War­nung vor An­ti­vi­ren­tools

Ein Soft­ware­ent­wick­ler emp­fiehlt die De­instal­la­ti­on von An­ti­vi­ren­pro­gram­men. Mit sei­ner War­nung ist er nicht al­lei­ne. Soll­te man dem Rat fol­gen?

PC-WELT - - News / Antivirensoftware - VON AR­NE AR­NOLD

DER EHE­MA­LI­GE Fi­re­fox-Ent­wick­ler Ro­bert O’Cal­la­han warnt in ei­nem Blog­ein­trag (un­ter www.pcwelt.de/i_fMYf) PC-Nut­zer ein­dring­lich vor dem Ein­satz von An­ti­vi­ren­soft­ware (AVSoft­ware). Man sol­le die Tools lie­ber de­instal­lie­ren, wenn man ein si­che­res Sys­tem ha­ben möch­te. Da­bei ist O‘Cal­la­han nicht der ein­zi­ge Soft­ware­ex­per­te, der sich ge­gen den Ein­satz von Vi­ren­schutz­tools aus­spricht.

AV schwächt den Brow­ser

Wäh­rend sei­ner Ar­beit als Ent­wick­ler für den Brow­ser Fi­re­fox muss­te O’Cal­la­han er­le­ben, wie An­ti­vi­ren­tools den Schutz von Fi­re­fox aus­he­bel­ten. Das war et­wa so, als Fi­re­fox die Schutz­tech­nik ASLR neu ein­ge­baut hat­te. ASLR steht für Ad­dress Space Lay­out Ran­do­miza­t­i­on (sinn­ge­mäß: Spei­cher­ver­wür­fe­lung). Dank die­ser Tech­nik kann ein PC-Vi­rus nicht mehr er­ra­ten, wo sich an­greif­ba­rer Co­de im RAM be­fin­det. Ei­ne Buf­fer-Over­flow-Atta­cke wird so er­schwert. Doch die Her­stel­ler von An­ti­vi­ren­soft­ware gin­gen den Schritt nicht mit, son­dern in­stal­lier­ten Fi­re­fox-Plug-ins oh­ne ASLR. Die Schutz­tech­nik war da­mit aus­ge­he­belt. Auch der Goog­le-For­scher Ta­vis Or­man­dy vom Project Ze­ro ( www.pcwelt.de/6ArHRa) weist re­gel­mä­ßig Si­cher­heits­lü­cken in An­ti­vi­ren­pro­duk­ten nach. Die meis­ten da­von sind ge­fähr­lich und füh­ren da­zu, dass sich ein Sys­tem ge­ra­de we­gen der in­stal­lier­ten An­ti­vi­ren­soft­ware von ei­nem Schäd­ling über­neh­men lässt. So konn­te Or­man­dy et­wa zei­gen, dass die Tools von Kas­per­s­ky SSL-ge­si­cher­te In­ter­net­ver­bin- dun­gen an­greif­bar ma­chen. Die Kas­per­s­kySoft­ware klinkt sich auf Wunsch des Nut­zers sel­ber in ei­ne SSL-Ver­bin­dung ein. Nur so kann die AV-Soft­ware Schad­code er­ken­nen, der über die­se Ver­bin­dung kommt. Doch das AV-Tool schwächt da­bei die Über­prü­fung von SSLZer­ti­fi­ka­ten so stark, dass ein An­grei­fer dem In­ter­net­brow­ser ei­ne ge­fälsch­te Web­site un­ter­schie­ben kann. In den Tools von Sy­man­tec (Nor­ton) fand Or­man­dy im Jahr 2016 eben­falls ei­nen bö­sen Feh­ler. Der Vi­ren­scan­ner nutz­te ei­ne Ent­pack­rou­ti­ne, die mit höchs­ten Sys­tem­rech­ten läuft, da­bei oh­ne Sand­box ar­bei­tet und aus ei­ner ver­al­te­ten und feh­ler­be­haf­te­ten Open-Sour­ceBi­b­lio­thek stammt. Die Ent­pack­rou­ti­ne öff­net kom­pri­mier­te Da­tei­en, um ih­ren In­halt auf Schad­code zu prü­fen. Durch den Feh­ler in der Sy­man­tec-Soft­ware konn­te sich ein Vi­rus beim au­s­pa­cken über die Ent­pack­rou­ti­ne mit höchs­ten Sys­tem­rech­ten di­rekt in den Win­dow­sKer­nel schrei­ben. Zum Glück für den An­wen­der mel­de­te Ta­vis Or­man­dy die ent­deck­ten Lü­cken um­ge­hend an die Her­stel­ler, da­mit die­se die Feh­ler be­sei­ti­gen. Die ak­tu­el­len Tools von Sy­man­tec und Kas­per­s­ky sind nicht mehr be­trof­fen.

AV-Her­stel­ler be­schwich­ti­gen

Wenn man die An­ti­vi­ren­her­stel­ler zu den Vor­wür­fen und Soft­ware­feh­lern be­fragt, wie­geln die­se meist ab. So sei­en bis­her noch kei­ne Vi­ren auf­ge­taucht, die ei­ne der ge­fun­de­nen Lü­cken aus­ge­nutzt hät­ten. Da die Feh­ler stets schnell be­sei­tigt wor­den wä­ren, han­delt es sich um ein rein aka­de­mi­sches Pro­blem. Was die feh­len­de Schutz­tech­nik ASLR in ei­ni­gen Brow­ser-Plug-ins be­trifft, räumt ein Spre­cher von Avast den Feh­ler zwar ein, weist aber dar­auf hin, dass das Pro­blem schon Jah­re zu­rück­liegt. AV-Soft­ware, so die An­ti­vi­ren­her­stel­ler, ist für den Schutz ei­nes PCs un­er­läss­lich.

Emp­feh­lun­gen für An­wen­der

Wer hat nun recht: die An­ti-An­ti­vi­rus-Ex­per­ten oder die Her­stel­ler von An­ti­vi­ren­tools? PCWELT meint: Sie ha­ben bei­de recht. Da­mit das zu­sam­men­passt, muss man sich noch an­se­hen, wel­che Maß­nah­men die An­ti­vi­rus­geg­ner als Schutz vor PC-Schäd­lin­gen emp­feh­len. Das hat Goog­le in ei­ner Umfrage un­ter IT-Ex­per­ten und PC-Ein­stei­gern her­aus­ge­fun­den ( https:// goo.gl/reUmOX). Das Er­geb­nis: Die Ex­per­ten nen­nen Soft­ware­up­dates als wich­tigs­te Maß­nah­me ge­gen Vi­ren. Denn wer stets die neu­es­te Ver­si­on von Brow­ser, Be­triebs­sys­tem & Co. be­nutzt, der ist auch ge­gen die meis­ten Vi­ren­an­grif­fe ge­feit. Das ist ei­ne Emp­feh­lung, der wir uns voll und ganz an­schlie­ßen kön­nen. An­ders als die An­ti­vi­ren­geg­ner emp­fiehlt PC-WELT aber zu­sätz­lich auch die Nut­zung ei­ner An­ti­vi­ren­soft­ware. Die Schutz­funk­ti­on der Tools über­wie­gen un­se­rer Mei­nung nach die un­be­streit­bar vor­han­de­nen Feh­ler in der Soft­ware. Zu­dem greift das Ar­gu­ment der An­ti­vi­ren­her­stel­ler, dass sich Vi­ren bis­lang im­mer Lü­cken in an­de­ren Pro­gram­men, et­wa Flash, Ado­be & Co. aus­ge­sucht ha­ben.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.