1 From: Boris Kraut <krt@nurfuerspam.de>
\r
2 Date: Mon, 30 Jun 2008 13:13:41 +0000
\r
5 Message-ID: <20080630131341.RdpRK6@silberbruch>
\r
9 To: undisclosed-recipients: ;
\r
10 Subject: Warum Antivirenprogramme SnakeOil sind
\r
12 Warum Antivirenprogramme SnakeOil sind
\r
13 ========================================
\r
15 Ich bin gerade mal wieder dabei, mein Installationsskript fuer FreeBSD zu
\r
16 aktualisieren. Dabei fliegen natuerlich auch einige Eintraege aus dem Skript,
\r
17 weil sie veraltet sind, nur ein Workaround waren oder neugeschrieben wurden.
\r
18 Einige Teile -sowohl alte als auch neue- des Skripts werde ich in Zukunft
\r
19 hier veroeffentlichen und besprechen. Den Anfang macht ClamAV [1], da kein
\r
20 Blogger es sich leisten kann, nicht mindestens einmal im Leben ueber
\r
21 Antivirenprogramme zu bloggen.
\r
23 Wie man ClamAV unter FreeBSD installiert, ist ja kein Geheimnis und sollte
\r
24 auch kein Problem darstellen. Bei einem aktuellen Portstree genuegt
\r
27 $ cd /usr/ports/security/clamav/ && make install clean
\r
28 $ echo 'clamav_clamd_enable="YES"' >> /etc/rc.conf
\r
29 $ echo 'clamav_freshclam_enable="YES"' >> /etc/rc.conf
\r
33 So hatte ich es jahrelang in meinem Skript und davor nutzte ich auch unter
\r
34 Windows AV-Software; so war ich halt "erzogen". Warum also muss ClamAV jetzt
\r
35 gehen? Nun, es ist wie anfangs erwaehnt kein spezifisches Problem mit
\r
36 ClamAV, sondern mit Antivirenprogrammen im Allgemeinen. Ich huete mich davor
\r
37 zu sagen, dass Antivirenprogramme gar nichts bringen, aber es ist ganz klar,
\r
38 dass sie ein truegerisches Sicherheitsgefuehl vermitteln.
\r
40 AV-Programme koennen nur einen Teil der bekannten Viren zuverlaessig erkennen,
\r
41 das heisst, dass sein System auch ohne dass das AV-Program angesprungen ist
\r
42 hochgradig verseucht sein kann. Dessen muss man sich IMMER bewusst sein. Wenn
\r
43 ein Virus nun erkannt ist, dann ist davon auszugehen, dass das System sehr
\r
44 wahrscheinlich kompromittiert wurde und wenn das der Fall ist, gibt es nur
\r
45 eine Loesung: Das System neu aufsetzten; nein, AV-Software kann das System
\r
46 nicht "reparieren", da sobald sie anspringt schon nen Sicherheitsloch
\r
47 vorhanden ist und man nicht weiss, was schon alles verseucht ist (evtl. ist
\r
48 ja das AV-Programm selbst schon attackiert worden?). Der einzige Zweck des
\r
49 Antivirus ist also, zu erkennen, wann das System aufjedenfall verloren ist.
\r
51 Fuer diesen Zweck kann man AV-Software grundsaetzlich einsetzten, doch sollte
\r
52 man gut ueberlegen, welche man installiert. Leider haben es sich gerade im
\r
53 Windows-Bereich die Hersteller zur Angewohnheit gemacht, ihre Programme tief
\r
54 im System zu verankern. Dies und die schlampige Programmierung der meisten
\r
55 AV-Loesungen, die meist mehr Sicherheitsloecher aufreisst, als beseitig
\r
56 -denke immer daran, je mehr Software auf einem System installiert ist, desto
\r
57 mehr Fehler koennen sich im Gesamtsystem befinden- sorgen dafuer, dass man
\r
58 sehr genau abwiegen muss, ob das eventuelle Plus an Gewissheit -nicht
\r
59 Sicherheit- die Nachteile akzeptabel macht.
\r
61 Ein weiterer Grund, warum ich ClamAV den Laufpass gebe ist, dass ich es bei
\r
62 meinen Betriebssystemen nicht brauche. Nein, nicht weil es fuer FreeBSD und
\r
63 Linux keine oder nur sehr wenige Viren gibt, sondern, weil ich als Benutzer
\r
64 arbeite und Benutzer bei mir sehr eingeschraenkte Rechte haben; beispielsweise
\r
65 koennen sie nur Programme starten, die in einer Whitelist sind und
\r
66 Schreibrechte auf Systemdateien werden sowieso nicht gewaehrt. Zudem kommt,
\r
67 dass ich in naher Zukunft nur noch von ReadOnly-Medien booten werde, die
\r
68 dann das System ins RAM laden. Nach einem Neustart, ist alles wie vorher.
\r
70 Was ist also die Schlussfolgerung? Nun, ich verdamme AV-Software nicht. Ich
\r
71 habe fuer mich entschieden, dass meine Systeme soetwas nicht brauchen.
\r
72 Andere werden sicherlich mit AV-Software besser fahren, solange sie die oben
\r
73 angemahnten Richtlinien beherzigen. Bei den meisten Windows-PCs meiner
\r
74 Bekanntschaft, die ich betreue, setze ich meist Avast AntiVirus HE [2] ein,
\r
75 aber da die PCs auch sonst ganz brauchbar eingerichtet sind und die Benutzer
\r
76 inzwischen gelernt haben, das Gehirn beim Surfen einzuschalten, ist es
\r
77 schon eine halbe Ewigkeit her, seit ich von meinen Bekannten klagen ueber
\r
78 Virenbefall vernommen habe.
\r
81 [1] http://www.clamav.net/
\r
82 [2] http://www.avast.com/
projects / krt-msg / blob