Linkliste: Antivirus (AV) ist schädlich

iOS, macOS und Android implementieren mit ihren App Stores und dem Blockieren von Code aus allen anderen Quellen jeweils eigene unterschiedliche Formen von Whitelisting, was wirksamer Schadsoftware abhält als Blacklisting, was AV macht. Da das Whitelisting nicht überall so streng wie auf iOS ist, haben macOS und Windows von Hause aus noch weitere Anti-Malware Funktionen an Bord, die weniger Schaden anrichten und mehr nützen als 3rd Party AV.

Wer mich oder meine Homepage kennt, weiß, daß ich schon seit ewigen Zeiten von AV Software aus Sicherheitsgründen abrate. Und das ist nicht allein meine fachliche Ansicht, sondern die der meisten Security Reseacher.

Hier sind ein paar interessante Links, die zeigen, daß die Sicherheitsprobleme, die man sich durch AV-Software einhandelt, bei Fachleuten seit mindestens zehn Jahren wohl bekannt sind.

• In The Six Dumbest Ideas in Computer Security nimmt das Vorgehen von AV die Plätze 1 und 2 ein: #1 Default Permit und #2 Enumerating Badness
• Harte Realität: AV-Software wird nur von Leuten als wichtig erachtet, die keine Ahnung von Sicherheit haben. New research: Comparing how security experts and non-experts stay safe online
• Fachleute raten von AV ab. Dazu gehört auch Justin Schuh, der Security Lead von Google Chrome: Stop Buying Bad Security Prescriptions! You’re paying too much and it’s just not working.
• Die Firefox Konkurrenz sieht es auch so: Ex-Firefox-Entwickler rät zur De-Installation von AV-Software.
• Dieser Artikel deckt die wichtigsten Kritikpunkte an AV zusammenfassend ab: Antiviren Software: Die Schlangenöl-Branche Sind Antivirenprogramme so nutzlos wie Schlangenöl? Die Schutzprogramme sind selbst voller Sicherheitslücken und äußerst umstritten.
• Kaspersky torpediert SSL-Zertifikatsprüfung
• Sicherheitsforscher an AV-Hersteller: "Finger weg von HTTPS"
• A New Attack That Turns Antivirus Software Into Malware
• DoubleAgent: Taking Full Control Over Your Antivirus
• The clever 'Double Agent' Attack turns Antivirus into malware
• Justin Schuh von Google Chrome Secruity: I could rattle off a laundry list of total security breakage due to worthless AV code. In fact, I will.
• Disable Your Antivirus Software (Except Microsoft's)
• Security Researcher: Antivirus Software Weakens HTTPS
• AV causes piles of security issues for Firefox.
• Antivirus software could make your company more vulnerable
• Dear Kaspersky Lab: Yours is a very bad installer
• Antivirus software is bad for you and your computer
• How to Compromise the Enterprise Endpoint
• Is antivirus bad for security?
• Zu viele Rechte bei Antivirensoftware
• How Kaspersky makes you vulnerable to the FREAK attack and other ways Antivirus software lowers your HTTPS security
• Kaspersky torpediert SSL-Zertifikatsprüfung
• Kaspersky-Server verbreitete nach Einbruch Scareware
• Vom Jäger zum Gejagten: Kaspersky-Virenscanner lässt sich leicht austricksen
• Spionage-Trojaner wütete im Netzwerk von Kaspersky
• Sicherheitsrisiko Antivirus-Software: Selbst populäre Apps hebeln HTTPS aus
• Antivirus ist tot: Darum sind Antivirenprogramme inzwischen nutzlos
• Eset Antivirus: Lücke in Software machte Macs angreifbar
• Antiviren-Software als Einfallstor
• Tavis Ormandy vom Google Project Zero: I get asked constantly what av to use. You're missing the point; av creates more problems than it solves, and we're overdue an av slammer.
• Justin Schuh, Security Lead von Google Chrome: Busy trying to quantify how much of my teams' time is wasted on issues with buggy "security" software. #TheCureIsWorseThanTheDisease
• Apple-Hacker Charlie Miller: I'm doing some research on anti-virus and malware for OS X and can't find one source that says you need AV who doesn't work for an AV vendor
• Security Bugs in AV Software gefunden von Tavis Ormandy in Googles Project Zero
• AV eröffnet neue Wege für den Datenklau. Originale Quellen: The Adventures of AV and the Leaky Sandbox. Heise: Cloud-Antivirensoftware hilft beim Datenklau aus luftdichten Netzwerken.
• Systemrechte durch AV-Software von Microsoft: Microsoft Malware Protection Engine Remote Code Execution Vulnerability und Microsoft bringt Extra-Patch für kritische Lücke in Defender.
• AV-Software verhindert Windows-Sicherheits-Update für Spectre und Meltdown: Important information regarding the Windows security updates released on January 3, 2018 and anti-virus software und Gravierende Prozessor-Sicherheitslücke: Nicht nur Intel-CPUs betroffen, erste Details und Updates.
• AV-Software kann durch Signatur-Update zum Spionage-Tool werden: All Your Docs Are Belong To Us — reversing an av engine to compose signatures capable of detecting classified documents.
• AV-Software ermöglicht Code-Ausführung und Denial-of-Service, diesmal ClamAV, das auch in ClamXAV verwendet wird: ClamAV 0.99.3 has been released! und Jetzt patchen! Angriffe auf Viren-Scanner ClamAV.
• Dino Dai Zovi (The Mac Hacker's Handbook, erster Mac-Hack-Gewinner beim Pwn2Own): This is why I prefer the iOS and ChromeOS security models. Highly privileged “security” software with massive attack surfaces are an anti-pattern.
• Alisa Shevchenko (Russische Hackerin, war 5 Jahre lang Virus Analyst Expert bei Kaspersky): One thing I like about attacking antivirus software is that it architecturally includes every conceivable attack vector. You have format parsing (as SYSTEM, obv.), COM/OLE, ActiveX and varios browser extensions, kernel modules with IOCTL, filter drivers, MitM via updates, IPC...
• Avast-Antivirus läuft ohne Sandbox und mit Systemrechten und verwendet einen eigenen JavaScript-Interpreter, um Malware zu untersuchen. Über Fehler in diesem JavaScript-Interpreter von Avast-Antivirus kann Malware Systemrechte erlangen. Avast hat diese Funktion inzwischen komplett abgeschaltet, scannt also weniger Malware.

