Fragen? Antworten! Siehe auch: Alternativlos
G-Data stimmt mir grundsätzlich zu, dass Zahlen zur Wirksamkeit von Antiviren schwierig zu beschaffen sind, weil die im Allgemeinen von den Herstellern kommen und daher nicht als neutral gelten können. Die Zahlen, die eine große Bibliothek an Malware gegen Antiviren werfen, finden häufig hunderte von Viren, die nicht gefunden wurden, und die Antivirenhersteller reden sich dann mit angeblicher Praxisferne der Tests heraus. Ich las neulich von einer Studie, bei der eine Uni alle ihre einkommenden die Malware-Mail-Attachments bei Virustotal hochgeladen hat und auf unter 25% Erkennungsrate kam. Leider finde ich die URL nicht mehr. Vielleicht kann da ja ein Leser helfen. Mein Punkt ist aber unabhängig davon, ob das jetzt 5%, 25% oder 90% Erkennungsrate sind. Es reicht, wenn ein Virus durchkommt. Eine Malware ist nicht wie die Windpocken. Wenn man sie kriegt hat man halt rote Pünktchen im Gesicht und nach ner Woche ist wieder alles OK. Nein. Eine Infektion reicht, um die gesamten Daten zu klauen, die Platte zu verschlüsseln, und an einem DDoS-Botnet teilzunehmen. Die Erkennungsrate ist, solange sie nicht 100% ist, irrelevant. Ich bin immer wieder schockiert, mit welcher Selbstverständlichkeit Leute nach einer Malware-Infektion halt "desinfizieren" klicken in irgendeinem Tool und dann weitermachen, als sei nichts gewesen. Das ist wie wenn jemand in eine Schwimmbecken scheißt, und man fischt den größten Klumpen raus, und dann schwimmen alle weiter. WTF!?
Der nächste Talking Point der AV-Industrie ist (angesichts der miserablen Erkennungsraten in der Praxis), dass man ja nicht mehr rein reaktiv arbeite sondern auch magischen Einhorn-Glitter aus der Cloud habe. Erinnert ihr euch noch an den Aufschrei nach Windows 10, als Microsoft sich das erstmals explizit von euch absegnen ließ, dass sie eure Daten in die Cloud hochladen? Wie jetzt?! Die wollen gerne als Debugginggründen sehen, welche crashenden Programme ich ausführe!? DAS GEHT JA MAL GAR NICHT!!1! Ja was denkt ihr denn, was das ist, was die AV-Industrie mit der Cloud macht? Die werden im Allgemeinen nur die Hashes der Software hochladen, aber das heißt trotzdem, dass die sehen können, wer alles Winzip benutzt, oder dieses eine hochpeinliche aus Japan importierte Hentai-"Dating-Simulator"-Anwendung. Aber DENEN traut ihr?!
Ich sage euch jetzt mal aus meiner Erfahrung, dass die Analyse von einem Stück Software Wochen dauert, besonders wenn die Software gerne nicht analysiert werden möchte. Wenn die AV-Industrie also so tut, als könnte ihre magische Cloud "innerhalb von Sekunden" helfen, dann gibt es nur zwei Möglichkeiten: Entweder sie haben ein paar Wochen gebraucht und tun jetzt nur so, als sei die paar Wochen lang schon niemand infiziert worden. Oder sie haben da irgendwelche Abkürzungen genommen. Überlegt euch mal selbst, wieviel Verzögerung eurer Meinung nach akzeptabel wäre. Dann, wieviel Arbeit das wohl ist, anhand einer Binärdatei Aussagen zu machen. Zumal man solche Aussagen im Allgemeinen in einer VM macht, und Malware im Allgemeinen guckt, ob sie in einer VM läuft und dann die bösen Funktionen weglässt. Eine denkbare Abkürzung wäre also, schon so einen Check als Zeichen für Malware zu deuten. Da sind wir aber nicht mehr in der Branche der seriösen Bedrohungsabwehr, sondern in der Branche der Bachblüten-Auraleser-Homöopathen, das ist hoffentlich jedem klar.
Das ganze Gefasel mit proaktiven Komponenten halte ich auch für eine Nebelkerze. Wenn das funktionieren würde, gäbe es Weihnachten keine wegzuräumende Malware auf dem Familien-PC, und in der Presse wäre nie von Ransomware die Rede gewesen, weil das schlicht niemanden betroffen hätte.
Ja und wie ist es mit dem Exploit-Schutz? Das ist Bullshit. Das erkennt man schon daran, dass Microsoft diese angeblichen Wunderverfahren der AV-Industrie nicht standardmäßig ins System einbaut. Googelt das mal. Microsoft hat hunderttausende von Dollars für gute Exploit-Verhinder-Ideen ausgeschrieben und ausgezahlt. Und wieviele Prämien für gute Ideen findet ihr von der AV-Branche? Na seht ihr.
