Abo
  • Services:
Anzeige
Der Programmier räumt im Code selbst Probleme mit Fehlalarmen ein.
Der Programmier räumt im Code selbst Probleme mit Fehlalarmen ein. (Bild: Odd Andersen/Getty Images)

Staatstrojaner: Scanner-Software Detekt warnt vor sich selbst

Der Programmier räumt im Code selbst Probleme mit Fehlalarmen ein.
Der Programmier räumt im Code selbst Probleme mit Fehlalarmen ein. (Bild: Odd Andersen/Getty Images)

Hersteller von Antivirensoftware halten das Tool Detekt für "schlecht gemacht". Von den ursprünglich acht Staatstrojanern werden wegen vieler Fehlalarme nur noch zwei gesucht.

Anzeige

Das quelloffene Werkzeug Detekt zum Erkennen von Spionagesoftware hat mit Startproblemen zu kämpfen. Die Bochumer Sicherheitsfirma G Data kritisierte das Tool in einem Blogbeitrag als "schlecht gemacht". Es führe bei Nutzern beispielsweise zu Fehlalarmen, weil Antivirenprogramme das Tool bei der Ausführung scannten und daher den Detekt-Code in den Speicher lüden. Da Detekt wiederum den Speicher scanne, finde das Tool darin seine eigenen Yara-Regeln und schlage Alarm.

Nach Darstellung von G Data kann es sogar zu einem Fehlalarm kommen, nachdem das Programm mit einem Browser heruntergeladen wurde und es anschließend selbst im Browserspeicher die Yara-Regeln findet. Laut G Data könnten möglicherweise noch einige Fälle mehr auftreten, die zu Fehlalarmen führen. Nutzer könnten dadurch stark verunsichert werden, da ein Entwickler beispielsweise rate, "den Computer wegzuschmeißen", wenn er infiziert sei. Detekt sei zwar für jeden verfügbar, seine Nutzung aber nur Spezialisten zu empfehlen.

Hinter dem Tool stecken unter anderem Amnesty International, die Digitale Gesellschaft und die Electronic Frontier Foundation. Ursprünglich sollte Detekt acht bekannte Trojaner erkennen. Auf der Entwicklerseite bei Github finden sich derzeit aber nur Yara-Regeln zu den Programmen der Hersteller Gamma International/Finfisher und Hacking Team (RCS). In den beiden Regeln wurde in den vergangenen Tagen Code entfernt, der zu Fehlalarmen führte. Die Spähprogramme der Hersteller Darkcomet, Xtreme, Blackshade, Njrat, Shadowtech und Gh0st werden derzeit offenbar nicht erkannt und wurden vor wenigen Tagen aus der Anleitung und dem Code entfernt. Zuvor hatte der Programmierer offenbar versucht, das Problem mit Hilfe einer Whitelist von Antivirenprogrammen zu lösen. Im Code fand sich dazu folgende Anmerkung: "Das ist Flickschusterei. Man braucht eine bessere Lösung, um mit Fehlalarmen vor allem bei Antivirensoftware umzugehen."

Nachtrag vom 26. November 2014, 14:58 Uhr

G Data teilte auf Anfrage von Golem.de mit, dass seine Sicherheitslösungen Schutz vor genannten acht Malware-Familien böten. Mit Hilfe von Virenscannern und proaktiven Schutztechniken seien sie in der Lage, "den Schadcode schon abzuwehren, bevor er es überhaupt auf den PC des Ziels schafft". Daher seien die Yara-Regeln nicht die einzige Hilfe, sondern hätten den Nachteil, dass mit dieser Technik Spyware erst gefunden werden könne, wenn bereits eine Infektion des Systems stattgefunden habe.

Der Vorwurf von Detekt-Entwickler Claudio Guarnieri, wonach G Data nicht das Programm RCS von Hacking Team erkenne, wies Pressesprecher Christian Lueg zurück.

Inzwischen seien die Samples eingespielt worden. Diese hätten G Data zuvor nicht vorgelegen. Lueg begründete die Kritik an Detekt damit, dass es zahlreiche Anfragen von verunsicherten Kunden gegeben habe, bei denen ein falscher Alarm ausgelöst worden sei. Darauf habe das Unternehmen reagieren müssen.

