Comodo Internet Security 6.xx Thread Einstellungen

[citro]

Danke für den Hinweis aber warum ist das nicht standardmäßig eingetragen ?
Welcher ONU stellt schon den Reg-Wert um ?

[SLE]

Danke für den Hinweis aber warum ist das nicht standardmäßig eingetragen ?
Welcher ONU stellt schon den Reg-Wert um ?

Weil es dann unbedienbar als Autosandbox wird. (Daneben gibt es da auch noch einige Bugs - also von voll virtualisiert kann man auch da nicht sprechen).
Fakt ist, dass in Comodo in den Standardeinstellungen, v.a. in der v6, sogar noch einiges mehr durchgeht als in der v5. Da gibt es genug Beispiele. Ist eben der Preis wenn man benutzerfreundlich sein will und Autosandboxing als Weg wählt, was daneben keines ist. Es gibt genügend Malware die nicht allerhöchste Rechte braucht um zu funktionieren weil da der Zugriff auf Benutzerordner (der eben erlaubt wird) ausreicht. Sind zwar keine ganz fiesen Dinger, aber für ein bisschen Ransomware und PC-sperren reicht es.

[Gast_claudia_*]

Darunter leiden die meisten Sicherheitslösungen, den Spagat zwischen anwenderfreundlich und höchste Schutzlösung hinzubekommen.

Bei Comodo ist es halt nicht anders. HIPS oder BB mit Autosandbox. Beide Ansätze haben Vor und Nachteile und sollte nach Bedürfnis und Begabung gewählt werden.

[SLE]

Stimmt, aber die Probleme sind:
- viele Konkurrenzlösungen sind mit traditionellen Ansätzen (Signaturen) noch klar besser und fangen da mehr ab
- mit dem propagierten default-deny und nichts kann passieren Ansatz hat das momentane Konzept der CIS wenig zu tun

[Gast_claudia_*]

- viele Konkurrenzlösungen sind mit traditionellen Ansätzen (Signaturen) noch klar besser und fangen da mehr ab

das meinst du doch nicht ernsthaft?

- mit dem propagierten default-deny und nichts kann passieren Ansatz hat das momentane Konzept der CIS wenig zu tun

in der Grundeinstellung hast du Recht, aber ein wenig Feintuning und dann kann fast nichts passieren!

[SLE]

das meinst du doch nicht ernsthaft?

Doch nachweislich.
1) Wenn du keine öffentlichen Samplepakete nimmst, die von Comodo einfach um in Privattests gut dazustehen global als unknown malware benannt werden (ja, auch alles nicht lauffähige und nicht schädliche in diesen Paketen) sieht man recht schnell, dass Comodo auch signaturbasiert noch immer hinterherhinkt.
2) Da ändern auch die 100% im AV-Test Referenzset (letzter Test) nicht viel, was auch das mittelmäßige Ergebnis beim 0day-Set bestätigt.
3) Daneben wird dahingehend "geschummelt", dass gewisse VT Submits auch erstmal global als Malware geflaggt werden und "bei Zeit" erst geprüft.

1) und 3) werden auch mindestens indirekt durch das FP Ergebnis bestätigt.

Das Verrückte ist: Man versucht das Spiel zu spielen, was man eigentlich ja ablehnt...

in der Grundeinstellung hast du Recht, aber ein wenig Feintuning und dann kann fast nichts passieren!

Ja, weg mit der Marketingsandbox, ein paar eigene Ressourcen hinzufügen und das HIPS scharf stellen. Nur dann eben für wenige bedienbar...

Der Beitrag wurde von SLE bearbeitet: 15.04.2013, 11:07

[Schattenfang]

1) Wenn du keine öffentlichen Samplepakete nimmst, die von Comodo einfach um in Privattests gut dazustehen global als unknown malware benannt werden (ja, auch alles nicht lauffähige und nicht schädliche in diesen Paketen) sieht man recht schnell, dass Comodo auch signaturbasiert noch immer hinterherhinkt.
2) Da ändern auch die 100% im AV-Test Referenzset (letzter Test) nicht viel, was auch das mittelmäßige Ergebnis beim 0day-Set bestätigt.
3) Daneben wird dahingehend "geschummelt", dass gewisse VT Submits auch erstmal global als Malware geflaggt werden und "bei Zeit" erst geprüft.

Entspricht 100ig meinen eigenen Erfahrungen mit dem Programm. Macht Symantec allerdings nicht anders....wenn auch auf einem deutlich höheren Niveau. Ich kann mit solchem Vorgehen nichts anfangen. Passt jedoch zur Außendarstellung mit Melih und Co perfekt.

[SLE]

Macht Symantec allerdings nicht anders....wenn auch auf einem deutlich höheren Niveau.

??? Die machen 1-3 völlig anders und legen wenig Wert auf solche Cheatereien!
Zeigen dann Ergebnisse in on-demand Tests auch ganz gut, v.a. wenn man das nichterkannte ausführt.

OT:
Da wird sogar bekannte Malware nicht unbedingt eingepflegt und erst recht nicht schnell, da es weitere Kriterien gibt. Symantec verlässt sich zu einem nicht unerheblichen Teil auf ihr riesiges Reputationssystem, was zwar gegen Malware hocheffektiv ist (wenn die Server funktionieren) und dem Endnutzer hilft aber eben v.a. doof für Autoren kleinerer Programme, die bei Symantec Nutzern eben dann erstmal geblockt werden. (Sofern die Autoren nicht gleich noch eine feine teure digitale Signatur erwerben, z.B. gleich beim Tochterunternehmen verisign)

Testmöglichkeit:
Selber eine exe generieren und auf einem NAV/NIS System ausführen - sollte nichts passieren. Diese exe irgendwo hochladen und wiederherunterladen (=Verhaltenskomponente: Einfallstor Web kommt dazu.) und wieder ausführen: Reputationserkennung. (Anmerkung: vereinfachte Darstellung - ein paar mehr Kriterien gibt es schon...). Ist halt der default deny Reputationsansatz ala Symantec: Was wir nicht kennen ist verdächtig und darf nicht laufen.

Einfaches System mit bekannten Vorteilen aber auch Nachteilen. Bei Symantec funktioniert es, aufgrund der riesigen Cloud und entsprechenden Partnern zum "Datentausch", aber auch andere entwickeln sich in die Richtung und bauen sowas nach. (Bsp. Avast. Da wird über das Freeprogramm eine riesige Userbase aufzubauen versucht, um halt möglichst viele Daten zu bekommen. Comodo bietet auch nicht aus reiner Nächstenliebe Gratisversionen an...)

[Schattenfang]

Ist halt der default deny Reputationsansatz ala Symantec: Was wir nicht kennen ist verdächtig und darf nicht laufen.

Und genau das ist in meinen Augen cheaten und nichts anders, als Comodo es teilweise tut. Die Cloud mag diese schlampige Vorgehensweise regeln, aber mit Qualität haben solche Ansätze (genrell) wahrlich nichts zutun.

[M.Richter]

Und genau das ist in meinen Augen cheaten und nichts anders, als Comodo es teilweise tut. Die Cloud mag diese schlampige Vorgehensweise regeln, aber mit Qualität haben solche Ansätze (genrell) wahrlich nichts zutun.

Wieso ist das cheaten für dich? Oder meinst du das automatische einpflegen der öffentlichen Malwarepakete?

Ich sehe default deny oder reputation nicht als cheaten, sondern als weiteren Ansatz (der natürlich ausbaufähig ist) ... ich finds gut wenn Malware nicht einfach laufen kann, sondern dass ich immer noch selbst die Wahl habe was letztendlich laufen soll und was nicht.

Ich finde nur dieses "Verschlimmbessern" so extrem lästig! Comodo war immer irgendwo ein Nischenprodukt und genau so war es gut, genau den Weg hätte man weiter gehen sollen. Nun mit der V6 es als Massenprodukt zu etablieren und mitschwimmen ging meiner Meinung nach deutlich nach hinten los.

[SLE]

Wieso ist das cheaten für dich?

Bei CIS ist das cheaten Sachen zu kennen, die man eigentlich nicht kennt... und als Malware zu bezeichnen. (Norton funktioniert anders und Reputation = "unbekannt" heißt nicht Malware) In ernsten Tests gibt es dann die hohe FP Rate (und den Nachweis das vieles nicht erkannt wird), bei den YouTube und Foren Boys die ihre Samples aus so halböffentlichen Paketen bekommen ist aber der Hype groß.

[Gast_claudia_*]

so wie du es beschreibst wäre Comodo unnutzbar! Das ganze Gegenteil ist aber der Fall.
Die AV- Komponente gefällt mir zwar auch nicht besonders gut, aber das default deny Prinzip ist im Alltag überragend und
schlägt jedes reine Signatur-AV um Längen.

Je mehr ich mich mit Comodo beschäftige um so mehr gefällt es mir, weil die Möglichkeiten der Einstellungen und Anpassungen fast "unerschöpflich" sind.

[M.Richter]

Bei CIS ist das cheaten Sachen zu kennen, die man eigentlich nicht kennt... und als Malware zu bezeichnen.

Hmmm, weiß nicht, ist für mich immer noch nicht wirklich cheaten, außer du meinst wirklich nur dieses automatische einpflegen der öffentlichen Malware Pakete. Aber wenn du nur davon sprichst unbekannte Sachen zu erkennen(ob malware oder nicht), dann finde ich das genau richtig so (Da ich ja so oder so letztendlich noch selbst entscheiden kann was laufen darf und was nicht bei CIS). Schlimmer finde ich andere Software die unbekannte Malware gerade deswegen durchlässt, weil sie unbekannt ist. Dann lieber der CIS Weg. Wenn das cheaten ist, dann find ich gut das meine Software cheatet

[Gast_claudia_*]

dann müßte man ja jedes Programm, was einen funktionierenden Verhaltensschutz hat, des cheaten bezichtigen!?

