Symantec meint Antivirus-Software ist tot - Seite 3

Seite 3 von 8 - Forum: Applications, Apps & Drivers auf overclockers.at

URL: https://www.overclockers.at/applications/symantec-meint-antivirus-software-ist-tot_238903/page_3 - zur Vollversion wechseln!

Neo-=IuE=- schrieb am 08.05.2014 um 08:04

daisho schrieb am 08.05.2014 um 11:16

Zitat von XXL
ja, das trifft schon alles zu, aber wie würdet ihr z.b. idioten davon abhalten anhänge auszuführen die eine exe-endung hat?

Problem ist es vor allem wenn User Administratorrechte haben, dann kann quasi alles passieren und da rettet dich kein Programm davor (theoretisch).

Wuerde mal nach HIPS suchen.

FX Freak schrieb am 08.05.2014 um 11:21

unter mac osx verwende ich keinen virenschutz, früher hab ich eigentlich auch nur antivir benutzt, bzw. die letzten jahre eigentlich überhaupt nichts mehr, außer eben die ganzen windows integrierten "features", hatte aber auch schon gut 8 jahre keine probleme damit.

NeM schrieb am 08.05.2014 um 11:59

Zitat von luka
Als Schlangenöl bezeichnet man ein Produkt, das Wunder verspricht, aber sie nicht halten kann.

Auf Antivirenprogramme trifft das zu:
Unlösbares Problem: Es ist unmöglich ein Programm zu schreiben, das verlässlich feststellen kann, ob ein beliebiges anderes Programm schädlich oder sicher ist.
Nicht überprüfbare Qualität oder Nutzen
Falscher Ansatz: Blacklist statt Whitelist
Kann auch Schaden verursachen: False Positives - Systemdatei als Malware erkannt?
Vergrößert die Angriffsfläche: Antivirenprogramme werden immer komplexer. Dabei werden sie oft als ein privilegierter Benutzer ausgeführt und sind tief im System verankert. Auch hier gibt es Sicherheitslücken.

Und was haben die genannten Punkte konkret mit der Definition von Schlangenöl zu tun? Müsste ein Scanner ned im Regelfall (!) versagen, wenn er Schlangenöl wäre?

Zitat
Schlangenöl ist (hauptsächlich im Bereich von Software) die Bezeichnung für ein Produkt, das wenig oder keine echte Funktion hat, aber als Wundermittel zur Lösung vieler Probleme vermarktet wird.

Im Übrigen erwarte ich bei einem Auffahrunfall mit 200 km/h auch ned, dass der Gurt mir den Hintern rettet. Ihn deswegen als nutzlos zu bezeichnen, wär aber schlichtweg dumm.

DAO schrieb am 08.05.2014 um 12:15

Zitat von NeM
Und was haben die genannten Punkte konkret mit der Definition von Schlangenöl zu tun? Müsste ein Scanner ned im Regelfall (!) versagen, wenn er Schlangenöl wäre?

Im Übrigen erwarte ich bei einem Auffahrunfall mit 200 km/h auch ned, dass der Gurt mir den Hintern rettet. Ihn deswegen als nutzlos zu bezeichnen, wär aber schlichtweg dumm.

kann ich so unterschreiben.

ad versagen:

ich erhalte täglich emails der av verwaltungs systeme welche trojaner/viren/wwi die lieben user sich mittels usb sticks/cds oder beim browsen bzw. auf den android handys durch lustige apps eingefangen hätten und daher geblockt bzw. die dateien bereinigt wurden.

zB.:

Code:

A threat was found by a scan. To see more information, find computer CL-xxx-xxx in the Protected Computers list in the xxx Business console and double click on it.

Site:		SRV-xxxx-xxx
Policy:		AT-VIE-xxx
Computer:	CL-xxx-xxx
Found at:	08.05.2014 09:33
Threat Name:	Trojan.xxx

ich verwende ausschliesslich business versionen kostenpflichtiger av solutions mit zentralen management (beruflich und privat sauber lizensiert).

zusätzlich werden die user (auch die unbelehrbaren) informiert wie sie sich bei der nutzung von externen medien sowie beim browsen verhalten sollen.

je nach kunde/standort muss zusätzlich zum dienstvertrag eine security policy unterschrieben werden (welche nicht nur den umgang mit den arbeitsgeräten regelt).

leider kann man nicht einmal von externen lieferanten saubere datenträger erwarten.

edit:

das eine av solution nicht das einzige ist, um "feinde fern zu halten" sollte auch jedem klar sein.

das hier auf seiten von mailservern/proxies/firewalls/browserseitig(plugins/gruppenrichtlinien...)/benutzerberechtigungen ebenso etwas getan werden muss ist wohl (oder hoffentlich) auch klar und daher besteht ein security konzept auch aus etwas mehr als nur einem virenschutz.

XXL schrieb am 08.05.2014 um 12:47

Zitat von daisho
Problem ist es vor allem wenn User Administratorrechte haben, dann kann quasi alles passieren und da rettet dich kein Programm davor (theoretisch).

Wuerde mal nach HIPS suchen.

auch ohne admin-rechte können sich user mit einem virus ihr ganzes profil ruinieren, selbst den leuten sagen sie sollen das und das nicht machen funktioniert eben nicht bei allen, klar sind auch andere sicherheitssysteme im einsatz, aber trotzdem würde ich nicht sagen wir könnten auf den virenscanner verzichten ...

Als einzige sicherheitsmassnahmen nur einen virenscanner zu haben wäre schon fahrlässig, aber auch komplett drauf verzichten wärs imho auch ...

COLOSSUS schrieb am 08.05.2014 um 13:31

Gibt's keine zuschaltbare Policy, die das Ausfuehren nicht-signierter, nicht-abgesegneter (auf Basis einer _Whitelist_) Binaries auf Windows-Hosts verbietet?

Obermotz schrieb am 08.05.2014 um 13:34

Afaik schon, aber ein Rename der Datei hilft im Normalfall

userohnenamen schrieb am 08.05.2014 um 13:35

ja gibts schon, per GPO kannst eigentlich per whitelist arbeiten, is aber sicher mühsam wenn man das nicht ordentlich durchzieht
@obermotz: ich glaub mich erinnern zu können das man auch per hashwert arbeiten kann

DAO schrieb am 08.05.2014 um 13:47

whitelisting:
http://www.techrepublic.com/blog/wi...c-applications/

Blacklisting / software restriction policies:
http://windowsitpro.com/windows/how...fic-application

http://technet.microsoft.com/en-us/...008.06.srp.aspx

COLOSSUS schrieb am 08.05.2014 um 13:57

Zitat von Obermotz
Afaik schon, aber ein Rename der Datei hilft im Normalfall

Wenn alles, was nicht explizit in einer Whitelist erlaubter UNC-Pathnamen drinsteht, nicht ausgefuehrt werden darf, und der User die Binaries an diesen Orten nicht ueberschreiben darf, sollte das doch kein Problem sein? Das ist eigentlich der Sinn einer Whitelist.

Hashvergleiche sind halt PITA bei Updates.

Ein echtes MAC-System wie SELinux mit Security Labels und einem Transitionssystem zwischen ebensolchen kann man dadurch natuerlich nicht ersetzen oder abbilden, aber besser als nix (bzw. nix plus "a false sense of security" in Form von AV) ist es allemal.

XXL schrieb am 08.05.2014 um 14:10

Es gibt auch was von ms:
http://technet.microsoft.com/en-us/...y/dd759117.aspx

aber selbst sowas kann lücken haben und die frage ist was mehr verwaltungsaufwand ist, die liste aktuell zu halten und eventuell für einzelne user was freischalten oder einen virenscanner verwalten?

Chrissicom schrieb am 08.05.2014 um 22:38

NoScript und ähnliche Tools mit ein bisschen Intelligenz sind wesentlich sinnvoller als jeder Virenscanner. Viren im herkömmlichen Sinne gibt es sowieso eher selten, XSS, DNS Manipulation, Phishing usw. sind da schon deutlich häufiger und da hilft ein Virenscanner auch nicht. Habe zwar Security Essentials installiert (Windows 7, das 8er verwende ich nicht mehr), aber sehr viele Ordner in die "Exclusion List" gesetzt, insbesondere Spiele á la Minecraft die häufige Dateizugriffe haben.

davebastard schrieb am 08.05.2014 um 23:47

hab auch nur den security essentials auf meiner windows partition laufen. hauptsächlich aber aus dem grund weil bei der windows-install die windows updates nie auf dem aktuellen stand sind (die windows partition wird nur sehr selten gebootet)

geld ausgeben würd ich für antivirus aber nicht, dafür find ichs auch zu wirkungslos. außerdem sind die meisten usability,design und resourcentechnisch ein horror.

Luka schrieb am 09.05.2014 um 11:24

Zitat von NeM
Im Übrigen erwarte ich bei einem Auffahrunfall mit 200 km/h auch ned, dass der Gurt mir den Hintern rettet. Ihn deswegen als nutzlos zu bezeichnen, wär aber schlichtweg dumm.

Ich finde den Vergleich nicht passend. Nach einem Unfall könnte man vermutlich eine Aussage treffen, ob der Gurt geholfen hat oder nicht.

Wenn das Antivirenprogramm keinen Alarm anzeigt, hast du dann keine Schadsoftware am System oder wurde sie übersehen?