Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
-- Sicherheits Tips (https://www.dedies-board.de/wbb2/board.php?boardid=14)
--- Erfahrungsbericht F-Secure Internet Security 2005 (https://www.dedies-board.de/wbb2/thread.php?threadid=364)

Geschrieben von deoroller am 22.05.2005 um 19:49:

  Erfahrungsbericht F-Secure Internet Security 2005

Es handelt sich hier um die Version, die man zur Zeit auf der PCW-Heft-CD findet und ein Jahr lang zum Updaten der Signaturen berechtigt, mittels eines Webcodes, mit dem man bei PCW-Online neue Anmeldenummern für jeweils 3 Monate abholen kann. Die Anmeldenummer für die ersten 60 Tage wird bereits auf der Heft-CD mitgeliefert. Das Heft habe ich mir aber gekauft, da ihm MS-Office Standard Edition 2003 als 60 Tage Testversion beilag, welches ich gerne testen möchte.

Ich habe die Suite auf einer win2ksp4-Grundinstallation installiert, die ich für solche Fälle als Image schnell aufspielen kann.

Die erste Hürde ist schon mal die Registrierung, die nur online abläuft. Jedenfalls geht es offline nicht weiter, nachdem die Anmeldenummer von der CD eingegeben wurde.
Ich habe dann den Testmodus gewählt, um die Installation offline abschließen zu können.

Bei einer ungepatchten Installation, wie ich sie verwendet habe, hätte innerhalb Sekunden eine Infektion gedroht.

Nach einem Neustart, der jetzt über 2 Minuten dauerte anstatt 40s, erschien der Einrichtungsassistent, bei dem ich die Vorgaben erstmal übernahm. Dann fiel ich fast vom Stuhl, als ich den Taskmanager aufmachte und plötzlich 33 laufende Prozesse hatte. Vorher waren es 17, fast eine Verdoppelung. Das ist schon sensationell.
Bei meinem voll eingerichteten win2k (keine PFW installiert) habe ich 25 laufen. Virenscanner ist da Kaspersky 4.5 mit 2 Prozessen.

Nächster Akt Active Ports:
F-Secure horcht auf 9370, 59591 und 58581.
Ohne F-Secure wären die natürlich nicht offen. Man könnte jetzt geteilter Meinung sein, ob es sich um ein Sicherheitsproblem handelt, aber Script Kiddies haben somit ein weiteres Betätigungsfeld. Aber dagegen gibt es ja die eingebaute PFW. Augen rollen F-Secure hat natürlich vollen Zugriff aufs Netz. Na hoffentlich nutzt keiner eine mögliche Sicherheitslücke eines der vielen Bestandteile in F-Secure aus.

Dann habe ich mal die Suite auf meine Bedürfnisse eingestellt.
Beim Abschalten der PFW kam die Meldung, dass es sich auf die Sicherheit auswirken würde; positiv oder negativ blieb offen. Augen rollen
Also alles abgewählt, bis auf den Virenschutz ohne automatische Updates. Ich mache das lieber manuell. Dann noch auf alle Dateien scannen und ohne geplante Scanns eingestellt. Windowsneustart und es waren immer noch 33 Prozesse am laufen und die drei erwähnten Ports aktiv.
Ein Mako ist auch, dass der Hintergrundwächter standardmäßig nur Dateien mit 16 verscheidenen Dateiendungen überwacht. Wer das nicht ändert, lädt sich früher oder später ungebetene Gäste herunter, wobei der aufwändige "Schutzschild" praktisch nutzlos ist. Einen passenden Tread dazu gibt es ja im Virenforum des CPB.

Ich ziehe daraus für mich das Fazit, dass die Suite nichts für mich ist.
Zu Ressourcefressend, da andere Programme auch viel länger zum Starten brauchen. Das reisst auch die wahrscheinlich gute Scanengine nicht raus. Gäbe es den Virenschutz alleine, wäre es recht brauchbar.
Wenn man bereits im Setup alles abwählen könnte, was man nicht will und dann nur das installiert würde, was auch eingesetzt wird, wäre es besser. Aber dann könnte man sich der "Alleinherrschaft" F-Secures auch entziehen, was sie sicher nicht wollen.


Für den Test blieb ich offline, da noch ungepatched. Ich wollte auch nur das Einrichten und die Bedienung testen und die Auswirkungen auf Windows, wie laufende Prozesse und Startgeschwindigkeit. Der Programmordner von F-Secure ist mit 185MB recht gut gefüllt.

Installationsprobleme gab es keine, aber win2k war praktisch auch gerade neu aufgesetzt. Fremdinstallationen sind grundsätzlich komplett zu deinstallieren, weil man ansonsten mit Problemen rechnen muss. Das System sollte dazu bereits mit den wichtigsten Patches versorgt und die Internetverbindung konfiguriert sein. Die bereits enthaltenen Signaturen sind vom 13.09.2004, also praktisch nutzlos ohne Update. Die hätten neuer sein können.

Das Sicherheitskonzept des "Windows Dienste abschaltens" mit gleichzeitigen "Arbeiten unter eingeschränkten Benutzerrechten" kann es nicht ersetzen.
Ich glaube auch, dass die meisten, die eine Sicherheitssuite einsetzen es gar nicht kennen und die Hersteller wollen, dass es sich auch nicht ändert.

Für mich ist weniger mehr. Ich nutze sogar lieber Kaspersky AV 4.5 anstatt 5, weil es einen Prozess weniger erfordert (ohne installiertem Controllcentre, Bedienung und Hintergrundwächter über AV-Monitor) und sich genauer konfigurieren lässt, was aber auch komplizierter ist. Aber bei den Einstellungen sollte man sowieso keine Standardprofile benutzen, sondern jeden einzelnen Punkt auf seine Bedürfnisse abstimmen.
Ich werde die 5er Version trotzdem nochmal testen, weil es damals wegen der installierten Sygate PFW zu argen Problemen kam, wie einem blockiertem Netzwerk. KAV5 bringt ja auch eine abgespeckte PFW mit, die standardmäßig erstmal aktiv ist.

Für andere kann ich hier nicht sprechen, ich schätze aber, dass viele sich durch eine Sicherheitssuite Sicherheit vortäuschen und zu unüberlegten Handlungen hinreißen lassen. Eine schlecht konfigurierte Sicherheitssuite ist gefährlicher als keine.

Ich hoffe, dass dieser kurze Erfahrungsbericht als Entscheidungshilfe für interessierte User dienen kann.


Geschrieben von Vimes am 22.05.2005 um 20:35:

  RE: Erfahrungsbericht F-Secure Internet Security 2005

Zitat:
Original von deoroller
F-Secure horcht auf 9370, 59591 und 58581.


Alle außen? TCP oder UDP? Krank...
Da kann man natürlich geteilter Meinung sein, aber wo kein Dienst an einem Port lauscht, da ist auch keine Angriffsmöglichkeit gegeben. Und umgekehrt. Damit ist hier ein Angriffsrisiko vorhanden - es sei denn, die Jungs hätten wirklich sauber gearbeitet. Ich wage, das zu bezweifeln.

Zitat:
Na hoffentlich nutzt keiner eine mögliche Sicherheitslücke eines der vielen Bestandteile in F-Secure aus.


muhaha

Zitat:
Ich glaube auch, dass die meisten, die eine Sicherheitssuite einsetzen es gar nicht kennen und die Hersteller wollen, dass es sich auch nicht ändert.


ACK. An einem Sicherheitskonzept, das der Nutzer sich selbst erstellt und mit bordeigenen Mitteln umsetzt, verdient man kein Geld.

Danke für Deinen Bericht! Hochinteressant.

MfG
Vimes


Geschrieben von MobyDuck am 22.05.2005 um 21:05:

 

Schließe mich an. Danke für den Erfahrungsbericht! top
Mein AVK-Abo ist letztens abgelaufen. Ich war versucht, F-Secure Internet Security 2005 auszuprobieren (habe mir extra eine PC-Zeitschrift gekauft, die ich eigentlich nicht mehr lese), aber jetzt lasse ich es.


Geschrieben von dedie am 22.05.2005 um 21:11:

 

Thx, für den Bericht, der ist top


Geschrieben von deoroller am 22.05.2005 um 21:55:

 

Das ist das Protokoll von TCPView:

System 8 0.0.0.0 445 LISTEN UDP
System 8 0.0.0.0 445 LISTEN TCP
services.exe 224 0.0.0.0 1026 LISTEN UDP C:\WINNT\system32\services.exe
svchost.exe 420 0.0.0.0 135 LISTEN UDP C:\WINNT\system32\svchost.exe
svchost.exe 420 0.0.0.0 135 LISTEN TCP C:\WINNT\system32\svchost.exe
fspex.exe 1040 0.0.0.0 9370 LISTEN UDP C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
fshttps.exe 1432 127.0.0.1 59591 LISTEN TCP C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
fsdfwd.exe 1452 0.0.0.0 58581 LISTEN TCP C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe

Der Vollständigkeit halber das ganze "unbehandelte" win2k.


Geschrieben von Vimes am 22.05.2005 um 22:12:

 

Danke, jetzt ist mir aber wirklich schlecht. Einmal UDP, zweimal TCP. Gaaaanz toll...

MfG
Vimes


Geschrieben von deoroller am 22.05.2005 um 23:24:

 

Ich habe auch noch eine nichtangetastete Vollversion von F-Secure Internet Security 2004 und F-Secure Anti-Virus 2004 auf einer CD, die der MS-Sicherheitsupdate-CD vom Februar 2004 beilag. 6 Monate soll sie nutzbar sein. Jetzt frage ich mich, ob man da den Virenscanner einzeln installieren kann und ob die Zeit noch nicht abgelaufen ist. grübeln

Oh, ich habe das ganze sogar nochmal, noch ungeöffnet. Petzauge


Geschrieben von dedie am 22.05.2005 um 23:29:

 

@ deoroller

Falls Interesse besteht, ich hätte da noch NIS 2003 im Angebot fröhlich


ironie


Geschrieben von Grizzly am 24.05.2005 um 01:44:

 

ich hab sogar noch NIS 2004 und 2005 immernoch verpackt...... ironie

wer will, der kann....... ist allerdings alles englisch...


Geschrieben von deoroller am 24.05.2005 um 10:26:

 

Muss leider ablehnen, da ich auf Kaspersky AV 5 upgedatet habe.
Läuft klasse. Nur 2 Prozesse im Speicher ohne Tricks und startet gut 15s schneller als die alte 4.5 Version. Dazu hat es eine Internetverbindungsfirewall, die nur eingehende Sachen blockt, so dass man sie zuschalten kann, falls mal ein Patch fehlt. win2k fehlt so was im Gegensatz zu XP ja.
Ausser, dass ich gleich beim ersten Fullscann der Platte plötzlich schlechte Software installiert hatte. böse

guckstdu


Geschrieben von deoroller am 26.05.2005 um 01:37:

 

Ich habe da noch einen Nachbrenner.

Das Programm hinterlässt nach dem Deinstallieren eine Datei namens Iadhide5.dll von Backweb auf dem PC.

Zitat:

The dll is registered as a Windows system-wide hook (using the standard Win32 API) and traps the following events:

* Keyboard activity
* Mouse activity
* Applications - opening and closing of processes

http://www.backweb.com/services/technical/


Und jetzt das Beste:
Ad-Aware findet die Datei und macht sie platt. fröhlich fröhlich fröhlich


Geschrieben von Vimes am 26.05.2005 um 09:45:

 

@deo

Ist aber kein klassischer Keylogger oder ähnliches, weil:

Zitat:
All the above events are not logged to any device (disk, network, etc.)


Dient also nur dazu, festzustellen, ob der Anwender gerade arbytet. Keine Spyware.

MfG
Vimes


Geschrieben von Hertener am 31.05.2005 um 21:25:

 

Fresse
Yo, ich nutze F-Secure Anti-Virus 2005 seit etwas über 3 Monaten. Ich bin mit dem Programm soweit ganz zufrieden. Genauso wie zuvor mit H&BEDVs AntiVir. Petzauge
Im Gegensatz zu AntiVir findet F-Secure auch in Mail-Anhängen infizierte Dateien. Da ich für Mails allerdings den GMX-Virenschutz nutze bin doch etwas darüber überrascht, was F-Secure in so mancher SPAM-Mail nachträglich entdeckt. Doppelt gemoppelt hält bekanntlich besser, und so mancher unbedarfter User wäre gut beraten, neben Brain 1.0 weitere Sicherheitssoftware zu nutzen - nur um ganz (möglichst) sicher zu gehen.

Just my Groschen, oder so... cool


Geschrieben von dedie am 31.05.2005 um 21:35:

 

Antivir findet (zumindest bei mir) auch in Mailanhängen infizierte Dateien, spätestens wenn man versucht die Datei (ohne zu öffnen) abzuspeichern wird gemeckert. yes


Geschrieben von Hertener am 31.05.2005 um 21:57:

 

O.K., ich mache IMAP, wobei die Dateien auf dem Mail-Server bleiben. Aber ich denke, sobald ich soeinen Mail-Anhang öffnen würde, wäre auch AntiVir zur Stelle. yes


Geschrieben von deoroller am 31.05.2005 um 22:02:

 

Der E-mail Virenscann ist für mich kein Entscheidungskriterium, da spätestens der Hintergrundwächter Schadsoftware feststellt, wie beim Kopieren oder Abspeichern und dann Schreibzugriffe verhindert.

@Papst-Verehrer
Richtet F-Secure im E-Mailprogramm ein Plug-In ein oder scannt es gleich mit einem TCP/IP-Filter, wie Kaspersky?
Zweiteres ist günstiger, da eingehende Mails gescannt werden, bevor sie das E-Mailprogramm erreichen.


Geschrieben von Vimes am 31.05.2005 um 22:06:

 

Zitat:
Original von Papst-Verehrer
so mancher unbedarfter User wäre gut beraten, neben Brain 1.0 weitere Sicherheitssoftware zu nutzen - nur um ganz (möglichst) sicher zu gehen.


Das ist Ansichtssache.

Eigentlich müßte man sich nur auf die Kontaktlinsen gravieren lassen "Keine Attachments ausführen!!!!" und alles wäre in Butter.
Falls man tatsächlich mal eines erwartet, sollte es einem die Mühe wert sein, kurz telefonisch Rücksprache zu halten, sollte das Attachment von einem Typ sein, der Schwierigkeiten erwarten läßt.
Zu guter letzt: Geschichten wie "Exe" oder "Com" ebenso wie "PIF" oder "BAT" läßt man sich nie per Mail schicken. Dann fällt man auch nicht drauf rein, wenn einem das jemand unterjubeln will.

@deo: Nennen die das TCP/IP-Filter? Augen rollen Im Klartext, der Virenscanner greift über Port 110 (POP3) auf die Mailbox zu, scannt den Kram und schiebt ihn dann an das Mailprogramm weiter... "TCP/IP-Filter"... Tssss...

My 2% Euro

MfG
Vimes


Geschrieben von Hertener am 31.05.2005 um 22:25:

 

@ deo

Mail-Client: Mozilla Thunderbird 1.0.2
PlugIns: keine
Protokoll: IMAP
Ablauf: Betreff/Absender/Empfänger/Datum werden in regelmäßigen Abständen vom Server abgefragt und angezeigt. (Lediglich diese Informationen!) Wenn ich nun eine neue Nachricht, die von GMX nicht aussortiert wurde, in meinem Posteingang habe und diese auswähle, wird sie in der Vorschau geladen (HTML ist deaktiviert). Die Datei-Anhänge werden dabei unterhalb des Vorschaufensters angezeigt. Schon wärend die Mail geladen wird, meldet sich F-Secure, entfernt den infizierten Anhang, und lässt den Rest der Mail im Originalzustand. Gleiches würde IMHO passieren, wenn die Vorschau nicht aktiviert wäre und die Mail in einem neuen Fenster geöffnet würde.
Einziges Problem, aus meiner Sicht, wäre, dass wenn ich eine Mail mit erwünschten Anhang erhalte, F-Secure "überreagiert" und den Anhang entfernt. Das ist aber bisher nie vorgekommen. Zudem lasse ich (fast) alle Attachements von GMX herrausnehmen und im GMX-Media-Center ablegen. In unregelmäßigen Abständen greife ich auf den Media-Center zu und lade mir die dort gelandeten Anhänge als zip-File herunter. Dabei kann ich i.d.R. schon erkennen was dort hingehört (jpg, gif, pps, pdf, mpeg, avi, etc.) und was nicht (dat, exe, pif, etc.).

Wie Du siehst, ist es für Software schon ein einigermaßen mühseliger Weg um überhaupt auf meine HDD zu gelangen. Und dann ist da schließlich noch der Virenwächter, der auch nocheinmal schaut, was der liebe PV da so auf die HDD drauf packt.

Ich bin sicherlich nicht unfehlbar und mein Virenscanner wahrscheinlich auch nicht, aber zusammen bilden wir ein gutes Team. Petzauge


@ Vimes

Grüße mir Deine Kontaktlinsen - alte Brillenschlange! großes Grinsen fröhlich Petzauge


Geschrieben von deoroller am 31.05.2005 um 22:37:

 

Wie die das nennen, weiß ich nicht genau. Nachdem ich KAV 4.5 gegen 5 ausgetauscht habe, ging ich in Outlook zu dem Add-Ins und suchte den Mailscanner, fand aber keinen mehr. Auch sonst kein Hinweis in Outlook. Aber wenn einen Mail reinkommt oder rausgeht, zeigt das Traysymbol ein zusätzliches Zeichen, dass wie eine Nachricht aussieht und kurze Zeit später kommt das akustische Signal von Outlook, dass neue Nachrichten eingegangen sind. Ausserdem benutze ich jetzt den sogenenten Netzwerkschutz, der nichts anderes ist, wie das Ding, dass man in XP "Internet-Verbindungsfirewall" nennt. Irgendwas zur Beruhigung brauche ich, da ich beim Neuaufsetzen von Win die Sygate PFW "vergessen" habe zu installieren. fröhlich
Ab und zu kommt ein "Helkern"-Angriff Augen rollen


Geschrieben von Vimes am 31.05.2005 um 22:49:

 

@PV: Ich bin klassischer Brillenträger - ohne Gravur...

@deo: Vermutlich scannt KAV, wie ich schon schrieb, und reicht dann an Outlook weiter - oder läßt Outlook danach die Mails abholen, möglich wäre beides.

Edit: War gerade auf der Webseite von Kaspersky. Die schreiben was davon, seinen Rechner "unsichtbar" zu machen. Jetzt ist mir schlecht und Kaspersky in meiner Meinung tiiiiiiief gesunken. [/Edit]

Helkern-Angriff? Hast Du einen SQL-Server laufen, oder warum beunruhigt der Dich...?

MfG
Vimes