Antivirensoftware: Die Schlangenölbranche Einstellungen

[Gast_Oldie_*]

Ein sehr interessanter Bericht über AV-Programme, die selbst das größte Sicherheitsrisiko darstellen:
http://www.golem.de/news/antivirensoftware...612-125148.html

[Gast_Oldie_*]

Stellungnahme von Fabian Wosar (Emsisoft) zu diesem Thema im Emsisoft-Forum:
https://support.emsisoft.com/topic/26548-nu...on-av-software/

Der Beitrag wurde von Oldie bearbeitet: 22.12.2016, 10:27

[SLE]

Stellungnahme von Fabian Wosar (Emsisoft) zu diesem Thema im Emsisoft-Forum:
https://support.emsisoft.com/topic/26548-nu...on-av-software/

Sehr schön, wie immer

Im Grunde gibt Fabian der Grundintention des im Artikel angesprochenen Problems ja auch Recht. Jede Drittanbietersoftware bringt neuen Code, enthält dieser Lücken kann er ausgenutzt werden. Mehr Code mehr potentielle Lücken so einfach.
AVs laufen mit hohen Systemrechten, gibt es da Lücken hat diese die Malware auch. Fertig. So ein übertriebener Artikel und das ganze Schlangenöl zu nennen ist dennoch falsch, denn AVs blockieren ja durchaus Malware.

Die Whitelisting Debatte: Jein. Klar wenn nur als sicher Bekanntes ausgeführt werden kann, ist das Infektionsrisiko viel geringer als bei Blacklists.
Nur: Wer hat so große Datenbanken? Es nervt ja schon wenn z.B. der Smartscreen von Windows mal wieder sinnloserweise Alarm schlägt, weil ein neues kleines Programm nicht bekannt ist. (Änhliches gilt für alle Produkte, z.B. auch EAM )
Die Entwicklung geht dennoch etwas in die Richtung soviel Whitelisting wie möglich: M$ würde am liebsten alles whitelisten und Google hat VT auch nicht aus Gemeinnützigkeit übernommen, die Hashes und Informationen die da hochgeladen werden sind Bares wert.

Was stimmt an der Kritik an vielen AVs:
Sie wollen Nutzer schützen, haben aber teilweise scheinbar banale Schwachstellen und brauchen manchmal ewig zum fixen. Das Beispiel vom Saftladen Comodo zeigt das mal wieder
Manche nutzen nicht die im OS integrierten Sicherheitsmechanismen (Bsp.: ASLR) , um die eigenen Prozesse zu schützen. Aus solchen Aussagen und Tests (AV-Test nennt sowas dann Selbstschutz Test) auf Lücken zu schließen ist aber mit Vorsicht zu genießen, denn es gibt auch andere Möglichkeiten die eigenen Prozesse zu schützen.

Wichtig ist doch nur: Wie schnell reagiert ein Hersteller auf eine gemeldete Lücke und fixt dies? Bei Windows, Browsern, Java, Flash, Adobe, Office etc. fordert jeder sofort und man achtet darauf. Wie ist es bei AVs? Nur andererseits werden Exploits auch bevorzugt für die meistverbreitete Software geschrieben und nicht für AVs

Also in Zukunft dann doch eher Excubits oder Ähnliches.

Nette kleine Produkte, die zum Glück nicht massentauglich sind. Sympathischer Entwickler, der auch nicht in den Kanon "Linux ist vom Design viel sicherer als Windows" einstimmt, sondern eher gegenteiliger Meinung ist. Dennoch: Auch diese Produkte als kleine Kerneltreiber bringen mehr Code mit, eine Lücke darin die ausgenutzt wird hätte auch Folgen. Nur bei Nischenprodukten ist es sehr gering, dass man die attackiert.

Das im Artikel kritisierte Zertifikatsaustauschen um in TLS/SSL Verbindungen herumzuschnüffeln ist auch nicht neu. Das betonen wir hier im Forum seit mindestens 2009/2010 aber viele Nutzer stehen halt auf Streamscanner (WebAV) und Mailscanner...

[Hexo]

Das im Artikel kritisierte Zertifikatsaustauschen um in TLS/SSL Verbindungen herumzuschnüffeln ist auch nicht neu. Das betonen wir hier im Forum seit mindestens 2009/2010 aber viele Nutzer stehen halt auf Streamscanner (WebAV) und Mailscanner...

Verwenden nicht alle großen AV Hersteller (Avira, Avast, Kaspersky usw.) das System die TLS/SSL Verbindungen zu beschnüffeln?