Agnitum Outpost Security Suite Pro 2007 Anti-Malware und Anti-Spyware – Teil 3
In diesem 3 Teil möchte ich auf die Funktionen Anti-Malware und Anti-Spyware eingehen. Die ersten beiden Teile dieser Berichtserie finden Sie unter --> „Interne Links“.
Themen dieses Berichts (was Sie erwartet):
Allgemeines
Anti-Malware Allgemein
Anti-Malware Hauptfenster
Anti-Malware Funktionen --> „Allgemein“ / „ID-Blockierung“ / „E-Mail“ / „Erweitert“
Zeitplan
Schutz kritischer Objekte
Zusammenfassung --> Nachteile / Vorteile
Interne Links
Externe Links
Allgemeines:
In der Agnitum Outpost Security Suite Pro 2007 sind die beiden Funktionen Anti-Malware und Anti-Spyware in einem PlugIn vereint worden. Das Anti-Spyware PlugIn ist auch in der Agnitum Outpost Firewall Pro 4 vorhanden.
Anti-Malware Allgemein:
Das Anti-Malware PlugIn beruht auf der Scan-Engine „VBA32“ der Firma „VirusBuster“ aus Ungarn. Dieser hierzulande relativ unbekannte Hersteller hat auf seiner Homepage diverse Zertifikate und Auszeichnungen vorzuweisen.
Unter anderem sind das Zertifikate der ICSA Labs und die Auszeichnung „Virus Bulletin 100%“ (VB100).
Allerdings kam „VBA32“ nach einem Gemeinschaftstest der Otto-von-Guericke Universität und dem Testlabor „AV-Test“ vom April 2007 nur auf Platz 20 von 29 Anti-Viren Produkten. Bei diesem Test der Erkennungsraten von Backdoors, Bots, Trojanischen Pferden und Würmern erreichte „VBA32“ ein Gesamtergebnis von 82,10%. Das beste Produkt erreichte 99,83%, das schlechteste 62,12%. Der Durchschnitt aller Produkte lag bei 86,95%.
Eine Erklärung der verschiedenen Malware-Arten finden Sie unter --> http://www.security-dome.eu/html/sicherheit.html
Anti-Malware Hauptfenster:
Wird das Anti-Malware PlugIn im Hauptfenster markiert, erhält der Anwender grundlegende Informationen zur Aktualität der Signaturen und der gefundenen bzw. isolierten (Qualrantäne) Dateien. In diesem Fenster erkennt man auch den Status der Schutzkomponenten und kann eine Überprüfung des Systems anweisen. Zusätzlich kann man sich das Protokoll anzeigen lassen.
Anti-Malware Funktionen:
Über einen „rechtsklick“ auf das Anti-Malware PlugIn und der Wahl von „Eigenschaften“ kommt man auf ein Fenster mit mehreren Reitern, in welchen das PlugIn konfiguriert werden kann.
Die Funktionen sind im Einzelnen:
Reaktion beim Erkennen von Malware
Echtzeit-Schutz (Hintergrundwächter) aktivieren bzw. deaktivieren
ID-Blockierung (Blockierung der Übertragung von privaten Daten)
Konfiguration des E-Mail Scanners
Erweiterte Einstellungen
Reiter „Allgemein“:
Hier können nur einstufige Reaktionen definiert werden. Es kann also keine kombinierte Reaktion wie z.B. „reparieren – wenn nicht möglich in Quarantäne verschieben“ eingestellt werden.
Die möglichen Reaktionen sind:
Auflisten
Reparieren
in Quarantäne verschieben
Ausserdem kann in diesem Fenster der Echtzeit-Schutz ein- und ausgeschaltet werden und eine Einstellung vorgenommen werden, wann Dateien überprüft werden sollen:
Bei der Ausführung (nicht empfohlen)
Bei jedem Zugriffsversuch (empfohlen)
Reiter „ID-Blockierung“:
Hier können Zeichenfolgen definiert werden, welche nicht in das Netzwerk bzw. Internet übertragen werden dürfen. Diese Funktion ist eigentlich eher der Firewall zu zuordnen und nicht dem Anti-Malware PlugIn.
Ausserdem müssen hier erst Zeichenfolgen definiert werden (wie z.B. Kreditkartennummern oder Passwörter). Insgesamt ist aber davon abzuraten solche persönliche Daten überhaupt abzuspeichern, egal in welcher Form!
Wer aber dennoch solche Daten lokal abspeichert hat über diese Funktion die Kontrolle, wer und wohin solche Daten übertragen darf.
Die Daten unterliegen übrigens keiner Begrenzung in Zeichen, Zahlen und Buchstaben.
Reiter „E-Mail“:
Über den Reiter „E-Mail“ hat man die Möglichkeit das Scanverhalten des Anti-Malware PlugIns in Bezug auf den E-Mail Verkehr einzustellen. Diese Einstellungen sind unabhängig von dem verwendeten E-Mail Programm.
