F-Secure: "Staatstrojaner bekommen von uns keinen Freifahrtschein"

Artikel ansehen

Warum sollten wir dann also die DSVGO an erster Stelle brauchen? Ich meine, es ist nur für die Geheimdienste… aber in welchem Standard können sie das tun? Vielleicht für einige kriminelle Handlungen usw…aber sie können auch für die Zwecke eines Landes den Messanger nachschlagen. Das ist krank.

Die DSGVO ist etabliert worden, um dem Benutzer das Gefühl zu suggerieren, wieder die „Hoheitsrechte“ über seine eigenen, persönlichen Daten zu erlangen !! :wink:

Hat euch F-Secure wenigstens für den Artikel bezahlt?

Virenscanner sind Bullshit, die erhöhen meist noch die Angriffsoberfläche.

Unverhoffte Ausnahme: der Windows10-bordeigene „Defender“ packt seine Scanengine in eine Sandbox und damit ist man nicht gleich gepwnt wenn die Malware erfolgreich den Scanner angreift. Aber wer sich heute noch auf einen Virenscanner verlässt hat eh längst verloren.

Ein Werbe- oder besser Skriptblocker im Browser erledigt 99% der wahrscheinlichsten Angrifsvektoren. Sollten die Schlapphüte persönlich vorbeikommen um ihre Schnorchelware zu installieren ist eh alles verloren. Da wird im Zweifel schnell ne Hardware-Wanze eingebaut die per Software unerkennbar ist.

Lol, F-Secure. „Eigene Algorithmen“, ROFL. Nach wie vor Stand der Dinge bei Virenscannern: Signaturbasierte Erkennung. Damit die funktionieren kann braucht der Hersteller erstmal ein Sample der Malware, aus dem er eine Signatur bauen kann.

Wo wollen die denn Samples vom Bundestrojaner herbekommen? Wenn ich den Verdacht habe, mir so einen gefangen zu haben dann gehe ich damit sicher nicht zu F-Secure. Dann gehe ich zum CCC, die wollen mir nämlich nichts verkaufen sondern finden Staatsterrorismus und Überwachung aus Prinzip scheiße.

Zum Thema Viren-Signatur:

Seit Mitte / Ende der 1990er Jahre gibt es weltweit sowieso nur noch zwei oder drei Signatur-Datenbanken, die von den Größen der Branche verwaltet werden. Alle anderen Antivirus-Hersteller (und das sind ja mittlerweile massig), kaufen sich über Nutzungsrechte dort ein!
Das liegt schlichtweg daran, da die kleineren Hersteller gar nicht die Kapazitäten und die finanziellen Mittel hätten, um diese ganzen Samples zu beschaffen und entsprechend zu bearbeiten - und dort zähle ich F-Secure mit bei! :wink:
Die Führenden der Branche haben eigene große Abteilung fürs Researching etc. pp. Hinzu kommt, dass die vielen kleinen Research-Firmen / Teams, die über die Jahre hinzugekommen sind im Internet, ihre Funde über Bonusprogramme oder auch kostenfrei, an die Primusse weitergeben.

Das die vielen Antivirenprogramme trotzdem eigentlich immer unterschiedliche Ergebnisse liefern, ist der Tatsache geschuldet, da die verwendeten Such-Engines der verschiedenen Hersteller halt unterschiedlichst programmiert sind und somit verschiedene Herangehensweisen / Arbeitsweisen an den Tag legen!

Und ja…alle Scanner laufen Signatur-basierend. Das kleine Problem dabei ist, dass alleine schon die Begrifflichkeit „Signatur“ nicht eindeutig definiert ist und keiner Norm entspricht…

Der gute Eugene Kasperle hat dazu mal folgendes gesagt:

Antivirus-Datenbanken enthalten sogenannte Signaturen, die im allgemeinen Sprachgebrauch und in der Schriftsprache verwendet werden. In Wahrheit wurden klassische Signaturen über 20 Jahre nicht benutzt.

Seit Beginn der 1980ern waren Signaturen als Konzept nicht klar definiert. Selbst jetzt haben sie keine eigene Seite auf Wikipedia, und der Eintrag zu Malware verwendet den Begriff ohne Signaturen zu definieren, als wenn sie keine Erklärung benötigen würden.

