Schlangenöl
Schlangenöl - Substanz ohne wirklichen medizinischen Wert, die als Heilmittel für alle Krankheiten verkauft wird
Beschreibung
- Der Begriff stammt aus der amerikanischen Praxis des 19. Jahrhunderts, bei der in reisenden Medizin-Shows Allheilmittel-Elixiere verkauft wurden
- Die Schlangenölverkäufer behaupteten fälschlicherweise, dass die Tränke alle Beschwerden heilen würden.
- Heutzutage bezieht sich der Begriff auf gefälschte Produkte.
- Wir haben die obige Aussage im Laufe der Jahre in verschiedenen Blogbeiträgen gelesen
- Viele Autoren haben behauptet, dass Antiviren-Software mehr schadet, als nützt, und dass Benutzer sich von ihr fernhalten sollten, um die Sicherheit ihres Computers nicht zu gefährden.
Antiviren-Software
- Dieser Artikel soll einige Insiderinformationen aus der Antivirenbranche liefern.
- Zwar ist an dem, was den Herstellern von Antivirensoftware vorgeworfen wird, ein Körnchen Wahrheit dran, aber es gibt auch einige wichtige Informationen, die in diesen gut gemeinten Sicherheitsartikeln fehlen.
- Es sind die fehlenden Teile, die oft die Schlussfolgerungen bestimmen.
- Ich möchte Sie ermutigen, mehr über die Situation zu erfahren und dann selbst zu entscheiden, ob Antiviren-Software Schlangenöl ist oder ein wesentlicher Bestandteil jedes Computersystems.
Was soll Antiviren-/Antimalware-Software leisten?
- Vor Viren, Trojanern, Ransomware und allen anderen Arten von Malware schützen, natürlich!
- Aber halt, hinter dieser scheinbar banalen Antwort verbirgt sich noch mehr.
- Werfen wir zunächst einen Blick auf die Ursprünge von Malware.
Wie gelangt die Malware auf meinen Computer?
- Online-Bedrohungen tauchen nicht einfach aus dem Nichts auf.
- Und sie sind auch nicht unvermeidlich.
- Es ist ein Irrglaube, dass wir Malware einfach als unvermeidlichen Teil unseres Lebens akzeptieren müssen.
- In Wirklichkeit sind Online-Bedrohungen eher wie unerwünschte Besucher in Ihrem Haus.
Genau wie Diebe werden sie versuchen, auf verschiedene Weise in Ihr Haus einzudringen
- z. B. durch offene Fenster oder Lüftungsschächte an der Seite des Gebäudes, aber am einfachsten ist es immer noch, an der Haustür zu klopfen und Sie zu überreden, sie einfach hereinzulassen, oder Sie zu täuschen, damit Sie das Haus ungeschützt lassen, damit sie sich in einem unbeobachteten Moment einschleichen können.
- Es ist hauptsächlich das menschliche Element, das Computer unsicher macht, nicht die Technik.
- Niemand will es wirklich hören, aber Menschen machen Fehler.
- Das haben wir immer und werden wir immer tun, unabhängig von unserem Wissen und unseren Fähigkeiten.
- Das ist eine der Konstanten der Natur, und Angreifer wissen genau, wie sie diese Tatsache zu ihrem Vorteil nutzen können.
- Angreifer erwarten
- Sie gehen nicht sorgfältig mit Ihren Software-Updates um und verpassen möglicherweise die Installation von Patches für neu entdeckte Sicherheitslücken.
- So können Angreifer eindringen und mithilfe von Exploit-Code einen Trojaner oder Bot platzieren.
- Sie würden auf eine Download-Schaltfläche klicken, wenn diese attraktiv genug ist und verlockende (und falsche) Informationen enthält, damit sie unerwünschte Software installieren können, die Sie den ganzen Tag mit Werbung und Popups belästigt.
- Sie sind neugierig und öffnen vielleicht einen E-Mail-Anhang, der wie eine Rechnung oder eine Paketzustellungsbestätigung aussieht, aber in Wirklichkeit ein Verschlüsselungsprogramm installiert, das alle Ihre Dateien als Lösegeld erpresst.
- Sie würden auf einen Link in einer E-Mail klicken, wenn diese wie alle anderen E-Mails aussieht, die Sie täglich erhalten.
- Der Link könnte Sie auffordern, Ihr geheimstes Bankpasswort einzugeben, damit sie Ihr Bankkonto leerräumen können.
- Klicken Sie einfach auf Weiter, Weiter, Weiter, ohne die Installationsdialoge sorgfältig zu lesen, damit sie Adware-Bundles oder Systemschädiger (auch Systemtuner genannt) installieren können.
- Sie sind faul und verwenden Ihre leicht zu merkenden Kennwörter wieder oder implementieren keine starke Anti-Brute-Force-Richtlinie für Ihren Remote-Desktop-Dienst, sodass sie rasch die wahrscheinlichsten Kennwortvarianten durchgehen und Ihre Daten stehlen oder Ihren Computer übernehmen können.
- Werfen wir noch einmal einen Blick darauf, was Antiviren-Software eigentlich leisten soll
- Antiviren-Software soll Sie davor bewahren, Fehler zu machen, die die Sicherheit Ihres Computers gefährden können.
Welche anderen Schutzmaßnahmen gibt es?
- Noch vor einem Jahrzehnt war Antivirus mehr oder weniger die einzige Möglichkeit, Ihr System zu schützen.
- Heute haben wir glücklicherweise mehrere Schutzschichten, um den schlimmsten Fall zu verhindern:
Benutzerberechtigungen
- In den Anfängen von Windows wurde jede Software mit denselben (höchsten) Berechtigungen ausgeführt, was bedeutete, dass jedes bösartige Skript, das von einer Website geladen wurde, in der Lage war, vollständig auf alle Ihre Daten zuzugreifen (und sie zu zerstören).
- Heutzutage sind die Standardbenutzerrechte meist recht eingeschränkt, und obwohl sie noch lange nicht perfekt umgesetzt sind, haben diese Berechtigungskonzepte die Malware-Szene stark verändert.
- Heruntergeladene Programme müssen in der Regel von Ihnen bestätigt werden, damit sie ausgeführt werden können.
- Tatsache ist jedoch, dass Berechtigungssysteme in der Regel komplex sind und daher oft auch Lecks aufweisen.
Aktualisierungen
- Viele von uns erinnern sich an die frühen 2000er Jahre, als monatlich neue große Schwachstellen in Windows und dem Internet Explorer-Browser entdeckt wurden.
- Auf jede dieser Schwachstellen folgte eine Reihe von Wurm-Malware, die die neu entdeckten Lücken nutzte, um Sie mit Infektionen zu täuschen.
- Zwar werden auch heute noch Sicherheitslücken in Software und Hardware gefunden, doch hat die Branche gelernt, viel professioneller mit ihnen umzugehen, um ihre möglichen Auswirkungen zu begrenzen.
- Windows- und andere Software-Updates werden jetzt automatisch im Hintergrund durchgeführt, sodass die ungeschützte Zeitspanne kleiner ist und weniger Möglichkeiten für Angriffe bestehen.
- Allerdings ist Computercode nie perfekt, und nicht alle Lecks werden den Softwareherstellern gemeldet, damit sie ihren Code korrigieren können.
- Einige werden auf dem Schwarzmarkt für enorme Summen gehandelt.
Sandboxing
- Moderne Browser leisten gute Arbeit, wenn es darum geht, Website-Skripte von den auf Ihrem Computer gespeicherten Daten fernzuhalten.
- Die Technologie zur sicheren Trennung von Daten wird als Sandboxing bezeichnet und ist in den meisten Fällen sicher, da es im Sandbox-Code selbst keine eingebauten Lecks gibt, die ausgenutzt werden können.
Konzeptionelle Schwächen von Antiviren-Software
- Es ist nicht verwunderlich, dass einige Sicherheitsexperten Antiviren-Software als gefährlich bezeichnen, denn das kann sie sein.
Hier ist der Grund dafür:
Das "Privilegien"-Problem
- Antiviren-Software muss auf dem Betriebssystem mit den höchsten Privilegien laufen, damit sie das gesamte System mit all seinen installierten Programmen überwachen und scannen kann, und nicht nur die Benutzerdaten.
- Es gibt einfach keine praktikable Möglichkeit, ein leistungsfähiges Antivirenprogramm zu entwickeln, ohne Zugriff auf die Daten zu erhalten, die es schützen soll.
- Aber mit höchsten Privilegien zu arbeiten bedeutet auch, dass jeder Fehler in der Software fatale Auswirkungen auf die Sicherheit haben kann, vor allem, wenn er es Angreifern ermöglicht, das Antivirusprogramm zu missbrauchen, um in das System einzudringen.
- Die Aussage, dass Antivirenprogramme das System unsicher machen können, ist also technisch korrekt.
- Aber hier ist es wichtig zu beachten, dass das Gleiche für jede Software gilt, die Sie mit Administratorrechten auf Ihrem Computer installieren.
- Dazu gehören alle Hardware- und Softwaretreiber, die Sie installieren, und alle anderen systemnahen Tools, die im Hintergrund laufen.
- Während ich diesen Artikel schreibe, zeigt mein Task-Manager 221 aktive Prozesse an, von denen 111 mit systemweiten Rechten ausgeführt werden.
- Nur einer davon ist der Prozess des Emsisoft Anti-Malware Schutzdienstes.
- Aber die anderen 110 sind mindestens genauso gefährlich für Ihre Sicherheit wie der Schutzdienst.
- Das ist zwar keine Entschuldigung dafür, schlechten Code zu schreiben, aber die Wahrscheinlichkeit, dass einer Ihrer Hardware-Treiber ein Leck (oder sogar ein absichtliches Rootkit oder eine Backdoor) enthält, ist mindestens genauso groß wie die Wahrscheinlichkeit, dass Ihre Antiviren-Software ein Leck enthält.
- Die Wahrheit ist, dass es in jeder Software Lecks geben kann - das hat uns die Geschichte eindeutig gelehrt.
- Es gibt Lecks im Betriebssystem, im Virenschutz und auch in anderen Treibern und Tools, die mit hohen Berechtigungen ausgeführt werden.
- Wenn eine undichte Stelle gefunden wird, ist es das Beste, wenn wir sie so schnell wie möglich beheben.
Das Problem der "SSL/TLS-Überprüfung
- Etwa die Hälfte der Websites im Internet wird bereits über ein sicheres, verschlüsseltes Kommunikationsprotokoll namens TLS (und seinen bekannteren Vorgänger SSL) bedient.
- Eine verschlüsselte Website erkennen Sie an dem "https" (beachten Sie das "s") am Anfang der Website-Adresse.
- Während SSL im Allgemeinen von allen geschätzt wird, stellt es für einige Antivirenhersteller ein interessantes Problem dar, da viele Produkte auf eine Tiefenprüfung des Website-Verkehrs angewiesen sind, um auf Bedrohungen zu prüfen.
- Da der SSL-Verkehr zwischen dem Browser und dem Webserver verschlüsselt wird, ist es technisch unmöglich, den Inhalt von Websites zu überprüfen, es sei denn, das Antivirenprogramm installiert einen lokalen SSL-Proxy, der die echten Sicherheitszertifikate von Websites simuliert.
- Dies ist jedoch eine sehr gefährliche Art und Weise, die Technologie zu nutzen, da einiges schief gehen kann - im schlimmsten Fall könnte ein Benutzer glauben, dass eine Website sicher verschlüsselt ist, obwohl dies nicht der Fall ist.
- Die Deep Traffic Inspection ist jedoch nicht die einzige Möglichkeit, sich vor gefährlichen Websites zu schützen, so dass dieses Problem nicht für alle Antivirenprodukte gilt.
- Emsisoft zum Beispiel beweist, dass Webschutz möglich ist, ohne das SSL-Sicherheitskonzept zu zerstören.
- DNS-basierte Filterung ist der richtige Weg, wenn Sie sich Sorgen um Ihre SSL-Sicherheit machen.
Das "Inkompatibilitäts"-Problem
- Fortschrittliche Schutztechnologien wie die Verhaltensblockierung erfordern, dass Antivirensoftware zwischen der Betriebssystemebene und der Ebene der Benutzerprogramme angesiedelt wird.
- Das Problem dabei ist, dass Windows ursprünglich nicht wirklich dafür ausgelegt war, dass sich Sicherheitssoftware dort positionieren konnte, da damals niemand daran dachte, dass Antivirensoftware jemals anspruchsvoller werden würde als das einfache Scannen von Dateien per Fingerabdruck.
- Also mussten die Entwickler kreativ sein und undokumentierte Windows-Schnittstellen und so genannten "schmutzigen" Code verwenden.
- Damit wurde die Arbeit zwar erledigt, aber es war weit von der besten und sichersten Programmierpraxis entfernt.
- Dies führte (und führt gelegentlich immer noch) zu Inkompatibilitäten zwischen Programmen, was zu widersprüchlichen Sicherheitskonzepten (insbesondere bei der Sandbox-Technologie) oder sogar zu Programm- und Systemabstürzen führte.
- Glücklicherweise haben Microsoft und andere Softwarehersteller diese Probleme erkannt und begonnen, solide und standardisierte Schnittstellen für die Entwicklung fortschrittlicher Antivirentechnologie bereitzustellen.
- Die Einführung einer neuen Filtertreiberplattform in Windows Vista war eine große Erleichterung für die gesamte Branche und ermöglichte eine wesentlich robustere und kompatiblere Antivirentechnologie.
Ist Antivirus nutzlos?
- Lassen Sie mich für einen Moment meinen Marketing-Hut ablegen und stattdessen meinen Logiker-Hut aufsetzen.
- Natürlich kann ich nicht leugnen, dass ich meinen Lebensunterhalt mit der Entwicklung von Antiviren-Software verdiene.
- Aber wenn das Geldverdienen mein Hauptziel wäre, würde ich mich lieber der dunklen Seite anschließen und Malware entwickeln.
- Ehrlich gesagt, hat Malware (leider) ein viel besseres Geschäftsmodell!
Ich habe mehr als die Hälfte meines Lebens dem gewidmet, was ich nach wie vor für das Wichtigste halte, wenn es um die Nutzung von Computern geht.
- den Menschen zu ermöglichen, sie sicher zu nutzen.
- Wenn Antivirenprogramme überflüssig sind, warum werden dann so viele Bedrohungen gefunden?
- Unser Malware-Scanner findet Millionen von gefährlichen Dateien und unser Echtzeitschutz blockiert jedes Jahr Millionen von Angriffen.
- Es besteht kein Zweifel an der Wirksamkeit von Antiviren-/Antimalware-Software.
- Wie es einer unserer Wiederverkäufer ausdrückte:
- Wir haben Hunderte, wenn nicht sogar tausende von Emsisoft-Kopien über unser Einzelhandelsgeschäft verkauft.
- Ich muss sagen, dass Emsisoft so gut funktioniert, dass ich das Gefühl habe, es könnte unserem Reparaturgeschäft schaden. - David Gentry, Lantean Systems LLC, USA
Aussagen wie diese sind für uns die Bestätigung, dass die Zeit und das Geld, das wir in Antiviren-/Antimalware-Software investieren, nicht verschwendet sind.
- Wir erkennen Malware nicht nur um der Erkennung willen und um bei den Kunden ein gutes Gefühl zu erzeugen, sondern wir verhindern tatsächlich, dass etwas Schlimmes passiert - jeden Tag.
Sicherheit ist keine absolute Sache - es ist ein Gleichgewicht der Risiken
Eine Sache, die ich in der Sicherheitsbranche gelernt habe, ist, dass viele Leute dazu neigen, nur schwarz und weiß zu sehen, aber nichts dazwischen.
- Sie sehen ein einzelnes Sicherheitsleck in einem bestimmten Programm und kommen sofort zu dem Schluss, dass alle derartigen Programme schlecht sein müssen.
Oft gibt es aber kein klares Richtig oder Falsch, vor allem wenn es um sehr komplexe Systeme und Konzepte geht.
- Es hängt immer von den individuellen Erwartungen und dem Grad des akzeptablen Risikos ab.
Wenn Sie zu den wenigen echten Computerexperten gehören, die mit Sicherheit sagen können, dass sie alle potenziellen Bedrohungen durch den Einsatz ihres Wissens und ihrer Fähigkeiten vermeiden können, brauchen Sie möglicherweise keine Antiviren-Software.
- Die Kosten für potenzielle Lecks in der Software können höher sein als das Risiko, dass Sie tatsächlich eine Infektion bekommen.
Aber wenn Sie nicht die letzten 20 Jahre damit verbracht haben, die Architektur von Betriebssystemen und Sicherheitskonzepte zu erlernen, werden Sie vielleicht feststellen, dass das Risiko, einen typischen menschlichen Fehler zu machen, viel größer ist als das Risiko, dass Ihr Antivirusprogramm selbst Opfer eines Angriffs wird.
Der durchschnittliche Emsisoft Anti-Malware Anwender wird mehrmals im Jahr vor Angriffen gerettet, die für den Computer sonst höchstwahrscheinlich tödlich gewesen wären.
- Unsere User sind auch vor potenziell unerwünschten Programmen (PUPs) geschützt, die aus Sicherheitssicht nicht einmal in die Kategorie "Bedrohung" fallen.
Welches Risiko Sie am besten abwägen, ist letztlich Ihre Entscheidung.
Wäre die Welt ohne Antiviren-Software ein besserer Ort?
Ich persönlich sehe meine große Aufgabe als erfüllt an, wenn der Tag kommt, an dem wir keine Antiviren-Software mehr brauchen.
- In einer idealen Welt könnten wir uns auf eine Computerarchitektur verlassen, die von vornherein sicher ist und alle potenziellen menschlichen Fehler ausschließt, aber das gibt es leider noch nicht.
Solange Software von Menschen geschrieben wird und Computer von Menschen benutzt werden, wird es wahrscheinlich auch Sicherheitslücken geben, die wir bekämpfen müssen.
Bis dahin werden wir unsere Reise fortsetzen und versuchen, die bestmöglichen Antworten auf Ransomware, Trojaner, Viren, unerwünschte Programme und alle anderen Arten von Malware zu geben, damit Sie Ihre Zeit im Internet genießen können, ohne sich um die Sicherheit sorgen zu müssen.
Schutz oder Schlangenöl?
Daseinsberechtigung von Anti-Viren-Software
Schützt der Virenschutz tatsächlich oder handelt es sich bei den Angeboten der AV-Hersteller um minderwertige Produkte, die womöglich sogar durch eigene Sicherheitslücken noch Schaden anrichten?
Ein frustgeladener Blog-Eintrag des ehemaligen Firefox-Entwicklers Robert O’Callahan hat eine alte Diskussion unter Sicherheitsexperten wieder aufleben lassen.
- Macht Anti-Virus-Software Rechner wirklich sicherer, oder handelt es sich um ein Placebo, das man beruhigt weglassen kann? Oder macht die Schutzsoftware, in der immer wieder selbst Sicherheitslücken klaffen, Geräte am Ende gar unsicherer?
O’Callahan sieht das Thema aus Entwicklersicht, mit gebührendem Abstand zu seinem Job bei Mozilla und den dort getroffenen Schweigeverpflichtungen, sehr kritisch.
- Er rät Nutzern sogar, AV-Produkte zu deinstallieren.
- Diese seien dermaßen mit Sicherheitslücken behaftet, dass PCs ohne sie besser dran seien.
- Außerdem stünden sie der konsequenten Umsetzung von Sicherheitskonzepten wie ASLR oder TLS immer wieder im Weg.
- Eine Ausnahme macht er nur für die AV-Technik von Microsoft, die in Windows integriert ist.
- Die Entwickler von Microsoft seien – im Unterschied zu denen bei AV-Firmen – in Security-Fragen kompetent.
Das Argument O’Callahans wird in der Praxis immer wieder untermauert.
- So knöpft sich Googles Sicherheitsexperte Tavis Ormandy regelmäßig AV-Produkte vor und findet haarsträubende Lücken.
- Fehler lassen sich zum Beispiel immer wieder dazu missbrauchen, Schadcode über den Virenscanner in das System einzuschleusen und direkt auszuführen – fast immer mit Admin-Rechten, die von der AV-Software vererbt werden.
AV-Software wird oft als „Schlangenöl“ bezeichnet – als Anspielung auf eine Quacksalber-Medizin im Wilden Westen, die teuer war, aber wirkungslos blieb.
Auch die SSL-Implementierungen von Internet-Security-Suiten lässt immer wieder zu wünschen übrig.
- Viele Sicherheitsprodukte begeben sich in eine Man-in-the-Middle-Position zwischen Browser des Nutzers und Zielserver, um den SSL-Traffic aufbrechen und nach Bedrohungen suchen zu können.
Gerade erst haben Forscher eine Studie veröffentlicht, in der sie systematisch diese Umsetzungen untersuchten.
- Sie kamen zu dem Ergebnis, dass bis zu zehn Prozent der untersuchten TLS-Verbindungen nicht mehr die typischen Verbindungsparameter des verwendeten Browsers aufwiesen – sie also irgendwo unterwegs unterbrochen wurden. 13 von 29 untersuchten Anti-Viren-Programmen klinken sich in die verschlüsselten TLS-Verbindungen ein.
- Und alle bis auf eines verschlechtern dabei die Sicherheit der Verbindung; in vielen Fällen konnten die Forscher den angeblichen Schützern sogar massive Sicherheitsprobleme nachweisen.
- Die Forscher sprechen in diesem Zusammenhang von „Fahrlässigkeiten“ und empfehlen den AV-Herstellern deshalb, die Praxis der TLS-Überwachung dringend zu überdenken.
Kaspersky kontert
Der AV-Hersteller Kaspersky Labs reagierte auf die Kritik des Ex-Firefox-Entwicklers mit einer Gegendarstellung.
- Sie berufen sich auf eigene Untersuchungsergebnisse und sagen, dass im letzten Jahr über ein Drittel aller Computer mindestens einmal angegriffen wurden.
- Es bestehe also wirklich Gefahr und die eigene Software schütze ganz konkret die Systeme der Anwender.
Normale Menschen, so die Argumentation des AV-Herstellers, hätten keine Lust und keine Zeit, sich ein vorsichtigeres Verhalten beim Surfen im Netz anzugewöhnen.
- Statt sich Sorgen um die eigene Sicherheit zu machen, könnten diese Nutzer die Software des Herstellers kaufen, die sich dann um ihren Schutz kümmere.
Was denn nun?
Die Wahrheit liegt irgendwo in der Mitte.
- Die Argumente des Ex-Firefox-Entwicklers sind nachvollziehbar.
- Und es stimmt tatsächlich, dass viele, wenn nicht die meisten, Sicherheitsforscher auf den eigenen Rechnern keinen Virenschutz einsetzen – wenn man mal vom Basisschutz durch den Windows Defender absieht.
- Dabei handelt es sich allerdings um routinierte Anwender, die viel Zeit damit verbringen, sich über Sicherheitslücken und Bedrohungen zu informieren.
Bei einem Großteil der Computernutzer sieht das aber ganz anders aus.
- Für diese Nutzer bedeutet AV-Software in der Regel einen fühlbaren Sicherheitsgewinn.
- Selbst wenn der eingesetzte Virenwächter Sicherheitslücken enthält, der Rest der Software auf dem System hat bei solchen Anwendern in der Regel viel gravierendere Schwachstellen.
- Und die Wahrscheinlichkeit, dass Lücken im Browser, Flash und Java angegriffen werden, ist viel höher.
- Zudem kann es nach Angriffen beim Online-Banking davon abhängen, ob AV-Software installiert war, inwieweit die Bank oder der Kunde den Schaden trägt.
Anti-Viren-Software ist für viele Anwender also nach wie vor nützlich.
- Was nicht bedeuten soll, dass sich die Hersteller mit ihrer Software nicht mehr Mühe geben müssen.
- Sicherheitslücken in Virenscannern, die sich auf trivialem Wege aus der Ferne ausnutzen lassen, um Schadcode einzuschleusen, sind unentschuldbar.
- Und Sicherheitssoftware, die TLS-Verbindungen ihrer Nutzer anfasst, darf unter keinen Umständen deren Sicherheit aufs Spiel setzen.