Folgende Einstellungen sind möglich:
Reparieren
In Quarantäne verschieben
Definition von Warnmeldungen (optisch und akustisch)
Die Funktion zum Umbenennen von E-Mail Anhängen ist sehr praktisch und schon aus der Agnitum Outpost Firewall Pro 4 bekannt. Das hat den Vorteil, das potentiell gefährliche E-Mail Anhänge nicht direkt über das E-Mail Programm ausgeführt werden können, sondern erst lokal abgespeichert und umbenannt werden muss.
Dies fördert den kritischen und bewussten Umgang mit E-Mail Anhängen. Dabei werden auch doppelte Dateiendungen und durch viele Leerzeichen versteckte Endungen erkannt.
Folgende Reaktionen sind möglich:
Filter für Mail-Anhänge deaktivieren (nicht empfohlen)
Anhänge der festgelegten Arten umbenennen (Endungen können bearbeitet und erweitert werden – empfohlen)
Anhänge der festgelegten Art in Quarantäne verschieben
Leider lassen sich hier keine unterschiedlichen Ports definieren. Auch besteht keine Möglichkeit eine Scanbericht an ausgehende Mail anzuhängen.
Reiter „Erweitert“:
In diesem Bereich finden sich weitere grundsätzliche Einstellmöglichkeiten rund um das Anti-Malware PlugIn:
Aktivierung des Scan Caches: verhindert eine doppelte Prüfung von nicht geänderten Dateien durch Bildung eines digitalen Fingerabdrucks (diese Funktion habe ich bereits im Teil 1 erklärt)
Definition von Ausnahmen: Daten die nicht geprüft werden (nur Programme und Pfade)
Zeitplan: Erstellung von zeitlich definierten Scan-Jobs (wird noch weiter erklärt)
Schutz kritischer Systemobjekte (wird noch weiter erklärt)
Zeitplan:
Über die automatische Ausführung nach Zeitplan lassen sich Scan-Jobs nach sehr vielen Richtlinien erstellen!
Als Zeiten lassen sich definieren:
Täglich
Wöchentlich
Nie
Des weiteren kann man die Ausführung der Jobs abhängig von der aktuellen Prozessorlast machen, d.h. den Job überspringen, wenn die Festplatte oder der Prozessor ausgelastet sind. Wie fein diese Einstellung reagiert, kann ich leider nicht feststellen.
Die weiteren Einstellungen der Scan-Jobs sind sehr umfangreich, wie Sie folgendem Screenshot entnehmen können:
Die Option „Ausgewählte Datei-Endungen“ sollte aber deaktiviert werden, um alle Dateien unabhängig ihrer Endung zu prüfen.
Die Option „Dateien überspringen, die grösser sind als x MB“ ist nicht klar verständlich! Sind hier alle Dateien oder nur Archivdateien gemeint? Archive können entsprechend begrenzt werden, um die Systemleistung nicht zu stark zu mindern, da Archive beim Entpacken geprüft werden. Normale Dateien sollten dieser Begrenzung aber nicht unterliegen!!
Schutz kritischer Objekte:
Diese Funktion habe ich in der Art und Umfang in noch keiner Security Suite gesehen! Hier sind wirklich umfangreiche Systemvariablen geschützt und braucht den Vergleich selbst mit ausgewachsenen IDPS (Intrusion Detection / Protection System) nicht zu scheuen! Informationen zu IDPS finden Sie hier --> http://www.security-dome.eu/IDS-IPS_Grundlagen.html
Zusammenfassung:
Insgesamt wurde wieder bestätigt, das in „gewachsenen“ Lösungen beim Zukauf von Erweiterungen (PlugIns) diese PlugIns an Funktion nicht mit dem ursprünglichen Produkt mithalten können. Dies ist auch bei der Agnitum Outpost Security Suite Pro 2007 im direkten Vergleich mit der Agnitum Outpost Firewall Pro 4 so.
Als weiteren Unsicherheitsfaktor muss man die Anti-Malware Komponente sehen, da diese relativ neu bzw. unbekannt ist. Die unterschiedlichen Aussagen bei Testergebnissen bzw. Zertifizierungen müssen deshalb weiter beobachtet werden.
Ich habe es bereits an mehreren Stellen meiner Bereichte und in unterschiedlichen Zusammenhängen erwähnt, das die Kombination verschiedener Punkte über die Sicherheit einer Lösung entscheiden:
Über einen längeren Zeitraum gute Testergebnisse
Schnelle Reaktion bei neuen Gefahren und zeitnahes Anbieten entsprechender Signaturen
Hohe Erkennungsraten in verschiedenen Testergebnissen
Auch wenn das Anti-Malware PlugIn viele wichtige Funktionen bietet, bleiben doch ein paar Verbesserungen wünschenswert!
Nimmt man nur die wirklich neuen Funktionen – also ohne die Funktionen der Agnitum Outpost Firewall Pro 4 – bleiben recht wenige Neuerungen übrig. So sind folgende Funktionen auch in der Agnitum Outpost Firewall Pro 4 vorhanden:
Anti-Spyware PlugIn
ID-Blockierung
Filter für E-Mail Anhänge (Umbenennung)
Schutz kritischer Objekte
Folgende Nachteile bzw. fehlende Funktionen oder Unklarheiten sind erkannt worden:
Schlechte Abgrenzung Malware-Scanner und Hintergrundwächter
Fehlende Heuristik bzw. Einstellungen zur Heuristik
Keine mehrstufigen Reaktionen bei Malware-Fund (z.B. reparieren – wenn nicht möglich in Quarantäne verschieben, oder reparieren – wenn nicht möglich löschen)
Keine Information über die Anzahl bereits geprüfter Dateien – somit keine Kontrolle der Funktion des Wächters
Unklare Definition „Dateien überspringen, die grösser sind als x MB“, ob es sich hier um alle Dateien handelt, oder nur um Archive
Insgesamt fehlende Einstellmöglichkeiten zu Archiven
Die Option „Ausgewählte Datei-Endungen“ ist im Standard aktiviert. Ein Scanner sollte aber alle Dateien unabhängig ihrer Endung zu prüfen.
Fehlende Möglichkeit Netzwerkzugriffe bzw. entfernte Dateien zu scannen
Fehlende Möglichkeit des Wächters Systembereiche zu prüfen
Fehlende Abgrenzung zu Riskware (Dialer usw.)
Fehlende Einstellmöglichkeiten zu den Ports für den E-Mailverkehr (POP3, SMTP, IMAP)
Fehlende Möglichkeit den Datenstrom zu prüfen (HTTP, FTP, IM)
Fehlende Möglichkeit einen Scanbericht an ausgehende Mail anzuhängen
Keine Einstellmöglichkeiten zu Warnungen bei veralteten Signaturen (Warnen wenn älter als x-Tage)
Keine Information zur ADS-Erkennung
Kein automatischer Systemscan während / nach der Installation (wie es z.B. Das Anti-Spywaremodul in der Agnitum Outpost Firewall Pro 4 macht)
Keine Möglichkeit zur Erstellung einer Boot-CD zum Malware-Scan
Folgende Vorteile bzw. sinnvolle Funktionen und Einstellungen sind erkannt worden:
Umfangreiche Einstellmöglichkeiten bei dem Zeitplan
E-Mail Filterfunktion sehr sinnvoll (Umbenennung von Dateianhängen)
Nur veränderte Dateien werden geprüft (Scanstatus Cache)
E-Mail Prüfung unabhängig vom genutzten E-Mail Programm
Ein- und ausgehende E-Mails können getrennt eingestellt werden
Sehr umfangreiche Kontrolle kritischer Systemobjekte (IDPS)
Einfache und übersichtliche Konfiguration auch für „Nicht-Profis“
In weiten Teilen sinnvolle Standardeinstellung (ausser Dateiausnahmen)
Interne Links:
Agnitum Outpost Security Suite Pro 2007 Vorstellung – Teil 1: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_1.html
Agnitum Outpost Security Suite Pro 2007 Systemfunktionen und Systemschutz – Teil 2: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_2.html
Agnitum Outpost Security Suite Pro 2007 Anti-Malware und Anti-Spyware – Teil 3: dieser Bericht
Agnitum Outpost Security Suite Pro 2007 Firewall Grundlagen und Regeln – Teil 4: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_4.html
Agnitum Outpost Security Suite Pro 2007 Firewall PlugIns und „ImproveNet“ – Teil 5: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_5.html
Agnitum Outpost Security Suite Pro 2007 Anti-Spam und Log Viewer – Teil 6: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_6.html
Agnitum Outpost Security Suite Pro 2007 praktische Tests und Informationen – Teil 7: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_7.html
Externe Links:
Bekanntgabe der Scan-Engine im Produkt Agnitum Outpost Security Suite Pro 2007: http://www.agnitum.com/news/Outpost-Security-Suite-Public-Beta.php
Homepage VirusBuster: http://www.virusbuster.hu/en/
ICSA Labs Zertifikate: http://www.icsalabs.com/icsa/product.php?tid=dfgdf$gdhkkjk-kkkk
Homepage Virus Bulletin: http://www.virusbtn.com/news/index
PC-Welt Testergebnisse Anti-Viren Produkte: http://www.pcwelt.de/news/sicherheit/81346/index.html
PC-Welt Testergebnisse Tabelle: http://www.pcwelt.de/news/sicherheit/81346/index2.html
Homepage AV-Test: http://www.av-test.org/index.php?lang=1
Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum – unter --> http://www.security-dome.eu/forum/pA/
Autor: Frank Richter
Copyright: Frank Richter – securITy-dome.eu
Erstellungsdatum: 30.05.07
Letzte Aktualisierung: 30.05.07