Also: Lassen Sie uns zumindest Signaturen definieren! Eine Virussignatur ist eine fortlaufende Sequenz von Bytes, was für ein bestimmtes Malwarebeispiel normal ist. Das bedeutet, dass es in der Malware oder der infizierten Datei enthalten ist und nicht in Dateien, die nicht betroffen sind.
Heutzutage sind Signaturen nicht einmal im Ansatz ausreichend, um schädliche Dateien zu entdecken. Ersteller von Malware verschleiern mit verschiedenen Techniken, die ihre Spuren verdecken. Deshalb müssen moderne Antivirusprodukte fortgeschrittenere Nachweismethoden verwenden. Antivirus-Datenbanken enthalten noch immer Signaturen (sie nehmen mehr als die Hälfte aller Datenbankeinträge ein), aber die umfassen auch komplexere Einträge.

Gewohnheitsmäßig nennt jeder solche Einträge noch immer „Signaturen“. Das ist kein Problem, solange man daran denkt, dass der Begriff eine Kurzschrift für eine Vielfalt von Techniken ist, die ein robusteres Arsenal ausmachen.

Idealerweise würden wir das Wort Signatur nicht mehr verwenden, um uns auf Einträge in eine Antivirus-Datenbank zu beziehen, aber es wird so häufig benutzt – und ein korrekter Begriff existiert noch nicht – also kann das nicht umgesetzt werden.

Ein Eintrag in einer Antivirus-Datenbank ist lediglich ein Eintrag. Die Technologie, die dahinter steht, kann eine klassische Signatur sein oder hochkomplex und innovativ, und die fortgeschrittenste Malware anvisieren.

#MachineLearning is fundamental to #cybersecurity. Here are some interesting facts about them: https://t.co/5BV78lc737 #ai_oil pic.twitter.com/6frMGOzUgL

— Eugene Kaspersky (@e_kaspersky) September 26, 2016

[Citation needed]
Für einen Link wäre ich dankbar, kann mich noch an diese Zeit erinnern und das war noch ein sehr Wild-Westiger Markt mit echter Konkurrenz unter den Anbietern und höchst unterschiedlichen Erkennungsraten.

Damals war McAffee noch ein echtes Produkt, es gab ein Produkt mit dem klangvollen Namen Thunderbyte und IIRC kam gerade NOD32 auf den Markt (was mal der heiße Scheiß war). IIRC hatte jedes dieser Produkte komplett unabhängige Engines und Signaturdaten und der Markt war noch stark im Wachstum.

Jo, mit Signaturen kommt man dann gerade noch bis zu „das ist mit dem Bösen Hacker-Packer gepackt, das muss Malware sein“. Spannenderweise geben eine Menge Produkte oft genau diese Einschätzung (Heimexperiment: Demoscene EXE bei Virustotal hochladen).

Falls du einen Link zu deiner Beschreibung der Funktionsweise von Signaturen hast, wäre ich daran ebenfalls interessiert.

Anonsten vermute ich, dass du darunter möglicherweise auch „Behavioural Analysis“ verstehst?

Kasperksy hat nicht unrecht mit seiner Aussage, dass Machine ein gutes Tool für Erkennung zuvor unbekannter Angriffe sein kann. Ich würde aber darauf wetten, dass es für automatisierte Malwarerkennung nicht wahnsinnig viel effektiver ist als die klassischen Signaturscanner.

Malwaredevs sind kreativ und haben als Angreifer den Vorteil, ihre Software gegen öffentlich verfügbare Antimalware testen zu können. Die Optionen, eine Executable auf einen Zielrechner zu laden (wenn es sein muss in mehrern Einzelteilen!) sind so unvorhersehbar dass auch das tollste Voodoo-Machinelearning da nicht mehr erreicht als der aktuelle Status Quo: ein ständiges Wettrüsten. Ist dein Antivirus-Update neuer als die Malware? Du gewinnst. Ist es älter? Du verlierst.

Wofür Machine Learning sicherlich sinnvoll ist, ist zur Auswertung potentieller IOC. Die meiste Malware braucht eine C2-Verbindung. Die kann man nicht so geschickt verstecken wie ausführbaren Code. Die meisten Systeme haben nur eine Leitung raus :wink:

F-Secure hat nichts bezahlt, das war auch nicht nötig.