Wir wollen ja objektiv sein :o). Wieso sollte man Anti-Malware Software einsetzen (damit meine ich sowohl Anti-Virus, -Trojaner und -Spyware) bzw. wieso ist der Einsatz sinnlos?

Anti-Malware Programme sind grundsätzlich sinnlos - ja/nein

Wenn das Programm was taugt, ist es in meinen Augen auf jeden Fall sinnvoll, ja praktisch unverzichtbar. Deswegen wundert mich dieser Thread von dir ein bisschen :D Sogar NAV ist (meiner Meinung) besser als nichts. Wenn man sehr erfahren ist, kann man Trojaner vielleicht selbst aufspüren, doch da der "normale" User nicht dazu in der Lage sein dürfte, sollte man einen Scanner einsetzen, damit im schlimmsten Falle keine Daten verloren gehen.

Gruß
C - soll das ne Verarsche sein - C

Wenn du schon so direkt fragst... ;)
Antivirenprogramme haben immer den Nachteil, daß ihre Signaturen älter als die aktuelle Malware sind. Somit ist ein Schutz vor den neuesten Viren und Würmern nicht gegeben. Erst wenn ein Virus oder Wurm eine gewisse Verbreitung gefunden hat und man dann von ITW ausgehen kann, werden von den Herstellern die Signaturen erstellt. Im aktuellen Fall von Bugbear (oder ILOVEYOU, Melissa) leider zu spät. Die Wirksamkeit eines Antivirusprogramms ist mit der Wirksamkeit eines Spamfilters gleichzusetzen.

ciao, docp.

Sehe ich nicht so. NOD32 ist in der Lage 95% neuer Malware nur durch die Heuristik zu erkennen. So z.B. auch Bugbear. Ähnlich sieht es mit Kaspersky aus :o).

Kaspersky hat außerdem innerhalb von wenigen Minuten ein Update veröffentlicht.

</font><blockquote>Zitat:</font><hr /> NOD32 ist in der Lage 95% neuer Malware nur durch die Heuristik zu erkennen. So z.B. auch Bugbear. Ähnlich sieht es mit Kaspersky aus [img]redface.gif[/img] ). </font>[/QUOTE]Solch starke Heuristiken WÄREN zwar toll und sind sicherlich der Weg der Zukunft, nur leider scheint mir die Realität derzeit etwas anders auszusehen...
Jedenfalls konnte KAV kürzlich in einem kleinen "Spaß-Test" mit ca. 35 neuen Schädlingen (hauptsächlich Würmer und Trojaner) nur 2 oder 3 als "suspicious" einstufen (ja, der Code-Analyzer war aktiviert).
Bei Tests von namhaften AV-Testern ist auch nur von höchstens 60% die Rede.

Und die von dir genannten 95% verwenden die Hersteller doch nichtmal in ihrer Werbung... ;)

</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak:
Kaspersky hat außerdem innerhalb von wenigen Minuten ein Update veröffentlicht.</font>[/QUOTE]Innerhalb von wenigen Minuten ab genau welchem Zeitpunkt?

</font><blockquote>Zitat:</font><hr />Original erstellt von Dr Prantl:
</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak:
Kaspersky hat außerdem innerhalb von wenigen Minuten ein Update veröffentlicht.</font>[/QUOTE]Innerhalb von wenigen Minuten ab genau welchem Zeitpunkt?</font>[/QUOTE]Ab dem Zeitpunkt als der erste Virus im Labor landete. Das ist allerdings schon immer recht schnell der Fall :o).

&gt;Solch starke Heuristiken WÄREN zwar toll und
&gt;sind sicherlich der Weg der Zukunft, nur leider
&gt;scheint mir die Realität derzeit etwas anders
&gt;auszusehen...

NOD32 mal getestet?

&gt;Jedenfalls konnte KAV kürzlich in einem
&gt;kleinen "Spaß-Test" mit ca. 35 neuen Schädlingen
&gt;(hauptsächlich Würmer und Trojaner) nur 2 oder 3
&gt;als "suspicious" einstufen (ja, der Code-
&gt;Analyzer war aktiviert).

Für Trojaner hat kein Programm eine effektive Heuristik. Für Würmer kommt es an ob Script oder PE.

&gt;Bei Tests von namhaften AV-Testern ist auch nur
&gt;von höchstens 60% die Rede.

NOD32 wurde noch von keinem Namenhaften Hersteller erkannt. Ich kann aber mal einen Test machen :o).

