GDATA 2011, Verbesserungsvorschläge / Wünsche Einstellungen

[Solution-Design]

@Aymibien

Wofür war dieser Text jetzt gut?

Das Produkt an sich ist aber absolut ungeschlagen in allen belangen ich will keine werbung machen

Nee, is ok.

Geschwindigkeitstechnisch finde ich Gdata (was die wächter funktion sowie die Viren suche angeht) um längen schneller als KIS oder andere Antiviren systeme ... und ich habe schon sehr viele getestet bevor ich mich für gdata entschieden habe.

Logisch. Irgendwie leide ich an Wahrnehmungsstörungen.

Der Beitrag wurde von Solution-Design bearbeitet: 08.11.2009, 07:55

[olli]

@Aymibien

Wofür war dieser Text jetzt gut?



Nee, is ok.



Logisch. Irgendwie leide ich an Wahrnehmungsstörungen.

Na, dann sind wir schon zwei
Nur F-Secure ist noch langsamer. Wobei GData nun wahrlich nicht mehr diese extreme Bremse ist. Aber sprürbar ist GData auf jeden Fall..

Bis denne
Olli

[Virusscanner]

GData könnte das Supportkonzept von Bullguard kopieren. Das ist wahrlich nachahmungswert. Auch die Antwortzeit von nicht einmal einer Stunde dürfte GData noch so gerne von Bullguard übernehmen. Nicht, dass ich nun regelmässig in Kontakt mit GData stehe, aber ich denke, dass es vielen gefallen würde, wenn es in Zukunft auch bei GData so wäre, wie es bei Bullguard jetzt ist.

[Julian]

Das Produkt an sich ist aber absolut ungeschlagen in allen belangen ich will keine werbung machen weil ich selber finde das eingies noch verbessert werden könnte aber das Firewall System ist sehr übersichtlich, hoch effektiv und (richtig eingestellt) extrem schwer zu umgehen selbst mit hilfe von dll/exe injektion und/oder rootkits.

Könntest du das bitte belegen?
Denn behaupten lässt sich so etwas immer sehr einfach.

Hier versagt die Gdata-Firewall grandios in allen Belangen.
Bei der Comodo Leaktestsuite sieht es nicht besser aus.
Gdata lässt sich also extremst einfach umgehen oder gleich ganz für immer und ewig killen.

[Gast_Aymibien_*]

also ich muß noch dazusagen, das ich die antivirus funktionen, den spamschutz und den backuptool nutze. den rest macht online armor++. und das läuft sehr flüssig die gdata firewall mag ich ehrlich gesagt auch nicht genau wie die von f-secure, die finde ich auch irgendwie komisch...

[Julian]

Mit Online Armor kann man auch die Gdata-Prozesse *unkillbar* machen

[Gast_Aymibien_*]

Mit Online Armor kann man auch die Gdata-Prozesse *unkillbar* machen

mal ne blöde frage, macht das online armor von allein (gdata ist ja als sicher und erlauben gekennzeichnet) ??

[Julian]

mal ne blöde frage, macht das online armor von allein (gdata ist ja als sicher und erlauben gekennzeichnet) ??

Jain, wenn Malware versucht, die Gdata-Prozese zu beenden, warnt OA. Aber man kann bei den Eigenschaften von jedem Programmen dieses auch noch explizit schützen lassen.

[Gast_Aymibien_*]

Jain, wenn Malware versucht, die Gdata-Prozese zu beenden, warnt OA. Aber man kann bei den Eigenschaften von jedem Programmen dieses auch noch explizit schützen lassen.

ah ja , danke

[waky]

@Julian

Na klar kann ich das belegen (so wie ich es geschrieben habe), allerdings wird das ein bisschen schwer zu lesen sein.

ich will aber vorher darauf hinweisen das es keinen 100%igen schutz gibt und ich das auch nicht geschrieben habe... ich bin nur der meinung das Gdata auch bei der FW funktion bisher einen guten job geleistet hat.

vorher gesagt sei noch ... es gibt sicher auch Firewalls die das auch anbieten ... ich bin leider bei meiner vorherigen wahl enttäuscht worden.

Bei gdata kann man die programme, welche andere programme- und damit eine internetverbinung starten auf bestimmte programme beschränken.
soll heissen sie können nur von einem bestimmten (vorher eingetragenen) programm gestartet werden. Ist dies nicht der fall kommt die abfrage ob die verbindgung erstellt werden darf. Somit kann ein programm aus einer dll/exe injection keine direkte verbinung ins internet schaffen indem es über eine nicht vorgesehene exe/dll datei eine verbindung ins internet schafft.

Beispiel
1. ICQ6.exe startet Firefox .... ist erlaubt darf starten
2. infec.exe startet Firefox .... es wird angefragt ob infected.exe -> firefox.exe überhaupt starten darf und eine verbindung ins netz herstellen darf

Joah und wie bei jedem anderen FW programm können die erlaubten ports angegeben werden für die jeweiligen programme welche internetverbindungen schaffen können.

