Für 90% der Windows Nutzer ist ein Virenscanner ein unverzichtbares Sicherheitstool aber nur 7% der Security Experten halten Virenscanner für sinnvoll. Warum sind Sicherheits­experten so skeptisch und bezeichnen diese Produktgruppe als Schlangenöl?

  1. Virenscanner sind eine komplexe Software, die immer wieder selbst schwere Fehler enthält, die von einem Angreifer ausgenutzt werden können. Insbesondere die Parser für komplexe, exotische Dateiformate enthalten immer wieder Fehler. (Kritische Lücken bei Virenscannern von Symantec und Norton, Trend Micro, Comodo, Kaspersky...)

    Da ein Virescanner tief im System verankert ist und vollen Zugriff auf alle System­komponenten hat, kann ein Angreifer durch Ausnutzen von Bugs im Virenscanner das System vollständig kompromittieren ohne das der Anwender etwas bemerken kann.

    Außerdem wird die Implementierung von Sicherheitsfeatures durch Softwareentwickler (z.B. die konsequente Umsetzung von ASLR) durch Virenscanner behindert, wie der Ex-Firefox-Entwickler Robert O'Callahan berichtete. Er rät zur De-Installation.

    Schlussfolgerung: Virenscanner machen Rechner unsicher.

  2. Viele Virenscanner brechen die TLS Transportverschlüsselung der Webbrowser und E-Mail Clients, um die verschlüsselten Inhalte zu scannen. Es ist ein klassischer man-in-the-middle Angriff mit Zustimmung der Anwender. Damit wird die Sicherheit der TLS Verschlüsselung massiv geschwächt (z.B. bei Kaspersky oder Eset).

    Moderne Webbrowser bieten umfangreiche Sicherheitsfeatures für TLS wie Strict Trasport Security (HSTS), Certificate Pinning (HKPS) oder mit Add-ons auch DANE/TLSA Validation. Virescanner beherrschen diese Sicherheits­features in der Regel nicht. (Ich kenne kein Produkt der Schlangenöl Branche mit diesen Sicher­heits­funktionen.) Einige Virenscanner beherrschen nicht einmal das moderne TLS 1.2 und downgraden die Verschlüsselung auf die schwache Version TLS 1.0.

    Schlussfolgerung: AV-Hersteller sind grob fahrlässig bei HTTPS Interception.

  3. Mit der Installation eines Virescanners gibt der Nutzer praktisch die Hoheit über die Installation von Software teilweise auf. Es ist die Aufgabe eines Virenscanners, Software zu entfernen, die der Hersteller der Software für unpassend hält. Das kann auch zur Deinstallation von Software führen, die der Kunde nicht nutzen soll.

  4. In der Regel verwenden Mainstream Viren keine 0day Exploits, um die Systeme zu kompromittieren. Die relativ teuren Angriffe mit 0day Exploits werden nur für gezielte Angriff auf besondere Ziele eingesetzt, und nicht bei Viren. Computer Viren nutzen in Regel längst bekannte Lücken in der Software aus, die in verschiedenen Quellen nach der Beseitigung durch den Softwarehrsteller publiziert wurden.

    Regelmäßige Updates der verwendeten Software und sichere Konfiguration des Systems schützen besser gegen die Angriffe mit Viren, als ein Virenscanner.

    Hinweis: zur sicheren Konfiguration gehört als erstes, dass man die Einstellungen der Benutzerkontensteuerung auf die höchste Sicherheitsstufe stellt. Es ist bedauerlich, dass Microsoft dieses Sicherheitsfeature nicht standardmäßig aktiviert.

  5. Gegen potente Angreifer, die ein Target gezielt mit staatlich subventionierten Trojanern angreifen, können (und wollen?) kommerzielle Virescanner nicht schützen. Das konnte man anhand der Veröffentlichungen zur Cyberwaffe "Regin" der NSA verfolgen.
    • Als erstes hat Fox-IT den Trojaner bei der Analyse des Einbruchs bei #Belacom gefunden. Es wurde aber nichts veröffentlicht und die Signaturen wurden nicht in die Virendatenbank aufgenommen. Ronald Prins von Fix-IT sagte nach der Veröffentlichung von Informationen zu "Regin" durch The Intercept im Nov. 2014:
      We didn't want to interfere with NSA/GCHQ operations. Everyone seemed to be waiting for someone else to disclose details of Regin first, not wanting to impede legitimate operations related to global security.
    • Dann wurde der Trojaner von Symantec analysiert, auch Symantec veröffentlichte nichts. Vikram Thakur von Symantec sagte im Nov. 2014 als Entschuldigung:
      We had been investigating Regin since last year, but only felt comfortable publishing details of it now.
    • Im Sommer 2014 wurde "Regin" auf dem Laptop einer Mitarbeiterin im Bundes­kanzleramt gefunden. Über diesen Vorfall wurde geschwiegen, bis die Bild Zeitung im Dez. 2014 (nach der Veröffentlichung von "The Intercept") den Vorgang marktschreierisch veröffentlichte. Die Bundes­regierung wollte diesen weiteren Fall von NSA-Spionage anfangs nicht kommentieren und dementierte halbherzig.
    • Erst nachdem The Intercept ankündigte, über Regin zu berichten, haben Anti-Virus Firmen reagiert und haben ihr Wissen ebenfalls veröffentlicht.
    Ist es möglicherweise so, dass die Firmen in vorauseilendem Gehorsam gehandelt haben und nicht extra unter Druck gesetzt werden mussten? Gilt das auch für Produkte von FinFischer oder für staatliche Trojaner der italienischen Firma HackingTeam?