Door Erik van Straten: Door Anoniem: Nee Erik wat ik zeg is dat jou resultaten afwijken van geverifieerde data omdat je enkel vertrouwt op Virustotal results zonder dit zelf te verifiëren in de producten waar de melding wel of niet wordt weergeven.
https://go.screenpal.com/watch/cZeu6VV7PAa Irrelevant. Ik ben niet bezig met een onderzoek naar virusscanners, en schreef onder meer:
Je gaat mij niet wijsmaken dat Google bij ESET selectief detectiedata op kan halen, wel voor de ene phishingsite maar niet voor een andere.
Waar je niet op ingaat.
Ik vermoed dat de reden als volgt is: elke "detectie" krijgt hoogstwaarschijnlijk een kanswaarde mee (hoger indien vaker gemeld, en lager bij PUP's (Potentially Unwanted Program - zoals psexec.exe of netcat.exe op een windows PC, of een website waarop niet werkende doch onschadelijke medicijnen, spierversterkers etc. worden verkocht).
Daarnaast hebben Virusscanners allerlei instellingen (niet persé toegankelijk voor de gebruiker), waaronder waarschijnlijk een "schuifregelaar"-instelling tussen:
a) "Agressiever": meer true positives en meer false positives;
b) "Terughoudender": meer true negatives en meer false negatives.
Het is hartstikke fijn voor jou als ESET
bij jou thuis agressiever staat ingesteld dan ESET bij VT (wie weet zit er ook nog iets van AI in jouw thuisscanner, waarbij de instelling afhangt van jouw gedrag in het verleden. Als jij allerlei security-onderzoekjes doet en daarbij relatief veel "ellende" tegenkomt, zou de schuifregelaar wel eens een eind richting a) kunnen staan).
Oftewel, als ESET aan8 [2] een "kwaadaardigheidkans" van 50% heeft toegekend, en bij jou thuis de "agressiviteit" op 50% of hoger staat ingesteld, en bij VT op 49%, wordt [2] wel bij jou thuis maar niet bij VT gedetecteerd.
Wat als kwaadaardig wordt beschouwd kan overigens ook met de tijd veranderen (onaangekondigd). Ik schat, ruwweg een jaar of drie geleden, begon Microsoft Defender spontaan "hosts" files (die ik voor onderzoekjes had gebruikt en die in, niet voor de hosts-functie geraadpleegde, documentatiemappen stonden) in quarantaine te zetten (zucht). En als ik me goed herinner zijn er virusscanners die bij een versleutelde ZIP-file gaan proberen of het wachtwoord "infected" is, en zo ja, alarm slaan indien op die manier malware in die ZIP wordt ontdek.
En als morgen de slimste onderzoeker van ESET zich voor een maand ziekmeldt, kun je helemaal pech hebben.
Kortom: virusscanners zijn
onvoorspelbaar. Sowieso is de detectiekans bij verse malware en nieuwe foute sites simpelweg laag.
Door Anoniem: Ik zeg niet dat Virustotal selectief iets doet en ik zeg ook niet dat ESET het wondermiddel is want dat is het absoluut niet.
Precies. Ik ben bezig met een topic waarmee ik aantoon dat je, als doorsnee internetter,
vette pech kunt hebben - namelijk doordat
schijnbaar toevallig een hele reeks aan beveiligingsmaatregelen jou (de internetter) in de steek laat.
Exact voor
dergelijke situaties hebben we een wet waarvan de strekking is dat de bank de schade vergoedt - tenzij je medeplichtig bent geweest (d.w.z. de bank, willens en wetens, hebt bestolen of hebt helpen bestelen). Maar dat is, m.i. ongetwijfeld,
niet het geval als je in scam [2] trapt (na daar door [1] naar toe te zijn doorgestuurd).
Zorgelijk eerlijk dat is hoe ik je hele reactie kan omschrijving in één woord zorgelijk.
Waarom zeg je dat virusscan werking en resultaten niet relevant is als je zelf die data hebt aangeleverd erover en in je argumentering plaatst.
Waarom zeg je dat ik niet in ga op je vraag.
Nee Erik wat ik zeg is dat jou resultaten afwijken van geverifieerde data omdat je enkel vertrouwt op Virustotal results zonder dit zelf te verifiëren in de producten waar de melding wel of niet wordt weergeven. Ik zeg niet dat Virustotal selectief iets doet
Waarom ga je een heel verhaal typen over detection rates als ik letterlijk in mijn vorige en al eerdere response zei dat ik erken dat malware scanners 50/50 werken.
Ik ben me er van bewust dat malware scanners maar 50/50 werken en de rest marketing bshit is.
Scanners werken altijd 50/50 wat voor marketing ze ook doen. Het detecteer iets of het detecteert iets niet. Het zegt niks over of het klopt wat het detecteerd enkel dat het wat detecteerd.
En waarom met een ondertoon dat ik een of andere leek was die niet weet hoe scanners werken.
Nee je had niet met een leek te maken die uitleg nodig had over dat virusscanners opties hebben in hun configuratie. Ik ben de zelfde persoon die vroeg naar de mailheaders die jij toen niet relevant vond. En voor dat ik dat vroeg onze data van onze operation center aanleverde over vorige bunq aanvallen. En dus later uit beleefdheid melde dat onze scanners gewoon aansloegen op de urls die jij stuurde omdat we je melding serieus namen richting onze gebruikers. Maar ook waarnemen van afwijkende onderzoeks data en het wel zo netjes was om dat te melden aan de researcher. En dan krijg ik zo een reactie van je?
Ik heb vanaf begin duidelijk gemaakt dat het om endpoint security ging. Ik ga niet hier beide onze tijd ook nog eens verdoen met het plaatsen van de definitie van endpoint security.
Waarom trek je los daarvan ook nog de conclusie dat dit een thuis situatie was.
ESET Endpoint Security pakt het op en blokkeert de connectie en ik krijg een alert in ons dashboard zoals verwacht dat er phising content is tegengehouden.
Waarom zou er een neural network, A.I. actief zijn?
Zou ik persoonlijk live data doorsturen absoluut niet maar als er bij ons wat wordt gedetecteerd van hoog genoeg dreiging niveau gaat het wel via een malware specialist waar we directe lijn mee hebben bij de leverancier voor verdere analyse in hun lab en afhankelijk van type data kan die ook worden gebruikt voor andere individuals en bedrijven voor detectie.
Je had kunnen vragen om meer data over onze test setup, je had meer test data kunnen vragen of je had gewoon kunnen zeggen sorry hier wil ik geen tijd aan besteden. Had dat graag beantwoord en ook als je geen tijd wou besteden eraan gerespecteerd. Maar in plaats daarvan koos je de optie die ik niet van een professional had verwacht. Je deed aannames zelfs als de data aanwezig al was om een redelijke plausibele conclusie te kunnen maken over de infrastructuur waar getest op was of met wat voor soort gebruiker je in gesprek was. En ook nog eens foute aannames.
Naast ons corporate test netwerk heb ik naar aanleiding van je aannames ook even de moeite nog genomen een trial van het meest basis product op een willekeurige privé laptop te testen zonder aan de opties te zitten. https://pasteboard.co/l28kEsbQnshL.png
Geen verschil in omdat het dezelfde signatures betreft. Dus nee je aannames kloppen bij deze niet.
Dus er is geen enkele logische verklaring waarom VT niet erkent dat het product phising heeft herkend. En ik weet nogmaals niet waarom maar het getuigd niet van vertrouwen in VT resultaten net als we beide overeens zijn dat virusscanners zelf problematisch kunnen zijn. Maar niet relevant right?
Dus ik ga nu maar zelf mijn persoonlijke conclusies trekken maar dan over de gehele interactie gezien ik geen vooruitgang zie in de gehele discussie en hierna ook geen tijd meer aan wil besteden.
Je initiële data klopt niet. In hoeverre weet ik niet, doet er niet toe meer voor mij want het is niet meer te vertrouwen.
De screencaptures tonen de afwijkingen.
Je bent niet bereidt de geleverde data te auditten. Je argument daarin is dat het niet relevant is terwijl het over je eigen geplaatste data gaat.
Door Erik van Straten:Irrelevant. Ik ben niet bezig met een onderzoek naar virusscanners
Je neemt constructieve kritiek niet bepaald serieus.
Door Erik van Straten:Je gaat mij niet wijsmaken dat Google bij ESET selectief detectiedata op kan halen, wel voor de ene phishingsite maar niet voor een andere.
Je stelt vragen waar al antwoord op is gegeven wat getuigd ervan dat je iedergeval bij onze interactie niet eens de tijd neemt reacties zorgvuldig te lezen voor je een weder reactie plaatst.
Door Erik van Straten:Waar je niet op ingaat.
En het ergste je maakt aannames over situatie en over personen terwijl de gespreksdeelnemer en bron waar je de aannames over doet eerst had kunnen vragen om meer informatie. Dat is in mijn ogen een teken van geen respect voor de gespreksdeelnemers tonen. Ik hoef je niet uit te leggen hoe we omgaan in het bedrijfsleven met mensen die ongefundeerde aannames verspreiden.
Ik heb je altijd als een prettige gespreksdeelnemer ervaren met bruikbare informatie over waar ik zelf geen verstand van heb. Of in andere gevallen het interessant was om de blik van een professional buiten mijn eigen team en industrie partners te gebruiken. Voor reflectie op relevante meegemaakte scenario's of ideeen voor aanpak van een toekomstig issue. (of ik nu eens was met je conclusie of niet). Maar niet op deze manier.
Dit is ver onder het niveau van professioneel handelen in mijn ogen.
Ik kan niet vertrouwen op dat toekomstige informatie van je geverifieerd is. Je intentie om dat ook niet relevant te vinden is rond uit zorgelijk. Mijn anonieme forum interactie met je is daarmee na vele jaren dat we hebben gediscussieerd in het verleden (en ook vaak genoeg niet eens waren op respectvolle wijze) ten einde. Dank voor je bijdrages ook omtrent de bunq melding en het allerbeste nog gewenst.