Robert O Callahan: Verzichtet auf Antivirus-Software! Außer Windows Defender – *UPDATE* Google mag ihn auch

Manche nennen es ein notwendiges Übel, andere bezeichnen es schlichtweg als Schlangenöl: Antivirus-Software. In den vergangenen 20 Jahren hat sich sukzessiv eine eigene Sicherheitsbranche innerhalb der Informatik mit bekannten Größen wie Kaspersky, Symantec und Eset entwickelt, die dem unerfahrenen Anwender einen soliden Schutz vor Viren, Würmern und Trojanern sowie allerlei anderem Getümmel aus den dunklen Ecken des Internets versprechen. Nicht selten kommen die entsprechenden Unternehmen aber auch wegen eigener Sicherheitsprobleme in der jüngeren Vergangenheit zunehmend in die Schlagzeilen.

Einen interessanten Einblick, wie oft dieser intensive Kampf zwischen den Antivirus-Entwicklern und ihren Kollegen aus anderen Sparten tobt, gab nun der ehemalige Firefox-Entwickler Robert O’Callahan, der mittlerweile nicht mehr für Mozilla arbeitet und daher sein Schweigen brechen konnte. In einem eigenen Blogbeitrag berichtet er unter anderem darüber, dass die Entwickler sehr oft frustriert sind, weil sie von ihren jeweiligen PR-Abteilungen einen Maulkorb verpasst bekommen. Als Beispiel nannte er die Implementierung von ASLR (= Address Space Layout Randomization, eine Sicherheitsfunktion in Windows, die Speicher per Zufallsprinzip verteilt und so die Ausnutzung von Speicherlecks oder ähnlichen Sicherheitslücken deutlich erschwert) in Firefox, die durch die Technologien der Antiviren-Suiten wieder kompromittiert wurden. Die Entwickler bei Mozilla konnten sich dagegen aber kaum öffentlich zu Wort melden, weil sie auf die Zusammenarbeit mit den Sicherheitsunternehmen angewiesen sind und gleichzeitig trotzdem den Frust der Nutzer abbekommen, weil zum Beispiel etwaige Leistungseinbrüche direkt auf ihr Produkt geschoben würden.

Was ist da dran?
Tatsache ist, dass auch Antivirus-Software wie jede andere Software erstmal auch Sicherheitslücken mitbringt. Welche extremen Ausmaße das bei einer Software, die in der Regel mit Systemrechten läuft, aber annehmen kann, zeigte in der Vergangenheit besonders Tavis Ormandy, der bei Googles Project Zero als Sicherheitsforscher arbeitet und einmal quer durch die gesamte Sicherheitsbranche gewütet hat. Nahezu jedes Sicherheitsunternehmen bekam von ihm schon sein Fett weg und gerade Kaspersky war bei ihm auch kein Kind von Traurigkeit. Besonders problematisch ist, dass solche Softwaresuiten oft selbst auch Technologien wie das eben erwähnte ASLR nicht nutzen und so zu einer noch größeren Gefahr werden.

Ein besonderes Problem betrifft außerdem die Unternehmen, die gleichzeitig auch noch als CA (= Certificate Authority, ein Unternehmen, was Zertifikate für verschlüsselte Datenübertragung ausstellen kann/darf) arbeiten. Das trifft ganz besonders auf Comodo und Qihoo zu. Wer eine entsprechende Suite eines Drittanbieters verwendet und dann mal in seinem Browser nachschaut, wer dort als CA eingetragen ist, wird sehr oft feststellen, dass sich dort die Antivirus-Software als Aussteller des Zertifikats wiederfindet. Das liegt daran, dass die Antivirus-Software durch einen klassischen Man-in-the-middle-Angriff die TLS-Verschlüsselung aufbricht, um den Datenverkehr mitlesen zu können. Dadurch wird auch die eigentliche CA in den jeweiligen Browsern verschleiert.

Während Comodo bei seinen Zertifikaten in der Vergangenheit desöfteren mal geschlampt hatte, gabs bei Qihoo im vergangenen Jahr bekanntlich den großen Knall mit den Töchtern WoSign und Startcom, die mit gepanschten Zertifikaten manipuliert haben. Qihoo selber ist nochmal zusätzlich pikant, weil sie zum Konsortium gehören, das mittlerweile die Entwicklung des Opera-Browsers kontrolliert (Opera-CEO Lars Boilesen hat die Leitung der alten Kernsparte zum Jahreswechsel abgegeben) und es in der Vergangenheit mit ihrem eigenen Vorgänger, dem Qihoo 360 Browser, auch Vorfälle (neben weiteren Sachen) gegeben hat.

Der Blick auf Mozilla
Neben Microsoft bin ich bekanntlich auch Mozilla sehr verbunden und habe in die dortige Community einen recht guten Einblick. Dieser reicht zwar nicht so tief, dass ich die Punkte von Robert O’Callahan so bestätigen kann, aber es stimmt, dass die Addons bestimmter Sicherheitsunternehmen, allen voran Avast, Kaspersky und Avira, Firefox das Leben extrem schwer gemacht haben. Sören Hentzschel, der Mozilla-Blogger im deutschsprachigen Raum schlechthin und jemand, den ich u.a. durch ein anderes Projekt auch schon sehr lange kenne, hat das auf seinem Blog und anderen Kanälen auch immer wieder angeprangert.

Grundsätzlich werde ich persönlich auch immer dann skeptisch, wenn „die andere Seite“ dann mitmal samt vollmundiger Versprechen beginnt, selber einen Browser zu entwickeln. Bezogen auf Mozilla gab es hierzu erst kürzlich eine Wortmeldung, wonach Pale Moon die Sicherheitsupdates von Firefox erst dann in den eigenen Code übernimmt, wenn sie selbst den PoC (= Proof of Concept, Fallbeispiel für einen erfolgreichen Angriff) reproduzieren können. Wer es nicht weiss: Pale Moon und Fossamail umfassen den ehemaligen ultrakonservativen Teil der Firefox-Community, der sich mit Firefox 29, wo das aktuelle Australis-Design eingeführt wurde, angespalten hat und mit Goanna auch mittlerweile seinen eigenen Fork der Rendering-Engine Gecko pflegt. Der ist aber nicht nur voll mit rostigen Altlasten und mangelt an Kompatibilität zu aktuellen Webstandards, sondern ist nach der Meldung auch noch ein Fest für jeden Cyberkriminellen dank Lücken, die in Firefox schon lange geschlossen wurden.

Aber auch die besagten Sicherheitsunternehmen entwickeln bekanntlich Browser. Besonders fleißig ist hier Comodo, die mit Dragon, IceDragon und Chromodo Secure Browser gleich drei Vertreter anbieten. Bedauerlicherweise nimmt es Comodo mit der Sicherheit nicht ganz so genau. Ein anderes Negativbeispiel ist Avast. Wenn man sich die kommerzielle Variante der Sicherheitssuite installiert, bekommt man in der Regel auch den hauseigenen Browser SafeZone dazu. Wie unter anderem der YouTuber EnglishBob gezeigt hat, funktioniert der auch noch unter Windows XP und wird von ihm auch groß angepriesen. Wer sich SafeZone aber genauer anschaut, wird merken, dass es sich dabei eigentlich nur um einen modifizierten Opera-Browser handelt. Opera selbst hat die Unterstützung für Windows XP und Vista mit Opera 36 eingestellt, wollte ab und an aber noch Sicherheitsupdates liefern. Dies ist aber bisher erst einmal geschehen. Wirkliche Sicherheit bringt Avast SafeZone unter den alten Systemen also auch nicht.

Also Windows Defender… und sonst?
Interessanterweise klammert O’Callahan eine Suite explizit aus, weswegen ich auch den Artikel hier schreibe: Windows Defender. Grundsätzlich kann man dem zustimmen, weil der Defender bekanntlich in das gesamte Sicherheitskonzept von Windows eingebunden ist und in vergangenen Testreihen auch nicht mehr allzu schlecht abgeschnitten hat, aber der entscheidende Punkt ist eigentlich ein anderer. Wenn man den gesamten Themenkomplex ganz sachlich betrachtet, muss man feststellen, dass sich die Art der Angriffe komplett verändert hat. Während es vor 10 bis 12 Jahren noch meistens um Viren, Würmer und klassische Trojaner ging, haben wir heute viel eher mit Verschlüsselungstrojanern im Speziellen (aka Ransomware) sowie Phishing und DDoS-Attacken zu tun. Die Angriffsvektoren sind also mittlerweile so vielschichtig, dass ein Antivirus-Programm, wenn überhaupt, bestenfalls gegen Ransomware hilft, wenn nach bis zu 72 Stunden denn mal die Virendefinition auch in den Suiten angekommen ist.

Es geht also vor allem um eine wichtige Sache: Aufklärung, eigene Sicherheitskonzepte zu entwickeln und vor allem unerfahrene Nutzer an die Hand zu nehmen und sie nicht in diese trügerische Sicherheit eines Antivirus reinlaufen zu lassen.

