Ich befürchte wir reden aneinander vorbei, aber ich mache mal weiter.
Krishty hat geschrieben: ↑20.08.2019, 22:53
„Eingreifen“ geht schon sehr weit, denn ich
lese nur.
Naja, dass die Programme nicht sauber unterscheiden, was sie unterscheiden sollten, war ja die Ausgangsposition. Dass ein Registry-Zugriff a priori verdächtiger ist als ein Zugriff auf stdout würdest du aber schon zustimmen?
Das mit dem Placebo muss ich nicht einmal testen – wenn du Beweise haben möchtest, dass die Programme nicht auf tatsächliche Systemeingriffe prüfen, brauchst du nur nach
„Hello World False Positve“ googeln:
Du, ich brauche keine Beweise, dass AV Programme im Allgemeinen False-Positives erzeugen. Das ist trivial. Ich wäre nur in deiner Situation, sofern es mit vertretbarem Aufwand möglich wäre, wahrscheinlich neugierig, ob und wie sich die Erkennung ändert, wenn ich mein Programm ändere. Ich hatte, vielleicht war das missverständlich, nicht die Erwartung, dass die AV Programme das Placebo korrekt als solches erkennen.
Der Punkt ist, dass die Virus-„Erkennung“ schon lange nur noch über Heuristik geschieht (heute nennt man es Machine Learning) statt über Verhaltensanalyse. Man sammelt einfach alle Daten über alle Programme, schaut sich die bekannten Malware-Fälle an, versucht gemeinsame Eigenschaften zu finden, und deklariert alles zum Virus, was diese Eigenschaften aufweist.
Soweit ist das klar. Da ich mal nicht annehme, dass du grundsätzlich gegen alle Heuristiken bist bzw. ihnen valide Einsatzgebiete völlig absprichst, geht es jetzt darum ob AV ein valides Einsatzgebiet für Heuristiken ist.
Zwei besonders häufige Eigenschaften von Malware sind 1) geringe Größe bzw. hohe Entropie (kein Virus ist 35 MiB groß und schiebt die ganze Zeit nur Strings hin und her wie Chrome.exe) und 2) kleine Importtabelle (Viren greifen eine Handvoll Kernel-Funktionen ab und laden nicht das halbe .NET-Ökosystem).
Und diese zwei Eigenschaften treffen halt besonders stark auf Helle World zu – und auf meine Programme.
Das macht spieltheoretisch keinen Sinn, weil ja niemand den Angreifer daran hindert, in seinem Virus das halbe .NET Ökosystem zu laden und zubenutzen. Jetzt kannst du natürlich argumentieren, dass das ein weiterer Beweis ist, dass AV Programme gar nicht versuchen Viren zu finden, aber das macht ökonomisch auch keinen Sinn, denn ein geringfügig besser funktionierendes AV Programm hat wahrscheinlich doch einen kleinen Werttbewerbsvorteil.
Wie dem auch sei, wenn es wirklich häufige Eigenschaften von Malware sind -- was praktisch nur bedeutet, dass es oft genug funktionieren muss, dass es sich für die Angreifer nicht lohnt die Strategie zu ändern (s. o.) -- dann ist aus Sicht derer, die AV Programme installieren, wahrscheinlich der Nutzen dieser Heuristik größer als der Schaden durch false positives, weil eben die meisten "nützlichen" Programme aufgeblähte Monster sind.
Das ist halt so ein grundlegendes Ding: Die Hersteller geben dem Kunden im Wesentlichen das was sie haben wollen, die Kunden bezahlen dafür, alle sind soweit zufrieden und an der Seitenlinie steht ein Ingenieur der die Hände darüber ringt dass der Kunde keine Ahnung hat was gut für ihn ist. Ich glaube da muss der Ingenieur vorsichtig sein.
Defender wird nur mit bestätigten Erkennungen gefüttert, was die False Positives sehr weit drückt und die Leistung sehr stark verbessert, aber die ersten 10k Infektionen nicht verhindern kann. Das hat ihm früh den Ruf eingebracht, er würde nichts nutzen – tatsächlich ist es der einzige Virenschutz, den ich halbwegs guten Gewissens auf den Computern meiner Eltern/Großeltern laufen lassen kann, wenn die unbedingt ein Antivirenprogramm haben wollen.
Ich verstehe das Argument nicht. Wenn du mit der "Läd es ein Ökosystem"-Heuristik das ohnehin schon relativ geringe risiko eines tages bei den 10K dabei zu sein nochmal um auch nur 10% senken kannst, dann willst du das natürlich tun. Wenn es der Rechner meiner Großeltern wäre dann bewerte ich es natürlich höher, dass sie nicht irgendwann bei den "glücklichen" sind, als dass sie deine Software nutzen können, die sie sowieso nicht brauchen.
Am Ende des Tages reden wir ja hier über Blacklisting vs. Whitelisting. Defender ist nach dem was du schreibst ja nur eine Blacklist. Die AV-Heuristik, die einfach alles als schädlich markiert und manuelle Freigabe verlangt ist eine Whitelist, hat keine false negatives und trotzdem alle Probleme über die du dich hier beschwerst. Ich nehme mal nicht an, dass du prinzipiell gegen Whitelisting bist.
