Hat schon jemand das a-squared IDS getestet? Einstellungen

[Gast_Scrapie_*]

Hi

Um zum Thema zurück zu kommen:

- Wurde der Test von SHAKAL canceled? Donnerstag hab ich mal gelesen ...
- Gibt es nur einen Wurm, der VMware- detection hat?
- Oder fallen vielleicht Andreas Haak noch weitere ein um die Aussage von sinnlosen Tests auf VMs wenigsten etwas Füllung zu geben. Vielleicht auch ein Hinweis, wie a2 denn bei ihnen in der Firma getestet wird, damit ich als unbedarfter Leser einen Einblick in prof. und aussagekräftige Testmethoden kriege?

Scrapie

[Gast_Andreas Haak_*]

Ich persönlich teste mit 2 PCs - 1 Linux Server und ein Windows XP Home Client. Der Server simuliert ein komplettes World Wide Web . Bedeutet der DNS Server gibt brav IPs zurück, Mailserver ist vorhanden, Webserver, IRC, NNTP usw. usf. .

Auf dem Windows Clienten ist defacto ein komplettes System eingerichtet wie es der User zuhause ebenfalls besitzt. Incl. installiertem mIRC und komplett eingerichtetem Outlook Express.

Defacto müssen solche Bedingungen herschen, damit Du sichergehen kannst, das die Malware die Gelegenheit bekommt ihr schadhaftes Verhalten zu zeigen (was ja eben erkannt wird). Nur ein Beispiel:

Viele Mailwürmer lesen z.B. die eingetragenen SMTP Server der Mail Client Konfiguration aus und benutzen diesen zum Versenden. Zusätzlich nehmen sie den lokalen Domainnamen und probieren via "Bruteforce" gültige Mailserver zu ermitteln (indem sie z.B. smtp, mx, mail etc. vor den Domainnamen hängen). Wenn Du nun ein komplett isoliertes System hast, daß kein DNS kann und keinen eingerichteten Mail Client besitzt, wird ein Wurm nie seine Routine zum Verbreiten ausführen, was bedeutet das er von a² nicht erkannt werden würde innerhalb des Testsystems - wohl aber unter Real Life Bedingungen.

Das Ganze könnte man jetzt noch so weiter führen (z.B. Reverse Connection Backdoors müssen in der Lage sein ihre eingetragenen Hostnames aufzulösen - ebenso Downloader etc.) und unterschiedliche Malware verlangt unterschiedliche Vorraussetzungen (z.B. speziell installierte Software wie eben mIRC). Das Ganze ist, wenn man es wirklich gewissenhaft testen will, recht aufwendig. Zum einen weil Du die Malware genau kennen musst, mit der Du testest um sicher zu gehen, daß sie ihr schädliches Verhalten wirklich zeigen, und zum anderen, weil Du regelmäßig den Status der Maschine zurücksetzen musst.

[theonly]

Hmm.. www.emsisoft.de ist nicht erreichbar..
Hat es wohl doch ein Wurm durch a² geschafft und nun ein bisschen Schaden angerichtet?

Nein, mal ehrlich, was ist da los?

Hmm.. das hat sich wohl gerade relativiert..

Der Beitrag wurde von theonly bearbeitet: 15.05.2005, 17:16

[Gast_SHAKAL_*]

Sorry Leute, meine Arbeit ist halt vorrangig und derzeit stürmt da immer wieder was dazwischen.
Meld mich auf jeden Fall !

[christophs]

http://www.heise.de/security/dienste/brows.../ie/e5_24.shtml
@ bond
Symantec erkennt es immer noch nicht wieder
Kaspersky möchte es nicht erkennen
http://forum.kaspersky.com/index.php?showtopic=851

"Sorry, we're not going to generically detect this exploit at the moment. Mostly because we suppose there could be legitimate uses of the exploitable DHTML Editing control, and we do not want FPs."
Bei den letzten IDS-updates war es wohl nicht dabei.
Weißt du, wo ich die Anzahl der geladenen IDS-Signaturen erkennen kann?

Der Beitrag wurde von christophs bearbeitet: 26.05.2005, 19:38

[Catweazle]

Der erste Link geht nicht 404-File not found,,,,

Catweazle

[christophs]

Sorry, Catweazle, jetzt stimmt der link!

[Gast_SHAKAL_*]

So Leute.
Leider muss ich den Test komplett canceln, da sich mein letztes WindowsXP System dezent verabschiedet hat.
Somit war es mir nicht mglich einen echten test bis zu Ende durchzufuehren.
Feststehend kann ich jedoch aussagen, dass ich persoehnlich dem IDS nicht wirklich viel abgewinnen kann.
Nebst wenn man dem Mediaplayer erlaubt hat, eine Kommunikation nach aussen zu fuehren, so blockiert ids die update Funktion dennoch und fragt permanent weiter.
Ich kann mir vorstellen, dass der normale User hier durchaus ein Problem hat dort entsprechend die Richtige Handhabung zu zeigen.
Da es ja "nur" um das IDS geht bleibt zu eraehnen, dass der Scanner Schrott ist.
Mehr brauche ich ja nicht zu sagen, denn ich gehe davon aus das emsi & Co das auch wissen.
Ansich ist ein "IDS" in der Form schon ein recht guter Denkansatz, wird sich in der Form nicht durchsetzen. Meine Meinung.
Wenn das a2 IDS genau die 100% Wollmilcheeierlegende Sau waere, warum ist es nicht schon verkauft und in die Engine eines grossen Anbieters eingeflossen?
ok, vielleicht habe ich einen Denkfehler.
Grundsaetzlich sollte man aber sagen, dass Dialer & einige getestete Trojaner in sofern blockiert wurden, in dem die Abfrage kam.
Kommt aber auch dann wieder der Punkt zum tragen, was macht der User wenn ein Trojaner sich ploetzlich firefox.exe nennt etc.?

Sorry aber an dieser Stelle das ich den Test nicht 100% durchfuehren konnte.
Einen weiteren Test derart kann/werde ich demnaechst nicht anbieten koenen da ich kein Windows mehr im Einsatz habe und auch nicht plane eines zu installieren.
Moeglicherweise kommt ein VM are zum tragen, ist aber nicht sicher.
Cya & Sorry.

[Solution-Design]

Feststehend kann ich jedoch aussagen, dass ich persoehnlich dem IDS nicht wirklich viel abgewinnen kann. Nebst wenn man dem Mediaplayer erlaubt hat, eine Kommunikation nach aussen zu fuehren, so blockiert ids die update Funktion dennoch und fragt permanent weiter.

Funktioniert hier einwandfrei.

Ich kann mir vorstellen, dass der normale User hier durchaus ein Problem hat dort entsprechend die Richtige Handhabung zu zeigen.

Das Problem hat der "normale User" schon bei einer Desktop-Firewall, welche ihm keine Entscheidung abnimmt, sondern konfiguriert werden möchte.

Da es ja "nur" um das IDS geht bleibt zu eraehnen, dass der Scanner Schrott ist.
Mehr brauche ich ja nicht zu sagen, denn ich gehe davon aus das emsi & Co das auch wissen.

Also, ich nehme dieses Statement einfach mal unberwertet hin.

Wenn das a2 IDS genau die 100% Wollmilcheeierlegende Sau waere, warum ist es nicht schon verkauft und in die Engine eines grossen Anbieters eingeflossen?
ok, vielleicht habe ich einen Denkfehler.

Das denke ich auch.

Kommt aber auch dann wieder der Punkt zum tragen, was macht der User wenn ein Trojaner sich ploetzlich firefox.exe nennt etc.?

Das ist, wei schon beschrieben, das Problem jeder Desktop-Firewall. Kaum ein gut programmierter Trojaner wird sich mit "ich bin ein böser Bube und schreibe deine Diplom-Arbeit um". Sogesehen ist ein sauberes System eine Grundvoraussetzung für asquared-ids als auch eine Desktop-Firewall.

da ich kein Windows mehr im Einsatz habe und auch nicht plane eines zu installieren.

Ich nehm die Lizenz gerne in Empfang

[Gast_SHAKAL_*]

Funktioniert hier einwandfrei.

