AV-Programm mit E-Mail-Schutz für SSL- und HTTP-Protokolle

SSL steht einfach gesagt für Verschlüsselung. Dabei werden die gesamten Mails MIT VIREN (wenn es denn welche gibt) verschlüsselt. Wie soll ein Virenscanner einen verschlüsselten Virus erkennen? Daher unterstützt das mit Sicherheit KEIN Virenscanner. Ich wüsste nicht wie man das Problem lösen soll.

Hi Marx-Brother,

warum es nicht funktioniert und auch niemals funktionieren wird, einen verschlüsselten Datenstrom zu scannen, hat dir Thunder ja erklärt. (Natürlich kannst du dir einen eigenen Mailserver -Sicherheitsgateway- vorschalten, der die Mails abholt und scannt - dann brauchst du auf dem Client nicht zu scannen, aber wir sprechen ja hier wohl von einer Privatanwendung ... .) Das ist eben so - und du must dir überlegen, ob dir die Verschlüsselung der Verbindung zum Provider ODER das Scannen des Traffics wichtiger ist.
Derartige Überlegungen und deren Ergebnisse nennen wir im Bereich der IT-Sicherheit das Abschätzen des "kalkulierbaren Restrisikos".

Was bringt dir die verschlüsselte Verbindung?
Nein, deine Mails schützt sie nicht vor fremden Blicken. Ab Gateway des Providers liegt sie wieder unverschlüsselt vor. Wie es dann weitergeht, kannst du weder wissen noch beeinflussen. Sie schützt aber sowohl deine Mail-Passwörter und auch die Mails selbst - aber nur auf dem kurzen Stück bis zum Provider. Lohnenswert also nur in einem (Firmen-) Netzwerk oder einer Wohngemeinschaft mit neugierigen Administratoren bzw. Mitbewohnern oder falls du noch ein unverschlüsseltes WLAN benutzt (aber das ist ja schon sträfliche Dummheit!).

Was nutzt dir das Scannen des Mailtraffics bzw. welchen Gefahren setzt du dich aus, wenn du es nicht machst? Oder, welche Nachtreile bringt das sogar?
Wenn du von unbelehrbaren oder auch unwissenden Menschen umgeben bist, die ohne Nachzudenken auf jeden Anhang mit einem interessant klingenden Namen klicken müssen - meistens auch noch direkt aus dem Mailprogramm heraus - ja dann bleibt dir keine andere Wahl. Dann hast du deine Entscheidung getroffen und du kannst mit Lesen aufhören.
Was passiert denn eigentlich, wenn du dir eine Mail mit einem Malware-Anhang runtergeladen hast? Zuerst einmal NICHTS! Du hast im Body eine Menge codierten Code. Na und? Wenn du jetzt diesen Anhang ablöst, damit decodierst und in den Speicher holst, dann muss ein funktionierender on-access-Wächter aktiv werden und melden. Dies passiert sogar bei den Unbelehrbaren, die aus Bequemlichkeit unbedingt Anhänge direkt aus dem Mailprogramm heraus starten müssen, zumindest meistens ... . Wenn du jetzt deinen Virenwächter richtig konfiguriert hast, dass er nur meldet und nicht etwa löscht oder gar "desinfiziert", dann passiert absolut nichts. Du weißt, dass diese Mail infiziert ist, kannst sie löschen, den Papierkorb leeren und beide Ordner komprimieren. Und schon ist der Spuk beseitigt. Und weil ein on-demand-Scanner in der Erkennungsrate noch immer besser als ein on-access-Scanner funktioniert, empfehle ich auch noch das manuelle Scannen der Datei im Download-Ordner.
Ich möchte auch die direkten Nachteile des Scannens des Mailtraffics nicht vergessen: Ausbremsen der Downloadgeschwindigkeit bei den heute beliebten übergroßen Anhängen, damit Laufen in die Timeout-Falle bis zu Verbindungsabbrüchen, unnütze Prozessorlast, unerklärbare Fehler beim Empfang oder Senden - bis hin zu nicht verifizierbaren Ergebnissen des Scannens, also nicht festgestellten Viren. (Siehe weiter oben.)

