Machen Antivirenprogramme den Rechner unsicher?

Ganz so schlimm ist es wohl nicht, aber das Bild (aus dem PDF) ist einfach zu lustig …

Derzeit geistert mal wieder ein etwa sehr hysterische und theoretische Meldung durch die Medien: “Antivirenprogramme machen den Rechner unsicher“, heißt es, denn diese wären selbst sehr unsicher.

Grundlage der Nachricht ist eine Präsentation des spanischen Sicherheitsfexes Joxean Koret, die unter dem Titel Breaking Antivirus Software als PDF zu haben ist und auf der Security-Konferenz SyScan 360 vor einiger Zeit als Vortrag zu hören war (Video auf YouTube).

Ich frage mich: Ist das wirklich so?

Wo Antivirensoftware Rechner unsicher macht

Vieles wusste man vorher schon, aber es sei nochmal ausdrücklich erwähnt:

• Je komplexer eine Softwareinstallation wird, desto fehleranfälliger und angreifbarer wird sie. Man erlaube mir den Vergleich mit einer Festung: Zieht man die Mauer höher, erhöht man die Angriffsfläche. Macht man das Material härter, wird es zugleich brüchiger. Baut man sich zwei geheime Fluchtwege auf die Rückseite, kommen durch die auch Angreifer rein. Verdoppelt man die Zahl der Sicherheitsexperten in der Burg, erhöht man die Wahrscheinlichkeit, einen Maulwurf in den eigenen Reihen zu haben.
  Das ist bei Sicherheitssoftware nicht anders. Hat Windows alleine, heute, 50 Sicherheitslücken, und wir installieren einen Virenschutz mit 25 Sicherheitslücken und eine Firewall mit weiteren 25 Sicherheitslücken, dann sind es am Ende vom Tag eben 100 angreifbare Stellen statt 50.
• Antivirenprogramme laufen mit hohen Rechten. Das muss so sein, denn nur so dürfen sie mehr als der normale Nutzer und auch mehr als der normale Angreifer. Es bedeutet aber auch, dass, wer die AV-Engine exploiten kann, damit auch höhere Systemrechte erlangt. Es ist daher attraktiv, den Virenschutz anzugreifen, attraktiver etwa als Office oder Messenger anzugreifen.
• Antivirenprogramme müssen Dateiformate analysieren, Archive entpacken, Code analysieren (und dazu seine Ausführung simulieren). Das muss so sein, denn nur so können die Dinger “schlauer” arbeiten als mit einer einfachen Mustererkennung. Es bedeutet aber auch, dass diese komplexen Teile einer AV-Engine anfällig sind für typische Schwächen solcher Programmbestandteile, etwa Buffer Overflows.

In seinem Vortrag Breaking Antivirus Software nennt Joxean Koret Produkte und Probleme beim Namen: Offenbar lassen sich viele AV-Engines exploiten, mit ganz typischen Mitteln. Selbst altbackene Zip-Bomben scheinen noch immer in der Lage zu sein, AV-Engines zu lähmen, und natürlich gibt es auch die Möglichkeit, eine AV-Engine bei der Analyse von Code zur Ausführung desselben zu bringen (was aber eher die extreme Ausnahme sein dürfte).

Also Kommando zurück und alle Antivirenprogramme deinstallieren?

Wo Antivirenprogramme den Rechner sicherer machen

Ganz so einfach ist es nun auch nicht, und ich persönliche finde Joxeans Analyse ziemlich theoretisch und ein bisschen selbstverliebt.

• Das leichtere Angriffsziel ist das wahrscheinlichere. Wenn ich als Angreifer die Wahl habe, Windows 7 mit einem Marktanteil von 50 Prozent (statcounter.com) anzugreifen oder die vermutlich eher einstellige Prozentzahl der Nutzer von AV-Software A, B oder C, dann liegt die Antwort auf der Hand: Natürlich werde ich eher das OS angreifen als den Virenschutz, einfach, weil schon die die bloße Wahrscheinlichkeit einen höheren Erfolg verspricht. Dem steht, das sei zugegeben, eine eventuell geringere Mühe entgegen: Wenn es mich 5 Minuten kostet, MSE auszuhebeln, aber 5 Tage, Windows 7 auzuhebeln, dann lohnt es sich auch bei einer geringeren Angriffsfläche, den Virenschutz zu attackieren.
• Der Umkehrschluss ist nicht wahr. Man könnte aus solchen Problemen ja den Schluss ziehen, dass Antivirensoftware zu vermeiden sei. Es gibt ja jetzt schon genug Propheten eines komplett virenschutzfreien Systems, die sich gerne damit brüsten, seit Jahren keinen Virus zu haben. Tolle Hechte! Das mag auch zutreffen (doch wissen sie es wirklich?), und sie dürfen es auch tun; nur besteht eben ein himmelweiter Unterschied zwischen diesen Power-Usern und normalen Menschen, die überhaupt nicht IT-affin sind. Dort sehe ich monatlich mindestens fünf Tierchen in der Quarantäne – und die hätten es “geschafft”, wäre da kein AV installiert. Für diese Zielgruppe ist die zusätzliche Fehlerquelle einer AV-Software das Risiko wert (solange nicht monatlich 5-AV-Exploiter einfliegen).

Außerdem dürfte man dann vieles anderes auch nicht tun

• Browser, Mail, Messenger ist verboten. Denn diese Anwendungen sind sozusagen die Einfallstore, weil sie mit der Außenwelt in Kontakt treten.
• Browser-Erweiterungen sind verboten. Dito. Und noch dazu aus dubiosen Quellen, sich ständig auto-updaten, wobei sie irgendeinen Murks nachschieben können.

Der prozentuale Anteil von Browser/Plugins und andere Kommunikationssoftware an der Unsicherheit eines Rechners dürfte deutlich über dem Anteil der Antivirensoftware liegen.

Wo Antivirenprogramme eh nix helfen

Dennoch sollte weiterhin klar sein:

• Gegen Zero-Day-Attacken hilft kein Virenschutz, siehe Beitrag “Kann Ihre Virenscanner Sie schützen?”. Die Zero-Day-Attacke geht vereinfacht gesagt so: Der niegelnagelneue “Virus” (meist eher ein Dropper) wird entwickelt und über populäre Systeme (etwa eine bösartige Werbeanzeige) in den Browser geschleust. Der Browser lässt das mit sich machen, weil die dafür ausgenutzte Sicherheitslücke ja erst heute morgen bekannt wurde (daher “Zero Day”), und der Virenscanner ist blind, weil dieses Stück Malware-Code ja heute am Tag 0 ebenfalls zum ersten Mal auftauchte.
• Gegen unsicheres Verhalten hilft kein Virenschutz. Wer sich eine Raubkopie nach der anderen auf die Kiste kleistert und jeden Link anklickt, der per Mail oder soziale Medien vorbeirauscht, der braucht sich nicht wundern, wenn da auch mal ein Tierchen dabei ist.
• Gegen eine unsichere Welt hilft kein Virenschutz. Denn es gilt hier eben nicht der Umkehrschluss: Nur weil Sie nie auf einen Link klicken, schützt Sie das nicht davor, auf der Website eines populären Massenmediums durch eine Werbung infiziert zu werden. Und das passiert dauernd. Die Welt um uns herum ist unsicher, hackbar, möglicherweise infiziert.

Gegen eine Zero-Day-Attacke sind Sie mit Virenscanner ebenso geschützt wie ohne. Nur umsichtiges Verhalten, aka “security awareness” kann zumindest die Wahrscheinlichkeit eines Sicherheitsproblems reduzieren.

Was zu tun ist

Nichts. Die Antivirenhersteller müssen was tun, wir können nur hoffen. – Aber was könnte man immerhin raten, sozusagen “zeitlos”?

• Verlassen Sie sich nicht auf Virenschutz. Es war schon immer richtig, das so zu sagen.
• Verwenden Sie ein exotisches System, etwa Linux oder einen Mac, oder ein ungerootetes iOS/Android-Tablet. Derzeit sind dort kaum Probleme bekannt. Das heißt nicht, dass diese “sicherer” sind, und es kann in einem Jahr (morden morgen früh) schon ganz anders sein.
• Hände weg von zu schweren Suiten. Lieber nur “XY Antivirus” als “XY Security Suite” nehmen. So spart man sich wenigstens die Bugs aus Firewall und sonstigem Gedöns. (Es ist ja ganz erstaunlich, wie alle AV-Anbieter, selbst solche, die jahrelang als gut galten, in das tappten, was ich mal die Norton-Utilities-/PC-Tools-Falle nennen möchte: Immer noch mehr bunter und unnötiger Scheiß, dafür immer langsamer und aufgeblähter …)
• Java abschalten, Flash- und Werbeblocker im Browser aktivieren. Ja, das hilft, auch wenn der “Werbeblocker” im Browser natürlich ebenfalls “zusätzliche Unsicherheiten” einschleppt.
• Greifen Sie zum Exoten-Virenschutz. Betrachtet man den Marktanteil Anfang 2014 von AV-Produkten, weltweit, laut OPSWAT, so wird doch irgendwie klar: Wenn einer versuchen wird, einen Virenscanner anzugreifen, dann derzeit wohl am ehesten Microsoft Security Essentials oder avast!. Ergo würde ich persönlich von diesen Produkten Abstand nehmen – wenn ich wirklich glauben würde, dass die dadurch gewonnene Sicherheit höher wiegt als die prozentuale Sicherheit, die durch diese Produkte zu gewinnen ist. (Aber deswegen zu McAfee greifen?!? Na, ich weiß ja nicht … ;-)

Hier noch das Video mit dem Vortrag: