Zum Inhalt springen

Check 2015: Selbstschutz in Antiviren-Software

Wie gut schützen sich Sicherheitspakete selbst gegen Angreifer? Bereits 2014 hat AV-TEST jede relevante Security-Software geprüft, ob sie einfache Schutztechniken wie DEP und ASLR einsetzt. Nun folgt der Nachtest mit 31 Lösungen und noch ausgefeilteren Checks. Während einige Hersteller den Zusatzschutz perfekt pflegen, ist das aktuelle Ergebnis für andere Anbieter eine Stunde der bitteren Wahrheit.

Selbstschutz in Consumer-Software: Vieler Hersteller haben sich im Vergleich zum Vorjahr 2014 verbessert – aber nicht alle (09/2015, AV-TEST).

Selbstschutz in Business-Lösungen: Die Anbieter haben viel gearbeitet und sich gegenüber dem Test in 2014 stark verbessert (09/2015, AV-TEST).

DEP & ASLR in Consumer-Paketen: Bei den 64-Bit-Dateien ist der Einsatz der Schutztechniken zwar höher, aber nicht die Regel (09/2015, AV-TEST).

DEP & ASLR in Unternehmens-Lösungen: Die Sicherheitsquote ist gegenüber den Consumer-Produkten wesentlich höher (09/2015, AV-TEST).

Signierte Dateien in Consumer-Software: Zu viele unsignierte Dateien sind ein potentielles Sicherheitsrisiko (09/2015, AV-TEST).

Dateien ohne Signatur in Business-Lösungen: Ohne Signatur und somit ohne Zertifikat sind die Dateien ein unnötiges, potentielles Sicherheitsrisiko (09/2015, AV-TEST).

Es ist unbestritten: Eine gute Security-Software schützt einen Anwender vor Gefahren und Übergriffen aus dem Internet. Aber wie gut schützen sich die vielen Sicherheits-Lösungen am Markt selbst gegen Angriffe? Dieser Frage ist AV-TEST bereits im November 2014 nachgegangen und hat den Test Selbstschutz für Antiviren-Software veröffentlicht. Dabei wurde geprüft, ob die Programmierer die frei verfügbaren Schutzmechanismen DEP und ASLR für ihren Programmcode nutzen. Dabei handelt es sich um im Compiler vorhandene Funktionen, die einfach nur dazu geschaltet werden. Der Codeumfang oder die Programmlaufzeit werden durch die Techniken nicht beeinflusst. Wie das genau funktioniert, erklärt der abschließende Kasten „Hintergrundwissen zu ASLR, DEP und Datei-Signaturen".

Der Test hat einige Hersteller aufgeschreckt und bestätigt, wie leichtsinnig zum Teil der Selbstschutz vernachlässigt wurde. Viele Hersteller gelobten daher, dass sie den Schutz sofort verbessern würden.

300 Tage nach dem Test-Schreck

Alle Hersteller hatten inzwischen genug Zeit zum Nachbessern und ihren Ankündigungen nachzukommen. Und wie sieht es nun aus? Im Labor von AV-TEST wurden erneut 21 Lösungen für private Nutzer und 10 Lösungen für Unternehmen getestet. Dabei wurde geprüft, ob die User-Mode-PE-Dateien (Portable Executable) für 32- und 64-Bit DEP und ASLR einsetzen. Zusätzlich wurde in der Testrunde 2015 gecheckt, ob die Dateien auch mit einem gültigen Zertifikat signiert sind.

Während bei den Lösungen für private Nutzer im letzten Jahr nur ein Produkt einen 100-prozentigen Schutz mit DEP und ASLR besaß, sind es im aktuellen Test gleich 6 Produkte von Avira, Bullguard, ESET, Kaspersky McAfee und Symantec. Weitere zwei Pakete haben in der Auswertung 99,4 und 99,5 Prozent erreicht: F-Secure und G Data. Danach fallen die Werte wie im Vorjahr Stück für Stück weiter ab bis zu einem Tiefstwert von nur noch 25,9 Prozent.

Stark verbesserte Unternehmenslösungen

Bei den Lösungen für Unternehmen wurde besser gearbeitet. 3 von 10 Lösungen setzen DEP und ASLR zu 100 Prozent ein: Kaspersky Lab mit der Small Office-Version und der Endpoint-Version, sowie Symantec. Weitere 6 Lösungen liegen immerhin zwischen 95,7 und 90,5 Prozent. Lediglich das neu im Testfeld erschienene Produkt von Seqrite ist nur zu 29,8 Prozent geschützt.

Unter dem Strich haben sich die Unternehmenslösungen am meisten verbessert. So hat etwa Kaspersky Lab seine Versionen auf 100 Prozent aufgestockt oder Trend Micro den Schockwert von 18,7 Prozent aus dem letzten Test nun auf 95,5 Prozent verbessert.

Noch ein Hinweis: Einige Anbieter haben bereits nach dem letzten Test mitgeteilt, dass sie nie 100 Prozent erreichen werden. Denn sie würden bereits eigene Schutztechniken einsetzen, die allerdings nicht mit DEP und ASLR kompatibel sind. Welche Techniken das sind, möchten die Hersteller aber nicht veröffentlichen.

Zusatzcheck 2015: Sind alle Dateien auch signiert?