Scannen nach Bedarf

Wenn man spezielle Dateien prüfen lassen möchte, dann kann man die zu Virus Total hochladen. Dort sehen sich Sicherheitsexperten die Dateien an und sie werden testweise durch alle gängigen Malware-Scanner geschickt. Auf die Weise kann man eine breitere Analyse bekommen als man durch einen lokalen Scanner erhalten würde. Außerdem bleibt der eigene Rechner von Nebenwirkungen verschont.

So kann man zum Beispiel ad hoc Dateien prüfen lassen, bevor man sie weitergibt. Das verwandte Thema Emails bekommt ein eigenes Kapitel.

Emails

Wenn man vertraglich verpflichtet ist, ein- und ausgehende Emails von einem Scanner prüfen zu lassen, dann ist es total ineffizient und bringt die üblichen Gefahren von lokaler 3rd Party AV-Software mit sich, wenn man das auf den Endgeräten versucht:

• 3rd Party AV ist nur auf Desktops und Laptops technisch umsetzbar
• 3rd Party AV ist auf Android und iOS aufgrund des Sandboxing / App Isolierung technisch nicht möglich, kann also keine Emails dort absichern
• 3rd Party AV hat Probleme mit Webmail, weil weiterzuleitende Anhänge nicht heruntergeladen werden müssen
• 3rd Party AV ist abschaltbar durch den User oder lokale Malware
• 3rd Party AV vergrößert die Angriffsoberfläche
• 3rd Party AV kompromittiert HTTPS/TLS/SSL in anderen Programmen
• 3rd Party AV kompromittiert Sicherheitstechnik wie ASLR in anderen Programmen
• 3rd Patty AV verhindert Updates von anderen Programmen
• 3rd Party AV ist unsicher programmiert und arbeitet zu oft ohne Sandbox und mit Systemrechten
• 3rd Party AV verlangsamt den Rechner und saugt den Akku schnell leer

Insgesamt sicherer und effizienter ist eine zentrale Email-Prüfung auf dem Server. Diese hat Vorteile, die lokale 3rd Party Antivirus-Software nicht bieten kann:

• Emails aller Clients sind abgedeckt, also nicht nur Desktops und Laptops, sondern auch jedes Smartphone und Tablet sowie Webmails
• Immer aktueller Scanner ohne Zutun des Users
• Der Scanner ist nicht abschaltbar durch lokale Malware
• Keine zusätzlichen Kosten
• Verlangsamt die Endgeräte nicht

Bei macOS Server wird zum Scannen von Emails ClamAV eingesetzt. Und auch Google Mail prüft seit vielen Jahren ein- und ausgehende Mails auf schädliche Anhänge:

• Virenprüfung von Anhängen
• New Built-In Gmail Protections to Combat Malware in Attachments
• Keeping your company data safe with new security updates to Gmail

---