HIPS - Anwendungskontrolle, was taugt das? Einstellungen

[Habakuck]

Halli hallo ihr Lieben.

Ich mache mir momentan viele Gedanken ob ein HIPS eigentlich sinnvoll ist oder nicht.
Eigentlich habe ich die letzte Zeit über immer die Meinung verfochten ein HIPS wäre der einzig sinnvolle Schutz vor Malware da die Signaturen bedingte Erkennung immer Meilen hinterher hinkt.
Allerdings zweifle ich mitlerweile am Sinn und Zweck des Ganzen.
Auf einem aktuellen System führt sich nichts von alleine aus. Und wenn ich selber ein Prog ausführe dann füge ich es logischer Weise zur vertrauenswürdigen Zone hinzu da es sonst nicht funktioniert oder ich andauernd mit nervigen PopUps zugespammt werde.
Wo also liegt der Schutz begründet den mir ein HIPS bietet?
Da meine KIS Lizenz noch ziemlich lange läuft lasse ich mich gerne überzeugen, dass ein HIPS durchaus sinnvoll ist.

Die Diskussion sei hiermit eröffnet.

[Gamer]

Allerdings zweifle ich mitlerweile am Sinn und Zweck des Ganzen.

Ich nicht, heutzutage kannst du dir fix via Exploit/Drive-by deinen Festplatteninhalt in Sekundenbruchteil zerstören.

http://www.computerschutz.net/testberichte...leichstest.html

[aido]

Auf einem aktuellen System führt sich nichts von alleine aus.

Das ist so nicht richtig. Auch wenn die vermeidliche Datei sauber zu scheinen mag, so kann sie Code enthalten das Dienste und Treiber installiert die sich danach erst als Schädlich erkennen lassen. Ein Eintrag in die Startdateien ist schon mit einem Doppelklick geschehen auch wenn du danach erst das Programm stoppst. Die grössten Schwächen einer Suite sind immernoch die Netzwerkfunktionen. Und genau da sind Schädlinge spezialisiert und meistens auch schwer zu finden. Siehe z.B. Conficker, der ist an sich harmlos aber seine Netzwerkfähigkeiten sind es, die deinen Rechner zumüllen können ohne das eine Antivirenlösung etwas dagegen tun kann.
Über die Funktion von HIPS brauche ich dir ja nicht erklären deslhalb verlinke ich mal auf einen Beitrag - der ist zwar schon etwas älter, erklärt aber seht gut warum HIPS einfach zurzeit nicht wegzudenken ist.

http://www.searchsecurity.de/index.cfm?pid=3572&pk=50599

aido

[Habakuck]

Ich nicht, heutzutage kannst du dir fix via Exploit/Drive-by deinen Festplatteninhalt in Sekundenbruchteil zerstören.

http://www.computerschutz.net/testberichte...leichstest.html

Wie soll mich ein HIPS vor einem Exploit schützen?
Wenn zum Beispiel der Adobe Reader in der vertrauenswürdigen Zone ist (und das muss er sein damit man damit vernünftig arbeiten kann) so ist der Schutzfaktor des HIPS gegen pdf Exploits gleich Null Komma Null!

Das ist so nicht richtig. Auch wenn die vermeidliche Datei sauber zu scheinen mag, so kann sie Code enthalten das Dienste und Treiber installiert die sich danach erst als Schädlich erkennen lassen. Ein Eintrag in die Startdateien ist schon mit einem Doppelklick geschehen auch wenn du danach erst das Programm stoppst.

Wenn ich die Datei ausführe dann tue ich das weil ich ihr vertraue!
Oder würdest du eine keygen.exe ausführen?
Wenn ich der Datei jetzt also vertaue weil ich zum Beispiel in dem Glauben bin mir einen tollen MusikPlayer herunter geladen zu haben dann möchte ich diesen installieren. Die nachfolgenden Warnfenster werde ich erlauben da ich bei jeder Installation diese Fenster bekomme.
Weisst du ich dachte bisher, dass ich als relativ versierter Anwender auf Grund der HIPS Meldungen unterscheiden könnte wann ein Prozess schädliches Verhalten aufweist.
Allerdings habe ich mich da getäuscht. Vergleicht man die Meldungen während Deamon Tools, Nero, Adobe oder viele andere installiert werden mit denen die man bekommt während sich Navipromo installiert gibt es da nicht sonderlich viele Unterschiede... Da kann selbst ich nicht 100%tig sagen was da nun definitiv schädlich ist und was nicht. Teilweise gibt es bei legitimen Programmen sogar rote Fenster wobei es bei Schädlichen nur gelbe gibt.

Die grössten Schwächen einer Suite sind immernoch die Netzwerkfunktionen. Und genau da sind Schädlinge spezialisiert und meistens auch schwer zu finden. Siehe z.B. Conficker, der ist an sich harmlos aber seine Netzwerkfähigkeiten sind es, die deinen Rechner zumüllen können ohne das eine Antivirenlösung etwas dagegen tun kann.

Was hat das mit dem Thema HIPS zu tun?

Über die Funktion von HIPS brauche ich dir ja nicht erklären deslhalb verlinke ich mal auf einen Beitrag - der ist zwar schon etwas älter, erklärt aber seht gut warum HIPS einfach zurzeit nicht wegzudenken ist.

http://www.searchsecurity.de/index.cfm?pid=3572&pk=50599

aido

Öhm, der Beitrag versucht nur deutlich zu machen warum Host based IP Systeme besser sind als netzbasierten Intrusion Prevention Systeme...


Danke schonmal für die Anregungen!

Der Beitrag wurde von Habakuck bearbeitet: 14.06.2009, 00:59

[Gast_ravu_*]

In diesem Fall wäre zB Comodo Defense+ umsonst gewesen: Man erkennt nicht dass ein anderer Prozess eine vertrauenswürdige Anwendung missbraucht! Auch Malwaredefender konnte keine entsprechende Warnung liefern

Mein Fazit: Mehr Schein als sein.

[Solution-Design]

Mir ist noch kein Exploit in freier Wildbahn begegnet, dem ich nicht mit Heike.exe hätte widerstehen können. Auch ist noch keine Malware auf meinen PC gelangt. So gesehen reicht meine derzeitige PC-Nutzung vollkommen aus, um ein ungeschütztes System sauber zu halten. Und da man nun erkennt, wie schön schnell ein solches System sein kann, wird man sich ein AV nur sehr ungerne wieder ins Haus holen Bleibt also nur noch der Behaviorblocker mit wunderbaren Regeln, oder die Hips, die mit mehr oder weniger sinnigen Meldungen nervt. Der einzige Exploit, der mal wirklich was richtig böses angerichtet hat und ein System innerhalb weniger Minuten vollständig unbrauchbar machte, war der wmf-Exploit. Das PDF-Ding war schon nach seiner Geburt wieder tot und wurde noch dazu von fast jedem AV erkannt, wenn man denn eines hat. Die wenigen PDF-Exploits die ich gesucht und ausgeführt hatte, waren mehr oder weniger harmlos. Heutzutage werden keine Festplatten mehr zerstört (was sowieso nicht funktioniert…grins), sondern es wird versucht, Daten zu stehlen, oder mittels Rogueware Geld aus der Tasche zu locken. Zu den Hipsen, ja, die Meldungen sind selbst für versierte nicht immer eindeutig. Ob hinter diesen Meldungen nun SchadCode steckt, oder sie gerade installierte nur das Beste von mir möchte… Er werfe den ersten Stein. In meinen Augen sehe ich nur Sinn in einem vernünftigen BehaviorBlocker, welcher einem die Entscheidungen weitgehend abnimmt. SanaSecurity ist/war dahingehend schon ein Knaller. Das eil werkelt, ohne das es das System verlangsamt und findet Böslinge recht sicher. Zum PDF-Exploit noch was. Sollte eine solche PDF geöffnet werden und der Reader sich in einer sicheren Zone befinden, der Exploit aber Daten erzeugen und nachladen, so greifen die weiteren Schutzmaßnahmen des BehaviorBlockers oder der Hips. Zwar hat man die Malware dann schon auf dem PC, der Festplatte, aber eben unwirksam. Es gibt kein richtiges Fazit, außer das eigene. Wer nicht mit Meldungen zu bombardiert werden möchte, muss zu einem BehaviorBlocker greifen, welcher unauffällig im Hintergrund arbeitet. Sonar, SanaSecurity und mittlerweile a-squared gehören schon mal dazu. Alle anderen arbeiten mit WhiteLists daran, sind aber noch nicht soweit.

[raman]

Das Problem ist halt, das ein HIPS auch Wissen voraussetzt. Denn da ist der User der entscheidet gut oder boese. Man kann aber einiges daraus lernen.

Ein Hips mag dich nicht vor exploits schuetzen, aber es schuetzt dich vor der Malware die durch diese Exploits auf den Rechner gelangt. Das ist ganz interessant, wenn auf einmal ein Popup auftaucht mit der Info, das Programm X starten moechte, obwohl du nur eine einfache www Seite besucht hast..

[Julian]

In diesem Fall wäre zB Comodo Defense+ umsonst gewesen: Man erkennt nicht dass ein anderer Prozess eine vertrauenswürdige Anwendung missbraucht! Auch Malwaredefender konnte keine entsprechende Warnung liefern

Mein Fazit: Mehr Schein als sein.

Comodo hat da gar nichts vorbeigehen lassen, man darf nur die rundll32.exe nicht alles starten lassen, per default wird auch nachgefragt.
Hab ich aber auch schon mehrmals gesagt

@habakuck: Ich kann den Adobe Reader mit den HIPSen von KIS und Comodo so stark es geht einschränken und er scheint immer noch zu funktionieren, was ja irgendwie deiner Behauptung im ersten Post widerspricht.

[raman]

Ich kann den Adobe Reader mit den HIPSen von KIS und Comodo so stark es geht einschränken und er scheint immer noch zu funktionieren,

Hast du schon mal ein exploit gegen AR laufen lassen, wenn du es so eingeschraenkt hast?

[Habakuck]

Danke ihr Beiden! So sehe ich das im großen ganzen auch!

Das Problem ist halt, das ein HIPS auch Wissen voraussetzt. Denn da ist der User der entscheidet gut oder boese. Man kann aber einiges daraus lernen.

Das Wissen um ein HIPS zu bedienen habe ich durchaus. Und gelernt habe ich dadurch wirklich eine ganze Menge!
Die 6ser von KIS war da super. Da hat man im paranoid Modus wirklich jede kritische Aktion mitbekommen die auf dem System ausgeführt wurde.
Nur finde ich den Sinn des KIS HIPS 2010 nicht...

Das ist ganz interessant, wenn auf einmal ein Popup auftaucht mit der Info, das Programm X starten moechte, obwohl du nur eine einfache www Seite besucht hast..

Jo, das dachte ich mir bisher auch so aber eigentlich sollte hier doch auch der Vista UAC eingreifen oder nicht? Wenn ich mir die "removemalware.com" Tests auf YouTube angucke muss er selbst mit dem IE und XP immer irgendwann auf OK -> darf starten drücken! Das würde ich halt nie tun. Wozu dann ein HIPS?

[Julian]

Hast du schon mal ein exploit gegen AR laufen lassen, wenn du es so eingeschraenkt hast?

Nein, aber das würde wohl nur Sinn machen, wenn die Exploits noch nicht gefixte Lücken auch wirklich ausnutzen könnten.
Es sollte dann eigentlich nicht viel passieren können.

Edit:

Danke ihr Beiden! So sehe ich das im großen ganzen auch!

Das Wissen um ein HIPS zu bedienen habe ich durchaus. Und gelernt habe ich dadurch wirklich eine ganze Menge!
Die 6ser von KIS war da super. Da hat man im paranoid Modus wirklich jede kritische Aktion mitbekommen die auf dem System ausgeführt wurde.
Nur finde ich den Sinn des KIS HIPS 2010 nicht...

Wieso das denn? Du kannst doch genau wie früher erstmal alles Suspekte blocken, wofür muss man dafür direkt über das Pop Up eine Regel erstellen können?


Der Beitrag wurde von Julian bearbeitet: 14.06.2009, 10:00

[Solution-Design]

Jo, das dachte ich mir bisher auch so aber eigentlich sollte hier doch auch der Vista UAC eingreifen oder nicht? Wenn ich mir die "removemalware.com" Tests auf YouTube angucke muss er selbst mit dem IE und XP immer irgendwann auf OK -> darf starten drücken! Das würde ich halt nie tun. Wozu dann ein HIPS?

Unter Vista macht ein Hips sicherlich weniger Sinn. Zwar gibt es Malware, welche sich auch ohne Adminrechte installiert, aber die ist eher selten und kann auch nix. Nix böses wirklich. Der Vorteil gegenüber der UAC ist, hat man bei der UAC einmal ja geklickt, läuft alles Nachfolgende durch. Bei einem BehaviorBlocker oder einer Hips kommen weitere Warnmeldungen. Vergleiche es mal mit einem Dateimanager wie Total- oder SpeedCommander. Starte ihn unter Vista mit Adminrechten. Die UAC meldet sich ein mal. Alle nun aus dem Dateimanager gestarteten Programme haben automatisch Adminrechte. Die UAC bleibt still. Das wäre auch so bei Malware. Und hier würde sich dann die Hips melden, wenn etwas nicht so ganz astrein ist.

[Habakuck]

Nein, aber das würde wohl nur Sinn machen, wenn die Exploits noch nicht gefixte Lücken auch wirklich ausnutzen könnten.
Es sollte dann eigentlich nicht viel passieren können.

Edit:

Wieso das denn? Du kannst doch genau wie früher erstmal alles Suspekte blocken, wofür muss man dafür direkt über das Pop Up eine Regel erstellen können?

Weil ich ohne die Option "diese Aktion immer erlauben" nur einstellen kann, dass der Adobe alle versteckten Treiber installieren darf. (Und das muss ich sogar umständlich über die GUI machen.) Das ist doch Blödsinn. Bisher konnte ich genau einstellen, dass er nur den Treiber XY installieren bzw. starten darf. Das macht für mich Sinn.

Dieses alle über einen Kamm scheren der 2010 ist für mich irgendwie sinnfrei.

Der Beitrag wurde von Habakuck bearbeitet: 14.06.2009, 10:25

[Julian]

Ich kann dir wirklich nicht ganz folgen
Könntest du versuchen, es einmal ganz genau und vll. sogar mit Bildern zu erklären?

[Habakuck]

KIS ist bei mir leider nicht mehr drauf. In so fern wird das mit den Bildern etwas schwierig aber ich gucke was ich im Netz finde. Danke schonmal das du dir Mühe gibst mich zu verstehen!

Also:

Situation der KIS 8ter:

Ein Programm A versucht den legitimen versteckten Treiber X zu laden. Gelbes KIS PopUp erscheint und fragt was getan werden soll.
Ich kann folgendes auswählen:

1. Erlauben: Die Aktion wird einmalig erlaubt. (Gut wenn man denkt es wäre in Ordnung aber sich noch nicht 100%tug sicher ist.)
2. Quarantäne: Erklärt sich von selbst.
3. Beenden: Prozess wird beendet. (Empfehlenswert wenn man überprüfen möchte wie der Prozess auf ein Beenden reagiert. Kommt gleich danach die gleiche Meldung wieder, ist der Prozess also persisten, liegt der Verdacht nahe, dass es sich um einen Schädling handelt.)
4. Zu Ausnahmen hinzufügen: Erstellt eine Regel die genau festlegt das Programm A den Treiber X laden darf. Diese Regel wird gespeichert und Programm A darf in Zukunft immer den Treiber X laden ohne dass mich das HIPS nervt.

Möchte Programm A nun aber den veränderte Treiber X oder einen anderen Treiber Y laden werde ich abermals gefragt was passieren soll.
Darin sehe ich einen hohen Schutzfaktor!


Nun zur Situation in KIS2010:
Ein Programm A versucht den legitimen versteckten Treiber X zu laden. Gelbes KIS PopUp erscheint und fragt was getan werden soll.
Ich kann folgendes auswählen:

1. Zur vertrauenswürdigen Anwendung machen. (Das bedeutet dass das Programm danach machen kann was es will. Es kann den legitimen Treiber X laden, auch den veränderten Treiber X oder einen schädlichen Treiber Y kann es ohne Probleme starten.)
2. Aktion erlauben: Die Aktion wird einmalig erlaubt. (Handelt es sich um eine legitime Aktion nervt das auf Dauer total)
3. Block now. Siehe oben.
4. Beenden und in die Sektion untrustet schieben. (Warum nicht ab damit in die Quarantäne? Wenn KIS beim nächsten Neustart, warum auch immer, nicht startet kann das Objekt machen was es will. Würde das Objekt in die Quarantäne wandern wäre das nicht so! Denn ist es einmal dort ist es egal ob KIS danach startet oder nicht. Handlungsunfähig ist das schädliche Objekt trotzdem.)


Mit der 7ner und auch noch mit der 8ter Version konnte ich mir also in 1-2 Wochen einen PC einrichten der genau die Aktionen ausführen darf von denen ich weiss dass sie legitim sind.
Mit der 2010 ner geht das nicht mehr oder nur absolut umständlich. Denn ich müsste für jede Aktion in die GUI gehen, manuell Objekt, Bedrohungstyp und Art der Regel definieren. Häufig handelt es sich außerdem um temporäre Dateien oder andere Objekte die ich mir garnicht heraussuchen kann! Ein erstellen der Regel ist also fast unmöglich.
Anderenfalls kann ich dem Programm A erlauben jeden versteckten Treiber zu laden; was in meinen Augen völlig sinnfrei ist.


Der Beitrag wurde von Habakuck bearbeitet: 14.06.2009, 11:44

[Julian]

Also:

Situation der KIS 8ter:

Ein Programm A versucht den legitimen versteckten Treiber X zu laden. Gelbes KIS PopUp erscheint und fragt was getan werden soll.

Eigentlich kommt bei einer Treiberinstallation ein rotes Pop Up

Aber gut, von der Struktur gleicht es dem eines Keyloggers.

Ich kann folgendes auswählen:

1. Erlauben: Die Aktion wird einmalig erlaubt. (Gut wenn man denkt es wäre in Ordnung aber sich noch nicht 100%tug sicher ist.)
2. Quarantäne: Erklärt sich von selbst.
3. Beenden: Prozess wird beendet. (Empfehlenswert wenn man überprüfen möchte wie der Prozess auf ein Beenden reagiert. Kommt gleich danach die gleiche Meldung wieder, ist der Prozess also persisten, liegt der Verdacht nahe, dass es sich um einen Schädling handelt.)
4. Zu Ausnahmen hinzufügen: Erstellt eine Regel die genau festlegt das Programm A den Treiber X laden darf. Diese Regel wird gespeichert und Programm A darf in Zukunft immer den Treiber X laden ohne dass mich das HIPS nervt.

Möchte Programm A nun aber den veränderte Treiber X oder einen anderen Treiber Y laden werde ich abermals gefragt was passieren soll.
Darin sehe ich einen hohen Schutzfaktor!

Bei der Keylogger-Erkennung und beim Laden von Treibern hat sich beim Sprung von KIS 8 auf 9 nichts verändert, da diese Vorgänge immer noch vom proaktiven Schutz und nicht von der Programmkontrolle überwacht werden. Das Pop up-Layout ist also dort gleich geblieben, wenn ein Programm versucht einen Treiber zu laden, sieht das bei KIS 8 und 9 genau so aus wie bei dem roten Pop Up oben.

Nun zur Situation in KIS2010:
Ein Programm A versucht den legitimen versteckten Treiber X zu laden. Gelbes KIS PopUp erscheint und fragt was getan werden soll.
Ich kann folgendes auswählen:

1. Zur vertrauenswürdigen Anwendung machen. (Das bedeutet dass das Programm danach machen kann was es will. Es kann den legitimen Treiber X laden, auch den veränderten Treiber X oder einen schädlichen Treiber Y kann es ohne Probleme starten.)
2. Aktion erlauben: Die Aktion wird einmalig erlaubt. (Handelt es sich um eine legitime Aktion nervt das auf Dauer total)
3. Block now. Siehe oben.
4. Beenden und in die Sektion untrustet schieben. (Warum nicht ab damit in die Quarantäne? Wenn KIS beim nächsten Neustart, warum auch immer, nicht startet kann das Objekt machen was es will. Würde das Objekt in die Quarantäne wandern wäre das nicht so! Denn ist es einmal dort ist es egal ob KIS danach startet oder nicht. Handlungsunfähig ist das schädliche Objekt trotzdem.)

Das trifft ja so nun nicht mehr zu, zumindest nicht bei Dingen, die vom proaktiven Schutz behandelt werden. Aber gut, wenn dich dies bei Vorgängen der Programmkontrolle stört, kann ich das nachvollziehen.

Mit der 7ner und auch noch mit der 8ter Version konnte ich mir also in 1-2 Wochen einen PC einrichten der genau die Aktionen ausführen darf von denen ich weiss dass sie legitim sind.
Mit der 2010 ner geht das nicht mehr oder nur absolut umständlich. Denn ich müsste für jede Aktion in die GUI gehen, manuell Objekt, Bedrohungstyp und Art der Regel definieren. Häufig handelt es sich außerdem um temporäre Dateien oder andere Objekte die ich mir garnicht heraussuchen kann! Ein erstellen der Regel ist also fast unmöglich.

Vielleicht wäre eher Comodo oder Online Armor etwas für dich?

Anderenfalls kann ich dem Programm A erlauben jeden versteckten Treiber zu laden; was in meinen Augen völlig sinnfrei ist.

Selbst wenn du ein Programm über ein Pop Up vertrauenswürdig machst, kommen bei Sachen wie Treiberinstallation oder Keyloggern immer noch mal einzeln Nachfragen.

[Habakuck]

Danke für die Ausführungen!

Die haben mir schon weitergeholfen.

OnlineArmor finde ich im Prinzip super, bremst mir aber viel zu arg.

Comodo habe ich bisher nicht wirklich ausprobiert. Wie sieht es da mit der Performance aus? Im Vergleich zu KIS?

[Julian]

OnlineArmor finde ich im Prinzip super, bremst mir aber viel zu arg.

Das empfand ich bei den letzten Versionen, die ich auf einem nicht-virtuellen OS laufen hatte, auch so. Aber die aktuelle Version soll laut vielen Berichten bei Wilders und auch von hier sehr unauffällig sein, was das Verlangsamen des Systems angeht. Hast du dir die schon angesehen? Wäre ja vielleicht was

Comodo habe ich bisher nicht wirklich ausprobiert. Wie sieht es da mit der Performance aus? Im Vergleich zu KIS?

Comodo ist praktisch nicht zu spüren, egal ob das AV an ist oder nicht
Auf jeden Fall sehr empfehlenswert.

[Habakuck]

OA ist vor vier Tagen von meinem XP Rechner geflogen (1GB*1GB). Da war es merklich zu spüren!

Comodo ist besser sagst du? Ich bin halt echt verwöhnt. Erst KIS, welches schon echt super schnell ist und nun PrevX was alle Rekorde um Längen bricht...
Kann ich mir mit Comodo denn über die PopUps meine eigenen Regeln erstellen?

Der Beitrag wurde von Habakuck bearbeitet: 14.06.2009, 14:18

[Julian]

OA ist vor vier Tagen von meinem XP Rechner geflogen (1GB*1GB). Da war es merklich zu spüren!

Schade

Comodo ist besser sagst du? Ich bin halt echt verwöhnt. Erst KIS, welches schon echt super schnell ist und nun PrevX was alle Rekorde um Längen bricht...
Kann ich mir mit Comodo denn über die PopUps meine eigenen Regeln erstellen?

Genau das ist mit Comodo möglich. Vielleicht zwei interessante Dinge:
Wenn du den vollen Schutz willst, musst du das proaktive Konfigurationsprofil auswählen.
Besser nicht rundll32.exe und services.exe "Vertrauenswürdig" oder "Windows System Programm" konfigurieren. Wegen der rundll32.exe siehe Conficker und die services.exe ist für Treiberinstallationen zuständig, da ist Comodo nicht sehr anwenderfreundlich.