Virenscanner sind das Schlangenöl des 21 Jahrhunderts. Ich erlebe es Tag für Tag, dass diese unsäglichen Pseudo-Sicherheitstools das Leben von Herstellern lokaler Software zur Hölle machen.

• Virenscanner gaukeln dem Endnutzer Sicherheit vor, die sie nicht herstellen können.
• Virenscanner machen Software-Herstellern mit Fehlalarmen das Leben und Support zur Hölle.
• Virenscanner schmälern das Vertrauen von Endnutzern in die Hersteller von Software.
• Virenscanner verursachen Unmengen an Kosten durch Erzeugen von unnötigem Aufwand.

Mal ehrlich. Haben uns Virenscanner vor WannaCry bewahrt? Oder effektiv vor den ganzen Krypto-Trojanern beschützt? Nein. Die Sicherheit ist nur vorgegaukelt. Aktuelle Bedrohungen werden meist nicht erkannt. Und dennoch verdient diese Branche seit Jahrzehnten an der Angst und mit fadenscheinigen Argumenten und Erfolgen. Dabei schadet sie der Branche der Software-Hersteller massiv und gefährdet die ganze Gattung von lokaler Software sowie die Existenz vieler kleiner Hersteller.

Weiter lesen? Klicke die Headline um den ganzen Artikel zu sehen!

Mit dieser Meinung stehe ich übrigens nicht alleine da. Schon 2014 erklärte Symantec Antivirus-Software für Tod und ein Ex-Firefox-Entwickler rät im Januar 2017 sogar zur De-Installation von AV-Software. Ähnliches sagt auch Googles Senior Security Engineer. Aber trotz allem ist der heutige Stand der, dass fast jeder (Windows-)Nutzer ein AntiVirus Tool anwendet. Und das führt bei vielen Software-Herstellern zu massiven Problemen.

Entwickler haben echte Probleme

Es finden sich in fast allen Foren zu Programmiersprachen Entwickler die verzweifelt nachfragen wie Sie das Problem mit Fehlalarmen von AntiViren-Software umgehen können. Es gefährdet einige sogar in ihrer Existenz.

Googelt einfach mal nach forum antivirus fehlalarm <Sprache> und setzt als <Sprache> mal c++, C#, purebasic, autoit, python, perl und beliebig andere ein. Das Internet ist voll mit Entwicklern/Herstellern die verzweifelt eine Lösung gegen Antivirus-Fehlalarme suchen um nicht ihre Reputation vor dem Kunden zu verlieren. Natürlich gibt es nur wenig hilfreiche Tipps (zB Executables und Setups signieren, vorab bei virustotal.com testen etc). Nützen tut das nur bedingt. Mit jedem neuen Update der AntiVirus-Tools kann es erneut zuschlagen.

UPDATE, 30. Jan. 2019: Gerade heute diesen Link gefunden: http://blog.nirsoft.net/2009/05/17/antivirus-companies-cause-a-big-headache-to-small-developers/. Bestätigt meine Ansicht zu 100%. Nur war der Autor viel früher dran als ich :-)

Beispiele von regify

Ich gebe mal ein paar Einblicke in unseren Alltag bei regify. Unsere End-Nutzer-Software ist für Windows, MacOS und Linux verfügbar. Die Clients für Android und iOS (iPhone) sind zum Glück noch nicht betroffen.

Das bedeutet, der Nutzer lädt das Setup bei uns auf seinen PC herunter, führt es aus und installiert es. Anders geht es nicht, denn wir wollen auf Dateiendungen reagieren (wir öffnen .rgf und .rgbx) sowie in Outlook oder Thunderbird integrieren (AddIns). Wir müssen also Setups anbieten. Ohne diese würde der Kunde die Lösung nicht akzeptieren, da sie sich nicht in seinen Alltag integriert.

Virenscanner schießt unser Outlook-AddIn ab

Bei einem Kunden stürzte Outlook immer dann ab, wenn er eine regimail erstellen wollte. Dazu ruft unser AddIn den regify Client per Kommandozeile auf. Diesen Zugriff fand der Virenscanner nicht gut und blockierte ihn einfach. Dadurch blieb unser AddIn hängen (im Prozessaufruf). Outlook hat dann unser AddIn für Abstürze verantwortlich gemacht und es beim Kunden dauerhaft de-aktiviert. Es hat uns zwei Manntage gekostet mit dem Kunden die Ursache zu finden und das Problem letztlich zu beseitigen. Übrigens: Nur das wechseln des AV-Anbieters hat letztlich geholfen (anderes Schlangenöl).

