Sicherheitsrisiko durch Glasswire bei automatischen VirusTotal Upload?

[gis]

Hi,
sicherlich verwendet der ein oder andere von Euch auch Glasswire.

GlassWire - Personal Firewall & Network Monitor

GlassWire is a modern personal firewall and network monitor with over 29 million downloads. Download GlassWire free!

(https://www.glasswire.com/)

Eigentlich ist dies bereits in der Gratis-Variante ein schönes Security Tool welches recht unauffällig in der Windows Taskleiste seinen Dienst versieht.
Mir gefällt die Option automatisierte Dateianalysen durch VirusTotal durchführen zu lassen. Diese sendet mit Ausführung einer Datei einen Hash an VirusTotal und meldet zurück wie viele der Virenscanner die ausführbare Datei für viral halten.
Bei ausführbaren Dateien zu denen noch kein Hash vorliegt, kann eingestellt werden, dass diese Datei automatisiert nach VirusTotal zur Analyse hochgeladen wird.

Kann ich dem Teil vertrauen dass es ausschließlich die Binaries hoch lädt? Hat mal jemand den Datenstrom analysiert?
Immerhin erlaube ich mit Hochladen dass jeder mit einem Premium Account meinen Upload analysieren darf.
Da möchte ich keine PINs, Passwörter oder Bankverbindungen drinnen haben.

Wie handhabt Ihr das?

 

[silverrider]

Immerhin erlaube ich mit Hochladen dass jeder mit einem Premium Account meinen Upload analysieren darf.

Das kapiere ich nicht ganz, was du damit meinst?
Die Funktion sieht in Glasswire wie folgt aus:

Die Funktion zwei, die du wohl meinst, bedeutet, dass Glasswire jede Anwendung, die Netzwerkverkehr generiert, automatisch bei VirusTotal geprüft wird, alternativ kannst du es auch manuell
durchführen. Glasswire lädt die App zu Virustotal die mit dem Netz redet, natürlich dann auch Banking-Apps.exe.
Wir reden hier nicht von Arbeitsdateien wie PINs und Co und die Frage die du stellst, musst du imgrunde auch bei jedem
Virenscanner stellen, der auf deiner Kiste läuft.

Zum Kern der Frage, ich sehe da kein Sicherheitsrisiko im Bezug auf PINs, Bankverbindungen und Co. Jedenfalls genauso wenig, wie bei den vermeintlichen ach so sicheren Virenscannern, die im Gegensatz zur Glasswire, alles in die Hand nehmen, was auf deinem Rechner so angepackt wird und rumrennt.

Wenn dir die Automatik sorgen bereitet, kannst du ja im Firewall-Fenster die Anwendungen durchgehen und auffällige Anwendungen manuell prüfen!

P.S.: Wie du ja auf dem Screen siehst, bedeutet premium nicht, dass alle Funktionen default an sind, du kannst sie geziehlt unlocken und locken.

 

[GiveThatLink]

Jeglicher Upload in eine Cloud birgt das Risiko eines Datenlecks für vertrauliche Informationen, so auch bei VT.

Eine Entscheidung auf Basis VT halte ich für fragwürdig, da tummeln sich etliche exotische Scanner, die man besser in die Tonne treten sollte. Deswegen wird in Foren, die sich mit sowas beschäftigen, auch kein VT geduldet.

Falls man ein Ergebnis von VT haben will, sollte man das nicht grundlegend, sondern speziell anfragen. Es ist eine Zweit-, Dritt-, Viert- etc Meinung und meine Erfahrung hat gezeigt, dass nur wenige Benutzer die Resultate auch richtig lesen können und daher verstehen.

Solltest du Windows 8/10/11 nutzen, kannst du dich auf das Ergebnis vom Defender verlassen, auch ohne dessen Cloud-Scanning.

Glasswire selbst halte ich für überflüssig auf einem intakten System. Da gibt es bessere Firewalls.