Die Frage war doch, ob solche Software GRUNDSÄTZLICH sinnlos ist.
Würde man eine gegen Windows-Viren konzipierte Software auf reinen Linux-Kisten laufen lassen (sofern das technisch möglich ist), dann wäre das GRUNDSÄTZLICH sinnlos. Es sei denn, jemand würde auf einer Linuxkiste Windows emulieren und die entsprechenden Schädlinge wären unter diesen Bedingungen lauffähig.
Ob nun ein Virenscanner unter normalen Bedingungen einen Schädling nun Stunden oder Tage nach dessen Entdeckung erkennt, ist doch schnuppe, solange er ihn ÜBERHAUPT erkennt. Das mag für denjenigen, der sehr früh trotz regelmäßiger Updates infiziert wird, wenig tröstlich sein, aber die Masse der User betrifft das sowieso erst Tage, Wochen oder gar Monate später und bis dahin ist der Schutz gewährleistet.
Ein Airbag bläst sich auch erst NACH dem Aufprall auf. Meistens hilfts, manchmal nicht und sehr selten versagt er komplett. Dennoch ist er nicht GRUNDSÄTZLICH sinnlos.

</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak:
[Zeitpunkt der Veröffentlichung von Updates]
Ab dem Zeitpunkt als der erste Virus im Labor landete. Das ist allerdings schon immer recht schnell der Fall [img]redface.gif[/img] ).</font>[/QUOTE]"Recht schnell" ist relativ. Hast du dazu eine zuverlässige Statistik oder eine Quellenangabe? Und sofern Kaspersky den Virus nicht selbst geschrieben hat, muß der Virus zuerst von irgendeinem Anwender eingeschickt worden sein, oder wie läuft das ab?

Du glaubst gar nicht was für ein Netzwerk die AVs aufgebaut haben und welche Frühwarnsysteme man nutzt ;o). Falls Interesse besteht, kann ich gerne mal ein paar Infos posten :o).

Ja, daran habe ich großes Interesse. [img]smile.gif[/img]

Wie Du sicherlich weißt durchläuft eine Mail mehrere Server bis sie bei ihrem Ursprungspunkt ankommt.

Genau dies nutzen die AV Hersteller aus. Es gibt in jedem Land gewisse Knoten, die von 90% aller Mails garantiert durchlaufen werden. Das sind meist die lokalen Freemailer und die größten Provider (in D z.B. T-Online, GMX, WEB.DE, ePost, Freenet, AOL ...).

Nun ist euch sicherlich schon mal aufgefallen, daß viele dieser Mailprovider Virenschutzlösungen anbieten und teilweise einsetzen.

Meist bestehen Kooperationsverträge mit den Herstellern. Sie bekommen die Erlaubnis Mails zu scannen und unbekannte aber verdächtige Mails samt attachment zu erhalten und dafür bekommen die Provider die Lösung für ihre kunden quasi gratis *fg*.

So läuft das ab. Die genauen Verfahren sind unterschiedlich [img]redface.gif[/img] ). Z.B. wird bewusst nach Exploits erkannt. Oder nach mehreren Mails von verschiedenen Absendern, die das selbe Attachment haben usw. usw. usw. .

Also die Leute sind da recht kreativ. Es gibt da noch einige andere Verfahren - aber ich glaube das würde den Rahmen sprengen *fg*.

Bei Viren und Würmern, die sich per Mail verbreiten, mag das zutreffen, aber wie sieht es bei Viren aus, die man in Filesharingbörsen oder anderen Stellen findet? :confused:

Kommt aufs Netzwerk an. Kazaa hat mit seinen zentralen Servern z.B. ähnliche Kooperationen. Außerdem durchforsten BOTs regelmäßig solche Netzwerke.

Ein Wurm (Mail) wird von einigen Herstellern je nach Land ca. 10 - 15 Minuten nach der ersten Infektion bereits als verdächtig erkannt und landet sofort im AV Labor. Die Analyse in den Labors dauert meist wenige Minuten. Sobald fest steht das es Malware ist, geht das ganze über einen globalen Verteiler an alle anderen AVs. Innerhalb von 30 Minuten nach der ersten Infektion sind viele Mailserver bereits mit den neuen Erkennungsmerkmalen ausgerüstet - einige Minuten später folgen dann auch die Privatanwender.

1) bei personal-firewalls ist immer so ziemlich das erste argument dagegen, dass sie ja leicht zu umgehen seien. das stimmt.

bei anti-malware ist es genau das selbe: tunnelen ist in dem fall eben nur patchen/packen/crypten.

dies ist im grunde dieselbe konzeptionelle schwäche.

2) heuristiken kommen nicht mal annähernd auf die genannten 95% erkennungsrate, bei schädlingen, die nicht im source vorliegen (also bei nicht-scripts). jeder, der was anderes behauptet, soll mir dafür einen glaubwürdigen beleg liefern [1].