Der Beitrag wurde von claudia bearbeitet: 15.04.2013, 23:37

[SLE]

..aber das default deny Prinzip ist im Alltag überragend und schlägt jedes reine Signatur-AV um Längen.

Default deny ist aber leider nicht mehr default ;-) Sonst ist es recht brauchbar aber nur ein Ansatz und absolut kein Unikum von Comodo. (Aber weil es im Marketing so gut klingt hat z.B. KL es für die 2014 auch im Produkt so genannnt)

Hmmm, weiß nicht, ist für mich immer noch nicht wirklich cheaten, außer du meinst wirklich nur dieses automatische einpflegen der öffentlichen Malware Pakete. .

Cheaten ist für Sachen eine automatische Signatur zu erstellen ("unclassified Malware" ) NUR weil sie in einem Ordner ist den irgendwelche Sammler Malware nennen fertig. Man erkennt damit keine Familien aber eben alles aus solche Paketen - ob lauffähig, ob gutartig ... egal! Damit schneidet man in den Hobby Tests gut ab und veralbert letztlich die Leute die daran glauben.

dann müßte man ja jedes Programm, was einen funktionierenden Verhaltensschutz hat, des cheaten bezichtigen!?

Was hat das mit Verhaltenserkennung zu tun? Nichts.

Gab es aber alles schon auf/ab Seite 2 des Threads. Damals wurde ja auch meine These bezweifelt, dass die v6 diesselben wenn nicht noch mehr Sachen durchlässt als die v5 ;-)

Ein einfacher HashCheck heißt bei Comodo Verhaltensblocker, eine Rechtebeschränkung nennt man Sandbox, das herumgehooke der HIPS Treiber reißt Löcher in Windows die ohne Comodo nicht da sind etc. steht ja alles gut verlinkt da. Mittlerweile gibt man davon in dem Laden immerhin einiges zu, weil zuviele das Marketinggealber gemerkt haben und auch in öffentlichen Foren über Infektionen berichten...

Der Beitrag wurde von SLE bearbeitet: 16.04.2013, 05:03

[M.Richter]

Cheaten ist für Sachen eine automatische Signatur zu erstellen ("unclassified Malware" ) NUR weil sie in einem Ordner ist den irgendwelche Sammler Malware nennen fertig. Man erkennt damit keine Familien aber eben alles aus solche Paketen - ob lauffähig, ob gutartig ... egal! Damit schneidet man in den Hobby Tests gut ab und veralbert letztlich die Leute die daran glauben.

Also sprichst du ja doch nur vom einpflegen der öffentlichen Malwarepakete, klar könnte man das cheaten nennen. Aber interessiert mich eigentlich eher wenig, da es null Auswirkungen auf mich selbst hat. Schlimmer finde ich die anderen Fehltritte und "Verschlimmbesserungen" die du ja schon wie folgt beschrieben hast.

Ein einfacher HashCheck heißt bei Comodo Verhaltensblocker, eine Rechtebeschränkung nennt man Sandbox, das herumgehooke der HIPS Treiber reißt Löcher in Windows die ohne Comodo nicht da sind etc. steht ja alles gut verlinkt da. Mittlerweile gibt man davon in dem Laden immerhin einiges zu, weil zuviele das Marketinggealber gemerkt haben und auch in öffentlichen Foren über Infektionen berichten...

^^ Nervt mich sogar ungemein! Aber nichts destotrotz ist CIS mit den richtigen Einstellungen eine 1A Software und läuft dementsprechend genau so wie ich es mir wünsche ... wenn auch eher nur um das Gewissen zu beruhigen, dass überhaupt irgendeine Security Software aufn System läuft

[SLE]

Also sprichst du ja doch nur vom einpflegen der öffentlichen Malwarepakete, klar könnte man das cheaten nennen. Aber interessiert mich eigentlich eher wenig, ...

Ja. Diese Ausführungen waren aber v.a. eine Reaktion auf die Behauptung von claudia das Comodos Signaturen mittlerweile mithalten können.

[Gast_claudia_*]

öffentlichen Malwarepakete einpflegen, warum nicht? (die Diskussion darüber hatten wir schon)

Und ja mithalten kann das AV, aber sinnvoll ist es trotzdem Comodo ohne eigenes AV und ein Fremdprodukt zur Firewall + Verhaltensschutz zu wählen.

[Alexander Robrec...]

Hallo

Könnt Ihr das Forum von Comodo aufrufen,

[Gast_claudia_*]

ja