 

[gis]

Danke für Euer Feedback und Ok, ich war etwas ungenau mit der Premium Account Aussage.
Meiner Kenntnis nach hat jeder mit einem Virus Total Premium Account vollen Zugriff auf alle nach VT hochgeladenen Dateien (korrigiert mich wenn ich hier falsch liege).

Mir ist nur unklar was hochgeladen wird. Werden z.B. mit Makros ausgestattete MS Office Dateien ebenfalls in bestimmten Situationen automatisch hochgeladen und anschließend der kompletten VT-Community zur Verfügung gestellt?
Wenn ich einen kommerziellen Virenscanner verwende, landet so ein Upload nur bei einem einzelnen Hersteller und nur ein eingeschränkter Personenkreis hat Zugriff darauf.
Landet es bei VT haben wahrscheinlich nicht nur die Mitarbeiter eines einzelnen Herstellers, sondern die Mitarbeiter von zig-dutzend Herstellern, plus Alphabet, plus alle Interessierten mit VT Premium Account Zugriff auf die hochgeladene Datei.
Dies ist somit ein ganz anderer Angriffsvektor als bei einem fest installierten Virenscanner.

Mir ist bekannt dass dieser Upload in Glasswire optional und abschaltbar ist.
Klar ich kann es abschalten oder auch alternativ den Sysinternals Process Explorer verwenden und dort die VT Funktion aktivieren.
Da mir die Glasswire Funktion, potentiell gefährliche Dateien (sind das auch makroenabled Office Dateien???) automatisiert hochladen zu lassen, zu Analysezwecken gefällt, hätte ich die Funktion gerne eingeschaltet.

Mein Rechner hängt hinter eine Sophos UTM9 Firewall. Für den Privatanwender ist die UTM kostenlos, ziemlich genial und stellt bereits ein sicheres Umfeld bereit.
Da mir vermutlich niemand die Glasswire Frage sicher beantworten kann, sollte ich wahrscheinlich bei meinen Bedenken Glasswire einfach deinstallieren und gut ist.

 

[Joshua]

Hallo,

Das BSI hat vor kurzem vor einem Datenabfluss im Falle von Dateiprüfungen bei VirusTotal gewarnt.

 

[DrSnuggles]

@gis:

Frag doch mal den Hersteller ...

 

[gis]

warte noch auf Antwort von Glasswire .......

 

[GiveThatLink]

Mein Rechner hängt hinter eine Sophos UTM9 Firewall.

Naja, Sophos hat sich für mich erledigt. Es mag als UTM noch eine Bedeutung habe, aber im SOHO-Bereich und für Android hat sich dieser Krampf erledigt.

VTR Premium ist echt rausgeschmissenes Geld, kann ich dir so sagen. Du bist vermutlich weder Entwickler noch sonst wie auf diesem Sektor involviert, das ist nur noch Luxus ohne eigentlichen Mehrwert. Vor allem zahlst du mit Glasswire doppelt, falls lizensiert.

Was VT betrifft, jeder (!) beteiligte Hersteller bekommt deine Daten und die Resultate, falls positiv. Alphabet ist nur der Owner. (siehe Joshua)

Was VT in anderen Programmen angeht, kategorisch abschalten oder blockieren. Ich hab diesen Mist in Sysinternals gefunden, als es aufkam - was mich ankotzt, dass man es nicht abschalten kann. Man kann allenfalls deren Tools nullen, patchen, was auch immer. Ich bin eh auch "Process Hacker" umgestiegen.

 

[adhome]

Was Glasswire hochladet könntest versuchen zu testen durch künstlich große Excel Macro Dateien. Dann den Traffic beobachten ob er länger hoch ist. Vielleicht viele dieser Dateien erzeugen...

