Last Updated on 11 Jahren by TmoWizard
Liebe Leserinnen und Leser,
nun kommt tatsächlich unerwartet ein weiterer Artikel zum Thema „Sicherheit am PC“ hinzu! Das war so nicht geplant, aber die Zeit steht eben nicht still und manche Ereignisse erfordern dann eben passende Maßnahmen. In diesem Fall trägt der folgende Artikel bei Heise.de die Schuld:
Schutzlose Wächter – Antiviren-Software als Sicherheitslücke
Die Kurzfassung des Artikels:
Es wurden Lücken in Programmen entdeckt!
Blöde Frage: Haben die Leute etwa erwartet, daß diese Virenscanner frei von solchen Lücken sind? Dann müßen die aber weit ab von jeglicher Realität leben, also ähnlich wie unsere Politiker! Gerade bei den sogenannten Security Suiten dürfte eigentlich jedem vernünftig denkendem Menschen klar sein, daß ein solch umfangreiches Programm niemals fehlerfrei sein kann.
…
..
.
Ach so, das habe ich vergessen: Vernunft kann man nicht kaufen, man hat sie oder man hat sie nicht!
Gekaufte Unsicherheit!
In meinem Umfeld ist es ja eher so, daß die Leute eher kostenlose Produkte bevorzugen. Das betrifft natürlich auch die Virenscanner, was ja eigentlich nicht weiter schlimm ist. Immerhin verwenden diese ja die gleichen Engine wie kostenpflichtigen Versionen, so daß es bei der Erkennung eher kaum Unterschiede gibt.
Schlimm ist dann allerdings, wenn eben diese Engine gravierende Fehler aufweist! Genau dies wurde nun bekannt, was wahrscheinlich besonders für Unternehmen ein schlechtes Zeichen ist. Im Allgemeinen verwenden diese ja teure Lösungen, die aber dummer Weise ebenfalls auf den selben unsicheren Unterbau zurück greifen!
Rechte und Pflichten!
Ein Problem dieser Scanner ist es, daß sie für ihre Arbeit ziemlich hohe Rechte benötigen. Sie sind also entweder als Administrator unterwegs oder gleich als Systemprozeß, wodurch natürlich ein entsprechender Angreifer die selben Rechte bekommt! Ein Virenscanner darf also meistens alles verändern, in Quarantäne schicken oder auch gleich löschen, was ihm gerade eben über den Weg läuft. Wenn das nun eine Systemdatei betrifft, dann hat der Anwender ein ganz gewaltiges Problem!
Wenn nun ein Angreifer diesen Schutz durchbricht und den Virenscanner übernimmt, dann kann er das natürlich auch! Er kann also ebenfalls alle Dateien ändern, die der Scanner selbst auch verändern darf. NICHT GUT!
An dieser Stelle möchte ich einen weiteren Artikel in’s Spiel bringen, der bei CHIP online erschienen ist. Er ist dumm genug verfaßt, daß er genauso gut auch bei ComputerBLÖDBILD hätte erscheinen können:
Antivirus im Test: Die besten Tools gegen Malware
Virenscanner mit Sicherheitslücken
Herr Grimm bringt hier tatsächlich das Kunststück auf die Reihe, daß er bei einem Bericht über Lücken in Virenscannern diese fehlerhafte Software auch noch als Schutz empfiehlt! Ich frage mich hier echt, was sich der Mann denn dabei gedacht hat? Dann sind da auf Platz 1 auch gleich noch drei Produkte, die laut dem Bericht immer noch zum Teil gravierende Sicherheitslücken aufweisen! Wie üblich wurde aber das Produkt beim Test vergessen, welches den Fehler am schnellsten beseitigt hatte:
Warum fehlt da ClamAV?
Ihr als meine Leserinnen und Leser wißt natürlich, daß ich ausgerechnet dieses Produkt bevorzuge und auch empfehle. Scheinbar sind aber viele Leute der Ansicht, daß ein Virenscanner nichts taugen kann, wenn er Open Source ist. Es wird dabei allerdings vergessen, daß es davon auch eine kommerzielle Version gibt! Hinter ClamAV steckt ein sehr komplexes Firmennetzwerk, bei dem auch eine Sicherheitsfirma nicht fehlt! Auch Cisco gehört dazu, das ist nun wirklich keine kleine Firma.
Auf sehr vielen Mail-Servern läuft Linux mit ClamAV als Viren- und Malware-Scanner, das hat schon seinen guten Grund! Trotzdem wird er regelmäßig bei solchen Tests übergangen, was mich immer und immer wieder erstaunt. Ich bekomme hier ja wirklich sehr viele Mails, bei denen oft auch ganz nette Anhänge vorhanden sind. Ein Test mit virustotal bringt es dann zu Tage, daß ClamAV fast immer zu den Ersten gehört, die einen neuen Virus bereits erkennen, wogegen z. B. MSE eigentlich immer zu den Letzten gehört. So ziemlich jeder Test belegt das, auch der im verlinkten Artikel zu CHIP!
Die großen Anbieter haben wohl so langsam Angst, daß ihnen ClamAV bzw. Immunet den Rang streitig machen. Diese Angst ist berechtigt wenn man bedenkt, daß Immunet inzwischen eine Cloud verwendet! Jeder kann dort mitmachen, so daß die Erkennungsrate von Immunet/ClamAV immer besser wird.
Wie geschrieben ist die gefundene Lücke bei ClamAV schnellstens geschloßen worden, wie man auch aus dem entsprechenden Dokument (PDF) entnehmen kann. Das sollen andere Firmen erst einmal nachmachen, aber die versprechen ja lieber ein sicheres System, obwohl sie dieses Versprechen gar nicht einhalten können!