Für mich heißt der beste Virenscanner "Brain 01"!
Er ist trainierbar (lebenslang!), macht automatische Updates, kostet nichts, bremst das System nicht aus und funktioniert problemlos. Und in Verbindung mit einem strikten Verzicht auf Klickibunti-Mails (verzeihung, meine html ...) reicht mir ein guter on-demand-Scanner, damit ich nicht etwa infizierte Anhänge an meine WinDOSen-benutzenden Freunde weiterleite. Wäre schließlich peinlich ... .
Ein weiteres Argument für den Verzicht auf das Scannen des Traffics ist für mich auch, dass ich fast alle meine Mails per S/MIME, also "end-to-end" verschlüssele.

MfG Peter
der sich voll bewusst ist, dass nicht jeder mit meiner persönlichen Meinung einverstanden ist

Ich denke, dass man einen verschlüsselten Traffic nicht auf Viren untersuchen kann, bleibt unbestritten.
Die Frage ist, WO gescannt wird.
Im professionellen Bereich setzt man eben richtige Security-Gateways ein. Diese laufen auf extra Maschinen, bauen die Verbindung selbst auf und nach der Entschlüsselung kann man eben auch scannen. Nicht viel anders - aber eben auf dem Benutzerclient - wird das "der Kasperski" machen. Er wird sich also wie ein Proxy nach der Entschlüsselung in den Datenstrom einklinken. Noch eine Stufe mehr ... .

Bei der ominösen Hotmail-Trickserei ist "alles anders" als üblicherweise. Irgendwie grabbert die Hotmail-Erweiterung die html-Ausgabe von Hotmail ab und extrahiert den Inhalt raus. Will mich damit nicht befassen, ich betrachte das einfach als eine unsaubere Angelegenheit. Aber wers braucht ... .

MfG Peter

Mhhh, wie macht Kaspersky das? Würde mich schon interessieren, da ich kein unverbesserlicher Besserwisser sein will

Zitat Kaspersky:
Zur Untersuchung von verschlüsselten Verbindungen tauscht Kaspersky Anti-Virus/Kaspersky Internet Security das angeforderte Sicherheitszertifikat durch ein selbst signiertes Zertifikat aus.

Es ist natürlich fragwürdig, ob ich einem selbst-signierten Zertifikat einer Softwareschmiede mehr vertraue als einen Zertifikat eines anerkannten ZDA.

Whatever, ich glaube, darum geht es aber in erster Linie in diesem Thread nicht

Fakt ist, wie Peter schon richtig sagt. auf realen und unüberlisteten, bzw. ungetäuschten Wegen ist es bisher keinem Programm möglich, verschlüsselte Daten auf Viren zu scannen!!!

Auf die Gefahr, daß ich Verschlüsselung von emails und Sicherheitsprotokolle von Webseiten durcheinander werfe. Kaspersky (bei mir KIS 6.0) erkennt Viren, die über eine verschlüsselte Internetverbindung gedownloadet werden sollen (allerdings mit einigen Sekunden Verzögerung).

http://img66.imageshack.us/img66/7943/ssluf2.png

Wie das geht, weiß ich nicht.

Na ja, wenn ich die Infos aus dem Screnshot richtig gedeutet habe (auf die Schnelle), dann hast du versucht, die angehängte Datei auf den Rechner zu downloaden. Da schlägt (hoffentlich) jeder gute Virenscanner an durch den Realtime-/Echtzeitscan, da eine 'verseuchte Datei auf dem Rechner abgelegt werden soll.

Tja, ich wusste schon, dass ich dass hier

Zitat von "Peter_Lehmann"

Ich denke, dass man einen verschlüsselten Traffic nicht auf Viren untersuchen kann, bleibt unbestritten.

nicht ganz kapiert habe...

Fakt ist, ich habe den testlink angeklickt, aber dem Downloadmanager von Firefox 2 noch keine Zustimmung zum Abspeichern auf meinen PC gegeben sondern nur gewartet. Das ist doch lediglich traffic, oder? :oops:

Zitat von "Amsterdammer"

Fakt ist, ich habe den testlink angeklickt, aber dem Downloadmanager von Firefox 2 noch keine Zustimmung zum Abspeichern auf meinen PC gegeben sondern nur gewartet. Das ist doch lediglich traffic, oder? :oops:

Die Datei wird aber AFAIK bereits im Hintergrund geladen. Wenn man die "Zustimmung zum Abspeichern" erst nach einiger Zeit gibt, sieht man (meine ich), dass der Download bereits begonnen hatte.

Jede anständige AV-Software schlägt da bereits an. Bei mir meldet sich z.B. NOD32 schon definitiv vorher.

Sorry fot theradspam, sind das zwei paar Schuhe?
Die Eicar Datei wird ueber

Zitat

Download Area using the secure, SSL enabled protocol https

angeboten. Wenn ein AV das entschluesseln kann, muss das auch mit SSL verschluesselten Dateien moeglich sein, die via mail-port auf deinen PC gelangen?

Hi,

ich dachte, dass ich das schon erklärt habe ... .
- den TLS/SSL verschlüsselten Traffic kann definitiv den Virenscanner untersuchen. (Dann könnte es ein anderes Programm ... auch)
- Der Endpunkt für die verschlüsselte Verbindung ist (im Normalzustand) dein Mailclient, dein Browser oder ein sonstiges Anwendungsprogramm
- Es wird aber nicht nur ent- und in Senderichtung verschlüsselt, sondern es wird überprüft, ob die Gegenstelle, also der Server des Providers, wirklich authentisch ist. Auch das macht das Anwendungsprogramm. Das sind die bewussten Fehlermeldungen bei einem falschen Servernamen, die Unkundige gern deaktiviert haben möchten ... .
- Jetzt wird das Sicherheitsgateway (ganz allgemein) vor deinen Client bzw. vor das Anwendungsprogramm geschaltet.
- Also handelt dieses Programm jetzt mit dem Server den symm Schlüssel aus und entschlüsselt bereits den Traffic. Jetzt kann er diesen auch scannen, denn er ist ja entschlüsselt.
- Und jetzt ist eben nur noch die Frage, wie es dann zur Applikation weiter geht und wie die Auth-Prüfung ausgewertet wird. Das Gateway kann wieder verschlüsseln (mit einem eigenen Zertifikat ...) und deine Applikation macht auch wieder TLS/SSL (ist bei echten Sicherheitsgateway nicht unüblich), oder es leitet unverschlüsselt weiter (bei lokaler Anwendung auf dem eigenen Rechner, warum nicht?). Die Frage ist, mit welcher Zuverlässigkeit derartige Gateway einen Auth-Fehler an den Client durchreichen. Oder deutlicher: Ob und wie sie einen man-in-the-middle erkennen und an den Bediener melden. Oder vielleicht gar vergessen?

Jetzt sind wir wieder bei der Frage, was mir wichtiger ist? (Aber die hatten wir ja wirklich weiter oben schon ... .)

MfG Peter

Ich gebs auf ...

MfG Peter

Zitat von "Marx_Brother"

... versendeter POP3-Mail

??

Ich sehe immer noch kein Problem, das in der Praxis sicherheitstechnisch relevant ist (abgesehen davon, dass gewünscht wird, dass eine Software meine verschlüsselte Verbindung bepfuschen soll ;))

Zitat von "Peter_Lehmann"

Ich gebs auf ...
MfG Peter

Manche sind eben zäh und beratungsresistent. :wink: