Staatstrojaner: Scanner-Software Detekt warnt vor sich selbst

Hersteller von Antivirensoftware halten das Tool Detekt für "schlecht gemacht". Von den ursprünglich acht Staatstrojanern werden wegen vieler Fehlalarme nur noch zwei gesucht.

Artikel veröffentlicht am ,
Der Programmier räumt im Code selbst Probleme mit Fehlalarmen ein.
Der Programmier räumt im Code selbst Probleme mit Fehlalarmen ein. (Bild: Odd Andersen/Getty Images)

Das quelloffene Werkzeug Detekt zum Erkennen von Spionagesoftware hat mit Startproblemen zu kämpfen. Die Bochumer Sicherheitsfirma G Data kritisierte das Tool in einem Blogbeitrag als "schlecht gemacht". Es führe bei Nutzern beispielsweise zu Fehlalarmen, weil Antivirenprogramme das Tool bei der Ausführung scannten und daher den Detekt-Code in den Speicher lüden. Da Detekt wiederum den Speicher scanne, finde das Tool darin seine eigenen Yara-Regeln und schlage Alarm.

Stellenmarkt
  1. IT Application Manager (m/w/d) Jira / Confluence
    medac Gesellschaft für klinische Spezialpräparate mbH, Wedel
  2. Projektmanager (m/w/d) Digitale Studiotechnik International
    RSG Group GmbH, Berlin
Detailsuche

Nach Darstellung von G Data kann es sogar zu einem Fehlalarm kommen, nachdem das Programm mit einem Browser heruntergeladen wurde und es anschließend selbst im Browserspeicher die Yara-Regeln findet. Laut G Data könnten möglicherweise noch einige Fälle mehr auftreten, die zu Fehlalarmen führen. Nutzer könnten dadurch stark verunsichert werden, da ein Entwickler beispielsweise rate, "den Computer wegzuschmeißen", wenn er infiziert sei. Detekt sei zwar für jeden verfügbar, seine Nutzung aber nur Spezialisten zu empfehlen.

Hinter dem Tool stecken unter anderem Amnesty International, die Digitale Gesellschaft und die Electronic Frontier Foundation. Ursprünglich sollte Detekt acht bekannte Trojaner erkennen. Auf der Entwicklerseite bei Github finden sich derzeit aber nur Yara-Regeln zu den Programmen der Hersteller Gamma International/Finfisher und Hacking Team (RCS). In den beiden Regeln wurde in den vergangenen Tagen Code entfernt, der zu Fehlalarmen führte. Die Spähprogramme der Hersteller Darkcomet, Xtreme, Blackshade, Njrat, Shadowtech und Gh0st werden derzeit offenbar nicht erkannt und wurden vor wenigen Tagen aus der Anleitung und dem Code entfernt. Zuvor hatte der Programmierer offenbar versucht, das Problem mit Hilfe einer Whitelist von Antivirenprogrammen zu lösen. Im Code fand sich dazu folgende Anmerkung: "Das ist Flickschusterei. Man braucht eine bessere Lösung, um mit Fehlalarmen vor allem bei Antivirensoftware umzugehen."

Nachtrag vom 26. November 2014, 14:58 Uhr

G Data teilte auf Anfrage von Golem.de mit, dass seine Sicherheitslösungen Schutz vor genannten acht Malware-Familien böten. Mit Hilfe von Virenscannern und proaktiven Schutztechniken seien sie in der Lage, "den Schadcode schon abzuwehren, bevor er es überhaupt auf den PC des Ziels schafft". Daher seien die Yara-Regeln nicht die einzige Hilfe, sondern hätten den Nachteil, dass mit dieser Technik Spyware erst gefunden werden könne, wenn bereits eine Infektion des Systems stattgefunden habe.

Golem Akademie
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    4. März 2022, Virtuell
  2. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
Weitere IT-Trainings

Der Vorwurf von Detekt-Entwickler Claudio Guarnieri, wonach G Data nicht das Programm RCS von Hacking Team erkenne, wies Pressesprecher Christian Lueg zurück.

Inzwischen seien die Samples eingespielt worden. Diese hätten G Data zuvor nicht vorgelegen. Lueg begründete die Kritik an Detekt damit, dass es zahlreiche Anfragen von verunsicherten Kunden gegeben habe, bei denen ein falscher Alarm ausgelöst worden sei. Darauf habe das Unternehmen reagieren müssen.

Guarnieri hatte zum Start des Programmes gesagt, Detekt sei kein Antivirenscanner, sondern lediglich als Hilfe für Journalisten und Aktivisten unterwegs gedacht. In einem ausführlichen Blogbeitrag wies Guarnieri nun die Darstellung zurück, die Zahl der Malware-Familien sei wegen der Fehlalarme reduziert worden. Er habe damit das Missverständnis korrigieren wollen, wonach es sich bei Detekt um ein allgemeines Virenschutzprogramm handele. Er habe lediglich das Katz- und Maus-Spiel zwischen den Herstellern von Antiviren-Programmen und Spähsoftware beenden wollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Rababer 28. Nov 2014

Hallo, kann es sein, dass die Staatsvertreter ihre Finger im Spiel hatten ? Ich kann die...

M.P. 27. Nov 2014

Du meinst in Abwandlung eines Bernstein Spruches "Die Kritiker der Elche sind häufig...

klosterhase 26. Nov 2014

Nur am Rande: Der gute Mann kann ja nichts für seinen Namen, aber es klingt doch...

leipsfur 26. Nov 2014

https://forum.golem.de/read.php?88218,3971189,3971340,sv=1 Fällt dir was auf?



Aktuell auf der Startseite von Golem.de
Cloud-Ausfall
Eine AWS-Region als Single Point of Failure

Ein stundenlanger Ausfall der AWS-Cloud legte zentrale Dienste und sogar Amazon selbst teilweise lahm. Das zeigt die Grenzen der Cloud-Versprechen.
Ein Bericht von Sebastian Grüner

Cloud-Ausfall: Eine AWS-Region als Single Point of Failure
Artikel
  1. Euro NCAP: Renault Zoe mit katastrophalem Crash-Ergebnis
    Euro NCAP
    Renault Zoe mit katastrophalem Crash-Ergebnis

    Mit dem Renault Zoe sollte man keinen Unfall bauen. Im Euro-NCAP-Crashtest erhielt das Elektroauto null Sterne.

  2. Hohe Nachfrage: BMW plant Sonderschichten für den neuen i4
    Hohe Nachfrage
    BMW plant Sonderschichten für den neuen i4

    Das neue Elektroauto ist begehrt: Die Wartezeiten für den BMW i4 könnten ohne zusätzliche Produktion auf bis zu ein Jahr steigen.

  3. Wirtschaftsministerium Niedersachsen: Bisher gelten noch 56 KBit/s als Breitband
    Wirtschaftsministerium Niedersachsen
    "Bisher gelten noch 56 KBit/s als Breitband"

    Das Recht auf schnelles Internet und Universaldienstverpflichtung sind im neuen Telekommuniktionsgesetz (TKG) noch nicht bestimmt. Bisher gilt eigentlich ein absurder Wert aus der Vergangenheit.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /