From: Boris Kraut Date: Mon, 30 Jun 2008 13:13:41 +0000 Category: Sender: Message-ID: <20080630131341.RdpRK6@silberbruch> References: Keywords: Comments: To: undisclosed-recipients: ; Subject: Warum Antivirenprogramme SnakeOil sind Warum Antivirenprogramme SnakeOil sind ======================================== Ich bin gerade mal wieder dabei, mein Installationsskript fuer FreeBSD zu aktualisieren. Dabei fliegen natuerlich auch einige Eintraege aus dem Skript, weil sie veraltet sind, nur ein Workaround waren oder neugeschrieben wurden. Einige Teile -sowohl alte als auch neue- des Skripts werde ich in Zukunft hier veroeffentlichen und besprechen. Den Anfang macht ClamAV [1], da kein Blogger es sich leisten kann, nicht mindestens einmal im Leben ueber Antivirenprogramme zu bloggen. Wie man ClamAV unter FreeBSD installiert, ist ja kein Geheimnis und sollte auch kein Problem darstellen. Bei einem aktuellen Portstree genuegt folgendes Skript: $ cd /usr/ports/security/clamav/ && make install clean $ echo 'clamav_clamd_enable="YES"' >> /etc/rc.conf $ echo 'clamav_freshclam_enable="YES"' >> /etc/rc.conf $ rehash $ freshclam So hatte ich es jahrelang in meinem Skript und davor nutzte ich auch unter Windows AV-Software; so war ich halt "erzogen". Warum also muss ClamAV jetzt gehen? Nun, es ist wie anfangs erwaehnt kein spezifisches Problem mit ClamAV, sondern mit Antivirenprogrammen im Allgemeinen. Ich huete mich davor zu sagen, dass Antivirenprogramme gar nichts bringen, aber es ist ganz klar, dass sie ein truegerisches Sicherheitsgefuehl vermitteln. AV-Programme koennen nur einen Teil der bekannten Viren zuverlaessig erkennen, das heisst, dass sein System auch ohne dass das AV-Program angesprungen ist hochgradig verseucht sein kann. Dessen muss man sich IMMER bewusst sein. Wenn ein Virus nun erkannt ist, dann ist davon auszugehen, dass das System sehr wahrscheinlich kompromittiert wurde und wenn das der Fall ist, gibt es nur eine Loesung: Das System neu aufsetzten; nein, AV-Software kann das System nicht "reparieren", da sobald sie anspringt schon nen Sicherheitsloch vorhanden ist und man nicht weiss, was schon alles verseucht ist (evtl. ist ja das AV-Programm selbst schon attackiert worden?). Der einzige Zweck des Antivirus ist also, zu erkennen, wann das System aufjedenfall verloren ist. Fuer diesen Zweck kann man AV-Software grundsaetzlich einsetzten, doch sollte man gut ueberlegen, welche man installiert. Leider haben es sich gerade im Windows-Bereich die Hersteller zur Angewohnheit gemacht, ihre Programme tief im System zu verankern. Dies und die schlampige Programmierung der meisten AV-Loesungen, die meist mehr Sicherheitsloecher aufreisst, als beseitig -denke immer daran, je mehr Software auf einem System installiert ist, desto mehr Fehler koennen sich im Gesamtsystem befinden- sorgen dafuer, dass man sehr genau abwiegen muss, ob das eventuelle Plus an Gewissheit -nicht Sicherheit- die Nachteile akzeptabel macht. Ein weiterer Grund, warum ich ClamAV den Laufpass gebe ist, dass ich es bei meinen Betriebssystemen nicht brauche. Nein, nicht weil es fuer FreeBSD und Linux keine oder nur sehr wenige Viren gibt, sondern, weil ich als Benutzer arbeite und Benutzer bei mir sehr eingeschraenkte Rechte haben; beispielsweise koennen sie nur Programme starten, die in einer Whitelist sind und Schreibrechte auf Systemdateien werden sowieso nicht gewaehrt. Zudem kommt, dass ich in naher Zukunft nur noch von ReadOnly-Medien booten werde, die dann das System ins RAM laden. Nach einem Neustart, ist alles wie vorher. Was ist also die Schlussfolgerung? Nun, ich verdamme AV-Software nicht. Ich habe fuer mich entschieden, dass meine Systeme soetwas nicht brauchen. Andere werden sicherlich mit AV-Software besser fahren, solange sie die oben angemahnten Richtlinien beherzigen. Bei den meisten Windows-PCs meiner Bekanntschaft, die ich betreue, setze ich meist Avast AntiVirus HE [2] ein, aber da die PCs auch sonst ganz brauchbar eingerichtet sind und die Benutzer inzwischen gelernt haben, das Gehirn beim Surfen einzuschalten, ist es schon eine halbe Ewigkeit her, seit ich von meinen Bekannten klagen ueber Virenbefall vernommen habe. [1] http://www.clamav.net/ [2] http://www.avast.com/