Abo
  • Services:
Anzeige
Der Programmier räumt im Code selbst Probleme mit Fehlalarmen ein.
Der Programmier räumt im Code selbst Probleme mit Fehlalarmen ein. (Bild: Odd Andersen/Getty Images)

Staatstrojaner: Scanner-Software Detekt warnt vor sich selbst

Der Programmier räumt im Code selbst Probleme mit Fehlalarmen ein.
Der Programmier räumt im Code selbst Probleme mit Fehlalarmen ein. (Bild: Odd Andersen/Getty Images)

Hersteller von Antivirensoftware halten das Tool Detekt für "schlecht gemacht". Von den ursprünglich acht Staatstrojanern werden wegen vieler Fehlalarme nur noch zwei gesucht.

Anzeige

Das quelloffene Werkzeug Detekt zum Erkennen von Spionagesoftware hat mit Startproblemen zu kämpfen. Die Bochumer Sicherheitsfirma G Data kritisierte das Tool in einem Blogbeitrag als "schlecht gemacht". Es führe bei Nutzern beispielsweise zu Fehlalarmen, weil Antivirenprogramme das Tool bei der Ausführung scannten und daher den Detekt-Code in den Speicher lüden. Da Detekt wiederum den Speicher scanne, finde das Tool darin seine eigenen Yara-Regeln und schlage Alarm.

Nach Darstellung von G Data kann es sogar zu einem Fehlalarm kommen, nachdem das Programm mit einem Browser heruntergeladen wurde und es anschließend selbst im Browserspeicher die Yara-Regeln findet. Laut G Data könnten möglicherweise noch einige Fälle mehr auftreten, die zu Fehlalarmen führen. Nutzer könnten dadurch stark verunsichert werden, da ein Entwickler beispielsweise rate, "den Computer wegzuschmeißen", wenn er infiziert sei. Detekt sei zwar für jeden verfügbar, seine Nutzung aber nur Spezialisten zu empfehlen.

Hinter dem Tool stecken unter anderem Amnesty International, die Digitale Gesellschaft und die Electronic Frontier Foundation. Ursprünglich sollte Detekt acht bekannte Trojaner erkennen. Auf der Entwicklerseite bei Github finden sich derzeit aber nur Yara-Regeln zu den Programmen der Hersteller Gamma International/Finfisher und Hacking Team (RCS). In den beiden Regeln wurde in den vergangenen Tagen Code entfernt, der zu Fehlalarmen führte. Die Spähprogramme der Hersteller Darkcomet, Xtreme, Blackshade, Njrat, Shadowtech und Gh0st werden derzeit offenbar nicht erkannt und wurden vor wenigen Tagen aus der Anleitung und dem Code entfernt. Zuvor hatte der Programmierer offenbar versucht, das Problem mit Hilfe einer Whitelist von Antivirenprogrammen zu lösen. Im Code fand sich dazu folgende Anmerkung: "Das ist Flickschusterei. Man braucht eine bessere Lösung, um mit Fehlalarmen vor allem bei Antivirensoftware umzugehen."

Nachtrag vom 26. November 2014, 14:58 Uhr

G Data teilte auf Anfrage von Golem.de mit, dass seine Sicherheitslösungen Schutz vor genannten acht Malware-Familien böten. Mit Hilfe von Virenscannern und proaktiven Schutztechniken seien sie in der Lage, "den Schadcode schon abzuwehren, bevor er es überhaupt auf den PC des Ziels schafft". Daher seien die Yara-Regeln nicht die einzige Hilfe, sondern hätten den Nachteil, dass mit dieser Technik Spyware erst gefunden werden könne, wenn bereits eine Infektion des Systems stattgefunden habe.

Der Vorwurf von Detekt-Entwickler Claudio Guarnieri, wonach G Data nicht das Programm RCS von Hacking Team erkenne, wies Pressesprecher Christian Lueg zurück.

Inzwischen seien die Samples eingespielt worden. Diese hätten G Data zuvor nicht vorgelegen. Lueg begründete die Kritik an Detekt damit, dass es zahlreiche Anfragen von verunsicherten Kunden gegeben habe, bei denen ein falscher Alarm ausgelöst worden sei. Darauf habe das Unternehmen reagieren müssen.

Guarnieri hatte zum Start des Programmes gesagt, Detekt sei kein Antivirenscanner, sondern lediglich als Hilfe für Journalisten und Aktivisten unterwegs gedacht. In einem ausführlichen Blogbeitrag wies Guarnieri nun die Darstellung zurück, die Zahl der Malware-Familien sei wegen der Fehlalarme reduziert worden. Er habe damit das Missverständnis korrigieren wollen, wonach es sich bei Detekt um ein allgemeines Virenschutzprogramm handele. Er habe lediglich das Katz- und Maus-Spiel zwischen den Herstellern von Antiviren-Programmen und Spähsoftware beenden wollen.


eye home zur Startseite
Rababer 28. Nov 2014

Hallo, kann es sein, dass die Staatsvertreter ihre Finger im Spiel hatten ? Ich kann die...

M.P. 27. Nov 2014

Du meinst in Abwandlung eines Bernstein Spruches "Die Kritiker der Elche sind häufig...

klosterhase 26. Nov 2014

Nur am Rande: Der gute Mann kann ja nichts für seinen Namen, aber es klingt doch...

leipsfur 26. Nov 2014

http://forum.golem.de/read.php?88218,3971189,3971340,sv=1 Fällt dir was auf?



Anzeige

Stellenmarkt
  1. Fachhochschule Südwestfalen, Meschede
  2. operational services GmbH & Co. KG, Frankfurt
  3. Daimler AG, Stuttgart
  4. Wirecard Technologies GmbH, Aschheim bei München


Anzeige
Hardware-Angebote
  1. und 19 % Cashback bekommen
  2. 17,99€ statt 29,99€
  3. beim Kauf einer GeForce GTX 1070 und GTX 108

Folgen Sie uns
       


  1. Nintendo

    Super Mario Run für iOS läuft nur mit Onlineverbindung

  2. USA

    Samsung will Note 7 in Backsteine verwandeln

  3. Hackerangriffe

    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

  4. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  5. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  6. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  7. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  8. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  9. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  10. Kein Internet

    Nach Windows-Update weltweit Computer offline



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. Pornoseite Xhamster spricht von Fake-Leak
  2. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert
  3. Spionage Malware kann Kopfhörer als Mikrofon nutzen

  1. Re: Bricked = Backsteine, srsly?

    Axido | 21:20

  2. Re: braucht halt niemand.

    RipClaw | 21:14

  3. Re: Ganz schön armseelig Telekom

    TodesBrote | 21:12

  4. Re: EWE ist ganz übel

    rocketfoxx | 21:08

  5. Re: Diese ganzen angeblichen F2P sollte man...

    Olga Maslochov | 21:03


  1. 17:27

  2. 12:53

  3. 12:14

  4. 11:07

  5. 09:01

  6. 18:40

  7. 17:30

  8. 17:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel