Am Programm muss dazu meistens nix geändert werden.

Die Signaturen bringen nur nix, wenn der Virus in einem Archiv steckt, das der Scanner nicht lesen kann. Da muss der Scanner angepasst werden. Außerdem ändern sich Dateiformate auch mal, bzw. werden um Features ergänzt.
In dem Artikel zu Bitdefender wird auch erwähnt, dass Scanner sich nicht 100% an die Format-Definition halten, um auch abweichende Formate lesen zu können. Das hat hier die Sicherheitslücke ermöglicht.

Auch der Fakt das viele AV-Hersteller lieber Geld in Werbung stecken als ins Produkt lassen nicht gerade auf die Seriosität dieser Branche schließen.

Richtig. MS muss ja kein Werbebudget in den Defender stecken.

Der Scanner besteht aus zwei Prozessen. Ein Prozess A mit hohen Rechten (damit er alle Dateien lesen kann) und ein Prozess mit niedrigen Rechten. Prozess A macht nix anderes als die Datei zu lesen. Ist also so schlank wie möglich damit der Teil der hohe Rechte hat möglichst klein und unanfällig ist. Prozess B kriegt von Prozess A den Inhalt der gelesenen Datei übergeben und macht den eigentlichen Scanvorgang.

Klingt interessant, aber wie sieht es mit der Performance aus? Vor allem bei großen Dateien? Auch wenn es sicher ist, wird niemand einen Scanner akzeptieren, der das System stark ausbremsen wird.

 

[andy_m4]

Die Signaturen bringen nur nix, wenn der Virus in einem Archiv steckt, das der Scanner nicht lesen kann. Da muss der Scanner angepasst werden.

Ich sag ja auch nicht, das das Programm nie angepasst werden muss. Aber es muss halt nicht bei jedem Virus angepasst werden.

Das hat hier die Sicherheitslücke ermöglicht.

Das ist ein weiteres großes Problem an Antivirensoftware. Nehmen wir mal an, ich bekomme eine infizierte Word-Datei. Nur habe ich gar kein Word auf meinen Rechner. Da ist also nix zu exploiten. Das Antivirenprogramm macht hier also zusätzlich ne Tür auf die es vorher gar nicht gab.

Klingt interessant, aber wie sieht es mit der Performance aus?

Es gibt einen Impact. Wie groß der ist, müsste man im Zweifelsfall messen. Er dürfte sich aber im Rahmen halten weil das alles in-Memory-Operationen sind. Gegenüber dem noch sehr viel langsameren Festplatten/SSD-Zugriff dürfte das kaum ins Gewicht fallen.

Auch wenn es sicher ist, wird niemand einen Scanner akzeptieren, der das System stark ausbremsen wird.

Was die Leute bei Antivirenprogramme alles akzeptieren geht auf keine Kuhhaut. :-)
Jedes Mal wenn ich so ein Ding installiere denk ich mir: Wer tut sich sowas nur freiwillig an?

 

[Scheitel]

Bei neuen Schädlingen muss also nur diese Datenbank um entsprechende Einträge ergänzt werden. Am Programm muss dazu meistens nix geändert werden. Man hat also durchaus schon eine gewisse Zeit das Programm reifen zu lassen.

Wäre auch zu komisch, wenn das anders wäre Aber gegen 0-Day helfen halt i.d.R. weder Heuristik noch Signaturen, sondern Dinge in Richtung Verhaltensüberwachung.

Dafür kann man mit der Konsole auch nur spielen und nix Anderes.

Genau dafür kauft man die. Anmachen spielen ,sich um nichts weiters kümmern.

Der Scanvorgang braucht nicht mal mit Nutzerrechten laufen. Der bekommt die niedrigsten die es gibt. Der braucht nicht mal Zugriffsrechte auf die Laufwerke.

Keine Rechte = kein Zugriff.

Gerade diese Fehler lassen sich recht gut vermeiden. Was aber wieder einmal mehr zeigt, wie geradezu schlampig in den AV-Buden gearbeitet wird.

Manchmal liegt es auch am Zwang auf lizenzierte Sachen setzen zu müssen, weil sonst dies oder jenes Format nicht unterstützt werden kann und Hersteller/Anbiter kommt mitm fixen der Lücke nicht hinterher.

Er dürfte sich aber im Rahmen halten weil das alles in-Memory-Operationen sind

Wie kommst du auf die Idee? Wenn eine Datei gescannted wird, wird diese von den Scaneninges geöffnet und eingelesen und das ist eine I/O Operation. Aber so ziemlich alle AVs im Gegensatz zum Defender haben funktionen um berreits gesacnnte und unveränderte Dateien, die als Clean erkannt wurden, nicht mehr zu scannen. Das hat dann quasi keinen Impact mehr. Natürlich bleibt der Grundimpact durch Filtertreiber vorhanden.

Auch der Fakt das viele AV-Hersteller lieber Geld in Werbung stecken als ins Produkt lassen nicht gerade auf die Seriosität dieser Branche schließen.

Kannst du das belegen oder ist das eine subjektive Behauptung deinerseits?

 

[andy_m4]

Wäre auch zu komisch, wenn das anders wäre Aber gegen 0-Day helfen halt i.d.R. weder Heuristik noch Signaturen, sondern Dinge in Richtung Verhaltensüberwachung.

Ja. Wobei letzteres auch nicht wirklich neu ist. Genau das machen Intrusion-Detection-Systeme schon seit Jahren oder gar Jahrzehnten.

Irgendwie könnte man sicherheitstechnisch unter Windows sehr viel mehr machen. Ich denke da auch so an Sachen wie Mandatory Access Control Geschichten. Denn nicht jedes Programm braucht ja z.B. volle Nutzerrechte. Bei einem Musik-Apsielprogramm reicht es ja, wenn es auf meine Musiksammlung zugreifen darf, um mal ein einfaches Beispiel zu nennen.

Irgendwie kommt aus dieser Richtung kaum was. Aber warum auch, wenn die AV-Hersteller ihre Schrottprogramme auch so an den Mann bringen.

Genau dafür kauft man die. Anmachen spielen ,sich um nichts weiters kümmern.

Ja. Ich wollte damit ausdrücken, dass Konsolen nicht per se billig sind.

Keine Rechte = kein Zugriff.

Lies den ganzen Abschnitt. Dann wirds klar.

Manchmal liegt es auch am Zwang auf lizenzierte Sachen setzen zu müssen, weil sonst dies oder jenes Format nicht unterstützt werden kann und Hersteller/Anbiter kommt mitm fixen der Lücke nicht hinterher.

Es ging um Bitdefender.

Kannst du das belegen oder ist das eine subjektive Behauptung deinerseits?

https://petercohen.me/cyber-security-industry-addicted-marketing/

 

[Darlis]

Er dürfte sich aber im Rahmen halten weil das alles in-Memory-Operationen sind.

Auch das kann arschlangsam sein, wenn entsprechende Datenmengen verarbeitet werden müssen. Bei einer Datei (z.B. Download), kein Problem. Ein Scan über hundert tausende Dateien?
Es wird schon einen Grund geben, warum lieber auf eine Sandbox als getrennte Prozesse gesetzt wird.

Ich denke da auch so an Sachen wie Mandatory Access Control Geschichten. ... Irgendwie kommt aus dieser Richtung kaum was.

Also quasi das, was man vom Android/iOS her kennt? Das, was Microsoft gerade versucht mit dem Store und UWP-Apps zu machen?

 

[andy_m4]

Ein Scan über hundert tausende Dateien?

Gut. Da kann es sich natürlich aufsummieren. Aber wie oft macht man das schon. Und wenn, dann eben als Background-Task, damit ich normal am Rechner weiterarbeiten kann ohne das es mich großartig stört.

Es wird schon einen Grund geben, warum lieber auf eine Sandbox als getrennte Prozesse gesetzt wird.

Gut. Da hast Du aber ähnliche Probleme. Außerdem bringt eine Sandbox generell mehr Aufwand mitsich.

Die Idee der Auftrennung ist übrigens weder neu noch von mir. Das ist eigentlich schon längere Zeit gängige Praxis. Insbesondere bei Serveranwendungen, wo es halt auf Security und Performance durchaus ankommt.

Also quasi das, was man vom Android/iOS her kennt? Das, was Microsoft gerade versucht mit dem Store und UWP-Apps zu machen?

Im Prinzip ist das schon ein Schritt in die Richtung.
Und auch das ist nicht gänzlich neu. Das sind eigentlich alles schon recht gut abgehangene Konzepte. Umso verwunderlicher ist, dass sie noch nicht breiter etabliert haben.
Gerade bei einer Sicherheitssoftware würde man ja erwarten, dass die so was aufgreift. Aber Pustekuchen.

 

[Darlis]

Umso verwunderlicher ist, dass sie noch nicht breiter etabliert haben.

Eigentlich nicht verwunderlich. Du hättest keinen Zugriff mehr auf das System, Apps sind entsprechend beschnitten. Das, was man unter Android rooten bzw. Apple jailbreak kennt hast du bei Windows von Haus aus. Wärst du glücklich, das jetzt abzugeben? Sicherheit um jeden Preis? Dazu kommt noch, dass du ein Microsoft-Konto brauchst. Als das eingeführt wurde, habe keine begeisterten Kommentare dazu gefunden.

Außerdem würde das nur das System selbst schützen. Beim Android ES File Explorer wurde jetzt z.B. bekannt, dass dieser von außen Zugriff auf die eigenen Dateien ermöglicht. Theoretisch könnte der diese auch verschlüsseln, wie ein gemeiner Ransomvirus.

 

[andy_m4]

Eigentlich nicht verwunderlich. Du hättest keinen Zugriff mehr auf das System, Apps sind entsprechend beschnitten. Das, was man unter Android rooten bzw. Apple jailbreak kennt hast du bei Windows von Haus aus. Wärst du glücklich, das jetzt abzugeben? Sicherheit um jeden Preis?

Du verstehst das falsch. Ich will es ja nicht als Zwangs aufgedrückt bekommen, sondern eben die Möglichkeit haben es bei Bedarf zu machen.
Klar will ich Root-Rechte auf meinem System haben. Ich will aber auch sagen können, dass zum Beispiel die Textverarbeitung nur auf den Ordner mit den Textdokumenten zugreifen darf.
Es schließt also nicht beides einander aus.

Dazu kommt noch, dass du ein Microsoft-Konto brauchst.

Ja. Das ist natürlich alles unglücklich. Deswegen habe ich ja auch nicht gesagt, dass das die optimale Lösung ist. Aber so konzeptmäßig einzelne Programme beschränken zu können ist erstmal ne praktische Sache.

Beim Android ES File Explorer wurde jetzt z.B. bekannt, dass dieser von außen Zugriff auf die eigenen Dateien ermöglicht. Theoretisch könnte der diese auch verschlüsseln, wie ein gemeiner Ransomvirus.

Es gibt natürlich immer Szenarien wo irgendwas nicht so läuft wie es sollte.
Aber die Folgerung muss ja trotzdem nicht sein sicherheitstechnisch gar nix zu machen, weil es immer irgendwelche Ansatzpunkte geben kann Sachen zu umgehen.

 

[Scheitel]

Lies den ganzen Abschnitt. Dann wirds klar.

Mir ist das klar, wie das funktioniert Nicht zwangsweise so, wie du das immer beschreibst.

Es ging um Bitdefender.

Auch die Bitdefender Engine ist/kann von dem betroffen sein, was ich schrieb. Das es auch andere, komplett selbstverschuldete Lücken gibt, hab ich ja nie abgestritten.

Irgendwie kommt aus dieser Richtung kaum was. Aber warum auch, wenn die AV-Hersteller ihre Schrottprogramme auch so an den Mann bringen.

Da wäre es wohl sinnvoller auf eine Windowsfunktion zurückzugreifen, statt ein 3rd Party Programm an Systemberechtigungen rumschrauben zu lasse. Davon ab wäre es wohl deutlich sinnvoller das auf Dateisystemebene umzusetzen. Mit Applocker und Richtlinien für Softwareeinschränkungen hat MS ja was am Start, auch wenn das natürlich nicht allzu weit geht.

Bei der Budgetgeschichte ist nur Symantec von den stink normalen AV Buden dabei, die für Endkunden relevant sind.

Ich frage mich nach wie vor, wie du vor ein paar Seiten schreiben konntest, dass du mal von MS angerufen wurdest und damit ja indirekt zugegeben hast, dass du Scam zum Opfer gefallen bist und dementsprechend den Defender in den höchsten Tönen lobst und dann hier allerhand über das Thema AV kund tust und schreibst, das AV Hersteller nur Schrottprogramme an den Mann bringen und MS ja nurnmal mit dem Defender da ebenso zugehört.

wenn die AV-Hersteller ihre Schrottprogramme auch so an den Mann bringen

 

[DaveStar]

Eine Sandbox ist eher ein Eingeständnis, dass man Software nicht sicher programmieren kann und sich bewusst ist, dass Antiviren systemweite Rechte haben. Mit so einem Buffer-Overflow kann ein Angreifer den AV als Einfallstor nutzen. Aber das betrifft glücklicherweise ja nur den schlechten Code von Microsoft, alle anderen sind super sicher!1!!

Eben. Und der Defender ist bisher offenbar das einzige Produkt, bei dem diese "Einsicht" erlangt wurde und bei dem man entsprechende Gegenmassnahmen implementiert.
Deswegen spricht es für dieses Produkt - im Gegensatz zu den restlichen Produkten, bei denen die Problematik nicht angegangen wird.

 

[andy_m4]

Da wäre es wohl sinnvoller auf eine Windowsfunktion zurückzugreifen, statt ein 3rd Party Programm an Systemberechtigungen rumschrauben zu lasse.

Durchaus richtig. Ich kann jetzt auch nicht im Detail sagen, ob Windows da entsprechend ausreichend umfangreiche APIs anbietet auf die man aufsetzen könnte.
Jedenfalls gabs schon mal eine Umsetzung namens CoreForce die von der Funktionalität ähnlich zu AppArmor unter Linux war. Also auch das ist alles kein Neuland.

Mit Applocker und Richtlinien für Softwareeinschränkungen hat MS ja was am Start, auch wenn das natürlich nicht allzu weit geht.

Stimmt. Das sind auch gar nicht so verkehrte Werkzeuge. Dumm nur, dass sie zumindest für Nutzer der Home-Edition nicht so ohne weiteres zugänglich sind. Also da sind sie ja sogar, nur die Einstellungs-GUI fehlt. Die gibts erst in höherwertigen Editionen.
Auch ne fragwürdige Produktpolitik.

Ich frage mich nach wie vor, wie du vor ein paar Seiten schreiben konntest, dass du mal von MS angerufen wurdest und damit ja indirekt zugegeben hast, dass du Scam zum Opfer gefallen bist und dementsprechend den Defender in den höchsten Tönen lobst und dann hier allerhand über das Thema AV kund tust und schreibst, das AV Hersteller nur Schrottprogramme an den Mann bringen und MS ja nurnmal mit dem Defender da ebenso zugehört.

Ich hatte ja gedacht, mein Beitrag wäre so überzeichnet, dass er auch ohne explizite Kennzeichnung klar als Satire zu erkennen ist. :-)

Ergänzung (26. Januar 2019)

Eben. Und der Defender ist bisher offenbar das einzige Produkt, bei dem diese "Einsicht" erlangt wurde und bei dem man entsprechende Gegenmassnahmen implementiert.
Deswegen spricht es für dieses Produkt - im Gegensatz zu den restlichen Produkten, bei denen die Problematik nicht angegangen wird.

Ne Sandbox ist aber keine Lösung gegen Buffer-Overflows. Es ist eine Holzhammermethode die nebenbei auch die Thematik auch mit behandelt. Und zwar in dem Sinne, dass man BufferOverflows einkalkuliert und versucht deren schädliche Auswirkungen zu mindern.
Dabei kann man schon dafür Sorgen das solche Fehlerklassen erst gar nicht im Programm auftauchen.

Daher kann man die Sandbox auch als Eingeständnis interpretieren, dass die ihren Defender offenbar nicht sicher kriegen.
Das ist auch in zweierlei Hinsicht zweifelhaft.
Erstens wendet man die Ressourcen auf, um die Auswirkungen von Bugs zu vermindern statt die Ressourcen aufzuwenden, die Bugs zu fixen. Zweitens fügt man dem Ganzen Komplexität hinzu. Mehr Code in dem potentiell auch mehr Fehler stecken können.