Forensic Investigations / Fi Blog

Fi Blog

Nach dem Bericht von TheRegister, dass die Ende letzten Jahres unter dem Namen "Aurora" gelaufenen Angriffe auf Google, Adobe und andere von den getesteten Antivirusprodukten noch immer nicht erkannt werden , kann man diese Frage ernsthaft stellen. TheRegister bezieht sich dabei auf Informationen von NSS Labs , die festgestellt hätten, das lediglich McAfee Internet Security 2010 die Bedrohung erkannte, und die anderen getesteten Produkte AVG Internet Security 9.0, ESET Smart Security 4, Kaspersky Internet Security 2010, Norton Internet Security 2010, Sophos Endpoint Protection for Enterprise 9.0 und Trend Micro Internet Security 2010 allesamt nicht.

TrendMicro räumte ein, das vermehrt auf heuristische Untersuchungsverfahren gesetzt werden müsse, was auch den Einlassungen von Stefan Müller (Symantec) auf dem Workshop "Forensik & Computerkriminalität" des C.A.S.T. e.V. entspricht, der dort ebenfalls sagte, man werde der Flut an neuer Malware und dem "Hase & Igel" Spiel sonst nicht mehr Herr.

Ein weiteres Indiz dafür ist das von Kaspersky Labs gestartete Experiment, absolut virenfreie Dateien durch Ihren Scanner als Virus anzeigen zu lassen (absichtlich erzeugter sog. "false positive"), und die Dateien über VirusTotal anderen AV-Herstellern zugänglich zu machen. Binnen 10 Tagen hätten bis zu 14 AV-Produkte anderer Hersteller die unschädliche Datei auch als Virus erkannt, ein deutliches Indiz, dass einige Hersteller einfach vom Nachbarn "klauen", ohne ein Minimum an eigenen Untersuchungen durchzuführen.

Schuld an der Misere seien teilweise auch die Testmethoden der Journalisten, deren Testberichte sehr wichtig für den wirtschaftlichen Erfolg der AV-Hersteller seien, diese würden nicht verstehen was "false positives" wären. Die AV-Hersteller hätten hier zu viel Angst, neben dem Mitbewerb vermeintlich schlecht auszusehen, wenn ihr Produkt einen angeblichen Virus nicht erkenne.

Das der Flut nicht mehr Herr zu werden ist, implizieren auch die Zahlen der ShadowServer Foundation, die allein im Februar 2010 über 1,5 Millionen neue Binärdateien-Unikate über verschiedene Quellen gesammelt hat , polymorphe Varianten sind dabei so weit wie möglich bereits herausgerechnet. Die Zahlen für Februar sind dabei noch vergleichsweise moderat, Spitzenmonate lagen gar über 4 Millionen Dateien. Es dürfte zwar klar sein, das ein grosser Anteil hiervon auf "Nebelgranaten" entfällt, die absichtlich von Malware-Gangs in entdeckte Honeypots eingespeist werden, um den Sicherheitsherstellern ein paar mehr Hausaufgaben zu geben, dennoch erfordern auch diese eine Untersuchung.

Das Konzept, in ausreichender Geschwindigkeit Pattern-Updates zur Verfügung zu stellen ist dadurch meiner Meinung nach gescheitert, der Mythos der 100%-Erkennung, wie von so mancher Marketing-Abteilung noch bis in die Neuzeit gepredigt wird, ist tot. Tatsächlich wurde bei Untersuchungen in der Praxis festgestellt, das 32% der untersuchten Rechner trotz aktuellem Virenschutz infiziert waren , gegenüber 46% Infektionen bei den Kandidaten ohne oder ohne aktuellen Schutz. Heuristik kann etwas Linderung verschaffen, jedoch ist die Analyse von Malware-Techniken und Entwicklung von Abwehrmechanismen aufwändiger, als einfach per statischer Analyse vom Mitbewerb zu "klauen", außerdem ist das Konzept, ständig Updates zu verkaufen, wirtschaftlich einfach zu reizvoll, solange die Kunden daran glauben. Fehlende unabhängige Testmethoden tragen ihr Übriges dazu bei.

Bereits anlässlich der it-sa Nürnberg im Oktober 2009 hatte ich die Marketing-Praktiken vieler Hersteller kritisiert und im Blog-Eintrag über Botnetz-Bekämpfung über die mangelnden Desinfektionsfähigkeiten der Produkte nach einer Infektion verwiesen.

Ich will hier jedoch nicht nur einseitig auf den AV-Herstellern herumtrampeln, die zum Teil den Umständen entsprechend noch relativ gute Arbeit machen. Schuld an der exorbitanten Verbreitung von Malware ist sicher auch die Tatsache, das es einfach zu gut und leicht funktioniert. Ein Großteil der Verbreitung geht auf Sicherheitslücken in Betriebssystemen und Netzwerksoftware zurück, allen voran Email-Clients, Web-Browser, Flash und Adobe Reader . Hier ist den Herstellern die Sicherheit ihrer Kunden einfach immer noch viel zu wenig wert . H.D. Moore, der Initiator des Metasploit Projekts wird bei Heise Online zitiert , dass "Softwarehersteller einen Fix für die vom Forscher entdeckte Lücke nie in der Zeit fertig stellen, die sie ursprünglich veranschlagen. Ganz egal, ob 30, 60, 90 oder 120 Tage, die Termine werden nie gehalten". Wenn aber ein öffentlicher Exploit zur Verfügung stünde, ginge es plötzlich auch innerhalb von 10 Tagen. Auch deshalb standen die Hersteller auch schon vielfach in der Kritik .



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31