Antivirensysteme... Ein hoch auf die tolle Entwicklung

[Sauer-RAM]

Wie vielleicht manche von euch wissen, bin ich ein Riesenfan der Sicherheitsinformatik und gedenke auch einen solchen Beruf zu ergreifen. In der Schule habe ich vor kurzem eine Presentation oder eher ein "Live Hacking" veranstaltet und dazu unter anderem ein Program geschrieben, dass mit Administratorrechen zufällig die Prozesse killt.
Ein rational denkender Mensch sollte meinen, dass AVG das erkennen sollte, wenn ein Programm so Amok läuft, tut es aber nicht. Nach ca. 3 Sekunden kommt es zu einem Bluescreen (3 Sek aufgrund eines Delays in der Abschussschleife).
Wieso kann AVG ein so eindeutig schädliches Programm nicht erkennen? Ich kenne mich mit Antivirensystem nicht soo gut aus. Aber alle schädlichen Programme ich ich jemals geschrieben habe, wurden zu meinem erschrecken nicht erkannt! Haben diese Systeme etwa nur Hashwerte die sie vergleichen und warum kann man sie mit Adminrechten einfach killen? Man hört ja immer von Sandboxtests, Heuristik usw. Ist das absolut sinnlos?
Manchmal sind die Antivirensysteme ja selbst Sicherheitslücken wie z.B. Kasperski. Kasperski benutzt eine DLL, mit der es die laufenden Prozesse überwacht und untersucht. Jedoch lässt sich diese DLL ziemlich einfach verändern und zu böseren Machenschaften missbrauchen, die dann natürlich alle mit Adminrechten ausgeführt werden. Oder Norton (War es glaube ich)... Russische Zertifizierung für geheime Angelegenheiten. Verbindet sich unverschlüsselt mit dem Updateserver und mit ner MITM und DNS-Spoofing ist es ein leichtes, seinen eigenen Code da reinzupatchen oder die Hashwerte zu manipulieren.
Das waren nur zwei Beispiele aber es gibt noch einen Haufen anderer.
Ich benutze kein Antivirensystem mehr, bis es nicht was gescheides gibt.

Kennt zufällig jemand von euch ein Antivirensystem, das was drauf hat, klein ist und auch den paranoidesten Verschwörungstheorien und Datenschutzwünschen standhält? Ich bin drauf und drann anzufangen, mein eigenes zu schreiben -.-'

[RSBasic]

Es liegt wohl daran, dass gewisse APIs zweiseitig genutzt werden können. Entweder für eine gute oder aber auch für eine böse Sache. Du kannst mit einem Küchenmesser dein Fleisch schneiden oder eine Person töten.
Manche oder viele Antivirenprogramme sind wirklich nur Schlangenöl und sind größenteils sinnfrei. Vorallem wenn man ausschließlich einem Antivirenprogramm vertraut.
Um eine bessere Sicherheit des Systems zu gewährleisten, hilft Brain.exe. Das wäre meine Antwort auf deine Frage.
Man kann zwar einige Tools verwenden wie Netzwerkprotokoll, um sehen zu können, welche Anwendungen nach Hause telefonieren, aber man sollte auch selbstständig sein System kontrollieren, was derzeit läuft.
Es gibt kein und es wird auch nie ein Antivirenprogramm geben, welches die 100%-Sicherheit deines Systems anbietet. Es gibt immer Sicherheitslücken und neue Viren und verdächtige Prozeduren, die noch nicht entdeckt wurden.
Wenn du die Sicherheit deines Systems erhöhen möchtest, dann musst du wissen, wie dein Betriebssystem arbeitet und einige Tools wie Autoruns, Task-Manager/Process Explorer, irgendein Netzwerktool, Firewall, ..., nutzen, mit denen du leichter überprüfen kannst, ob sich da was verändert hat, nachdem du eine neue unbekannte Anwendung aus dem Internet heruntergeladen und installiert hast.
Ansonsten kannst du bei unbekannten Anwendungen auch lieber Sandbox oder VM benutzen. Dann bist du immer auf der sicheren Seite.

[NicTheQuick]

Als ich verstehe das Problem an dem Beispiel nicht. Wenn ich mich als Admin einlogge oder ein Programm als Admin starte, dann will ich auch alles machen können, was ich will. Das ist doch unter Linux auch nicht anders. Was Virenprogramme eher rausfiltern sollten, wären Programme, die erst mal keine Adminrechte haben und dann plötzlich doch ohne Nutzerinteraktion welche bekommen, z.B. weil sie einen anderen Prozess durch irgendeine Sicherheitslücke kompromittiert haben.

[Sauer-RAM]

Nic: Ich meine, als ich als Admin versucht habe AVG zu killen (via Taskmanager) blieb mir das dennoch verwehrt. (Kann aber auch gut sein, dass ich mich irre). Auf jeden Fall gibt es keinen Grund, einem Prozess zu gestatten, das Antivirensystem auszuschalten. Da sollten die vllt zwei unabhängige Prozesse starten lassen, die sich überwachen, selbst wieder starten und dann nachfragen, ob das wirklich vom Nutzer so gewollt ist. Stattdessen Nichts.

[_JON_]

Das ist doch Unsinn, wenn ein Programm schön genügend Rechte erworben um das AV Programm zu beenden,
ist doch eh schon alles zu spät.

[Sauer-RAM]

Ja, aber eben darauf spiele ich an. Wieso kann man ein Antivirensystem (zmindest AVG und ich meine Antivir auch, sind aber beides ja Müllprogramme) so einfach beenden? Sicherheit sieht anders aus.

[NicTheQuick]

Wie würdest du dir das Beenden den sonst vorstellen? Oder was ist, wenn der Virenscanner Unsinn treibt und man ihn remote abschießen muss, weil er z. B. auf die GUI nicht reagiert?

[TroaX]

Das beste Antiviren-System nützt nichts, wenn die größte Sicherheitslücke von einem Antiviren-System nicht geprüft oder geschlossen werden kann. Und diese große Sicherheitslücke sitzt meist 30-60 cm vor dem Bildschirm und wird im allgemeinen als Nutzer bezeichnet. Microsoft hat ab Windows Vista das UAC eingebaut. Erste Reaktion der Nutzer: "Das nervt ... DAS MUSS AUS!"
Dazu kommt, das die meisten Nutzer den Sinn dahinter nicht verstehen. Das UAC soll wie auch das Gegenstück auf Linuxseite systemsensible Vorgänge, für die erweiterte Rechte benötigt werden vom Nutzer legitimieren lassen. Wenn ich also auf Intternetseiten surfe und dann auf einmal einen Prompt zur Legitimierung bekomme, ohne diesen bewusst herbeigeführt zu haben, legitimiere ich das Programm garnicht.

Das Verhalten, was du von den großen AV-Herstellern monierst ist schon genauso klassisch, wie das Update-System von MS zu manipulieren. Bestes Beispiel ist die zuletzt bekannten Lücken in den AVM-Routern. Durch diese war man in der Lage, den DNS-Cache des Routers umzubiegen und somit Anfragen von Windows-Update an einen manipulierten WSUS-Server zu leiten, damit sich die PC's aus dem Haushalt sich einen Trojaner oder Virus ziehen und installieren. Die Update-Installationen laufen alle ohne UAC-Prompt durch und der Nutzer merkt es im Grunde garnicht.

DLL's sind genauso einfach umzubiegen wie Executables. Per Reverse-Engineering und den nötigen Kenntnissen ist man in der Lage, jede Anwendung umzubiegen (siehe Gamecrack's). Die Gefahr ist also nicht, eine Anwendung oder Library umzubiegen. Die Gefahr ist es, das eine umgebogene Datei es auf den Rechner schafft. Logisch ist dann natürlich auch, das diese Dateien im selben Nutzerkontext ausgeführt werden, wie es die Mutter- bzw. Launcher-Anwendung tut. Denn wenn eine Anwendung eine andere startet, vererbt sie den User-Kontext an die neue Anwendung.

Von den Ring's in den CPU's mal vollkommen abgesehen. Schafft es ein Schädling in den Kernel-Mode, dann hat er den gesamten Befehlssatz des CPU's zu Verfügung und darf andere Prozesse manipulieren.

Eine weitere Möglichkeit wäre das Hooken von DLL's und EXE'n. In diesem Falle würde auch der Code dieser Hooks mit den Berechtigungen der Zielanwendung ausgeführt werden. Der Hook im Livebetrieb ist vom Ring abhängig. ein primärer Hook über manipulation der Anwendungsdaten vor dem laden in den RAM ist dabei einfacher.

Virenscanner arbeiten nach 2 weit verbreiteten Prinzipien. On-Access und On-Demand. Also bei Dateizugriff und per gewünschten manuellen Scan. Dabei werden entweder mit starren Signaturen oder mit der sogenannten Heuristik gearbeitet, die sich auf beide Prinzipien anwenden lassen. Je nachdem, wie der Code strukturiert ist, erkennt ein AV-System etwas nicht als Schädling, obwohl es offentsichtlich einer ist. Für dein Programm wäre an sich die Heuristik verantwortlich gewesen, da es noch keine genaue Signatur deiner Anwendung gibt. Würde aber die Heuristik versuchen, Anwendungen nach kleineren Mustern zu durchsuchen und zu melden, dann würde die Anzahl an Falschmeldungen extrem überproportional nach oben schnellen. Und das wäre um einiges nerviger als UAC!

Um also noch einmal auf deine Frage zurückzukommen. Nö ... gibt es nicht und wird es auch nicht geben. Denn:
1. Gibt es keinen 100%igen Schutz.
2. Werden PC's nicht nur von Professionals, sondern auch von 0815-Nutzern und DAU's benutzt, für die es komfortabel und unaufdringlich sein muss und soll.
3. Sind die Wege, die für einen Schädling existent sind, um auf den PC zu gelangen wichtiger als der Schädling selbst. Somit ist ein einzelnes AV-Programm an sich unsicher, so lange nicht die meisten Wege geschlossen werden. Und das gilt für alle kostenlosen AV's!!!

Gerade Punkt 2 ist sehr interessant. Lange hat Avira AntiVir Free die Downloadcharts in Sachen AV-Programme angeführt. Bei Chip wurde nach und nach ersichtlich, das Avast immer näher mit den Downloadzahlen rangekommen ist. Und warum? Avast war mit Werbung und Meldungen nicht annähernd so aufdringlich. Die sicherheit stand dabei überhaupt nicht im Vordergrund.

Und AVG ist eh der Brüller schlecht hin. Ein Bekannter wechselte von Avast auf AVG und zerschoss sich beim ersten Scan sofort den Rechner. Ich nutze seit 4 Jahren Kaspersky Internet Security und habe niemals ein Problem gehabt. Und die Kaspersky Rescue Disk ist sowieso von den Möglichkeiten her konkurrenzlos.

Ich bezahle für meinen Schutz und das sogar richtig gern. URL Inspektor, Mail-Filter, Firewall, Browser-Wächter, Keyboardfilter, Virtuelle Tastatur für die ganz harten Fälle (im Bezug auf Keylogger), Mausfilter etc etc. Und wenn Kasperky mal nicht helfen kann, dann schmeiß ich natürlich die schon erwähnte Brain.exe an und regel das selber

Aber ich persönlich wie auch ca. 95% der Nutzer müssen diesen Programmen vertrauen. Und solange man selbst das Internet noch mit Bedacht nutzt, passiert nur selten was. Und meistens war dabei sie Sicherheitslücke wieder 30-60 cm vorm Bildschirm ;D

[langinagel]

Einen gewissen Schutz gibt es schon:
die Wahl des Betriebssystems. Das hat nichts mit der jeweiligen Sicherheit des OS zu tun sondern mit der Verbreitung.
Schlapp gesagt verwenden die Nutzer:
Windows zu 92%
Apple zu 7%
Linux zu 1%.
Ähnlich verhält es sich mit denjenigen, die Schadsoftware herstellen. Die wollen hohe Verbreitung, also ist ein Windowssystem deutlich gefährdeter als ein Linuxsystem.
Und sollte man dann noch auf weitere Exoten wie OpenBSD etc. ausweichen, könnte die Wahrscheinlichkeit eines erfolgreichen Angriffs noch weiter verringert werden.
Nur kann man mit heftigen Exotennicht mehr alles machen, was man möchte, oder man würde zum großen Um-Programmierer.
Übrigens hat Linux auch einen Virenscanner namens CLAM. Wie gut der ist? Keine Ahnung.
Ich rechne nur Wahrscheinlichkeiten aus...

[CodeCommander]

Meine Rede! Ich finde es belustigend wenn naive Linux Nutzer, sowohl hier im Forum, als auch außerhalb, glauben, ihr OS sei sicher nur weil es kaum Viren gibt. Wer's glaubt wird selig. Ich kann auch ein OS programmieren und nach einem Jahr behaupten, mein OS sei vor Viren sicher und viel sicherer als Windows, weil nämlich keine Viren gibt. Diejenigen glauben wohl auch an den Weihnachtsmann. Wie langinagel schon richtig gesagt hat ist Linux nicht unbedingt viel sicherer als andere OSes. Warum? Ganz einfach, die Virenhersteller scheißen auf Linux weil sich das nicht für einzelne Einzeller lohnt. Sie wollen viel Daten haben und Geld verdienen. Damit kommen sie nicht weit bei Linux. Wenn Linux genauso verbreitet ist dann glaub mir dann sieht es genauso schlimm aus. Wobei ich in den letzten Jahren schon ein paar Heise-Artikel über neue Linux Lücken und Viren gelesen habe aber hält sich wohl noch in Grenzen. Und außerdem schafft kein einziges großes IT Unternehmen, sein System sicher zu machen. Es gibt immer Sicherheitslücken die entdeckt und ausgenutzt werden. Und es gibt immer einen Weg. Kein System ist 100 % sicher. Vorallem nicht Linux.