Norton 21.0 Beta Einstellungen

[ciacomo]

Sehr interessante Einschätzung, SLE.
Die (wenigen) Testergebnisse die zu Norton zu finden sind, sind doch aber überzeugend.
Aber die Jagd nach der 100% Marke .Wie aussagekräftig sind die Ergebnisse für den User bei der täglichen Nutzung des Pc.
Aber solche Diskussionen hatte wir schon oft.

Kombination Norton + Sandboxie ist doch mehr als ausreichend.(Ok, einige User verzichten da sogar auf das AV )
Im Gegensatz zu einigen anderen Mitbewerbern läuft Norton einfach und ist von der Performance sehr gut.

VG

Der Beitrag wurde von ciacomo bearbeitet: 17.09.2013, 08:28

[Ghost]

Auch hier wird der Großteil dem gigantischen Reputationssystem untergeordnet und reduziert.

Es ist richtig, dass die Reputation aufgrund des vorhandenen Datenvolumens mittlerweile den meisten anderen Technologien vorgeschaltet wird. Dennoch bedeutet dies im Umkehrschluss nicht, dass sie nicht vorhanden sind und ihren Anteil am Schutz des Systems tragen.

Überall greifen Automatismen, die versuchen zu klassifizieren - anderes wird man der Flut an Dateien nicht Herr. Spannend ist die Frage wie man vorgeht, wenn diese Automatismen eben keine eindeutige Zuordnung bringen.

Die Prozesse der automatisierten Fileanalyse sowie der Bereitstellung von entsprechenden Signaturen sind ausgereift. Sollte es vorkommen, dass eine Datei weder als schädlich, noch als sicher eingestuft werden kann, verwendet Symantec häufig das Cluster "Suspicious Cloud". Dies kommt jedoch in seltenen Fällen vor.
Wenn wir über die Signaturenstärke von Symantec diskutieren wollen, dann doch viel mehr darüber, ob intelligente Signaturen einen Vor- oder Nachteil bringen? Die Zeiten, in denen 150 Mitarbeiter/innen neue Samples einpflegen, sind längst vorbei.


@ciacomo
Norton AntiVirus plus Sandboxie plus eingeschränktem Benutzerkonto reichen als Basisschutz vollkommen aus. Die andere Gefahr sitzt dann eher vor dem Bildschirm.

[SLE]

Es ist richtig, dass die Reputation aufgrund des vorhandenen Datenvolumens mittlerweile den meisten anderen Technologien vorgeschaltet wird. Dennoch bedeutet dies im Umkehrschluss nicht, dass sie nicht vorhanden sind und ihren Anteil am Schutz des Systems tragen.

Wer hat denn den Umkehrschluss behauptet? Sogar die HIPS-Verfechter kommen bei Symantec, wenn sie die Firewall entsprechend einstellen voll auf ihre Kosten.
Aber größere Investitionen werden dabei eben nicht mehr vorgenommen, Heuristiken, generische Signaturen etc. da ist Symantec bestenfalls noch Mittelmaß.

Die Prozesse der automatisierten Fileanalyse sowie der Bereitstellung von entsprechenden Signaturen sind ausgereift. Sollte es vorkommen, dass eine Datei weder als schädlich, noch als sicher eingestuft werden kann, verwendet Symantec häufig das Cluster "Suspicious Cloud". Dies kommt jedoch in seltenen Fällen vor.

Zum Thema "ausgereift". Bei einem anderen Riesen der Branche wo ich Einblick haben durfte spricht man von 90-95% den die Automatismen (Sandboxen etc.) klassifizieren können. Klingt viel? Ja, aber schon bei 10000 Dateien blieben da mind. 500 über. (Und die Hersteller haben weitaus mehr täglich zu analysieren) Und dann ist die Frage haue ich einfach ein Label drauf wie "verdächtig, weil kenne ich nicht" (auch wenn da etwas(!) mehr hereinspielt) oder werden die Dinger analysiert. Und dazu braucht man eben auch manpower und da reichen die paar Leute eben nicht. Ja die 150 Mitarbeiter Zeiten für Signaturenerstellung sind vorbei - für die einen nach unten, für andere aber auch nach oben ;-)

Wenn wir über die Signaturenstärke von Symantec diskutieren wollen, dann doch viel mehr darüber, ob intelligente Signaturen einen Vor- oder Nachteil bringen?