Guarnieri hatte zum Start des Programmes gesagt, Detekt sei kein Antivirenscanner, sondern lediglich als Hilfe für Journalisten und Aktivisten unterwegs gedacht. In einem ausführlichen Blogbeitrag wies Guarnieri nun die Darstellung zurück, die Zahl der Malware-Familien sei wegen der Fehlalarme reduziert worden. Er habe damit das Missverständnis korrigieren wollen, wonach es sich bei Detekt um ein allgemeines Virenschutzprogramm handele. Er habe lediglich das Katz- und Maus-Spiel zwischen den Herstellern von Antiviren-Programmen und Spähsoftware beenden wollen.


eye home zur Startseite
Rababer 28. Nov 2014

Hallo, kann es sein, dass die Staatsvertreter ihre Finger im Spiel hatten ? Ich kann die...

M.P. 27. Nov 2014

Du meinst in Abwandlung eines Bernstein Spruches "Die Kritiker der Elche sind häufig...

klosterhase 26. Nov 2014

Nur am Rande: Der gute Mann kann ja nichts für seinen Namen, aber es klingt doch...

leipsfur 26. Nov 2014

https://forum.golem.de/read.php?88218,3971189,3971340,sv=1 Fällt dir was auf?



Anzeige

Stellenmarkt
  1. Daimler AG, Sindelfingen
  2. Phoenix Pharmahandel GmbH & Co KG, Mannheim
  3. Robert Bosch GmbH, Böblingen
  4. T-Systems International GmbH, verschiedene Standorte


Anzeige
Spiele-Angebote
  1. 5,99€
  2. 4,99€
  3. ab 129,99€

Folgen Sie uns
       


  1. Equal Rating Innovation Challenge

    Mozilla will indische Dörfer ins Netz holen

  2. Firmenstrategie

    Intel ernennt Strategiechefin und gründet AI-Gruppe

  3. APFS unter iOS 10.3 im Test

    Schneller suchen und ein bisschen schneller booten

  4. Starship Technologies

    Domino's liefert in Hamburg Pizza per Roboter aus

  5. Telekom Stream On

    Gratis-Flatrate für Musik- und Videostreaming geplant

  6. Nachhaltiglkeit

    Industrie 4.0 ist bisher kein Fortschritt

  7. Firaxis Games

    Civilization 6 kämpft mit Update schlauer

  8. Microsoft Office

    Excel-Dokumente gemeinsam bearbeiten und autospeichern

  9. Grafikkarte

    AMDs Radeon RX 580 nutzt einen 8-Pol-Stromanschluss

  10. Softwareentwicklung

    Google sammelt seine Open-Source-Aktivität



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
NZXT: Lüfter auch unter Linux steuern
NZXT
Lüfter auch unter Linux steuern
  1. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich
  2. FluoWiFi Arduino-kompatibles Board bietet WLAN und Bluetooth
  3. Me Arm Pi Roboterarm zum Selberbauen

Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
Forensik Challenge
Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
  1. Reporter ohne Grenzen Verfassungsklage gegen BND-Überwachung eingereicht
  2. Selektorenaffäre BND soll ausländische Journalisten ausspioniert haben
  3. Ex-Verfassungsgerichtspräsident Papier Die Politik stellt sich beim BND-Gesetz taub

Betrugsnetzwerk: Kinox.to-Nutzern Abofallen andrehen
Betrugsnetzwerk
Kinox.to-Nutzern Abofallen andrehen

  1. Ich habe Zweifel, ...

    nykiel.marek | 12:37

  2. Re: Scheint so als würde denen das Geld langsam...

    Vaako | 12:37

  3. Re: Schade. Anime Tipps?

    sh4itan | 12:34

  4. Re: "zu wenige Fahrer"

    SuperProbotector | 12:33

  5. Wo muss der Streaming Dienst gebucht sein?

    bifi | 12:32


  1. 12:45

  2. 12:30

  3. 12:09

  4. 12:04

  5. 11:56

  6. 11:46

  7. 11:41

  8. 11:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel