Das zwielichte Geschäft der Antiviren-Hersteller Marc Ruef | 23.02.2009 Ich habe mich sehr früh angefangen für Computerviren zu interessieren. Im Alter von etwa 13 Jahren hatte ich schon eine ganze Reihe von Viren für meinen MS DOS 3.1 Rechner geschrieben. Dabei haben mich weniger die Schadroutinen, sondern viel mehr die Möglichkeiten effizienter Infektionen sowie das Verstecken von Antiviren-Mechanismen interessiert. Da ich zeitgleich eine eigene Antiviren-Routine (in erster Linie auf der Basis einer Mustererkennung) schrieb, empfand ich das Entwickeln meiner Viren und das Erweitern meiner Antiviren-Software als virtuelles Schachspiel gegen mich selber. Das Interesse an korruptem Programmcode habe ich, auch wenn ich mich zwischenzeitlich eher anderen Gebieten wie der Netzwerksicherheit zugewandt habe, nie wirklich verloren. Der Fortschritt in der Antiviren-Industrie ist dabei genauso interessant zu beobachten wie die immer komplexer (und leider qualitativ oft schlechter) gewordenen Computerviren (die Motive der Virenentwickler haben sich zunehmends den kapitalistischen Zeiten angepasst und damit die enthusiastische Tragweite ihrer Arbeiten). Das Wissen aus diesen Bereichen war und bleibt bis zu einem hohen Grad sehr exklusiv. Vor 15 Jahren konnte man die Grundlagen in wenigen trockenen Büchern, die irgendwo in der hiesigen Bibliothek neben C64-Büchern verstaubten, nachlesen (sehr zu empfehlen ist The Giant Black Book of Computer Viruses (http://vx.netlux.org/lib/vml01.html)). Heute kann man zwar auf ein Mehr an sehr guten Fachpublikationen zurückgreifen (zu empfehlen ist The Art of Computer Virus Research and Defense (http://www.amazon.de/dp/0321304543/)). Die Komplexität moderner Computersysteme führte jedoch dazu, dass der Aufwand für das Erarbeiten des grundlegenden Verständnisses um ein Vielfaches zugenommen hat. Die Entwickler von Antiviren-Lösungen wissen, dass ihre Kunden zu einem überwiegenden Teil gar keine bis sehr wenig Ahnung von der Funktionsweise ihrer Software und den Möglichkeiten moderner Computerviren haben. Wieviele Benutzer wissen schon, dass das grundlegende Prinzip der vermeintlich hochkomplexen Produkte lediglich darauf basiert, dass Dateien nach für korrupten Programmcode bekannte Zeichenketten (Pattern-Matching) durchsucht werden? Ergo kann eine Antiviren-Lösung nur Schädlinge erkennen, die durch den Hersteller zuvor entdeckt, analysiert und dokumentiert wurden. Neue Entwicklungen, die dieses Prinzip technisch und wirtschaftlich abzulösen in der Lage sind, sind bis auf weiteres nicht erkennbar (Heuristische Methoden sind zu grossen Teilen noch immer nicht ausgefeilt). Der spanische Antiviren-Hersteller Panda hat vor einiger Zeit den freien Online-Scanner ActiveScan 2.0 (http://www.pandasecurity.com/activescan/index/) vorgestellt (http://www.heise.de/newsticker/Panda-praesentiert-Infiziert-oder-nicht--/meldung/114623). Durch ein Browser-Plugin, das ebenfalls mit Mozilla Firefox funktioniert und nur die Installation einer dubiosen EXE-Datei erfordert, kann der Besucher sein System auf bekannten Schadcode hin untersuchen lassen. In einer kleinen Übersicht werden dann die Infektionen gezeigt. Einige von ihnen lassen sich mit der Gratisversion beheben, andere erfordern den Kauf der Vollversion. Auf der Eingangsseite wird der Besucher mit dem Hinweis "23% of PCs with antivirus are infected" empfangen (Stand 22. August 2008). Die Antiviren-Industrie ist also unser aller Retter oder wenigstens 23% der Computerbenutzer, die ja schon eine Antiviren-Lösung einsetzen. Wie hoch wird denn die Infektionsrate bei Systemen erwartet, die noch kein solches (Konkurrenz-)Produkt einsetzen? Wirkliche Details liefert die grafischer Oberfläche des Online-Scanners nicht. Dass da aber ebenfalls unkritische Elemente (z.B. Tracking-Cookies) als bösartigen und nur mit der Vollversion entfernbare Objekte ausgewiesen werden, grenzt schon an Bauernfängerei. Um diese Cookies zu entfernen, reicht schliesslich das Anpassen der Konfiguration des Webbrowsers oder halt die Nutzung einer freien Lösung wie Spybot-S&D (http://www.safer-networking.org/de/spybotsd/). Testhalber