Die Pflicht ruft!
Angesichts dieser zum Teil gravierender Mängel stellt sich natürlich die Frage, ob man sich solch ein Teil überhaupt installieren sollte. Ich sage: Ja, auf jeden Fall! Auch wenn die Scanner Sicherheitslücken aufweisen bieten sie zumindest einen Grundschutz, da sie ja normaler Weise ihre Arbeit verrichten und eben Schadware erkennen. Man sollte nie vergessen, daß wirklich sämtliche Programme und natürlich auch das verwendete Betriebssystem ebenfalls Lücken aufweist! Wäre das nicht der Fall, dann bräuchte ja nichts davon jemals ein Update!
Jedoch bin ich der Meinung, daß solche Software auf keinen so tief in das System eingreifen darf, daß es danach nicht mehr funktioniert. Auch von einem Mail-Client wie Thunderbird oder SeaMonkey Mail & Newsgroups sollte es die Finger lassen, G Data ist derzeit eines der besten Beispiele hierfür!
Achtung, Eigenwerbung!
An dieser Stelle nochmal der Hinweis an mein bereits oben verlinktes und wohlbekanntes Tutorial. Es gibt hier nämlich einen gehörigen Unterschied zu anderen Lösungen, denn auf diese Art werden Downloads, Mails, News und Feeds nur geprüft. ClamAV hat bei dieser Konfiguration nicht die Berechtigung, daß er auch nur irgend etwas verändert oder löscht! Er zeigt nur an, daß er etwas für verdächtig oder befallen hält.
Eine entsprechende Mail muß man dann eben von Hand im Mail-Client selbst in den Papierkorb oder Junk-Ordner werfen, dann diesen Ordner leeren und komprimieren. Ergebnis: Die schadhafte Mail ist weg, aber eben erst nach dem Komprimieren! (in SeaMonkey/Thunderbird -> rechte Maustaste -> Ordner komprimieren)
Das Problem bei meinem Tutorial ist allerdings, daß es nur für SeaMonkey und Firefox/Thunderbird gilt. Wie es mit Fireclam ist weiß ich nicht, clamdrib wird aber nicht für andere Mail-Clients erscheinen! Ich mache das privat und nicht ganz offiziell, es gibt derzeit also nur vorübergehende … nennen wir es Garantie, daß clamdrib weiter entwickelt wird!
Ich weiß leider nicht, was von Mozilla noch für Änderungen kommen werden. Vor allem in Anbetracht dessen, daß Thunderbird eigentlich nicht mehr weiter entwickelt wird. Ich möchte noch einmal darauf hinweisen, daß ich SeaMonkey unter Linux verwende und die Kombination clamdrib/Thunderbird unter Windows nur ein Nebenprodukt sind! Derzeit funktioniert es zumindest unter Linux ohne Probleme, für Windows kann ich das leider derzeit nicht garantieren.
Mein Fazit:
Ein Virenscanner gehört auf jeden Rechner, ob mit oder ohne Sicherheitslücken. Solche Lücken können zwar ausgenutzt werden aber man sollte eben auch seinen Virenscanner auf dem neuesten Stand halten! Was bitte nützt mir ein Virenscanner, wenn seine Definitionsdatei 2 Jahre alt ist? Es ist auch völlig unerheblich, ob es eine teure Suite oder ein kostenloses Produkt ist. Für den Grundschutz reicht kostenlos, vor allem im privaten Bereich, aber je nach Software auch geschäftlich. AVIRA, AVAST, ClamAV/Immunet und andere beweisen daß immer wieder ziemlich deutlich, wenn sie mal wieder die Top-Ten aufmischen!
Ein weiterer Punkt für Virenscanner ist, daß viele Banken einen solchen für Onlinebanking vorschreiben. Es ist dabei auch völlig egal, welches Betriebssystem verwendet wird! Meine Bank z. B. „empfiehlt“ zumindest einen Virenscanner, er muß halt aktuell sein! Ich habe durch mein Tutorial zwar eigentlich keinen Echtzeitscanner, durch die beiden verwendeten Add-ons im Prinzip aber doch! Es wird ja alles direkt gescannt, er ist immer aktuell, so bin ich natürlich auch rechtlich auf der sicheren Seite.
Gerade in der heutigen Zeit wird es immer wichtiger, daß man sich gegen alles Mögliche irgendwie absichert. Beim Computer gehört da eindeutig ein aktueller Virenscanner dazu, auch wenn dieser Lücken aufweist! Allerdings ist es auch absolut unerläßlich, daß man ein vernünftiges Sicherheitskonzept verwendet. Das gilt natürlich nur für „normale“ Schadware, gegen die NSA oder so hilft das wahrscheinlich nur sehr wenig!
An dieser Stelle auch noch ein weiterer Hinweis zu ClamAV bzw. Immunet:
Dieser Virenscanner arbeitet mit vielen anderen Virenscannern zusammen, so daß man ausnahmsweise zusätzlich einen weiteren installieren kann! Normaler Weise beißen sich verschiedene Virenscanner auf einem Rechner ja, in diesem Fall ist es aber tatsächlich ohne Probleme möglich! Und wieder sind es die großen Anbieter, die damit ein Problem haben. Die können das nicht, man darf schließlich keinem ernsthaften Konkurrenten helfen!
Viele Grüße nun aus TmoWizard’s Castle zu Augusta Vindelicorum
Mike, TmoWizard 
Sicherheit am PC IV: Ungeschützte Virenscanner, eine Gefahr für den PC? von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.
12 Replies to “Sicherheit am PC IV: Ungeschützte Virenscanner, eine Gefahr für den PC?”