Hat schon jemand das a-squared IDS getestet? Einstellungen

[emsi]

Hallo,

seit der Bekanntmachung des neuen IDS Systems in a-squared Personal 1.6 ist ja nun schon eine Weile vergangen. Hat sich denn schon jemand die Zeit genommen, die Effektivität des Systems ordentlich zu testen?

Es geht nicht um die Leistung des Scanners, sondern um das Verhaltens-Analyse Modul, das jegliches Malware Verhalten sofort aufzeigt.

Es handelt sich dabei jedoch nicht um eine Heuristik im klassischen Sinne, die nach bekannten Mustern in den Dateien sucht, sondern um eine echte Verhaltensanalyse.

Das heißt, daß der Wächter live das Verhalten aller aktiven Programme überwacht. Sobald ein Programm ein Malware ähnliches Verhalten zeigt, wird es gestoppt. Der Benutzer entscheidet dann, ob er dem Programm vertrauen will oder es lieber beenden oder löschen möchte.

Eine ähnliche Technologie gibt es bisweilen nur in Panda TruPrevent, jedoch arbeitet a-squared wesentlich effizienter bei der Erkennung von Trojanern, Würmern, Dialern und Spyware.

Diese Technik kann zwar nicht sagen, welcher Trojaner, Dialer, etc. es ist, aber es kann sagen, DASS es ein Trojaner, Dialer, etc. ist. Und das ohne tägliche oder stündliche Updates der Referenz-Daten. Man ist auch in der kritischen Zeit zwischen dem ersten Auftreten einer neuen Malware bis zum Update der Signaturen geschützt. Ein Vorteil, den sonst kaum eine Sicherherheitssoftware, egal ob Antivirus oder Anti-Trojaner, bieten kann.

Da vereinzelt gutartige Programme sehr stark Malware ähnliches Verhalten aufweisen, sind die Warnungen natürlich nie 100%ig. Jedoch läßt das IDS dafür auch sonst nichts durch, das von einem Virenscanner mit Signaturen-Scan nicht erkannt wird. Die Software ist somit als Zwischending zwischen Firewall und Virenscanner anzusehen. Man definiert Regeln welche Programme gestartet werden dürfen bzw. nicht, ähnlich einer Firewall. Und man kann Malware direkt erkennen, wie es eine Antiviren-Software kann. Jedoch wesentlich sicherer.

Kostenloser Download der Testversion unter www.emsisoft.de

Was ist Eure Meinung dazu?

[SkeeveDCD]

Die IDS verwendet die Madshi Hooking Lib, wenn ich mich richtig erinnere.

Diese lässt sich problemlos von Malware umgehen, da das Hooking nur im User Modus stattfindet.


Der Beitrag wurde von raman bearbeitet: 06.05.2005, 13:54

[JoJo]

Also wenn in einem Sicherheitsprodukt eine externe dll für Systemkritische Aktionen verwendet wird, dass dann diese Schutzfunktionen wohl theoretisch vielleicht schnell überlistet werden können und dann wiederrum diese Madshi Sachen auch von malware Codern für ihre Zwecke benutzt so wirkt es im Moment auf mich nicht gerade überzeugend. Dann noch die Versprechen und Ankündigungen des Entwicklers in der Vergangenheit und die Ernüchterung zeigen dann auch ein anderes Bild.

[emsi]

Erstens handelt es sich nicht um die originalen Madshi Funktionen, sondern um speziell umgebaute.

Zweitens würde der Wächter ebenso die Installation eines Treibers melden, der versucht, die Hooks zu umgehen. Gleiches gilt für jegliche Manipulationsversuche am Programm selbst.

Sollte eine Malware bekannt werden, die das System umgehen kann, werden wir entsprechende Updates bereitstellen. Fakt ist, daß es bis jetzt keine Malware gibt, die um den Schutz herum kommt. An jedem Gegenbeweis bin ich sehr interessiert.

