SoftSphere Technologies DefenseWall HIPS€¦ · man entweder über das Tray-Symbol in der...

Single Product Review: SoftSphere DefenseWall HIPS – Mai 2009 www.av-comparatives.org

– 1 -

Single Product Review

SoftSphere Technologies

DefenseWall HIPS

Sprache: Deutsch Mai 2009 Letzte Überarbeitung: 2009-05-25

www.av-comparatives.org


– 2 -

Inhaltsverzeichnis

ÜBER SOFTSPHERE TECHNOLOGIES 3

HILFE & SUPPORT 4

HERUNTERLADEN DER TEST-VERSION 4

UNSER TESTSYSTEM 5

INSTALLATION 5

ERSTE SCHRITTE 6

ERSTE SCHRITTE: (AUTOMATISCHE) WINDOWS UPDATES 7

INSTALLATIONSTESTS 8

DEINSTALLATION 11

MALWARE - TEST 11

FAZIT 12


– 3 -

SoftSphere Technologies wurde im Jahr 2002 gegründet und besteht aus einem Team von hochspezia-

lisierten und erfahrenen Programmierern. Das Unternehmen befasst sich hauptsächlich mit dem Gebiet

der Informationssicherheit und hat es sich zum Ziel gesetzt, einen zuverlässigen Schutz gegen beste-

hende und künftige Bedrohungen wie Viren, Spyware oder Rootkits zu entwickeln. Besonderes Augen-

merk legt SoftSphere Technologies hierbei auf eine einfache Bedienung ihrer Produkte und kleine,

resourcensparende Applikationen.

Das derzeit wichtigste Produkt von SoftSphere Technologies ist „DefenseWall HIPS“, welches wir in

diesem Review auch genauer untersuchen werden. DefenseWall HIPS (Host Intrusion Prevention Sys-

tem) ist nach Herstellerangaben die einfachste und bequemste Art, sich vor schädlicher Software wie

z.B. Spyware, Adware, Keylogger, Rootkits, etc. zu schützen, die gängige Antiviren- und Antispyware-

lösungen aus technischen Gründen nicht aufspüren können.

Aktuelle Testergebnisse finden Sie auf der Website www.av-comparatives.org

Über Softsphere Technologies


– 4 -

Website & Information

Die SoftSphere Technologies Webseite (www.softsphere.com) ist sehr übersichtlich gestal-tet und klar strukturiert. Die Website ist auf Eng-lisch und Russisch verfügbar. Man verzichtet hier offensichtlich bewusst auf überladene Grafiken und arbeitet sehr textlastig, was das Hauptaugenmerk auf die wesentlichen Inhalte der Webseite lenkt.

Das Layout wird in allen gängigen Browsern korrekt wiedergegeben und lässt sich auch mittels Screen-Reader im Wesentlichen navigieren. Somit ist auch für körperlich eingeschränkte Menschen ein Zugang zu den Produkten und dem Support gegeben, die Seite ist barrierefrei.

Auf der linken Seite findet man neben dem Logo auch gleich das Navigationsmenü, was mit seinen 10 Einträgen mehr als übersichtlich ist. Die ersten drei Menüpunkte (News, Produkte und Downloads) bieten den meisten Besuchern der Seite sofort das an, was Sie benötigen, um das Produkt DefenseWall HIPS herunterzuladen und kostenlos zu testen.

Offensichtlich ist der Firma bewusst, dass heutzuta-ge ein derartiges Produkt nicht nur auf Englisch benötigt wird. So bietet der Hersteller lokalisierte Varianten der Benutzeroberfläche auf Deutsch, Polnisch, Französisch, Schwedisch, Italienisch, Chinesisch, Portugiesisch und Russisch an. Dennoch könnte man sich auf jeden Fall mehr Sprachen er-warten.

Neben den beiden Menüeinträgen Support und Forum, findet sich auch der Punkt Registrierung, unter welchem die Vollversion des Produktes erwer-ben und registrieren kann. Ganz am Ende des Navi-

gationsmenüs finden sich dann noch diverse Artikel und Pressebereichte, sowie eine kurze Information über SoftSphere Technologies.

