Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sinn und Unsinn von On-Demand-Scannern...

Frage Sicherheit Erkennung und -Abwehr

Mitglied: Tomlin

Tomlin (Level 1) - Jetzt verbinden

12.05.2014 um 15:29 Uhr, 3452 Aufrufe, 7 Kommentare, 1 Danke

Während hier im Firmen-Netzwerk seit gut drei Stunden der allmontägliche (McAfee-)On-Demand-Scan ("ODS") läuft und sämtliche Rechner signifikant ausbremst,
mache ich mir (als Benutzer – nicht als Admin!) mal wieder Gedanken über Sinn und Unsinn des Ganzen und stelle folgende Fragen an die "Runde":

• Macht es wirklich Sinn, dass der ODS jede Woche SÄMTLICHE Dateien auf der lokalen Festplatte scannt?
• Gibt es (belegbare) Fälle, in denen Malware trotz vielfachen Scans monatelang unerkannt schlummerte, um dann plötzlich "zuzuschlagen" / aktiv zu werden?
• Kann Malware wirklich eine Datei befallen, ohne an den Datei-Eigenschaften irgendetwas zu ändern? (Größe, Änderungsdatum, letztes Zugriffsdatum usw.)?

Oder anders gefragt: Genügt zur Sicherheit nicht, ...

• ein ODS, der nur die Dateien prüft, an denen sich im Laufe des letzten Quartals etwas geändert hat? (falls die vorherige Frage mit "Nein" beantwortet wurde)
• ein guter On-Access-Scanner ("OAS"), der engmaschig aktualisiert wird und mit einer ständig verbesserten Heuristik arbeitet?

Hintergrund meiner Fragen ist mein Eindruck, dass weltweit Milliarden von CPU-Stunden durch sinnlose Scans verbraten werden, nur weil es –
gemäß der drei deutschen "Innovationsprinzipien" eben "noch nie anders war" / "schon immer so gemacht wurde" / "ja jeder kommen könnte"...

Mit der Hoffnung auf zahlreiche Widersprüche lasse ich mich gern eines Besseren belehren!
Vielen Dank und viele Grüße.

Tomlin.

P.S.: Justamente in diesem Moment wurde der ODS auf meinem Rechner fertig (317.459 Dateien in 3:24:22 Stunden => Entdeckungen: 0)
Mitglied: jsysde
12.05.2014 um 15:41 Uhr
Mahlzeit.

Das hängt stark mit dem verwendeten Produkt zusammen, denke ich.
Hier läuft der System Center Endpoint Protection Client täglich und der braucht nur ein paar Minuten für nen "Quick Scan" - wie sinnvoll oder nicht der nun ist, mag jeder selbst entscheiden, hier hat er schon ein paar Dinge (häuptsächlich JAVA-Exploits, die es wie Sand am Meer gibt) gefunden und das nur wegen des Updates der Signaturen.

Ein "Ausbremsen" stelle ich hier auch nicht fest. Gut, das mag auch daran liegen, dass hier ne SSD in meinem Rechner ihren Dienst verrichtet, aber auch von den "Magnetscheiben-Usern" habe ich bisher nichts gehört und die beschweren sich doch recht schnell, wenn der Rechner "huft".

Cheers,
jsysde
Bitte warten ..
Mitglied: effbee
12.05.2014 um 15:47 Uhr
Ich würde spontan sagen, dass alle Parameter, die als Filter dienen könnten (letzte Änderungen etc.) nicht sicher vor Manipulation sind. Dann müsste es mindestens zu jeder Datei Checksummen geben (MD5 o.ä.), die dann wieder überprüft werden muss.
Dazu kommt noch, dass es im professionellen Umfeld generell clever erscheint, 2- oder mehrstufig zu fahren, am besten mit verschiedenen Produkten. Der ODS kann eine solche Stufe darstellen.

Grüße,
effbee
Bitte warten ..
Mitglied: Lochkartenstanzer
12.05.2014 um 15:59 Uhr
Zitat von Tomlin:

Während hier im Firmen-Netzwerk seit gut drei Stunden der allmontägliche (McAfee-)On-Demand-Scan ("ODS")
läuft und sämtliche Rechner signifikant ausbremst,

Dann habt Ihr diesen tTask falsch geplant.

• Macht es wirklich Sinn, dass der ODS jede Woche SÄMTLICHE Dateien auf der lokalen Festplatte scannt?

Komtm drauf an, gegen welches Risiko Ihr euch absichern wollt udn wie hoch Ihr das bewertet.

