Panda Cloud Antivirus, ein paar Richtigstellungen zum Thema
Dienstag, 29. April 2009, 1:00 Uhr nachts: Panda Security veröffentlicht Panda Cloud Antivirus – den ersten cloudbasierten Virenscanner. 29. April 2009, 14:00 Uhr mittags: Das Internet ist voller Berichte über den neuen Scanner. 30. April 2009, 19:00 Uhr: Ich lese im Internet so viel Blödsinn und Falschaussagen über Cloud Antivirus, dass ich in diesem Posting die Chance nutze einige Punkte richtig zu stellen.
Zuerst ein paar Fakten, die man wissen sollte, bevor man über Panda Cloud Antivirus redet:
1. Panda Cloud Antivirus ist ein Virenscanner, welcher sich momentan im Beta-Stadium befindet.
2. Panda Cloud Antivirus erhebt nicht den Anspruch, die gleichen Funktionen zu erfüllen, wie manche “sogenannten” Antivirus-Suiten, die neben einem Virenscanner gleichzeitig auch eine Firewall mitbringen, ein Backupprogramm enthalten, Verzeichnisse verschlüsseln und sonstige Zaubereien vollbringen, die wahrscheinlich nur von 10% der User genutzt werden. Panda Cloud Antivirus erhebt den Anspruch ein reiner Antivirenscanner zu sein, der durch einen völlig neuen Ansatz in der Bekämpfung und besonders in der zeitnahen Erkennung von Malware brilliert und besonders ressourcenschonend arbeitet.
3. Die “Cloud” hinter Cloud Antivirus ist keine neumodische Erfindung der Marketingabteilung, sondern ein integraler Bestandteil der Panda Produktphilosphie seit 2007. In diesem Jahr wurde eine Technologie namens “Collective Intelligence” geschaffen, welche heute, 2 Jahre später, im Interesse der Anwender ihre Muskeln spielen lässt. Der Begriff “Cloud” plakattiert den Beginn einer neuen Ära in der Art und Weise wie Antivirentechnologie überhaupt noch zielgerichtet Malware erkennen und bekämpfen kann.
Mit diesen drei Punkten im Hinterkopf beginnen wir eine Rundreise durchs Internet, in der ich einige Kommentare aufgreifen werde, die mir beim Surfen aufgefallen sind.
Kommentar auf Heise Security (ansehen)
Welchen Vorteil außer “Buzzword-Compliance” bietet diese Technologie? Meiner Ansicht nach ist der Flaschenhals beim Virenscan die Festplatte, nicht RAM- oder CPU-Leistung. Welchen Sinn macht es dann also die Daten über einen noch größeren Flaschenhals in Form des Netzwerkes zu schicken?
Richtigstellung: Es ist korrekt, in heutigen Systemen beträgt der Datendurchsatz zwischen CPU & RAM etwa das 80-fache zwischen Festplattensystem und dem Rest des Systems! Dies ist besonders gut zu beobachten, wenn man einige IO-Performance-Tests mit einer Ramdisk fährt. Bei der Ressourcennutzung eines Antivirensystems gelten meiner Meinung nach folgende Grundsätze:
1. Je mehr RAM der Scanengine zur Verfügung steht, desto schneller kann die Prüfung durchlaufen.
2. Je schneller die Festplatte arbeitet, desto schneller können die zu scannenden Dateien an die Scanengine zur Verfügung gestellt werden.
3. Je schneller die Daten von der Festplatte der Scanengine und somit der CPU zur Verfügung gestellt werden, desto schneller werden anfallende Scanjobs (unabhängig ob Realtime oder on-demand) abgearbeitet.
Panda Cloud Antivirus liefert hier einen intelligenten Ansatz. Während traditionelle Antivirensysteme jede Datei vollständig von der Festplatte kratzen müssen, um sie anschliessend durch eine aufgeblasene Scanengine prüfen zu lassen, wird bei Cloud Antivirus lediglich ein Hashwert der zu scannenden Datei gezogen, welcher von der Cloud als gut oder böse klassifiziert wird. Somit ist der Client in der Lage mit geringstem Ressourcenaufwand den anfallenden Scanjob zu erledigen. Aufgrund der Tatsache, dass nur ein Hashwert (also ein digitaler Fingerprint) an Panda übermittelt wird, welcher nur wenige Bytes klein ist, muss sich kein Benutzer über die Bandbreite, die von Cloud Antivirus benötigt wird, sorgen. Dass hierbei von einem Flaschenhals die Rede ist (und das Ganze so klingt als würde Cloud Antivirus diesen Weg des Flaschenhalses gehen) ist schlichtweg falsch. Fakt ist: Sowohl Festplatte als auch Prozessor werden enorm entlastet. Die Festplatte muss weniger Daten aufarbeiten und der Prozessor muss die Datei nicht mehr auf Viren prüfen.
Artikel auf Heise.de mit Kommentar Andreas Marx (ansehen)
Der Windows Desktop wurde nach der Installation ungefragt auf einen blauen Hintergrund geändert, die wurde nicht zurückgestellt. Ein Effekt der Remote-Technik? Panda Cloud Antivirus scannt im Vergleich zu aktuellen Vollversion sehr langsam und natürlich benötigte Panda Cloud Antivirus eine aktive Internetverbindung. Während der Arbeit mit dem Rechner wurden ständig Daten ins Internet übertragen.
