Für 90% der Windows Nutzer ist ein Virenscanner ein unverzichtbares Sicherheitstool aber nur 7% der Security Experten halten zusätzliche Virenscanner für sinnvoll.
Warum sind Sicherheitsexperten so skeptisch und bezeichnen sie als Schlangenöl?
Virenscanner sind eine komplexe Software, die immer wieder selbst schwere Fehler enthält, die von einem Angreifer ausgenutzt werden können. Insbesondere die Parser für komplexe, exotische Dateiformate enthalten immer wieder Fehler. (Kritische Lücken bei Virenscannern von Symantec und Norton, Trend Micro, Comodo, Kaspersky...)
Da ein Virescanner tief im System verankert ist und vollen Zugriff auf alle Systemkomponenten hat, kann ein Angreifer durch Ausnutzen von Bugs im Virenscanner das System vollständig kompromittieren ohne das der Anwender etwas bemerken kann.
Außerdem wird die Implementierung von Sicherheitsfeatures durch Softwareentwickler (z.B. die konsequente Umsetzung von ASLR) durch Virenscanner behindert, wie der Ex-Firefox-Entwickler Robert O'Callahan berichtete. Er rät zur De-Installation.
Schlussfolgerung: Virenscanner machen Rechner unsicher.
Viele Virenscanner brechen die TLS Transportverschlüsselung der Webbrowser und E-Mail Clients, um die verschlüsselten Inhalte zu scannen. Es ist ein klassischer man-in-the-middle Angriff mit Zustimmung der Anwender. Damit wird die Sicherheit der TLS Verschlüsselung massiv geschwächt (z.B. bei Kaspersky oder Eset).
Moderne Webbrowser bieten umfangreiche Sicherheitsfeatures für TLS wie Strict Trasport Security (HSTS), Certificate Pinning (HKPS) oder mit Add-ons auch DANE/TLSA Validation. Virescanner beherrschen diese Sicherheitsfeatures in der Regel nicht. (Ich kenne kein Produkt der Schlangenöl Branche mit diesen Sicherheitsfunktionen.) Einige Virenscanner beherrschen nicht das moderne TLS 1.3 und downgraden auf eine schwächere Verschlüsselung.
Schlussfolgerung: AV-Hersteller sind grob fahrlässig bei HTTPS Interception.
Mit der Installation eines Virescanners gibt der Nutzer praktisch die Hoheit über die Installation von Software teilweise auf. Es ist die Aufgabe eines Virenscanners, Software zu entfernen, die der Hersteller der Software für unpassend hält. Das kann auch zur Deinstallation von Software führen, die der Kunde nicht nutzen soll.
In der Regel verwenden Mainstream Viren keine 0day Exploits, um die Systeme zu kompromittieren. Die relativ teuren Angriffe mit 0day Exploits werden nur für gezielte Angriff auf besondere Ziele eingesetzt, und nicht bei Viren. Computer Viren nutzen in Regel längst bekannte Lücken in der Software aus, die in verschiedenen Quellen nach der Beseitigung durch den Softwarehrsteller publiziert wurden.
Regelmäßige Updates der verwendeten Software und sichere Konfiguration des Systems schützen besser gegen die Angriffe mit Viren, als ein Virenscanner.
Hinweis: zur sicheren Konfiguration gehört als erstes, dass man die Einstellungen der Benutzerkontensteuerung auf die höchste Sicherheitsstufe stellt. Es ist bedauerlich, dass Microsoft dieses Sicherheitsfeature nicht standardmäßig aktiviert.
We didn't want to interfere with NSA/GCHQ operations. Everyone seemed to be waiting for someone else to disclose details of Regin first, not wanting to impede legitimate operations related to global security.
We had been investigating Regin since last year, but only felt comfortable publishing details of it now.