Es ist interessant zu sehen, wie schnell die Meinungen der Leute hier extrem abwertend und negativ dem Produkt gegenüber geschrieben sind, obwohl keiner etwas besseres vorweisen kann.

Ich möchte eigentlich eine objektive Diskussion zur IDS Technologie von a-squared und nicht die Fehler der Vergangenheit aufwärmen. Ob das wohl hier möglich ist?

[theonly]

Es ist interessant zu sehen, wie schnell die Meinungen der Leute hier extrem abwertend und negativ dem Produkt gegenüber geschrieben sind, obwohl keiner etwas besseres vorweisen kann.

Ganz so drastisch würde ich es jetzt nicht formulieren, die Leute sagen eben nur, was sie denken; schließlich sind die wenigsten Leute Programmierer von Sicherheitssoftware (nun ja... ich schon, aber das ist ein anderes Thema). Wir Entwickler haben eben mit solchen Äußerungen zu leben und dürfen es nicht persönlich nehmen.

Aber nun, kommen wir zur eigentlichen Antwort auf das Thema hier:
Auch ich habe mal IDS getestet und muss sagen, dass es sehr sensibel ist, denn sowohl Firefox als auch Thunderbird werden als "möglicher Wurm" erkannt. Selbst securepc project 2005 wurde "trojanerähnliches Verhalten" (ich meine, das sei es gewesen) vorgeworfen.

Dennoch finde ich die Idee sehr gut.

[emsi]

Der Alert bei Firefox kommt u.a., weil Firefox noch bevor die Oberfläche angezeigt wird, eine Verbindung ins Netz aufbaut. Das deutet auf einen versteckten Datentransfer d.h. Spyware hin.

Das Problem der zu sensiblen Erkennung ist uns bekannt und daher arbeiten wir derzeit an einer Lösung, die solche 'Fehlalarme' die ja eigentlich keine sind, verhindert.

Wobei es immer noch besser ist 2-3 Alerts zu viel zu bekommen, als eine Malware installiert zu bekommen. Im Endeffekt muß immer der Benutzer entscheiden, ob er der gestarteten Software vertraut. Wenn jemand ein bekanntes Programm wie Firefox startet und einen Alert bekommt, ist es recht eindeutig, daß man dem Programm vertrauen kann.

Wenn jedoch so ein Alert während der normalen Arbeit oder beim Surfen im Web auftaucht, wird ein Benutzer sicher vorsichtiger reagieren und sich genau anschaun, welcher Prozess denn da gemeldet wurde.

Letztlich kann man den Guard mit einem Türsteher vergleichen. Der Türsteher checkt auch erstmal ob die Leute an der Tür gefährlich aussehen und untersucht sie evtl. auch noch. Jedoch entscheidet immer der Hauseigentümer, ob jemand drin bleiben darf oder nicht.

[theonly]

Wobei es immer noch besser ist 2-3 Alerts zu viel zu bekommen

Sehe ich auch so.

[Manu]

Wobei es immer noch besser ist 2-3 Alerts zu viel zu bekommen
[right][snapback]91827[/snapback][/right]

Dann bleibt es jedoch eine Lösung für Leute, die sich mit dem Thema auskennen und beschäftigen.
...und diese brauchen eigentlich das Ganze nicht, da sie sich ja auskennen.

[emsi]

- Wer schützt deinen PC in der Zeit vom ersten Auftreten einer neuen Malware bis zur Verfügbarkeit einer Signatur im Antiviren-Programm?

- Wer schützt deinen PC vor Malware, die generell von keinem Scanner erkannt wird? Stichwort: rebasing.

- Wer schützt deinen PC vor (noch) unbekannten Sicherheitslücken in Windows, die von einem bestimmten Angreifer ausgenützt wird, um dir ein Rootkit einzupflanzen?

Klar kann man sagen, daß man kein Antiviren-Tool braucht und auch nichts unbekanntes startet, aber vor Lücken in der verwendeten Software schützt dich das auch nicht. Selbst die neuesten CPU features oder externe Firewalls können das auch nur bis zu einem gewissen Grad.

Wie schützen die 'Leute die sich auskennen' ihren PC heutzutage?

Der Beitrag wurde von emsi bearbeitet: 06.05.2005, 16:16

[wizard]

Wie schützen die 'Leute die sich auskennen' ihren PC heutzutage?
[right][snapback]91847[/snapback][/right]

Jedenfalls nicht mit a-squared...

wizard

[Visitor]

Wie schützen die 'Leute die sich auskennen' ihren PC heutzutage?
[right][snapback]91847[/snapback][/right]

Gute Frage, ich bin mal gespannt auf die Antworten.
Hoffentlich kommt nicht wieder der Kalauer mit der "berühmten Zange".

[emsi]

Jedenfalls nicht mit a-squared... 

Gibts dafür jetzt auch irgendeine objektive Begründung? Außer daß wir in der Vergangenheit ein Problem mit unseren Ankündigungen hatten und dadurch wohl deine Sympathie verloren haben?

[Gast_Andreas Haak_*]

Die IDS verwendet die Madshi Hooking Lib, wenn ich mich richtig erinnere.

Diese lässt sich problemlos von Malware umgehen, da das Hooking nur im User Modus stattfindet.
[right][snapback]91807[/snapback][/right]

Wo ist jetzt effektiv der Unterschied ob ich eine SDT überschreibe oder die Anfangsbytes einer Routine? Sowohl Kernel Mode Hooking als auch User Mode Hooking sind nicht unfehlbar. Ob ich jetzt verbiete bestimmte Bereiche des Speichers beschreibbar zu machen oder verbiete über \\device\physicalmemory direkt in den Speicher zu schreiben macht wenig Unterschied.

Aus Deinen Suspicious Zeiten solltest Du selbst wissen, das präventiver Schutz über Hooks (egal ob man INTs verbiegt oder APIs überschreibt) immer ein ewiges Katz- und Mausspiel ist.

Sobald jemand einen Weg vorbei findet, passt man es an. Fertig.

Der Beitrag wurde von Andreas Haak bearbeitet: 06.05.2005, 16:57

[SkeeveDCD]

Bei Madshi hat die Malware bereits Schreibzugriff auf den Bereich der gepatched werden muss - der Hook/die DLL ist ja schliesslich im Malware-Prozess. Die Malware braucht nicht in den Ring0 um den Schutz zu umgehen.

Um Kernel-Hooks zum umgehen muss die Malware erstmal ins Kernel kommen - das lässt sich wesentlich sicherer abfangen.

Ich habe ein wenig mit der Madshi Lib rumexperimentiert - und ich kann beim besten Willen keinen Schutz empfehlen der darauf basiert.
Man muss klar sagen, jemand der sich mit so einen unsauberen Lösungsansatz zufrieden gibt, ist entweder faul oder schafft es nicht, ein richtiges Framework auf Treiber-Ebene zu programmieren.

[Heike]

Wobei es immer noch besser ist 2-3 Alerts zu viel zu bekommen, als eine Malware installiert zu bekommen. .....
Wenn jedoch so ein Alert während der normalen Arbeit oder beim Surfen im Web auftaucht, wird ein Benutzer sicher vorsichtiger reagieren und sich genau anschaun, welcher Prozess denn da gemeldet wurde.
[right][snapback]91827[/snapback][/right]

Nunja, wenn ich mal von meinem Mann ausgehe, der klickt alle Warnmeldungen weg, weil sie ihn einfach stören. Das Verhalten ist sicherlich nicht unüblich.

- Wer schützt deinen PC in der Zeit vom ersten Auftreten einer neuen Malware bis zur Verfügbarkeit einer Signatur im Antiviren-Programm?

Der, der es sonst auch macht. Ich nutze kein AV-Programm.

