Abo
  • Services:

Staatstrojaner: Scanner-Software Detekt warnt vor sich selbst

Hersteller von Antivirensoftware halten das Tool Detekt für "schlecht gemacht". Von den ursprünglich acht Staatstrojanern werden wegen vieler Fehlalarme nur noch zwei gesucht.

Artikel veröffentlicht am ,
Der Programmier räumt im Code selbst Probleme mit Fehlalarmen ein.
Der Programmier räumt im Code selbst Probleme mit Fehlalarmen ein. (Bild: Odd Andersen/Getty Images)

Das quelloffene Werkzeug Detekt zum Erkennen von Spionagesoftware hat mit Startproblemen zu kämpfen. Die Bochumer Sicherheitsfirma G Data kritisierte das Tool in einem Blogbeitrag als "schlecht gemacht". Es führe bei Nutzern beispielsweise zu Fehlalarmen, weil Antivirenprogramme das Tool bei der Ausführung scannten und daher den Detekt-Code in den Speicher lüden. Da Detekt wiederum den Speicher scanne, finde das Tool darin seine eigenen Yara-Regeln und schlage Alarm.

Stellenmarkt
  1. Hella Gutmann Solutions GmbH, Ihringen bei Freiburg im Breisgau
  2. Robert Bosch GmbH, Stuttgart-Feuerbach

Nach Darstellung von G Data kann es sogar zu einem Fehlalarm kommen, nachdem das Programm mit einem Browser heruntergeladen wurde und es anschließend selbst im Browserspeicher die Yara-Regeln findet. Laut G Data könnten möglicherweise noch einige Fälle mehr auftreten, die zu Fehlalarmen führen. Nutzer könnten dadurch stark verunsichert werden, da ein Entwickler beispielsweise rate, "den Computer wegzuschmeißen", wenn er infiziert sei. Detekt sei zwar für jeden verfügbar, seine Nutzung aber nur Spezialisten zu empfehlen.

Hinter dem Tool stecken unter anderem Amnesty International, die Digitale Gesellschaft und die Electronic Frontier Foundation. Ursprünglich sollte Detekt acht bekannte Trojaner erkennen. Auf der Entwicklerseite bei Github finden sich derzeit aber nur Yara-Regeln zu den Programmen der Hersteller Gamma International/Finfisher und Hacking Team (RCS). In den beiden Regeln wurde in den vergangenen Tagen Code entfernt, der zu Fehlalarmen führte. Die Spähprogramme der Hersteller Darkcomet, Xtreme, Blackshade, Njrat, Shadowtech und Gh0st werden derzeit offenbar nicht erkannt und wurden vor wenigen Tagen aus der Anleitung und dem Code entfernt. Zuvor hatte der Programmierer offenbar versucht, das Problem mit Hilfe einer Whitelist von Antivirenprogrammen zu lösen. Im Code fand sich dazu folgende Anmerkung: "Das ist Flickschusterei. Man braucht eine bessere Lösung, um mit Fehlalarmen vor allem bei Antivirensoftware umzugehen."

Nachtrag vom 26. November 2014, 14:58 Uhr

G Data teilte auf Anfrage von Golem.de mit, dass seine Sicherheitslösungen Schutz vor genannten acht Malware-Familien böten. Mit Hilfe von Virenscannern und proaktiven Schutztechniken seien sie in der Lage, "den Schadcode schon abzuwehren, bevor er es überhaupt auf den PC des Ziels schafft". Daher seien die Yara-Regeln nicht die einzige Hilfe, sondern hätten den Nachteil, dass mit dieser Technik Spyware erst gefunden werden könne, wenn bereits eine Infektion des Systems stattgefunden habe.

Der Vorwurf von Detekt-Entwickler Claudio Guarnieri, wonach G Data nicht das Programm RCS von Hacking Team erkenne, wies Pressesprecher Christian Lueg zurück.

Inzwischen seien die Samples eingespielt worden. Diese hätten G Data zuvor nicht vorgelegen. Lueg begründete die Kritik an Detekt damit, dass es zahlreiche Anfragen von verunsicherten Kunden gegeben habe, bei denen ein falscher Alarm ausgelöst worden sei. Darauf habe das Unternehmen reagieren müssen.

Guarnieri hatte zum Start des Programmes gesagt, Detekt sei kein Antivirenscanner, sondern lediglich als Hilfe für Journalisten und Aktivisten unterwegs gedacht. In einem ausführlichen Blogbeitrag wies Guarnieri nun die Darstellung zurück, die Zahl der Malware-Familien sei wegen der Fehlalarme reduziert worden. Er habe damit das Missverständnis korrigieren wollen, wonach es sich bei Detekt um ein allgemeines Virenschutzprogramm handele. Er habe lediglich das Katz- und Maus-Spiel zwischen den Herstellern von Antiviren-Programmen und Spähsoftware beenden wollen.



Anzeige
Spiele-Angebote
  1. (-75%) 9,99€
  2. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€
  3. (-35%) 38,99€

Rababer 28. Nov 2014

Hallo, kann es sein, dass die Staatsvertreter ihre Finger im Spiel hatten ? Ich kann die...

M.P. 27. Nov 2014

Du meinst in Abwandlung eines Bernstein Spruches "Die Kritiker der Elche sind häufig...

klosterhase 26. Nov 2014

Nur am Rande: Der gute Mann kann ja nichts für seinen Namen, aber es klingt doch...

leipsfur 26. Nov 2014

https://forum.golem.de/read.php?88218,3971189,3971340,sv=1 Fällt dir was auf?


Folgen Sie uns
       


Akustische Kamera Soundcam - Bericht

Lärm ist etwas für die Ohren? Nicht nur: Eine akustische Kamera macht Geräuschquellen sichtbar. Damit lassen sich beispielsweise fehlerhafte Teile in einer Maschine erkennen oder der laute Lüfter im Computer aufspüren. Wir haben es ausprobiert.

Akustische Kamera Soundcam - Bericht Video aufrufen
Mobilfunk: Was 5G im Bereich Security bringt
Mobilfunk
Was 5G im Bereich Security bringt

In 5G-Netzwerken werden Sim-Karten für einige Anwendungsbereiche optional, das Roaming wird für Netzbetreiber nachvollziehbarer und sicherer. Außerdem verschwinden die alten Signalisierungsprotokolle. Golem.de hat mit einem Experten über Sicherheitsmaßnahmen im kommenden 5G-Netzwerk gesprochen.
Von Hauke Gierow

  1. IMSI Privacy 5G macht IMSI-Catcher wertlos
  2. DAB+ Radiosender hoffen auf 5G als Übertragungsweg
  3. Netzbetreiber 5G kommt endlich in die Umsetzungsphase

Adblock Plus: Bundesgerichtshof erlaubt Einsatz von Werbeblockern
Adblock Plus
Bundesgerichtshof erlaubt Einsatz von Werbeblockern

Der Bundesgerichtshof hat im Streit um die Nutzung von Werbeblockern entschieden: Eyeo verstößt mit Adblock Plus gegen keine Gesetze. Axel Springer hat nach dem Urteil angekündigt, Verfassungsbeschwerde einreichen zu wollen.

  1. Urheberrecht Easylist muss Anti-Adblocker-Domain entfernen

Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
Datenschutz
Der Nutzer ist willig, doch die AGB sind schwach

Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Soziales Netzwerk Facebook ermöglicht Einsprüche gegen Löschungen
  2. Soziales Netzwerk Facebook will in Deutschland Vertrauen wiedergewinnen
  3. Denial of Service Facebook löscht Cybercrime-Gruppen mit 300.000 Mitgliedern

    •  /