Jetzt werden einige sagen Rootkit klingt so krass das is doch sicher noch viel mehr ... meiner meinung nach wird das sehr überschätzt.
Mit rootkits kann man lediglich falsche tatsachen vorspiegeln. Würde man eine verbindung mit hilfe eines Rootkits verstecken würde man die verbindung trotzdem angezeigt bekommen, nur würde sie dann nicht die sein die sie scheint zu sein.

die dll/exe injection ist wirklich schwer zu erkennen ... aber für den ersteller dieser wird es bei einer richtig konfigurierten FW, und den oben gegebenen möglichkeiten, allerdings sehr schwer ein programm zu starten was dann versteckt ins internet verbindet.
wie schon oben geschrieben kenne ich viele programme welche diese möglichkeit eben nicht anbieten sondern nur eine bei der das programm entweder ins internet connecten darf oder nicht und eben nicht vorher geschaut wird von welchem programm dieses gestartet werden darf!

etwas verwirrend geschrieben ich hoffe man kann das einigermaßen deuten

grüße waky

@Solution-Design

da musst du mal deinen Arzt fragen

[Julian]

Bei gdata kann man die programme, welche andere programme- und damit eine internetverbinung starten auf bestimmte programme beschränken.
soll heissen sie können nur von einem bestimmten (vorher eingetragenen) programm gestartet werden. Ist dies nicht der fall kommt die abfrage ob die verbindgung erstellt werden darf. Somit kann ein programm aus einer dll/exe injection keine direkte verbinung ins internet schaffen indem es über eine nicht vorgesehene exe/dll datei eine verbindung ins internet schafft.

Beispiel
1. ICQ6.exe startet Firefox .... ist erlaubt darf starten
2. infec.exe startet Firefox .... es wird angefragt ob infected.exe -> firefox.exe überhaupt starten darf und eine verbindung ins netz herstellen darf

Gegenbeispiel: explorer.exe darf Firefox.exe starten, malware.exe darf dies aber nicht.
malware.exe injiziert aber Code in die explorer.exe, woraufhin dieser die Firefox.exe startet und Gdata dann den Internet-Zugriff zulässt. Über gleich drei verschiedene Codeinjektionsarten kann das der CPILSUITE-Leaktest (funktioniert nur auf XP x32):
http://rapidshare.de/files/48654061/CPILSuite.7z.html
Das ist natürlich nur ein Beispiel, bei Matousec SSTS gibt es noch viel mehr Methoden, Gdata zu umgehen oder gleich zu killen, was nicht sehr schwer ist.

Joah und wie bei jedem anderen FW programm können die erlaubten ports angegeben werden für die jeweiligen programme welche internetverbindungen schaffen können.

Das bringt aber nicht viel, weil Malware über zig Ports kommunizieren kann.

Und bei Rootkits ist alles möglich: Vielleicht nutzt es Windows-Prozesse zum Internet-Zugriff (machen auf Nicht-Rootkits), vielleicht modifiziert es die Netzwerkschnittstelle so, dass gar keine Verbindung angezeigt wird etc.

[waky]

@ Julian

klar wenn du mit der API von nem Betriebsystem und Phyton klar kommst kannste jedes programm killen das bezieht sich nicht nur auf Gdata

und wie ich geschrieben habe es gibt keinen 100%igen schutz aber es ist aufjedenfall besser als nur das programm zu betrachten was sich ins netz verbindet wie jede Stino FW

Und bei Rootkits ist alles möglich: Vielleicht nutzt es Windows-Prozesse zum Internet-Zugriff (machen auf Nicht-Rootkits), vielleicht modifiziert es die Netzwerkschnittstelle so, dass gar keine Verbindung angezeigt wird etc.

Könntest du das belegen ? Vorallem bitte den letzten teil das keine Verbindung angezeigt wird.

Der Beitrag wurde von waky bearbeitet: 09.11.2009, 00:39

[Virusscanner]

Ähm. Hallo!?

Das hier ist kein Beweis-mir-was-Fred und auch kein Rechtfertigungs-Fred oder sonst noch ein Dies-ist-besser-als-das-Fred.

Hier geht's um Verbesserungsvorschläge für GData's 2011er Reihe.

Kann man das hier für einmal berücksichtigen???

Danke!

[Julian]

@ Julian

klar wenn du mit der API von nem Betriebsystem und Phyton klar kommst kannste jedes programm killen das bezieht sich nicht nur auf Gdata

Kann man schon, wahrscheinlich. Programme wie Online Armor oder Comodo haben so einen guten Selbstschutz, dass die Chance, dass Malware sie killen wird, astronomisch klein sein dürfte.
Gdata lässt sich wahrscheinlich selbst mit der Jahre alten APT von DiamondCS töten. Das heißt, der Selbstschutz taugt nicht die Bohne und wenn Malware erst einmal aktiv geworden ist, könnte die Chance hoch sein, dass Gdata um die Ecke gebracht wird.
Auf x64 lässt sich Gdata eh über den Taskmanger beenden.
Außerdem hattest du gesagt, dass die FW gut bei Code-Injektion wäre. Die Matousec-Tests beweisen u.a. auch davon genau das Gegenteil. Die CPILSUITE hatte ich nur gebracht, weil jeder damit sofort sehen kann, was ich meine.
Beispiele TDSS-Varianten: Gibts an jeder Ecke, werden wenn sie neu sind naturgemäß oft (auch von Gdata) nicht erkannt. Der mülli.. mäßige (Ich möcht mir nicht wieder vorwerfen lassen, ich würde "bashen" ) Verhaltensblocker von Gdata hat gegen die keine Chance, und ich wette, die FW würde auch nichts (Brauchbares) melden.
Ich fürchte nur, dass ich das nicht so ohne weiteres demonstrieren kann, weil die Dinger meistens in einer VM nicht funktionieren.

und wie ich geschrieben habe es gibt keinen 100%igen schutz aber es ist aufjedenfall besser als nur das programm zu betrachten was sich ins netz verbindet wie jede Stino FW

Genau das macht die von Gdata doch? Und dieser Ansatz, dass die FW die von den ins Internet funkenden Programmen die geladenen Komponenten prüft, der ist schon ein alter Hut bzw. nicht mehr aktuell, weil Malware das, u.a. mit Rootkit-Funktionalität (TDSS, keine Seltenheit), massenhaft umgeht. Deshalb haben auch alle guten FWs um eine HIPS-Komponente aufgestockt, weil alles andere nicht mehr wirkungsvoll bei heutiger Malware ist.

Könntest du das belegen ? Vorallem bitte den letzten teil das keine Verbindung angezeigt wird.

Kann ich nicht, aber du wirst mir glauben müssen, dass Malware, wenn sie Ring 0-Zugriff hat, alles mit deinem BS bzw. dessen Kernel machen kann, z.B. auch deiner Firewall alles mögliche vorgaukeln.
Und was nützt es einem, zu erkennen, dass eine verdächtige Verbindung aufgebaut wurde, wenn darüber schon die ganze Zeit Daten wie Seriennummern, Accounts etc. gesendet werden?
Futsch ist futsch.

@Virusscanner: Vielleicht solltest du in Zukunft auch bei unfundierten "Gdata Komponente X ist genial weil sag ich nich"-Aussagen dich beschweren, dann würde dein in Teilen sicherlich berechtigter Einspruch Einwand glaubwürdiger wirken.

Edit: Einspruch durch Einwand ersetzt.

Der Beitrag wurde von Julian bearbeitet: 09.11.2009, 16:46

[Voyager]

Gdata lässt sich wahrscheinlich selbst mit der Jahre alten APT von DiamondCS töten. Das heißt, der Selbstschutz taugt nicht die Bohne und wenn Malware erst einmal aktiv geworden ist, könnte die Chance hoch sein, dass Gdata um die Ecke gebracht wird.

Nicht nur wahrscheinlich , ich hab den Test vor 2 Monaten gemacht.


http://www.abload.de/img/apt-gdatacfz5.jpg

Ich fürchte nur, dass ich das nicht so ohne weiteres demonstrieren kann, weil die Dinger meistens in einer VM nicht funktionieren.

Es gab eigentlich selten malware die in der VM nichts gemacht hat .

[Ford Prefect]

Auf x64 lässt sich Gdata eh über den Taskmanger beenden.

Ist zumindest aktuell nicht möglich

[Julian]

Ist zumindest aktuell nicht möglich

Na gut, dann wurde das wohl verbessert. Ich glaube dir zwar, aber Versuch macht kluch, deswegen werd ich auch noch mal "testen".

@Voyager: Danke für den Beweis mit APT.
Bezüglich der VM: Ich verwende VMware, du, wenn das noch immer Gültigkeit hat, MS VirtualPC. Mein Eindruck ist, dass unter VMware die wenigste Malware läuft, Anti-VM-Mechanismen zielen wohl hauptsächlich auf diese Virtualisierungssoftware.

[Tiranon]

Hallo an alle,

bitte kommt zurück zum Thema und schreibt hier Eure Wünsche und Verbesserungsvorschläge für GDATA 2011!!

Vielen Dank

[Taurus]

bitte kommt zurück zum Thema und schreibt hier Eure Wünsche und Verbesserungsvorschläge für GDATA 2011!!

Wo siehst du da eine Themenabweichung, wenn man über den schlechten Selbstschutz von GDATA diskutiert. Vielleicht könnte man das bei der Version 2011 verbessern.

[Tiranon]

Wo siehst du da eine Themenabweichung, wenn man über den schlechten Selbstschutz von GDATA diskutiert. Vielleicht könnte man das bei der Version 2011 verbessern.

Von diskusion steht ja nix im Thema sondern nur von Verbesserungsvorschlägen und Wünsche

Liebe Grüße