An dieser Stelle möchten wir noch kurz auf den unserem Erachten nach sowohl für Tester als auch Anwender der Kaufversion sehr wichtigen Bereich Hilfe & Support eingehen:

Hilfe & Support

Der Support teilt sich bei SoftSphere Technologies in einen Email-Support und das auf der Homepage befindliche Forum (www.gladiator-antivirus.com). Beim Email-Support wird nochmals in registrierte und nicht registrierte Benutzer unterschieden, wobei ersteren innerhalb von drei Arbeitstagen eine Antwort versprochen wird, während nicht registrier-ten Benutzern keinerlei Versprechungen bez. der Reaktionszeiten gemacht werden.

Eine spezielle Hotline oder einen Live-Support gibt es nicht, was eine wirklich rasche Hilfe verunmög-licht.

Herunterladen der Test-Version

Somit sind alle wichtigen Funktionen der Homepage gut erreichbar und wir wenden uns nun der Be-schaffung einer Testversion der DefenseWall HIPS zu.

Wir klicken also auf „Downloads“ und wählen dort das für unseren Test benötigte Produkt „Defense-Wall HIPS“ aus.


– 5 -

Für den Download der 30 Tage Testversion sind dabei keine weiteren Eingaben oder Registrierungen nötig, was uns im Vergleich zu Konkurrenten sehr positiv aufgefallen ist. Zudem findet sich ein Link auf den Download von alternativen Sprachvarianten des Benutzerinterfaces.

Unser Testsystem

Um ein möglichst aussagekräftiges Ergebnis zu erhalten, setzten wir für diesen Test bewußt eine etwas ältere Businessmaschine von IBM ein. Es handelt sich dabei um ein IBM ThinkCentre 8171-CTO mit einem Intel Pentium 4 CPU mit 3 GHz sowie 512 MB RAM. Als Betriebssystem kommt ein Win-dows XP Pro mit Servicepack 3 auf Englisch zum Einsatz. Das System wurde selbstverständlich kom-plett neu aufgesetzt, um keine eventuellen Altlas-ten mit in den Test zu übernehmen.

Installation

Wir haben die Testversion auf unseren Desktop gespeichert und beginnen nun die eigentliche In-stallation mit einem Doppelklick auf das Setupfile. Das Setup beinhaltet nur 4 Schritte, wobei im ers-ten Schritt nochmals kurz erklärt wird, wie Defen-seWall HIPS genau arbeitet.

Im zweiten Schritt muss man die übliche Software-lizenz akzeptieren, da man ansonsten mit dem Setup nicht fortfahren kann. Im dritten und wohl wichtigsten Schritt wird dann noch das Ziel der Installation angegeben, wobei die Vorauswahl im Ordner Programme für die meisten Benutzer bereits stimmig sein wird. Im vierten und letzten Schritt wird noch ein Neustart des Systems verlangt, wel-chen man jedoch per Häkchen auch verschieben kann. Alles in allem ist die erste Installation in nicht mal 5 Sekunden (!) abgeschlossen.

Mit einem Klick auf „Fertigstellen“ beendet sich das Setup und startet den Computer wie gewünscht neu. Nach dem Neustart werden wir bereits von DefenseWall HIPS mit einem Fenster begrüßt, wel-ches uns die aktuell installierte Version mitteilt und uns die Entscheidung abverlangt, ob wir das Pro-dukt nun kaufen, lizensieren oder testen möchten.

Ein Klick auf „Buy …“ öffnet eine entsprechende Homepage, wo das Produkt bereits im Warenkorb liegt. Die Verbindung ist verschlüsselt und man kann verschiedene Währungen zur Bezahlung aus-wählen. Wir verlassen jedoch an dieser Stelle den Shop, um mit dem Test des Produktes fortzufahren.

