MrT69
Dauer-User
- 1.361
- Themenstarter
- #321
@Sch@tti
Eigentlich nicht. Das Thema Blacklisted ist mega kompliziert geworden. Aber ich versuch es mal zu erklären.
Ich gehe von mehreren Faktoren aus. Unter anderem, wie klassifizieren (Online) Virenscanner. Aus verschiedenen Mustern wie Domain Name, ASN und IPAdresse, Provider und Hoster lassen sich diverse Rückschlüsse ziehen. Seitdem durch die DSGVO die Domain Daten unsichtbar gemacht haben, fällt das leider weg das man hier auch noch den Registrator mit zur Analyse nehmen kann. Seitdem das weg ist, ist die Fehlerrate auch beim Blacklisten angestiegen.
Deswegen kommt es vor das Adressen auf der Blackliste landen, die da nicht landen sollten. Gestern habe ich festgestellt das die Adresse von Samsung Bixby auf der AntiViren Datenbank gelandet ist. Sowas kann man jetzt nicht mehr so einfach wie früher verhindern.
Das hat auch den Nachteil das die Erkennung von Ransomware schwerer wird. Ich hab einen zuwachs von ca. 250.000 bis 300.000 Adressen pro Tag. Davon sind ca. 30.000 durchschnittlich Ransomware. Is jetzt mal so geschätzt. Im Jahr 2017 waren es 22.800 pro Tag.
Das.kannst manuell nicht mehr prüfen. Deswegen habe ich da einen Algorithmus entwickelt der das macht. Aber es lässt sich nicht mehr erkenne wer oder warum die oder die Domain registriert hat. Da hab ich also 2 Möglichkeiten. Die Erkennung zurück fahren oder mit mehr false/positive leben. Ich hab mich für letzteres Entschieden.
Sinn und Zweck ist ja auch der Gedanke das die Nutzer entsprechend Infos Reporten. Also was geht und was nicht geht. Je mehr Infos kommen um so besser. Derzeit habe ich nur eine relativ blöde Datenbank dahinter. Na ja, jede Änderung erfordert einen reload der ziemlich lange dauert. Ich entwickle seit einem Jahr eine andere Lösung wo ich in Echtzeit Daten hinzufügen und löschen kann, die dann SOFORT aktiv sind. Wird aber noch bis Mitte 2019 dauern bis das mal die ersten Online Tests mitmachen kann.
Fehler können bei keweon (leider) vorkommen, was wirklich keine Absicht ist. Aber ich hab das auch allein Entwickelt, ich mach das derzeit auch alleine und hab nicht wie andere Firmen ein 10 oder 20 köpfiges Team die das Optimieren. Hätte ich gern... Aber, na ja.
Von dem her, wenn du Fehler siehst oder hast oder auch nicht weiter kommst, ich helf da gerne und ich vertrau auch Usern mehr als Online Virenscanner. Anderseits, ich hab jetzt knapp 66 Millionen Einträge in der Datenbank, alles überprüfen ist doch etwas zu heftig. Also wenn was nicht läuft oder funktioniert, sorry und wenn du nicht weiterkommst lass es mich wissen.
Eigentlich nicht. Das Thema Blacklisted ist mega kompliziert geworden. Aber ich versuch es mal zu erklären.
Ich gehe von mehreren Faktoren aus. Unter anderem, wie klassifizieren (Online) Virenscanner. Aus verschiedenen Mustern wie Domain Name, ASN und IPAdresse, Provider und Hoster lassen sich diverse Rückschlüsse ziehen. Seitdem durch die DSGVO die Domain Daten unsichtbar gemacht haben, fällt das leider weg das man hier auch noch den Registrator mit zur Analyse nehmen kann. Seitdem das weg ist, ist die Fehlerrate auch beim Blacklisten angestiegen.
Deswegen kommt es vor das Adressen auf der Blackliste landen, die da nicht landen sollten. Gestern habe ich festgestellt das die Adresse von Samsung Bixby auf der AntiViren Datenbank gelandet ist. Sowas kann man jetzt nicht mehr so einfach wie früher verhindern.
Das hat auch den Nachteil das die Erkennung von Ransomware schwerer wird. Ich hab einen zuwachs von ca. 250.000 bis 300.000 Adressen pro Tag. Davon sind ca. 30.000 durchschnittlich Ransomware. Is jetzt mal so geschätzt. Im Jahr 2017 waren es 22.800 pro Tag.
Das.kannst manuell nicht mehr prüfen. Deswegen habe ich da einen Algorithmus entwickelt der das macht. Aber es lässt sich nicht mehr erkenne wer oder warum die oder die Domain registriert hat. Da hab ich also 2 Möglichkeiten. Die Erkennung zurück fahren oder mit mehr false/positive leben. Ich hab mich für letzteres Entschieden.
Sinn und Zweck ist ja auch der Gedanke das die Nutzer entsprechend Infos Reporten. Also was geht und was nicht geht. Je mehr Infos kommen um so besser. Derzeit habe ich nur eine relativ blöde Datenbank dahinter. Na ja, jede Änderung erfordert einen reload der ziemlich lange dauert. Ich entwickle seit einem Jahr eine andere Lösung wo ich in Echtzeit Daten hinzufügen und löschen kann, die dann SOFORT aktiv sind. Wird aber noch bis Mitte 2019 dauern bis das mal die ersten Online Tests mitmachen kann.
Fehler können bei keweon (leider) vorkommen, was wirklich keine Absicht ist. Aber ich hab das auch allein Entwickelt, ich mach das derzeit auch alleine und hab nicht wie andere Firmen ein 10 oder 20 köpfiges Team die das Optimieren. Hätte ich gern... Aber, na ja.
Von dem her, wenn du Fehler siehst oder hast oder auch nicht weiter kommst, ich helf da gerne und ich vertrau auch Usern mehr als Online Virenscanner. Anderseits, ich hab jetzt knapp 66 Millionen Einträge in der Datenbank, alles überprüfen ist doch etwas zu heftig. Also wenn was nicht läuft oder funktioniert, sorry und wenn du nicht weiterkommst lass es mich wissen.
Zuletzt bearbeitet:
und ich schaue, wie zuvor beschrieben, ob sich ohne KeWeOn etwas verbessert.
