News 25.09.2009, 06:42 Uhr

«Antivirus in the cloud» - heiliger Gral oder Risiko?

An der VirusBulletin-Konferenz wurde das Auslagern von Teilen der Virenerkennung ins Web kontrovers diskutiert.
Das Aufspüren neuer schädlicher Dateien ist eine Sisyphusarbeit. Der klassische Virenscanner lädt regelmässig Erkennungsmuster in eine auf dem Anwender-PC vorhandene Signaturdatenbank. Dieses Vorgehen entlarvte lange Zeit recht zuverlässig die meisten Schädlinge. Inzwischen übersteigt aber die Anzahl der neu entdeckten Schädlinge pro Tag die Tausendermarke (siehe auch «Viren im Minutentakt»).
Die Idee: ab in die Wolke!
Sogenanntes «Antivirus in the cloud» erweitert die herkömmliche Virenerkennung um neue Methoden. Zahlreiche Hersteller sind dabei, solche Technologien zu implementieren – oder haben das bereits getan. Wenn ein Nutzer ein Programm aus dem Web installiert, vergleicht sein Virenscanner die Fingerabdrücke oder Teile der enthaltenen Dateien via Internet mit einer beim Hersteller gespeicherten Datenbank. Sind sie dort als gutartig bekannt (Whitelisting), dürfen sie ausgeführt werden. Falls die Dateien bereits als Schädlinge entlarvt wurden (Blacklisting), blockiert sie der Virenscanner. Dabei haben manche der Wolken-Lösungen auch die Aufgabe von Sensoren: Sie prüfen unbekannte Dateien mit heuristischen Mitteln auf ihr Verhalten hin. Auffällige Files werden umgehend an die Datenbank gemeldet, geprüft und ab sofort auch bei anderen Nutzern blockiert, die diesen Dateien begegnen. Die Dateiprüfung per «Antivirus-Wolke» passiert auch bei einer durchschnittlichen Internetverbindung innerhalb von Sekunden.
Der Hauptgrund, diese Prüfung ins Netz zu verlagern, liegt in der fast unendlich grossen Menge verschiedener Dateien. Ein normaler Anwender-PC könnte kaum genügend Speicherplatz und Rechenpower aufbringen, um die gesamten White- und Blacklists lokal zu verwalten. Ausserdem kommt ein durchschnittlicher Anwender-PC nur mit einem winzigen Bruchteil der bekannten Dateien überhaupt jemals in Kontakt. Nicht zuletzt kann per Antivirus-Wolke die Prüfung sofort erfolgen, ohne erst alle neuen Erkennungsmuster via Signaturupdate auf alle PCs der Welt zu verteilen. So jedenfalls die Theorie.
«Gut, aber ...» - die Kritik
Andreas Marx und Maik Morgenstern vom Sicherheitstest-Institut AV-Test GmbH zeigten heute im Rahmen der VirusBulletin-Konferenz in Genf die Grenzen von «Antivirus in the cloud» auf. Wir hatten Gelegenheit zu einem Gespräch.
PCtipp: Wie sehen Sie die ersten Produkte, die mit einer «Antivirus in the cloud»-Technik ausgestattet sind?
Andreas Marx: Wir haben ein exponentielles Wachstum in der Malware. Die Signaturdatenbanken wachsen schnell. Mit Antivirus-in-the-cloud will man einen Teil der Signaturen auf den Servern der Antivirenfirmen haben. Die Aufgabe der Virenprüfung wird damit zum Teil auf deren Server ausgelagert. Die Hersteller führen an, es sei theoretisch möglich, neue Schädlinge innerhalb von Sekundenbruchteilen nach deren Entdeckung auf allen Clients zu blockieren. Wir von AV-Test haben aber festgestellt, dass die Reaktionszeiten gegenüber herkömmlichen Erkennungsmethoden nicht schneller sind. In der Tat dauert es zum Teil immer noch Tage. Kurz: Anders, als die Hersteller schreiben, ist AV in der Wolke nicht schneller – und braucht auch nicht weniger Speicher.
PCtipp: Ist «AV in the cloud» schlecht?
Wir sagen nicht, «in the cloud» sei schlecht, sondern: Wie es heute implementiert ist, ist es noch nicht optimal. Die Kinderkrankheiten sind nicht gelöst.
PCtipp: Und die wären?
Andreas Marx: Da wäre neben der erwähnten Punkte noch die Privacy. Da ganze Dateien oder Teile davon übermittelt werden, weiss die Antivirenfirma, welche Programme auf dem PC des Kunden laufen. Soll die AV-Firma meine Programme oder Games kennen? Es wird sicher interessant, wenn der AV-Hersteller weiss, auf welcher Pornowebseite ich diesen oder jenen Schädling aufgelesen habe. Zwar sagen sie alle, sie speichern keine IP-Adressen oder sonstige benutzerdefinierten Daten. Aber das Fragezeichen bleibt. Bei einem rein lokalen Virenscanner besteht diese Gefahr nicht.
Ein weiterer Punkt: Office-Dokumente (Word- oder Excel-Dateien, PDFs usw.) werden nicht via Cloud gescannt. Damit kann AV in the cloud auch keine zielgerichteten Angriffe erkennen, die mit genau solchen Dateiformaten durchgeführt werden.
PCtipp: Wo sehen Sie trotzdem Vorteile bzw. Chancen?
Andreas Marx: Auf den leistungsfähigen Servern der Antivirenhersteller sind riesige Blacklist- und Whitelist-Datenbanken möglich. Man könnte damit auch False Positives (Fehlalarme) vermeiden. Wir finden die Ideen an sich gut, aber die Umsetzung, wie sie jetzt ist, ist noch mangelhaft. Es gibt noch zu viele Probleme.
PCtipp: Andreas Marx, herzlichen Dank fürs Gespräch!

Autor(in) David Lee




Kommentare
Avatar
pagefault
28.09.2009
Immer noch ein Klassiker: The six dumbest ideas in computer security Für diesen Fall wäre das dann wohl #2 enumerate badness - ich kann die Antivirus-Industrie (teilweise) verstehen, denn ein white-list Scanner braucht keine (kostenpflichtigen) Signatur-Updates mehr, da man ihn durchaus selber trainieren könnte ...