Das grundlegende Problem bei den "Virenwächtern" ist
imho, dass sie meist mit hohen Rechten laufen, und sehr komplex sind. Man hat also eine stark fehleranfällige Software mit sehr weitgehenden Rechten am Laufen, die ein Angreifer entsprechend ausnutzen kann, und dann schlimmstenfalls mit diesen hohen Rechten Schaden anrichten kann. Es gibt auch immer wieder mal Berichte über entsprechende Lücken in Antiviren-Software, die als Einfallstor für Malware genutzt werden (könnten).
Vollste Zustimmung!
Komplex, und vor allem ist es Software die jede Menge Dateien (bzw. Dateiformate, teils auch schlecht oder überhaupt nicht dokumentierte) als Eingaben frißt und das bei hohen Rechten. Je nach Software wird nicht alles mit allerhöchsten Rechten gemacht, aber manches ist auch komplett sinnbefreit. Bspw. gibt es
absolut keinen Grund warum ein On-
Access-Scanner (OAS) Archive behandeln sollte.
Keinen. Angenommen man könnte Archive
wirklich als Laufwerke einhängen (also nicht ZIP Folders, das ist nur ne Shell-Erweiterung), würde sich ohnehin eine Instanz des OAS da reinhängen und transparent die Inhalte "sehen".
Ganz schlimm finde ich so Komplett-Internet-Security-Pakete, die sich auch mal gerne in die SSL-Verschlüsselung einklinken und damit effektiv den Schutz verringern.
Bingo! Für jeden Zweck was eigenes und diesen Müll am besten meiden.
Mir reicht der Windows Defender vollkommen aus. Zusätzliche Software, die im System rumpfuscht, braucht man meines Erachtens nach nicht.
Selbst der Defender pfuscht mir noch manchmal dazwischen, aber ich arbeite ja auch immer wieder mit Malware
Ich teile die Empfehlung zu Defender. Und
gerade wer argumentiert Microsoft könne man nicht trauen, weshalb es unbedingt
AV-Produkt XYZ® mit Glöckchen™ und Schellen® sein soll, sollte noch einmal in sich gehen und sich überlegen auf welchem Betriebssystem er das tut, dann ggf. auf eine Alternative wechseln, oder sein "Argument" wieder runterschlucken.
Der Windows Defender ist, wenn man nur auf die Erkennung bekannter Viren schaut, gar nicht schlecht.
In der Tat, die kleine
redmondischerumänische
AV-Klitsche hat sich in Redmond ziemlich gemausert. FRISK hatte damals auch ein Angebot von MS auf dem Tisch. Hätte aber Umzug in die USA bedeutet.
Leider ist die Performance weniger gut, was man insbesondere beim Kompilieren mit Delphi gut merkt. Das klappt mit Norton deutlich schneller.
Auch beim Defender kann man Compiler, Linker und andere Entwicklertools ausnehmen und hat dennoch beim Ausführen der erstellten
PE-Datei ein Sicherheitsnetz, sofern man sich nicht gleich entscheidet den ganzen "Entwicklungsordner" als Ausnahme zu deklarieren.
Vermutlich hat Norton da einfach ne bessere Heuristik um den Compiler zu erkennen und macht das dann von sich aus. Gerade das wiederum wäre für mich eher ein Negativmerkmal. Aber so unterscheiden sich halt die Anforderungen.
Und diese Information kann man nicht mit "dem gesunden Menschenverstand" ermitteln, den ja einige als Alternative zu Antivirentools anpreisen.
Doch. Und der ist die beste Alternative. Leider ist der in anglophonen Welt als "common sense" bezeichnete gesunde Menschenverstand nicht so "common", bzw. stark auch von Wissen und Erfahrung abhängig.
So habe ich bereits zweimal bemerkt, dass die Server des jeweiligen Herstellers kompromittiert waren und Viren verteilt haben. Ein Scan mit Virustotal hat erst Tage später bei einer breiteren Mehrheit an Tools bei den heruntergeladenen Dateien angeschlagen.
Wenn etwas anschlägt, und seien es mehrere Scanner bei VT, ist dies
noch lange keine korrekte Aussage, daß an der Datei überhaupt etwas bösartiges ist. Was du einige Tage später erlebt hast, ist übrigens jene Dynamik mit der Erkennungen sich in der Industrie verbreiten. Ich habe das schon kritisiert - auch auf den VB-Konferenzen unter Kollegen - als ich noch in der Industrie war.