Überhaupt. Kommen wir mal zu den Standards. Microsoft hat den Prozess etabliert, den gerade alle großen Player kopieren, die SDL. Ich weiß das, weil ich dabei war, als sie das bei sich ausgerollt haben. Microsoft hat, was ich so gehört habe, sechsstellig viele CPU-Kerne, die 24/7 Fuzzing gegen ihre Software-Komponenten fahren, um Lücken zu finden. Microsoft hat ganze Gebäude voller Security-Leute. Ich würde schätzen, dass Microsoft mehr Security-Leute hat, als die typische AV-Bude Mitarbeiter. Microsoft hat geforscht, ob man mit dem Umstieg auf .NET Speicherfehler loswerden kann, ob man vielleicht einen ganzen Kernel in .NET schreiben kann. Sie hatten zu Hochzeiten über 1/4 der Belegschaft Tester. Es gibt periodische Code Audits von internen und externen Experten. Sie betreiben eine eigene Security-Konferenz, um ihre Leute zu schulen, die Bluehat. Aus meiner Sicht stellt sich also die Frage: Wenn DAS die Baseline ist, trotz derer wir immer noch ein Sicherheitsproblem haben, dann müssten ja die AV-Hersteller nicht nur genau so gut sondern deutlich besser sein. Sonst wären sie ja Teil des Problems und nicht Teil der Lösung. Das hätte ich gerne mal von den AV-Leuten dargelegt, wieso sie glauben, sie könnten das besser als Microsoft.
Oh und einen noch, am Rande:
Wenn Daten signiert sind ist klar, von wem die Informationen stammen. Oft ist es schon ein beträchtlicher Sicherheitsgewinn, wenn man weiß, dass die Information von einem bekannten und ergo vertrauenswürdigen Quelle stammen.Das ist natürlich Bullshit. Es sind schon diverse Malware-Teile mit validen Signaturen gefunden worden, und alle alten Versionen mit bekannten Sicherheitslücken sind ja auch noch gültig signiert. Code Signing dient nicht dem Schutz des Kunden sondern dem Schutz von Geschäftsmodellen.
Mir ist außerdem wichtig, dass ihr merkt, wenn ihr hier mit einer bestimmten Haltung an das Thema rangeht, weil ihr selbst schon entschieden habt, und jetzt nur noch die Argumente rauspickt und höher bewertet, die eure getätigte Entscheidung bestätigen. Das ist ein sehr menschliches und normales Verhalten, aber dem Erkenntnisgewinn dient das nicht. Wo kommen denn die Zahlen her, dass angeblich noch niemand über Lücken in Antiviren gehackt wurde? Wenn ihr zu Weihnachten 10 Viren findet — macht ihr dann erstmal eine wochenlange forensische Analyse, wo die herkamen? Nein, macht ihr nicht! Ihr seid froh, wenn die weg sind. Aussagen wie "noch keiner ist über seinen Antivirus gehackt worden" sind unseriös, und Aussagen wie "es sind keine Fälle bekannt" sind irreführend und Nebelkerzen.
Update: Wer übrigens die Früchte von Microsofts Exploits-Schwieriger-Machen haben will, der muss a) immer schön Windows updaten; weg mit Windows 7 und her mit Windows 10, und/oder b) EMET installieren.
Update: Hups, EMET-Link war kaputt.
Update: Ein Einsender weist darauf hin, dass es doch mal einen Fall von einer massenhaftung Malware-Verbreitung via Antivirus-Sicherheitslücke gab.
Update: Ein fieser Wadenbeißer hat sich mal durch die Archive gegraben:
es gibt noch weiteres Argument gegen die Schlangenöl-Branche, das ich glaube ich bei dir noch nicht gelesen habe, wenngleich das eher nicht gegen die Microsoft-Lösung zielt:
Kollateral-Schaden.
Wie oft hatten wir es bitte schon, dass ein Amok laufender Scanner von einem marodierenden Wozu-Testen-AV-Riesen schlicht Windows & co als Virus/Trojaner/Whatever eingestuft hat?
Gucken wir doch mal:
Das passt auch sehr schön dazu, welchen Testaufwand Microsoft im Vergleich betreibt.
Oh und was ist eigentlich mit Virenscannern, die Inhalte aus dem Netz nachladen, die nicht unbedingt... naja, gab es schließlich auch schon:
Soll man daraus schließen, dass die ihr eigenes Gift vmtl selbst gar nicht einsetzen?
Ach ja, ich vergaß, alles bedauerliche Einzelfälle vom Werksstudentenpraktikanten, die natürlich nie, nie, nie wieder passieren. Ungeachtet dessen, dass sie nie hätten passieren dürfen, das wäre eigentlich der Anspruch an diese Software.
So wie auch schon Schlangenöl auch nur in den besten Fällen keine Wirkung hatte.
Ich habe bisher auf diese Art von Linksammlung verzichtet, weil es mir gerade nicht darum geht, mit dem Finger auf einzelne Hersteller zu zeigen. Es gibt da sicher auch Pfusch bei einzelnen Anbietern, das sehe ich auch so, aber mir ist die fundamentale Kritik am Konzept des Antivirus wichtiger. Pfusch in Software gibt es ja leider häufiger.
Update: Ein anderer Einsender kommentiert:
Zum Thema Proaktive Komponente kann ich dir aus unserer Infrastruktur klar sagen: DAS ist das was am Meisten Fehlmeldungen produziert. Ich habe z.B. einen lang vergessenen Texteditor auf einer Netzwerkfreigabe rumliegen. Seit 2007. Und 2016 auf einmal meldet der Antivirus, dass das Ding verseucht ist und sofort desinfiziert werden muss. Ich warte zwei Tage (=zwei Signaturupdates) ab und lass den Ordner wieder scannen. Diesmal: Nix. Oder letzte Woche hat er uns 6 Userworkstations als virenverseucht gemeldet, weil die User Proxy PAC-Scripte im Browser konfiguriert haben. Ja, haben sie weil so unser Internetzugang funkioniert, aber ich frag mich ernsthaft warum der AV nur diese 6 Workstations gemeldet hat und nicht noch die anderen 400 die das AUCH haben. Tags drauf war wieder alles gut. Für mich als Admin ist das keine zusätzliche Sicherheitskomponente sondern nur zusätzliche Arbeit.
Und ich möchte auch zu der Cloud-AV-Sache noch mal klarstellen, wie sehr das Bullshit ist. Der CCC hat vor ein paar Jahren den Staatstrojaner veröffentlicht, ihr erinnert euch wahrscheinlich. Natürlich in einer entschärften Version, die keinen Schaden angerichtet hätte. Diese Version tauchte dann relativ zeitnah in den Cloud-Antivirus-Datenbanken auf. Die nicht entschärfte Version tauchte nicht auf. Nur falls sich da jemand Illusionen gemacht hat.
Update: Ein Biologe kommentiert:
Es gibt ja ein paar hübsche Analogien zwischen Computerviren und deren Verbreitung und der realen Welt. Beim Lesen des G-Data Pamphletes musste ich an einer Stelle herzlich lachen, als sie ihre "über 90% Erkennungsrate" beweihräucherten. Auf die Mikrobiologie übertragen ist das eine log1-Reduktion, also so knapp über Homöopathie und Gesundbeten. Ich arbeite mit Lebensmitteln, da darf man etwas "Debakterisierung" nennen, wenn man im log3-Bereich unterwegs ist. Also wenn 99.9% aller Keime gekillt werden. Pasteurisierung ist bei log5, also 99.999%. Und auch da wird die Milch nach 21 Tagen sauer.
90% ist da auf jeden Fall der Bereich "lohnt den Aufwand nicht". Da ist eine sinvolle Backup-Strategie und eine gewisse Routine im Rechner-wiederaufsetzen sinnvoller eingesetzt.
Update: Viele meiner Leser scheinen eine Statistik-Schwäche zu haben, und kommen mir hier mit Analogien wie "Kondome schützen ja auch nicht 100%" oder "im Flugzeugbau hat man auch nicht 100% als Anforderung". Vergegenwärtigt euch mal, wie viele Viren es gibt, und wie viele Malware-Angriffe pro Tag es auf typische Systeme gibt. Und dann rechnet euch mal aus, bei einer Erkennungsrate von 90%, oder sagen wir 99%, oder sogar 99.9%, wie viele Stunden es dauert, bis der Rechner infiziert ist. Ich habe in Köln und Hamburg das Publikum gefragt, wer schonmal Weihnachten einen Familien-PC säubern musste. Fast alle. Dann, bei wie vielen ein Antivirus drauf war. Jeweils einer weniger. EINER weniger. ALLE ANDEREN haben trotz Antiviren Malware eingefahren. Wir reden hier nicht von "ich habe dreimal pro Tag mit Kondom Sex und habe nie HIV gekriegt", sondern von über einer HIV-Infektion pro Tag. Und da, behaupte ich mal, wären auch die Nicht-Statistiker unter euch plötzlich mit der Kondom-Performance unzufrieden. Was ihr gerade am eigenen Leibe erlebt, das nennt man Rationalisierung. Ihr habt eine Entscheidung getroffen, nämlich einen Antivirus einzusetzen, und greift jetzt unterbewusst nach Strohhalmen, um das irgendwie zu rechtfertigen. Ich meine das gar nicht böse. So funktionieren Menschen. Euch kommt zugute, dass die meisten Viren bisher wenig kaputtgemacht haben. Vielleicht ein paar erotische Selfies exfiltriert, wenn es hochkommt an einem Botnet teilgenommen. Erst jetzt mit Ransomware werden Viren auch gefühlt richtig gefährlich. Ihr solltet nicht warten, bis euch das am eigenen Leib passiert.