Der Neugier halber klicken wir jedoch noch schnell auf den Punkt „Enter code …“, welche einen Win-dows Dialog zur Auswahl einer Registrierungsdatei (*.dwu) öffnet. Da wir keine entsprechende Datei haben, schließen wir den Dialog und klicken statt-dessen auf „Try now“. Ein neues Fenster öffnet sich mit der Frage, ob wir für das automatische Update der DefenseWall die Interneteinstellungen vorneh-men möchten. Wir nehmen das freundliche Angebot an (man könnte das Setup noch auf die nächste Woche vertrösten oder diese Einstellungen über-haupt nie vornehmen).

Der folgende Dialog bietet uns einige Einstellungen für Proxyverbindungen oder eine direkte Internet-verbindung. Da für unsere Zwecke soweit alles rich-tig eingestellt ist, können wir auf den Punkt „Check for Updates“ klicken. Das Programm sucht dann automatisch nach neuen Versionen und lädt diese auch herunter. Nach dem Update müssen wir den Computer nochmals neustarten.

Auch nach diesem Neustart begrüßt uns Defense-Wall mit dem bereits bekannten Fenster und wir


– 6 -

müssen wieder auf „Try now“ klicken, um fortzufah-ren.

Insgesamt kann man sagen, dass die Installation in sehr wenigen Schritten sehr rasch und zuverlässig abläuft. Positiv fällt uns auch auf, dass das Prog-ramm sofort nach dem Neustart ein Update durch-führt, was im Interesse des Durchschnittsanwenders und dessen Sicherheit sein dürfte.

Erste Schritte

Nachdem wir nun das Programm installiert und durch das Update auf den neuesten Stand gebracht haben, möchten wir uns nun den eigentlichen Funktionen zuwenden.

Alle wichtigen Funktionen der DefenseWall erreicht man entweder über das Tray-Symbol in der Start-leiste, oder über die Kontextmenüs des Windows Dateiexplorers.

Ein Klick mit rechten Maustaste öffnet das zugehö-rige Traymenü und bietet folgende Optionen an: Main (öffnet DefenseWall), Expert Mode (dadurch merkt sich DefenseWall nicht den unisicheren Sta-tus der Anwendungen), Disable Protection (erlaubt es dem Benutzer, DefenseWall temporär abzuschal-ten), Go Banking/Shopping (versetzt den Computer in einen speziellen Browsermodus, um eine sichere Transaktion zu gewährleisten), Stop Attack (schließt alle bedenklichen Prozesse auf einmal), Events Log (zeigt die Logeinträge an), Check for Updates, Help, Online Support (öffnet das Support-forum), About und Exit.

An dieser Stelle öffnen wir das Hauptfenster von DefenseWall über den Menüpunkt „Main“. Dort prä-

sentieren sich uns vier Reiter, auf die wir kurz nä-her eingehen möchten.

Der erste Reiter „Stop Attack“ zeigt uns auf einen Blick, welche unsicheren Prozesse gerade laufen und welche Registrierungseinträge bzw. Dateiverän-derungen damit einhergehen. Hier kann man dann einzelne Änderungen bewusst zulassen oder auch verwerfen. Ein Klick auf „Stop Attack“ schließt wie im Kontextmenü sofort alle derzeit laufenden unsi-cheren Prozesse, sodass man auf Nummer sicher gehen kann, wenn einem mal etwas komisch vor-kommt.

Der zweite Reiter „Untrusted Applications“ zeigt uns eine Liste mit als solche eingestuften Prog-rammen an. Hier werden bereits gestartete Prog-ramme automatisch hinzugefügt. Natürlich kann man auch manuell Programme als „Untrusted“ ein-stufen oder diese Einstufungen auch wieder aufhe-ben. Mittels Ausnahmen kann man hier die Defen-seWall auf seine Bedürfnisse einstellen.

Der Reiter „Event Log“ zeigt uns zu jedem als unsi-cher eingestuften Prozess einen eigenen Logeintrag an. Die Liste lässt sich der Übersichtlichkeit halber


– 7 -

auch nach bestimmten Kriterien filtern, aktualisie-ren oder manuell leeren. Interessant ist auch der Punkt, die Logeinträge für spätere Analysezwecke zu exportieren. So kann man bei Unsicherheiten in Zusammenarbeit mit der Forengemeinde sein Wissen kontinuierlich erweitern.

