Virustotal-Pflicht aufheben - Vault7

Hallo liebes ePvP-Forum,

Ich bin heute auf die Vault7-Tools des CIA gestoßen und bin einerseits fasziniert aber andererseits auch in Sorge.

Keine Angst; Ich will nicht jedes Detail ausdiskutieren, kommentieren oder darstellen.

Mir geht es speziell um das Marble-Framework ([Only registered and activated users can see links. Click Here To Register...]). Dieses FW ist extrem mächtig und bietet eine völlig neue Qualität an Obfuscation, um Virenscanner und Cracker abzuhalten.

Ich frage mich, inwieweit es noch sinn macht, auf VT zu bestehen, wenn das nun jeder Hobbyhacker mit Marble ad absurdum führen kann.

Ist dieser Zwang in Anbetracht dieser Erkenntnisse noch sinnvoll und zielführend?

LG ich

Nur weils eventuell möglich ist ne Detection zu erkennen direkt die Regel entfernen?
Willst du demnächst dann auch alle Ampeln abreisen, weil man ja eh bei rot fahren kann und sie keinen Schutz bieten?

Ich finde, dass der Vergleich mächtig hinkt.

Es ist doch nur eine Illusion von Sicherheit den VT-Link anzuhängen und könnte ggf sogar einen gegenteiligen Effekt haben, weil unvorsichtige User glauben, Software die laut VT sicher zu sein scheint, bedenkenlos ausführen zu können.

Um den Vergleich dafür aufzugreifen. Ja wir warten alle an der roten Ampel, weil wir wissen, dass es für die Ordnung auf den Straßen wichtig ist. Was aber, wenn ein Programm dafür sorgt, dass alle Ampeln immer grün sind? Viele würden nicht mehr nach rechts und links gucken und losfahren. Unfälle wären vorprogrammiert.

Ich persönlich halte es für deutlich sinnvoller, wenn Nutzer Dateien immer als Anhang hochladen müssten und diese automatisch überprüft werden würden. Externe Downloads wäre verboten und jeder Anhang ist somit durch zumindest ClamAV (weil kostenlos), wenn nicht sogar VirusTotal gelaufen.

Diese ganze Geschichte á la "Der Threadersteller lädt die Datei selbst auf VT hoch" finde ich total absurd - in 9 von 10 Fällen wird wohl eine Datei ohne Virus hochgeladen und die infizierte Datei verlinkt...



Zum Topic: Finde es absurd zu sagen, dass man ein Schloss entfernt, nur weil es knackbar ist. Nur der Prozess sollte geändert werden.

Quote:

Originally Posted by UND3RW0RLD Mir geht es speziell um das Marble-Framework ([Only registered and activated users can see links. Click Here To Register...]). Dieses FW ist extrem mächtig und bietet eine völlig neue Qualität an Obfuscation, um Virenscanner und Cracker abzuhalten. Ich frage mich, inwieweit es noch sinn macht, auf VT zu bestehen, wenn das nun jeder Hobbyhacker mit Marble ad absurdum führen kann.

Glaubst du die Leute hinter Virustotal (Gehören immerhin zu Google) sind so dumm und nutzen das selbige Framework nicht auch um etwaige Malware zu erkennen? Das geht auch andersherum


Außerdem gibt es keine globale Virustotal Regel, diese werden nur bei manchen Bereichen eingesetzt. Du müsstest dann schon die Bereiche nennen wo du sie entfernt haben möchtest

Quote:

Originally Posted by Frosttall Diese ganze Geschichte á la "Der Threadersteller lädt die Datei selbst auf VT hoch" finde ich total absurd - in 9 von 10 Fällen wird wohl eine Datei ohne Virus hochgeladen und die infizierte Datei verlinkt...

Das war eigentlich immer das Beste als ich noch Moderator war, wer einen falschen Virustotal Report verlinkt hat in 99% der Fälle Malware hochgeladen und man kann sie sofort runter nehmen
Wenn dann müsste man eigentlich bei Anhängen die Prüfsummen anzeigen lassen, damit man die Datei noch einfacher mit Virustotal abgleichen kann

Quote:

Originally Posted by UND3RW0RLD Um den Vergleich dafür aufzugreifen. Ja wir warten alle an der roten Ampel, weil wir wissen, dass es für die Ordnung auf den Straßen wichtig ist. Was aber, wenn ein Programm dafür sorgt, dass alle Ampeln immer grün sind? Viele würden nicht mehr nach rechts und links gucken und losfahren. Unfälle wären vorprogrammiert.

