Üble Propaganda der "Sicherheitsanbieter"
Volker Birk
nachdem nun schon eine Weile lang meine PoC codes zum Umgehen von
"Personal Firewalls" als Viren von vielen gängigen Virensuchern
gemeldet werden, geht die Front scheinbar weiter:
Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten", ein
völlig harmloses Hilfsprogramm, von AntiVir als "SPR/Tool.KillService"
Virus erkannt wird.
Selbstverständlich ist auch der in der offiziellen Datenbank nicht zu
finden.
Die Frage ist, inwiefern AntiVir überhaupt noch als ernstzunehmendes
Virensuchprogramm anzusehen ist - wieviele Falschmeldungen sind da noch
aus politischen Gründen drin?
Viele Grüße,
VB.
--
Ich würde schätzen, dass ca. 87% aller spontanen Schätzungen völlig für
den Arsch sind.
Ralph Angenendt in deb...@ccc.de
Jens Hektor
> Die Frage ist, inwiefern AntiVir überhaupt noch als ernstzunehmendes
> Virensuchprogramm anzusehen ist
Der Terminus Technicus ist "Virenrateprogramm".
Alexander Skwar
> Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten", ein
> völlig harmloses Hilfsprogramm, von AntiVir als "SPR/Tool.KillService"
> Virus erkannt wird.
Nun - wenn man mal vom Namen des "Schädlings" ausgeht, dann würde
ich sagen, das der Virenscanner *recht* hat. Tatsache ist doch,
das Dienste "gekillt" (gestoppt) werden, oder nicht?
Alexander Skwar
--
Abdanken bedeutet, einen Vorteil um einen größeren Vorteil aufzugeben.
-- Ambrose Gwinnet Bierce (Des Teufels Wörterbuch)
Rudolf Polzer
> Hallo,
>
> nachdem nun schon eine Weile lang meine PoC codes zum Umgehen von
> "Personal Firewalls" als Viren von vielen gängigen Virensuchern
> gemeldet werden, geht die Front scheinbar weiter:
>
> Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten", ein
> völlig harmloses Hilfsprogramm, von AntiVir als "SPR/Tool.KillService"
> Virus erkannt wird.
Ja, bestätigt durch virusscan.jotti.org:
POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore,
this file's scan results will not be stored in the database) (Note: this file
was only classified as malware by scanners known to generate more false
positives than the average scanner. Do not consider these results definately
accurate. Also, because of this, results of this scan will not be recorded in
the database.)
AntiVir: Found SecurityPrivacyRisk/Tool.KillService riskware
(und alle anderen: Found nothing)
Aber die Leute haben recht, es IST Malware. Bei normaler Benutzung
(naja, wie es $ZIELGRUPPE halt macht: in willkürlicher Reihenfolge halt
mal auf alles klicken, was wie ein Dialogsteuerelement aussieht)
deaktiviert es wichtige Dienste und bringt das Netzwerk durcheinander
(wenn der User sagt, er befinde sich an einem alleine stehenden Rechner,
gehen plötzlich die Netzwerkfreigaben nicht mehr...).
Nur, wenn schon, denn schon - dann soll AntiVir bitte auch erkennen:
SecurityPrivacyRisk/Tool.KillService riskware: SERVICES.MMC
SecurityPrivacyRisk/Tool.KillService riskware: NET.EXE
SecurityPrivacyRisk/Tool.DeleteFiles riskware: DELTREE.EXE
SecurityPrivacyRisk/Tool.DeleteFiles riskware: CMD.EXE
SecurityPrivacyRisk/Tool.DeleteFiles riskware: COMMAND.COM
SecurityPrivacyRisk/Tool.DeleteFiles riskware: EXPLORER.EXE
SecurityPrivacyRisk/TrojanDownloader.P2P riskware: EMULE.EXE
SecurityPrivacyRisk/TrojanDownloader.Browser riskware: FIREFOX.EXE
SecurityPrivacyRisk/TrojanDownloader.Browser riskware: IEXPLORE.EXE
SecurityPrivacyRisk/Tool.FormatDrive riskware: FORMAT.COM
SecurityPrivacyRisk/Tool.FormatDrive riskware: EXPLORER.EXE
SecurityPrivacyRisk/Tool.OverwriteFiles riskware: NOTEPAD.EXE
SecurityPrivacyRisk/Tool.OverwriteFiles riskware: WORDPAD.EXE
etc.
SCNR
--
Zum Augenblicke dürft' ich sagen:
Verweile doch, du bist so schön!
Es kann die Spur von meinen Erdentagen
Nicht in Äonen untergehn.
Volker Birk
> · Volker Birk <bum...@dingens.org>:
> > Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten", ein
> > völlig harmloses Hilfsprogramm, von AntiVir als "SPR/Tool.KillService"
> > Virus erkannt wird.
> Nun - wenn man mal vom Namen des "Schädlings" ausgeht, dann würde
> ich sagen, das der Virenscanner *recht* hat. Tatsache ist doch,
> das Dienste "gekillt" (gestoppt) werden, oder nicht?
Magst Du mal erläutern, inwieweit mein Tool ein Virus ist? Oder
überhaupt Malware?
Rudolf Polzer
> Alexander Skwar <alex...@skwar.name> wrote:
> > · Volker Birk <bum...@dingens.org>:
> > > Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten", ein
> > > völlig harmloses Hilfsprogramm, von AntiVir als "SPR/Tool.KillService"
> > > Virus erkannt wird.
> > Nun - wenn man mal vom Namen des "Schädlings" ausgeht, dann würde
> > ich sagen, das der Virenscanner *recht* hat. Tatsache ist doch,
> > das Dienste "gekillt" (gestoppt) werden, oder nicht?
>
> Magst Du mal erläutern, inwieweit mein Tool ein Virus ist? Oder
> überhaupt Malware?
Die Zielgruppe von Antivir schießt sich damit ins Knie, folglich
verhindert Antivir die Ausführung des Tools.
Volker Birk
> > Magst Du mal erläutern, inwieweit mein Tool ein Virus ist? Oder
> > überhaupt Malware?
> Die Zielgruppe von Antivir schießt sich damit ins Knie, folglich
> verhindert Antivir die Ausführung des Tools.
Das ist schlichtweg Unsinn.
"Windows-Dienste abschalten" ist gedacht für Windows 2000 Nutzer und
Nutzer von Windows XP vor SP2.
Ich kann Dir hier kiloweise Dankesmails vor die Füße kippen von Leuten,
die das Tool einsetzen, und nur ganz wenige Problemberichts-Mails
gegenhalten.
Wenn Du versehentlich "Windows-Dienste abschalten" ausgeführt hast,
kannst Du es schlicht nochmals starten, und wieder den untersten Punkt
auswählen. Dann stellt das Ding Deinen PC wieder zurück.
Ich würde viel eher mal sagen, wäre das ein kommerzielles Projekt, so
würde ich jetzt den Hersteller von AntiVir wegen Geschäftsschädigung
verklagen.
Volker Birk
> Volker Birk <bum...@dingens.org> wrote:
> > nachdem nun schon eine Weile lang meine PoC codes zum Umgehen von
> > "Personal Firewalls" als Viren von vielen gängigen Virensuchern
> > gemeldet werden, geht die Front scheinbar weiter:
> solche Codes als Gefahr ansehen, und sie melden.
Sorry, das ist nicht OK. Die Beispielprogramme richten keinerlei Schaden
an. Und die Virenscanner erkennen nicht etwa Malware, die mit dem
gleichen Trick arbeitet, sondern sie erkennen genau die
Beispielprogramme.
> > Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten",
> > ein völlig harmloses Hilfsprogramm, von AntiVir als "SPR/Tool.KillService"
> > Virus erkannt wird.
> Woher soll der Virensucher wissen, ob das jetzt ein korrektes
> (erwünschtes) Hilfstool ist (z.B. net stop <Dienst>), oder ein
> (unerwünschter) Virus, der damit für ihn unerfreuliche Dienste killt...
> Von daher lieber erstmal anmeckern.
Das ist Unsinn.
Das Abschalten von unbenötigten und gefährdenden Diensten ist
kein Sicherheitsproblem, sondern das Gegenteil, eine
sicherheitstechnisch sinnvolle Massnahme. Und schon gar nicht ist das
Tool ein "Virus".
Joerg Lorenz
> Hallo,
Ebenso!
>
> nachdem nun schon eine Weile lang meine PoC codes zum Umgehen von
> "Personal Firewalls" als Viren von vielen gängigen Virensuchern
> gemeldet werden, geht die Front scheinbar weiter:
Wo ist das Problem? Du willst eine Sicherheitseinrichtung umgehen: Das
ist nicht akzeptabel und am äussersten Rand dessen, was Dir keine
Probleme einbringt.
>
> Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten", ein
> völlig harmloses Hilfsprogramm, von AntiVir als "SPR/Tool.KillService"
> Virus erkannt wird.
Jedes Tracking Cooky wird zum GAU hochstilisiert. Dienste abschalten ist
keine Bagatelle.
>
> Selbstverständlich ist auch der in der offiziellen Datenbank nicht zu
> finden.
Hä? Wie kann er das denn entdecken?
>
> Die Frage ist, inwiefern AntiVir überhaupt noch als ernstzunehmendes
> Virensuchprogramm anzusehen ist - wieviele Falschmeldungen sind da noch
> aus politischen Gründen drin?
Primär ist mal Dein Posting eine problematische Meldung. Denn Ton den
ich hier raushöre: Ich bin der VB und wenn ich was sage, dann ist das
immer richtig. Reg Dich ab! Trink ein Bier und mach mal was Anderes als
nur an Deiner Kiste kleben! ;-)
>
> Viele Grüße,
> VB.
Auch von meiner Seite. Auch der Sicherheitspapst sollte nie die
Bodenhaftung verlieren. Oder habe ich da was nicht ganz verstanden?
Könnte ja immerhin sein.
Joerg
--
De gustibus non est disputandum
Volker Birk
> > nachdem nun schon eine Weile lang meine PoC codes zum Umgehen von
> > "Personal Firewalls" als Viren von vielen gängigen Virensuchern
> > gemeldet werden, geht die Front scheinbar weiter:
> Wo ist das Problem? Du willst eine Sicherheitseinrichtung umgehen: Das
> ist nicht akzeptabel und am äussersten Rand dessen, was Dir keine
> Probleme einbringt.
Du hast scheint's nicht verstanden, was ein "Proof of Concept" ist.
Ich will gar nichts umgehen. Ich weise nur nach, dass umgangen werden
kann.
Dazu stelle ich völlig harmlose Beispielprogramme zur Verfügung, die
keinerlei Schaden anrichten.
Diese als "Trojaner" zu erkennen, ist schlichtweg Unsinn.
> > Selbstverständlich ist auch der in der offiziellen Datenbank nicht zu
> > finden.
> Hä? Wie kann er das denn entdecken?
Na, ich hab die Suchmaschine für AntiVir benutzt, und finde die genannte
Signatur nicht.
Alexander Skwar
> Alexander Skwar <alex...@skwar.name> wrote:
>> · Volker Birk <bum...@dingens.org>:
>> > Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten", ein
>> > völlig harmloses Hilfsprogramm, von AntiVir als "SPR/Tool.KillService"
>> > Virus erkannt wird.
>> Nun - wenn man mal vom Namen des "Schädlings" ausgeht, dann würde
>> ich sagen, das der Virenscanner *recht* hat. Tatsache ist doch,
>> das Dienste "gekillt" (gestoppt) werden, oder nicht?
>
> Magst Du mal erläutern, inwieweit mein Tool ein Virus ist? Oder
> überhaupt Malware?
Das sagte ich nicht. Ich sagte, das die Bezeichnung "Tool.KillService"
durchaus passend ist, da Dein Tool Services "killt". So ganz
unreflektiert kann das durchaus als schädlich angesehen werden,
da vlt. auch Dienste von Viren Scannern gestoppt werden. Die
übliche Viren Scanner Kundschaft könnte sowas als durchaus
untoll empfinden.
Das Dein Tool das nicht tut, spielt hierbei erstmal keine Rolle.