Was hat das mit Siganturenstärke zu tun? Intelligent ist bei Symantec vor allem eine Form der Bereitstellung - nur für aktuell verbreitete Schädlinge. Meines Erachtens ausreichend.
ABER - Signaturenstärke ist etwas ganz anderes: Reaktionsschnelle, Generiken, Heuristiken, Passgenauigkeit auf viele Varianten, geringen FP Anfälligkeit etc.

Und da gibt es Hersteller wie Kaspersky, Avira, ESET, Bitdefender - um die TOP 4 zu nennen, auf welche die Branche da schaut. Und da steht auch manpower dahinter.

Ich sage nicht, dass Symantec schlecht ist - im Gegenteil ich halte NIS/NAV für eine der geeignetesten Lösungen für Heimanwender. Aber sie
(a) gehen einen anderen Weg als andere (den sie am massivsten gehen, sie haben ja auch die meisten Kooperationen bzgl. "Daten" - die Clouds werden ja nicht nur mit selbst erhobenen Sachen gefüttert, ne)
(b) gehören mit Sicherheit nicht zu den signaturstärksten. Die Frage ob man das bei dem von Symantec gewählten Ansatz muss, würde ich jedoch verneinen.

[Ghost]

ABER - Signaturenstärke ist etwas ganz anderes: Reaktionsschnelle, Generiken, Heuristiken, Passgenauigkeit auf viele Varianten, geringen FP Anfälligkeit etc.

Ich gehe mit Deinen Ausführungen konform. Als ich von „Signaturenstärke“ sprach, hatte ich eher quantitative, als qualitative Dimensionen im Hinterkopf. In diesem Falle wären wir bei der Diskussion um die Sinnhaftigkeit intelligenter Bereitstellungen, die nun überflüssig ist.

Dass Symantec in seinen Produktserien einen anderen Ansatz wählt, als viele Konkurrenzunternehmen, ist unbestritten. Sie haben, wie du beschrieben hast, die notwendigen Voraussetzungen dafür geschaffen. Ohne diese Grundlagen würde ein solcher Technologieeinsatz wenig Sinn machen.

Nach wie vor sehe ich den einzigen großen Nachteil in der funktionalen Abhängigkeit von aktiven Netzwerkverbindungen. Ansonsten bin ich ebenso davon überzeugt, dass Symantec derzeit vieles richtig macht.

[Alister]

Auch bei Alisters Test sieht man in den VT Scans (wenn man an der richtigen Stelle unter "zusätzliche Informationen" schaut ;-)), dass Symantec hier von Anfang an eine Reputationsbewertung (Suspicious.Insight) vorliegen hatte.

Stimmt - habe ich auch gesehen, allerdings nur bei VT.... Daher meine Frage, weiß jemand inwiefern diese Bewertung irgendwie in die Scans, etc. einfließt? :S
Diese "inkonsistente" Erkennung wird auch zunehmend in den Norton Forums kritisiert.

Außerdem ein gibt es ein Update, das nicht über LiveUpdate verfügbar ist - komische Sache: Link

[Enthusiast]

Außerdem ein gibt es ein Update, das nicht über LiveUpdate verfügbar ist - komische Sache: Link

Das ist ein ganz spezielles Update und wird von der NSA bereitgestellt .

Der Beitrag wurde von Enthusiast bearbeitet: 26.09.2013, 12:27

[Tiranon]

Hallo,

ich möchte nicht extra ein neues Thema eröffnen vielleicht kann mir hier auch jemand helfen.

