Warnung vor Antivirentools
Ein Softwareentwickler empfiehlt die Deinstallation von Antivirenprogrammen. Mit seiner Warnung ist er nicht alleine. Sollte man dem Rat folgen?
DER EHEMALIGE Firefox-Entwickler Robert O’Callahan warnt in einem Blogeintrag (unter www.pcwelt.de/i_fMYf) PC-Nutzer eindringlich vor dem Einsatz von Antivirensoftware (AVSoftware). Man solle die Tools lieber deinstallieren, wenn man ein sicheres System haben möchte. Dabei ist O‘Callahan nicht der einzige Softwareexperte, der sich gegen den Einsatz von Virenschutztools ausspricht.
AV schwächt den Browser
Während seiner Arbeit als Entwickler für den Browser Firefox musste O’Callahan erleben, wie Antivirentools den Schutz von Firefox aushebelten. Das war etwa so, als Firefox die Schutztechnik ASLR neu eingebaut hatte. ASLR steht für Address Space Layout Randomization (sinngemäß: Speicherverwürfelung). Dank dieser Technik kann ein PC-Virus nicht mehr erraten, wo sich angreifbarer Code im RAM befindet. Eine Buffer-Overflow-Attacke wird so erschwert. Doch die Hersteller von Antivirensoftware gingen den Schritt nicht mit, sondern installierten Firefox-Plug-ins ohne ASLR. Die Schutztechnik war damit ausgehebelt. Auch der Google-Forscher Tavis Ormandy vom Project Zero ( www.pcwelt.de/6ArHRa) weist regelmäßig Sicherheitslücken in Antivirenprodukten nach. Die meisten davon sind gefährlich und führen dazu, dass sich ein System gerade wegen der installierten Antivirensoftware von einem Schädling übernehmen lässt. So konnte Ormandy etwa zeigen, dass die Tools von Kaspersky SSL-gesicherte Internetverbin- dungen angreifbar machen. Die KasperskySoftware klinkt sich auf Wunsch des Nutzers selber in eine SSL-Verbindung ein. Nur so kann die AV-Software Schadcode erkennen, der über diese Verbindung kommt. Doch das AV-Tool schwächt dabei die Überprüfung von SSLZertifikaten so stark, dass ein Angreifer dem Internetbrowser eine gefälschte Website unterschieben kann. In den Tools von Symantec (Norton) fand Ormandy im Jahr 2016 ebenfalls einen bösen Fehler. Der Virenscanner nutzte eine Entpackroutine, die mit höchsten Systemrechten läuft, dabei ohne Sandbox arbeitet und aus einer veralteten und fehlerbehafteten Open-SourceBibliothek stammt. Die Entpackroutine öffnet komprimierte Dateien, um ihren Inhalt auf Schadcode zu prüfen. Durch den Fehler in der Symantec-Software konnte sich ein Virus beim auspacken über die Entpackroutine mit höchsten Systemrechten direkt in den WindowsKernel schreiben. Zum Glück für den Anwender meldete Tavis Ormandy die entdeckten Lücken umgehend an die Hersteller, damit diese die Fehler beseitigen. Die aktuellen Tools von Symantec und Kaspersky sind nicht mehr betroffen.
AV-Hersteller beschwichtigen
Wenn man die Antivirenhersteller zu den Vorwürfen und Softwarefehlern befragt, wiegeln diese meist ab. So seien bisher noch keine Viren aufgetaucht, die eine der gefundenen Lücken ausgenutzt hätten. Da die Fehler stets schnell beseitigt worden wären, handelt es sich um ein rein akademisches Problem. Was die fehlende Schutztechnik ASLR in einigen Browser-Plug-ins betrifft, räumt ein Sprecher von Avast den Fehler zwar ein, weist aber darauf hin, dass das Problem schon Jahre zurückliegt. AV-Software, so die Antivirenhersteller, ist für den Schutz eines PCs unerlässlich.
Empfehlungen für Anwender
Wer hat nun recht: die Anti-Antivirus-Experten oder die Hersteller von Antivirentools? PCWELT meint: Sie haben beide recht. Damit das zusammenpasst, muss man sich noch ansehen, welche Maßnahmen die Antivirusgegner als Schutz vor PC-Schädlingen empfehlen. Das hat Google in einer Umfrage unter IT-Experten und PC-Einsteigern herausgefunden ( https:// goo.gl/reUmOX). Das Ergebnis: Die Experten nennen Softwareupdates als wichtigste Maßnahme gegen Viren. Denn wer stets die neueste Version von Browser, Betriebssystem & Co. benutzt, der ist auch gegen die meisten Virenangriffe gefeit. Das ist eine Empfehlung, der wir uns voll und ganz anschließen können. Anders als die Antivirengegner empfiehlt PC-WELT aber zusätzlich auch die Nutzung einer Antivirensoftware. Die Schutzfunktion der Tools überwiegen unserer Meinung nach die unbestreitbar vorhandenen Fehler in der Software. Zudem greift das Argument der Antivirenhersteller, dass sich Viren bislang immer Lücken in anderen Programmen, etwa Flash, Adobe & Co. ausgesucht haben.