1 From: Boris Kraut <krt@nurfuerspam.de>
\r
3 Date: Sun, 12 Dec 2010 02:14:59 +0100
\r
5 Message-ID: <20101212011459.JrJA9n@silberbruch>
\r
8 To: undisclosed-recipients: ;
\r
9 Subject: AntiViren-Programme (2)
\r
11 Ja, ich weiss, ich habe mich schonmal ueber das Thema ausgelassen,
\r
12 aber das Thema kam in einem Seminar wieder auf. Zuhause angekommen,
\r
13 musste ich noch einige klarstellende Worte dazu verlieren, die ich
\r
14 hier einfach mal komplett wiedergebe:
\r
17 Da mich gestern einige sehr unglaeubig angeschaut haben, als ich mich
\r
18 auf einen kurzen Seitenhieb gegen AV-Programme eingelassen habe, will
\r
19 ich das hier nochmal kurz klaeren:
\r
21 1. AV-Programme koennen ein wichtiger Bestandteil in der
\r
22 eigenen Sicherheitsstrategie sein.
\r
24 2. Aus rechtlicher Sicht kann man nur jedem raten, eine Virenscanner
\r
25 zu nutzen, denn leider wird haeufig eine eventuell vertragliche
\r
26 Pflicht, seinen Rechner nach bestem Wissen und Gewissen abzusichern,
\r
27 damit gleichgesetzt, dass man eben Firewall, AV-Scanner und aktuelle
\r
28 Updates installiert hat.
\r
30 2. Ich rate daher niemanden sich nur blind auf meine Ausfuehrungen zu
\r
31 verlassen. Was ich nutze oder nicht nutze, ist meine Angelegenheit.
\r
32 Wenn ihr meine Ausfuehrungen in euer Sicherheitskonzept uebernehmt,
\r
33 dann seid ihr selbst dafuer verantwortlich.
\r
35 Gut, so weit das Vorwort. Um meine Aeusserung zu verstehen sollte man
\r
36 sich ersteinmal klar werden, was ein AV-Scanner ueberhaupt ist: Ein
\r
37 weiteres Programm, das sich sogar sehr tief im System verankert. Wie
\r
38 jedes Programm, haben auch AV-Programme Fehler. Je mehr Programme man
\r
39 installiert, desto komplexer wird das Gesamtsysteme und desto hoeher
\r
40 ist die Wahrscheinlichkeit, dass irgendwo in der Masse an Software
\r
41 Fehler sind, die ausgenutzt werden koennen -- was gerade bei so tief
\r
42 ins System eingreifenden Programme schwerwiegend ist.
\r
44 Die Frage ist also, bringt mir der Einsatz von AV-Software genuegend
\r
45 Vorteile, um die Nachteile aufzuwiegen? Nun, das Ziel ist klar, es
\r
46 geht darum Schadsoftware aufzuspueren(1) und zu entfernen(2). Leisten
\r
51 Es gibt grundsaetzlich zwei Arten zum Erkennen von Schadsoftware,
\r
52 signaturbasierte Verfahren und heuristische Methoden. Bei ersterem
\r
53 geht es darum, bereits bekannte Viren wieder zu erkennen. Das
\r
54 funktioniert relativ zuverlaessig, aber ist voellig unzureichend,
\r
55 denn es ist ein leichtes ausgehend von einem Schadprogramm viele
\r
56 verschiedene Varianten zu generieren, alle rechtzeitig zu erkennen
\r
57 und die Signaturen schnell zu verteilen ist unmoeglich. Dazu kommt
\r
58 die grosse Riege an noch nicht bekannten Viren. Diesen beiden Punkte
\r
59 versucht man mit Heuristik Herr zu werden. Das sind Methoden um
\r
60 Programm(teil)e zu untesuchen und zu klassifizieren, die eventuell
\r
61 schaedlich sein koennten. Ihr merkt schon, das ist alles sehr
\r
62 hypotetisch und funktioniert mal mehr oder mal weniger gut.
\r
64 Ich fasse zusammen: AV-Programme erkennen einige wenige bekannte Viren,
\r
65 sie erkennen auch einige Abkoemmlinge oder neue Viren. Sie erkennen
\r
66 allerdings auch viele Viren nicht und -- was noch schlimmer ist -- sie
\r
67 irren sich in sehr hohem Masse. Gerade diese false-positives sorgen
\r
68 dafuer, dass ich eigentlich nicht gemeldet bekomme "das System ist
\r
69 virenfrei" oder "da ist ein Virus", nein, man bekommt eine Einschaetzung,
\r
70 eine Wahrscheinlichkeit.
\r
74 Um es kurz zu machen: Ist ein Schadprogramm auf dem System gefunden (oder
\r
75 ist die Wahrscheinlichkeit dafuer hoch genug, s.o.), dann ist das System
\r
76 verloren. Man kann es nicht retten. Ein einmal kompromittiertes System ist
\r
77 nicht mehr vertrauenswuerdig:
\r
79 - Ein AV-Programm erkennt nur einen Bruchteil der Viren. Wenn es mal
\r
80 einen erkennt, ist wahrscheinlich schon einiges unbemerkt durch-
\r
83 - Wer schonmal etwas Deinstalliert hat weiss, dass immer ein Rest
\r
84 irgendwo bleibt. Warum sollten das AV-Programme bei fremder
\r
85 Software (Schadsoftware) besser koennen, als so manche Hersteller
\r
86 bei ihren eigenen Programmen?
\r
88 - Ist ein Virus gefunden, ist das System kompromittiert. Man weiss
\r
89 nicht, was als Schaden schon angerichtet wurde. Eventuell wurde
\r
90 das AV-Programm selbst schon infiziert und so manipuliert, dass
\r
91 bestimmte Schadsoftware nicht mehr erkennt?
\r
93 Uebrigens ist der Unterschied zwischen "on demand" und "on access" quasi
\r
94 nicht vorhanden. Warum? Nun, es gibt kaum noch "tote" Daten, d.h. es ist
\r
95 gerade unter Windows standardmaessig so, dass im Hintergrund viel Code
\r
96 automatisch ausgefuehrt wird und man sich einfach nicht sicher sein kann,
\r
97 ob dass AV-Programm _vorher_ greift.
\r
101 Nun, ich habe versucht, das alles so untechnisch wie moeglich abzuhandeln,
\r
102 und was vielleicht jeder jetzt verstanden haben soll ist, dass das AV-
\r
103 Programm nicht per Magie sagen kann, was Sache ist, sondern versucht
\r
104 anhand bestimmter Merkmale eine Wahrscheinlichkeitsabschaetzung zu liefern.
\r
106 Das ist mir fuer die Komplexitaet, Systemnaehe und Anfaelligkeit, die ich
\r
107 mir damit einhandle zu wenig Sicherheit. Ich nutze andere Moeglichkeiten
\r
108 mich zu schuetzen, die mir zwar ebenfalls nur einen Wahrscheinlichkeitswert
\r
109 liefern, aber deren Funktionsweise ich verstehen und ueberpruefen kann,
\r
110 aber das fuehrt jetzt etwas zu weit.
\r
112 Wie anfangs erwaehnt, moechte ich nicht, dass ihr jetzt alle eure AV-
\r
113 Programme deinstalliert. Ich moechte nur, dass ihr versteht, dass es
\r
114 keine OneClick-Loesung gibt, die einfach funktioniert und alles richtig
\r
115 macht. Ich moechte, dass ihr einwenig hinterfragt, was ihr nutzt und
\r
projects / krt-msg / blob