Das ist schön für Dich, hier war es nicht der Fall.

Das Problem hat der "normale User" schon bei einer Desktop-Firewall, welche ihm keine Entscheidung abnimmt, sondern konfiguriert werden möchte.

Danke für Deine Antwort. Ich spreche jedoch nicht von einer Desktop Firewall, die ist mir in diesem Fall wurscht.
Fakt ist, es dreht sich um a2. Da war es so und der User hat Probleme.
Ich lernte von mich nicht auf andere User zu schließen.

Das denke ich auch.

Was denkst Du auch?

Das ist, wei schon beschrieben, das Problem jeder Desktop-Firewall. Kaum ein gut programmierter Trojaner wird sich mit "ich bin ein böser Bube und schreibe deine Diplom-Arbeit um". Sogesehen ist ein sauberes System eine Grundvoraussetzung für asquared-ids als auch eine Desktop-Firewall.

Permanent Beispiele an den Haaren herbei ziehen was Desktop Firewalls angeht halt ich für unangemessen wenn es hier um was anderes geht.

Ich nehm die Lizenz gerne in Empfang

Preise finden sich auf microsoft.com

[Gast_Forenleser_*]

@Shakal,

Du hast bezüglich a² folgende Feststellung getroffen:

"Da es ja "nur" um das IDS geht bleibt zu eraehnen, dass der Scanner Schrott ist."

Meine Frage: Wieso ist der a²-Scanner Schrott?

Fakt ist, daß ich vor einigen Wochen einen jahrelang ungeschützt und leichtsinnig im Internet agierenden PC mit a² gescannt habe; a² hat einiges an Malware gefunden und diese erfolgreich gelöscht!

Ein anschliessender Scan mit Antivir hat nichts mehr angezeigt!

So what?

[Mela]

Somit war es mir nicht mglich einen echten test bis zu Ende durchzufuehren.
Feststehend kann ich jedoch aussagen, dass ich persoehnlich dem IDS nicht wirklich viel abgewinnen kann.[right][snapback]95356[/snapback][/right]

Heißt: "Ich hab's nicht richtig getestet, weiß aber, daß es Sch* ist!" -->

Wenn das a2 IDS genau die 100% Wollmilcheeierlegende Sau waere, warum ist es nicht schon verkauft und in die Engine eines grossen Anbieters eingeflossen?

Deiner Meinung nach befinden sich also alle guten Produkte und Entwicklungen in diesem Bereich in den Händen der großen Anbieter - was umgekehrt bedeuten würde, alle Produkte kleinerer Anbieter taugen nicht viel, da sie es ja nicht wert waren, aufgekauft zu werden.
Ich bin sicher, die Inhaber dieser kleinen Firmen werden deine Einschätzung zu würdigen wissen!

Das Problem hat der "normale User" schon bei einer Desktop-Firewall, welche ihm keine Entscheidung abnimmt, sondern konfiguriert werden möchte.

Danke für Deine Antwort. Ich spreche jedoch nicht von einer Desktop Firewall, die ist mir in diesem Fall wurscht.
Fakt ist, es dreht sich um a2. Da war es so und der User hat Probleme.
Ich lernte von mich nicht auf andere User zu schließen.

Warum lehnst du den Vergleich von Solution-Design ab? Es ist nun mal so, daß Sicherheitskonzepte dieser Art eine Entscheidung des Users verlangen, sie kann ihm auch nicht ohne weiteres abgenommen werden ohne ihn in seinen Nutzungsmöglichkeiten einzuschränken. Wenn du eine DFW nicht als Vergleich gelten lassen willst, auch Prozessguard-Nutzer, RegDefend-Nutzer etc. müssen entsprechende Entscheidungen treffen.

Kommt aber auch dann wieder der Punkt zum tragen, was macht der User wenn ein Trojaner sich ploetzlich firefox.exe nennt etc.?

Wenn die Warnung unerwartet kommt, er den Browser also nicht gerade gestartet hat, die Ausführung zunächst terminieren und die Sache genauer untersuchen, sich z. B. die Pfadangabe ansehen und die Datei überprüfen lassen.

Grundsaetzlich sollte man aber sagen, dass Dialer & einige getestete Trojaner in sofern blockiert wurden, in dem die Abfrage kam.

Interessant: Undetected gemachte Trojaner wurden also vom IDS aufgehalten?

Sorry aber an dieser Stelle das ich den Test nicht 100% durchfuehren konnte.
Einen weiteren Test derart kann/werde ich demnaechst nicht anbieten koenen da ich kein Windows mehr im Einsatz habe und auch nicht plane eines zu installieren.

Ja, schade, daß das gerade jetzt passiert ist. Ich würde sehr gern einen umfangreicheren Test sehen.

Gruß
Mela

Der Beitrag wurde von Mela bearbeitet: 30.05.2005, 05:48

[Gast_SHAKAL_*]

Heißt: "Ich hab's nicht richtig getestet, weiß aber, daß es Sch* ist!" --> thumbdown.gif

Das habe ich mit keinem Wort erwähnt. Es ist Deine persönliche Interpretation.
Ist nicht wirklich relevant.

Wenn die Warnung unerwartet kommt, er den Browser also nicht gerade gestartet hat, die Ausführung zunächst terminieren und die Sache genauer untersuchen, sich z. B. die Pfadangabe ansehen und die Datei überprüfen lassen.

Ja ne ist schon klar.
Der User kann in sehr sehr vielen Fällen einfachste Entscheidungen nicht treffen, aber das kann oder ;-)
Verstehe!
Wie ich bereits sagte, ich habe gelernt, lernen müssen nicht von mir auf andere zu schließen.

Ja, schade, daß das gerade jetzt passiert ist. Ich würde sehr gern einen umfangreicheren Test sehen.

Zynismus ist der Lohn als Undankbarkeit der Menschen, die selbst nix in die Hand nehmen können.
Zweifelsfrei mag es durchaus "merkwürdig" erscheinen das mein System verreckt ist.
Stell mir ein Neues und leiste einen Beitrag!
Blödes Gelaber ist fehl am Platz.


* Forenleser:

Meine Frage: Wieso ist der a²-Scanner Schrott?

1065 Maleware, 272 detected.
Ne ist klar, AntiVir ist natürlich auch eine entsprechende Referenz dazu.
Nun, die Herren von Emsisoft werden durchaus meine Aussage bestätigen können, daß der Scanner nix taugt.

[Gast_piet_*]

>1065 Maleware, 272 detected.

Ich glaub ich hab ein Dejavue. http://www.rokop-security.de/index.php?sho...indpost&p=93890 f.f.

Wie war das Testset aufgebaut?

piet

[Gast_SHAKAL_*]

Wie war das Testset aufgebaut?

Das Testset bestand aus einer aktuellen Mischung von Trojanern, HiJackern, Würmern etc.
Ich hab mal so zwei Bilder die noch verblieben sind beigefügt:

[Voyager]

a2 erstellt auf wunsch auch einen html-report im programmfolder.mit den gefundenen objekten aber wenn ich die bilder richtig interpretiere solltest du die samples einschicken zur verbesserung des produktes !

Der Beitrag wurde von bond7 bearbeitet: 30.05.2005, 11:11

[Gast_piet_*]

>Das Testset bestand aus einer aktuellen Mischung von Trojanern, HiJackern, Würmern etc.

Was ist "etc."?

Ein Log mit zB KAV wäre bestimmt hilfreich. Oder Du schickst die Dateien an submit@emsisoft.com .

piet

[Gast_SHAKAL_*]

Ich habe die Bilder lediglich mal beigefügt um zu zeigen, dass ich in der Tat hier begonnen habe einen Test durchzuführen.
Nicht mehr, nicht weniger

[Gast_SHAKAL_*]

a2 erstellt auf wunsch auch einen html-report ...

lol
der war gut bond.
Im HTML steht nur Müll drin, nichts wirklich verwertbares.
Habe ich aber auch schon den Jungs von Emsisoft mitgeteilt.

[Voyager]

Im HTML steht nur Müll drin, nichts wirklich verwertbares.

ja leider nur das was gefunden wurde.