Last Updated on 10 Jahren by TmoWizard
Liebe Leserinnen und Leser,
nun kommt tatsächlich unerwartet ein weiterer Artikel zum Thema „Sicherheit am PC“ hinzu! Das war so nicht geplant, aber die Zeit steht eben nicht still und manche Ereignisse erfordern dann eben passende Maßnahmen. In diesem Fall trägt der folgende Artikel bei Heise.de die Schuld:
Schutzlose Wächter – Antiviren-Software als Sicherheitslücke
Die Kurzfassung des Artikels:
Es wurden Lücken in Programmen entdeckt!
Blöde Frage: Haben die Leute etwa erwartet, daß diese Virenscanner frei von solchen Lücken sind? Dann müßen die aber weit ab von jeglicher Realität leben, also ähnlich wie unsere Politiker! Gerade bei den sogenannten Security Suiten dürfte eigentlich jedem vernünftig denkendem Menschen klar sein, daß ein solch umfangreiches Programm niemals fehlerfrei sein kann.
…
..
.
Ach so, das habe ich vergessen: Vernunft kann man nicht kaufen, man hat sie oder man hat sie nicht!
Gekaufte Unsicherheit!
In meinem Umfeld ist es ja eher so, daß die Leute eher kostenlose Produkte bevorzugen. Das betrifft natürlich auch die Virenscanner, was ja eigentlich nicht weiter schlimm ist. Immerhin verwenden diese ja die gleichen Engine wie kostenpflichtigen Versionen, so daß es bei der Erkennung eher kaum Unterschiede gibt.
Schlimm ist dann allerdings, wenn eben diese Engine gravierende Fehler aufweist! Genau dies wurde nun bekannt, was wahrscheinlich besonders für Unternehmen ein schlechtes Zeichen ist. Im Allgemeinen verwenden diese ja teure Lösungen, die aber dummer Weise ebenfalls auf den selben unsicheren Unterbau zurück greifen!
Rechte und Pflichten!
Ein Problem dieser Scanner ist es, daß sie für ihre Arbeit ziemlich hohe Rechte benötigen. Sie sind also entweder als Administrator unterwegs oder gleich als Systemprozeß, wodurch natürlich ein entsprechender Angreifer die selben Rechte bekommt! Ein Virenscanner darf also meistens alles verändern, in Quarantäne schicken oder auch gleich löschen, was ihm gerade eben über den Weg läuft. Wenn das nun eine Systemdatei betrifft, dann hat der Anwender ein ganz gewaltiges Problem!
Wenn nun ein Angreifer diesen Schutz durchbricht und den Virenscanner übernimmt, dann kann er das natürlich auch! Er kann also ebenfalls alle Dateien ändern, die der Scanner selbst auch verändern darf. NICHT GUT!
An dieser Stelle möchte ich einen weiteren Artikel in’s Spiel bringen, der bei CHIP online erschienen ist. Er ist dumm genug verfaßt, daß er genauso gut auch bei ComputerBLÖDBILD hätte erscheinen können:
Antivirus im Test: Die besten Tools gegen Malware
Virenscanner mit Sicherheitslücken
Herr Grimm bringt hier tatsächlich das Kunststück auf die Reihe, daß er bei einem Bericht über Lücken in Virenscannern diese fehlerhafte Software auch noch als Schutz empfiehlt! Ich frage mich hier echt, was sich der Mann denn dabei gedacht hat? Dann sind da auf Platz 1 auch gleich noch drei Produkte, die laut dem Bericht immer noch zum Teil gravierende Sicherheitslücken aufweisen! Wie üblich wurde aber das Produkt beim Test vergessen, welches den Fehler am schnellsten beseitigt hatte:
Warum fehlt da ClamAV?
Ihr als meine Leserinnen und Leser wißt natürlich, daß ich ausgerechnet dieses Produkt bevorzuge und auch empfehle. Scheinbar sind aber viele Leute der Ansicht, daß ein Virenscanner nichts taugen kann, wenn er Open Source ist. Es wird dabei allerdings vergessen, daß es davon auch eine kommerzielle Version gibt! Hinter ClamAV steckt ein sehr komplexes Firmennetzwerk, bei dem auch eine Sicherheitsfirma nicht fehlt! Auch Cisco gehört dazu, das ist nun wirklich keine kleine Firma.
Auf sehr vielen Mail-Servern läuft Linux mit ClamAV als Viren- und Malware-Scanner, das hat schon seinen guten Grund! Trotzdem wird er regelmäßig bei solchen Tests übergangen, was mich immer und immer wieder erstaunt. Ich bekomme hier ja wirklich sehr viele Mails, bei denen oft auch ganz nette Anhänge vorhanden sind. Ein Test mit virustotal bringt es dann zu Tage, daß ClamAV fast immer zu den Ersten gehört, die einen neuen Virus bereits erkennen, wogegen z. B. MSE eigentlich immer zu den Letzten gehört. So ziemlich jeder Test belegt das, auch der im verlinkten Artikel zu CHIP!
Die großen Anbieter haben wohl so langsam Angst, daß ihnen ClamAV bzw. Immunet den Rang streitig machen. Diese Angst ist berechtigt wenn man bedenkt, daß Immunet inzwischen eine Cloud verwendet! Jeder kann dort mitmachen, so daß die Erkennungsrate von Immunet/ClamAV immer besser wird.
Wie geschrieben ist die gefundene Lücke bei ClamAV schnellstens geschloßen worden, wie man auch aus dem entsprechenden Dokument (PDF) entnehmen kann. Das sollen andere Firmen erst einmal nachmachen, aber die versprechen ja lieber ein sicheres System, obwohl sie dieses Versprechen gar nicht einhalten können!
Die Pflicht ruft!
Angesichts dieser zum Teil gravierender Mängel stellt sich natürlich die Frage, ob man sich solch ein Teil überhaupt installieren sollte. Ich sage: Ja, auf jeden Fall! Auch wenn die Scanner Sicherheitslücken aufweisen bieten sie zumindest einen Grundschutz, da sie ja normaler Weise ihre Arbeit verrichten und eben Schadware erkennen. Man sollte nie vergessen, daß wirklich sämtliche Programme und natürlich auch das verwendete Betriebssystem ebenfalls Lücken aufweist! Wäre das nicht der Fall, dann bräuchte ja nichts davon jemals ein Update!
Jedoch bin ich der Meinung, daß solche Software auf keinen so tief in das System eingreifen darf, daß es danach nicht mehr funktioniert. Auch von einem Mail-Client wie Thunderbird oder SeaMonkey Mail & Newsgroups sollte es die Finger lassen, G Data ist derzeit eines der besten Beispiele hierfür!
Achtung, Eigenwerbung!
An dieser Stelle nochmal der Hinweis an mein bereits oben verlinktes und wohlbekanntes Tutorial. Es gibt hier nämlich einen gehörigen Unterschied zu anderen Lösungen, denn auf diese Art werden Downloads, Mails, News und Feeds nur geprüft. ClamAV hat bei dieser Konfiguration nicht die Berechtigung, daß er auch nur irgend etwas verändert oder löscht! Er zeigt nur an, daß er etwas für verdächtig oder befallen hält.
Eine entsprechende Mail muß man dann eben von Hand im Mail-Client selbst in den Papierkorb oder Junk-Ordner werfen, dann diesen Ordner leeren und komprimieren. Ergebnis: Die schadhafte Mail ist weg, aber eben erst nach dem Komprimieren! (in SeaMonkey/Thunderbird -> rechte Maustaste -> Ordner komprimieren)
Das Problem bei meinem Tutorial ist allerdings, daß es nur für SeaMonkey und Firefox/Thunderbird gilt. Wie es mit Fireclam ist weiß ich nicht, clamdrib wird aber nicht für andere Mail-Clients erscheinen! Ich mache das privat und nicht ganz offiziell, es gibt derzeit also nur vorübergehende … nennen wir es Garantie, daß clamdrib weiter entwickelt wird!
Ich weiß leider nicht, was von Mozilla noch für Änderungen kommen werden. Vor allem in Anbetracht dessen, daß Thunderbird eigentlich nicht mehr weiter entwickelt wird. Ich möchte noch einmal darauf hinweisen, daß ich SeaMonkey unter Linux verwende und die Kombination clamdrib/Thunderbird unter Windows nur ein Nebenprodukt sind! Derzeit funktioniert es zumindest unter Linux ohne Probleme, für Windows kann ich das leider derzeit nicht garantieren.
Mein Fazit:
Ein Virenscanner gehört auf jeden Rechner, ob mit oder ohne Sicherheitslücken. Solche Lücken können zwar ausgenutzt werden aber man sollte eben auch seinen Virenscanner auf dem neuesten Stand halten! Was bitte nützt mir ein Virenscanner, wenn seine Definitionsdatei 2 Jahre alt ist? Es ist auch völlig unerheblich, ob es eine teure Suite oder ein kostenloses Produkt ist. Für den Grundschutz reicht kostenlos, vor allem im privaten Bereich, aber je nach Software auch geschäftlich. AVIRA, AVAST, ClamAV/Immunet und andere beweisen daß immer wieder ziemlich deutlich, wenn sie mal wieder die Top-Ten aufmischen!
Ein weiterer Punkt für Virenscanner ist, daß viele Banken einen solchen für Onlinebanking vorschreiben. Es ist dabei auch völlig egal, welches Betriebssystem verwendet wird! Meine Bank z. B. „empfiehlt“ zumindest einen Virenscanner, er muß halt aktuell sein! Ich habe durch mein Tutorial zwar eigentlich keinen Echtzeitscanner, durch die beiden verwendeten Add-ons im Prinzip aber doch! Es wird ja alles direkt gescannt, er ist immer aktuell, so bin ich natürlich auch rechtlich auf der sicheren Seite.
Gerade in der heutigen Zeit wird es immer wichtiger, daß man sich gegen alles Mögliche irgendwie absichert. Beim Computer gehört da eindeutig ein aktueller Virenscanner dazu, auch wenn dieser Lücken aufweist! Allerdings ist es auch absolut unerläßlich, daß man ein vernünftiges Sicherheitskonzept verwendet. Das gilt natürlich nur für „normale“ Schadware, gegen die NSA oder so hilft das wahrscheinlich nur sehr wenig!
An dieser Stelle auch noch ein weiterer Hinweis zu ClamAV bzw. Immunet:
Dieser Virenscanner arbeitet mit vielen anderen Virenscannern zusammen, so daß man ausnahmsweise zusätzlich einen weiteren installieren kann! Normaler Weise beißen sich verschiedene Virenscanner auf einem Rechner ja, in diesem Fall ist es aber tatsächlich ohne Probleme möglich! Und wieder sind es die großen Anbieter, die damit ein Problem haben. Die können das nicht, man darf schließlich keinem ernsthaften Konkurrenten helfen!
Viele Grüße nun aus TmoWizard’s Castle zu Augusta Vindelicorum
Mike, TmoWizard 
Sicherheit am PC IV: Ungeschützte Virenscanner, eine Gefahr für den PC? von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.
Hallöchen niels!
Weiß ist der normale Text, goldgelb sind die Links. Ist es wirklich so sau schwer, daß man mit der Maus einen einzigen Klick macht? Dann laß doch besser die Finger von der Tastatur und deinen Rechner vom Internet, beides ist für dich wohl zu undurchsichtig!
Mike, TmoWizard
Hallo niels,
schau bitte nochmal genau hin. Es sind alle Links vorhanden, die du für ClamAV benötigst!
Zu deinen Meldungen bei Twitter:
Hier ist ein Blog, bei dem man seine Kommentare hinterlassen kann. Man sollte allerdings verstehen, daß diese Kommentare nicht sofort freigegeben werden. Hier würden sich sonst sämtliche nicht vorhandenen Krankenversicherungen mit allen nicht vorhandenen Sportgeschäften die Hand geben, das fällt also mal komplett aus!
Dein Kommentar wurde freigegeben, also bringe deine Beschwerden oder so hier auf dem Blog, da gehören sie hin und nicht nach Twitter oder Facebook!
Jetzt geht’s los:
Die Datei heißt so wie im Tutorial beschrieben, auch unter Windows! Wenn das nicht der Fall ist, dann haben die da scheinbar etwas geändert. Ich kann das derzeit nicht prüfen, habe aber morgen Zugriff auf einen Rechner mit Windows 7!
Ich kann dann also noch mehr prüfen, so daß ich mein Tutorial entsprechend dem aktuellen Stand anpassen kann. Allerdings nur für SeaMonkey, für Firefox und Thunderbird kann ich keine Garantie geben!
Das könnte die beste Idee gewesen sein, die Du die letztem Jahre hattest! :-P
Spaß bei Seite!
Wie geschrieben gibt es da Ärger mir dem speziellen Dateiformat von Thunderbird und SeaMonkey, kein Virenscanner darf da eingreifen! Es ist wie in meinem Tutorial beschrieben auch gar nicht notwendig. Es genügt, wenn der Virenscanner eine entsprechende Meldung bringt.
Alles weitere erledigt man in SeaMonkey/Thunderbird selbst, in dem man die entsprechende Mail dort löscht und die Ordner komprimiert!
Ja, es gibt diese Möglichkeit! Für mein Tutorial ist diese Option aber irrelevant, sie wird nicht benötigt. Kaspersky oder so wollen auf diese Art vollen Zugriff auf das Postfach, aber das geht die meiner Meinung nach nichts an.
Die Prüfung mit ClamAV funktioniert auch ohne dieser Option, sie ist also mehr Schein als Sein! Laß die Finger davon, es bringt wirklich gar nichts!
Viel, aber ich kann trotz Brille eigenständig denken! Aber ok, darauf ist mein Blog nicht eingerichtet! Mir fehlen schlicht die finanziellen Mittel, so daß ich leider für sehbehinderte Menschen derzeit nichts machen kann!
Bedenke bitte, daß ich dieses Blog hier rein privat betreibe und keinen Cent damit verdiene. Es gibt auch keine Werbung hier, so daß sämtliche Blocker in’s Leere laufen.
Oh… Einen Tracker gibt es hier: Gravatar! Wer dort ein Bildchen und seine Mail-Adresse hinterlassen hat, der kann mit der entsprechenden Mail-Adresse auch hier seinen Kommentar hinterlassen und sieht dann eben sein Bildchen.
Aber wie geschrieben: Screenreader kenne ich von Blinden oder sehbehinderten Menschen, aber eigentlich ist mein Blog mit den alternativen Texten bei den Links auch darauf vorbereitet!
Falls das nicht funktioniert, dann bitte ich hiermit um eine entsprechende Meldung als Kommentar, denn das muß funktionieren! Immerhin schauen hier auch blinde Leute vorbei, eine davon habe ich erst vor kurzem in einem Artikel erwähnt und verlinkt… Jule ist inzwischen sehr bekannt!
Nun bedenke noch einmal, ob an meinem Artikel etwas falsch ist oder ob du einfach nicht damit klar kommst. Ich bin eindeutig dafür, daß letzteres der Fall ist!
Grüße aus TmoWizard’s Castle zu Augsburg
Mike, TmoWizard
Nun ich glaube ich werde mich dieses Wochenende von meinem bisherigen Virenscanner trennen und auf ClamAV umsteigen.
Kann ja nur besser werden!
Zwar habe ich zuvor noch nie etwas von ClamAV gehört oder gelesen, aber was ich hier in diesem Artikel gelesen habe, spricht für sich!
LG Christian
Hallöchen Christian!
Öhm… Warum? Wenn deine bisherige Lösung funktioniert, dann ist doch eigentlich alles in Ordnung!
Nicht unbedingt, da ClamAV beim Scannen selbst nicht gerade schnell ist und auch die Erkennungsrate noch nicht ganz mit kommerziellen Produkten mithalten kann.
ClamAV wird meistens auf Mail-Servern verwendet in Verbindung mit SpamAssassin, auf einem Desktop-Rechner mit Windows würde ich eher Immunet empfehlen, da dieser auch noch einen Hintergrundwächter hat.
Für meine Arbeitsweise funktioniert mein erwähntes Tutorial perfekt, aber ich verwende eben Linux und habe auch meine eigene Arbeitsweise.
Du kannst es probieren, vielleicht bist du ja damit zufrieden.
Grüße aus Augsburg
Mike, TmoWizard
So habe mich jetzt mal etwas schlauer gemacht, ClamAV kommt für mein System doch nicht in Frage, dann dachte ich mir Immunet sieht da für mich als Windows Nutzer schon wesentlich interessanter aus, aber irgendwie fühle ich mich nach dem ganzen hin und her mit meinem AVG doch wohler!
Gruß Christian aus dem Saarland
wie sieht es eigentlich mit avast aus – galt lange Zeit als das beste Antiviren-Programm – ist das immer noch so?
Cu Michael
Hallöchen Namensvetter,
willkommen auf meinem Castle!
Soweit ich informiert bin gilt das noch immer mit Avast. Ich kenne auch ein paar Leute, die diesen installiert haben und bisher sehr zufrieden sind. Dabei scheint es auch egal zu sein, ob es die kostenlose oder die Kaufversion ist.
Grüße aus TmoWizard’s Castle zu Augsburg
Mike, TmoWizard
Hallo Stefanos,
nur mal kurz zum Microsoft Defender:
Laß die Finger davon und hol dir was vernünftiges, diese Schrottsoftware kackt regelmäßig bei sämtlichen AV-Tests ab und landet auf dem letzten Platz!
Mike, TmoWizard
Also ich dankte bis dato dass man so weit ganz gut mit dem Windows Defender fährt!
Ich merke gerade, dass ich mich mehr mit dem Thema befassen muss.
Grüße Christian