Zum Thema Personal Firewall hab ich eine abneigende Meinung. Inbound ist bei IPV4 die beste Firwall bereits installiert: dein NAT vom Router. Da kommt nichts durch. Nicht mal nen Ping. NICHTS
Haste IPv6 und kein Schutz im Router haste eh ein Problem. Dein Haus ist offen
Willst ein Outbound Schutz haben viel Spaß beim richtigen konfigurieren. Das hält nur die legitime Programme auf. Über ein Service oder den Browser kann jeder was senden. Kann dir ein dreizeioler schreiben der sofort über IE Controll was raussendet.
Filtern kannste da nichts, da die Services dahinter für alles mögliche verwendet werden.
Normale legale Software aber kann man damit filtern und bei paar somit das normale Werbetracking / Updatesuchen verhindern.

 

[gis]

Also: Bei Glasswire habe ich nachgefragt ob z.B. Excel-Dateien mit Online Funktionalität wie online Stock-Data Updates, VBA Makro enabled Dateien – ebenfalls mit VBA Online Funktionalität und tatsächlich viral verseuchte Office Dokumente unter Umständen hochgeladen werden könnten.

Nach ein bisschen Email Ping-Pong mit dem Support habe ich schließlich folgende Antwort erhalten:

„Bitte seien Sie versichert, dass diese Informationen nicht durch unsere Zusammenarbeit mit VirusTotal nach außen gelangen. Wir laden keine Dateien wie die von Ihnen aufgelisteten hoch.“​

Klingt für mich nicht sehr überzeugend, ich habe jetzt Glasswire deinstalliert und mache meine Auswertungen mit der Sophos UTM9.

Aus meiner Sicht bleibt die Sophos UTM im privaten Umfeld alternativlos. Meiner Kenntnis gibt es keine weitere kostenlose Appliance welche in Funktionalität an die SG oder XG heranreicht. pfSense ist zwar ebenfalls kostenlos bleibt aber funktional weit abgeschlagen. Endian, SmoothWall, OPNsense und wie sie alle heißen bieten in der Regel deutlich weniger, oder die NG-Features kosten dann Geld.

Das Ganze läuft bei mir daheim auf einem lüfterlosen Mini-PC unter Proxmox; on top die Sophos UTM welche von einem piHole in einem Docker Container unterstützt wird. Stromverbrauch ist mit 7W-10W im Dauerbetrieb niedrig und Performance Einbußen spüre ich nicht. Die LogFile Auswertungen der Sophos sind nicht optimal, daher bastele ich gerade an einer Docker Splunk-Lösung, aber im Augenblick klemmt noch der Remote Syslog Server. Um WLAN zu realisieren, muss man dann doch Geld für einen Sophos AP in die Hand nehmen. Ich habe den AP 15 und der ist deutlich kräftiger als meine große FritzBox. Mit dem AP 15 komme ich durchs ganze Haus, während ich für das FritzNetz Repeater einsetzen muss.

In dieser Konstellation war Glasswire sicherlich kein Sicherheitsgewinn, aber mir hat das bunte Tool in der Aufmachung gut gefallen. Nu issses wech.

Frohe Ostern

 

[DrSnuggles]

SSL-Offloading würde ich mit der Kneifzange nicht anpacken.

 

[gis]

Ja und?, ist doch toll - die Sophos kann beides: mit und ohne.
SSL-Offloading sollte schließlich jede bessere Appliance als Option anbieten, das ist nicht verwerflich.
Und bevor es weiter geht, hier handelt es nicht um Enterprise Security, sondern um ein privates Home Environment, denn ich weiß auch dass eine Firewall im Enterprise Kontext, nicht auf demselben Host mit anderen Servern laufen sollte.

Da ich jedoch gerne experimentiere bin ich auch ganz Ohr für andere leistungsstarke Heimnetz Security Lösungen aus dem "no-cost" Bereich.
pfSense, Endian, SmoothWall und OPNsense habe ich bereits wegen fehlender Funktionalität verworfen und würde mich über Vorschläge mit eigener hands-on Erfahrung freuen.

 

[gis]

SSL-Offloading würde ich mit der Kneifzange nicht anpacken.

Das mag zwar für DrSnuggles und GiveThatLink zutreffen, aber frei ohne Kontext bleibt es Unsinn.
Sauber implementiert und noch sauberer ausgerollt gibt es hinreichend Szenarien die sowohl im Enterprise, als auch im privaten Umfeld Sinn ergeben.
Vielleicht mag mal jemand die Allgmeingültigkeit dieser Behauptung erläutern.

 

[DrSnuggles]

Risiko von Implementierungsfehlern, Probleme bei Public Key pinning.
Traffic decryption kann man auch anders haben

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HB8gCAG&lang=en_US%E2%80%A9

 

[gis]

Es ist ne Binse, dass man sich bei einer Firewall vor Implementierungsfehlern hüten sollte und das Beispiel ist doch ein ganz anderer Use-Case, das sind Äpfel mit Birnen.

 

[GiveThatLink]

Solange er SSL los werden will und nicht TLS

Macht keinen Sinn, solange es nicht sein Server ist

SSL-Offloading

Beim SSL-Offloading wird ein Webserver von der Verarbeitungslast der Verschlüsselung und/oder Entschlüsselung des Datenverkehrs entlastet, der über das Sicherheitsprotokoll SSL, das in jedem Web-Browser implementiert ist, gesendet wird. Die Verarbeitung wird auf ein separates Gerät ausgelagert...

(https://www.f5.com/de_de/services/resources/glossary/ssl-offloading)

Die SSL-Offloading ist der Prozess, bei dem die SSL-basierte Verschlüsselung aus dem eingehenden Datenverkehr entfernt wird, um einen Webserver von der Verarbeitungslast der Entschlüsselung und/oder Verschlüsselung des über SSL gesendeten Datenverkehrs zu entlasten.

In Details hier:

NetScaler SSL Offloading Funktionsweise - Zertifikat Installation

NetScaler SSL Offloading Funktionsweise - Zertifikat Installation

(https://www.kreyman.de/index.php/citrix/citrix-netscaler/153-netscaler-ssl-offloading-funktionsweise-zertifikat-installation)

Fazit - Finger weg.

 

[gis]

Spannend, Du glaubst also tatsächlich hier geht es um WebServer?

 

[GiveThatLink]

Die Texte waren recht eindeutig. Aber wenn du meinst, dann präsentier doch mal deinen Entwurf dazu, was du erreichen willst. Ich mein, wer meint, er müsse VT Premium und Glasswire ohne Vorbehalte nutzen, der hat's doch sicherlich fett drauf

 

[gis]

Stimmt, meine Texte sind eindeutig. Mühsam sind Deine Antworten. Allein in diesem Thread: ein Teil Wiedergekaut, ein Teil fachlich falsch, ein weiterer Teil unverstanden, der Rest BlahBlah ohne Mehrwert.

In #16 versteifst Du Dich unter Zuhilfenahme zweier Links zu einer „Fazit - Finger weg.“ Behauptung. Dies ohne weitere Begründung. Liegt vermutlich an Überforderung.

Offensichtlich überfordert Dich aber auch #10 denn sonst käme Deine letzte Frage nicht.

Frohe Ostern

 

[GiveThatLink]

Welchen Teil von #10?
Es spielt überhaupt keine Rolle, womit du SSL-Offloading erreichst. Es überhaupt wunderlich, dass jemand wie du sich überhaupt damit beschäftigt, der mit "Sophos" so auf seine Sicherheit bedacht ist.

@DcSnuggles - #14 ist das, was jedes Antivirus mit der SSL-Prüfung ausführt. Ob nun Wireshark, MITM, Antivirus, ist egal. Der Kommentar mit der "Kneifzange" war schon passend.

Was ich nicht glaube:

Mein Rechner hängt hinter eine Sophos UTM9 Firewall.

Du nutzt:

https://www.sophos.com/de-de/free-4tools/sophos-xg-firewall-home-edition

(https://www.sophos.com/de-de/free-4tools/sophos-xg-firewall-home-edition)

UTMshop | Onlineshop für IT-Security von Sophos & Palo Alto Networks

Sophos & Palo Alto Networks (PAN) IT Sicherheitslösungen kaufen ✓ - Machen Sie keine Kompromisse mit der Sicherheit Ihres Unternehmens! Bestellen Sie beim Marktführer!

(https://utm-shop.de/information/anleitungen/utm-online-hilfe-9.500/verwaltung/lizenzen/)

Nur, um das herauszustellen, was was ist.

 

[GiveThatLink]

Welchen Teil von #10?
Es spielt überhaupt keine Rolle, womit du SSL-Offloading erreichst. Es überhaupt wunderlich, dass jemand wie du sich überhaupt damit beschäftigt, der mit "Sophos" so auf seine Sicherheit bedacht ist.

@DrSnuggles - #14 ist das, was jedes Antivirus mit der SSL-Prüfung ausführt. Ob nun Wireshark, MITM, Antivirus, ist egal. Der Kommentar mit der "Kneifzange" war schon passend.

Was ich nicht glaube:

Mein Rechner hängt hinter eine Sophos UTM9 Firewall.

Du nutzt:

https://www.sophos.com/de-de/free-4tools/sophos-xg-firewall-home-edition

(https://www.sophos.com/de-de/free-4tools/sophos-xg-firewall-home-edition)

UTMshop | Onlineshop für IT-Security von Sophos & Palo Alto Networks

Sophos & Palo Alto Networks (PAN) IT Sicherheitslösungen kaufen ✓ - Machen Sie keine Kompromisse mit der Sicherheit Ihres Unternehmens! Bestellen Sie beim Marktführer!

(https://utm-shop.de/information/anleitungen/utm-online-hilfe-9.500/verwaltung/lizenzen/)

Nur, um das herauszustellen, was was ist.

Ach ja, ich hoffe, du verwechselt, bezogen auf den Hinweis vom Doc mit Wireshark, nicht Offloading und Inspection

Offloading vs. inspection

 

[gis]

Was ich nicht glaube:

Mein Rechner hängt hinter eine Sophos UTM9 Firewall.

Äääähhhm, - doch ...., das ist doch der Witz bei der Sache.

Siehst Du – jetzt haben wirs – da liegt der Osterhase im Pfeffer, Dir fehlt jegliches Verständnis für das in #10 vorgestellte Setup. Und schon wieder NEIN, ich betreibe nicht die Sophos XG Firewall, sondern wie wiederholt geschrieben (aus historischen Gründen) die UTM9 auf Proxmox, aber diese Verwechselung lasse ich noch mal als kosmetischen Fehler durchgehen.

Nachdem Dir so fundamental der Zugang zum Thema verwehrt bleibt, habe ich wenig Hoffnung, dass da noch etwas Sinnvolles kommt.

Aber es ist ja Ostern, da lasse ich mich gerne überraschen.

 

[GiveThatLink]

Die UTM 9 ist aber nicht "free". Und das hast du ja oben behauptet

Nachdem Dir so fundamental der Zugang zum Thema verwehrt bleibt

Zur Sophos UTM (nicht allgemein) sicherlich, aber was SSL-Offloading angeht bin ich sicher, dass du jenes mit Inspection verwechselt, weil du "Webserver" ausgeschlossen hast, aber genau darum geht es. Aber egal, ich will dir das Wissen nicht nehmen, vermutlich hat Doc auch schon aufgegeben und dem traue ich da mehr Subjektivität zu, auch wenn seine Sätze kurz und knackig sind dazu. Ostern ist für vieles gut, aber nicht für son Mist hier.

 

[gis]

Nein, ich habe nicht behauptet, dass die UTM9 „free“ ist, sondern für Privatanwender bis heute kostenlos. Die Funktionalität ist auch für Home-Installationen umfangreich, aber auf 50 IP-Adressen beschränkt. Dasselbe gilt übrigens auch für die XG.

Bezüglich SSL-Offloading habe ich gesagt es hat auf den Anwendungsfall bezogen seine Berechtigung (#13), während Du Dich hier in wirr zusammengezimmerten Szenarien, völlig losgelöst vom Kontext, ohne Not um Kopf-und-Kragen textest.