Ich muss die Tage meinen PC neu aufsetzen, ist es irgendwie möglich die paar Passwörter in "Norton Identity Safe" vorher zu sichern, wenn ja, wie geht das?

Vielen Dank

[LaXoR]

Sind mit deinem Norton Account verbunden und automatisch wieder verfügbar nach deiner Neuinstallation

Alternativ: In der Norton Idendity Safe App unten auf das "Einstellungsrädchen" klicken und unter Import/Export deine Einträge exportieren.

Angehängte Datei(en)

 NIS.jpg ( 46.56KB ) Anzahl der Downloads: 13

 

[Tiranon]

Dank Dir, neue SSD ist drin, Windows 8.1 frisch installiert und die Passwörter sind auch noch da ;-)

Eine Frage hätte ich aber noch zu Norton, kann man mit der neuen Version sowas wie eine Live-CD brennen oder ist diese Funktion ganz weggefallen?

[olli]

Mal zum Thema Erkennung.

Ich habe in den letzen paar Tagen mal mit ein paar Ransoms und diesen Typischen Crptotrojaner herungespielt. Dabei schlägt sich Norton besser also BitDefender. An dem Trojanertest aus der c´t aus dem Frühjahr scheint also was dran zu sein....

Bis denne
Olli

[Alister]

Eine Frage hätte ich aber noch zu Norton, kann man mit der neuen Version sowas wie eine Live-CD brennen oder ist diese Funktion ganz weggefallen?

Schau mal hier: https://security.symantec.com/nbrt/nbrt.aspx

Mal zum Thema Erkennung.

Ich habe in den letzen paar Tagen mal mit ein paar Ransoms und diesen Typischen Crptotrojaner herungespielt. Dabei schlägt sich Norton besser also BitDefender. An dem Trojanertest aus der c´t aus dem Frühjahr scheint also was dran zu sein....

Bis denne
Olli

Das ist für mich gut zu hören
Kannst/Willst du auch eventuell weitere Test-Ergebnisse (Anzahl erkannter Samples, etc.) veröffentlichen, Olli?

[olli]

Es gibt da eine Seite, die regelmäßig Ransoms als Videos getarnt, verteilt. Die Files wechseln mehrmals täglich.

VORSICHT!!!
hXXp://5.254.101.58/40/movie1080p.mkv.exe

Hier ist das vtt Ergebnis des Files von heute:
https://www.virustotal.com/de/file/926d6863...sis/1383995296/

Die Erkennung sieht als nicht rosig aus.

Aber: Norton erkennt die Seite per IPS und sperrt die Seite komplett. Wenn man den Browserschutz deaktiviert und dann das File herunterlädt, meldet sich Sonar und löscht die Datei als nicht sicher. Norton arbeitet hier also auch ohne Signaturerkennung ganz gut. (Und die schlechte Signaturerkennung wird Norton ja immer angelastet).

BitDefender erkennt die Seite als Malwareverseucht, wobei hier nur per URL geblockt wird. Hier kann man die Blockierung ja ignorieren und das File herunterladen. Wobei BitDefender in den letzen 4-5 Tagen, in dem ich die Seite regelmäßig besuche noch nie ein frisches Sample erkannt hat.

GData schlägt sich hier anders, wenn auch nicht besser. Es blockt nicht die URL, erkennt aber immer öfter die Files per Signaur mit der Engine (B) (Close Gap).

Bis denne
Olli

[simracer]

olli, besagte Webseite hatte ich auch schon mal in einem anderen Teil des Forums erwähnt: http://www.rokop-security.de/index.php?s=&...st&p=377685. Ich wundere mich aber ehrlich gesagt, warum die Seite noch nicht offline genommen wurde und so jetzt immer noch eine mögliche Gefahr darstellt.

Der Beitrag wurde von simracer bearbeitet: 09.11.2013, 12:51

[SLE]

Stellt doch keine Gefahr da, da es keine Seite ist wo jemand von sich aus drauf kommt. Solche "Testseiten" gibt es zu hauf.

Die Testcases die hier aufgelistet werden (VT für Signaturerkennung, ganze Seite geblockt >> was ist wenn das selbe File auf einer anderen Seite liegt, Stream Scanner...) taugen nichts um irgendwas über die Produkte auszusagen, sondern sind fehlerhafte Spielereien.

Einzig herunterladen und ausführen wäre ein guter Test. Wenn das ganze dann noch verhaltensbasiert erfolgt, hat man die Gewissheit, dass ein Produkt zuverlässig ist.

Der Beitrag wurde von SLE bearbeitet: 09.11.2013, 12:56

[simracer]

Einzig herunterladen und ausführen wäre ein guter Test. Wenn das ganze dann noch verhaltensbasiert erfolgt, hat man die Gewissheit, dass ein Produkt zuverlässig ist.

Wurde schon mehrfach in einem anderen Forum(nein nicht CB ist gemeint damit)gemacht und wir tauschten uns dort darüber aus wie unsere Virenschutz Programme schützten oder auch nicht.

[SLE]

Wurde schon mehrfach in einem anderen Forum(nein nicht CB ist gemeint damit)gemacht und wir tauschten uns dort darüber aus wie unsere Virenschutz Programme schützten oder auch nicht.

I know. Die "Tests" die ich von dir dazu für OA kenne, zählen aber schon das Popup "kenne das File nicht" als Schutz und das HIPS wird somit gar nicht getestet...

[simracer]

Du weisst so einiges nicht SLE .......zum Beispiel reagierte auch das "damals" noch verwendete Avast Free ohne OA Free vorbildlich und ließ die Infektionen bei fast allen(nicht bei allen)"eingesetzten" Ransom Varianten nicht zu und mein System wurde nicht infiziert. AVG hingegen(mit dem ich weit weniger Files getestet habe)hatte gegen jeweils neue Ransoms von der dortigen Webseite meistens keine Chance und päng war der Sperrbildschirm da nach ungefähr 15 Sekunden.

Der Beitrag wurde von simracer bearbeitet: 09.11.2013, 13:12

[olli]

Einzig herunterladen und ausführen wäre ein guter Test. Wenn das ganze dann noch verhaltensbasiert erfolgt, hat man die Gewissheit, dass ein Produkt zuverlässig ist.

Das hat hier mal jemand auf youteube für GData gemacht...
http://www.youtube.com/watch?v=RdBIPWMIoBc

Bis denne
Olli

[simracer]

zählen aber schon das Popup "kenne das File nicht" als Schutz und das HIPS wird somit gar nicht getestet...

Es kamen von OA auch rote Fenster in denen eindeutig stand das es ein Virus sei und deutlich drin stand das man die Datei nicht Ausführen/Zulassen solle. Bei wiederum anderen Varianten wurde das Ausführen des Ransom Files von OA ohne OA Fenster gesperrt/verboten und es kam "nur" das entsprechende Hnweisfenster von Windows und bei OA in den Einstellungen sah man das das File gesperrt/verboten wurde.

[Gast_florian5248_*]

Du weisst so einiges nicht SLE wink.gif .

simracer, das muss ich jetzt mal los werden. Was du hier weißt, hast du von SLE in mühevoller Kleinarbeit.

Woher ich das weiß, habe ich hier über Monate live erlebt.

Stellt doch keine Gefahr da, da es keine Seite ist wo jemand von sich aus drauf kommt. Solche "Testseiten" gibt es zu hauf.

Die Testcases die hier aufgelistet werden (VT für Signaturerkennung, ganze Seite geblockt >> was ist wenn das selbe File auf einer anderen Seite liegt, Stream Scanner...) taugen nichts um irgendwas über die Produkte auszusagen, sondern sind fehlerhafte Spielereien.

Einzig herunterladen und ausführen wäre ein guter Test. Wenn das ganze dann noch verhaltensbasiert erfolgt, hat man die Gewissheit, dass ein Produkt zuverlässig ist.

Dem stimme ich voll zu. Egal.