3) ich kann mir weder sicher sein, dass malware, die laut hersteller erkannt wird, auch wirklich erkannt wird, noch weiß ich genau, dass ein erkannter virus auch wirklich keine fehlinterpretation ist.

4) das problem, dass ein virus erst einmal einem AV-hersteller vorliegen muss, um erkannt zu werden bleibt immer, wie sehr auch einige mit halber sicherheit zu argumentieren versuchen, dass das doch theoretisch [2] ziemlich schnell gehen müsse(übrigens: signatur angepasst).

fazit: virenscanner sind vielleicht nicht grundsätzlich sinnlos. aber: jeder, der den grundsätzlichen nutzen von personal-firewalls abstreitet, macht sich läscherlich, wenn malwarescanner auf einmal als weisheit letzter schluß angesehen werden.

.cruz

[1]im übrigen steigen die fehlalarme exponentiell mit heuristik an, so dass ein weiterer kritikpunkt von firewalls (den user zu verunsichern/überfordern) hinzukommt.

[2] und nein, dass das auch praktisch schon oftmals schnell geklappt hat[3], macht das ganze auch nicht viel besser

[3] auch wenn niemand wirklich genau weiß/wissen kann, wie lange es wirklich gebraucht hat

&gt;bei anti-malware ist es genau das selbe:
&gt;tunnelen ist in dem fall eben nur
&gt;patchen/packen/crypten.

Patchen hilft nicht bei neueren Generationen von Virenscannern (z.B. bei der NOD32 2.0 Beta).

Packen und Crypten sind ein Problem. Einige Virenscanner (z.B. NOD32 2.0) gehen deshalb den Weg über Speicherscans oder sie benutzen ihre Emulation um Packer/Crypter zu emulieren

&gt;2) heuristiken kommen nicht mal annähernd auf
&gt;die genannten 95% erkennungsrate, bei
&gt;schädlingen, die nicht im source vorliegen (also
&gt;bei nicht-scripts). jeder, der was anderes
&gt;behauptet, soll mir dafür einen glaubwürdigen
&gt;beleg liefern [1].

Ich bin grade dabei einen entsprechenden Beweis zu liefern. Der Scan läuft derzeit [img]redface.gif[/img] ). Bislang hängt die Erkennung bei ca. 80% - allerdings hab ich vergessen die Backdoors rauszulöschen. Wir sprechen ja von Heuristiken in VIRENSCANNERN.

Das eine Heuristik keine 95% schafft ist EIN GERÜCHT. Bootsektor Viren lassen sich mittlerweile sogar mit 100%iger Genauigkeit erkennen ohne Fehlalarme. Ähnlich Macroviren.

&gt;3) ich kann mir weder sicher sein, dass malware,
&gt;die laut hersteller erkannt wird, auch wirklich
&gt;erkannt wird, noch weiß ich genau, dass ein
&gt;erkannter virus auch wirklich keine
&gt;fehlinterpretation ist.

Zumindest für den letzten Teil gibts den Hersteller Support [img]redface.gif[/img] ).

&gt;4) das problem, dass ein virus erst einmal einem
&gt;AV-hersteller vorliegen muss, um erkannt zu
&gt;werden bleibt immer, wie sehr auch einige mit
&gt;halber sicherheit zu argumentieren versuchen,
&gt;dass das doch theoretisch [2] ziemlich schnell
&gt;gehen müsse(übrigens: signatur angepasst).

Es gibt mitlerweile auch neue Konzepte über Behavior Scanning und Blocking. Die Heuristiken arbeiten bei Viren sehr gute Arbeit (und ich meine nicht die KAV heurstik - ich meine z.B. NOD32, RHBVS usw.).

&gt;[1]im übrigen steigen die fehlalarme
&gt;exponentiell mit heuristik an, so dass ein
&gt;weiterer kritikpunkt von firewalls (den user zu
&gt;verunsichern/überfordern) hinzukommt.

Die Chance eines Fehlalarms steigt auch mit der Anzahl der Signaturen. Gute Heuristiken produzieren nur sehr sehr selten Fehlalarme bis GAR NICHT.

</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak:
Patchen hilft nicht bei neueren Generationen von Virenscannern (z.B. bei der NOD32 2.0 Beta).</font>[/QUOTE]und wie soll das gehen? ist nod32 2.0 nicht signaturbasiert?

</font><blockquote>Zitat:</font><hr />Ich bin grade dabei einen entsprechenden Beweis zu liefern. Der Scan läuft derzeit [img]redface.gif[/img] ). Bislang hängt die Erkennung bei ca. 80% - allerdings hab ich vergessen die Backdoors rauszulöschen. Wir sprechen ja von Heuristiken in VIRENSCANNERN.</font>[/QUOTE]da bin ich ja mal sehr auf dein genaues testszenario gespannt.

</font><blockquote>Zitat:</font><hr />Das eine Heuristik keine 95% schafft ist EIN GERÜCHT.</font>[/QUOTE]nagut sagen wir mal zB bei trojanern, das geht per definition nicht. woher soll ein programm per heuristik wissen, ob es vom user gewollt ist, dass eventuell eingegebene daten an den hersteller gesendet werden, oder nicht? (also die eigentliche definition eines trojaners, ungewollte funktionen). mir würden auf anhieb noch ein paa mehr beispiele einfallen, aber eins reicht ja erstmal.

</font><blockquote>Zitat:</font><hr />Es gibt mitlerweile auch neue Konzepte über Behavior Scanning und Blocking. </font>[/QUOTE]das mag ja sein, wie kann ich das _heute_ einsetzen und wie gut funktioniert das _heute_?

</font><blockquote>Zitat:</font><hr />Die Chance eines Fehlalarms steigt auch mit der Anzahl der Signaturen. </font>[/QUOTE]ein weiteres argument dagegen [img]tongue.gif[/img]

.cruz

achso, ich habe einen (nicht ganz ernst gemeinten) vorschlag, alle genannten probleme auf einmal zu lösen. man arbeitet anstatt mit blacklisten einfach mit whitelisten [img]tongue.gif[/img]

.cruz

&gt;und wie soll das gehen? ist nod32 2.0 nicht
&gt;signaturbasiert?

NOD32 2.0 benutzt Behavior Scanning.

&gt;da bin ich ja mal sehr auf dein genaues
&gt;testszenario gespannt.

Ca. 200.000 Malwaresamples werden gescannt mit NOD32.

&gt;nagut sagen wir mal zB bei trojanern, das geht
&gt;per definition nicht.

Stimmt. Es gibt Malwaretypen (z.B. Trojaner und noch einige andere) bei denen ist eine Heuristik schwer. Für diese gibt es aber Anti-Trojaner Programme, die Heuristiken bieten, deren Trefferquote bei über 50% liegt. Das ist nicht viel, aber immerhin ein Anfang.

Windows 32 Infektoren bekommst Du heutzutage kaum noch vor einer guten Heuristik versteckt. DOS schon seit einigen Jahren nicht mehr.

&gt;das mag ja sein, wie kann ich das _heute_
&gt;einsetzen und wie gut funktioniert das _heute_?

Für den Massenmarkt ist es nicht verfügbar.

&gt;&gt;Die Chance eines Fehlalarms steigt auch mit der
&gt;&gt;Anzahl der Signaturen.
&gt;ein weiteres argument dagegen [img]tongue.gif[/img]

Das sollte ja nur eine Ergänzung zu deinem Argument sein.

</font><blockquote>Zitat:</font><hr /> das mag ja sein, wie kann ich das _heute_ einsetzen und wie gut funktioniert das _heute_? </font>[/QUOTE]Genau... den Firewall-Herstellern wird ja von einigen hier auch keine Zeit zugestanden, die durch TooLeaky & Co dokumentierten Lücken zu schließen (und sogar ignoriert, dass einige FWs zumindest diese Lücken nicht mehr haben).
Warum werden bei Virenscannern andere Maßstäbe angelegt? :confused:

[ 11. Oktober 2002, 18:39: Beitrag editiert von: forge77 ]

Weil Firewalls durch Lücken umgangen werden, die bereits mehrere JAHRE bekannt sind - deshalb.

Virenhersteller die gut sind, reagieren recht gut. Siehe McAfee, KAV, RAV, NOD32 ... .

Der erste tunnelnde Backdoor-Trojaner ist aber noch nicht sehr alt... TooLeaky & Firehole sind auch nicht viel älter (jedenfalls noch kein Jahr.)

Die Prinzipien sind alt. Es gibt noch mehr Tools als Firehole z.B. . NGLT nutzte die selbe Methode wie Firehole und ist über ein jahr alt.

</font><blockquote>Zitat:</font><hr /> NGLT nutzte die selbe Methode wie Firehole und ist über ein jahr alt. </font>[/QUOTE]Mensch! Damit hättest du RICHTIG berühmt werden können! :D

bin ich doch eh scho *fg*

@Seltsam Du hast davon berichtet, dass die AV Hersteller mit Mailserverbetreibern wie GMX ein Abkommen geschlossen haben und verdächtige Mails untersuchen dürfen (so habe ich es zumindest verstanden).

Ich habe da GANZ ERHEBLICHE datenschutzrechtliche Bedenken und meine auch, dass ein solches Vorgehen (Lesen und Analysieren von Emails durch Dritte auf Verdacht) von den GMX AGB's nicht gedeckt wäre.

@Alle Any comments?

Gruss Nautilus

Bei GMX bin ich mir nicht sicher. WEB.DE hat ne Vereinbarung mit NAI - das weiß ich. hotmail imho auch. eins und eins mit norton.

Es werden auch AUSSCHLIESSLICH die Attachments analysiert. Keine Inhalte.

Wenn z.B. 20 verschiedene Personen das selbe Attachment verschicken, dann werden z.B. einige Frühwarnsysteme aktiv und der Admin leitet die Attachments an die AV Hersteller weiter.

Bei Hotmail steht bestimmt in den AGB, dass Email, Adressen und sogar das Haus eines jeden Mitglieds an beliebige Dritte verkauft werden dürfen ;)

Im Ernst: Auch bei Attachments hätte ich noch Bedenken. Was ist etwa mit einer Worddatei, die VIELLEICHT einen Macrovirus enthält, mit Sicherheit aber vertrauliche und persönliche Informationen?

[ 11. Oktober 2002, 20:41: Beitrag editiert von: Nautilus ]

Mir fällt in diesem Zusammenhang auf, dass ich manchmal einige Dateiattachments bei GMX nicht downloaden kann, meistens solche, die ich auch nicht bestellt habe ;) Aber ich habe für diesen Fall eine Testumgebung geschaffen ... nur um checken, ob da wirklich "böse Dinge" vorhanden sind [img]redface.gif[/img] :D

Hat das was mit dieser 'Überwachung' zu tun?

Gruß!
MyThinkTank

Moin Boardies...

vielleicht ist dieser Artikel aus der Computerwoche ja schon bekannt, aber glaubt man dem Szenario, scheint es mit der Alianz zwischen großen Providern und AV-Herstellern nicht eben zum besten bestellt zu sein... Der Versuch basiert zwar auf einem Model, wurde unter Laborbedingungen durchgeführt... es gibt aber genügend Beispiele, dass Laborszenarien sehr schnell Realität werden können.

Grüße, dicon

</font><blockquote>Zitat:</font><hr />Original erstellt von diconB:
vielleicht ist dieser Artikel aus der Computerwoche ja schon bekannt,...</font>[/QUOTE]

Computerwoche goes Network-Secure = Uraltgeschichten als News verkaufen ;)

</font><blockquote>Zitat:</font><hr />Der Versuch basiert zwar auf einem Model, wurde unter Laborbedingungen durchgeführt... es gibt aber genügend Beispiele, dass Laborszenarien sehr schnell Realität werden können.</font>[/QUOTE]Theoretisch ist das sicherlich möglich, wie vieles anderes auch was es an "Theorie" über Malware gibt. Da sind diese "Warhole"-Würmer sicherlich noch die geringste Gefahr.

Wie groß solche Gefahr wirklich ist, dass lässt sich nur schwer einschätzen, aber einer provitiert sicherlich von den Ergebnissen des Models: AV-Hersteller.

wizard

Neu von Kaspersky:

Allgemeine News. Freitag, Dezember 06, 2002
******************************************************************

1. Kaspersky Labs erweitert seine Produktlinie im Bereich Informationssicherheit
2. Wie können Sie die News-Services abonnieren bzw. abbestellen?
3. Sicherheitsregeln

****

1. Kaspersky Labs erweitert seine Produktlinie im Bereich Informationssicherheit

KasperskyTM Anti-Hacker: Ein optimaler Schutz für Ihren PC

Kaspersky Labs, eine internationale Software-Schmiede im Bereich
Datensicherheit, gibt bekannt, dass ab sofort eine neue vollfunktionelle
Personal-Firewall-Version, KasperskyTM Anti-Hacker, ein optimales System
zum Schutz von Heim-Computern vor Hacker-Attacken und zur Verhinderung
unautorisierten Zugriffs auf persönliche Daten, erhältlich
ist.

Heute bilden Informationstechnologien einen nicht mehr weg zudenkenden
Bestandteil unseres Alltagslebens. Weltweit benutzen Hunderte von
Millionen Menschen IT zur Lösung der unterschiedlichsten Aufgaben.
Doch die Computerisierung birgt viele Risiken durch Schädlinge,
Hacker, unautorisierten Zugriff auf vertrauliche Daten usw. Eine
besondere Gefahr geht von Hacker-Attacken übers Internet aus, die
aufgrund ihrer Anzahl und Vielfalt jedes ungeschützte System lahm
legen können. "Ein Computer bietet 65'536 "Hintertürchen"
(Ports), über die Hacker ins System eindringen und Zugang zu
vertraulichen Daten des Users erhalten und eine volle Kontrolle
über den PC gewinnen können," erklärt Natalja Kaspersky,
CEO von Kaspersky Labs. "Nur ein Antiviren-Programm genügt da
nicht. In Anbetracht der zunehmenden Anforderungen unserer Kunden haben
wir Kaspersky Anti-Hacker, einen Personal-Firewall für Heim-PCs
entwickelt, der eine maximale Transparenz beim Zugriff aufs Internet und
bei der Arbeit mit dem Internet bietet, insbesondere für User,
welche keine Zeit haben, sich mit dem Produkt auseinander zu setzen.
Unsere vordringlichste Aufgabe ist es, einen Schutz zu bieten, der
möglichst selbstständig im Hintergrund abläuft und dem
User keine zusätzliche Arbeit aufbürdet."

KasperskyTM Anti-Hacker bildet einen Filter zwischen dem PC und dem
Internet, welcher alle eingehenden und ausgehenden
Informationsflüsse überprüft und nur ungefährliche
Daten und Handlungen zulässt. Auf diese Weise schützt das
System einerseits vor Hacker-Attacken von externen Netzwerken aus,
regelt andererseits jedoch auch den Zugang von auf dem Computer
installierten Anwendungen aufs Internet. Dadurch wird verhindert, dass
vertrauliche Daten, nach einer Infizierung mit einem Trojaner, in die
falschen Hände geraten. Dieser Schutz wirkt auch bei den neusten
und ausgeklügeltsten Trojanern. Eines der Hauptmerkmale dieses
Produkts ist seine Einfachheit. "Als wir mit der Entwicklung des
Produkts anfingen, wussten wir genau, dass es auf dem Markt viele
ähnliche Produkte gibt. Deswegen begannen wir mit einer Umfrage
unter den Privatanwendern. Und fanden dabei heraus, dass, nach Meinung
der Mehrheit, die im Handel erhältlichen Firewalls ein
umfangreiches Fachwissen und viel Zeit für die Installation und zum
Verstehen der Funktionsweise benötigen. Unser Produkt ist eine
gelungene Kombination von Einfachheit und Funktionalität und
ermöglicht einen Schutz für Ihren PC ohne vertiefte
Fachkenntnisse. Dieses Produkt eignet sich sowohl für
vielbeschäftigte Manager, welche keine Zeit haben, sich mit
Einstellungen auseinander zu setzen, wie auch für Hausfrauen,"
erklärt Aleksej Kalgin, Projektmanager von Kaspersky Labs für
KasperskyTM Anti-Hacker.

KasperskyTM Anti-Hacker bietet die Möglichkeit, die
Filtrierungsregeln für jede Internet-Anwendung, für die
Datenflüsse (TCP, UDP, ICMP u.a.), konkrete IP-Adressen,
Internet-Adressen und Ports einzeln festzulegen. Für die
Programmsteuerung bietet das Produkt 5 verschiedene Stufen. Der User
selbst bestimmt, welche Stufe er gerade benötigt, ohne Zeit
für eine Vertiefung in die Einzelheiten der Konfiguration zu
verlieren. Das Programm nimmt alle notwendigen Einstellungen selbst vor.
Zugleich verfügt das Programm über die Möglichkeit
für fortgeschrittene User, die Einstellungen selbst vorzunehmen.
Außerdem bietet das Produkt auch einen Lernmodus, welcher das
Programm automatisch an die jeweilige Software, welche auf dem PC
installiert ist, anpasst. Beim Erstellen neuer oder Modifizierung
bereits bestehender Regeln werden alle Änderungen sofort, ohne
Programm-Neustart, aktiv.

Eine Besonderheit des Produkts ist das Abfangen von Daten auf der Ebene
des Netzwerk-Protokolls, wodurch Informationen vor ihrer Verarbeitung
durch andere Anwendungen gefiltert werden können. Ein destruktiver
Code, welcher sich gegen eine bestimme Anwendung oder ein bestimmtes
Betriebssystem richtet, wird rechtzeitig neutralisiert und auf dem PC
des Users werden nur ungefährliche Daten verarbeitet. Dadurch
bietet KasperskyTM Anti-Hacker einen zuverlässigen Schutz gegen die
verbreitetsten Arten von Hacker-Attacken, wie z.B. DoS-Attacken und Ping
of Death.

Mit im Programm integriert ist eine innovative Technologie zur Kontrolle
über die Ports des Computers. Damit wird das geschützte System
für unerwünschte Personen gegen außen unsichtbar.
Dadurch verlieren die Hacker ganz einfach das Objekt für Attacken
aus dem Blick, und alle folgenden Versuche, Zugriff auf den Computer zu
erhalten, haben keine Chance.

Das Programm führt einen ausführlichen Bericht über die
Filtrierung ein- und ausgehender Datenflüsse, für welchen je
nach spezifischem Bedarf des Users die Einstellungen einfach
verändert werden können. Alle kritischen Ereignisse werden in
einem speziellen Bericht festgehalten und, falls gewünscht, sofort
dem Besitzer des Computers mitgeteilt. Durch ein effizientes
Datenfiltrationssystem wirkt sich das Programm kaum auf die
Leistungsfähigkeit des Systems als Ganzes aus und bewirkt keine
wesentliche Verlangsamung der anderen Anwendungen.

Die hervorragende Funktionalität von KasperskyTM Anti-Hacker ist
das Ergebnis einer Analyse der Anforderungen an modernste
Personal-Firewalls und deren Anpassung an die Anwendung auf Heim-PCs.
"Unser Produkt ist ausgesprochen einfach in der Handhabung und bietet
genau die Funktionen, die für Privatanwender tatsächlich
notwendig sind, welche über kein vertieftes Fachwissen im
IT-Bereich verfügen. Das Programm gewährleistet einen
zuverlässigen Schutz und belastet den User nicht mit Funktionen,
die er sowieso nie braucht," erklärt Natalja Kaspersky.

KasperskyTM Anti-Hacker können Sie im Online-Shop
(http://www.kaspersky.com/de/buyonlin...chapter=949023) von
Kaspersky Labs finden.

***

[ 06. Dezember 2002, 18:35: Beitrag editiert von: Optimist ]

Kaspersky auf den Spuren von Symantec?

</font><blockquote>Zitat:</font><hr /> Das eine Heuristik keine 95% schafft ist EIN GERÜCHT. Bootsektor Viren lassen sich mittlerweile sogar mit 100%iger Genauigkeit erkennen ohne Fehlalarme. Ähnlich Macroviren.
</font>[/QUOTE]Wie kommts, daß die immer noch im Umlauf sind?

Also, ein paar Bekannte von mir verwenden die Norton Personal Firewall und fühlen sich (logischer weise) geschütz. Sie erzählen mir von Warnmeldungen wie: "Trojaner xy versuchte dieses und jenes".
Kann es dabei nicht sein, dass ein ganz normaler sog. Portscann einen bestimmten Trojanerprot abgesucht hatte? Von da her sehe ich diese Warnmeldung sogar als negativ, da der User unnötig "Angst" bekommt, jemand will ihn "hacken". Um eine echte Warnmeldung von falschen zu unterscheiden müsste doch ein Trojaner schon auf dem PC drauf sein, oder?
Demnach brauche ich keine Firewall, da ich ja AV Programme wie KAV oder AVK hab, die mir die Dinger beseitigen.
Fazit: Geld und Nerven gespart und wenn man sich halbwegs mit gesundem Menschenverstand durchs www bewegt und nicht alles anklickt und downloadet, wird wohl kaum ein Trojaner, Virus, Dialer etc drauf kommen.

hmm hast recht. Sind meistens normale Portsscans.

Ich hoffe mal, ich begehe keinen Frevel, wenn ich nach so langer postingloser Zeit in diesem Thread schreibe. Aber hier geht es um etwas, was mir schon lange am Herzen (oder besser an den Nerven) liegt.

Ich arbeite im Support. Bei mir will Otto Normaluser eine Lösung bekommen, wenn sein Betriebssystem mal wieder nicht läuft. Systemschutzsoftware spielt dabei eine nicht unerhebliche Rolle. Die gröbsten Auswüchse (User hat "das volle Paket" installiert, obwohl er noch nicht einmal am Internet angeschlossen ist), möchte ich mal außen vor lassen. Aber viele installieren einfach die meist verbreitete Software dieser Art (Norton hat fantastische Mitarbeiter - in der Werbung) und fühlen sich sicher. Darauf angesprochen äußern die meisten, sie fühlten sich "nackt" ohne, können es aber nicht weiter untermauern, weil die Hintergrundinformationen fehlen. Sie wissen im Prinzip schlicht und einfach nicht, worum es geht. Dabei glaubt man nicht, wie viele User anrufen, die einen Virus haben, OBWOHL ein aktueller Virenscanner drauf ist. Wenn sie einen Virus installieren wollen, dann finden sie schon automatisch die Mittel und Wege, es zu schaffen. Da nutzt kein Virenscanner etwas.
Nun gut, ich habe auch eher mit unbedarften Usern zu tun (Standardsupport). Ausnahmen bestätigen dort eher die Regel. Aber gerade für diese User ist ein Virenscanner eher unnütz. Sie verstehen nicht das geringste von Dateianhängen (die Dateiendung ist NIE eingeblendet), sie öffnen alle Anhänge von jedem Absender. Sie sind ja "sicher". Und damit sie auch wirklich ganz sicher sind, auch keine privaten Daten an das böse Microsoft zu senden, installieren sie auch noch eine Firewall. Und sie meiden aus Prinzip die Windows Update Seite wie die Pest. Schließlich ist Microsoft ja der ganz böse Gigant, der uns alle beherrschen will. Die Daten werden alle gegen uns verwendet und das braucht man ja nicht zu unterstützen.

Das ist keine Übertreibung, ich halte es inzwischen fast für die Regel.

Nun kommt es aber auch vor, daß diese Programme mal nicht ordentlich funktionieren. Bei Virenscannern geht es noch. Da werden beim Email Echtzeitschutz mal eben die Emails gelöscht. Standardmäßig. Oder eben auch außer der Reihe. Da kommen die User nie wieder an ihre Emails, weil der Posteingangsserver vom Virenproggie durch eigene Einträge ersetzt wird. Auch nach der Deaktivierung des Programmes. Auch nach der Deinstallation des Programmes. Von Firewalls will ich gar nicht anfangen. Die Probleme, die eine Firewall verursachen kann, würden den Rahmen sprengen. Wer soll dem 74jährigen Rentner, der seinen Rechner bei Lidl gekauft hat erzählen, wie er manuell sein TCP/IP Protokoll unter Dos löschen und neu extrahieren kann, weil definitiv von der Firewall Systemdateien ausgetauscht wurden? Und diese Fälle sind nicht selten. Ich habe täglich mit ihnen zu tun. Mindestens die Hälfte aller Internet Probleme würde ich auf Firewalls, Scriptblocking, Virenscanner, ja,auch 0190Warner zurückführen. Außer Norton und Zonealarm tun sich selten dort andere Programme hervor. Ich habe allerdings die Vermutung, daß das Clientel, welches andere Programme als die genannten verwenden, sich wohl an andere Quellen wenden als an den Standardsupport. Es sind 2 Welten, die selten miteinander in Berührung kommen. Nur schätze ich das Clientel, welches ich hier anspreche, auf über 90% aller User ein. Wenn diese User nur einmal die Woche auf die Windows Update Seite gehen würden, hätten sie die meisten Probleme nicht.

Mein Eindruck ist: Die meisten Leute haben mit Systemschutzsoftware mehr Probleme als ohne!

Ein Beispiel:
Mein Nachbar bezieht von mir seinen Internetzugang, ich habe ihm den Rechner eingerichtet. Er kann auch auf meine Musikdateien zugreifen. Er schafft es immer wieder, meine Einstellungen auszuhebeln und sich Viren der schlimmsten Art zuzulegen. Da ist Hopfen und Malz verloren. Ich reinige sein System oder setze je nach Bedarf neu auf - nach einem Monat das gleiche Spiel. Mein Rechner bleibt wegen entsprechender Einrichtung unberührt. Ich nutze keine Firewall, keinen Virenscanner. Bei Bedarf greife ich gerne auf Online Scans zurück.

Vielleicht MÜSSEN diese Leute wirklich einmal schmerzhaften Datenverlust erleiden, um sich für die grundlegendsten Sicherheitsvorkehrungen zu interessieren. Oder sie müssen als Admins ihrer eigenen PC´s entmachtet werden, um sie vor sich selbst zu schützen.

Eine Anmerkung noch:
Ich spreche von Privatusern, die sich immer wieder neu ins Internet einwählen. Firmen und Standleitungen brauchen natürlich einen Systemschutz, das steht für mich außer Frage.

Edit:
Ein Klick für den Wohnort unten, vorher stand er drin!

[ 04. Februar 2003, 23:27: Beitrag editiert von: Screenee ]

Hmm, KaZaa hat schon vor einigen Softwaregenerationen die letzten zentralisierten Strukturen abgeworfen. Das waren auch reine Indexmaschinen (Supernodes), die aus Lastgründen keine Files anboten. Folge der Umstellung war, daß seinerzeit die alten Morpheusclients nicht mehr liefen.

Ciao,

Detlev