Und wenn du siehst das bei Grün die Kreuzung nicht frei ist, dann wirst du nicht einfach drauf los fahren
Menschen sind nicht dumm, meistens jedenfalls nicht

Um welchen Bereich geht es hier? Es gibt keine allgemeine VirusTotal-Pflicht, denn wie du schon sagst, ist das Quatsch.

Quote:

Originally Posted by MrSm!th Um welchen Bereich geht es hier? Es gibt keine allgemeine VirusTotal-Pflicht, denn wie du schon sagst, ist das Quatsch.

Browsergames / Darkorbit Section müsste diese Regel z.B. haben glaube ich.

Quote:

Originally Posted by MrSm!th Um welchen Bereich geht es hier? Es gibt keine allgemeine VirusTotal-Pflicht, denn wie du schon sagst, ist das Quatsch.

[Only registered and activated users can see links. Click Here To Register...]

Quote:

Originally Posted by MrSm!th Um welchen Bereich geht es hier? Es gibt keine allgemeine VirusTotal-Pflicht, denn wie du schon sagst, ist das Quatsch.

Quote:

Originally Posted by Shodans Reveal [Only registered and activated users can see links. Click Here To Register...]

This

In den globalen Regeln existiert diese Pflicht ja nicht, allerdings in einigen Unterforen. Wir werden uns mal mit den dortigen Mods absprechen, inwiefern eine Pflicht dann in diesen Foren nötig ist.

Quote:

Originally Posted by Frosttall Ich persönlich halte es für deutlich sinnvoller, wenn Nutzer Dateien immer als Anhang hochladen müssten und diese automatisch überprüft werden würden. Externe Downloads wäre verboten und jeder Anhang ist somit durch zumindest ClamAV (weil kostenlos), wenn nicht sogar VirusTotal gelaufen. Diese ganze Geschichte á la "Der Threadersteller lädt die Datei selbst auf VT hoch" finde ich total absurd - in 9 von 10 Fällen wird wohl eine Datei ohne Virus hochgeladen und die infizierte Datei verlinkt... Zum Topic: Finde es absurd zu sagen, dass man ein Schloss entfernt, nur weil es knackbar ist. Nur der Prozess sollte geändert werden.

Stimmt so nicht, da man eine Datei doch normal nicht 2x scannen lassen kann.. d.h. Fred der aufmerksame User lädt das Dingends selbst bei VT hoch und merkt den Beschiss sofort ;)
D.h. bisschen Eigenarbeit ist definitiv zumutbar.

Finde auch das VT eher dazu verleitet ohne Hirn die .exe etz zu starten.

Quote:

Originally Posted by Moope Stimmt so nicht, da man eine Datei doch normal nicht 2x scannen lassen kann.. d.h. Fred der aufmerksame User lädt das Dingends selbst bei VT hoch und merkt den Beschiss sofort ;)

Fred der aufmerksame User ist leider ein Idealbild - die meisten User zählen leider nicht dazu.

Quote:

Originally Posted by Frosttall Fred der aufmerksame User ist leider ein Idealbild - die meisten User zählen leider nicht dazu.

Leider, ja. Aber dann dürfte man nie Downloads anbieten^^ wenn sich so ein Nicht-Fred nachher über nen Virus ärgert.

Quote:

Originally Posted by Moope Leider, ja. Aber dann dürfte man nie Downloads anbieten^^ wenn sich so ein Nicht-Fred nachher über nen Virus ärgert.

Wir können aber Methoden entwickeln, welche den Nutzer schützen und somit das Risiko verringern. User könnten z.B. auch selbst darauf kommen, dass ein Name-Faker eine Nullbreite in seinem Namen hat und die Handelsanfrage von einem falschen Profil kommt - trotz allem zeigen wir in diesem Falle einen Hinweis an ;)

Quote:

Originally Posted by Frosttall Wir können aber Methoden entwickeln, welche den Nutzer schützen und somit das Risiko verringern. User könnten z.B. auch selbst darauf kommen, dass ein Name-Faker eine Nullbreite in seinem Namen hat und die Handelsanfrage von einem falschen Profil kommt - trotz allem zeigen wir in diesem Falle einen Hinweis an ;)

Hmm, aber die Nullbreite kann man ja mit einem Block der Sonderzeichen aushebeln? (Also nur a-z, 0-9 und . ! etz was normal ist) Dann bräuchte man den Hinweis nicht mehr? :)