Abo
  • IT-Karriere:

Komplexe Parser mit wenig Schutz

Dass Antivirensoftware nicht den besten Ruf genießt, hat sich inzwischen herumgesprochen, und einige Hersteller nutzen andere Bezeichnungen dafür. Doch die Probleme sind grundsätzlich für alle Ansätze, die versuchen, bösartige Software oder bösartigen Code zu erkennen, dieselben - die Umbenennung löst keine Probleme. Ob Endpoint Protection, Intrusion-Detection- und Intrusion-Prevention-Systeme oder Web Application Firewalls - hinter vielen Begriffen verbirgt sich nichts anderes als eine Antivirensoftware.

Stellenmarkt
  1. NÜRNBERGER Versicherung, Nürnberg
  2. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf

Die grundsätzlichen Probleme bestehen weitgehend unabhängig davon, ob die Antivirensoftware auf dem Client oder auf Netzwerkebene arbeitet. In beiden Fällen können Sicherheitslücken in der Sicherheitssoftware selbst zu katastrophalen Folgen führen.

Signaturansatz überholt

Antivirenprogramme gab es bereits auf Amiga-Computern und in der Zeit von MS-DOS. Doch die Situation damals war eine grundsätzlich andere. Es gab Listen mit allen bekannten Viren und Trojanern, die einige Tausend Einträge umfassten. Die wenigsten davon waren jedoch tatsächlich aktiv, viele fand man nur in den Sammlungen von Antivirenherstellern. Antivirenprogramme arbeiteten überwiegend mit Signaturen, beispielsweise, indem Prüfsummen von bösartigen Programmen verglichen wurden, oder direkt durch die Erkennung von entsprechenden Codeteilen.

Dieser Ansatz hat sehr naheliegende Grenzen: Während früher einige Tausend Varianten von Schadsoftware bekannt waren, gibt es heutzutage jeden Tag neue Malware. Der Ansatz, nur bekannte Malware zu erkennen, ist längst nicht mehr praktikabel. Davon kann man sich auch leicht überzeugen: Wenn man eine aktuelle Malware, die man per E-Mail bekommt, über den Service Virustotal prüft, ist es absolut üblich, dass nur ein kleiner Bruchteil der dort getesteten Programme diese erkennt. Die Signaturen können schlicht nicht schnell genug aktualisiert werden.

Mehr Komplexität bedeutet mehr Angriffsfläche

Moderne Antivirensoftware versucht daher, intelligent zu arbeiten und das Verhalten von bösartigen Programmen mit zahlreichen Methoden zu erkennen. Das führt zu einer enormen Komplexität und damit naheliegenderweise zu Risiken. Antivirensoftware enthält unzählige Parser für viele sehr komplexe Dateiformate. Genau das Parsen von komplexen Formaten ist aber die häufigste Quelle für Sicherheitslücken.

Die Beispiele dafür sind praktisch endlos. Für einige Schlagzeilen sorgten mehrere Lücken in Geräten des Herstellers Fireeye. Dessen Geräte nutzten eine Reihe von schlecht gemaintainten Open-Source-Tools, um Dateien zu analysieren. Fireeye machte sich zudem wenig Freunde damit, dass die Firma die Veröffentlichung der Details von Sicherheitslücken juristisch verhinderte.

Das Dilemma: Je intelligenter die Antivirensoftware versucht zu arbeiten, umso größer wird die Angriffsfläche. Deutlich wird das an einer Lücke, die Tavis Ormandy in Comodos Antivirus entdeckte: Dieses Programm startete verdächtige Software zunächst in einer emulierten Umgebung und implementierte Teile des Windows-APIs. Doch eine solche Emulationsumgebung kann von Malware unter Umständen erkannt werden. Um das zu verhindern, leitete Kaspersky Systembefehle, die die Emulationsumgebung nicht unterstützte, zu den echten Systembefehlen unter Windows um. Dass das dazu führte, dass Malware aus ihrer Emulationsumgebung ausbrechen kann, ist wenig überraschend.

Oft widerspricht Sicherheitssoftware guter IT-Sicherheitspraxis in einem grundlegenden Punkt: Mehr Sicherheit lässt sich oft am besten durch weniger Komplexität erreichen. Zusätzliche Software bedeutet mehr Angriffsfläche und mehr Potenzial für Fehler.

Ein sehr viel grundsätzlicherer Einwand gegen Antivirenprogramme hat mit einem sehr zentralen Satz aus der theoretischen Informatik zu tun, dem sogenannten Halteproblem.

 Antivirensoftware: Die Schlangenöl-BrancheNiemand löst das Halteproblem 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote
  1. (u. a. Kingston A400 2-TB-SSD für 159,90€, AMD Upgrade-Bundle mit Radeon RX 590 + Ryzen 7...
  2. 349,99€
  3. 229,99€
  4. 43,99€ (Bestpreis!)

Bradolan 07. Aug 2019

Wo kann man so n Glas voll Öl mit 'ner Schlange kaufen? Das würd' ich mir auf den...

Potrimpo 05. Okt 2017

Als Ausnahme definieren?

elcaron 28. Sep 2017

Nein, sind sie nicht. Verschlüsselung hat auf einem kompromittierten System absolut...

elcaron 28. Sep 2017

Die Browserhersteller haben es doch auch gelernt. Bei wirklich komischen Situationen...

elcaron 28. Sep 2017

Ich habe noch nie einen Online-Virenscanner benutzt (sondern nur c't desinfec't Scanner...


Folgen Sie uns
       


VW-Elektroautos aus Zwickau - Bericht

Der Volkswagen-Konzern will ab 2020 in Zwickau nur noch Elektroautos bauen - wir haben uns die Umstellung angesehen.

VW-Elektroautos aus Zwickau - Bericht Video aufrufen
Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

    •  /