- Wer schützt deinen PC vor (noch) unbekannten Sicherheitslücken in Windows, die von einem bestimmten Angreifer ausgenützt wird, um dir ein Rootkit einzupflanzen?

Ein Angreifer von außen muß einen offenen Port finden, sonst ist da eher nichts möglich. Von innen, meist werde ich "klicken" müssen, also bin ich da das Sicherheitsrisiko für meinen PC. Ich habe noch nie etwas eigenständig ohne Klicken installiert bekommen, ich stelle mich da wohl zu blond an oder diese immer beschriebene Möglichkeit dient nur der Panikmache.

Klar kann man sagen, daß man kein Antiviren-Tool braucht und auch nichts unbekanntes startet, aber vor Lücken in der verwendeten Software schützt dich das auch nicht.

Ich nutze bei nicht vertrauenswürdigen Downloads meinen Testrechner. Ich vertraue lieber mir als irgendwelcher Software. Ich gehe davon aus, dass jede Software zu umgehen ist, deshalb vertraue ich keiner.
Ein PC ist nie zu 100% sicher, diese Tatsache muß man akzeptieren, wenn man im Internet ist. Für mich vermittelt jede Schutzsoftware grundsätzlich nur Scheinsicherheit.

@Andreas Haak,
weißt, wenn ich an das "Flux-Entfernungs-Tool" denke, was ja nur ein Beendigungs-Tool war, wie soll ich da Produkten dieses Herstellers noch vertrauen?
zum Nachlesen: Flux, die neue Bedrohung?

[Gast_Andreas Haak_*]

Bei Madshi hat die Malware bereits Schreibzugriff auf den Bereich der gepatched werden muss - der Hook/die DLL ist ja schliesslich im Malware-Prozess. Die Malware braucht nicht in den Ring0 um den Schutz zu umgehen.

Um Kernel-Hooks zum umgehen muss die Malware erstmal ins Kernel kommen - das lässt sich wesentlich sicherer abfangen.

Ich habe ein wenig mit der Madshi Lib rumexperimentiert - und ich kann beim besten Willen keinen Schutz empfehlen der darauf basiert.
Man muss klar sagen, jemand der sich mit so einen unsauberen Lösungsansatz zufrieden gibt, ist entweder faul oder schafft es nicht, ein richtiges Framework auf Treiber-Ebene zu programmieren.
[right][snapback]91858[/snapback][/right]

3. Option:
Legt wert auf Windows 9x Kompatibilität.

Ein Treiber Framework steht defacto schon länger zur Verfügung. Wann es zum Einsatz kommt ist derweil ungewiss, da nicht abzusehen ist, wann der Anteil der Windows 9x User von a-squared soweit zurück gegangen ist das man ihn vernachlässigen könnte.

Ansonsten:
Die Aussage das ein Kernel Mode Hook nur im Kernel Mode umgangen werden kann ist ein Irrtum und schlichtweg falsch. Eine Kopie der SDT liegt in der NTOSKRNL.EXE. Man muss sie nur auslesen und danach in den Speicher schreiben. Dank \\device\physicalmemory ist dies auch vom Usermode aus möglich. Process Guard war für diese Art von "Exploit" anfällig, die meisten anderen Kernel Mode Hook basierten Programme sind es immer noch.

Proof of Concept zu finden unter:
http://www.security.org.sg/code/sdtrestore.html

By the way:
Process Guard behilft sich damit, daß Prozesse spezielle Rechte benötigen um \\device\physicalmemory zu öffnen. Schade nur, das einige Prozesse den Zugriff dringend benötigen; Schade auch, daß svchost.exe unter diesen Prozessen zu finden ist. Ich denke mehr muss ich zum Thema nicht sagen oder?

Der Beitrag wurde von Andreas Haak bearbeitet: 06.05.2005, 17:43

[emsi]

Ich vertraue lieber mir als irgendwelcher Software. Ich gehe davon aus, dass jede Software zu umgehen ist, deshalb vertraue ich keiner.

Und du fährst ein Auto ohne Airbags, ohne ABS und ohne ESP, stimmts?

Klar, diese Technologien können dir auch nicht garantieren, daß du bei einem Crash überlebst, dennoch ist es besser sie zu haben als nicht. Auch wenn bei jedem 'Feature' eine Möglichkeit besteht, es zu umgehen.

Nicht mal wenn du nur zu Fuß unterwegs bist, bist du davor sicher, daß du in einen Crash verwickelt bist. Ist zu Fuß gehen deswegen nun sicherer?

[Gast_Andreas Haak_*]

weißt, wenn ich an das "Flux-Entfernungs-Tool" denke, was ja nur ein Beendigungs-Tool war, wie soll ich da Produkten dieses Herstellers noch vertrauen?
zum Nachlesen: Flux, die neue Bedrohung?
[right][snapback]91859[/snapback][/right]

Ich weiß ja nicht woher du die fixe Idee hast, daß es ein Entfernungstool sein sollte, aber im Newsletter stand:

Das Programm erkennt und deaktiviert Flux in infizierten Prozessen und ermöglicht so in Verbindung mit einem aktuellen Anti-Malware Programm, wie z.B. a², eine komplette Entfernung von Flux.

[Heike]

@emsi,
Du wirst unsachlich.
Ich schätze eine realistische Risiko-Einschätzung, und da ist ein Programm, was eine Sicherheit von 95% bietet, für mich sinnlos. Um 5% muß ich mich selber kümmern, also kann ich alles selbst machen.
Die 95% können jetzt auch mit 98% ersetzt werden, das ist für mich kein Unterschied.

@Andreas Haak,
das Tool hat bei mir nicht funktioniert. Ich wußte, dass ein Server auf meinem PC läuft und habe mich auf das Tool nicht verlassen. Warum auch? Ich kriege Server weg. Problematisch ist es bei denen, die es nicht können und sich auf so ein Tool verlassen. Naja, sie können ja weiter vertrauen.

[emsi]

Ich schätze eine realistische Risiko-Einschätzung, und da ist ein Programm, was eine Sicherheit von 95% bietet, für mich sinnlos. Um 5% muß ich mich selber kümmern, also kann ich alles selbst machen.
Die 95% können jetzt auch mit 98% ersetzt werden, das ist für mich kein Unterschied.

Ich würde sagen, a-squared kommt auf 99,9% bei der Erkennungsrate von Malware. Wie man mit dem Alert dann umgeht, bleibt einem immer selbst überlassen.

Wobei ich Sicherheit nicht in % messen würde. Weil in dem Moment wo eine Malware auf den PC kommt, ist es eine 0/1 Entscheidung ob der Rechner unbrauchbar wird oder nicht. Auch wenn a-squared nur den Start von EINEM schädlichen Programm in 10 Jahren unterbinden kann, das man selbst nicht erkannt hat, lohnt es sich. Ein kaputtes System oder verlorene Daten kosten recht schnell mal wesentlich mehr als die Lizenzgebühr.

Insofern richtet es sich an Anfänger ebenso wie an absolute Profis.

Mit Angstmache hat das wenig zu tun, es spiegelt lediglich die Realität.

a-squared fängt eine ganze Palette von Gefahren ab, gegen die derzeit kein anderes Schutzprogramm hilft. Keine Gefahren die in einen von 10000 Leuten betreffen, sondern Gefahren, die sicherlich jeden betreffen. Wie eben ungepatchte Löcher im System um ein prominentes Beispiel zu zeigen. Man denke an die ganze Serie von Würmern die über die RPC Schnittstelle eingefallen sind.. Respekt denen, die rechtzeitig alle Patches eingespielt haben! Genug Leute haben es jedenfalls nicht (darunter sicher auch ein paar 'die sich auskennen' ).