Virenscanner und „Internet Suites“ eine Hassliebe – Teil 1

Veröffentlicht am von

Moin zusammen,

jeder der mich gut kennt weiß das ich für Virenscanner und vor allem so genannte „Internet Suites“ nichts übrig habe.

Achtung, ich schreibe den Text ab hier bewusst sehr negativ. Die Tage kommt ein Artikel der es von der anderen Seite betrachtet und ein paar Empfehlungen für Software sowie Verhaltensweisen gibt.

Warum ist das so?
Zum einen kommt die Performance. Ein Extrembeispiel: Mein privater PC braucht recht lange zum Starten. Dank dem RAID Controller und einiger Software im Autostart sind das ziemlich genau 2 Minuten. Dank fast allen aktiven Virenscannern verlängert sich diese Zeit auf fast 3 Minuten. Da allein das UEFI+RAID bei 30 Sekunden liegen ist das eine Verlängerung um 67%. Danke liebe Hersteller.
Was auch sehr oft auftritt ist das das System gefühlt träge ist. Mir fällt das meistens auf wenn man ein Programm startet. Ohne Virenscanner gehts sofort los. Mt Virenscanner dauert es manchmal 1-2 Sekunden bis Windows beginnt das Programm zu starten. Das ist die Zeit die der Virenscanner braucht.

Und was bringt der Virenscanner?
Häuft nichts. Ich würde sogar so weit gehen das ein Virenscanner ein Sicherheitsrisikio ist. Das muss ich näher erklären warum es manchmal so sein kann.
Wie wir alle immer wieder merken rutschen Viren durch den Scanner durch. Ich habe beruflich mit Trend Micro, Panda, Vipre und Bitdefender zu tun. Und bei allen rutschen die modernen Verschlüsselungstrojaner immer wieder durch. Ein Beispiel: ein Kunde bekommt per Mail einen Verschlüsselungstrojaner (eine angebliche Bewerbung). Hier hat der Mailscanner beim Provider (keine Ahnung welcher) schon versagt. Der Kunde speichert die ZIP im Anhang (zweiter Scanner versagt) und erstellt eine Mail an mich mit der ZIP im Anhang. Diese kommt ohne Probleme bei mir an (dritter Scanner versagt). Ich speicher die Datei ab (vierter Scanner versagt). Nun bin ich ja neugierig und lade die ZIP Datei auf einen Client der bei Azure gehostet ist. Ich will sehen was er macht. Und was passiert? Der billige und von allen Herstellern schlechtgeredete Windows Defender erkennt die Datei und löscht den Virus.
Liebe Hersteller von Virenscannern: Fangt mal an eure eigenen Produkte vernünftig zu entwickeln bevor ihr andere schlechtredet. Aber das ist ja euer Geschäftsmodell. Wäre der Windows Defender perfekt wärt ihr pleite.

Personal Firewalls….
Braucht man in der Regel nicht. Auch hier ist die in Windows integrierte (wenn richtig konfiguriert) genau so gut. Leider ist die Konfiguration nichts für Anfänger.
Jede Personal Firewall ist ein zusätzlicher Treiber, also Software auf dem System. Und jede Software hat Bugs. Somit kann genau dieser Treiber zum Einfallstor werden. Es gab vor ein paar Jahren mal ein Problem mit einer Personal Firewall. Man konnte fehlerhafte Pakete an diese schicken wo die Absender-IP gefälscht war. Der Treiber hat dann den Zugriff auf diese IP geblockt. Na ja, hat man als Fake-IP halt IPs von gängigen DNS Servern genommen (Google, OpenDNS und T-Online reichen meistens). Somit hat die Firewall sämtliche DNS Auflösung verhindert und damit das surfen im Internet.

Genau so genial: Man kann seine PIN (oder Kreditkartendaten) in der Firewall eingeben und die verhindert das diese PIN übertragen wird. Als erstes würde ich versuchen den Ort auszulesen wo diese Einstellung gespeichert wird. Aber wenn ich keinen Zugriff auf den Rechner habe mache ich es ganz einfach: Man erstellt ein JavaScript. Dieses ruft eine Webseite mit einem Parameter auf. Beim PIN sind das nur 10000 Anfragen die sind schnell im Browser abgehandelt. Und genau die eine die im Webserver-Log nicht auftaucht ist der PIN den die Firewall geblockt hat.

Warum also sind nun Virenscanner und Firewalls gefährlich?
Einmal wegen den oben genannten Softwarefehlern. Natürlich sind die Hersteller hier schnell am patchen und es ist nicht ganz so schlimm wie ich es hier gerade bewusst schreibe.
Als nächstes wägt der „Schutz“ dieser Programme die Benutzer in falsche Sicherheit. Wenn jemand sich bewusst ist das er gefährdet ist ist er auch vorsichtig. Je sicherer der Benutzer sich fühlt um so mehr Risiken geht er ein. Damit kommt er immer näher in den Bereich wo die Virenscanner / Personal Firewalls eben versagen und schon ist die Platte verschlüsselt oder oder…

Wie oben schon geschrieben kommt die Tag ein Bericht der die Sache mal von der anderen Seite betrachtet. Also eher positiv gestimmt ist nachdem dieser negative Teil raus ist.