Ich habe absichtlich von Erkennungen geschrieben. Denn diese sind es die sich verbreiten. Wenn nun Norton bspw. merkt (sei es durch Rückmeldung des jeweiligen Softwareherstellers [ISV] oder auch anders), daß es sich um eine Fehlerkennung (false positive) handelt, ist das Kind meist schon in den Brunnen gefallen. Bis dahin haben andere es auf Basis der Ersterkennung von Norton bereits in Erkennung genommen und da ist der Schneeball im Rollen.
Da es keine industrieweite einheitliche Methode gibt Fehlalarme untereinander zu kommunizieren, darf der daraufhin jeden einzelnen der gelisteten
AV-Hersteller anschreiben und um Entfernung der Erkennung bitten. Dabei gilt meistens die Beweislastumkehr (ISV darf Harmlosigkeit der Software beweisen) und meist hat man es mit uneinheitlichen Web-Formularen zu tun, einige erfordern die Eingabe persönlicher Daten (und wollen ohne nicht abgeschickt werden) oder man muß Emails schicken.
Und dann ist noch nicht klar ob die aus der Erkennung genommen werden. Und je nach Hersteller kann eine zuvor rausgenommene Erkennung solange wieder reingenommen werden wie andere weiterhin fälschlich behaupten Sample soundso sei böse.
Da ist es für den ISV vielfach einfacher die Software nach kleiner Änderung neu zu bauen und zu hoffen, daß diesmal keine Fehlerkennung stattfindet.
Wer weiß hinter welchem
AV-Produkt welche Engine(s) werkelt, kann sich ein wenig Aufwand sparen; aber manche
AV-Produkt-Hersteller ohne eigene Engine packen auch ihre eigenen Regeln/Signaturen rein. Und Erkennung ist immer Engine + Regeln.
Deshalb werde ich privat sicher weiter auf Norton setzen.
Warum auch nicht? Es ist immer die Wahl des kleineren Übels für den gewünschten Einsatzzweck. Und wenn nach Güterabwägung Norton das
AV der Wahl ist, finde ich das nicht schlimm.
[...] wobei dabei diverse Konkurrenzprodukte auch nicht gerade glänzen.
Das hat MS mittlerweile mit harten Vorgaben auf verschiedenen Ebenen gelöst. Als Gegenleistung für's Mitmachen bekommen die
AV-Hersteller Telemetrie von euren Rechnern
Meist kann man dies aber durch sinnvolle Ausnahmen beheben, z.B. dass man die Verzeichnisse mit Sourcecode nicht scannen lässt.
Lieber den Compiler/Linker/... ausnehmen aus das Sourceverzeichnis. Aber prinzipiell geht beides. Ist im Endeffekt dann ein Unterschied wenn mal in dem besagten Verzeichnis was wirklich böses landen sollte und nicht nur frische Kompilate.
Generell sind Virenscanner nervig, weil sie sich unnötig in den Vordergrund drängen, um dem User zu zeigen, wie wichtig sie doch sind, er könnte sie ja sonst vergessen, wenn sie einfach nur ihre Arbeit tun. Der Defender ist dahingehend OK.
Jupp, aber wenn alle so denken würden wie du, wären alle
AV-Hersteller pleite. Und MS macht schon eine Menge Vorgaben, auch zur Integration im ehemaligen Windows Security Center (heute Action Center). Für's Mitmachen bekommt man (=
AV-Hersteller) Zugriff auf Informationen (bspw. undokumentierte APIs, diverse anstehende Änderungen vorab) unter Verschwiegenheitsklauseln.
Kleine, recht persönliche Anmerkung: viele dieser Tests sind Humbug. Bei einigen Testern kann man sie als
gekauft bezeichnen. Tester und
AV-Hersteller sind auf gegenseitige Kooperation angewiesen. Dafür gibt's AMTSO. Zählt doch einfach mal die Mitglieder durch und dann ratet wer die Hosen an hat?!
