Abschließend nochmals meine Bitte an Dich die inhaltlichen Fehler zu entfernen. Ich bin mir sicher auch Dir ist daran gelegen korrekte Informationen zu verbreiten.

Achja, hier ist es ja üblich Behauptungen ohne Belege zu posten.

“Du bist voller Ressentiments und fährst ganz miese Praktiken auf, wie deine Verleumdungsaktion bei Rokon eindrucksvoll beweist.”

Verleumdungsaktion? Welcher Art? Die ST-Geschichte? Möchtest Du das etwa bezweifeln?

“Du bist einfach nur unglaubwürdig und ich bemitleide dich fast schon ein wenig weil Du in meinen Augen so peinlich versuchst mit deinem Kopf durch die Wand zu stossen.”

Wie wäre es, wenn Du statt weiter persönlich zu werden einfach die faktischen Fehler, die vorhanden sind korrigierst?

“Mal heisst es “Hüh”, wenig später heisst es “Hot”.. was denn nun? Und fang jetzt bitte bloss nicht wieder an Dich zu rechtfertigen. Ich empfinde das langsam echt als Belästigung eines armseeligen Haters.”

Stimmt … fast 3 Monate sind viel zu wenig Zeit seine Meinung zu ändern. Ich bin dazu in der Lage Fehleinschätzungen einzusehen und mein Urteil zu revidieren. Bist Du es?

“Wenn Du schon anfängst Verleumdungen auszusprechen, hab bitte auch die Courage dies unter deinem echten Namen inkl. Angabe Deiner Adresse zu tun.”

Du hast Mail.

“Dafür stehe ich auch mit meinem Namen und jeder, der diese Zeile liesst, kann im Impressum nachsehen, wie ich zu erreichen bin. Mein Xing Profil ist ebenfalls ungekürzt online.”

Jeder der wissen möchte wie ich heiße kann mich fragen. Als Paranoiker bin ich sehr vorsichtig damit was von Crawlern indiziert werden kann und was nicht.

“Ich verstehe mein Blog nicht als ein öffentliches Pissoir in dem sich Leute ausgiessen dürfen, die woanders (Rokon) auch schon mehrfach angeeckt sind.”

Wenn Du keine Diskussion wünscht, schalt die Kommentarfunktion ab. Übrigens … zuerst dachte ich es sei ein Tippfehler, aber es heißt Rokop.

“Anderenfalls kannst Du Dir einen weiteren Kommentar sparen. Ehrlich, ich bin deiner überdrüssig!”

Entfern die inhaltlichen Unzulänglichkeiten deines Blogposts und du siehst mich niemals wieder. Ansonsten kannst Du gerne auch von Deinem Hausrecht gebrauch machen und mir Hausverbot erteilen.

Muss er garnicht. Vollkommen unabhängig davon, ob Du bei einem Konkurrenten von Panda Security bist, bleibt doch eines sicher: Du bist voller Ressentiments und fährst ganz miese Praktiken auf, wie deine Verleumdungsaktion bei Rokon eindrucksvoll beweist. Echt lächerlich. Genau wie deine selbstgefälligen Rechtfertigungen und Ausflüchte. Du bist einfach nur unglaubwürdig und ich bemitleide dich fast schon ein wenig weil Du in meinen Augen so peinlich versuchst mit deinem Kopf durch die Wand zu stossen.

Noch am 30.04.2009 hast du bei Rokon geschimpft der Gedanke AV-Software im Rahmen einer Cloudtechnologie anzubieten, sei Schwachsinn. Siehe hierzu Dein Kommentar.

Dort heisst es, Zitat Anar: “Man muss die Software nicht mal testen. Es ist eine ziemlich dämliche Idee (genau wie Echtzeit Java Programmierung wink.gif) Cloud Computing zur Malware Erkennung zu nutzen – sofern es denn Cloud Computing ist was sie einsetzen. Alleine die datenschutztechnischen Bedenken sind enorm. Von der Performance bei etwas schlechterer Verbindung ganz zu schweigen.”

Hier im Blog betonst jedoch, Zitat Anar: “Ich habe grundsätzlich von Cloud AVs gesprochen (Plural). Nicht explizit vom Panda Produkt. Und ich betone nochmals: Clouds sind toll.”

Mal heisst es “Hüh”, wenig später heisst es “Hot”.. was denn nun? Und fang jetzt bitte bloss nicht wieder an Dich zu rechtfertigen. Ich empfinde das langsam echt als Belästigung eines armseeligen Haters.

Und noch eine Bitte: Wenn Du schon anfängst Verleumdungen auszusprechen, hab bitte auch die Courage dies unter deinem echten Namen inkl. Angabe Deiner Adresse zu tun. Bin mal gespannt, ob Du dann immernoch so offen zu dem stehst, was Du hier & bei Rokon im Schutze der Anonymität so von dir gibst. Es gibt Leute wie mich, die zu dem stehen, was Sie tun. Dafür stehe ich auch mit meinem Namen und jeder, der diese Zeile liesst, kann im Impressum nachsehen, wie ich zu erreichen bin. Mein Xing Profil ist ebenfalls ungekürzt online.

Noch etwas. Ich verstehe mein Blog nicht als ein öffentliches Pissoir in dem sich Leute ausgiessen dürfen, die woanders (Rokon) auch schon mehrfach angeeckt sind.

Sollte Dir dennoch daran gelegen sein dich hier erneut zu produzieren, bitte ich Dich dies unter Angabe Deiner Personalien zu tun – dann können wir ja mal sehen, wie authentisch Du bist. Anderenfalls kannst Du Dir einen weiteren Kommentar sparen. Ehrlich, ich bin deiner überdrüssig!

“Ich habe in meinem Blogeintrag festgestellt, dass der Panda CloudAV, welcher sich zum Zeitpunkt meines Blogposts in der Beta 1 Phase befand, von vielen Seiten mit Final-Software anderer Hersteller verglichen wird. Du verrennst Dich ständig weil du nicht aufmerksam liesst.”

Ich bin nicht der einzige mit einer Leseschwäche. Ich hab das Credo Deines Postings (Beta mit Final Software vergleichen) niemals angesprochen, sondern Deine Begründungen als falsch demaskiert. Ich stimme sogar vollends damit überein, daß ein Vergleich völlig sinnbefreit ist und unterm von Dir verlinkten Heise Beitrag gibts sogar einen Post von mir indem ich dies zum Ausdruck bringe ;). Ebenfalls ersichtlich wird meine diesbezügliche Haltung in meinem Kommentar in Bezug auf das Cleaning, daß derzeit eher schlecht ausfällt, man in Anbetracht des Beta Stadiums aber darüber hinweg sehen sollte.

“Du verstehst es nicht. Stichwort: “Vereinfachung des Sachverhaltes um dem nicht zu sehr versiertem Interessenten das Thema verständlich aufzubereiten”.”

Es gibt einen Unterschied zw. Simplifizierungen und Falschaussagen. Du hättest dem User erklären können, daß ein Cloud AV (beachte den unbestimmten Artikel – nicht bezogen auf Panda) Dateien während ihrer Ausführung scannt statt beim Zugriff und sich dadurch eine geringere Systembelastung bei gleichem Schutzfaktor ergibt. Statt dessen führst Du wissentlich (ich setze vorraus das Panda Produkt Manager grundlegende Kenntnisse über die Arbeitsweise ihrer Produkte haben) falsche Vergleiche vor.

“Wenn Du dich hierdurch angegriffen fühlst, nehme ich das als Eingeständnis der Tatsache wahr, dass du mal wieder vom Thema ablenken (dich verrennen) willst.”

Eher ein Zeichen der Enttäuschung.

“Soweit ich mich recht entsinne, hast Du dich bei Rokon in abfälliger Weise über den angeblich so geringen Sachverstand des Autors ausgelassen.”

Ich habe die Aussage mit dem USB Stick als Schwachsinn bzw. den Autor des Postings als Urheber solchen Schwachsinns ausgelacht. Weil ganz ehrlich, daß Beispiel ist in Anbetracht von Conficker ein ziemlicher Griff ins Klo.

“Zunächst wollte ich deine Rechnung mal ad absurdum führen, zumal sie sich nicht auf meine Aussage bezieht, aber ich traue meinen Lesern zu diese Transferleistung auch selbst zu erbringen.”

Schade, hätte mich gefreut. Bin für Mathespielchen immer zu haben.

“Juhu, morgen rufen mich wieder sieben Leute an, die eine andere Meinung haben!”

Und einer der Deine Produkte nicht mag.

Zitat Anar: “Da geb ich Dir durchaus recht. Nicht tollerierbar ist allerdings die Verbreitung von Falschinformationen.”

Die in der BRD allgemein anerkannte Prüfstelle für Informationen hat gesprochen!

Zitat Anar: “Er spielt dann eine Rolle wenn Du die Systembelastung vergleichen willst, was Du getan hast.”

Ich habe in meinem Blogeintrag festgestellt, dass der Panda CloudAV, welcher sich zum Zeitpunkt meines Blogposts in der Beta 1 Phase befand, von vielen Seiten mit Final-Software anderer Hersteller verglichen wird. Du verrennst Dich ständig weil du nicht aufmerksam liesst.

Zitat Anar: “Auch hier ging es mir darum Deine Falschaussage richtig zu stellen. AV Engines lesen keine vollständigen Dateien, entgegen Deinen Behauptungen.”

Du verstehst es nicht. Stichwort: “Vereinfachung des Sachverhaltes um dem nicht zu sehr versiertem Interessenten das Thema verständlich aufzubereiten”.

Zitat Anar: “Davon abgesehen sollte man sich auch bewusst machen, daß CTPHs bzw. Hashes allgemein [...]“ *Unterbrechung* Mach nicht wieder ein neues Fass auf. Verweis auf “Du verrennst Dich.”

Zitat Anar: “Mal davon abgesehen, daß ich es schade finde das Du zu persönlichen Angriffen greifst, [...]“

Wenn Du dich hierdurch angegriffen fühlst, nehme ich das als Eingeständnis der Tatsache wahr, dass du mal wieder vom Thema ablenken (dich verrennen) willst. Soweit ich mich recht entsinne, hast Du dich bei Rokon in abfälliger Weise über den angeblich so geringen Sachverstand des Autors ausgelassen. Da gibt es doch so ein Sprichwort mit Steinen im Glashaus…

Zitat Anar: “Mein Einwand ist, daß du in Deinem Blog Äpfel mit Birnen vergleichst.”

Bitte drückt jemand den Repeat-Button.. Ich habe mich darauf bezogen, dass andere Leute unsere Beta mit Finals anderer Hersteller vergleichen.

Zitat Anar: “Bedeutet nur 87.5% eurer Kunden sind vom Produkt überzeugt?”

Zunächst wollte ich deine Rechnung mal ad absurdum führen, zumal sie sich nicht auf meine Aussage bezieht, aber ich traue meinen Lesern zu diese Transferleistung auch selbst zu erbringen.

Zitat Anar: “Wenn man sich damit zufrieden gibt, ist es kein Wunder, wieso die Firma seit ihrem Bestehen nur Produkte im qualitativen Mittelmaß präsentiert (und ja, das ist das erste Mal das ich explizit gegen Panda geschossen hab).”

Juhu, morgen rufen mich wieder sieben Leute an, die eine andere Meinung haben! :-)

Nicht wirklich. Ich hab die Aussage dahingehend kritisiert, daß Du mit Deiner Aussage versucht hast zu suggerieren, die Erstellung der Hashes würde weniger “Arbeit” machen, als eine Datei durch eine Engine zu jagen. Die Aussage ist so schlichtweg nicht richtig.

“Du wirst mir sicherlich Recht geben, dass jemand (ich) der in diesem Beitrag die Funktionsweise von CloudAV erklärt, gut daran tut, im Interesse eines möglicherweise nicht sehr versierten Interessenten dieses Beitrags auf unnötige Details zu verzichten.”

Da geb ich Dir durchaus recht. Nicht tollerierbar ist allerdings die Verbreitung von Falschinformationen.

“Welcher Hashalgorithmus letzten Endes im Produkt verwendet wird, spielt zum Schluss keine Rolle, sofern dieser seine eigentliche Funktion erfüllt.”

Er spielt dann eine Rolle wenn Du die Systembelastung vergleichen willst, was Du getan hast.

“Ja auch CloudAV arbeitet mit einer Minisignatur. In dieser Signatur befinden sich die laut unseren Labs zur Zeit am häufigsten verbreiteten Viren. Obgleich wir kommunizieren ohne Signatur auszukommen, packen wir diesen Schutz dennoch dabei, damit der Anwender auch bei offlinebetrieb einen rudimentären Schutz gegen die akuten Gefahren erfährt. Der benötigte Aufwand um diese Mini-Signaturdatei zu laden ist verglichen mit einer Standard-Signaturdatei total vernachlässigbar und somit erkenne ich Dein Gegenargument nicht an.”

Du übersiehst einen wichtigen Faktor. Es ist nicht so als würde eine Signaturdatenbank bei jedem Start neu geparsed werden. Moderne AV Engines (und die Panda Engine gehört übrigens dazu) parsed die DB nur einmal und das Ergebnis wird gecached. Während das komplette Aufbauen der Suchbäume wahrscheinlich nicht unerheblich viel Zeit benötigen würde, ist das simple Einlesen bereits geparster Bäume trivial und schnell erledigt.

“Wobei wir wieder beim Thema CTPH wären. Der Kern liegt doch darin begründet, dass ich eine im Internet hinlänglich als Malware bekannte Datei anhand eines Hashes identifizieren kann. Wenn ich dies kann, muss ich keinen Prozess anwenden, der mehr Ressourcen erfordert, die Bildung eines Hashes erfordern würde.”

Auch hier ging es mir darum Deine Falschaussage richtig zu stellen. AV Engines lesen keine vollständigen Dateien, entgegen Deinen Behauptungen.

Davon abgesehen sollte man sich auch bewusst machen, daß CTPHs bzw. Hashes allgemein ihre Grenzen haben. Die wohl wichtigste Grenze ist, daß sie anfällig sind, wenn die Malware sich verändert. Natürlich gibt es bei ungenauen Hashes (wie CTPHs) eine gewisse Tolerzanz in denen Änderungen akzeptiert werden. Polymorphe oder gar Metamorphe Malware damit zu erkennen, halte ich allerdings für außerordentlich schwierig. Wer glaubt Polymorphie sei nicht mehr relevant, sollte sich die Verbreitungsstatistiken von Virut vor Augen führen.

“Dieser Punkt wurde bei meiner Argumentation stets beachtet. Im Übrigen ist dies keine grosse Neuigkeit.”

Wieder möchte ich Dich auf Dein Geschriebenes hinweisen: “Die Festplatte muss weniger Daten aufarbeiten”. Damit sagst Du ein Cloud AV würde weniger Daten lesen müssen, was schlichtweg nicht wahr ist.

“a.) zu haten. Du bist einfach ein paranoider Hater, mehr nicht.”

Mal davon abgesehen, daß ich es schade finde das Du zu persönlichen Angriffen greifst, möchte ich Dich darauf hinweisen, daß mein “Hass” weder unbegründet noch in Vorurteilen begründet liegt – zwei Grundvorraussetzungen um sich als Hater beschreiben lassen zu können.

“b.) dich zu profilieren. Wahrscheinlich versuchst Du Dir einen Namen zu machen oder der Welt nahezulegen welch Genius in dir verborgen ist.”

Meinst Du nicht, daß ich dann eher meinen normalen Namen benutzen würde? Anar hat jetzt nicht unbedingt einen Widererkennungswert und wäre ausserhalb von Rokop irgendwo bekannt und selbst bei Rokop les ich meist nur mit statt zu schreiben.

“Bei Rokop pikierst Du Dich darüber, dass ich in meinem Beitrag den Flaschenhals Festplatte erwähne, ohne darüber zu sprechen, dass bei dieser Software der Fokus auf OnExecution steckt”

Mein Einwand ist, daß du in Deinem Blog Äpfel mit Birnen vergleichst. Natürlich bremst ein Cloud AV deutlich weniger als ein normales AV. Das liegt primär aber daran, daß ein AV für gewöhnlich einen OnAccess Scan benutzt und alle Dateien bei Zugriff scannt im Gegensatz zu den meisten Cloud AVs, die Anwendung nur bei ihrer Ausführung beurteilen (und ja, das ist übersimplifiziert … mir ist bewusst, daß Cloud AVs im Normalfall auf das Mappen von Dateien reagieren statt explizit Programmstarts zu überwachen, es ist aber vom Scanaufkommen nicht vergleichbar mit echtem OnAccess). Bring das klassische AV dazu OnExecution Scans zu benutzen und Du wirst Dich wundern wie schnell plötzlich alles ist.

“kurz darauf erscheint urplötzlich Dein Resumé die Netzwerklatenz würde CloudAV im Vergleich zum traditionellen signaturbasiertem Scan performancetechnisch den Nacken brechen.”

Und dazu steh ich auch. Eine normale, nicht infizierte Datei via Cloud zu scannen dauert länger als sie lokal zu scannen.

“ehrlich gesagt interessieren mich angesichts Deiner agressiven CloudAV-ist-ja-so-schlecht-Haltung Du, Dein paranoides Gesülze, sowie Deine eventuell vorhandenen Ergebnisse einen feuchten Taubenschiss.”

Ich habe grundsätzlich von Cloud AVs gesprochen (Plural). Nicht explizit vom Panda Produkt. Und ich betone nochmals: Clouds sind toll. Aber nicht der Stein der Weisen als der sie verkauft werden sollen (in deinem Blog Posting z.B.).

“Und richte dem Benutzer “Genußmensch” von Rokon mal aus, dass er richtig recherchiert hat – zumindest was meine Firmenzugehörigkeit angeht, auf die ich stolz bin.”

Ich möchte hier erwähnen, daß ich zu keinem Zeitpunkt Deine Firmenzugehörigkeit als Problem oder Grund für dieses Posting angesehen habe und es weder hier noch sonst irgendwo als Argument gegen die Relevanz des Blogpostings angeführt habe. Meiner Ansicht nach wäre es ein schwaches Argument zu sagen: “Ja, der Post ist doof weil der arbeitet für die!”.

“Was den Punkt, ob unsere Software überzeugen konnte angeht… frag die vielen Tausend Anwender, die vor Wochen Beta 1 geladen haben heute die Beta 2 pumpen.”

Ein quantitatives Argument ist ein schlechtes Argument … “Millionen Fliegen können nicht lügen! Esst mehr Scheiße!” (und nein damit möchte ich nicht suggerieren das Pandas Cloud AV Scheiße sei, sondern die Absurdität quantitativer Argumente zur Schau stellen).

“”Wenn man kritisiert wird, heißt das man macht was richtig, denn man wird nur angegriffen, wenn man den Ball hat!” (Zitat Bruce Lee)”

Wobei man beachten sollte was ich kritisiert hab. Ich hab die inhaltlichen Unzulänglichkeiten Deines Posts kritisiert, nicht das Produkt als solches (zumindest nicht hier).

“Das wirst auch Du bald verstehen und schreiben “ooh, Panda hat die beste Engine!”.”

Wohl kaum. Technisch gesehen ist die AV Engine (und damit meine ich nicht die Cloud AV Engine) eher Mittelmaß. Aber ich hab ja Hoffnung, daß sich das ändert.

“Und weisst Du weswegen ich in diesem Punkt so zuversichtlich bin? Weil auf jeden Hater wie Dich, täglich sieben Leute kommen und mir am Telefon erzählen, wie toll die CloudAV, die 2010er Reihe oder unsere neu aufgelegte Version der Enterprise ist.”

Bedeutet nur 87.5% eurer Kunden sind vom Produkt überzeugt? Wenn man sich damit zufrieden gibt, ist es kein Wunder, wieso die Firma seit ihrem Bestehen nur Produkte im qualitativen Mittelmaß präsentiert (und ja, das ist das erste Mal das ich explizit gegen Panda geschossen hab).

Hallo Anar,

nachdem ich nun heute auf der Rückfahrt von meinem Büro bis zu meiner Wohnung darüber nachgedacht habe, was eigentlich deine Motivation sein könnte hier so herumzumosern, stelle ich nun fest, dass es dir also darum geht, auf Denkfehler aufmerksam zu machen, die in meinem ursprünglichem Blogpost scheinbar zu Hauf vorhanden sind.

Nun gut, ich beziehe Stellung zu deinen Äusserungen.

Zitat Anar: “Als ob es nur eine MD5 Hash wäre. Im Normalfall werden bei Clouds CTPHs benutzt statt cryptographischer Hashes. Die Berechnung eines CTPHs ist dabei rechenintensiver als bei z.B. MD5. Teilweise sogar rechenintensiver als der Scan durch eine lokale AV Engine (wobei das stark von der Engine und der Datei abhängt natürlich).”

Ob nun ein Verfahren wie MD5, CRC oder eine wie auch immer geartete CTPH-Implementation genutzt wird, erscheint mir in diesem Zusammenhang eine stark vernachlässigbare Rolle zu spielen. Du wirst mir sicherlich Recht geben, dass jemand (ich) der in diesem Beitrag die Funktionsweise von CloudAV erklärt, gut daran tut, im Interesse eines möglicherweise nicht sehr versierten Interessenten dieses Beitrags auf unnötige Details zu verzichten. Aus der Familie der Hashes sind MD5 und CRC die sicherlich bekanntesten – somit besteht der Mehrwert darin, diesen als Beispiel zu nennen. Welcher Hashalgorithmus letzten Endes im Produkt verwendet wird, spielt zum Schluss keine Rolle, sofern dieser seine eigentliche Funktion erfüllt.

Zitat Anar: “Auch Cloud AVs haben Signaturdatenbanken. Dort heißen sie Caches. Auch die müssen von der Platte gekratzt und in den Speicher gelesen werden.”

Ja auch CloudAV arbeitet mit einer Minisignatur. In dieser Signatur befinden sich die laut unseren Labs zur Zeit am häufigsten verbreiteten Viren. Obgleich wir kommunizieren ohne Signatur auszukommen, packen wir diesen Schutz dennoch dabei, damit der Anwender auch bei offlinebetrieb einen rudimentären Schutz gegen die akuten Gefahren erfährt. Der benötigte Aufwand um diese Mini-Signaturdatei zu laden ist verglichen mit einer Standard-Signaturdatei total vernachlässigbar und somit erkenne ich Dein Gegenargument nicht an.

Zitat Anar: “Auch da muss ein Cloud AV durch. Wobei moderne AV Engines keine kompletten Dateien lesen, sondern nur die wirklich notwendigen Bereiche.”

Wobei wir wieder beim Thema CTPH wären. Der Kern liegt doch darin begründet, dass ich eine im Internet hinlänglich als Malware bekannte Datei anhand eines Hashes identifizieren kann. Wenn ich dies kann, muss ich keinen Prozess anwenden, der mehr Ressourcen erfordert, die Bildung eines Hashes erfordern würde.

Zitat Anar: “Für einen cryptographischen Hash müsste man die Datei übrigens vollständig lesen.”

Dieser Punkt wurde bei meiner Argumentation stets beachtet. Im Übrigen ist dies keine grosse Neuigkeit.

Zum Abschluss:
Ich finde den Wahrheitsgehalt in der Aussage Deiner eigentlichen Intention (“Auf Denkfehler aufmerksam machen.”) äusserst fragwürdig.

Wenn ich mir in diesem Zusammenhang deine Wortwahl bei Rokop vor Augen halte, erhärtet sich mein Eindruck, dass es dir im Wesentlichen nur darum geht

a.) zu haten. Du bist einfach ein paranoider Hater, mehr nicht.
b.) dich zu profilieren. Wahrscheinlich versuchst Du Dir einen Namen zu machen oder der Welt nahezulegen welch Genius in dir verborgen ist.
c.) die Software schlechtzureden, was Dich jedoch auch nicht weiter von denen differenziert, die schon im Jahr 2004 TruPrevent nicht verstanden haben.

Bei Rokop pikierst Du Dich darüber, dass ich in meinem Beitrag den Flaschenhals Festplatte erwähne, ohne darüber zu sprechen, dass bei dieser Software der Fokus auf OnExecution steckt – kurz darauf erscheint urplötzlich Dein Resumé die Netzwerklatenz würde CloudAV im Vergleich zum traditionellen signaturbasiertem Scan performancetechnisch den Nacken brechen. In deiner Antwort an Welat forderst du Scanlogs, Testergebnisse… Ich sage dir eins: Wäre ich an weiterem Input (respektive “Output”) Deinerseits interessiert, würde ich Dich wahrscheinlich darum bitten, Deine persönlichen Scanlogs und Testergebnisse zu präsentieren, die im Angesicht deiner Reverse-Engineering-Affinität ja sicherlich en Mass vorhanden sind… aber – und damit beende ich meine Antwort und dieses Gespräch mit Dir – ehrlich gesagt interessieren mich angesichts Deiner agressiven CloudAV-ist-ja-so-schlecht-Haltung Du, Dein paranoides Gesülze, sowie Deine eventuell vorhandenen Ergebnisse einen feuchten Taubenschiss.

Und jetzt los, lauf und hate ruhig weiter in allen Foren dieser Welt! Und richte dem Benutzer “Genußmensch” von Rokon mal aus, dass er richtig recherchiert hat – zumindest was meine Firmenzugehörigkeit angeht, auf die ich stolz bin. Was den Punkt, ob unsere Software überzeugen konnte angeht… frag die vielen Tausend Anwender, die vor Wochen Beta 1 geladen haben heute die Beta 2 pumpen.

Ich will im Grunde nur die Quintessenz meines ursprünglichen Blogposts wiederholen:

“Wenn man kritisiert wird, heißt das man macht was richtig, denn man wird nur angegriffen, wenn man den Ball hat!” (Zitat Bruce Lee)

Das wirst auch Du bald verstehen und schreiben “ooh, Panda hat die beste Engine!”. Und weisst Du weswegen ich in diesem Punkt so zuversichtlich bin? Weil auf jeden Hater wie Dich, täglich sieben Leute kommen und mir am Telefon erzählen, wie toll die CloudAV, die 2010er Reihe oder unsere neu aufgelegte Version der Enterprise ist.

Reine Cloud AVs neben Panda:
PrevX, HitMan Pro

Ansonsten gibts noch einige klassische AVs, die zum Teil durch eine Cloud gestützte Erkennung versuchen die Reaktionszeiten auf neue Malware zu vermindern. Artemis von McAfee wäre da z.B. zu nennen.

“Aufgrund Deiner Aussagen liegt die Vermutung nahe, dass Du es nicht getestet hast sondern einfach glaubst, es besser zu wissen.”

Ich hab es wahrscheinlich ausführlicher getestet, als Du oder der Ersteller des Blogeintrags. Als an der Materie interessierter und – zugegeben – paranoider Mensch, hab ich dabei nicht nur installiert und geschaut obs funktioniert oder mal ein paar Samples gestartet, sondern den kompletten Client reverse engineered.

“Ich meine es handelt sich hier um ein kostenloses Programm”

Nur weil ein Programm kostenlos ist, darf man nicht kritisch über die Anwendung urteilen? Ich bitte Dich …

“*Halloooo*, welches deutlich höhere Erkennungsraten bietet als manche Kaufversion.”

Beweis für diese Aussage? Scan Logs? Tests? Irgendwie steht die Aussage im Konflikt zu den Ergebnissen diverser anerkannter Tester und auch im Konflikt zu meinen eigenen Erfahrungen und Tests.

“Zum Abschluss frage ich mich, wie Paranoid man sein kann um zu glauben, dass die Jungs bei Panda darauf warten das die Millionen Rechner in der Cloud Ihnen Dateien senden…. Joaaaa das macht Sinn, findet ja auch keiner raus und ist gut fürs Image.”

Genau genommen kann der Client bereits Dateien in die Cloud senden zur Analyse, falls er meint sie sei verdächtig, sie innerhalb der Cloud allerdings noch unbekannt ist. Davon wird auch rege Gebrauch gemacht. Allerdings ist das absolut nichts verwerfliches, da mittlerweile viele Anti-Malware Anwendungen mit so einem Mechanismus arbeiten (wahrscheinlich ohne das die Leute dies bewusst wahrnehmen).

Wie Dir aufgefallen mag, kritisiere ich ja auch nicht das Verhalten, daß etwas verschickt wird oder gar die Cloud basierende Erkennung an sich. Ich zeige nur die Denkfehler innerhalb des Blogposts auf, die zu Hauf vorhanden sind.

Ich danke sehr für die ausführliche Info.

gruß Holger
User http://www.computerguard.de

Peter Piksa :
Hallo Anar,
halt dich mal zurück. : , Scandatei von der Platte lesen und diese durch die Signaturdatei zwecks Filterung zu prügeln.
Also, setz dich wieder hin und sei nicht so vorlaut mit deinem “einfach nur schwach”.

Wieder schwach …

“Eine Datei zu lesen und dann einen MD5 Hash zu errechnen ist im Gesamtergebnis mit weniger Arbeit verbunden als”

Als ob es nur eine MD5 Hash wäre. So naiv kannst Du gar nicht sein. Im Normalfall werden bei Clouds CTPHs benutzt statt cryptographischer Hashes. Die Berechnung eines CTPHs ist dabei rechenintensiver als bei z.B. MD5. Teilweise sogar rechenintensiver als der Scan durch eine lokale AV Engine (wobei das stark von der Engine und der Datei abhängt natürlich).

“Signaturdatei von der Platte kratzen, diese in den Speicher lesen”

Auch Cloud AVs haben Signaturdatenbanken. Dort heißen sie Caches. Auch die müssen von der Platte gekratzt und in den Speicher gelesen werden.

“Scandatei von der Platte lesen”

Auch da muss ein Cloud AV durch. Wobei moderne AV Engines keine kompletten Dateien lesen, sondern nur die wirklich notwendigen Bereiche. Für einen cryptographischen Hash müsste man die Datei übrigens vollständig lesen.

“diese durch die Signaturdatei zwecks Filterung zu prügeln”

Prinzipiell wird so eine Datei nicht durch die Signaturdatei geprügelt, aber das wäre Haarspalterei. Interessanter Weise dauert dieses durchprügeln bei modernen Engines und bei sauberen Dateien im Schnitt nur einige wenige Millisekunden. In der Zeit sind deine Hashes im Normalfall noch nicht mal in der Cloud angekommen, geschweige denn ein Ergebnis ist zurück auf dem Weg zu Dir.

Hallo Anar,

halt dich mal zurück. Eine Datei zu lesen und dann einen MD5 Hash zu errechnen ist im Gesamtergebnis mit weniger Arbeit verbunden als: Signaturdatei von der Platte kratzen, diese in den Speicher lesen, Scandatei von der Platte lesen und diese durch die Signaturdatei zwecks Filterung zu prügeln.

Also, setz dich wieder hin und sei nicht so vorlaut mit deinem “einfach nur schwach”.

“Während traditionelle Antivirensysteme jede Datei vollständig von der Festplatte kratzen müssen, um sie anschliessend durch eine aufgeblasene Scanengine prüfen zu lassen, wird bei Cloud Antivirus lediglich ein Hashwert der zu scannenden Datei gezogen, welcher von der Cloud als gut oder böse klassifiziert wird.”

Ach, und so ein Hashwert errechnet sich ganz ohne das die Datei gelesen werden müsste? Einfach nur schwach …