ThreatFire
Robert Jasiek
verhaltensbasierten Test 20 von 20 korrekte Erkennungen und 0
Fehlalarme ermittelt hat, es bei Verhaltensanalyse inform von
ThreatFire also 100% zu sein scheinen, fragt sich, wie man das
einsch�tzen soll.
1) 20 getestete Malwares ist l�cherlich wenig, besonders im Vergleich
zu Signatur-Tests mit zigtausenden von Malwares. Man kann daher nicht
wissen, ob das 100%-Ergebnis nur Zufall ist oder konsistent erreicht
wird.
2) Im Vorjahr war 60% die Spitze. Dass es heute 100% sind, ist
zumindest ein Indiz, dass Verhaltensanalyse in absehbarer Zeit besser
sein k�nnte, als wir Pessimisten zu hoffen wagen.
3) Was die einmaligen 100% bei nur 20 getesteten Malwares wert sind,
wird sich erst zeigen, wenn die Malwarehersteller die Chance zum
Gegenschlag gehabt haben werden. Erst wenn Verhaltensanalyse auf Dauer
100% liefert, ist es zumindest empirisch zuverl�ssig. Noch besser: Es
g�be den offenen SourceCode von ThreatFire, sodass man sehen kann, ob
Malware gezielt ThreatFire umgehen kann oder ob die Verhaltensanalyse
wirklich etwas taugt.
4) Zur Zeit funktioniert ThreatFire wie eine Blackbox, die irgendetwas
tut und der man diesbez�glich blindes Vertrauen entgegen bringt. Der
Verfasser des c't-Editorials hat Recht: Man w�rde ThreatFire nicht
selbst einsetzen, aber jemand Anderem evtl. empfehlen, es einzusetzen.
MAW, es ist nicht gut genug, eingesetzt zu werden, weil man nicht
wissen kann, was das Vertrauen wert ist.
5) Im Vergleich wei� man bei betriebssystemeigenen Sicherheitsmethoden
wie Softwareeinschr�nkungen, Benutzertrennung, Benutzerrechte, wie sie
funktionieren. Da kann man fast 100% mit Vertrauen verbinden. (Im Fall
von ClosedSource Betriebssystemen beschr�nkt sich das Vertrauen aufs
Konzept).