Übrigens
AV-Tester sind es bspw. die den oben genannten Unfug mit Archiven im OAS erzwingen. Dank
teils bescheuerter Testsetups. Andere sind wiederum recht clever. Und manche Tester sind sogar recht gut und haben sehr viel Know-How und daher aus meiner Sicht viel Reputation. Aber wie geschrieben: jedem Tester sollte man nicht glauben. So wie man bei der Stiftung Warentest auch die Methoden durchlesen und dann ggf. die Gewichtung der Einzelpunkte für sich selbst korrigieren sollte.
Wenn du aber etwas Ahnung vom PC hast, bist du selber der beste Vierenschutz, wenn du nicht alles und jedes Programm ohne Überlegen startest.
Und das ist eben der große Irrtum. Ich habe ja gerade weiter oben erklärt warum...
Wenn ein Server kompromittiert ist, hast du keinerlei Möglichkeit dies ohne die genannte Information der geringen Verbreitung festzustellen.
Und du setzt dich dann mit deinem Reverse-Engineering-Werkzeugkasten hin und guckst dann erstmal ob der
AV-Hersteller recht hat, oder du vertraust ihm blind?
Im Zweifel heißt es: lieber nicht anklicken. Richtig. Aber das Vertrauen welches die Leute in
AV-Hersteller haben wird von denen mittlerweile weidlich ausgenutzt.
Und gerade bei Norton (damals Symantec) ist mir bitter aufgestoßen daß meine gesamte Seite mehrfach von denen als bösartig gelistet wurde, weil einzelne Programme (übrigens quelloffen mit beiliegendem Quelltext) als bösartig erkannt wurden. Nun, erst einmal behaupte ich daß die
nicht bösartig waren. Mit gleichem Recht könnte man ein Warenkaufhaus dichtmachen, weil es eine Abteilung hat in der Küchenmesser oder Baumarktartikel verkauft werden. Die korrekte Einordnung war und ist PUA/PUS (potentially unwanted application/software). Also Software bei der von einer Bösartigkeit pauschal nicht die Rede sein kann. Aber Nuancen kennen diese selbsternannten modernen Internetpolizisten nicht. Genau wie sie offenbar nicht einzelne URLs, sondern nur ganze Domänennamen inklusive Unterdomänen blockieren können. Das nervt!
Und dann gibt es noch ne Menge Schlaubi-Schlümpfe die sich bar jeder eigenen Fachkenntnis diese "Einschätzung" der Bösartigkeit von "reputablen Anbietern" für ihre eigenen Dienste borgen. Da wird es dann noch bizarrer, weil diese Leute mit fachlichen Argumenten nix anzufangen wissen. Die
behaupten einfach basierend auf der Einschätzung anderer die Bösartigkeit und könnten, würde man ihnen ne Schußwaffe an die Stirn halten, beim besten Willen nicht einmal erklären was eine
PE-Datei ist. Im Glücksfall wird man dann an Leute von der eigentlichen Quelle der "Einschätzung" durchgereicht. Aber das alles kostet viel Nerven und Lebenszeit. Kein Wunder daß diese ganzen werbeverseuchten Webseiten mit "gutem Leumund" inzwischen das Web dominieren, wenn kleine unabhängige Webseitenbetreiber auf diese Weise kaltgestellt werden.
Wenn man für sich selbst (oder als Admin für seine Firma) entscheidet ob man einem bestimmten Hersteller mehr oder weniger vertraut, hat das eben
eine andere Reichweite als wenn man damit einen Dienst hochzieht und anbietet der Urteile über Webseiten fällt ohne daß man selbst auch nur ansatzweise fachlich in der Lage ist eine Beweisführung über die Behauptung anzutreten.
Zum Glück für diese -- sagen wir mal -- Anbieter, ist das Internet in dieser Hinsicht in der Tat ein rechtsfreier Raum. Rufmord durch Internetpolizisten ist sogar en vogue.
Wenn du per Default kein JS ausühren lässt (uMartix), sollte das kein Problem sein.
Wie soll das dabei helfen, einen serverseitig kompromittierten Download von einem Server zu erkennen?
Überhaupt nicht!
Aber wer auf seinem
Server überhaupt solche Downloads aus nicht vorher geprüften Quellen ausführt, hat ganz andere Probleme! Schon von SRP und AppLocker gehört? Und dann halt Silos/AppContainer auf modernen Windowsversionen ...