Hat schon jemand das a-squared IDS getestet? Einstellungen

[Gast_Jens1962_*]

Wenn er ihn nicht erkennt ist der Wächter ohnehin total sinnfrei, da er selbst wenn er weiter läuft ihn ja nicht erkennt. Killschutz bringt für Deine Sicherheit defacto gar nichts. [right][snapback]95819[/snapback][/right]

Ganz so einfach ist es nun auch nicht. Es weiß ja keiner, ob der Schädling wirklich nur die Aufgabe hat, den AV abzuschießen. Vielleicht hat er ja noch ein As im Ärmel und wird erst nach erfolgreichem Abschuß so richtig aktiv und lädt irgendwelches Zeug nach, das vom AV dann erkannt worden wäre.

[Voyager]

@Andreas Haak

es gibt noch eine möglichkeit , das objekt wird von NAV erkannt und trotzdem von hand gestartet , dabei wird der guard (AV und/oder FW) ect. ausgeschaltet weil er in der schadobjektliste steht (und das ist bei den meisten so) , viele !!! sagen dann das NAV bzw. NPF weg ist und der schädling freie bahn....
in der 2005er version greift jetzt der selbstschutz und das objekt kann signaturbasiert erkannt werden , wenn das schadobjekt noch nicht erkannt wird aber zudem noch netzwerkports öffnet spricht die IDS im NAV2005 an .... viele schadobjekte öffnen netzwerkports.

Killschutz bringt für Deine Sicherheit defacto gar nichts.

wenn du meinst, siehe erster absatz ...

Der Beitrag wurde von bond7 bearbeitet: 31.05.2005, 20:26

[Gast_Andreas Haak_*]

Und nun sag mir nicht, dass das einen normalen Nutzer, wie ich ihn beschrieben habe, nicht verwirrt.

Ich finde einen Nutzer verwirrt das ewige gequengele der Firewall oder Konfigurationsorgien um den Virenwächter richtig einzustellen oder das Windows Update um einiges mehr. Da ist es harmloser 3 Programme zu erlauben sobald man sie startet . Aber das ist vielleicht auch etwas das vom Blickwinkel des Betrachters abhängt .

Ich hatte gehofft auf meinen konstruktiven, ernsten und gut gemeintem Kommentar eine Antwort zu erhalten, die nicht vor Ironie strotzt.

Nunja, wenn man die Erkennung aller Würmer, Bots und Downloader der derzeitigen ITW Liste OHNE Signaturen (diverse schaffen das nicht mal mit - aber das sei nur am Rande erwähnt) gegen 3 Fehlalarme stellt, denkt man schon der Gegenüber hat das nicht so wirklich ernst gemeint und da kann man schon mal ironisch werden .

Zu Zeiten, als ich noch einen Viren-Scanner einsetzte (KAV), habe ich einen Fehlalarm gehabt - in einer HTML Datei.

Nunja, wenn man bissi in Foren liest fallen einem da schon mehr auf. Minibug z.B..

[Gast_Andreas Haak_*]

Ganz so einfach ist es nun auch nicht. Es weiß ja keiner, ob der Schädling wirklich nur die Aufgabe hat, den AV abzuschießen. Vielleicht hat er ja noch ein As im Ärmel und wird erst nach erfolgreichem Abschuß so richtig aktiv und lädt irgendwelches Zeug nach, das vom AV dann erkannt worden wäre.
[right][snapback]95820[/snapback][/right]

Denke ich eher nicht. Das Problem:

Woher soll der AV Hersteller die Datei haben die herunter geladen wird? Er müsste dazu die URL kennen, die im Downloader steht. Den hat er aber offensichtlich nicht, sonst würd er ihn ja erkennen .

Natürlich könnte man ja einen neuen Downloader für NetBus coden - aber ganz ehrlich ... das glaubst Du auch nicht, oder?

[Solution-Design]

Es ging nicht darum das unser Scanner sch.... ist . Das steht sogar in unserem Forum - wir haben den Fokus wie gesagt auf generische Erkennung gelegt...[right][snapback]95788[/snapback][/right]

Und mit generischer Erkennung meinst du, dass da auch wirklich "Backdoor blabla möchte starten" zu lesen ist und nicht wie im Blog zu lesen ist...

Was mich jedoch sehr stört als Enduser eines fertigen Produktes, es kommen permanent Fragen ob ich wm_setup.exe auch das gleiche erlauben will.

Das kann man eigentlich so stehen lassen, denn ehrlich gesagt, Papi hat immer auf "Erlauben" geklickt, damit es weiter geht. Wenn nicht gerade ein rotes Schildchen aufleuchtet, dass ihn ein böser Virus bedroht, tangiert es Papi recht peripher wenn der Mozilla-FireBdoor aufs Netz zugreifen möchte.

Womit ich auch schon auf die Schwächen einer rein generischen Erkennung hinweisen möchte, insofern ich sie denn richtig verstanden habe (IDS ist wohl gemeint). User/innen, welche sich auf diesem Board rumtreiben dürften fast jeden Dateinamen auf ihrer HD mit Vornamen inklusive Nachna… sorry Pfad-Angabe kennen, aber der Normalo? Der sogenannte Dau? Oder der Unbedarfte? Was macht der?

Komme in nun mal zum IDS
Soviel und sooft am alten @Guard herumgemeckert wird… sorry @Guard war ja noch soo gut, also noch mal von vorn… an Nortons Desktop-Firewall herumgemeckert wird, aber besonders seit Version 2005, lässt sie die Nutzer in der Grundkonfiguration vollkommen in Ruhe. Alle bekannten Programme werden korrekt in die Ausnahmeliste eingefügt, ohne Dazutun des Nutzers. Das IDS-System meldet lediglich den Dateinamen, den wahrscheinlich Papi kaum kennen wird und meldet ein Backdoor-ähnliches Verhalten. Und wat klickt Papi nu?

Darf dann der OnDemand-Trojaner-/Backdoor-Scanner geringer Qualität sein?

[Gast_Andreas Haak_*]

@Andreas Haak
es gibt noch eine möglichkeit , das objekt wird von NAV erkannt und trotzdem von hand gestartet [right][snapback]95821[/snapback][/right]

Vielleicht hab ich das ja nur falsch verstanden, aber:

Du meinst der Wächter von NAV schlägt Alarm, der User ignoriert die Warnung aber und startet die Datei trotzdem - richtig?

Darf ich ehrlich sein? Wer das macht, dem is nicht mehr zu helfen ... .

[Gast_Andreas Haak_*]

Das kann man eigentlich so stehen lassen, denn ehrlich gesagt, Papi hat immer auf "Erlauben" geklickt, damit es weiter geht. Wenn nicht gerade ein rotes Schildchen aufleuchtet, dass ihn ein böser Virus bedroht, tangiert es Papi recht peripher wenn der Mozilla-FireBdoor aufs Netz zugreifen möchte.

Dann ist Papi früher oder später ein Gast in der HJT Ecke dieses oder eines anderen Boards, weil Papi klickt dann sicherlich bei jeder ActiveX Aufforderung etc. auf Ja - soll ja schließlich weiter gehen ... .

Womit ich auch schon auf die Schwächen einer rein generischen Erkennung hinweisen möchte, insofern ich sie denn richtig verstanden habe (IDS ist wohl gemeint). User/innen, welche sich auf diesem Board rumtreiben dürften fast jeden Dateinamen auf ihrer HD mit Vornamen inklusive Nachna… sorry Pfad-Angabe kennen, aber der Normalo? Der sogenannte Dau? Oder der Unbedarfte? Was macht der?

Exakt deshalb ist diese Version auch nicht Version 2.0 sondern 1.6, da wir die Präsentation und die Usability allgemein für 2.0 weiter in den Vordergrund stellen wollen. Siehe dazu auch einfach mal im a² Board nach .

Defacto kann man dem User mehrere Hilfen zur Hand geben, z.B.:
Webdatenbank bzw. ein Onlineabgleich, Versionsinformationen innerhalb der Datei, Digitale Zertifikate - oft hilft schon das Dateiicon.

Solche Informationen die bei der Entscheidungsfindung helfen können, eine einfachere GUI, sowie weiteres Feintuning im IDS um Fehlalarme zu vermindern und eine neue Scanengine sind defacto das, was a² v1.6 von 2.0 unterscheiden wird .

Der Beitrag wurde von Andreas Haak bearbeitet: 31.05.2005, 20:44

[Manu]

Ich finde einen Nutzer verwirrt das ewige gequengele der Firewall oder Konfigurationsorgien um den Virenwächter richtig einzustellen oder das Windows Update um einiges mehr.

Völlig richtig. Deswegen übernehme ich das dort.
Euer IDS könnte ich dort auch konfigurieren - nur muss ich nun jedes Programm auf dem PC starten um zu sehen, ob das nicht doch fälschlicherweise erkannt wird?
Genau darauf zieht mein Kommentar ab.

Da ist es harmloser 3 Programme zu erlauben sobald man sie startet . Aber das ist vielleicht auch etwas das vom Blickwinkel des Betrachters abhängt .

Du hast recht, dass die drei aufgezählten Programme in der Zahl bzw. defacto drei sind.
Dem Laien kommt aber etwas komisch vor, dass diese drei essentiellen und auf fast jedem System vorhandenen Programmen die einzigen sein sollen, die dieses Schicksal ereilt.
Deine Begründung dafür leuchtet mir ein und demnach ist die Erkennung auch korrekt - doch solltet ihr einfach (und das will ich eigentlich die ganze Zeit sagen) euer System mit x Konfigurationen und x^2 Anzahl an Programmen testen um den Heimwander nicht durch solche vermeidbare Fehler in Unsicherheit zu treiben.

Andreas, Du weißt doch selbst, wie schnell es heißt:
Äh, a² erkennt IE und Firefox als false positives. Das macht mein x-AV Programm aber nicht. a² kommt runter.

Nunja, wenn man die Erkennung aller Würmer, Bots und Downloader der derzeitigen ITW Liste OHNE Signaturen (diverse schaffen das nicht mal mit - aber das sei nur am Rande erwähnt) gegen 3 Fehlalarme stellt, denkt man schon der Gegenüber hat das nicht so wirklich ernst gemeint und da kann man schon mal ironisch werden .

Ich will eure Leistung bei weitem nicht schmälern. Im Gegenteil, ich finde diesen Ansatz gut - sonst würde ich hier auch keine Vorschläge unterbreiten.
Wenn der Fehlalarm bei Programm xyz von nopq.com passieren würde, wäre das nicht tragisch - so trübt es einfach unnötig das gute Bild des IDS.

Nunja, wenn man bissi in Foren liest fallen einem da schon mehr auf. Minibug z.B..[right][snapback]95822[/snapback][/right]

Mag sein, ich sprach von mir. Lass mal ein paar Kunden euer IDS kaufen und schau in einem halben Jahr wieder "bissi in Foren". Welche Wette machen wir, dass es mindestens 10 reproduzierbare Fehlalarme gibt?

Der Beitrag wurde von Manu bearbeitet: 31.05.2005, 20:45

[Voyager]

@Andreas Haak

NEIN, das schadprogramm IST schon gestartet und dann meldet der AV ( signaturbasierend) oder die NAV-IDS (wenn netzwerktauglich und vom AV eventuell nicht erkannt) , das das programm was bestimmtes ist oder macht .
ohne selbstschutz würde nichts aufpoppen und das schadprogramm hätte freie bahn...
am besten du schaust dir die 2005er software mal an und probierst darüber mal eine backdoor aus, die einige AV programme ausschaltet.
dann probierst du dasselbe nochmal mit der 2004er version .

ich kann ja verstehen das du nur für dein produkt hier werbung machst aber als fachmann bestimmte dinge rigeros zu verneinen schockiert mich schon sehr .

Der Beitrag wurde von bond7 bearbeitet: 31.05.2005, 20:50

[Catweazle]

Und wer schreibt noch was ?

Jeder sitzt in lauer stellunlg ?

Oder doch immer F5 drücken.... (was da noch kommt ...?)

Catweazle

[Gast_Jens1962_*]

... das glaubst Du auch nicht, oder? [right][snapback]95824[/snapback][/right]

Eine theoretische Möglichkeit besteht zumindest.
Den Killschutz für a² habt Ihr doch auch nicht nur deswegen geschrieben, weil Euch langweilig war, oder?

[Gast_Andreas Haak_*]

Also wenn Du Deinen Schutz ausschaltest, den Schädling startest und NAV dann erst wieder an machst, so richtig?

[Voyager]

willst du mich verarschen?....der selbstschutz ist im NAV/NIS/NPF2005 default. und ich werd ein teufel tun das häckchen rauszumachen.

[Gast_Andreas Haak_*]

Eine theoretische Möglichkeit besteht zumindest.
Den Killschutz für a² habt Ihr doch auch nicht nur deswegen geschrieben, weil Euch langweilig war, oder? 
[right][snapback]95837[/snapback][/right]

Stimmt - die theoretische Möglichkeit besteht. Genau wie die Möglichkeit besteht, daß a² mal von nem Bagle abgeschossen wird . Und genau für diese theoretische Möglichkeit wollen wir vorbereitet sein .

Defacto war der Killschutz sogar schon integriert - ich glaub in 1.5 . In 1.6 hatten wir ihn wieder abgeschaltet, da er während der internen Beta Phase einige Male Probleme verursacht hat im Zusammenhang mit dem IDS. Aus diesem Grunde ist er in 1.6 nicht enthalten, da es die erste Version mit IDS ist und wir aus Gründen der besseren Debugbarkeit die möglichen Problemfaktoren minimieren wollten.

[Gast_Andreas Haak_*]

willst du mich verarschen?....der selbstschutz ist im NAV/NIS/NPF2005  default. und ich werd ein teufel tun das häckchen rauszumachen.
[right][snapback]95842[/snapback][/right]

Ich meinte mit Schutz eigentlich den Hintergrundschutz - sprich: Den NAV Wächter .

[Voyager]

hintergrundschutz?....ja heute gibts bei mir schnitzel mit dressing .
der selbstschutz in der 2005er betrifft alle symantec-ressourcen ! egal welches modul ich von hand kicken will , es geht nicht.
drumm heisst das ding auch Symantec-ressource-protect und hat seine eigne abteilung im logbuch.

Der Beitrag wurde von bond7 bearbeitet: 31.05.2005, 21:03

[Solution-Design]

...weil Papi klickt dann sicherlich bei jeder ActiveX Aufforderung etc. auf Ja - soll ja schließlich weiter gehen ... .

IE SP2 versteckt da mittlerweile ganz gut

Exakt deshalb ist diese Version auch nicht Version 2.0 sondern 1.6, da wir die Präsentation und die Usability allgemein für 2.0 weiter in den Vordergrund stellen wollen.

Das lässt hoffen.

Defacto kann man dem User mehrere Hilfen zur Hand geben, z.B.:
Webdatenbank bzw. ein Onlineabgleich, Versionsinformationen innerhalb der Datei, Digitale Zertifikate - oft hilft schon das Dateiicon.

Eine Programm-Datenbank wie in Norton Firewall 2005 würde ich schon als Highlight ansehen. Wenn ihr soetwas hinbekommt

...und eine neue Scanengine sind defacto das, was a² v1.6 von 2.0 unterscheiden wird .
[right][snapback]95828[/snapback][/right]

Genau das wollten wir hören. Eine Scanengine, welche auch Markos Testset erkennt

[Gast_Andreas Haak_*]

Euer IDS könnte ich dort auch konfigurieren - nur muss ich nun jedes Programm auf dem PC starten um zu sehen, ob das nicht doch fälschlicherweise erkannt wird?
Genau darauf zieht mein Kommentar ab.

Eigentlich reicht auch einfach mal 5 Minuten mit Deinem System normal zu arbeiten .

Deine Begründung dafür leuchtet mir ein und demnach ist die Erkennung auch korrekt - doch solltet ihr einfach (und das will ich eigentlich die ganze Zeit sagen) euer System mit x Konfigurationen und x^2 Anzahl an Programmen testen um den Heimwander nicht durch solche vermeidbare Fehler in Unsicherheit zu treiben.

Das tun wir auch. Allerdings ist das eine Kosten-Nutzen Gleichung. Wir sind uns bewusst, daß diese 3 Problemfälle existieren. Prinzipiell könnten wir sie sogar sofort entfernen. Jetzt ist nur die Frage ob sich eine Verringerung der Downloader Erkennung lohnt um z.B. die Windows Media Player Fehlalarme zu vermeiden. Es steht dort z.B. 1 Fehlalarm (oder von mir aus auch 2 oder 5) gegenüber einem gewissen Prozentsatz den wir weniger erkennen würden. Da wir nunmal ein rein generisches System geschaffen haben und ein User der a² kauft sich dessen auch bewusst sein sollte, ist dieser eine Fehlalarm derweil ein akzeptables Opfer.

Wie gesagt wird es in Version 1.7 mehrere Sicherheitslevel geben bzw. Optionen mit denen man die Effektivität/Aggressivität zu Gunsten der Fehlalarmquote verringern kann.

Derweil geht das aber noch nicht, da die 1.6 GUI die Möglichkeiten dafür nicht bietet und wir erst entsprechende Rahmenbedingungen für solche Änderungen schaffen mussten.

[Voyager]

Jetzt ist nur die Frage ob sich eine Verringerung der Downloader Erkennung lohnt um z.B. die Windows Media Player Fehlalarme zu vermeiden.

das klingt wie reine werbung ohne technischen hintergrund...

[Manu]

Wenn es nur diese 3 Programme sind, warum haut ihr nicht die MD5-Summen davon in euer Programm rein? Mit den verschiedenen Versionen werden das dann vielleicht ~50 - das wäre doch aber vertretbar.