Wer mit den Standardeinstellungen der DefenseWall nicht einverstanden ist oder bestimmte Zwecke im Sinn hat, der kann im letzten Reiter „Advanced“ seiner Erkundungslust freien Lauf lassen. Es bieten sich dort 7 weitere Optionen dar: Options (Diverse Einstellungen wie Hotkeys, Banking/Shopping Ein-stellungen, Popup Window settings, etc.), File and Registry Excludes (hier kann man bestimmte Ände-rungen vom Schutz ausklammern), Secured Files (eine Liste mit vertrauenswürdigen Dateien), Down-load Areas (eine Liste mit Verzeichnissen in die man Dateien herunterladen darf), Check for Upda-tes, Password Protection (hier kann man für alle zukünftigen Einstellungen ein Passwort vergeben) und Resource Protection (hier kann man seine Passworte, Spielaccounts und andere sensitive Da-ten schützen).

Da wir unseren Test jedoch so gestalten möchten, dass er möglichst nahe an einer realen Situation liegt, belassen wir wie vermutlich die meisten An-wender sämtliche Einstellungen wie von Defense-Wall vorgeschlagen.

Wenn man mit der rechten Maustaste auf das Sym-bol von einem Programm klickt, so findet man nun einen neuen Eintrag im Kontextmenü namens „De-fenseWall HIPS >“, welcher ein neues Untermenü öffnet. Hier kann man das Programm dann als „Trusted“ oder „Untrusted“ einstufen bzw. starten, sowie diesen Status auch direkt verändern. Zusätz-

lich ermöglicht es der Punkt „File Properties“ die derzeitige Einstufung von DefenseWall einzusehen.

Erste Schritte: (Automatische) Windows Updates

Da wir unser System nur mit dem Service Pack 3 ausgestattet haben, liegen noch einige Updates von Microsoft zur Installation vor uns. Die automatische Updatebenachrichtigung setzt uns darüber wie gewohnt mit einem gelben Traysymbol in Kenntnis und wir klicken auf „Download“, um diese nun zu installieren. Der Download läuft im Hintergrund wie gewohnt an, bricht dann jedoch ohne weitere Mel-dung ab. Wir starten also den Internet Explorer 6 (als Untrusted Application) und klicken auf Tools und weiter auf Windows Update. Auch hier kommen wir auf diese Art nicht besonders weit, da uns die Windows Update Homepage mitteilt, dass wir keine Administratorenberechtigung besitzen.

Hier greift die DefenseWall offensichtlich gut. Wir klicken als doppelt auf das Trayicon der DefenseWall und dort auf den Reiter „Untrusted Applications“. In der Liste wählen wir den Internet Explorer aus und klicken rechts auf „Run as Trusted“, wodurch eine neues Fenster vom Internet Explorer mit der richtigen Kennung geöffnet wird. Auf diese Art funktionieren die Windows Updates dann wie ge-wohnt und wir machen uns daran, das System auf den neuesten Stand zu bringen.

Gute 38 Updates und zwei Neustarts später, werden keine weiteren Updates mehr angezeigt und wir können uns an den weiteren Produkttest wagen.


– 8 -

Installationstests

Für den folgenden Test haben wir uns eine Liste von 21 Programmen überlegt, die wir jeweils über das Internet im „Untrusted Mode“ downloaden und direkt aus dem Browser heraus versuchen zu instal-lieren. Sollte dies nicht klappen, wir der Download über den Windows Explorer manuell versucht zu installiert, dies auch als „Trusted“ falls nicht anders möglich. Diese Liste umfasst die folgenden Prog-ramme: OpenOffice 3.0.1, Gimp 2.6.6, Winrar 3.8, Firefox 3.0.10, Thunderbird 2.0.0.21, Adobe Reader 9.1, Xnview 1.96, Quicktime 7.6, Realplayer 11.1, VLC Media Player 0.9.9, Java 6 Update 7, Shockwa-ve 11.5, Silverlight 2, PGP Desktop 9.10, Truecrypt 6.1a, Google Toolbar, Yahoo! Messenger 9.0, Win-dows Live Messenger, ICQ 6.5, Skype und Trilian 3.1.12.0.

OpenOffice 3.0.1

Klick auf Downloadlink, Warnung, Download, Instal-lation erfolgreich (Trusted), Programm funktioniert.

Java 6 Update 7

Wurde bei OpenOffice 3.0.1 mitinstalliert, Installa-tion erfolgreich, Programm funktioniert.

Firefox 3.0.10

Klick auf Downloadlink, Warnung, Download, In-stallation fehlgeschlagen (Untrusted), manuelle Installation erfolgreich (Trusted), Programm funktio-niert.

Thunderbird 2.0.0.21

Klick auf Downloadlink, Warnung, Download, Instal-lation erfolgreich (Untrusted), Programm funktio-niert.

Adobe Reader 9.1

Klick auf Downloadlink, Warnung, Download, Instal-lation fehlgeschlagen (Untrusted), manuelle Instal-lation erfolgreich (Trusted), Programm funktioniert.

Gimp 2.6.6


Quicktime 7.6



– 9 -

Realplayer 11.1


VLC Media Player 0.9.9


Shockwave 11.5

Klick auf Downloadlink, Warnung, Download, Instal-lation hängt sich auf (Untrusted), manuelle Instal-lation erfolgreich (Trusted), Programm funktioniert.

Silverlight 2

Klick auf Downloadlink, Warnung, Download, Instal-lation fehlgeschlagen (Untrusted), manuelle Instal-

lation fehlgeschlagen (Trusted), Programm nicht installierbar.

Xnview 1.96


Truecrypt 6.1a

Klick auf Downloadlink, Warnung, Download, In-stallation fehlgeschlagen (Untrusted), manuelle Installation erfolgreich (Trusted), Programm funktio-niert.

Google Toolbar

Klick auf Downloadlink, Warnung, Download, Instal-lation hängt sich auf (Untrusted), manuelle Instal-lation fehlgeschlagen (Trusted), Programm nicht installierbar.


– 10 -

Yahoo! Messenger 9.0


Windows Live Messenger

Klick auf Downloadlink, Warnung, Download, Instal-lation fehlgeschlagen (Untrusted/Trusted; wechselt ständig im Fenster), Silverlight wurde installiert, Messenger nicht, Installation fehlgeschlagen (Trusted), Programm nicht installierbar.

PGP Desktop 9.10

Klick auf Downloadlink, Warnung, Download, Setup direkt aus dem Windows ZIP-Container gestartet, Installation erfolgreich (Trusted), Neustart, Lizenz aktiviert, Programm funktioniert.

Winrar 3.8


ICQ 6.5


Skype

Klick auf Downloadlink, Warnung, Download, Instal-lation fehlgeschlagen (Untrusted), manuelle Installa-tion fehlgeschlagen (Trusted), Programm nicht in-stallierbar

Trillian 3.1.12.0


Office 2003 Professional

Das Office 2003 wurde von uns als einziges Pro-gramm mangels Alternativen von einer CD instal-liert. Hierbei wird das Setup als „Trusted“ erkannt und problemlos ausgeführt. Die Updates lassen sich


– 11 -

wie bei Windows Update nur als „Trusted“ Internet Explorer einspielen, wobei sich bei unserer Testum-gebung durch die installierten Programme wohl ein Fehler im Internet Explorer bzw. bei der Defense-Wall eingeschlichen hat. Updates waren ab diesem Zeitpunkt bis zur Deinstallation der DefenseWall nicht mehr möglich. Auch manuelle Reparaturver-suche (Neuregistrierung der dll-Dateien, Reparatur-skripte, etc.) brachten hier keine Lösung mehr.

Die meisten Programme werden von sich aus als untrusted gestartet, einige Vertrauenswürdige (evtl. wegen Zertifikaten) nicht.

Anmerkung: Die Probleme mit Skype, Windows Live und Silverlight wurden in der Version 2.55 von DefenseWall beseitigt.

Deinstallation

Bei der Deinstallation waren wir vor allem ge-spannt, was mit den Programmen passieren würde, die als „Untrusted“ installiert worden waren. Wir starten also die Systemsteuerung und dort deinstal-lieren dort das Programm über „Add or Remove Programs“. Auch die Deinstallation erfolgt in Se-kunden und wir werden aufgefordert, den Computer neu zu starten.

Nach dem Neustart funktionierten alle zuvor instal-lierten Programme weiterhin einwandfrei: OpenOffi-ce 3.0.1, Gimp 2.6.6, Winrar 3.8, Firefox 3.0.10, Thunderbird 2.0.0.21, Adobe Reader 9.1, Xnview 1.96, Quicktime 7.6, Realplayer 11.1, VLC Media Player 0.9.9, Java 6 Update 7, Shockwave 11.5, PGP Desktop 9.10, Truecrypt 6.1a, Yahoo! Messen-ger 9.0, Windows Live Messenger, ICQ 6.5 und Trili-an 3.1.12.0.

Malware - Test

Wir haben die Software an 100 aktuellen von ande-ren Virenscanner nicht erkannten Malware-Samples (Adware, Spyware, Viren, Trojaner, Backdoors etc.) getestet. Dabei wurden alle Samples erkannt bzw. als untrusted bzw. ohne das System zu kompromit-tieren ausgeführt.

Auch wenn bei diesem Test eine Schutzrate von 100% erreicht wurde, sollte klargestellt werden, dass es trotzdem keinen 100 prozentigen Schutz gibt, egal mit welchem Produkt.

Zu betonen ist, dass die Software als Ergänzung und nicht als Ersatz zu einem Virenscanner zu sehen ist.

DefenseWall bietet Schutz auf Treiberebene. In Theorie wäre es möglich, dass Malware vor dem DefenseWall-Treiber geladen wird, allerdings würde das eine komplette Umgehung der Sandbox-Sicherheit voraussetzen.

DefenseWall schützt nicht vor Buffer Overflows, Phishing-Attacken und Browser-Hijacks.


– 12 -

Fazit

Die DefenseWall HIPS von SoftSphere Technologies ist ein durchwegs gelungenes Produkt, das wirklich das Po-tential hat, vor allem unversierte Benutzer vor allen möglichen Bedrohungen aus dem Internet zu schützen, da es so gut wie alle Prozesse die im Internet Explorer ablaufen, als „untrusted“ führt. Solange man sich an diese Einstellung hält, kann einem kaum etwas passieren.

Kleinere Produktfehler die während unseres Reviews sichtbar wurden, wurden prompt vom Hersteller adressiert und mit der neusten Version 2.55 von DefenseWall beseitigt.

Das Programm kostet derzeit im Online-Shop rund $ 29.95 und ist gegen Aufpreis auch als CD lieferbar.


– 13 -

Copyright and Disclaimer

This publication is Copyright © 2009 by AV-Comparatives e.V. ®. Any use of the results, etc. in whole or in part, is ONLY permitted after the explicit written agreement of the management board of AV-Comparatives e.V., prior to any publication. AV-Comparatives e.V. and its testers cannot be held liable for any damage or loss which might occur as result of, or in connection with, the use of the informa-tion provided in this paper. We take every possible care to ensure the correctness of the basic data, but a liability for the correctness of the test results cannot be taken by any representative of AV-Comparatives e.V. We do not give any guarantee of the correctness, completeness, or suitability for a specific purpose of any of the information/content provided at any given time. No one else involved in creating, producing or delivering test results shall be liable for any indirect, special or consequen-tial damage, or loss of profits, arising out of, or related to, the use or inability to use, the services provided by the website, test documents or any related data. AV-Comparatives e.V. is a registered Austrian Non-Profit-Organization.

For more information about AV-Comparatives and the testing methodologies please visit our website.

AV-Comparatives e.V. (May 2009)

SoftSphere Technologies DefenseWall HIPS€¦ · man entweder über das Tray-Symbol in der...

Documents

Transcript of SoftSphere Technologies DefenseWall HIPS€¦ · man entweder über das Tray-Symbol in der...