Virenscanner verhindert das Setup unserer Software

Mehrfach berichteten Kunden dass während der Installation plötzlich harmlose Teile unserer Software als Virus erkannt werden. Meist ist es die Heuristik der Virenscanner, welche Alarm schlägt (der Virenscanner glaubt durch Verhalten und Art der Datei das Risikopotential einschätzen zu können). Ständig müssen wir mit vielen Stunden Aufwand dann Kunden beruhigen und den Virenscanner-Herstellern Fehlalarme melden. Mit jeder neuen regify Version geht das Spiel von vorne los...

Virenscanner verhindert den Download unserer Software

Manche Virenscanner verhindern gleich den Download der Setup-Datei. Die wird als neue Datei sofort in die Quarantäne geschickt. Signiert oder nicht. Teils ohne den Nutzer zu informieren! Wir prüfen dann wieder Aufwändig unsere Download-Seiten. Nur um festzustellen dass alles okay ist und es mal wieder ein Virenscanner war.

Virenscanner lehnt Account-Einladungen automatisch ab

Ganz toll war der Virenscanner der jede eingehene E-Mail sofort auf Schadcode testet. Er ging dabei so weit, dass er auch alle Links aufrief. Jetzt allerdings war er noch immer nicht zufrieden und rief dann auch noch alle Links auf die auf der aufgerufenen Webseite zu finden waren. Und dabei hat er auch den Link hinter dem "Cancel"-Knopf aufgerufen (Abbrechen). Damit hat er die Einladung zum regify-Konto aktiv, im Namen den Kunden, abgelehnt. Dieser meldet sich dann bei uns und teilt uns nur mit, dass der Link immer ungültig sei. Es dauerte drei Manntage die Ursache zu finden, den Hersteller des Tools zu fragen (er bestätigt das Problem) und diesen zu Bitten das in Zukunft zu unterlassen. Der Kunde kann trotzdem bis heute kein regify Konto haben, weil der Virenscanner immer wieder die Seite aufruft und dort dann den "Cancel" Knopf klickt...

War übrigens "Symantec Hosted Services", ehemals Messagelabs.

Virenscanner löscht wahllos Dateien

Unsere regibox-Software legt beim ersten Start einen Ordner für temporäre Dateien an (%APPDATA%\regify\regibox\temp\). Darin wird dann alles für Up- und Downloads zwischengespeichert. Große Dateien werden aufgesplittet und dann jedes Stück verschlüsselt und dann hochgeladen. Beim herunterladen ist es dann umgekehrt.

Hierbei meinte ein Virenscanner immer wieder Teildateien währenddessen einfach löschen zu müssen. Oder er hat diese Dateien einfach blockiert um erst in Ruhe irgendwas zu testen. Damit hat er für massive Fehler bis zum Datenverlust geführt. Das ganze ohne eine einzige Meldung an den Nutzer!

Wir können uns dagegen nicht wehren. Es dauerte einen ganzen Manntag um das Problem mit dem Kunden zu identifizieren (viele Logdateien gesichtet) und dann durch Ausnahmeregelungen im Virenscanner zu beheben.

Ich will mir gar nicht vorstellen von wie vielen Kunden wir es gar nicht wissen. Und wie viele haben dann unser Produkt einfach de-installiert oder schlicht aufgegeben?

Fazit

Schafft Virenscanner endlich ab! Stattdessen müssen Betriebssysteme und Software sicherer werden!

Ich will nicht nur Meckern. Hier ein paar konstruktive Ansätze:

• Sandboxing und Nutzerprofile sind erste Schritte.
• Es gibt heute noch immer viel zu viele Nutzer die mit Admin-Rechten unterwegs sind.
• Warum nicht explizit den Zugriff auf "Dokumente"-Ordner für bestimmte Anwendungen einschränken? In einer Weise dass auch ein Laie die Berechtigungen sicher setzen kann?
• Das Betriebssystem kann auch erkennen dass eine (neue?) Anwendung plötzlich eine Vielzahl von Veränderungen durchführt (Krypto-Trojaner). Es könnte einschreiten und sogar den Restore anbieten oder das eben explizit zulassen (zB kann der Nutzer das DropBox dann explizit erlauben).
• Bei der Installation neuer Anwendungen könnte das Betriebssystem gleich die Natur der Anwendung vom Nutzer abfragen und damit bestimmte Dinge verhindern. Der Hersteller könnte Default-Vorgaben machen (zB per Manifest). Android macht das im Prinzip schon heute rudimentär durch die App-Berechtigungen.
• Office-Makros per Default deaktivieren. Und wenn aktiv, dann den Zugriff außerhalb des Dokumentes nicht zulassen (PowerShell, Command-Line, COM und ActiveX). Ausnahme nur durch Admin.
• Und einige andere...

 

Updates

Oktober 2018

Ein neuer Fall. Hier hat ein Anti-Virus geglaubt dass das JavaScript-File für unseren HTML-Editor (basiert auf ckeditor, unter %APPDATA% gespeichert) doch bestimmt ein Virus sei und die Datei ohne jeden Hinweis an den Nutzer(!) einfach gelöscht. Es hat mich eine Stunde gekostet rauszufinden wie der Nutzer das am einfachsten reparieren kann. Zum Glück erstellt unsere Software den Ordner mit den Dateien neu wenn der Ordner noch nicht existiert. Der Kunde löschte den Ordner und die Dateien wurden wieder hergestellt. Nur eine Aussnahmeregel im Virenscanner verhindert den Mist!

Noch ein Oktober-Fall

Das habe ich am 23.10.2018 um 09:36 bekommen:

Ui, da habe ich eine Datei ZAHLUNGSDETAILS.doc im Anhang. Die macht aber neugierig. Soll ich die mal öffnen? Nur kurz reingucken? Also offensichtlich nicht, aber wie reagiert der/die Sekretär(in)? Der neue Buchhaltungs-Azubi?

Die Datei hab ich um 09:55 Uhr auf Virustotal hochgeladen (Bild anklicken zum vergrößern):

So prominente Namen wie Avast, AVG, ESET, McAfee, Microsoft, Sophos, Symantec und Trend-Micro hätten mich nicht geschützt! Würde ich das angehängte Word-Dokument öffnen, hätte ich mir einen fiesen Download-Trojaner eingefangen. Und das, obwohl ich einen Namhaften Anti-Virus-Scanner einsetze. Wer glaubt da noch, dass mich deren Schlangenöl geschützt hätte?

November-Fall

Ironport (CISCO) ist seit neuestem der Meinung, dass Nutzer unsere Setups nicht herunterladen dürfen. Zu gefährlich! Auf Nachforschung kam raus, dass es die digitale Signatur unserer Setups sei, die beanstandet wird. Jetzt muss man wissen dass diese genau zur Sicherung notwendig ist. Sie garantiert unser Unternehmen als Urheber und steigert die Vertrauenswürdigkeit. Ohne diese wird ein Windows-Nutzer bei der Installation gefragt, ob er diese potentiell gefährliche Software wirklich installieren will. Auf dem Mac kann man es ohne fast gar nicht mehr installieren. So etwas als Negativ-Zeichen zu werten ist ein Schlag in's Gesicht aller ernsthafter Software-Hersteller... Selbst Microsoft signiert alle Setups (rechts das Setup zu Office 2016)!

Noch ein November-Fall

Ich wollte mit einer Person ein Meeting mittels appear.in durchführen. Auf Seite meiner Gesprächspartnerin wurde aber immer gemeldet, das verwendete Sicherheitszertifikat der Seite sei ungültig. Ich konnte auf meiner Seite aber nichts feststellen und das Zertifikat war definitiv gültig. Als ich meine Gesprächspartnerin bat die Details des Zertifikats anzuzeigen, fand sich ein Bitdefender-Zertifikat dessen root-CA nicht anerkannt wurde! Es stellte sich heraus, dass Bitdefender eine "Man In The Middle"-Attacke auf die SSL-Verbindung fährt um Nutzer vor vermeintlichem Schaden zu bewahren. Die Webseite konnte erst genutzt werden nachdem diese Option in den tiefen der Bitdefender-Settings gefunden und ausgeschaltet wurde. Das Problem betraf sowohl den Firefox als auch den IE. Nicht selten verursachen solche Lösungen sogar noch mehr Schaden indem Sie dann die Verbindung ihrerseits mit schlechteren Algorithmen aufbauen als es der (aktuelle) Webbrowser getan hätte.

Dezember

Achtung Dynamit-Phishing - Gefährliche Trojaner-Welle legt ganze Firmen lahm. Jetzt glaubt bitte nicht dass die betroffenen Firmen alle keine Anti-Viren-Software einsetzen. Und doch passiert es. Trotz Schlangenöl. Wie kann das nur sein?

Dezember V2

Eine E-Mail mit dem Betreff "Einladung zum Davos 2019 für regify von World Economic Forum" enthält eine Word-Datei "Einladung zum Davos 209.docx". Das ist deshalb gut gemacht, weil der Firmenname im Betreff steht (vermutlich aus der Empfänger-E-Mail-Domain abgeleitet) und vor allem weil mein Mitgründer Kurt bereits zweimal in Davos dabei war. Das Word-Dokument enthält ein eingebundenes OLE-Objekt und keinen wirklichen Content. Es geht ganz offenbar darum, eine Sicherheitslücke in Word und/oder Windows auszunutzen. Zum Glück bin ich auf Linux und mit LibreOffice unterwegs. Das war so passend dass es mich wohl erwischt hätte.

Laut Virustotal sind nur 5 Schlangenöle der Meinung da sei was Faul (siehe rechts). Alle anderen hätten mich nicht gewarnt und nicht geschützt. Von den großen Namen ist nur Kaspersky dabei...

Dezember V3

Ein Anti-Virus Programm hat plötzlich, und ohne Meldung an den Nutzer, eine DLL von unserem regibox Manager gelöscht. Daraufhin startete Windows jedes mal, wenn man regibox starten wollte, den Windows Installer um das "zu reparieren". Unsere Software musste neu installiert werden und der Virenscanner mit einer Ausnahme davon abgehalten werden das wieder zu tun.

Februar 2019

So verrückt, da muss man nochmal ein Update machen: Heute wurde gemeldet, dass alle regimails eines Kunden immer leer seien (gesendet per Outlook-AddIn, haben dann keinen Body und leere Anhänge). Nach einem Telefonat und einer Remote-Sitzung stellte sich heraus, dass McAffee alle Dateien mit der Endung .enc einfach immer als Ransomware einstuft und leer macht (0 Byte Dateien erzeugt). Beim verschlüsseln mit regify werden die Dateien erst komprimiert und dann mit der Endung .enc zwischengespeichert. Das wird dann verschlüsselt (enc für "encryption"). Dabei hat McAffee alle Inhalte gelöscht. Eine Ausnahme konnte das Problem lösen. Wir hatten wieder den Aufwand...

Mai 2019

Selbst das BSI und die großen Medien haben es inzwischen erkannt. Wenn auch aus anderen Gründen:
https://www.n-tv.de/technik/BSI-warnt-vor-Luecke-in-Kaspersky-Anti-Virus-article21016811.html

Mai 2019 V2

So interessant, dass ich es hier nachtragen muss: Trend Micro hat bei einer Kundin massiven Support-Aufwand verursacht (bei uns und einem Dienstleister), weil von uns zwischengespeicherte XML-Dateien "gekillt" wurden (0 Bytes). Warum Trend Micro die Dateiinhalte der XML-Datei löscht ist unklar. Eine Ausnahme auf unser Temp-Verzeichnis hat das Problem dann gelöst.

PS. Trend Micro hat diese Aktionen mit keinerlei Log-Einträgen versehen. Es passiert absolut stillschweigend. WTF?

Juni 2019

Wollte das hier eigentlich einschlafen lassen, aber das ist zu verrückt. Zum Glück hat es nicht uns getroffen, aber es ist ein Beleg dafür wie seriös hier in der Schlangenöl-Branche gearbeitet wird :-( https://slashdot.org/submission/9760858 (Leider nur in Englisch).

Juni 2019 V2

Zu verrückt um es nicht hier aufzulisten: Der Heise-Verlag ist Trojaner-Opfer geworden. Ich bin mir fast zu 100% sicher dass die einen oder mehrere Virenscanner im Einsatz haben. Scheint nicht viel zu nutzen...

Januar 2021

Ja, dieser Blog-Artikel ist jetzt schon alt. Aber offenbar ist es immer noch aktuell. Bei Golem gab es heute einen guten Artikel dazu: https://www.golem.de/news/antivirus-das-jahr-der-unsicheren-sicherheitssoftware-2101-153432.html