Richtigstellung: Dass der Windows Hintergrund sich bei der Installation auf blaue Hintergrundfarbe ändert, kann ich persönlich nicht bestätigen. Besonders interessant finde ich persönlich, wie Karl Marx dem Leser mit der Erwähnung einer “Remote-Technik” unterschwellig bewusst machen will Panda würde den Rechner in irgendeiner Art und Weise “fernsteuern”. Es ist richtig, dass Panda Cloud Antivirus eine aktive Internetverbindung benötigt, um seine Stärken auszuspielen. Äusserst fragwürdig finde ich die Tatsache, dass seitens Andreas Marx nicht in einem Satz erwähnt wird, dass dem Benutzer auf diese Weise die Stärke der vollen 24 Millionen Virensignaturen zur Verfügung steht, ohne dass diese lokal den Rechner belasten. Fragwürdig ist für mich auch, weswegen die Notwendigkeit einer aktiven Internetverbindung in einem (für meinen Geschmack) negativ klingendem Ton genannt wird – 9 von 10 Usern haben eine Flatrate und sind im online sobald der Rechner an ist. Für mich persönlich gäbe es keinen Grund mehr meinen Rechner einzuschalten, wenn ich nicht online gehen kann. Wer auf Gottes grüner Erde infiziert sich heutzutage noch über USB oder sonstige Datenträger – ja ich weiss, es ist nach wie vor möglich aber jetzt mal Hand aufs Herz! Als das das letzte Mal passiert ist gehörten 1.4MB Disketten noch zum absoluten Renner, ich lach mich gleich kaputt! Jeder, der heute Malware programmiert, tut das aus finanziellem Interesse und visiert eine schnelle Verbreitung durch das Internet an, insofern ist dieser Weg der Infektion mehr oder minder vernachlässigbar. Ausserdem werden Viren von jedem On Access Scanner identifiziert, sobald diese auf die Festplatte geschrieben werden. Im letzten Satz sei noch erwähnt, dass ständig Daten ins Internet übertragen werden: Logisch, es handelt sich um Cloud-Technologie. Wobei hierbei noch anzumerken sei, dass das Trafficaufkommen so gering ist, dass man es in keinster Weise merkt.
Kommentar im Diskussionforum auf PCGamesHardware #1 (ansehen)
Das Prinzip ist ja, dass alle potentiell verdächtigen Dateien ins Internet hochgeladen und dort geprüft werden. Findet ihr es gut, wenn ein Programm wahllos Dateien von eurer Platte auf fremde Server im Internet verteilt?
Richtigstellung: Verstehe die Aufregung nicht. Auch jeder traditionelle Antivirenscanner hat eine Uploadfunktion, die den Hersteller mit Beispieldateien versorgt, die Malware enthalten. Wenn mich nicht alles täuscht haben alle Hersteller auch eine Option, die es ermöglicht einzustellen, ob Uploads zum Hersteller aktiviert sind oder nicht. Panda Cloud Antivirus hat natürlich auch diese Option, man muss nur mal die Äuglein öffnen:
Kommentar im Diskussionforum auf PCGamesHardware #2 (ansehen)
Wenn ein Hersteller schreibt “100 mal schneller”, dann geht das ok, denn zum einen ist es halt Werbung und zum andern wäre “100 mal schneller als Antivir” (zum Beispiel) vergleichende Werbung und damit nicht zulässig. Wenn ein Newsmagagazin diesen Schwachsinn aber unreflektiert wiederholt, dann ist das ist einfach nur armselig. Reißerische Überschriften generieren sicherlich kurzfristig mehr Klicks, langfristig gehen aber Leser verloren, die sich dieses Niveau nicht zumuten wollen.
Richtigstellung: Die Äusserung 100x schneller zu sein, hätte etwas weiter beschrieben werden müssen. Zum Verständnis: Die hundertfache Beschleunigung bezieht sich auf die Zeit, die zwischen dem ersten Befund einer neuen Infektion und der allgemeinen Verfügbarkeit einer Desinfektionsroutine vergeht. Jede Infektion wird sofort an die Collective Intelligence berichtet und jeder Client stellt essentielle Informationen bereit, die Auskunft darüber geben, wie die neue Malware funktioniert. Diese Informationen können von einem Hochgeschwindkeitsserver sehr schnell bearbeitet werden, sodass die Zeit von der Infektion bis zur Desinfektionsroutine um Faktor 100 verkürzt wird. Eigenen Angaben zu Folge erhält Panda Security täglich 35.000 neue Dateien, die auf diesem Wege bearbeitet werden müssen. Ich glaube spätestens hier wird jedem klar, weshalb es so enorm wichtig ist von der manuellen Analyse (es gibt tatsächlich Entwickler, die Malware analisieren) wegzukommen. Das Aufkommen lässt sich anders gar nicht mehr abarbeiten.
Alles in einem ist mit der Cloud Technologie Panda ein zukunftsweisender Schachzug gelungen. Obgleich sich doch so viele Leute negativ über die Software äussern, stelle ich doch fest, was viele offensichtlich übersehen haben:
Verglichen wird bis Dato nämlich noch nach foldendem Schema:
Panda Cloud Antivirus (noch im Beta-Stadium) vs. [Irgendein Anbieter] (Final)
Kopfnotiz: Panda geht zukunftsweisende Wege und steckt technologisch die Konkurrenz in die Tasche. *Kopfnotiz Ende*
Ich frage mich gerade, wie [Irgendein Anbieter] aussieht sobald es heisst:
Panda Cloud Antivirus (!!Final!!) vs. [Irgendein Anbieter] (Final)
Kopfnotiz bitte jeder für sich… :-)
marcO schreibt:
Endlich mal einer der das gerade zieht!
3.5.2009 um 19:36
giantghost schreibt:
Dieser Kommentar ist das Beste, was ich bislang zum Thema “Panda Cloud Antivirus” gelesen habe. Er räumt auf mit unqualifizierten Beiträgen zu diesem Thema. Einfacher geht es wirklich nicht. Mir scheint das die Zukunft zu sein.
17.5.2009 um 10:26
Anar schreibt:
Ich hab an folgender Stelle aufgehört zu lesen:
“Während traditionelle Antivirensysteme jede Datei vollständig von der Festplatte kratzen müssen, um sie anschliessend durch eine aufgeblasene Scanengine prüfen zu lassen, wird bei Cloud Antivirus lediglich ein Hashwert der zu scannenden Datei gezogen, welcher von der Cloud als gut oder böse klassifiziert wird.”
