Snakeoil

Es war nur eine Frage der Zeit, bis das Produktportfolio einschlägiger Hard- und Softwarehersteller auch Produkte und Dienstleistungen mit sog. “Schäuble-Bezug” aufweist. Ich persönlich hätte ja gewettet, dass Bert Weingarten und seine PAN AMP AG da wieder eine Vorreiterrolle einnehmen werden - schließlich hatten diese ja schon hinreichend Erfahrung i.R. der (Über-)Sensibilisierung der Öffentlichkeit für Filterlösungen jeglicher Art (man erinnert sich gern an den Terrorfilter, den Bombaufilter, den Pornofilter, den Killerspielefilter einschließlich des kostenlosen add-on Ego-Shooter Filter usw.) sammeln können. Nunmehr hat RA Melchior jedoch einen anderen Aspiranten für den goldenen Colt der Malwarekiller ausgemacht: die russische Firma Safe’n’Sec, die mit ihrer gleichnamigen Softwarelösung derzeit versucht, dem Computernutzer die Angst vor dem Bösen auf der Welt - sprich Viren, Würmer, Rootkits etc. - zu nehmen. Hierzu verweist RA Melchior auf die Produktbeschreibung der Safe’n’Sec Personal Suite, welche derzeit als give away über die Website eines Computermagazins verschleudert wird:“Safe’n’Sec Personal wurde entwickelt um Ihre Daten vor bekannten und unbekannten Gefahren sowie Schwachstellen zu schützen. Das Programm benutzt die fortgeschrittene Technologie der Malware-Entdeckung - die Präventiv-Technik. Objekte werden auf Grund ihres Verhaltens und nicht nach ihrem Code analysiert. So können sämtliche Arten von Bedrohungen erkannt werden, egal ob es sich um einen Virus, einen Hackerangriff oder ein Trojanisches Pferd handelt.” So ... und jetzt übersetzen wird das ganze Marketinggedöns mal schnell: Objekte werden auf Grund ihres Verhaltens und nicht nach ihrem Code analysiert. == Wir verzichten aus produktstrategischen Gründen (sprich: Verkauf der Pro and upper Produktlinie) auf Signaturmuster und stützen uns ausschließlich auf heuristische Erkennungsverfahren[1]. Unter Umständen greifen wir auch auf cross-view-basierte Erkennungsverfahren[2] zurück. Das Programm ist von Signatur-Updates unabhängig. == Es gibt keine Updates der Malwaresignaturen weil .... GENAU - wir arbeiten ja nicht signaturbasiert. Damit ist das Programm 100%ig DAU-sicher: Einmal installieren und das Gerät ist für die nächsten 100 Jahre sicher. Garantiert! Und wir können unsere “Pro-Suite” mit einem weiteren Alleinstellungsmerkmal ausstatten: der Onlineupdatefunktion für Signaturen, in deren Genuß natürlich nur “professionelle” Anwender kommen. Die Erkenntnis hieraus: 1. Im Osten nichts Neues! 2. Auch einem geschenkten Gaul sollte man ab und an mal ins Maul schauen. Vor allem dann, wenn er gaaaaaaaaanz anders als die bisherigen Gäule galoppiert und von einschlägigen Fachzeitschriften wie PC-Welt, Chip, ComputerBild, ... und $name zum Reiten empfohlen wird. 3. Nur unprofessionelle Nutzer greifen (derzeit) auf Malwaredetektoren zurück, die gänzlich ohne Signaturmuster jeglicher Art auskommen und daher auch kein Onlineupdate benötigen. _____________ [1] Im Rahmen von heuristischen Erkennungsverfahren wird der Aufruf von Systemprozessen unter Zugrundelegung “normaler” bzw. “normalisierter” Ablauf- und Verhaltensmuster auf das Vorhandensein von Malwaretechniken hin untersucht. Heuristische Verfahren haben das große Manko, dass sie eine Vielzahl von false positives produzieren. In Kombination mit einem durch die ständigen Systemmitteilungen über angeblich gefundene Malware genervten User eine “tödliche” Mixtur - spätestens nach drei Tagen schaltet besagter User das Tool ab oder verringert die Belästungsintensität durch die Wahl einer geringeren Sicherheitsstufe (soweit das Tool ein solch gestuftes Sicherheitsmodell implementiert). [2] Cross-view Malwareerkennungsverfahren basieren vereinfacht ausgedrückt auf einem Vergleich der Abarbeitungswege im System: Einmal wird der Abarbeitungsweg über die API’s der jeweiligen Software und ein anderes Mal der Abarbeitungsweg low level “gemessen”. Bestimmte Differenzen implizieren sodann ein anormales Systemverhalten, welches ggf. auch auf das Vorhandensein von Malware hindeuten kann. Allerdings besitzen auch cross-view-basierte Erkennungsverfahren entwurfsbedingte Mängel: Zum einen versagen sie bei Malware, die nicht persistent im Speicher aktiv ist, sondern die ihr Laufzeitverhalten an die Aktivität der verschiedenen Malwaredetektoren anpaßt. Zum anderen sind cross-view-basierte Malwareerkennungsverfahren völlig nutzlos, wenn die betreffende Malware auch die Low Level Zugriffe auf dem betroffenen System “umbiegt”.