Virenscanner für Entwickler



  • Was erhofft ihr euch eigentlich von einem Echtzeit-Virenscanner?

    Drive-by-Download Schadsoftware, gegen die ein Echtzeitvirenscanner schützen könnte, benötigen eine Sicherheitslücke im Browser oder dem Internetprogamm das ihr verwendet.

    Allerdings macht es viel mehr Sinn, anstatt die Symptome mit einem Virenscanner zu bekämpfen an die Ursache heran zu gehen und damit also die Sicherheitslücke zu stopfen.
    Ist die gestopft, dann hat der Schadcode keine Chance, nutzt er eine unbekannte Sicherheitslücke, dann schützt auch der Echtzeitvirenscanner nicht dagegen, weil er das Angriffsmuster gar nicht kennt.

    Wozu also ein Echtzeit-Virenscanner?
    IMO ist der überflüssig wie ein Kropf und bremst nur das System aus.

    Wenn man aus em Netz Dateien downloaden muss, dann kann man die Dateien bei Virus Total hochladen oder dort einfach die Prüfsumme der Datei eingeben und schon hat man einen Gratisscan aller auf dem Markt verfügbaren Antivirensoftware.
    Also kann man sich auch die manuelle Antivirensoftware auf dem Rechner sparen.
    Einzige Ausnahme wäre, wenn ihr die Daten nicht auf Virus Total uploaden dürft, dann wäre ein manueller Virenscanner sinnvoll.

    Gegen Zero-Day-Exploits macht es mehr Sinn, die Surfumgebung in eine Sandbox zu packen oder wenigstens einen anderen Benutzeraccount mit einfachen rechten dafür zu verwenden. Aber dazu habe ich ja schon etwas geschrieben.

    Wozu also die Antivirensoftware?



  • Zum Thema wieso überhaupt Echtzeit-Virenscanner kann ich nur spekulieren. Wobei ich es selbst nicht für unvernünftig halte. Denn...

    computertrolls schrieb:

    Drive-by-Download Schadsoftware, gegen die ein Echtzeitvirenscanner schützen könnte, benötigen eine Sicherheitslücke im Browser oder dem Internetprogamm das ihr verwendet.

    Naja, diese Lücken gibt es ja zu hauf. Und da unsere Entwickler Admin-Rechte haben (weil sie diese brauchen), können wir auch nicht kontrollieren wer welchen Browser verwendet.

    computertrolls schrieb:

    Allerdings macht es viel mehr Sinn, anstatt die Symptome mit einem Virenscanner zu bekämpfen an die Ursache heran zu gehen und damit also die Sicherheitslücke zu stopfen.
    Ist die gestopft, dann hat der Schadcode keine Chance, nutzt er eine unbekannte Sicherheitslücke, dann schützt auch der Echtzeitvirenscanner nicht dagegen, weil er das Angriffsmuster gar nicht kennt.

    Wie willst du die Ursache bekämpfen? Es gibt nunmal Viren. Und die Rechner vom Internet zu trennen ist bei uns einfach keine Option. (Und selbst wenn es eine wäre, und selbst wenn ich das wollte, könnte ich das niemals durchsetzen, weil ich nicht in einer Position sowas zu entscheiden.)

    computertrolls schrieb:

    Wenn man aus em Netz Dateien downloaden muss, dann kann man die Dateien bei Virus Total hochladen oder dort einfach die Prüfsumme der Datei eingeben und schon hat man einen Gratisscan aller auf dem Markt verfügbaren Antivirensoftware.

    Das machen aber nicht alle, und es würden nichtmal dann alle machen wenn man es ihnen vorschreiben würde. Und selbst wenn es nur 5% sind die drauf scheissen... diese 5% reichen.

    Allerdings geht es mir gar nicht um die Frage

    computertrolls schrieb:

    Wozu also die Antivirensoftware?

    denn an der Entscheidung dass wir sowas brauchen (und ja, das ist eine Entscheidung und keine Frage nach Tatsachen) kann ich nix ändern.

    Ich kann also maximal fragen welcher Virenscanner die Performance bei typischen Entwickler-Tasks am wenigsten krass verschlechtert.



  • Virustotal nimmt auch nur Dateien bis 128 MB.