Ach, und so ein Hashwert errechnet sich ganz ohne das die Datei gelesen werden müsste? Einfach nur schwach …
13.7.2009 um 21:54
Peter Piksa schreibt:
Hallo Anar,
halt dich mal zurück. Eine Datei zu lesen und dann einen MD5 Hash zu errechnen ist im Gesamtergebnis mit weniger Arbeit verbunden als: Signaturdatei von der Platte kratzen, diese in den Speicher lesen, Scandatei von der Platte lesen und diese durch die Signaturdatei zwecks Filterung zu prügeln.
Also, setz dich wieder hin und sei nicht so vorlaut mit deinem “einfach nur schwach”.
13.7.2009 um 22:04
Anar schreibt:
FYI:
http://www.rokop-security.de/index.php?showtopic=18926&st=0#entry279767
13.7.2009 um 22:33
Anar schreibt:
Wieder schwach …
“Eine Datei zu lesen und dann einen MD5 Hash zu errechnen ist im Gesamtergebnis mit weniger Arbeit verbunden als”
Als ob es nur eine MD5 Hash wäre. So naiv kannst Du gar nicht sein. Im Normalfall werden bei Clouds CTPHs benutzt statt cryptographischer Hashes. Die Berechnung eines CTPHs ist dabei rechenintensiver als bei z.B. MD5. Teilweise sogar rechenintensiver als der Scan durch eine lokale AV Engine (wobei das stark von der Engine und der Datei abhängt natürlich).
“Signaturdatei von der Platte kratzen, diese in den Speicher lesen”
Auch Cloud AVs haben Signaturdatenbanken. Dort heißen sie Caches. Auch die müssen von der Platte gekratzt und in den Speicher gelesen werden.
“Scandatei von der Platte lesen”
Auch da muss ein Cloud AV durch. Wobei moderne AV Engines keine kompletten Dateien lesen, sondern nur die wirklich notwendigen Bereiche. Für einen cryptographischen Hash müsste man die Datei übrigens vollständig lesen.
“diese durch die Signaturdatei zwecks Filterung zu prügeln”
Prinzipiell wird so eine Datei nicht durch die Signaturdatei geprügelt, aber das wäre Haarspalterei. Interessanter Weise dauert dieses durchprügeln bei modernen Engines und bei sauberen Dateien im Schnitt nur einige wenige Millisekunden. In der Zeit sind deine Hashes im Normalfall noch nicht mal in der Cloud angekommen, geschweige denn ein Ergebnis ist zurück auf dem Weg zu Dir.
13.7.2009 um 22:45
Welat schreibt:
@Anar
Ok da hat einer mal gelesen was ein Hashwert ist oder sein kann. Du sprichst auch von CloudAvs, wie viele kennst Du denn, mal so als Gegenfrage? Aufgrund Deiner Aussagen liegt die Vermutung nahe, dass Du es nicht getestet hast sondern einfach glaubst, es besser zu wissen. Ich meine es handelt sich hier um ein kostenloses Programm *Halloooo*, welches deutlich höhere Erkennungsraten bietet als manche Kaufversion. Zum Abschluss frage ich mich, wie Paranoid man sein kann um zu glauben, dass die Jungs bei Panda darauf warten das die Millionen Rechner in der Cloud Ihnen Dateien senden…. Joaaaa das macht Sinn, findet ja auch keiner raus und ist gut fürs Image.
13.7.2009 um 23:15
Holger schreibt:
Panda Cloud Antivirus, ein paar Richtigstellungen zum Thema
Ich danke sehr für die ausführliche Info.
gruß Holger
User http://www.computerguard.de
14.7.2009 um 0:55
Anar schreibt:
“Du sprichst auch von CloudAvs, wie viele kennst Du denn, mal so als Gegenfrage”
Reine Cloud AVs neben Panda:
PrevX, HitMan Pro
Ansonsten gibts noch einige klassische AVs, die zum Teil durch eine Cloud gestützte Erkennung versuchen die Reaktionszeiten auf neue Malware zu vermindern. Artemis von McAfee wäre da z.B. zu nennen.
“Aufgrund Deiner Aussagen liegt die Vermutung nahe, dass Du es nicht getestet hast sondern einfach glaubst, es besser zu wissen.”
Ich hab es wahrscheinlich ausführlicher getestet, als Du oder der Ersteller des Blogeintrags. Als an der Materie interessierter und – zugegeben – paranoider Mensch, hab ich dabei nicht nur installiert und geschaut obs funktioniert oder mal ein paar Samples gestartet, sondern den kompletten Client reverse engineered.
“Ich meine es handelt sich hier um ein kostenloses Programm”
Nur weil ein Programm kostenlos ist, darf man nicht kritisch über die Anwendung urteilen? Ich bitte Dich …
“*Halloooo*, welches deutlich höhere Erkennungsraten bietet als manche Kaufversion.”
Beweis für diese Aussage? Scan Logs? Tests? Irgendwie steht die Aussage im Konflikt zu den Ergebnissen diverser anerkannter Tester und auch im Konflikt zu meinen eigenen Erfahrungen und Tests.
“Zum Abschluss frage ich mich, wie Paranoid man sein kann um zu glauben, dass die Jungs bei Panda darauf warten das die Millionen Rechner in der Cloud Ihnen Dateien senden…. Joaaaa das macht Sinn, findet ja auch keiner raus und ist gut fürs Image.”
Genau genommen kann der Client bereits Dateien in die Cloud senden zur Analyse, falls er meint sie sei verdächtig, sie innerhalb der Cloud allerdings noch unbekannt ist. Davon wird auch rege Gebrauch gemacht. Allerdings ist das absolut nichts verwerfliches, da mittlerweile viele Anti-Malware Anwendungen mit so einem Mechanismus arbeiten (wahrscheinlich ohne das die Leute dies bewusst wahrnehmen).