Was würdest du tun?
1. Backups, Backups, Backups…
2. Installiere so viel Software wie nötig, aber so wenig wie möglich. Das reduziert automatisch die Angriffsfläche.
3. Verwende immer die aktuellste Final der Software, die du brauchst.
4. Native first: Wenn du auf ein Addon oder Plugin verzichten oder es durch eine native Umsetzung gleichwertig ersetzen kannst, mach es.
5. Wenn du unter Windows einen sicheren Browser verwenden und ausdrücklich auf Chrome verzichten möchtest, gebe Firefox oder Vivaldi neben Microsoft Edge eine Chance. Verzichte dafür auch auf Pale Moon, Opera, Maxthon und die Browser der Sicherheitsunternehmen.
6. Wenn du einen Skriptblocker einsetzen möchtest, verwende entweder uBlock Origin, der auch für Microsoft Edge verfügbar ist, oder Disconnect, mit denen u.a. Mozilla sehr intensiv zusammenarbeitet.
7. Wenn du einen Skriptblocker einsetzt, denke auch über das Konzept der umgekehrten Festung nach. Ein Addon wie uBlock Origin kann ein Adblocker sein, erlaubt dir aber auch, die Werbung standardmäßig durchzulassen und bei einem Sicherheitsvorfall auch einzelne Netzwerke gezielt auszusperren. Hosts-Datei geht natürlich auch.
8. Nutze die Möglichkeit einer Sandbox, wenn du kannst.
9. Wenn du über neue Sicherheitsvorfälle frühzeitig informiert sein möchtest, solltest du Heise Security und Secure One in den Bookmarks oder deinem Feedreader haben.
10. Lade natürlich nur Software von Quellen, denen du traust (und nein, CHIP ist sowas natürlich nicht ).

Bezüglich Firefox sollte man noch erwähnen, dass in naher Zukunft große Teile der Codebasis nach und nach in der neuen Programmiersprache Rust neu geschrieben werden. Eines der Merkmale von Rust ist es, dass sie durch ihr Design bestimmte Arten von Speicherfehlern entweder sehr erschwert oder nahezu unmöglich macht. Deswegen habe ich Firefox in die Empfehlungen gepackt.

Fazit
Symantec hatte es bereits 2014 eigentlich ganz gut beschrieben: Antivirus ist mehr oder weniger tot. Was andere Menschen wie Robert O’Callahan oder Tavis Ormandy in der Gegenwart zusätzlich auf den Tisch bringen, zeigt eigentlich nur mehr den Zustand einer Teilbranche in der Informatik, die für aktuelle Bedrohungen keine wirklichen Lösungen mehr hat und sich durch Pannen wie denen von Comodo oder Qihoo mit der Zeit weiter selbst demontieren wird. Während die aktuellen Konzepte bei Ransomware noch ganz gut funktionieren mögen, sind in anderen Bereichen wieder neue andere Programme wie ein Passwortmanager oder ein Verschlüsselungstool von Relevanz.

Was ich persönlich in den vergangenen zwei Jahren mehr und mehr gelernt habe, ist, dass ich aus der Bequemlichkeit eines Antivirus rauskommen und vor allem den Sicherheitskonzepten der klassischen Software wieder mehr vertrauen muss. Wenn ich bei Pannen mit der Transportverschlüsselung die eigentliche CA hinter einem Zertifikat nicht sehen kann, weil mein Antivirus mit seinen Systemrechten die TLS-Verschlüsselung aufbricht, ist das schlichtweg inakzeptabel. Es gibt auf der anderen Seite wiederum neue Ansätze wie die Programmiersprache Rust oder ausgefeilte Sandboxing-Technologien, wie sie auch von Microsoft in Windows 10 verwendet werden, auf denen man heute auch aufbauen und ein gutes alternatives Sicherheitskonzept entwickeln kann. Das altbekannte Brain.exe bleibt zwar auch wichtig, aber besonders bei unerfahreneren Nutzern gehört auch Aufklärung dazu, was man ansonsten machen kann. Dafür müssen wir diejenigen, die Windows und Co. nicht so gut kennen wie wir, aber auch an die Hand nehmen und die neuen Möglichkeiten aufzeigen.

via Heise Security und Mobilegeeks

PS: Für die, die uBlock Origin nicht finden, habe ich mal ne Storebox generiert. Draufklicken, abrufen, installieren.

UPDATE:
Bei Google freut man sich auch über Windows Defender.