From: Boris Kraut Organization: Date: Sun, 12 Dec 2010 02:14:59 +0100 Category: Message-ID: <20101212011459.JrJA9n@silberbruch> Keywords: Comments: To: undisclosed-recipients: ; Subject: AntiViren-Programme (2) Ja, ich weiss, ich habe mich schonmal ueber das Thema ausgelassen, aber das Thema kam in einem Seminar wieder auf. Zuhause angekommen, musste ich noch einige klarstellende Worte dazu verlieren, die ich hier einfach mal komplett wiedergebe: Da mich gestern einige sehr unglaeubig angeschaut haben, als ich mich auf einen kurzen Seitenhieb gegen AV-Programme eingelassen habe, will ich das hier nochmal kurz klaeren: 1. AV-Programme koennen ein wichtiger Bestandteil in der eigenen Sicherheitsstrategie sein. 2. Aus rechtlicher Sicht kann man nur jedem raten, eine Virenscanner zu nutzen, denn leider wird haeufig eine eventuell vertragliche Pflicht, seinen Rechner nach bestem Wissen und Gewissen abzusichern, damit gleichgesetzt, dass man eben Firewall, AV-Scanner und aktuelle Updates installiert hat. 2. Ich rate daher niemanden sich nur blind auf meine Ausfuehrungen zu verlassen. Was ich nutze oder nicht nutze, ist meine Angelegenheit. Wenn ihr meine Ausfuehrungen in euer Sicherheitskonzept uebernehmt, dann seid ihr selbst dafuer verantwortlich. Gut, so weit das Vorwort. Um meine Aeusserung zu verstehen sollte man sich ersteinmal klar werden, was ein AV-Scanner ueberhaupt ist: Ein weiteres Programm, das sich sogar sehr tief im System verankert. Wie jedes Programm, haben auch AV-Programme Fehler. Je mehr Programme man installiert, desto komplexer wird das Gesamtsysteme und desto hoeher ist die Wahrscheinlichkeit, dass irgendwo in der Masse an Software Fehler sind, die ausgenutzt werden koennen -- was gerade bei so tief ins System eingreifenden Programme schwerwiegend ist. Die Frage ist also, bringt mir der Einsatz von AV-Software genuegend Vorteile, um die Nachteile aufzuwiegen? Nun, das Ziel ist klar, es geht darum Schadsoftware aufzuspueren(1) und zu entfernen(2). Leisten sie das auch? (1) Aufspueren Es gibt grundsaetzlich zwei Arten zum Erkennen von Schadsoftware, signaturbasierte Verfahren und heuristische Methoden. Bei ersterem geht es darum, bereits bekannte Viren wieder zu erkennen. Das funktioniert relativ zuverlaessig, aber ist voellig unzureichend, denn es ist ein leichtes ausgehend von einem Schadprogramm viele verschiedene Varianten zu generieren, alle rechtzeitig zu erkennen und die Signaturen schnell zu verteilen ist unmoeglich. Dazu kommt die grosse Riege an noch nicht bekannten Viren. Diesen beiden Punkte versucht man mit Heuristik Herr zu werden. Das sind Methoden um Programm(teil)e zu untesuchen und zu klassifizieren, die eventuell schaedlich sein koennten. Ihr merkt schon, das ist alles sehr hypotetisch und funktioniert mal mehr oder mal weniger gut. Ich fasse zusammen: AV-Programme erkennen einige wenige bekannte Viren, sie erkennen auch einige Abkoemmlinge oder neue Viren. Sie erkennen allerdings auch viele Viren nicht und -- was noch schlimmer ist -- sie irren sich in sehr hohem Masse. Gerade diese false-positives sorgen dafuer, dass ich eigentlich nicht gemeldet bekomme "das System ist virenfrei" oder "da ist ein Virus", nein, man bekommt eine Einschaetzung, eine Wahrscheinlichkeit. (2) Entfernen Um es kurz zu machen: Ist ein Schadprogramm auf dem System gefunden (oder ist die Wahrscheinlichkeit dafuer hoch genug, s.o.), dann ist das System verloren. Man kann es nicht retten. Ein einmal kompromittiertes System ist nicht mehr vertrauenswuerdig: - Ein AV-Programm erkennt nur einen Bruchteil der Viren. Wenn es mal einen erkennt, ist wahrscheinlich schon einiges unbemerkt durch- gekommen. - Wer schonmal etwas Deinstalliert hat weiss, dass immer ein Rest irgendwo bleibt. Warum sollten das AV-Programme bei fremder Software (Schadsoftware) besser koennen, als so manche Hersteller bei ihren eigenen Programmen? - Ist ein Virus gefunden, ist das System kompromittiert. Man weiss nicht, was als Schaden schon angerichtet wurde. Eventuell wurde das AV-Programm selbst schon infiziert und so manipuliert, dass bestimmte Schadsoftware nicht mehr erkennt? Uebrigens ist der Unterschied zwischen "on demand" und "on access" quasi nicht vorhanden. Warum? Nun, es gibt kaum noch "tote" Daten, d.h. es ist gerade unter Windows standardmaessig so, dass im Hintergrund viel Code automatisch ausgefuehrt wird und man sich einfach nicht sicher sein kann, ob dass AV-Programm _vorher_ greift. Nun, ich habe versucht, das alles so untechnisch wie moeglich abzuhandeln, und was vielleicht jeder jetzt verstanden haben soll ist, dass das AV- Programm nicht per Magie sagen kann, was Sache ist, sondern versucht anhand bestimmter Merkmale eine Wahrscheinlichkeitsabschaetzung zu liefern. Das ist mir fuer die Komplexitaet, Systemnaehe und Anfaelligkeit, die ich mir damit einhandle zu wenig Sicherheit. Ich nutze andere Moeglichkeiten mich zu schuetzen, die mir zwar ebenfalls nur einen Wahrscheinlichkeitswert liefern, aber deren Funktionsweise ich verstehen und ueberpruefen kann, aber das fuehrt jetzt etwas zu weit. Wie anfangs erwaehnt, moechte ich nicht, dass ihr jetzt alle eure AV- Programme deinstalliert. Ich moechte nur, dass ihr versteht, dass es keine OneClick-Loesung gibt, die einfach funktioniert und alles richtig macht. Ich moechte, dass ihr einwenig hinterfragt, was ihr nutzt und wieso.