Wie Dir aufgefallen mag, kritisiere ich ja auch nicht das Verhalten, daß etwas verschickt wird oder gar die Cloud basierende Erkennung an sich. Ich zeige nur die Denkfehler innerhalb des Blogposts auf, die zu Hauf vorhanden sind.
14.7.2009 um 13:06
Peter Piksa schreibt:
Hallo Anar,
nachdem ich nun heute auf der Rückfahrt von meinem Büro bis zu meiner Wohnung darüber nachgedacht habe, was eigentlich deine Motivation sein könnte hier so herumzumosern, stelle ich nun fest, dass es dir also darum geht, auf Denkfehler aufmerksam zu machen, die in meinem ursprünglichem Blogpost scheinbar zu Hauf vorhanden sind.
Nun gut, ich beziehe Stellung zu deinen Äusserungen.
Zitat Anar: “Als ob es nur eine MD5 Hash wäre. Im Normalfall werden bei Clouds CTPHs benutzt statt cryptographischer Hashes. Die Berechnung eines CTPHs ist dabei rechenintensiver als bei z.B. MD5. Teilweise sogar rechenintensiver als der Scan durch eine lokale AV Engine (wobei das stark von der Engine und der Datei abhängt natürlich).”
Ob nun ein Verfahren wie MD5, CRC oder eine wie auch immer geartete CTPH-Implementation genutzt wird, erscheint mir in diesem Zusammenhang eine stark vernachlässigbare Rolle zu spielen. Du wirst mir sicherlich Recht geben, dass jemand (ich) der in diesem Beitrag die Funktionsweise von CloudAV erklärt, gut daran tut, im Interesse eines möglicherweise nicht sehr versierten Interessenten dieses Beitrags auf unnötige Details zu verzichten. Aus der Familie der Hashes sind MD5 und CRC die sicherlich bekanntesten – somit besteht der Mehrwert darin, diesen als Beispiel zu nennen. Welcher Hashalgorithmus letzten Endes im Produkt verwendet wird, spielt zum Schluss keine Rolle, sofern dieser seine eigentliche Funktion erfüllt.
Zitat Anar: “Auch Cloud AVs haben Signaturdatenbanken. Dort heißen sie Caches. Auch die müssen von der Platte gekratzt und in den Speicher gelesen werden.”
Ja auch CloudAV arbeitet mit einer Minisignatur. In dieser Signatur befinden sich die laut unseren Labs zur Zeit am häufigsten verbreiteten Viren. Obgleich wir kommunizieren ohne Signatur auszukommen, packen wir diesen Schutz dennoch dabei, damit der Anwender auch bei offlinebetrieb einen rudimentären Schutz gegen die akuten Gefahren erfährt. Der benötigte Aufwand um diese Mini-Signaturdatei zu laden ist verglichen mit einer Standard-Signaturdatei total vernachlässigbar und somit erkenne ich Dein Gegenargument nicht an.
Zitat Anar: “Auch da muss ein Cloud AV durch. Wobei moderne AV Engines keine kompletten Dateien lesen, sondern nur die wirklich notwendigen Bereiche.”
Wobei wir wieder beim Thema CTPH wären. Der Kern liegt doch darin begründet, dass ich eine im Internet hinlänglich als Malware bekannte Datei anhand eines Hashes identifizieren kann. Wenn ich dies kann, muss ich keinen Prozess anwenden, der mehr Ressourcen erfordert, die Bildung eines Hashes erfordern würde.
Zitat Anar: “Für einen cryptographischen Hash müsste man die Datei übrigens vollständig lesen.”
Dieser Punkt wurde bei meiner Argumentation stets beachtet. Im Übrigen ist dies keine grosse Neuigkeit.
Zum Abschluss:
Ich finde den Wahrheitsgehalt in der Aussage Deiner eigentlichen Intention (“Auf Denkfehler aufmerksam machen.”) äusserst fragwürdig.
Wenn ich mir in diesem Zusammenhang deine Wortwahl bei Rokop vor Augen halte, erhärtet sich mein Eindruck, dass es dir im Wesentlichen nur darum geht
a.) zu haten. Du bist einfach ein paranoider Hater, mehr nicht.
b.) dich zu profilieren. Wahrscheinlich versuchst Du Dir einen Namen zu machen oder der Welt nahezulegen welch Genius in dir verborgen ist.
c.) die Software schlechtzureden, was Dich jedoch auch nicht weiter von denen differenziert, die schon im Jahr 2004 TruPrevent nicht verstanden haben.
Bei Rokop pikierst Du Dich darüber, dass ich in meinem Beitrag den Flaschenhals Festplatte erwähne, ohne darüber zu sprechen, dass bei dieser Software der Fokus auf OnExecution steckt – kurz darauf erscheint urplötzlich Dein Resumé die Netzwerklatenz würde CloudAV im Vergleich zum traditionellen signaturbasiertem Scan performancetechnisch den Nacken brechen. In deiner Antwort an Welat forderst du Scanlogs, Testergebnisse… Ich sage dir eins: Wäre ich an weiterem Input (respektive “Output”) Deinerseits interessiert, würde ich Dich wahrscheinlich darum bitten, Deine persönlichen Scanlogs und Testergebnisse zu präsentieren, die im Angesicht deiner Reverse-Engineering-Affinität ja sicherlich en Mass vorhanden sind… aber – und damit beende ich meine Antwort und dieses Gespräch mit Dir – ehrlich gesagt interessieren mich angesichts Deiner agressiven CloudAV-ist-ja-so-schlecht-Haltung Du, Dein paranoides Gesülze, sowie Deine eventuell vorhandenen Ergebnisse einen feuchten Taubenschiss.
Und jetzt los, lauf und hate ruhig weiter in allen Foren dieser Welt! Und richte dem Benutzer “Genußmensch” von Rokon mal aus, dass er richtig recherchiert hat – zumindest was meine Firmenzugehörigkeit angeht, auf die ich stolz bin. Was den Punkt, ob unsere Software überzeugen konnte angeht… frag die vielen Tausend Anwender, die vor Wochen Beta 1 geladen haben heute die Beta 2 pumpen.
Ich will im Grunde nur die Quintessenz meines ursprünglichen Blogposts wiederholen:
“Wenn man kritisiert wird, heißt das man macht was richtig, denn man wird nur angegriffen, wenn man den Ball hat!” (Zitat Bruce Lee)
Das wirst auch Du bald verstehen und schreiben “ooh, Panda hat die beste Engine!”. Und weisst Du weswegen ich in diesem Punkt so zuversichtlich bin? Weil auf jeden Hater wie Dich, täglich sieben Leute kommen und mir am Telefon erzählen, wie toll die CloudAV, die 2010er Reihe oder unsere neu aufgelegte Version der Enterprise ist.
14.7.2009 um 19:16
Anar schreibt:
“Ob nun ein Verfahren wie MD5, CRC oder eine wie auch immer geartete CTPH-Implementation genutzt wird, erscheint mir in diesem Zusammenhang eine stark vernachlässigbare Rolle zu spielen.”
Nicht wirklich. Ich hab die Aussage dahingehend kritisiert, daß Du mit Deiner Aussage versucht hast zu suggerieren, die Erstellung der Hashes würde weniger “Arbeit” machen, als eine Datei durch eine Engine zu jagen. Die Aussage ist so schlichtweg nicht richtig.
“Du wirst mir sicherlich Recht geben, dass jemand (ich) der in diesem Beitrag die Funktionsweise von CloudAV erklärt, gut daran tut, im Interesse eines möglicherweise nicht sehr versierten Interessenten dieses Beitrags auf unnötige Details zu verzichten.”
Da geb ich Dir durchaus recht. Nicht tollerierbar ist allerdings die Verbreitung von Falschinformationen.
“Welcher Hashalgorithmus letzten Endes im Produkt verwendet wird, spielt zum Schluss keine Rolle, sofern dieser seine eigentliche Funktion erfüllt.”
Er spielt dann eine Rolle wenn Du die Systembelastung vergleichen willst, was Du getan hast.
“Ja auch CloudAV arbeitet mit einer Minisignatur. In dieser Signatur befinden sich die laut unseren Labs zur Zeit am häufigsten verbreiteten Viren. Obgleich wir kommunizieren ohne Signatur auszukommen, packen wir diesen Schutz dennoch dabei, damit der Anwender auch bei offlinebetrieb einen rudimentären Schutz gegen die akuten Gefahren erfährt. Der benötigte Aufwand um diese Mini-Signaturdatei zu laden ist verglichen mit einer Standard-Signaturdatei total vernachlässigbar und somit erkenne ich Dein Gegenargument nicht an.”
Du übersiehst einen wichtigen Faktor. Es ist nicht so als würde eine Signaturdatenbank bei jedem Start neu geparsed werden. Moderne AV Engines (und die Panda Engine gehört übrigens dazu) parsed die DB nur einmal und das Ergebnis wird gecached. Während das komplette Aufbauen der Suchbäume wahrscheinlich nicht unerheblich viel Zeit benötigen würde, ist das simple Einlesen bereits geparster Bäume trivial und schnell erledigt.
“Wobei wir wieder beim Thema CTPH wären. Der Kern liegt doch darin begründet, dass ich eine im Internet hinlänglich als Malware bekannte Datei anhand eines Hashes identifizieren kann. Wenn ich dies kann, muss ich keinen Prozess anwenden, der mehr Ressourcen erfordert, die Bildung eines Hashes erfordern würde.”
Auch hier ging es mir darum Deine Falschaussage richtig zu stellen. AV Engines lesen keine vollständigen Dateien, entgegen Deinen Behauptungen.
Davon abgesehen sollte man sich auch bewusst machen, daß CTPHs bzw. Hashes allgemein ihre Grenzen haben. Die wohl wichtigste Grenze ist, daß sie anfällig sind, wenn die Malware sich verändert. Natürlich gibt es bei ungenauen Hashes (wie CTPHs) eine gewisse Tolerzanz in denen Änderungen akzeptiert werden. Polymorphe oder gar Metamorphe Malware damit zu erkennen, halte ich allerdings für außerordentlich schwierig. Wer glaubt Polymorphie sei nicht mehr relevant, sollte sich die Verbreitungsstatistiken von Virut vor Augen führen.
“Dieser Punkt wurde bei meiner Argumentation stets beachtet. Im Übrigen ist dies keine grosse Neuigkeit.”
Wieder möchte ich Dich auf Dein Geschriebenes hinweisen: “Die Festplatte muss weniger Daten aufarbeiten”. Damit sagst Du ein Cloud AV würde weniger Daten lesen müssen, was schlichtweg nicht wahr ist.
“a.) zu haten. Du bist einfach ein paranoider Hater, mehr nicht.”
Mal davon abgesehen, daß ich es schade finde das Du zu persönlichen Angriffen greifst, möchte ich Dich darauf hinweisen, daß mein “Hass” weder unbegründet noch in Vorurteilen begründet liegt – zwei Grundvorraussetzungen um sich als Hater beschreiben lassen zu können.
“b.) dich zu profilieren. Wahrscheinlich versuchst Du Dir einen Namen zu machen oder der Welt nahezulegen welch Genius in dir verborgen ist.”
Meinst Du nicht, daß ich dann eher meinen normalen Namen benutzen würde? Anar hat jetzt nicht unbedingt einen Widererkennungswert und wäre ausserhalb von Rokop irgendwo bekannt und selbst bei Rokop les ich meist nur mit statt zu schreiben.
“Bei Rokop pikierst Du Dich darüber, dass ich in meinem Beitrag den Flaschenhals Festplatte erwähne, ohne darüber zu sprechen, dass bei dieser Software der Fokus auf OnExecution steckt”
Mein Einwand ist, daß du in Deinem Blog Äpfel mit Birnen vergleichst. Natürlich bremst ein Cloud AV deutlich weniger als ein normales AV. Das liegt primär aber daran, daß ein AV für gewöhnlich einen OnAccess Scan benutzt und alle Dateien bei Zugriff scannt im Gegensatz zu den meisten Cloud AVs, die Anwendung nur bei ihrer Ausführung beurteilen (und ja, das ist übersimplifiziert … mir ist bewusst, daß Cloud AVs im Normalfall auf das Mappen von Dateien reagieren statt explizit Programmstarts zu überwachen, es ist aber vom Scanaufkommen nicht vergleichbar mit echtem OnAccess). Bring das klassische AV dazu OnExecution Scans zu benutzen und Du wirst Dich wundern wie schnell plötzlich alles ist.
“kurz darauf erscheint urplötzlich Dein Resumé die Netzwerklatenz würde CloudAV im Vergleich zum traditionellen signaturbasiertem Scan performancetechnisch den Nacken brechen.”
Und dazu steh ich auch. Eine normale, nicht infizierte Datei via Cloud zu scannen dauert länger als sie lokal zu scannen.
“ehrlich gesagt interessieren mich angesichts Deiner agressiven CloudAV-ist-ja-so-schlecht-Haltung Du, Dein paranoides Gesülze, sowie Deine eventuell vorhandenen Ergebnisse einen feuchten Taubenschiss.”
Ich habe grundsätzlich von Cloud AVs gesprochen (Plural). Nicht explizit vom Panda Produkt. Und ich betone nochmals: Clouds sind toll. Aber nicht der Stein der Weisen als der sie verkauft werden sollen (in deinem Blog Posting z.B.).
“Und richte dem Benutzer “Genußmensch” von Rokon mal aus, dass er richtig recherchiert hat – zumindest was meine Firmenzugehörigkeit angeht, auf die ich stolz bin.”
Ich möchte hier erwähnen, daß ich zu keinem Zeitpunkt Deine Firmenzugehörigkeit als Problem oder Grund für dieses Posting angesehen habe und es weder hier noch sonst irgendwo als Argument gegen die Relevanz des Blogpostings angeführt habe. Meiner Ansicht nach wäre es ein schwaches Argument zu sagen: “Ja, der Post ist doof weil der arbeitet für die!”.
“Was den Punkt, ob unsere Software überzeugen konnte angeht… frag die vielen Tausend Anwender, die vor Wochen Beta 1 geladen haben heute die Beta 2 pumpen.”
Ein quantitatives Argument ist ein schlechtes Argument … “Millionen Fliegen können nicht lügen! Esst mehr Scheiße!” (und nein damit möchte ich nicht suggerieren das Pandas Cloud AV Scheiße sei, sondern die Absurdität quantitativer Argumente zur Schau stellen).
“”Wenn man kritisiert wird, heißt das man macht was richtig, denn man wird nur angegriffen, wenn man den Ball hat!” (Zitat Bruce Lee)”
Wobei man beachten sollte was ich kritisiert hab. Ich hab die inhaltlichen Unzulänglichkeiten Deines Posts kritisiert, nicht das Produkt als solches (zumindest nicht hier).
“Das wirst auch Du bald verstehen und schreiben “ooh, Panda hat die beste Engine!”.”
Wohl kaum. Technisch gesehen ist die AV Engine (und damit meine ich nicht die Cloud AV Engine) eher Mittelmaß. Aber ich hab ja Hoffnung, daß sich das ändert.
“Und weisst Du weswegen ich in diesem Punkt so zuversichtlich bin? Weil auf jeden Hater wie Dich, täglich sieben Leute kommen und mir am Telefon erzählen, wie toll die CloudAV, die 2010er Reihe oder unsere neu aufgelegte Version der Enterprise ist.”
Bedeutet nur 87.5% eurer Kunden sind vom Produkt überzeugt? Wenn man sich damit zufrieden gibt, ist es kein Wunder, wieso die Firma seit ihrem Bestehen nur Produkte im qualitativen Mittelmaß präsentiert (und ja, das ist das erste Mal das ich explizit gegen Panda geschossen hab).
14.7.2009 um 20:21
Peter Piksa schreibt:
Zitat Anar: “Da geb ich Dir durchaus recht. Nicht tollerierbar ist allerdings die Verbreitung von Falschinformationen.”
Die in der BRD allgemein anerkannte Prüfstelle für Informationen hat gesprochen!
Zitat Anar: “Er spielt dann eine Rolle wenn Du die Systembelastung vergleichen willst, was Du getan hast.”
Ich habe in meinem Blogeintrag festgestellt, dass der Panda CloudAV, welcher sich zum Zeitpunkt meines Blogposts in der Beta 1 Phase befand, von vielen Seiten mit Final-Software anderer Hersteller verglichen wird. Du verrennst Dich ständig weil du nicht aufmerksam liesst.
Zitat Anar: “Auch hier ging es mir darum Deine Falschaussage richtig zu stellen. AV Engines lesen keine vollständigen Dateien, entgegen Deinen Behauptungen.”
Du verstehst es nicht. Stichwort: “Vereinfachung des Sachverhaltes um dem nicht zu sehr versiertem Interessenten das Thema verständlich aufzubereiten”.
Zitat Anar: “Davon abgesehen sollte man sich auch bewusst machen, daß CTPHs bzw. Hashes allgemein [...]“ *Unterbrechung* Mach nicht wieder ein neues Fass auf. Verweis auf “Du verrennst Dich.”
Zitat Anar: “Mal davon abgesehen, daß ich es schade finde das Du zu persönlichen Angriffen greifst, [...]“
Wenn Du dich hierdurch angegriffen fühlst, nehme ich das als Eingeständnis der Tatsache wahr, dass du mal wieder vom Thema ablenken (dich verrennen) willst. Soweit ich mich recht entsinne, hast Du dich bei Rokon in abfälliger Weise über den angeblich so geringen Sachverstand des Autors ausgelassen. Da gibt es doch so ein Sprichwort mit Steinen im Glashaus…
Zitat Anar: “Mein Einwand ist, daß du in Deinem Blog Äpfel mit Birnen vergleichst.”
Bitte drückt jemand den Repeat-Button.. Ich habe mich darauf bezogen, dass andere Leute unsere Beta mit Finals anderer Hersteller vergleichen.
Zitat Anar: “Bedeutet nur 87.5% eurer Kunden sind vom Produkt überzeugt?”
Zunächst wollte ich deine Rechnung mal ad absurdum führen, zumal sie sich nicht auf meine Aussage bezieht, aber ich traue meinen Lesern zu diese Transferleistung auch selbst zu erbringen.
Zitat Anar: “Wenn man sich damit zufrieden gibt, ist es kein Wunder, wieso die Firma seit ihrem Bestehen nur Produkte im qualitativen Mittelmaß präsentiert (und ja, das ist das erste Mal das ich explizit gegen Panda geschossen hab).”
Juhu, morgen rufen mich wieder sieben Leute an, die eine andere Meinung haben! :-)
14.7.2009 um 21:15
Anar schreibt:
Ich merke neben Deiner Veranlagung, daß Du es mit der Wahrheit (zahllose technisch belegbare Beispiele habe ich geliefert) nicht so genau nimmst, hast Du auch ein Problem mit Konsequenz. War nicht eigentlich EOD für Dich?
“Ich habe in meinem Blogeintrag festgestellt, dass der Panda CloudAV, welcher sich zum Zeitpunkt meines Blogposts in der Beta 1 Phase befand, von vielen Seiten mit Final-Software anderer Hersteller verglichen wird. Du verrennst Dich ständig weil du nicht aufmerksam liesst.”
Ich bin nicht der einzige mit einer Leseschwäche. Ich hab das Credo Deines Postings (Beta mit Final Software vergleichen) niemals angesprochen, sondern Deine Begründungen als falsch demaskiert. Ich stimme sogar vollends damit überein, daß ein Vergleich völlig sinnbefreit ist und unterm von Dir verlinkten Heise Beitrag gibts sogar einen Post von mir indem ich dies zum Ausdruck bringe ;). Ebenfalls ersichtlich wird meine diesbezügliche Haltung in meinem Kommentar in Bezug auf das Cleaning, daß derzeit eher schlecht ausfällt, man in Anbetracht des Beta Stadiums aber darüber hinweg sehen sollte.
“Du verstehst es nicht. Stichwort: “Vereinfachung des Sachverhaltes um dem nicht zu sehr versiertem Interessenten das Thema verständlich aufzubereiten”.”
Es gibt einen Unterschied zw. Simplifizierungen und Falschaussagen. Du hättest dem User erklären können, daß ein Cloud AV (beachte den unbestimmten Artikel – nicht bezogen auf Panda) Dateien während ihrer Ausführung scannt statt beim Zugriff und sich dadurch eine geringere Systembelastung bei gleichem Schutzfaktor ergibt. Statt dessen führst Du wissentlich (ich setze vorraus das Panda Produkt Manager grundlegende Kenntnisse über die Arbeitsweise ihrer Produkte haben) falsche Vergleiche vor.
“Wenn Du dich hierdurch angegriffen fühlst, nehme ich das als Eingeständnis der Tatsache wahr, dass du mal wieder vom Thema ablenken (dich verrennen) willst.”
Eher ein Zeichen der Enttäuschung.
“Soweit ich mich recht entsinne, hast Du dich bei Rokon in abfälliger Weise über den angeblich so geringen Sachverstand des Autors ausgelassen.”
Ich habe die Aussage mit dem USB Stick als Schwachsinn bzw. den Autor des Postings als Urheber solchen Schwachsinns ausgelacht. Weil ganz ehrlich, daß Beispiel ist in Anbetracht von Conficker ein ziemlicher Griff ins Klo.
“Zunächst wollte ich deine Rechnung mal ad absurdum führen, zumal sie sich nicht auf meine Aussage bezieht, aber ich traue meinen Lesern zu diese Transferleistung auch selbst zu erbringen.”
Schade, hätte mich gefreut. Bin für Mathespielchen immer zu haben.
“Juhu, morgen rufen mich wieder sieben Leute an, die eine andere Meinung haben!”
Und einer der Deine Produkte nicht mag.
14.7.2009 um 21:42
rbedy schreibt:
tja, kollege anar ist von der konkurrenz, daher sollte man sein pseudointelligentes geschwafel nicht für bare münze nehmen.
weiter so, panda!
14.7.2009 um 23:20
Anar schreibt:
Kannst Du die Aussage auch belegen?
15.7.2009 um 20:46
Peter Piksa schreibt:
Muss er garnicht. Vollkommen unabhängig davon, ob Du bei einem Konkurrenten von Panda Security bist, bleibt doch eines sicher: Du bist voller Ressentiments und fährst ganz miese Praktiken auf, wie deine Verleumdungsaktion bei Rokon eindrucksvoll beweist. Echt lächerlich. Genau wie deine selbstgefälligen Rechtfertigungen und Ausflüchte. Du bist einfach nur unglaubwürdig und ich bemitleide dich fast schon ein wenig weil Du in meinen Augen so peinlich versuchst mit deinem Kopf durch die Wand zu stossen.
Noch am 30.04.2009 hast du bei Rokon geschimpft der Gedanke AV-Software im Rahmen einer Cloudtechnologie anzubieten, sei Schwachsinn. Siehe hierzu Dein Kommentar.
Dort heisst es, Zitat Anar: “Man muss die Software nicht mal testen. Es ist eine ziemlich dämliche Idee (genau wie Echtzeit Java Programmierung wink.gif) Cloud Computing zur Malware Erkennung zu nutzen – sofern es denn Cloud Computing ist was sie einsetzen. Alleine die datenschutztechnischen Bedenken sind enorm. Von der Performance bei etwas schlechterer Verbindung ganz zu schweigen.”
Hier im Blog betonst jedoch, Zitat Anar: “Ich habe grundsätzlich von Cloud AVs gesprochen (Plural). Nicht explizit vom Panda Produkt. Und ich betone nochmals: Clouds sind toll.”
Mal heisst es “Hüh”, wenig später heisst es “Hot”.. was denn nun? Und fang jetzt bitte bloss nicht wieder an Dich zu rechtfertigen. Ich empfinde das langsam echt als Belästigung eines armseeligen Haters.
Und noch eine Bitte: Wenn Du schon anfängst Verleumdungen auszusprechen, hab bitte auch die Courage dies unter deinem echten Namen inkl. Angabe Deiner Adresse zu tun. Bin mal gespannt, ob Du dann immernoch so offen zu dem stehst, was Du hier & bei Rokon im Schutze der Anonymität so von dir gibst. Es gibt Leute wie mich, die zu dem stehen, was Sie tun. Dafür stehe ich auch mit meinem Namen und jeder, der diese Zeile liesst, kann im Impressum nachsehen, wie ich zu erreichen bin. Mein Xing Profil ist ebenfalls ungekürzt online.
Noch etwas. Ich verstehe mein Blog nicht als ein öffentliches Pissoir in dem sich Leute ausgiessen dürfen, die woanders (Rokon) auch schon mehrfach angeeckt sind.
Sollte Dir dennoch daran gelegen sein dich hier erneut zu produzieren, bitte ich Dich dies unter Angabe Deiner Personalien zu tun – dann können wir ja mal sehen, wie authentisch Du bist. Anderenfalls kannst Du Dir einen weiteren Kommentar sparen. Ehrlich, ich bin deiner überdrüssig!
15.7.2009 um 22:45
Anar schreibt:
“Muss er garnicht.”
Achja, hier ist es ja üblich Behauptungen ohne Belege zu posten.
“Du bist voller Ressentiments und fährst ganz miese Praktiken auf, wie deine Verleumdungsaktion bei Rokon eindrucksvoll beweist.”
Verleumdungsaktion? Welcher Art? Die ST-Geschichte? Möchtest Du das etwa bezweifeln?
“Du bist einfach nur unglaubwürdig und ich bemitleide dich fast schon ein wenig weil Du in meinen Augen so peinlich versuchst mit deinem Kopf durch die Wand zu stossen.”
Wie wäre es, wenn Du statt weiter persönlich zu werden einfach die faktischen Fehler, die vorhanden sind korrigierst?
“Mal heisst es “Hüh”, wenig später heisst es “Hot”.. was denn nun? Und fang jetzt bitte bloss nicht wieder an Dich zu rechtfertigen. Ich empfinde das langsam echt als Belästigung eines armseeligen Haters.”
Stimmt … fast 3 Monate sind viel zu wenig Zeit seine Meinung zu ändern. Ich bin dazu in der Lage Fehleinschätzungen einzusehen und mein Urteil zu revidieren. Bist Du es?
“Wenn Du schon anfängst Verleumdungen auszusprechen, hab bitte auch die Courage dies unter deinem echten Namen inkl. Angabe Deiner Adresse zu tun.”
Du hast Mail.
“Dafür stehe ich auch mit meinem Namen und jeder, der diese Zeile liesst, kann im Impressum nachsehen, wie ich zu erreichen bin. Mein Xing Profil ist ebenfalls ungekürzt online.”
Jeder der wissen möchte wie ich heiße kann mich fragen. Als Paranoiker bin ich sehr vorsichtig damit was von Crawlern indiziert werden kann und was nicht.
“Ich verstehe mein Blog nicht als ein öffentliches Pissoir in dem sich Leute ausgiessen dürfen, die woanders (Rokon) auch schon mehrfach angeeckt sind.”
Wenn Du keine Diskussion wünscht, schalt die Kommentarfunktion ab. Übrigens … zuerst dachte ich es sei ein Tippfehler, aber es heißt Rokop.
“Anderenfalls kannst Du Dir einen weiteren Kommentar sparen. Ehrlich, ich bin deiner überdrüssig!”
Entfern die inhaltlichen Unzulänglichkeiten deines Blogposts und du siehst mich niemals wieder. Ansonsten kannst Du gerne auch von Deinem Hausrecht gebrauch machen und mir Hausverbot erteilen.
15.7.2009 um 23:43
Anar schreibt:
Nachdem ich heut Nacht nochmal drüber geschlafen hab, möchte ich sagen, daß das Aufwärmen der ST-Geschichte von Panda wohl doch etwas weit geht und insbesondere das Unterstellen von ST-Methoden dir gegenüber weit über das Ziel hinaus schießt. Generell geht es mir wie oben bereits erwähnt um die Fehler in Deinem Blog Post und weniger darum irgendeine Firma zu bashen.
Abschließend nochmals meine Bitte an Dich die inhaltlichen Fehler zu entfernen. Ich bin mir sicher auch Dir ist daran gelegen korrekte Informationen zu verbreiten.
16.7.2009 um 21:23
eXer schreibt:
Echt netter Lesestoff. Schade das ich es nicht früher gefunden hatte.
5.10.2011 um 21:44