Ich bin ja schon lange der festen Überzeugung, wenn man ein Server-Netzwerk komplett übernehmen will, dann braucht man entweder eine Lücke in der Backup-Software oder eine Lücke im Virenscanner. Das sind die beiden Programme, die in der Regel auf allen Servern identisch installiert sind.
Aktuell ist gerade wieder Stimmung in der Kiste, wie ein paar Links von Heise zeigen:
- 25.07.2007: Pandas Antiviren-Business-Lösung lässt sich Code unterschieben
- 23.07.2007: Sicherheitslöcher in Antivirus-Produkten von Norman
- 21.07.2007: Lücken in Panda Antivirus und NOD32
- 17.07.2007: Schwachstellen in Trend Micros OfficeScan
- 13.07.2007: Sicherheitslecks in Antivirensoftware
Gut, man muss natürlich zugeben, dass Virenscanner gar nicht so trivial sind. Alleine die Funktionen um mit diversen Packern wie ZIP, RAR, GZIP, TAR, BZIP, … und diversen Embedded-Formaten wie OLE zurechtzukommen ist nicht einfach zu programmieren. Trotzdem ist es natürlich ärgerlich, wenn ein Rechner durch eine Lücke in einer Schutzsoftware übernommen wird.
Andreas Marx von der AV-Test GmbH testet regelmäßig im Auftrag diverser Publikationen Virenscanner auf ihre Erkennungsrate und Funktionalität. Das ist ganz hilfreich um zu erkennen, wie Zuverlässig ein bestimmter Virenscanner nicht nur bezüglich der Wildlist sondern auch seltenerer Schadprogramme ist. Ein akzeptabler Virenscanner liegt heute im Bereich von etwa 95-98% Erkennungsrate. In diesem Bereich bleibt bei der Analyse nichts mehr übrig.
Ich bin das Thema deshalb von einer anderen Seite angegangen. Meine Fragestellung war:
- Welcher Virenscanner hat die meisten Sicherheitsprobleme?
Zur Auswertung habe ich die von Secunia veröffentlichten Statistiken zu Sicherheitslücken verwendet und auf einige Virenscanner und Hersteller runtergebrochen. Dabei werden verschiedene Farben verwendet:
- rot: extemely critical
- orange: highly critical
- gelb: moderately critical
- hellgrün: less critical
- dunkelgrün: not critical
Die Farbe in einem Kästchen gibt immer die Sicherheitslücke mit der höchsten Gefährdungsstufe aus diesem Jahr an, die Zahl die Anzahl der Sicherheitslücken insgesamt in diesem Jahr. Wenn über den betrachteten Gesamtzeitraum mehr als 7 Sicherheitslücken eines Produkts bekannt wurden, ist das Produkt rot markiert. Und hier die Auswertung:
Am schlechtesten schneiden nach dieser Metrik die Produkte von Symantec, Kaspersky, Trend Micro und F-Secure ab. Ob das irgendeinen Nutzen hat wage ich zu bezweifeln. Lustig finde ich es aber trotzdem.