habe ich mal mein Entwicklungs-System durch ActveScan prüfen lassen. Darauf programmiere ich zur Zeit an den neuesten Versionen des Attack Tool Kit (ATK) (http://www.computec.ch/projekte/atk/) und httprecon (http://www.computec.ch/projekte/httprecon/). Beides zwei mittlerweile sehr populäre Produkte bei Penetration Testern. Einmal mehr habe ich mich darüber geärgert, dass diese Entwicklungen als Schadcode ausgewiesen werden: Stellt man umfassende Recherchen an, so findet man heraus, dass sie zwar "nur" als Hacking-Tools bzw. Exploits taxiert werden und damit für den Nutzer der Lösungen keine Gefahr ausgeht. Der Laie wird bei den gegebenen Warnmeldungen jedoch vermuten, dass ich hier irgendwelche Backdoors programmiere oder meine File-Repositories nicht sauber halten kann. Irgendwo durch grenzt dies für mich an üble Nachrede. Die Antiviren-Hersteller kämpfen um ihre Kunden. Und sie tun dies ganz offensichtlich mit zwielichtigen Mitteln, wie selbst Eva Chen von TrendMicro im Interview mit ZDNet UK (http://resources.zdnet.co.uk/articles/features/0,1000002000,39440184,00.htm) zugibt ("In the antivirus business, we have been lying to customers for 20 years."). Da werden Mitbewerber mit giftigen Werbesprüchen angegriffen (23% aller mit einer Antiviren-Lösung bestückten Systeme sind infiziert), Gefahren heraufgespielt (Cookies als Schadcode) und möglichst viele Anwendungen als potentiell schädlich ausgewiesen (Security-Tools als Schadcode), um das eigene Produkt als absolute Lösung anpreisen zu können. Der Benutzer wird mit statistisch unhaltbaren Prozentangaben (23%) und rot blinkenden Warnhinweisen vorgegakuelt, dass alle Leute im Internet was Böses im Schilde führen. Schnell, schnell, wir müssen die neueste Version von Panda Antivirus kaufen - Ist die Advanced Extended 2009 Ultimate Professional Edition denn noch nicht draussen!? Die Antiviren-Industrie darf man, abgesehen vom Bereich der Kryptografie, als klassische Disziplin der Computersicherheit schlechthin bezeichnen. Lange bevor es Firewalls und Vulnerability Scanner gab, wurden schon Viren wie der Brain- oder Cascade-Virus erfolgreich gesucht. Dennoch dümpelt die Branche auch nach 20 Jahren noch mit unsauberen Mechanismen und stümperhaften Methoden vor sich hin. Ohne eine Verbesserung in fünf wichtigen Bereichen werden Antiviren-Lösungen auch weiterhin ihre echte Nützlichkeit nicht entfalten können: 1) Werbe-Ethik: Hersteller von Antiviren-Lösungen müssen ihre Kunden sehr genau auf die Funktionsweise und Möglichkeiten (was kann man und was kann man eben nicht) ihrer Produkte hinweisen. Draufgängerische Parolen wie "100%iger Schutz" gehören verboten. 2) Einheitliche Identifikation: Es fehlt nach wie vor ein einheitliches System zur Identifikation von Schadcode durch verschiedene Produkte, ähnlich der CVE-Identifikation bei Sicherheitslücken. (Einige Produkte finden HackTool.Win32.AttKit.c woebei es andere als W32/VirTool.ES bezeichnen.) 3) Einheitliche Terminologie: Man konnte sich in einigen Punkten noch immer nicht auf eine einheitliche und nachvollziehbare Terminologie für Schadcode und dessen Eigenschaften einigen. Der Fund von Exploits und Joke-Software muss klar als solche ausgewiesen und die (oftmals unkritischen) Hintergründe erklärt werden (z.B. keine Gefahr für den Nutzer). 4) Klare Abgrenzung: Antiviren-Lösungen sollten klar erkennbar eine bestimmte oder bestimmbare Klasse von Schadcode determinieren können. Das Finden von Exploits und Joke-Software sollte sich explizit deaktivieren lassen. Penetration Tester wollen ebenfalls Antiviren-Produkt einsetzen, ohne ständig Meldungen zu httprecon, ATK und MetaSploit wegklicken zu müssen. 5) Detaillierte Informationen: Antiviren-Produkte weisen oftmals nur oberflächliche Informationen zu vermeintlichen Findings aus. Anstelle des hauseigenen kryptischen Namens (z.B. Generic.XPL.IIS.B1F5A3B2, siehe Punkt 2 und 3) sollten technische Details zum Schadcode (z.B. welche Bereiche betroffen) sowie zur erfolgreichen Erkennung (z.B. welche Muster sind vorhanden) ausgewiesen werden. Eine umfassende öffentliche Datenbank ist wünschenswert.