• Gibt es (belegbare) Fälle, in denen Malware trotz vielfachen Scans monatelang unerkannt schlummerte, um dann
plötzlich "zuzuschlagen" / aktiv zu werden?

Jepp. Der Trigger kann auch noch "nach Jahren" ausgelöst werden.

• Kann Malware wirklich eine Datei befallen, ohne an den Datei-Eigenschaften irgendetwas zu ändern? (Größe,
Änderungsdatum, letztes Zugriffsdatum usw.)?

Ja. Er überschreibt einfach irgendwelche "unwichtigen" Daten in der datei und sorgt selbst dafür, daß die Metadaten nciht verändert werden. Wenn sich das Zeug in eine Stream schreibt, bruacht es manchmal gar nicht erst die Daten selbst zu verändern, weil das meistens gar nicht erst auffällt.


Oder anders gefragt: Genügt zur Sicherheit nicht, ...

• ein ODS, der nur die Dateien prüft, an denen sich im Laufe des letzten Quartals etwas geändert hat? (falls die
vorherige Frage mit "Nein" beantwortet wurde)

Die Frage ist, woran mahst du das fest? An dem Datum, das im Filesystem protokolliert wird? Das ist bei malware nur bedingt aussagekräftig.
And den Flags der datei? Auch die sind der Willkür der malware untergeordnet.

Du kannst höchstens prüfsummen (z.B. md5 oder sha-hashes) bilden und die regelmäßig prüfen. Allerdings mußt Du sicherstellen, daß die Malware die hashes nicht "anpaßt".


• ein guter On-Access-Scanner ("OAS"), der engmaschig aktualisiert wird und mit einer ständig verbesserten
Heuristik arbeitet?

Nö. mnchmal wäre sogar ein offline-scanner angebracht.

Hintergrund meiner Fragen ist mein Eindruck, dass weltweit Milliarden von CPU-Stunden durch sinnlose Scans verbraten werden, nur
weil es –
gemäß der drei deutschen "Innovationsprinzipien" eben "noch nie anders war" / "schon immer so
gemacht wurde" / "ja jeder kommen könnte"...

Nunja, Die frage ist, wie Ihr sonst sicherstellt, daß da keine malware auf eure Systeme kommt. Wenn Euer Türsteher, sprich Firewall gut ist udn auch Eure User vorsichtig genug wären, bräuchte man sowas nicht. Aber da ncihts besseres da ist, nimmt man liber die Krücke als gar nichts.

lks
Bitte warten ..
Mitglied: it-frosch
12.05.2014 um 17:41 Uhr
Hallo Tomlin,

• Gibt es (belegbare) Fälle, in denen Malware trotz vielfachen Scans monatelang unerkannt schlummerte, um dann plötzlich "zuzuschlagen" / aktiv zu werden?
Viren bzw. Malware kann nur dann als solche erkannt werden, wenn der Antivirushersteller weiß, wie er sie erkennt.
Ich meine jetzt nicht nur die signaturbasierte Erkennung. Deshalb kommt es durchaus vor, dass nach einem Update der Virenscanner plötzlich meckert, wo er bisher immer ruhig geblieben ist.

Hintergrund meiner Fragen ist mein Eindruck, dass weltweit Milliarden von CPU-Stunden durch sinnlose Scans verbraten werden, nur weil es –
gemäß der drei deutschen "Innovationsprinzipien" eben "noch nie anders war" / "schon immer so gemacht wurde" / "ja jeder kommen könnte"...
Ist verständlich. Da sind Bitcoin Miner aber wesentlich besser im Verbraten von CPU oder GPU -Stunden.
Bei uns läuft der Scan am Do 12:00 Uhr. Man legt ihn ehe immer auf die Mittagspause um möglichst wenig zu stören.

Eigentlich sollte man auch, um sicherer zu gehen, mit einem zweiten Scanner scannen aber das ist in der Praxis meist nicht umsetzbar.
Wobei Offline, wie LKS schon schrieb, schön wäre.

Wir haben hier auch McAffee und mitunter merke ich trotz i7 und 8 GB RAM schon, dass da was arbeitet. Demnächst wechseln wir auf FEP und da ist der ODS noch nicht störend aufgefallen.

Ich solltet mal prüfen lassen, dass der Start auf Mittag verschoben wird und das vielleicht die Einstellungen des Scans noch etwas angepasst werden.
So könnt ihr z.B. im McAffee Client die System Benutzung zwischen 10% und 100% einstellen. Das könnte schon helfen.
Zudem kann man dem Nutzer auch die Möglichkeit bieten den Scan zu verschieben.

Grüße vom it-frosch
Bitte warten ..
Mitglied: Lochkartenstanzer
12.05.2014 um 18:55 Uhr
Zitat von it-frosch:

Wobei Offline, wie LKS schon schrieb, schön wäre.

Wenn man Kisten hat, die bei WOL vom Netz booten ist das überhaupt kein Problem. Man "bastelt" sich sowas c't-desinfect, alelrdings für den persönlichen Bedarf angepaßt, und läßt das einafch vom netz booten udn loslaufen. Geht automatisiert und die Kiste kann sich dann nach dem Durchlauf wieder schlafenlegen.

Meist scheiter das aber am Können/Wissen des Adminsitrators.

lks
Bitte warten ..
Mitglied: DerWoWusste
12.05.2014 um 21:03 Uhr
Hi.

Versuche bitte, Deine Fragen genauer zu stellen, nachdem Du Dir folgende Gedanken gemacht hast:
-kann ein installierter Virus starten, ohne, dass ihn der on-access-Scanner entdeckt? Falls ja, würde ihn der on-demand-scanner finden?
->falls nein: was könnte der on access scanner denn dann überhaupt besser?

Ich kann Dir sicherlich dabei helfen, aber ein paar mehr Gedanken solltest Du Dir zunächst selbst gemacht haben.

Meine generelle Einstellung zu Scannern ist, dass diese kaum eine Darseinsberechtigung haben. zu gering ist der Nutzen, zu hoch die Kosten und zu ärgerlich die Bugs und Performanceeinbußen. in unserem Sicherheitskonzept spielen sie nur ein MInirolle.
Bitte warten ..
Mitglied: Lochkartenstanzer
13.05.2014 um 08:58 Uhr
Zitat von DerWoWusste:

->falls nein: was könnte der on access scanner denn dann überhaupt besser?

Moin DWW,

Du darfst nciht außer acht lassen, daß die On-Access-Scanner meits nicht so "scharf" udn auch nciht in so in der Tiefe suchen wie die On-Demand-Scanner, weil die Performance im betrieb ein wichtiger faktor ist. Die On-Demand-Scanner laufen i.d.R. zu Zeiten, in denen die CPu nicht benötigt wird (zumindest sollten sie es dann tun) und daher mehr CPU-zeit zur Verfügung steht. Dies wird meist dazu genutzt, eine tiefergehende Suche, z.b. in Archiven oder auch in nicht ausführbaren Dateien durchzuführen, was beim On-access-Scanenr oft ausgeschaltet ist, um den Arbeitsfluß nicht zu stören.

Außerdem gibt es Fälle, in denen die malware auf das System zu einem Zeitpunkt kommt, zu dem sie der On-Access-Scanenr (noch) nicht erkennt. und weil dann auf die datei nicht mehr zugegriffen wird, diese vor sich hinschlummert. Sofern man später also nicht mit ein On-Demand-Scanner drüberstolpert birgt das die Gefahr, daß diese Tretmine irgendwann ausgelöst werden könnte, wenn z.B. gerade der Virenscanner wegen Fehlerdiagnose vielleicht ausgeschaltet ist.

Ich persönlch halte zwar von Virenscannern als Sicherheitsmaßnahme nciht viel, aber saolange nichts wesentlich besseres da ist, sollte man diese Krücken sinnvoll nutzen.

Mein Fazit: wie imemr in der IT-Sicherheit ist das eine individuelle Entscheidung, ob man On-demand-Scanner einsetzen will oder nicht. man muß die Kosten, die dadruch verursacht werden (Lizenzen, arbeitszeit, Wartezeiten, etc.) gegen den prodktionsausfall aufrechnen, der im Fall des Falles einem ins haus steht und dann entscheiden.

Grob. in einem Betrieb, in dem kaum Daten rein- und rausgehen, wird es sich nicht lohnen alle Maschinen für mehrere Studen außer Gefecht zu setzen, um einen potentiellen Übeltäter zu finden. hingegen wird in einem betrieb mit hoher "Datenaustauschrate" mit der Außenwelt es evident sein, dafür zu sorgen, daß da icht pasieren kann udn ggf jede nacht einen On-demand-Scanenr laufen zu lassen, weil man ggf als "Verteiler" großen Haftungsrisiken ausgesetzt sein könnte. Meist wird es zwischen diesen extremen liegn, aber wie gesagt, man muß individuell entscheiden.

lks
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Firewall
PfSense an VDSL Telekom VLAN7 - deal on demand an oder aus

Frage von 12ha34 zum Thema Firewall ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...