Alexander Skwar
--
Nur der steigende, nicht der stehende Ruhm erfreuet; während des
letzten sind nur die Schmerzen des angegriffnen.
-- Jean Paul
Alexander Skwar
> Thomas Niering <thomas....@arcor.de> wrote:
>> Volker Birk <bum...@dingens.org> wrote:
>> > nachdem nun schon eine Weile lang meine PoC codes zum Umgehen von
>> > "Personal Firewalls" als Viren von vielen gängigen Virensuchern
>> > gemeldet werden, geht die Front scheinbar weiter:
>> Wieso regst du dich auf? Ist doch okay, dass Anti(?)-Virenhersteller
>> solche Codes als Gefahr ansehen, und sie melden.
>
> Sorry, das ist nicht OK. Die Beispielprogramme richten keinerlei Schaden
> an.
Es werden Dienste beendet. Das kann durchaus nicht gewollt sein.
>> > Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten",
>> > ein völlig harmloses Hilfsprogramm, von AntiVir als "SPR/Tool.KillService"
>> > Virus erkannt wird.
>> Woher soll der Virensucher wissen, ob das jetzt ein korrektes
>> (erwünschtes) Hilfstool ist (z.B. net stop <Dienst>), oder ein
>> (unerwünschter) Virus, der damit für ihn unerfreuliche Dienste killt...
>> Von daher lieber erstmal anmeckern.
>
> Das ist Unsinn.
Wie Du meinst.
> Das Abschalten von unbenötigten und gefährdenden Diensten ist
Darum geht's nicht. Es werden Dienste beendet, ergo passt
die Bezeichnung. Das auch "net.exe" in die gleiche Kategorie
"Malware" passt, ist unstrittig.
> kein Sicherheitsproblem, sondern das Gegenteil, eine
> sicherheitstechnisch sinnvolle Massnahme.
Kommt drauf an.
> Und schon gar nicht ist das
> Tool ein "Virus".
Wer sagt, das es ein Virus sei?
Alexander Skwar
--
Wenn man nur dem Gehör geschenkt hätte, was Gott zum Herzen der
Menschen gesagt hat, so hätte es niemals mehr als eine Religion auf
der Erde gegeben.
-- Jean Jacques Rousseau
Volker Birk
> Primär ist mal Dein Posting eine problematische Meldung. Denn Ton den
> ich hier raushöre: Ich bin der VB und wenn ich was sage, dann ist das
> immer richtig. Reg Dich ab! Trink ein Bier und mach mal was Anderes als
> nur an Deiner Kiste kleben! ;-)
> Bodenhaftung verlieren. Oder habe ich da was nicht ganz verstanden?
> Könnte ja immerhin sein.
Mal ehrlich: ich bin sowenig Sicherheitspapst wie Angela Merkel Päpstin.
Dass ich stocksauer bin, da hast Du recht. Das ist schlichtweg eine
Unverschämtheit.
Ich bin gespannt, wie Du reagieren wirst, wenn jemand Deine Arbeit als
schädlichen Virus bezeichnet, die Du als freie Software und zudem
kostenlos zur Verfügung stellst, und die keinerlei Sicherheitsrisiko
darstellt, sondern wohl eher ganz im Gegenteil.
Würde ich das kommerziell machen, wäre jetzt ein Jurist mit dem
Verfassen der Abmahnung, der Einstweiligen und bei Zuwiderhandlung
der Klage beschäftig.
Volker Birk
> > Thomas Niering <thomas....@arcor.de> wrote:
> >> Volker Birk <bum...@dingens.org> wrote:
> >> > nachdem nun schon eine Weile lang meine PoC codes zum Umgehen von
> >> > "Personal Firewalls" als Viren von vielen gängigen Virensuchern
> >> > gemeldet werden, geht die Front scheinbar weiter:
> >> Wieso regst du dich auf? Ist doch okay, dass Anti(?)-Virenhersteller
> >> solche Codes als Gefahr ansehen, und sie melden.
> > Sorry, das ist nicht OK. Die Beispielprogramme richten keinerlei Schaden
> > an.
> Es werden Dienste beendet. Das kann durchaus nicht gewollt sein.
Nein.
Bei den gennanten PoC Codes werden keinerlei Dienste beendet, und auch
sonst nichts gefährliches oder ungewolltes getan.
> > Das Abschalten von unbenötigten und gefährdenden Diensten ist
> Darum geht's nicht. Es werden Dienste beendet, ergo passt
> die Bezeichnung. Das auch "net.exe" in die gleiche Kategorie
> "Malware" passt, ist unstrittig.
Dann erkläre mir doch bitte, weshalb "net.exe" nicht als solcher "Virus"
erkannt wird, "Windows-Dienste abschalten" jedoch sehr wohl.
> > Und schon gar nicht ist das
> > Tool ein "Virus".
> Wer sagt, das es ein Virus sei?
Die Leute, die mir Mails schicken, weil das Tool von AntiVir jetzt als
Virus erkannt wird.
Besim Karadeniz
Volker Birk schrieb:
> Würde ich das kommerziell machen, wäre jetzt ein Jurist mit dem
> Verfassen der Abmahnung, der Einstweiligen und bei Zuwiderhandlung
> der Klage beschäftig.
Der wäre in etwa so erfolgreich wie, sagen wir, ein Anwalt von WMF, der
Fluggesellschaften verklagen will, metallene WMF-Messer auf Flügen
zuzulassen, weil diese ja nachweislich meist nicht als Waffe in
Flugzeugen genutzt werden.
Besim
--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Déjà-vus sind oft Fehler in der Matrix. Das kann passieren, wenn sie
etwas ändern." -- Carrie-Ann Moss als Trinity in "The Matrix"
Alexander Skwar
>> > Das Abschalten von unbenötigten und gefährdenden Diensten ist
>> Darum geht's nicht. Es werden Dienste beendet, ergo passt
>> die Bezeichnung. Das auch "net.exe" in die gleiche Kategorie
>> "Malware" passt, ist unstrittig.
>
> Dann erkläre mir doch bitte, weshalb "net.exe" nicht als solcher "Virus"
> erkannt wird, "Windows-Dienste abschalten" jedoch sehr wohl.
Wie soll ich das machen?
>> > Und schon gar nicht ist das
>> > Tool ein "Virus".
>> Wer sagt, das es ein Virus sei?
>
> Die Leute, die mir Mails schicken, weil das Tool von AntiVir jetzt als
> Virus erkannt wird.
Wird es denn wirklich als Virus erkannt? Ich kenne AntiVir nicht,
darum verzeih bitte die Frage.
Alexander Skwar
--
Wie man sein Kind nicht nennen sollte:
Anna Chie
Volker Birk
> > Die Leute, die mir Mails schicken, weil das Tool von AntiVir jetzt als
> > Virus erkannt wird.
> Wird es denn wirklich als Virus erkannt?
Das wurde mir jetzt mehrfach bestätigt.
Ich habe eben im AntiVir-Nutzerforum um Stellungnahme gebeten.
Heiko Adams
> ...
> Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten", ein
> völlig harmloses Hilfsprogramm, von AntiVir als "SPR/Tool.KillService"
> Virus erkannt wird.
> ...
Hallo,
wie wäre es, wenn Du Dich beim Hersteller von AntiVir erkundigst, warum
Sie Dein Tool in Ihre Signaturen aufgenommen haben?
So manche Missverständnisse sollen sich schon durch einfaches Nachfragen
und Konversation geklärt haben ;-)
MfG
Heiko
Volker Birk
> wie wäre es, wenn Du Dich beim Hersteller von AntiVir erkundigst, warum
> Sie Dein Tool in Ihre Signaturen aufgenommen haben?
Hab ich gemacht.
Alexander Skwar
> Alexander Skwar <alex...@skwar.name> wrote:
>> > Die Leute, die mir Mails schicken, weil das Tool von AntiVir jetzt als
>> > Virus erkannt wird.
>> Wird es denn wirklich als Virus erkannt?
>
> Das wurde mir jetzt mehrfach bestätigt.
Kernpunkt meiner Frage: "wirklich als *Virus*"? Oder gibt's bei
AntiVir verschiedene "Kategorien" (Trojaner, Virus, Malprogramm, ...)?
Alexander Skwar
--
Nur die Sache ist verloren, die man aufgibt.
-- Ernst Freiherr von Feuchtersleben
Besim Karadeniz
Alexander Skwar schrieb:
> Kernpunkt meiner Frage: "wirklich als *Virus*"? Oder gibt's bei
> AntiVir verschiedene "Kategorien" (Trojaner, Virus, Malprogramm, ...)?
Es wird als "Secure Private Risk" authentifiziert, in genau der
Kategorie. Also ausdrücklich nicht als Virus.
Besim
--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"So ist der Gang der Dinge; ein paar Bits verlierst du, ein paar Bits
behälst du." -- "Das Orakel" in "The Matrix Revolutions"
Volker Birk
> > Alexander Skwar <alex...@skwar.name> wrote:
> >> > Die Leute, die mir Mails schicken, weil das Tool von AntiVir jetzt als
> >> > Virus erkannt wird.
> >> Wird es denn wirklich als Virus erkannt?
> > Das wurde mir jetzt mehrfach bestätigt.
> Kernpunkt meiner Frage: "wirklich als *Virus*"? Oder gibt's bei
> AntiVir verschiedene "Kategorien" (Trojaner, Virus, Malprogramm, ...)?
Wie gesagt, es wurde mir mehrfach so gemeldet. Kann das jemand hier
bestätigen oder widerlegen?
Bernd Eckenfels
>> > völlig harmloses Hilfsprogramm, von AntiVir als "SPR/Tool.KillService"
> Magst Du mal erläutern, inwieweit mein Tool ein Virus ist? Oder
> überhaupt Malware?
SPR steht wohl für "Security Privacy Risk", und Tool halt eben dass es ein
Harmloses Programm ist (Remote Admin Tools, FTP Server und anderes sind in
der Kategorie). Welches Risiko sie mit KillService verbinden kann man nur
Ahnen, aber ich nehme mal an dass irgend ein abgeschaltener Dienst (z.b.
Security Center, Windows Firewall, ...) als kritisch angesehen wird.
Wenn sich nur ein Kunde beschwert "warum laeuft xx nicht mehr auf dem
Rechner von mitarbeiter y" springen die Security Hersteller halt drauf an.
Es könnte auch eine Fehl-Decetion sein weil irgend ein andes Tool sc.exe
oder sonst ne Funktion verwendet um böses zu tun...
Gruss
Bernd
Volker Birk
> > Würde ich das kommerziell machen, wäre jetzt ein Jurist mit dem
> > Verfassen der Abmahnung, der Einstweiligen und bei Zuwiderhandlung
> > der Klage beschäftig.
> Der wäre in etwa so erfolgreich wie, sagen wir, ein Anwalt von WMF, der
> Fluggesellschaften verklagen will, metallene WMF-Messer auf Flügen
> zuzulassen, weil diese ja nachweislich meist nicht als Waffe in
> Flugzeugen genutzt werden.
Im Gegensatz zu beispielsweise Gator:
http://www.heise.de/newsticker/meldung/41319
stehe ich ja wohl keinesfalls unter dem Verdacht, Malware herzustellen.
Mal abgesehen davon, dass Dein Vergleich stark hinkt, weil
"Windows-Dienste abschalten" sich sicher nicht als Waffe verwenden
lässt, Küchenmesser von WMF aber durchaus wohl, auch wenn WMF sie
nicht für diesen Zweck herstellt.
Trotzdem dürfen sich die Fluggesellschaften hüten, WMF als
Waffenhersteller zu bezeichnen. Das machen sie auch nicht.
Und genausowenig möchte ich mich als Malware-Autor bezeichnen lassen,
und auch nicht "Windows-Dienste abschalten" als Virus.
Rudolf Polzer
> Rudolf Polzer <use...@durchnull.ath.cx> wrote:
> > > Magst Du mal erläutern, inwieweit mein Tool ein Virus ist? Oder
> > > überhaupt Malware?
> > Die Zielgruppe von Antivir schießt sich damit ins Knie, folglich
> > verhindert Antivir die Ausführung des Tools.
>
> Das ist schlichtweg Unsinn.
>
> "Windows-Dienste abschalten" ist gedacht für Windows 2000 Nutzer und
> Nutzer von Windows XP vor SP2.
>
> Ich kann Dir hier kiloweise Dankesmails vor die Füße kippen von Leuten,
> die das Tool einsetzen, und nur ganz wenige Problemberichts-Mails
> gegenhalten.
>
> Wenn Du versehentlich "Windows-Dienste abschalten" ausgeführt hast,
> kannst Du es schlicht nochmals starten, und wieder den untersten Punkt
> auswählen. Dann stellt das Ding Deinen PC wieder zurück.
>
> Ich würde viel eher mal sagen, wäre das ein kommerzielles Projekt, so
> würde ich jetzt den Hersteller von AntiVir wegen Geschäftsschädigung
> verklagen.
ACK.
Was ich damit sagen wollte - die Einstufung als "Riskware", weil ein
unbedarfter Nutzer damit Mist anstellen kann, mag zwar gerechtfertigt
sein, und diese Einstufung gibt's schon bei einigen Scannern (auch
Kaspersky macht das mit, meldet diese aber IIRC nicht by default).
Allerdings müsste man dann auch das halbe Betriebssystem so einstufen...
Beispielsweise wird schon seit einiger Zeit von einigen Virenscannern
das Programm mIRC gemeldet, nicht etwa, weil es in einigen Versionen
gegen gewisse Exploits verwundbar war, sondern, weil es oft bei Malware
beiliegt. Genau genommen möchte der Virenscanner fragen "Weißt du, was
das ist? Wenn nicht, ist es wohl Malware, wenn doch, ist es legitim."
Nur, diese Message versteht der Durchschnittsnutzer nicht.
Warum gehe eigentlich nicht die Autoren von mIRC gegen Kaspersky vor?
Besim Karadeniz
Volker Birk schrieb:
> stehe ich ja wohl keinesfalls unter dem Verdacht, Malware herzustellen.
Stellt dich jemand unter Verdacht? Es hat jemand deine Software unter
einen Verdacht gestellt, ein potentielles Sicherheitsrisiko
darzustellen. Das ist grundsätzlich nicht falsch, denn fremde Dienste
als Software zu beenden, ist zunächst einmal ein potentielles
Sicherheitsrisiko.
> Mal abgesehen davon, dass Dein Vergleich stark hinkt, weil
> "Windows-Dienste abschalten" sich sicher nicht als Waffe verwenden
> lässt, Küchenmesser von WMF aber durchaus wohl, auch wenn WMF sie
> nicht für diesen Zweck herstellt.
Hersteller von Objekten, die sich als Waffe missbrauchen lassen, sind
sich oft nicht bewusst, das dies so ist.
> Trotzdem dürfen sich die Fluggesellschaften hüten, WMF als
> Waffenhersteller zu bezeichnen. Das machen sie auch nicht.
Weshalb? Ich glaube kaum, dass die Formulierung "Hersteller von
Gerätschaften, die sich potentiell als Stichwaffe missbrauchen lassen",
ziemlich unproblematisch ist, weil es eine Tatsachenbehauptung ist, wenn
auch etwas unschön.
> Und genausowenig möchte ich mich als Malware-Autor bezeichnen lassen,
> und auch nicht "Windows-Dienste abschalten" als Virus.
Es ist kein Virus und nun komm' mal wieder herunter und blase dich nicht
ganz so dolle auf. Ich bin mir ziemlich sicher, dass das eine recht
einfache Begründung hat, irgendjemand wird sich dabei etwas gedacht
haben und dieser Irgendjemand wird sicherlich auch die Stellungnahme des
Programmierers lesen.
Besim, der jetzt eigentlich nur noch auf die unvermeidliche
Heise-Tickermeldung wartet
--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Ralph Siegel, das ist der Mann, der seit 140 Jahren den Grand Prix
beschickt." -- Johannes B. Kerner, dt. Journalist
Rudolf Polzer
> Alexander Skwar schrieb:
> > Kernpunkt meiner Frage: "wirklich als *Virus*"? Oder gibt's bei
> > AntiVir verschiedene "Kategorien" (Trojaner, Virus, Malprogramm, ...)?
>
> Es wird als "Secure Private Risk" authentifiziert, in genau der
> Kategorie. Also ausdrücklich nicht als Virus.
Das verstehen aber nicht die Nutzer solcher Virenscanner. Für die gibt's
nur "Virus", und "Virus" ist das, wo das Antivir-Popup kommt.
Volker Birk
> Was ich damit sagen wollte - die Einstufung als "Riskware", weil ein
> unbedarfter Nutzer damit Mist anstellen kann, mag zwar gerechtfertigt
> sein, und diese Einstufung gibt's schon bei einigen Scannern (auch
> Kaspersky macht das mit, meldet diese aber IIRC nicht by default).
> Allerdings müsste man dann auch das halbe Betriebssystem so einstufen...
ACK.
> Warum gehe eigentlich nicht die Autoren von mIRC gegen Kaspersky vor?
Ich hab's Dir oben unterstrichen.
Besim Karadeniz
Rudolf Polzer schrieb:
> Das verstehen aber nicht die Nutzer solcher Virenscanner. Für die gibt's
> nur "Virus", und "Virus" ist das, wo das Antivir-Popup kommt.
Dann sollen sie halt lesen lernen. Oder wie würdest du generell das
Problem angehen wollen?
Besim
--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Wenn mir jemand sagt, sein Wort sei so gut wie seine Unterschrift,
dann nehme ich immer die Unterschrift." -- Alain Delon
Volker Birk
> Volker Birk schrieb:
> > stehe ich ja wohl keinesfalls unter dem Verdacht, Malware herzustellen.
> Stellt dich jemand unter Verdacht?
Ja.
Hier schlagen gerade die Mails auf, warum "Windows-Dienste abschalten" ein
Virus ist. Offensichtlich kommt das bei den Kunden von AntiVir genau so
an.
> > Mal abgesehen davon, dass Dein Vergleich stark hinkt, weil
> > "Windows-Dienste abschalten" sich sicher nicht als Waffe verwenden
> > lässt, Küchenmesser von WMF aber durchaus wohl, auch wenn WMF sie
> > nicht für diesen Zweck herstellt.
> Hersteller von Objekten, die sich als Waffe missbrauchen lassen, sind
> sich oft nicht bewusst, das dies so ist.
OK. Ekläre bitte, inwiefern sich "Windows-Dienste abschalten" als Waffe
verwenden lässt.
Volker Birk
> Rudolf Polzer schrieb:
> > Das verstehen aber nicht die Nutzer solcher Virenscanner. Für die gibt's
> > nur "Virus", und "Virus" ist das, wo das Antivir-Popup kommt.
> Dann sollen sie halt lesen lernen. Oder wie würdest du generell das
> Problem angehen wollen?
Wie wär's denn, wenn AntiVir so wie bisher auch in Zukunft
"Windows-Dienste abschalten" nicht mehr als Malware erkennt?
Manfred Fiebig
> Alexander Skwar <alex...@skwar.name> wrote:
>> > Die Leute, die mir Mails schicken, weil das Tool von AntiVir jetzt als
>> > Virus erkannt wird.
>> Wird es denn wirklich als Virus erkannt?
>
> Das wurde mir jetzt mehrfach bestätigt.
>
> Ich habe eben im AntiVir-Nutzerforum um Stellungnahme gebeten.
Gugge mal hier:
http://tinyurl.com/raayo Das dürfte einer der Gründe sein!!! Ich hab
auch nicht schlecht gestaunt, als von den dortigen Regulars behauptet
wurde, Dingens habe das System "zermurkst", nur weil der Guard nicht
startete. Und man beachte die Tonart. Da behaupte noch einer, hier würde
nur dummes Zeugs geschrieben.
Ich hab mich von AntVir getrennt und bin nun stolzer Besitzer von Brain
und ClamWin ;-)
--
der Hinterwäldler
liebt nicht Windows, hasst es aber auch nicht
Er hat nur festgestellt, das selbst Malware nicht
mehr das ist, was sie vor ein paar Jahren mal war.
Rudolf Polzer
> Rudolf Polzer <use...@durchnull.ath.cx> wrote:
> > Was ich damit sagen wollte - die Einstufung als "Riskware", weil ein
> > unbedarfter Nutzer damit Mist anstellen kann, mag zwar gerechtfertigt
> > sein, und diese Einstufung gibt's schon bei einigen Scannern (auch
> > Kaspersky macht das mit, meldet diese aber IIRC nicht by default).
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> > Allerdings müsste man dann auch das halbe Betriebssystem so einstufen...
>
> ACK.
>
> > Warum gehe eigentlich nicht die Autoren von mIRC gegen Kaspersky vor?
>
> Ich hab's Dir oben unterstrichen.
Ich finde es durchaus in Ordnung, dass solche "ins System eingreifenden
Tools" von einem Virenscanner gemeldet werden.
Aber dafür darf dann selbstverständlich nicht der normale "Virus
gefunden"-Dialog zuständig sein. Eher ein Dialog vergleichbar zur
XP-Firewall:
Sie haben versucht, eine Anwendung (win32sec) zu starten, die die
folgenden Aktionen ausführen könnte:
* Verbindung zu einem IRC-Server aufbauen (nur mal als Beispiel)
* Systemdienste deaktivieren oder konfigurieren
Wollen Sie den Programmstart zulassen?
[ ] Für dieses Programm nicht mehr erneut nachfragen
Absoluter Pfad: c:\.............\win32sec.exe
[Ja] [Nein]
Die "akzeptierten" Programme würden dann mit Checksum und genauem Pfad
registriert. Und die bloße Existenz der Programme wäre kein Grund zur
Warnung (sie könnten aber gerne geloggt werden), die Warnung hat erst
beim Versuch der Ausführung zu erscheinen.
Rudolf Polzer
> Rudolf Polzer schrieb:
> > Das verstehen aber nicht die Nutzer solcher Virenscanner. Für die gibt's
> > nur "Virus", und "Virus" ist das, wo das Antivir-Popup kommt.
>
> Dann sollen sie halt lesen lernen.
Zwecklos. Zumal "SecurityPrivacyRisk" nicht unbedingt für jeden
verständlich ist. Da wäre Kasperskys(?) "not-a-virus" im Namen der
Signatur besser.
> Oder wie würdest du generell das Problem angehen wollen?
Mit einem alternativen Dialog, der NICHT wie der Virus-gefunden-Dialog
aussieht.
Wenn man sowas schon in den Signaturen haben will... siehe:
Message-ID: <slrned9r0m...@message-id.durchnull.ath.cx>
Dann meckern auch die Leute nicht wegen Virus gefunden oder so.
Besim Karadeniz
Volker Birk schrieb:
> Ja.
> Hier schlagen gerade die Mails auf, warum "Windows-Dienste abschalten" ein
> Virus ist. Offensichtlich kommt das bei den Kunden von AntiVir genau so
> an.
Dann kläre das. Am besten mit möglichst wenig Polemik, sondern Fakten,
auch wenn die Opferrolle natürlich ziemlich reizvoll ist.
> OK. Ekläre bitte, inwiefern sich "Windows-Dienste abschalten" als Waffe
> verwenden lässt.
Entschuldige, ich werde jetzt sehr ungehalten: Schau dir mal bitte dein
Tool an, das ich mir jetzt gerade zum ersten Mal selbst angeschaut habe.
Es bietet drei Optionen, die oberste will Dienste beenden, sagt aber
nicht, welche. Es tut irgendwas, sagt dann am Ende, dass der Rechner neu
gestartet werden soll. Und genau das kann man gleich netzwerkweit mit
dem Tool machen.
Transparenz, Volker, das ist etwas anderes, denn das, was du da
hinstellst, ist eine Blackbox mit ungewissem Ausgang. Gut, ich weiss,
dass du Volker Birk bist und höchstwahrscheinlich kein Schabernack damit
vorhast, aber für andere Leute sind solche Dinge erst einmal
undurchsichtig. Und damit ein potentielles Sicherheitsrisiko.
Das sollte dir als sicherheitsbewusster Mensch, der sich nicht zu schade
ist, viele Dinge und Themen manchmal sehr polemisch anzugehen, sehr klar
sein und das ist eine Angelegenheit, die du vorher verbessern solltest,
bevor du Begrifflichkeiten wie "Virus" und "Potentielles
Sicherheitsrisiko" durcheinanderbringst und auf Basis von Hörensagen ein
durchaus renommiertes Unternehmen der Sicherheitsbranche anpissen willst.
Besim
--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Ein Held kann man sein, auch ohne die Erde zu verwüsten."
-- Nicolas Boileau-Despréaux (1636-1711), franz. Schriftsteller
Toni Grass
[....]
> Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten", ein
> völlig harmloses Hilfsprogramm, von AntiVir als "SPR/Tool.KillService"
> Virus erkannt wird.
[....]
> Die Frage ist, inwiefern AntiVir überhaupt noch als ernstzunehmendes
> Virensuchprogramm anzusehen ist - wieviele Falschmeldungen sind da noch
> aus politischen Gründen drin?
Jedenfalls sind sie schlechte Verlierer ;-)
Toni
Volker Birk
> Transparenz, Volker, das ist etwas anderes, denn das, was du da
> hinstellst, ist eine Blackbox mit ungewissem Ausgang.
Lieber Besim,
ich verweise nicht nur auf die genaue Version von Torstens Script, deren
Funktionalität "Windows-Dienste abschalten" exakt implementiert, sondern
ich offeriere gleich noch den Quellcode, so dass jeder einsehen kann,
was genau passiert.
Mehr Transparenz wird langsam schwierig. Wir reden hier nämlich über
freie Software. Das ist so ein "unamerikanisches" Konzept (so nennt man
in letzter Zeit zutiefst liberale, also eigentlich typisch amerikanische
Konzepte) von so Langhaarigen, gell, kannst Du gerne mal bei der GNU und
der FSF nachlesen.
> Das sollte dir als sicherheitsbewusster Mensch, der sich nicht zu schade
> ist, viele Dinge und Themen manchmal sehr polemisch anzugehen, sehr klar
> sein und das ist eine Angelegenheit, die du vorher verbessern solltest,
> bevor du Begrifflichkeiten wie "Virus" und "Potentielles
> Sicherheitsrisiko" durcheinanderbringst und auf Basis von Hörensagen ein
> durchaus renommiertes Unternehmen der Sicherheitsbranche anpissen willst.
Dieses renommierte Unternehmen pisst gerade ganz gewaltig mich an. Warum
die das tun, bleibt mir immer noch schleierhaft.
Denn den Tettnangern unterstelle ich mal, dass sie im Gegensatz zu Dir
meinen Quellcode entdeckt haben und in der Lage sind, ihn sinnentnehmend
zu lesen. Und somit müssten die genau wissen, was sie hier als Malware
eintaxieren.
Ich hoffe immer noch auf eine Entschuldigung aus Tettnang.
Besim Karadeniz
Volker Birk schrieb:
> ich verweise nicht nur auf die genaue Version von Torstens Script, deren
> Funktionalität "Windows-Dienste abschalten" exakt implementiert, sondern
> ich offeriere gleich noch den Quellcode, so dass jeder einsehen kann,
> was genau passiert.
Das ist, mit Verlaub, eine dämliche Argumentation. Wenn mir jemand so
systemwichtige Sachen wie Dienste beenden will, möchte ich genau wissen,
welche, und nicht lesen, das könne man im Quelltext nachlesen. Den
Anspruch auf vollständige Erläuterung vor dem Einsatz hast du auch, wenn
dein Zahnarzt dir eine grössere Wurzelbehandlung angedeihen lassen möchte.
Ich muss mich sehr wundern: Einerseits machst du eine GUI-freundliche
Version, die erheblich einfacher für DAUs sein soll, andererseits
bietest du einen Support nach der Devise: "Ach, lass mal, ist schon
alles gut, glaube mir." Eventuell kommst du darauf, dass das der
eigentliche Punkt ist, mit dem du dich selbst angreifbar machst.
> Mehr Transparenz wird langsam schwierig. Wir reden hier nämlich über
> freie Software. Das ist so ein "unamerikanisches" Konzept (so nennt man
> in letzter Zeit zutiefst liberale, also eigentlich typisch amerikanische
> Konzepte) von so Langhaarigen, gell, kannst Du gerne mal bei der GNU und
> der FSF nachlesen.
Es ist keine Frage von Open Source, sondern es ist eine Frage von
Transparenz. Und wenn du glaubst, ich würde das Problem in diesem Thread
von der Frage "Open Source oder nicht" abhängig machen, dann bist du
leider sehr schlecht informiert und wir befinden uns auf dem üblichen
d.c.s.m.-Unsachlichkeitspfad, wenn dem Geek nichts mehr einfällt.
> Dieses renommierte Unternehmen pisst gerade ganz gewaltig mich an. Warum
> die das tun, bleibt mir immer noch schleierhaft.
Du übersiehst leider immer noch das grundsätzliche Problem. Daran kannst
du als Autor dieser Software elementar etwas ändern. Siehe es als Chance
an und siehe es auch als Sache an, die man von dir als jemand, der
Sicherheitsprobleme anderer Leute und Firmen so herrlich schön,
ausdauernd, gelegentlich auch emotional und auch mal unsachlich
thematisieren kann, auch durchaus erwarten kann.
> Denn den Tettnangern unterstelle ich mal, dass sie im Gegensatz zu Dir
> meinen Quellcode entdeckt haben und in der Lage sind, ihn sinnentnehmend
> zu lesen. Und somit müssten die genau wissen, was sie hier als Malware
> eintaxieren.
Den "Tettnangern" wird es relativ wurst sein, was dein Quellcode kann
und was nicht. Deine Software tut Dinge, die sie nicht unmittelbar
ankündigt und die das System derartig verändern kann, dass es
Ärgerpotential beinhaltet (dabei nicht unbedingt richtigen Schaden
auslösen muss). Und genau so bewerten sie es.
Besim
--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"In 12 Runden lernen sich Boxer besser kennen, als so manche Menschen
in 12 Jahren im Büro." -- Wilfried Sauerland, dt. Box-Promoter
Stefan Kanthak
> Alexander Skwar <alex...@skwar.name> wrote:
> > · Volker Birk <bum...@dingens.org>:
> Dann erkläre mir doch bitte, weshalb "net.exe" nicht als solcher "Virus"
> erkannt wird, "Windows-Dienste abschalten" jedoch sehr wohl.
Absicht? Wobei natuerlich auch Hanlon's Razor zutreffen kann.
Mangelnde Sorgfalt beim Erzeugen der Virusdatenbank/Musterdateien,
seitens der QA, ...?
> > > Und schon gar nicht ist das
> > > Tool ein "Virus".
> > Wer sagt, das es ein Virus sei?
>
> Die Leute, die mir Mails schicken, weil das Tool von AntiVir jetzt als
> Virus erkannt wird.
Betrachte es als Schaedigung Deines guten Rufes, und fordere Unterlassung!
Denn: das Verbreiten von Schaedlingen faellt unter §323 (?) A oder B.
Das Programm steht auf Deiner Web-Site und wird damit von Dir verbreitet.
Laut Avira ist es ein Schaedling. Schluss: Du verbreitest Schaedlinge.
Aber: IANAL.
Stefan
[
--
Die unaufgeforderte Zusendung einer Werbemail an Privatleute verstoesst gegen
§1 UWG und §823 I BGB. Beschluss des LG Berlin vom 2.4.1998 (AZ: 16 O 201/98)
Das unverlangte Versenden von Werbemail ist nach §1 UWG wettbewerbswidrig.
Beschluss des LG Traunstein vom 18.12.1997 (AZ: 2 HKO 3755/97)
Rudolf Polzer
> > meinen Quellcode entdeckt haben und in der Lage sind, ihn sinnentnehmend
> > zu lesen. Und somit müssten die genau wissen, was sie hier als Malware
> > eintaxieren.
>
> Den "Tettnangern" wird es relativ wurst sein, was dein Quellcode kann
> und was nicht. Deine Software tut Dinge, die sie nicht unmittelbar
> ankündigt und die das System derartig verändern kann, dass es
> Ärgerpotential beinhaltet (dabei nicht unbedingt richtigen Schaden
> auslösen muss). Und genau so bewerten sie es.
Und wie soll man das bitteschön ankündigen? Etwa eine Dialogbox mit
allen Änderungen, haarklein aufgeschlüsselt? Dann will niemand das
Programm, denn "es ist ja viiiiiiiiiiiel zu kompliziert". Ein
Details...-Knopf wäre in der Tat toll, ebenso eine Möglichkeit, die
Änderungen als zwei .reg-Dateien zu speichern (Aktueller Zustand und zu
setzender Zustand - wobei, das könnte man auch als eine .inf ablegen).
Florian Weimer
> Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten", ein
> völlig harmloses Hilfsprogramm, von AntiVir als "SPR/Tool.KillService"
> Virus erkannt wird.
Das ist ein "Security Privacy Risk", was u.U. zutreffend ist --
abhängig von der Definition dieser Kategorie und dem, was Deine
Skripte machen. Bist Du wenigstens vor dem Listing benachrichtigt
worden?
Die RUS-CERT-Webseiten wurden z.B. völlig zurecht eine Zeitlang von
Smartfilter in der Kategorie "Criminal Skills" geführt, weil die
Kriterien für die Einstufung erfüllt waren. Ob die Nutzer ein
derartiges Verhalten ihrer Zensur-Software erwarten, steht freilich
auf einem anderen Blatt.
Juergen Ilse
Joerg Lorenz <hugy...@swissinfo.org> wrote:
> Primär ist mal Dein Posting eine problematische Meldung. Denn Ton den
> ich hier raushöre: Ich bin der VB und wenn ich was sage, dann ist das
> immer richtig.
Hast du das selbe Posting gelesen wie ich? Ich habe naemlich eher
da herausgelesen "'Windows Dienste abschalten' wird von einem Viren-
Scanner gemeldet, warum?", und ich halte die Frage fuer durchaus
berechtigt.
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Thomas Hühn
> Hallo,
>
> Joerg Lorenz <hugy...@swissinfo.org> wrote:
>> Primär ist mal Dein Posting eine problematische Meldung. Denn Ton den
>> ich hier raushöre: Ich bin der VB und wenn ich was sage, dann ist das
>> immer richtig.
>
> Hast du das selbe Posting gelesen wie ich? Ich habe naemlich eher
> da herausgelesen "'Windows Dienste abschalten' wird von einem Viren-
> Scanner gemeldet, warum?", und ich halte die Frage fuer durchaus
> berechtigt.
Hast du das Subject: gelesen?
Das Posting wirkte wahrlich nicht wie eine Suche nach Informationen oder
Erkenntnisgewinn.
Thomas
Juergen Ilse
Besim Karadeniz <be...@netplanet.org> wrote:
> Entschuldige, ich werde jetzt sehr ungehalten: Schau dir mal bitte dein
> Tool an, das ich mir jetzt gerade zum ersten Mal selbst angeschaut habe.
> Es bietet drei Optionen, die oberste will Dienste beenden, sagt aber
> nicht, welche. Es tut irgendwas, sagt dann am Ende, dass der Rechner neu
> gestartet werden soll. Und genau das kann man gleich netzwerkweit mit
> dem Tool machen.
Inwiefern kann das Programm irgend etwas gleich "netzwerkweit"
veraendern? Habe ich (als ich mir das Tool zuletzt angesehen
habe) etwas grundlegendes uebersehen? IIRC aendert es nur
Einstellungen auf dem lokalen System ...
> Transparenz, Volker, das ist etwas anderes, denn das, was du da
> hinstellst, ist eine Blackbox mit ungewissem Ausgang. Gut, ich weiss,
> dass du Volker Birk bist und höchstwahrscheinlich kein Schabernack damit
> vorhast, aber für andere Leute sind solche Dinge erst einmal
> undurchsichtig. Und damit ein potentielles Sicherheitsrisiko.
Die Dokumentation zu dem Tool ist auf der zugehoerigen Website
zu finden. Dort kann man lesen:
---------------------------
Welche Dienste genau ändern sich beim Einsatz von "Windows-Dienste
abschalten"?
Wer das wissen will, der möge bitte die Seite von Torsten Mann lesen.
Dort ist alles ausführlich erklärt. "Windows-Dienste abschalten"
macht genau dasselbe wie das Script dort, und zwar dasselbe wie Version 2.1
dieses Scripts.
Für die Techniker: es werden alle ursprünglichen Einstellungen in
der Registrierdatenbank unter
HKEY_LOCAL_MACHINE\Software\fdik\Windows-Dienste abschalten\Backup
zwischengespeichert.
----------------------------
Haette er die andere Website abtippen sollen statt darauf zu verweisen?
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Besim Karadeniz
Rudolf Polzer schrieb:
> Und wie soll man das bitteschön ankündigen? Etwa eine Dialogbox mit
> allen Änderungen, haarklein aufgeschlüsselt? Dann will niemand das
> Programm, denn "es ist ja viiiiiiiiiiiel zu kompliziert".
Das ist völlig egal. Ich bin mir ziemlich sicher, dass viele Bankkunden,
die in Aktien anlegen wollen, die Warnungen und Ratschläge des Bankers
nicht verstehen oder schlicht nicht zuhören. Sagt der seine Litanei
jedoch nicht auf, macht er sich verwundbar und genau das ist das Problem.
Besim
--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"In meinem Ministerium darf jeder das tun, was ich will."
-- Otto Schily, Bundesinnenminister a. D.
Besim Karadeniz
Juergen Ilse schrieb:
> Inwiefern kann das Programm irgend etwas gleich "netzwerkweit"
> veraendern? Habe ich (als ich mir das Tool zuletzt angesehen
> habe) etwas grundlegendes uebersehen? IIRC aendert es nur
> Einstellungen auf dem lokalen System ...
Missverständnis von mir, jedoch zitiere ich den zweiten Punkt, evt. wird
mein Missverständnis klar: "Computer in einem Netzwerk - alle Dienste
außer die für ein lokales Netz abschalten".
> Die Dokumentation zu dem Tool ist auf der zugehoerigen Website
> zu finden. Dort kann man lesen:
> ---------------------------
> Welche Dienste genau ändern sich beim Einsatz von "Windows-Dienste
> abschalten"?
Das ist imho nicht genügend, solche Hinweise gehören unmittelbar an das
Tool selbst. Wenn jemand auf "OK" klickt (würde ich nicht "OK" nennen,
sondern eher "Starten", weil "OK" etwas anderes impliziert als einen
Vorgang, der unmittelbar gestartet wird), erwarte ich schon, dass ich
etwas sehe, was passiert.
> Für die Techniker: es werden alle ursprünglichen Einstellungen in
> der Registrierdatenbank unter
> HKEY_LOCAL_MACHINE\Software\fdik\Windows-Dienste abschalten\Backup
> zwischengespeichert.
> ----------------------------
> Haette er die andere Website abtippen sollen statt darauf zu verweisen?
Er kann einen Hinweisbutton plazieren. Ansonsten läuft letztendlich auch
er auf die Gefahr zu, dass seine Software unter Umständen ungefragt
Dinge auslöst, die in wie auch immer konstruierten Systemen Probleme
verursachen und schon haben wir einen Schaden.
Besim
--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Meine Physiologie hat wieder das Bedürfnis, feste Nahrung zu
verarbeiten." -- Seven of Nine in "Star Trek Voyager"
Caveat Emptor
> Wie gesagt, es wurde mir mehrfach so gemeldet. Kann das jemand hier
> bestätigen oder widerlegen?
Falls es um win32sec.exe geht: Bei mir meldet AntiVir das Programm nicht
als Malware.
Besim Karadeniz
Caveat Emptor schrieb:
> Falls es um win32sec.exe geht: Bei mir meldet AntiVir das Programm nicht
> als Malware.
Dann überprüft dein Antivir Dateien nicht nach "Security Private Risks".
Kannst du in den Optionen gesondert aktivieren bzw. deaktivieren.
Besim
--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Ich bin nicht dumm genug, um das deutsche Fernsehen ernst nehmen zu
können." -- Hans-Joachim Kulenkampff (1921-1998), dt. Schauspieler
Caveat Emptor
> Hi,
>
> Caveat Emptor schrieb:
>
>> Falls es um win32sec.exe geht: Bei mir meldet AntiVir das Programm
>> nicht als Malware.
>
> Dann überprüft dein Antivir Dateien nicht nach "Security Private Risks".
> Kannst du in den Optionen gesondert aktivieren bzw. deaktivieren.
In der Tat, jetzt meldet er sich. Besten Dank für den Hinweis.
Ansgar -59cobalt- Wiechers
> Volker Birk schrieb:
>> ich verweise nicht nur auf die genaue Version von Torstens Script, deren
>> Funktionalität "Windows-Dienste abschalten" exakt implementiert, sondern
>> ich offeriere gleich noch den Quellcode, so dass jeder einsehen kann,
>> was genau passiert.
>
> Das ist, mit Verlaub, eine dämliche Argumentation. Wenn mir jemand so
> systemwichtige Sachen wie Dienste beenden will, möchte ich genau wissen,
> welche, und nicht lesen, das könne man im Quelltext nachlesen.
Du machst Dich gerade zum Brot.
win32sec richtet sich an Joe Average, der erstens gar nicht weiß, was
ein Dienst überhaupt ist, sich zweitens auch nicht dafür interessiert,
und drittens mit der Information, welche Dienste im einzelnen abge-
schaltet werden, ungefähr so viel anfangen kann, wie ein Neandertaler
mit einer Laserdiode, nämlich gar nichts. Weil er einfach genau gar
keine Ahnung hat, was die einzelnen Dienste tun.
Jeder, der nicht in diese Zielgruppe fällt, ist bei ntsvcfg.de besser
aufgehoben.
cu
59cobalt
--
"Where to fight counts for a lot. But there's nothing like having your
friends show up with lots of guns."
--Dwight McCarthy (Sin City)
Alexander Skwar
> »Besim Karadeniz« <be...@netplanet.org> wrote:
>> Alexander Skwar schrieb:
>> > Kernpunkt meiner Frage: "wirklich als *Virus*"? Oder gibt's bei
>> > AntiVir verschiedene "Kategorien" (Trojaner, Virus, Malprogramm, ...)?
>>
>> Es wird als "Secure Private Risk" authentifiziert, in genau der
>> Kategorie. Also ausdrücklich nicht als Virus.
>
> Das verstehen aber nicht die Nutzer solcher Virenscanner.
Schicksal.
> Für die gibt's
> nur "Virus", und "Virus" ist das, wo das Antivir-Popup kommt.
Das mag sein, ist aber falsch. Sofern Besim recht hat (woran
ich nicht zweifle), wird das Programm also nicht als Virus
angezeigt. Darum ging's mir.
Alexander Skwar
--
Schlechte Argumente bekämpft am besten, indem man ihre Darlegung nicht
stört.
-- Sir Alec Guinnes
Alexander Skwar
> Besim Karadeniz <be...@netplanet.org> wrote:
>> > Würde ich das kommerziell machen, wäre jetzt ein Jurist mit dem
>> > Verfassen der Abmahnung, der Einstweiligen und bei Zuwiderhandlung
>> > der Klage beschäftig.
>> Der wäre in etwa so erfolgreich wie, sagen wir, ein Anwalt von WMF, der
>> Fluggesellschaften verklagen will, metallene WMF-Messer auf Flügen
>> zuzulassen, weil diese ja nachweislich meist nicht als Waffe in
>> Flugzeugen genutzt werden.
>
> Im Gegensatz zu beispielsweise Gator:
>
> http://www.heise.de/newsticker/meldung/41319
>
> stehe ich ja wohl keinesfalls unter dem Verdacht, Malware herzustellen.
Was heisst "Malware"? Du stehst aber durchaus unter Verdacht Programme
herzustellen, die Dienste beenden.
Alexander Skwar
--
Wie man sein Kind nicht nennen sollte:
Anna M. Nese
Thomas Skora
> In de.comp.security.misc Heiko Adams <heiko...@gmx.de> wrote:
>> wie wäre es, wenn Du Dich beim Hersteller von AntiVir erkundigst, warum
>> Sie Dein Tool in Ihre Signaturen aufgenommen haben?
>
> Hab ich gemacht.
Gabs Feedback?
Besim Karadeniz
Ansgar -59cobalt- Wiechers schrieb:
> win32sec richtet sich an Joe Average, der erstens gar nicht weiß, was
> ein Dienst überhaupt ist, sich zweitens auch nicht dafür interessiert,
> und drittens mit der Information, welche Dienste im einzelnen abge-
> schaltet werden, ungefähr so viel anfangen kann, wie ein Neandertaler
> mit einer Laserdiode, nämlich gar nichts. Weil er einfach genau gar
> keine Ahnung hat, was die einzelnen Dienste tun.
Das ist irrelevant, ob du *glaubst*, dass das so ist. Ein kapitaler
Fehler ist, zu glauben, man müsse einem DAU Funktionsfähigkeit dadurch
bieten, in dem man ihm Dokumentation möglichst weit weghält und ihm
vermitteln will, er solle einfach nur da drauf klicken und dann würde
alles gut. Genau das ist es nämlich, was wir als sicherheitsbeleckte
Leute ja eigentlich nicht pauschalisieren wollen. Nur weil wir alle
de.comm.security.misc lesen, sind wir nicht automatisch Leute, denen man
vertrauen muss.
> Jeder, der nicht in diese Zielgruppe fällt, ist bei ntsvcfg.de besser
> aufgehoben.
Es macht das Problem nicht besser, ausser dass das Originalscript
grundsätzlich für den DAU noch komplizierter erscheint und da eher die
Finger davon lässt.
Besim
--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Schlechter Geschmack ist kein Privileg des Alters."
-- Oliver Kalkofe, dt. Schauspieler und Autor
Alexander Skwar
> Das ist imho nicht genügend, solche Hinweise gehören unmittelbar an das
> Tool selbst. Wenn jemand auf "OK" klickt (würde ich nicht "OK" nennen,
> sondern eher "Starten", weil "OK" etwas anderes impliziert als einen
> Vorgang, der unmittelbar gestartet wird), erwarte ich schon, dass ich
> etwas sehe, was passiert.
Naja, aber was *soll* er denn machen? Ansgar hat da durchaus recht -
würde Volker zu viele Details listen, so würde das Programm "komplizierter"
werden. Viel Text schreckt ab - und die, die nicht abgeschreckt werden,
finden durch den Verweis auf http://ntsvcfg.de/ die nötigen Details.
Alexander Skwar
--
Die Religion ist der Seufzer der bedrängten Kreatur, das Gemüt einer
herzlosen Welt, wie sie der Geist geistloser Zustände ist. Sie ist das
Opium des Volkes.
-- Karl Marx
Besim Karadeniz
Alexander Skwar schrieb:
> Naja, aber was *soll* er denn machen? Ansgar hat da durchaus recht -
> würde Volker zu viele Details listen, so würde das Programm "komplizierter"
> werden. Viel Text schreckt ab - und die, die nicht abgeschreckt werden,
> finden durch den Verweis auf http://ntsvcfg.de/ die nötigen Details.
Also ich würde das Fass so auszimmern:
- Startbildschirm in etwa so, wie es jetzt ist, ausser den Button "OK"
austauschen mit "Starten" oder ähnlichem.
- So bald gestartet wird, eine Fortschrittsanzeige mit den Dingen, die
das Ding gerade tut. Also genau welche Dienste beendet werden, wie der
einzelne Status dazu ist.
- Wenn dies erledigt ist, die Möglichkeit bieten, diese Aktivitäten als
Textdatei abzuspeichern und den Benutzer auffordern, die Kiste zu
booten.
Wie man auf der Startseite des Programms nähere Informationen über die
Wirkungsweise des Programms unterbringt, weiss ich aktuell auch nicht,
ich glaube aber nicht, dass das ein unlösbares Problem ist.
Besim
--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Ich verstehe nichts von Musik. In meinem Fach ist das nicht nötig."
-- Elvis Presley (1935-1977), amerik. Rock'n'Roll-Star
Alexander Skwar
> Hi,
>
> Alexander Skwar schrieb:
>
>> Naja, aber was *soll* er denn machen? Ansgar hat da durchaus recht -
>> würde Volker zu viele Details listen, so würde das Programm "komplizierter"
>> werden. Viel Text schreckt ab - und die, die nicht abgeschreckt werden,
>> finden durch den Verweis auf http://ntsvcfg.de/ die nötigen Details.
>
> Also ich würde das Fass so auszimmern:
>
> - Startbildschirm in etwa so, wie es jetzt ist, ausser den Button "OK"
> austauschen mit "Starten" oder ähnlichem.
>
> - So bald gestartet wird, eine Fortschrittsanzeige mit den Dingen, die
> das Ding gerade tut. Also genau welche Dienste beendet werden, wie der
> einzelne Status dazu ist.
Und das bringt *was*? Die Anzeige würde doch nur so daher "zischen",
ohne das überhaupt lesbar wäre, was geschieht bzw. geschehen ist.
> - Wenn dies erledigt ist, die Möglichkeit bieten, diese Aktivitäten als
> Textdatei abzuspeichern und den Benutzer auffordern, die Kiste zu
> booten.
Hm, ja. Warum nicht. Ich gestehe, ich kenne Volkers Programm nicht,
aber bietet nicht auch Volkers Programm ein "Undo" an? Wenn nicht,
dann sollte sowas implementiert werden - wenn doch, dann sollte diese
Undo Möglichkeit an "prominenter Stelle" im Programm angezeigt werden.
Wenn dem schon so ist, dann sehe ich das Problem nicht. Im übrigen
frage ich mich wirklich, was ein ONU mit der Angabe der beendeten
Dienste anfangen soll. Das Programm von Volker baut doch gerade
auf der These auf, das ONUs durch zuviele Details verwirrt werden -
und dieser These würde ich eher zustimmen denn widersprochen wolln.
Alexander Skwar
--
Das Schönste, was wir in der Vergangenheit antreffen, ist die
Hoffnung.
-- Jean Paul
Helmut Springer
> nachdem nun schon eine Weile lang meine PoC codes zum Umgehen von
> "Personal Firewalls" als Viren von vielen gängigen Virensuchern
> gemeldet werden, geht die Front scheinbar weiter:
>
> Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten",
> ein völlig harmloses Hilfsprogramm, von AntiVir als
> "SPR/Tool.KillService" Virus erkannt wird.
Dir ist aber schon klar, dass gaengige AV-Programme laengst etwas
differenzierter als "Virus" erkennen und "Tool.KillService" erstmal
nicht zu verschieden von "Windows-Dienste abschalten" klingt? Die
Frage ist, ob AntiVir das sauber dokumentiert. Dass der
durchschnittliche Endbenutzer das nicht lesen wird, ist erstmal
irrelevant, der durchschnittliche Endbenutzer klickt auch auf
"diesisteinvirus.exe" attachments....
--
MfG/Best regards
helmut springer
Besim Karadeniz
Alexander Skwar schrieb:
> Und das bringt *was*? Die Anzeige würde doch nur so daher "zischen",
> ohne das überhaupt lesbar wäre, was geschieht bzw. geschehen ist.
Das wissen letztendlich die Geier. Aber es würde deutlich die
Transparenz darüber erhöhen, was das Programm aktuell macht.
> Hm, ja. Warum nicht. Ich gestehe, ich kenne Volkers Programm nicht,
> aber bietet nicht auch Volkers Programm ein "Undo" an? Wenn nicht,
> dann sollte sowas implementiert werden - wenn doch, dann sollte diese
> Undo Möglichkeit an "prominenter Stelle" im Programm angezeigt werden.
> Wenn dem schon so ist, dann sehe ich das Problem nicht.
Undo gibt es schon, damit verhält es sich aber ähnlich. Es gibt nicht
sonderlich viel Informationen darüber, was gerade passiert.
> Im übrigen frage ich mich wirklich, was ein ONU mit der Angabe der
> beendeten Dienste anfangen soll. Das Programm von Volker baut doch
> gerade auf der These auf, das ONUs durch zuviele Details verwirrt
> werden - und dieser These würde ich eher zustimmen denn widersprochen
> wolln.
"Verwirren" und "Möglichkeit der Information" sind zwei paar Schuhe. Man
kann mit zu viel Information verwirren, mit zu wenig jedoch genauso. Und
man muss bei sicherheitsrelevanten Aktionen schlicht und einfach
peinlich genau informieren, so dumm das auch für den Experten ausschauen
mag. Es gibt Leute, die drucken sich die Protokolle für jeden
Windows-Update-Vorgang aus und heften das ab.
Besim
--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Immer noch haben die die Welt zur Hölle gemacht, die vorgaben, sie
zum Paradies zu machen." -- Friedrich Hölderlin (1770-1843), Dichter
Lukas Schratz
> Das ist irrelevant, ob du *glaubst*, dass das so ist. Ein kapitaler
> Fehler ist, zu glauben, man müsse einem DAU Funktionsfähigkeit dadurch
> bieten, in dem man ihm Dokumentation möglichst weit weghält und ihm
> vermitteln will, er solle einfach nur da drauf klicken und dann würde
> alles gut.
Hmm, dann einmal ein Vorschlag von mir:
Volker orientiert sich an Zonealarm und Co. Für jeden einzelnen Dienst
geht ein blinkendes Fenster auf mit
"Achtung Vorsicht Alarm!!!1elf
Dieser Dienst stellt ein mögliches Sicherheitsrisiko dar!!!1elf
Wollen Sie diesem Dienst die Weiterarbeit erlauben?
[JA] [NEIN] [WEIß NICHT] [HAB ANGST]"
Wäre es das, was du unter Donkumentation verstehst? Denn mehr macht
Zonealarm auch nicht, und das wird meines Wissens von Antivir nicht
als "Riskware" eingestuft, auch wenn es das ganz sicher ist. Wer schon
einmal einen "Fehler 63" bei einem ping gesehen hat, weiß, was ZA
anrichten kann.
> Besim
>
luke
--
> Schonmal an Norwegen gedacht? Nur das Klima is !recovery.
Wieso? Ich bin Sysadmin, um mich zu versorgen muß der Pizzadienst raus,
nicht ich.
Se"Outside is where the pizza comes from"bastian Posner in dasr
Besim Karadeniz
Lukas Schratz schrieb:
> Hmm, dann einmal ein Vorschlag von mir:
Du schreibst wirr. Eventuell bildest du dir einfach mal ein, dass es
sein könnte, dass ich keinen Feldzug gegen das Programm selbst tun
möchte, sondern durchaus Gedanken dazu beisteuere, wie zukünftige
Missverständnisse möglicherweise verhindert werden können. Wäre im Sinne
vieler, denn ich finde es eigentlich schade, wenn ich jetzt in der
VHS-Dokumentation, die ich für einige VHSse pflege, nützliche Werkzeuge
ausklammern müsste, nur weil sie mit anderen nützlichen Programmen
kollidieren und jeder meint, er habe die Weisheit mit dem Löffel
gefressen und der andere nicht.
Besim
--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Das Komische ist meistens etwas Ernstes, das schief gegangen ist."
-- Sir Peter Ustinov (1921-2004), brit. Schauspieler
Felix M. Palmen
> Volker Birk schrieb:
>
>> ich verweise nicht nur auf die genaue Version von Torstens Script, deren
>> Funktionalität "Windows-Dienste abschalten" exakt implementiert, sondern
>> ich offeriere gleich noch den Quellcode, so dass jeder einsehen kann,
>> was genau passiert.
>
> Das ist, mit Verlaub, eine dämliche Argumentation. Wenn mir jemand so
> systemwichtige Sachen wie Dienste beenden will, möchte ich genau wissen,
> welche, und nicht lesen, das könne man im Quelltext nachlesen. Den
> Anspruch auf vollständige Erläuterung vor dem Einsatz hast du auch, wenn
> dein Zahnarzt dir eine grössere Wurzelbehandlung angedeihen lassen möchte.
Selten so einen Schwachsinn gelesen.
Deiner Logik folgend müsste jede PFW, jeder On-Access Scanner etc. als
Malware gelistet werden. Wo dokumetieren die gleich, welche Änderungen
sie am IP-Stack (!) vornehmen?
--
| /"\ ASCII Ribbon | Felix M. Palmen (Zirias) http://zirias.ath.cx/ |
| \ / Campaign Against | f...@palmen.homeip.net encrypted mail welcome |
| X HTML In Mail | PGP key: http://zirias.ath.cx/pub.txt |
| / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |
Lukas Barth
> Woher soll der Virensucher wissen, ob das jetzt ein korrektes
> (erwünschtes) Hilfstool ist (z.B. net stop <Dienst>), oder ein
> (unerwünschter) Virus, der damit für ihn unerfreuliche Dienste killt...
> Von daher lieber erstmal anmeckern.
Wenn ich die Aufgabe hätte, eine Malware zu schreiben, die an Software-
Firewalls vorbei kommt, wäre eine Möglichkeit (davon gehe ich jedenfalls
aus), diese genauso zu programmieren wie die Firewalls selbst: den Traffic
low-level abfangen.¹ Hier arbeitet also auch die Malware mit derselben
Technik wie die Firewalls.
Sonderbarer Weise habe ich noch nie erlebt, dass ein Virenscanner ZoneAlarm
für böse[tm] hielt.
Lukas
¹ Ich gebe zu dass ich davon nicht allzu viel Ahnung habe, aber im Endeffekt
muss eine Software-FW ja den Traffic irgendwo vor den restlichen Applikationen,
also low-level, abgreifen. Dasselbe müsste eben die Malware tun.
--
Programmieren ist ein Wettbewerb zwischen dem Programmierer, die Software
idiotensicher zu machen, und dem Universum, das versucht, größere Idioten
zu produzieren. Bis jetzt gewinnt das Universum.
Lukas Barth
> · Volker Birk <bum...@dingens.org>:
>
>> Sorry, das ist nicht OK. Die Beispielprogramme richten keinerlei Schaden
>> an.
>
> Es werden Dienste beendet. Das kann durchaus nicht gewollt sein.
Microsoft Word verändert Dateien. Das kann durchaus nicht gewollt sein.
Und manchmal soll es dabei sogar Schaden anrichten. ;-)
Lukas
Juergen Ilse
Alexander Skwar <alex...@skwar.name> wrote:
> Hm, ja. Warum nicht. Ich gestehe, ich kenne Volkers Programm nicht,
> aber bietet nicht auch Volkers Programm ein "Undo" an? Wenn nicht,
> dann sollte sowas implementiert werden -
Es bietet so etwas an. Einen Screenshot des Programms kannst du
auf http://www.dingens.org bewundern (mehr "User-Interface" als
dort abgebildet ist, gibt es AFAIK bei dem Programm nicht).
> wenn doch, dann sollte diese Undo Möglichkeit an
> "prominenter Stelle" im Programm angezeigt werden.
Sieh dir den Screenshot auf der Webseite an, und urteile dann,
ob die Funktion an hinreichend prominenter Stelle angeboten wird.
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Oliver Schad
> Volker Birk schrieb:
>> OK. Ekläre bitte, inwiefern sich "Windows-Dienste abschalten" als
>> Waffe verwenden lässt.
>
> Entschuldige, ich werde jetzt sehr ungehalten: Schau dir mal bitte
> dein Tool an, das ich mir jetzt gerade zum ersten Mal selbst
> angeschaut habe. Es bietet drei Optionen, die oberste will Dienste
> beenden, sagt aber nicht, welche. Es tut irgendwas, sagt dann am
> Ende, dass der Rechner neu gestartet werden soll. Und genau das kann
> man gleich netzwerkweit mit dem Tool machen.
Das geht nicht.
> Transparenz, Volker, das ist etwas anderes, denn das, was du da
> hinstellst, ist eine Blackbox mit ungewissem Ausgang.
Das Werkzeug ist wohldokumentiert auf der Homepage, der Quelltext
verfügbar. Eine Blackbox stell ich mir anders vor.
> Gut, ich
> weiss, dass du Volker Birk bist und höchstwahrscheinlich kein
> Schabernack damit vorhast, aber für andere Leute sind solche Dinge
> erst einmal undurchsichtig. Und damit ein potentielles
> Sicherheitsrisiko.
Damit ist gerade jede Closed-Source-Software in diese Kategorie
gefallen und müsste daher vom Virenscanner so klassifiert werden,
laut deiner Argumentation.
> Das sollte dir als sicherheitsbewusster Mensch, der sich nicht zu
> schade ist, viele Dinge und Themen manchmal sehr polemisch
> anzugehen, sehr klar sein und das ist eine Angelegenheit, die du
> vorher verbessern solltest, bevor du Begrifflichkeiten wie "Virus"
> und "Potentielles Sicherheitsrisiko" durcheinanderbringst und auf
> Basis von Hörensagen ein durchaus renommiertes Unternehmen der
> Sicherheitsbranche anpissen willst.
Fast alle Systemprogramme von Windows fallen in die gleiche Sparte.
mfg
Oli
--
Man darf ruhig intelligent sein, man muss sich nur zu helfen wissen.
Oliver Schad
> Volker Birk schrieb:
>
>> ich verweise nicht nur auf die genaue Version von Torstens Script,
>> deren Funktionalität "Windows-Dienste abschalten" exakt
>> implementiert, sondern ich offeriere gleich noch den Quellcode, so
>> dass jeder einsehen kann, was genau passiert.
>
> Das ist, mit Verlaub, eine dämliche Argumentation. Wenn mir jemand
> so systemwichtige Sachen wie Dienste beenden will, möchte ich genau
> wissen, welche, und nicht lesen, das könne man im Quelltext
> nachlesen. Den Anspruch auf vollständige Erläuterung vor dem Einsatz
> hast du auch, wenn dein Zahnarzt dir eine grössere Wurzelbehandlung
> angedeihen lassen möchte.
>
> Ich muss mich sehr wundern: Einerseits machst du eine
> GUI-freundliche Version, die erheblich einfacher für DAUs sein soll,
> andererseits bietest du einen Support nach der Devise: "Ach, lass
> mal, ist schon alles gut, glaube mir." Eventuell kommst du darauf,
> dass das der eigentliche Punkt ist, mit dem du dich selbst
> angreifbar machst.
Du meinst, dass eine bessere Dokumentation innerhalb dieses Programms
diesen Pseudo-Sicherheits-Software-Hersteller dazu veranlasst hätte,
dieses Programm anders zu klassifizieren? Das glaube ich nicht, Tim.
Alfred S. Krumbholz
[...]
> Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten", ein
> völlig harmloses Hilfsprogramm, von AntiVir als "SPR/Tool.KillService"
> Virus erkannt wird.
Ich gebe bei dieser überschäumenden Diskussion mal zu bedenken, dass man
als User _nach_ der Inst. von Antivir die Konfiguration dahingehend
ändern muss, dass Antivir überhaupt vor sogenannten Security Privacy
Risks (SPR) warnt. Dazu muss man zunächst den "Expertenmodus" aktivieren
und dann unter "erweiterte Gefahrenkategorien" die Warnung vor SPRs
anhaken. Erst dann kommt:
"[FUND] Enthält Signatur des SPR/Tool.KillService-Programmes"
Die die sich beschweren, haben also vorher selbst dafür gesorgt, dass
sie nun durch Antivir verunsichert werden. Belässt man alle Optionen auf
den Standardwerten bekommt man auch keine (fast keine) false positives.
MfG Alfred
Oliver Schad
Das Problem bei dieser Klassifikation ist, dass eigentlich *jedes*
Programm in diese Sparte fällt, weil mit fast *allen* Programmen sich
Dinge machen lassen, die der Benutzer vielleicht nicht will.
Mindestens alle von Microsoft mitgelieferten Systemprogramme können
das.
Die nächste Frage, die sich mir stellt ist: Warum sollte ich als
Angreifer das Programm von Volker Birk ausführen wollen? Ok, wenn man
sich selbst ins Knie schießen will als Angreifer, mag das ein gutes
Werkzeug dafür zu sein, aber sonst ...
Ein Risiko bezüglich der Vertraulichkeit bestimmter Daten kann ich
auch nicht erkennen.
Oliver Schad
> · Volker Birk <bum...@dingens.org>:
>
>> Thomas Niering <thomas....@arcor.de> wrote:
>>> Volker Birk <bum...@dingens.org> wrote:
>>> > nachdem nun schon eine Weile lang meine PoC codes zum Umgehen
>>> > von "Personal Firewalls" als Viren von vielen gängigen
>>> > Virensuchern gemeldet werden, geht die Front scheinbar weiter:
>>> Wieso regst du dich auf? Ist doch okay, dass
>>> Anti(?)-Virenhersteller solche Codes als Gefahr ansehen, und sie
>>> melden.
>>
>> Sorry, das ist nicht OK. Die Beispielprogramme richten keinerlei
>> Schaden an.
>
> Es werden Dienste beendet. Das kann durchaus nicht gewollt sein.
Es ist nicht sinnvoll Programme als Sicherheitsrisiko zu
klassifizieren, weil eine Wirkung eines bestimmten Programms nicht
gewollt sein könnte, weil alle Programme in diese Kategorie fallen.
Die Intention hinter dieser Klasse "SPR" scheint mir zu sein,
Programme, die für Angreifer gängigerweise zur Unterstützung von
Angriffen eingesetzt werden, aber nicht selbst als Schadprogramme
gelten, einordnen zu können.
Das wäre zumindest für mich der einzige nachvollziehbare Gedankengang
für diese Klasse.
Dann ist für mich aber immer noch unverständlich, warum ich als
Angreifer das Programm von VB nutzen sollte zur Unterstützung meines
Angriffs.
Sebastian Gottschalk
> Dann ist für mich aber immer noch unverständlich, warum ich als
> Angreifer das Programm von VB nutzen sollte zur Unterstützung meines
> Angriffs.
Vermutlich ist es auch einfach nur eine generische Erkennung. Auch eine
Batch, die sehr viele gezielte Delete-Operationen enthält, wird als
SRP/Batch.Del eingeordnet.
Volker Birk
> > Falls es um win32sec.exe geht: Bei mir meldet AntiVir das Programm nicht
> > als Malware.
> Dann überprüft dein Antivir Dateien nicht nach "Security Private Risks".
> Kannst du in den Optionen gesondert aktivieren bzw. deaktivieren.
Ist das standardmässig an oder aus?
Viele Grüße,
VB.
--
Ich würde schätzen, dass ca. 87% aller spontanen Schätzungen völlig für
den Arsch sind.
Ralph Angenendt in deb...@ccc.de
Volker Birk
> Volker Birk schrieb:
> > ich verweise nicht nur auf die genaue Version von Torstens Script, deren
> > Funktionalität "Windows-Dienste abschalten" exakt implementiert, sondern
> > ich offeriere gleich noch den Quellcode, so dass jeder einsehen kann,
> > was genau passiert.
> Das ist, mit Verlaub, eine dämliche Argumentation.
Dann können wir die Diskussion an der Stelle auch wieder einstellen.
Denn mehr als offenen Quellcode kanns für Software nicht geben. Wenn
Du dann immer noch von "Blackbox" faselst, kommen wir sicher nicht
weiter.
Übrigens: meine Software tut genau das, was ich ankündige. Das könntest
Du jetzt nachlesen. Aber lassen wir das lieber.
Volker Birk
> Das ist irrelevant, ob du *glaubst*, dass das so ist. Ein kapitaler
> Fehler ist, zu glauben, man müsse einem DAU Funktionsfähigkeit dadurch
> bieten, in dem man ihm Dokumentation möglichst weit weghält und ihm
> vermitteln will, er solle einfach nur da drauf klicken und dann würde
> alles gut.
Apple Computer fährt sehr gut damit. Und die sind Vorbild für UI,
zumindest meines.
> Genau das ist es nämlich, was wir als sicherheitsbeleckte
> Leute ja eigentlich nicht pauschalisieren wollen.
Nein, sowas wollen wir diskutieren. Der Ansatz, dass viele, viele
Optionen für mehr Sicherheit sorgen, und ausführliche technische
Beschreibungen, die der Nutzer vorher lesen muss, irgend eine positive
Wirkung hätten, ist ja gerade falsch.
Ein Programm sollte möglichst einfach sein, und in der
Standardkonfiguration möglichst viel Sicherheit bieten. Am besten, man
kann gar nicht so viel rumstellen, sondern nur genau das, was man
braucht.
> Nur weil wir alle
> de.comm.security.misc lesen, sind wir nicht automatisch Leute, denen man
> vertrauen muss.
Nochmal, aber man kann schon den vielen Leuten vertrauen, die den
Quellcode bisher runtergeladen haben, um ihn zu lesen - das waren
übrigens zehntausende. Würde ich da Schadcode verbreiten, so hätte das
sicher einen Aufschrei gegeben.
> > Jeder, der nicht in diese Zielgruppe fällt, ist bei ntsvcfg.de besser
> > aufgehoben.
> Es macht das Problem nicht besser, ausser dass das Originalscript
> grundsätzlich für den DAU noch komplizierter erscheint und da eher die
> Finger davon lässt.
Wer Torstens Script nicht sinnentnehmend lesen kann, wird die
technische Beschreibung dazu ebenfalls nicht verstehen können.
Denn die erfordert noch mehr Fachwissen fürs Verständnis als das
Verstehen eines Batch-Scripts.
Jens Sülwald
> Wird es denn wirklich als Virus erkannt? Ich kenne AntiVir nicht,
> darum verzeih bitte die Frage.
Es wird von AntiVir als "SecurityPrivacyRisk" eingestuft.
Volker Birk
Noch kein offizielles.
Volker Birk
> Eventuell bildest du dir einfach mal ein, dass es
> sein könnte, dass ich keinen Feldzug gegen das Programm selbst tun
> möchte, sondern durchaus Gedanken dazu beisteuere, wie zukünftige
> Missverständnisse möglicherweise verhindert werden können. Wäre im Sinne
> vieler, denn ich finde es eigentlich schade, wenn ich jetzt in der
> VHS-Dokumentation, die ich für einige VHSse pflege, nützliche Werkzeuge
> ausklammern müsste, nur weil sie mit anderen nützlichen Programmen
> kollidieren und jeder meint, er habe die Weisheit mit dem Löffel
> gefressen und der andere nicht.
Wie wär's denn, wenn AntiVir meine Software ganz einfach nicht als
Schadsoftware melden würde, weils nämlich keine ist?
Wäre das eine Idee, wie man diese "Kollision" vermeiden könnte?
Volker Birk
> - So bald gestartet wird, eine Fortschrittsanzeige mit den Dingen, die
> das Ding gerade tut. Also genau welche Dienste beendet werden, wie der
> einzelne Status dazu ist.
Das Programm läuft ja unter einer Sekunde. Soll ich Deiner Meinung
nach also eine Wartezeit an jeden einzelnen Befehl knüpfen, damit der
Nutzer mitlesen kann?
> Wie man auf der Startseite des Programms nähere Informationen über die
> Wirkungsweise des Programms unterbringt, weiss ich aktuell auch nicht,
> ich glaube aber nicht, dass das ein unlösbares Problem ist.
Soso.
Amüsiert,
Volker Birk
> Warum nicht. Ich gestehe, ich kenne Volkers Programm nicht,
> aber bietet nicht auch Volkers Programm ein "Undo" an?
Ja.
Viele Grüße,
Volker Birk
> Du stehst aber durchaus unter Verdacht Programme
> herzustellen, die Dienste beenden.
Echt jetzt? ;-)
SCNR,
Volker Birk
> Joerg Lorenz <hugy...@swissinfo.org> wrote:
> > Primär ist mal Dein Posting eine problematische Meldung. Denn Ton den
> > ich hier raushöre: Ich bin der VB und wenn ich was sage, dann ist das
> > immer richtig.
> Hast du das selbe Posting gelesen wie ich? Ich habe naemlich eher
> da herausgelesen "'Windows Dienste abschalten' wird von einem Viren-
> Scanner gemeldet, warum?", und ich halte die Frage fuer durchaus
> berechtigt.
Falls Jörg das meinte: ja, ich bin stocksauer.
Ich bin stocksauer, mit Malware-Autoren in einen Topf gesteckt zu
werden. Und ich glaube auch nicht, dass ich mir das bieten lasse.
Die Motivation, meine PoC codes als Malware zu finden, ist schon dubios
genug. Vor "Windows-Dienste abschalten" mit einem Virenscanner zu
warnen, sprengt allerdings das Maß.
Viele Grüße,
Paul Muster
> Hmm, dann einmal ein Vorschlag von mir:
> Volker orientiert sich an Zonealarm und Co. Für jeden einzelnen Dienst
> geht ein blinkendes Fenster auf mit
> "Achtung Vorsicht Alarm!!!1elf
> Dieser Dienst stellt ein mögliches Sicherheitsrisiko dar!!!1elf
> Wollen Sie diesem Dienst die Weiterarbeit erlauben?
> [JA] [NEIN] [WEIß NICHT] [HAB ANGST]"
Nein, so klappt das nicht. Der DAU klickt reflexartig immer auf "JA".
mfG Paul
Volker Birk
> > Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten", ein
> > völlig harmloses Hilfsprogramm, von AntiVir als "SPR/Tool.KillService"
> > Virus erkannt wird.
> abhängig von der Definition dieser Kategorie und dem, was Deine
> Skripte machen. Bist Du wenigstens vor dem Listing benachrichtigt
> worden?
Nein. Ich habe dadurch davon erfahren, dass sich die Kunden von AntiVir
bei mir melden und mich fragen, ob ich Viren verbreite.
> Die RUS-CERT-Webseiten wurden z.B. völlig zurecht eine Zeitlang von
> Smartfilter in der Kategorie "Criminal Skills" geführt, weil die
> Kriterien für die Einstufung erfüllt waren. Ob die Nutzer ein
> derartiges Verhalten ihrer Zensur-Software erwarten, steht freilich
> auf einem anderen Blatt.
Auch www.ccc.de wurde dort unter dieser Rubrik geführt. Und auch das
habe ich mir nicht bieten lassen.
Volker Birk
> Die
> Frage ist, ob AntiVir das sauber dokumentiert. Dass der
> durchschnittliche Endbenutzer das nicht lesen wird, ist erstmal
> irrelevant
Das sehe ich nicht so.
Die machen meinen Ruf kaputt, wenn sie mich mit Malware-Autoren auf eine
Stufe stellen.
Die Mails, die bei mir eingehen, beweisen das.
Volker Birk
Hört sich gut an. Kann das sonst jemand bestätigen? Ist das auch in der
aktuellen Version so?
Volker Birk
> Volker Birk schrieb:
> > Ich erhalte mehrfach Nachricht, dass "Windows-Dienste abschalten",
> > ein völlig harmloses Hilfsprogramm, von AntiVir als
> > "SPR/Tool.KillService" Virus erkannt wird.
Oh doch. Und zwar per Mail von Kunden von AntiVir, die auch meine Nutzer
sind.
> Du hast nun die Möglichkeit, entweder dieses Tool oder Programm in die
> Ausnahmen aufzunehmen
Isch 'abe gar kein AntiVir.
Paul Muster
> Die Hilfe-Datei von
> Antivir gibt zu diesem Thema übrigens erschöpfende Auskunft.
Wieviele DAUs lesen diese? Wie oft hattest du vor heute morgen da
reingeschaut?
mfG Paul
Jens Sülwald
> Entschuldige, ich werde jetzt sehr ungehalten: Schau dir mal bitte dein
> Tool an, das ich mir jetzt gerade zum ersten Mal selbst angeschaut habe.
> Es bietet drei Optionen, die oberste will Dienste beenden, sagt aber
> nicht, welche. Es tut irgendwas, sagt dann am Ende, dass der Rechner neu
> gestartet werden soll. Und genau das kann man gleich netzwerkweit mit
> dem Tool machen.
> Transparenz, Volker, das ist etwas anderes, denn das, was du da
> hinstellst, ist eine Blackbox mit ungewissem Ausgang. [...]
War Quelltext vom Tool nicht sogar einzusehen auf der Webseite?
Und zu Blackbox... wenn es danach ginge, müsste sowas wie ZoneAlarm auch
von dem Virenscanner erkannt werden.
Jens Sülwald
> Wo ist das Problem? Du willst eine Sicherheitseinrichtung umgehen: Das
> ist nicht akzeptabel und am äussersten Rand dessen, was Dir keine
> Probleme einbringt.
Das kann man mit dem SecurityCenter in WIndows XP SP2 auch machen (also
Firewall abschalten und so), aber dieses Ding wird nicht erkannt. ;)
Jens Sülwald
> Das ist irrelevant, ob du *glaubst*, dass das so ist. Ein kapitaler
> Fehler ist, zu glauben, man müsse einem DAU Funktionsfähigkeit dadurch
> bieten, in dem man ihm Dokumentation möglichst weit weghält und ihm
> vermitteln will, er solle einfach nur da drauf klicken und dann würde
> alles gut.
Alexander Skwar
Nein, Sourcecode ist *KEINE* Dokumentation. Sie kann Teil der
Dokumentation sein, sie darf aber niemals die einzige Dokumentation
sein. Grund: Sourcecode richtet sich primär an Programmierer -
auch Nicht-Programmierer möchten eine Dokumentation haben. Und
Dokumentation sollte auch nicht nur bedeuten, was die einzelnen
Buttons machen (in der Art von "System sicher machen"). Gute
Dokumentation hat auch Hintergrunddetals zu liefern. Und zwar
in verständlich.
Alexander Skwar
--
Wie man sein Kind nicht nennen sollte:
Tom Ahak
Alexander Skwar
> Besim Karadeniz <be...@netplanet.org> wrote:
>> Volker Birk schrieb:
>> > ich verweise nicht nur auf die genaue Version von Torstens Script, deren
>> > Funktionalität "Windows-Dienste abschalten" exakt implementiert, sondern
>> > ich offeriere gleich noch den Quellcode, so dass jeder einsehen kann,
>> > was genau passiert.
>> Das ist, mit Verlaub, eine dämliche Argumentation.
>
> Dann können wir die Diskussion an der Stelle auch wieder einstellen.
> Denn mehr als offenen Quellcode kanns für Software nicht geben.
Oh, doch! Es sollte eine Dokumentation geben.
> Wenn
> Du dann immer noch von "Blackbox" faselst, kommen wir sicher nicht
> weiter.
Das liegt dann aber nicht nur an Besim. Eine Dokumentation sollte
darüber aufklären, wie das Programm zu bedienen ist und was es
GENAU macht. Am besten vlt. auch noch, warum bestimmte Dinge /so/
und nicht anders gemacht werden. Auch häufige Fehlerquellen gehören
in die Doku.
All das kann NUR der Sourcecode nicht liefern.
> Übrigens: meine Software tut genau das, was ich ankündige. Das könntest
> Du jetzt nachlesen. Aber lassen wir das lieber.
Wo kann man das nachlesen? Sourcecoe reicht nicht.
Alexander Skwar
--
Paradox ist,
wenn eine Kuh Dich anstiert.
Alexander Skwar
> Hallo,
>
> Alexander Skwar <alex...@skwar.name> wrote:
>> Hm, ja. Warum nicht. Ich gestehe, ich kenne Volkers Programm nicht,
>> aber bietet nicht auch Volkers Programm ein "Undo" an? Wenn nicht,
>> dann sollte sowas implementiert werden -
>
> Es bietet so etwas an. Einen Screenshot des Programms kannst du
> auf http://www.dingens.org bewundern
Ich bin blind - wo gibt's ein "Undo"?
>> wenn doch, dann sollte diese Undo Möglichkeit an
>> "prominenter Stelle" im Programm angezeigt werden.
>
> Sieh dir den Screenshot auf der Webseite an, und urteile dann,
> ob die Funktion an hinreichend prominenter Stelle angeboten wird.
Wird nicht. Zumindest nicht auf dem Screenshot auf dingens.org.
Alexander Skwar
--
Trägt einer Klebstoff an der Backe, hat er auch noch 'ne andere Macke.
Alexander Skwar
> Alexander Skwar <alex...@skwar.name> wrote:
>> Warum nicht. Ich gestehe, ich kenne Volkers Programm nicht,
>> aber bietet nicht auch Volkers Programm ein "Undo" an?
>
> Ja.
Wie ist die erreichbar?
Ich habe gerade win32sec gestartet und sehe einen Dialog, wie
auf dingens.org abgebildet. Nun habe ich den "Einzelner Computer"
angewählt. Wenn ich jetzt win32sec erneut starte, sehe ich wieder
exakt dies, was auf dingens.org abgebildet ist.
Wie mache ich die Änderungen von win32sec wieder rückgängig?
Alexander Skwar
--
Nichtstun ist besser als mit viel Mühe nichts schaffen.
-- Laotse (chin. Philosoph, 4-3 Jhd. v.Chr.)
Alexander Skwar
> Besim Karadeniz schrieb:
>> Transparenz, Volker, das ist etwas anderes, denn das, was du da
>> hinstellst, ist eine Blackbox mit ungewissem Ausgang.
>
> Das Werkzeug ist wohldokumentiert auf der Homepage,
Wo steht geschrieben, was das Programm genau macht? "Sourcecode" als
Antwort reicht nicht.
Alexander Skwar
--
Adel liegt einzig und allein in der Tugend.
-- Decimus Iunius Juvenal (Satiren)
Alexander Skwar
> Besim Karadeniz wrote:
>> Entschuldige, ich werde jetzt sehr ungehalten: Schau dir mal bitte dein
>> Tool an, das ich mir jetzt gerade zum ersten Mal selbst angeschaut habe.
>> Es bietet drei Optionen, die oberste will Dienste beenden, sagt aber
>> nicht, welche. Es tut irgendwas, sagt dann am Ende, dass der Rechner neu
>> gestartet werden soll. Und genau das kann man gleich netzwerkweit mit
>> dem Tool machen.
>
>> Transparenz, Volker, das ist etwas anderes, denn das, was du da
>> hinstellst, ist eine Blackbox mit ungewissem Ausgang. [...]
> War Quelltext vom Tool nicht sogar einzusehen auf der Webseite?
Nein, aber er ist downloadbar. Das ist allerdings nicht ausreichend.
Z.B. kann ICH mit dieser sln oder auch der ncb Datei reichlich wenig
anfangen...
> Und zu Blackbox... wenn es danach ginge, müsste sowas wie ZoneAlarm auch
> von dem Virenscanner erkannt werden.
Ja.
Alexander Skwar
--
Ich würde meinen Kindern lieber Drogen geben als DOS...
-- Scott McNeely (Sun-Chef)
Volker Birk
> Eine Dokumentation sollte
> darüber aufklären, wie das Programm zu bedienen ist und was es
> GENAU macht. Am besten vlt. auch noch, warum bestimmte Dinge /so/
> und nicht anders gemacht werden. Auch häufige Fehlerquellen gehören
> in die Doku.
Was genau fehlt Dir dann an http://www.dingens.org? Denn das ist die
Dokumentation, und da steht genau das, was Du forderst.
> All das kann NUR der Sourcecode nicht liefern.
Aber der Sourcecode sorgt zweifelsfrei dafür, dass es sich nicht um eine
"Blackbox" handelt.
> > Übrigens: meine Software tut genau das, was ich ankündige. Das könntest
> > Du jetzt nachlesen. Aber lassen wir das lieber.
> Wo kann man das nachlesen?
Volker Birk
> Ich bin blind - wo gibt's ein "Undo"?
Das gibt's erst, sobald es möglich ist; einfach nochmals starten,
unterster Punkt.