    Eine Frage am Rande: hat man dann eigentlich immer zwei Scanner laufen, Windows Defender und den, den man selbst installiert hat? Soweit ich weiß, kann man den Defender ja nicht mehr abschalten, zumindest nicht in allen Windows-Versionen.



  • Andere Virenscanner melden sich normalerweise bei Windows an sozusagen, woraufhin Windows Defender automatisch deaktiviert wird.



  • hustbaer schrieb:

    computertrolls schrieb:

    Drive-by-Download Schadsoftware, gegen die ein Echtzeitvirenscanner schützen könnte, benötigen eine Sicherheitslücke im Browser oder dem Internetprogamm das ihr verwendet.

    Naja, diese Lücken gibt es ja zu hauf. Und da unsere Entwickler Admin-Rechte haben (weil sie diese brauchen), können wir auch nicht kontrollieren wer welchen Browser verwendet.

    So etwas kann man aber vorschreiben.

    Ebenso kann man vorschreiben, dass die Wartung und Installation von Browsersoftware der Admin macht, der dann ebenfalls Adminrechte auf den Rechner bekommt.

    Im übrigen halte ich es auch für sehr kritisch, wenn die Entwickler ihren Browser mit Adminrechten laufen lassen.

    Zu den Lücken, für die bekannten, also öffentlichen Sicherheitslücken gibt es so gut wie immer Sicherheitspatches. Ein Browser der aktuell ist, hat diesbezüglich also keine Angriffsfläche.

    Bleiben die nicht bekannten Lücken, aber da schützt die Antivirensoftware ja auch nicht mehr.

    Wie willst du die Ursache bekämpfen?

    In dem man den Rechner aktuell hält und alle öffentlich bekannten Sicherheitslücken somit schließt.

    Es gibt nunmal Viren.

    Die bei Drive-by-Download nen Exploit brauchen, den sie ausnutzen können.

    Und die Rechner vom Internet zu trennen ist bei uns einfach keine Option. (Und selbst wenn es eine wäre, und selbst wenn ich das wollte, könnte ich das niemals durchsetzen, weil ich nicht in einer Position sowas zu entscheiden.)

    Hier stellt sich auch die Frage, ist deine Firma ein Ziel für Angreifer?
    Wenn ja, dann gibt es sowieso keine Alternative zu einer richtigen Trennung der Surf- und Entwicklerrechner, weil es dann auch Hacker gibt, die gezielt nach Lücken suchen, das schließt also auch die noch unentdeckten Sicherheitslücken mit ein.
    Bei Valve gab's bswp. diese Trennung nicht, Valve war ein Angriffsziel und so hat man dann dort auch den Sourcecode der Source Engine gestohlen.
    Mit getrennten Netzen wäre das nicht passiert.

    Das machen aber nicht alle, und es würden nichtmal dann alle machen wenn man es ihnen vorschreiben würde. Und selbst wenn es nur 5% sind die drauf scheissen... diese 5% reichen.

    Wenn das so ist, dann würden die auch keinen installierten Virenscanner anwerfen um eine downgeladene Datei zu scannen und da sie Adminrechte haben würden die auch einfach den Echtzeitvirenscanner deaktivieren, wenn er diese nervt.

    Ich denke, bei euch habt ihr eine größere Baustelle, als das die mit einem Echtzeitscanner gefixt werden kann. Da müsste man im Prinzip die Firmenpolitik überarbeiten um eine entsprechende Sicherheit durchzusetzen.

    Allerdings geht es mir gar nicht um die Frage

    computertrolls schrieb:

    Wozu also die Antivirensoftware?

    denn an der Entscheidung dass wir sowas brauchen (und ja, das ist eine Entscheidung und keine Frage nach Tatsachen) kann ich nix ändern.

    Ich kann also maximal fragen welcher Virenscanner die Performance bei typischen Entwickler-Tasks am wenigsten krass verschlechtert.

    Schade, ich würde dem Chef Vorschläge unterbreiten und ihn auch aufklären.



  • verteidiger schrieb:

    Virustotal nimmt auch nur Dateien bis 128 MB.

    Ja gut, das wäre dann eine Ausnahme für die Installation eines manuellen Virenscanners.
    Vorausgesetzt natürlich, man lädt solche großen Dateien überhaupt herunter.



  • computertrolls schrieb:

    hustbaer schrieb:

    computertrolls schrieb:

    Drive-by-Download Schadsoftware, gegen die ein Echtzeitvirenscanner schützen könnte, benötigen eine Sicherheitslücke im Browser oder dem Internetprogamm das ihr verwendet.

    Naja, diese Lücken gibt es ja zu hauf. Und da unsere Entwickler Admin-Rechte haben (weil sie diese brauchen), können wir auch nicht kontrollieren wer welchen Browser verwendet.

    So etwas kann man aber vorschreiben.

    So lange du es nicht automatisiert enforcen kannst sind solche Vorschriften witzlos.

    computertrolls schrieb:

    Im übrigen halte ich es auch für sehr kritisch, wenn die Entwickler ihren Browser mit Adminrechten laufen lassen.

    Wie kommst du auf die Idee dass wir den Browser mit nem unrestricted Token laufen lassen würden?

    computertrolls schrieb:

    Zu den Lücken, für die bekannten, also öffentlichen Sicherheitslücken gibt es so gut wie immer Sicherheitspatches. Ein Browser der aktuell ist, hat diesbezüglich also keine Angriffsfläche.

    Bleiben die nicht bekannten Lücken, aber da schützt die Antivirensoftware ja auch nicht mehr.

    Quatsch. Natürlich hilft Antivirensoftware da.

    computertrolls schrieb:

    Wie willst du die Ursache bekämpfen?

    In dem man den Rechner aktuell hält und alle öffentlich bekannten Sicherheitslücken somit schließt.

    Ich glaube du verwechselst da gerade was. Wenn du ein Programm X runterlädst das versucht ist und das startest, dann brauchst du keine Sicherheitslücken damit du ein Problem hast. Umgekehrt kann die Antivirensoftware aber natürlich Viren erkennen die durch (zero-day) Sicherheitslücken im Browser von irgendeiner Webseite gedroppt werden konnten.

    computertrolls schrieb:

    Es gibt nunmal Viren.

    Die bei Drive-by-Download nen Exploit brauchen, den sie ausnutzen können.

    Was soll "Drive-by-Download" heissen? Fall das: ich rede nicht nur über Dinge die einem beim normalen Surfen passieren können, ohne dass man was runterlädt. Ich rede durchaus auch über verseuchte Tools/Installer.

    Davon abgesehen: Es gibt nunmal auch Sicherheitslücken.
    Dein "Problem an der Wurzel bekämpfen" Argument ist Bullshit, da du diese Wurzel nicht kontrollierst.

    computertrolls schrieb:

    Hier stellt sich auch die Frage, ist deine Firma ein Ziel für Angreifer?
    Wenn ja, dann gibt es sowieso keine Alternative zu einer richtigen Trennung der Surf- und Entwicklerrechner, (*snip* blaaaaaaaaaaaaaaaaaaaaaaaaah)

    Wir drehen uns im Kreis. Ich habe nicht vor darüber noch weiter zu diskutieren. Du weigerst dich einfach zu verstehen warum dein Vorschlag weder praktikabel ist noch effektiv wäre. Ist OK, aber bitte erspar mir weitere Belehrungsversuche.

    computertrolls schrieb:

    Wenn das so ist, dann würden die auch keinen installierten Virenscanner anwerfen um eine downgeladene Datei zu scannen

    Korrekt

    computertrolls schrieb:

    und da sie Adminrechte haben würden die auch einfach den Echtzeitvirenscanner deaktivieren, wenn er diese nervt.

    Falsch. Etwas was man nicht machen sollte absichtlich doch zu tun ist ne ganz andere Liga als etwas vorgeschriebenes aus Faulheit nicht zu tun.

    computertrolls schrieb:

    Ich denke, bei euch habt ihr eine größere Baustelle, als das die mit einem Echtzeitscanner gefixt werden kann. Da müsste man im Prinzip die Firmenpolitik überarbeiten um eine entsprechende Sicherheit durchzusetzen.

    Und ich denke du bist ein reichlich überheblicher Haufen der sich einbildet alles besser zu wissen obwohl er die Situation überhaupt nicht kennt. (Und abgesehen davon total abstruse Vorstellungen über die Realität hat.)

    computertrolls schrieb:

    Schade, ich würde dem Chef Vorschläge unterbreiten und ihn auch aufklären.

    Siehe oben.



  • Also ich hab's jetzt mal verglichen, da ich tatsächlich lokal den Kram (Sophos) für ein gewisses Verzeichnis auch einfach deaktivieren kann:
    Macht leider doch etwa 40% Unterschied beim Bauen des Projektes.

    Ob das jetzt viel ist verglichen mit anderen Antiviren-Programmen oder nicht weiß ich nicht, aber 40% ist halt schon was ...



  • Danke für's Ausprobieren!
    Meinst du mit 40% Unterschied 60 vs. 100 (Faktor 1,66) oder 100 vs. 140 (Faktor 1,4)?
    (Gut, ist jetzt nicht so viel um, aber wenn jemand "X% Unterschied" schreibt ist das immer das erste was ich mich frage ;))

    Bei mir ist es leider noch schlimmer, eher so Faktor 2,5-3. Und bei bestimmten Sachen, wie z.B. das Starten von diversen Programmen die ohne Scanner quasi "instant" starten, ist es noch viel viel mehr. Faktor 10 oder schlimmer.

    ----

    Was du auf jeden Fall probieren kannst ist die ganzen Entwickler-Tools auszunehmen. Von der Sicherheit her wäre ideal wenn du nur Ausnahmen im "Program Files" Verzeichnis (wo man ohne Adminrechte nicht schreiben kann) machst, also die Ausnahmen nur mit dem kompletten Pfad. Für C++ z.B. einfach cl.exe und link.exe . Theoretisch kann man noch zusätzliche Ausnahmen wie für devenv.exe und msbuild.exe machen - nur die beiden sehe ich persönlich dann schon als etwas kritisch an. devenv.exe kann Plugins laden wo beliebiger Code drinnen sein kann und msbuild.exe führt halt MSBuild "Scripts" aus, wo man auch quasi beliebige Dinge damit machen kann (inklusive Ausführen von beliebigem .NET Code).

    cl.exe und link.exe mit absolutem Pfad halte ich persönlich aber für relativ unkritisch.



  • hustbaer schrieb:

    Was du auf jeden Fall probieren kannst ist die ganzen Entwickler-Tools auszunehmen. Von der Sicherheit her wäre ideal wenn du nur Ausnahmen im "Program Files" Verzeichnis (wo man ohne Adminrechte nicht schreiben kann) machst, also die Ausnahmen nur mit dem kompletten Pfad. Für C++ z.B. einfach cl.exe und link.exe . Theoretisch kann man noch zusätzliche Ausnahmen wie für devenv.exe und msbuild.exe machen - nur die beiden sehe ich persönlich dann schon als etwas kritisch an. devenv.exe kann Plugins laden wo beliebiger Code drinnen sein kann und msbuild.exe führt halt MSBuild "Scripts" aus, wo man auch quasi beliebige Dinge damit machen kann (inklusive Ausführen von beliebigem .NET Code).

    Ich würde ja den gesamten Buildordner zur Ausnahme machen, die Wahrscheinlichkeit, dass sich Schadcode darin zuerst versteckt, ist doch sehr gering.

    Und wenn ein Virus alles infiziert, dann wird das eben in den Bereichen auffallen, in denen es keine Ausnahmen gibt.



  • Guter Vorschlag. Geht bloss leider nicht, da die aktuelle Version unseres Scanners auf diese Ausnahmen pfeifft. Die Liste in den Settings ist da, aber sie wird einfach ignoriert.



  • Dann gibt's zwei Möglichkeiten:

    1. Hersteller kontaktieren.
    2. Antivirensoftware wechseln.



  • hustbaer schrieb:

    Meinst du mit 40% Unterschied 60 vs. 100 (Faktor 1,66) oder 100 vs. 140 (Faktor 1,4)?

    1.4 😃

    hustbaer schrieb:

    Was du auf jeden Fall probieren kannst ist die ganzen Entwickler-Tools auszunehmen [...]

    Das werde ich die Tage mal machen - wenn das funktioniert, wie erwartet, dann wäre das ja eigentlich schon eine coole Sache. Damit wäre man erstmal den schlimmsten Punkt los.

    computertrolls schrieb:

    2. Antivirensoftware wechseln.

    Stimmt, ich würde ihm vorschlagen, dafür einen Thread hier aufzumachen. Ach ja ...


Anmelden zum Antworten