Im Vorjahr wurden die wichtigen User-Mode-PE-Dateien (Portable Executable) für 32- und 64-Bit nur auf den Einsatz von DEP und ASLR geprüft. In diesem Test wurde zusätzlich bei allen PE-Dateien geprüft, ob diese vom Hersteller signiert sind und ob sie gleichzeitig auch ein gültiges Zertifikat nutzen. Schließlich erwarten die Security-Software-Hersteller von allen anderen Software-Produzenten, dass sie Signaturen und Zertifikate für ihre Dateien nutzen. Denn sie helfen bei der Zuordnung, von welchem Hersteller sie kommen. Unsignierte Dateien sind in Sicherheitsprodukten zwar keine akute, aber immerhin eine potentielle Sicherheitslücke. Denn für den Selbstschutz muss eine Suite bei ihren eigenen Dateien die Authentizität und Integrität prüfen können. Dabei helfen digitale Signaturen mit gültigen Zertifikaten nebst Hash-Werten. Diese Werte alleine sind zur Sicherung der Dateien nicht ausreichend. Aber wie gehen die Hersteller von Security-Software mit dieser eigentlich einfachen Aufgabe um? Teils relativ schlampig wie die Untersuchung zeigt.

Bei den Lösungen für Unternehmen haben 50 Prozent der Produkte unsignierte Dateien im Gepäck. Teilweise sind es nur einzelne Dateien, bei manchen Herstellern sind 20 bis 30 Prozent der User-Mode-PE-Dateien nicht signiert. Zumindest sind bei den signierten Dateien alle Zertifikate gültig. Auch das wurde geprüft.

Bei den Consumer-Produkten sieht das Ergebnis um einiges schlimmer aus. Hier nutzen sogar 60 Prozent der geprüften Schutzpakete unsignierte PE-Dateien. Bei der Hälfte liegt die Anzahl der unsignierten Dateien unter 10. Bei dem meisten sind es 20 bis 60 Dateien und bei ThreatTrack sogar 411 von 602 PE-Dateien. Das Schlimmste: bei Avast, Check Point und ThreatTrack gab es auch noch Dateien mit ungültigen Zertifikaten.

Antiviren-Software mit potentiellen Schwachstellen

Die Hersteller von Sicherheits-Software sollten eigentlich Vorbilder sein und alle Techniken nutzen, die ihre eigene Sicherheit auf das machbare Maximum heben. Betrachtet man die aktuellen Tabellen im Vergleich mit dem Test von 2014, dann verweilen einige Hersteller weiterhin in ihrem Dornröschenschlaf. Viele haben nach der letzten Kritik an ihren Produkten gearbeitet – aber einige haben auch gar nichts getan.

Bei den Consumer-Produkten setzen Avira, Bullguard, ESET, Kaspersky Lab, McAfee und Symantec die Technik DEP & ASLR zu 100 Prozent ein. In Sachen signierte Dateien haben ESET, McAfee und Symantec ebenfalls sauber gearbeitet. Avira, Bullguard und Kaspersky müssen hier, wenn auch nur wenige Dateien, noch signieren.

In den Schutzlösungen für Unternehmen wurde bei beiden geprüften Versionen von Kaspersky Lab und Symantec die DEP- & ASLR-Technik zu 100 Prozent implementiert. Bei der Prüfung auf unsignierte Dateien kann sich aber nur Symantec zurücklehnen. Bei den Produkten von Kaspersky Lab hat das Labor noch einige unsignierte Dateien gefunden.

Die weitere Untersuchung auf signierte und gültig zertifizierte PE-Dateien reißt bei einigen Herstellern neue Baustellen auf. Sie müssen dringend nachbessern, was aber eigentlich eine Standardaufgabe sein sollte.

Die detaillierten Ergebnisse wurden, wie bereits im Vorjahr, wieder an die Hersteller übermittelt. Ob diese wichtigen Hinweise in Sachen Selbstschutz bei Sicherheits-Software angenommen werden, wird das Labor auch in Zukunft nachprüfen und darüber berichten.

Hintergrundwissen zu ASLR, DEP und Datei-Signaturen

Ulf Lösche, Leiter Malware
Research bei AV-TEST

Als Nicht-Fachmann muss man erst einmal verstehen, was PE-Dateien sind und was ASLR, DEP und Signaturen bedeuten. Hier eine kurze und sachliche Erklärung, die schnell Licht ins Dunkel bringt.

Nur die so genannten „User-Mode-PE-Dateien" (Portable Executable) für 32 und 64 Bit sind für eine Auswertung wichtig. Alle anderen Dateien, inklusive der so genannten nativen PE-Dateien, waren für den Test irrelevant. Zwischen 5 und 45 Prozent der installierten Dateien einer Schutzlösung sind PE-Dateien. Zu den PE-Dateien gehören beispielsweise:

.exe oder „Executable", also ausführbares Programm oder Modul
.dll oder „Dynamic Link Library", eine Programm-Bibliothek
.sys oder „System", eine Systemsoftware
.drv oder „Driver", eine Treiber-Datei für ein Gerät

Hinter den Abkürzungen DEP und ASLR versteckt sich folgendes:

ASLR oder Address Space Layout Randomization steht für eine Speicherverwürfelung, die das Ausnutzen von Sicherheitslücken in Computersystemen erschwert. Durch ASLR werden Adressbereiche den Programmen auf zufälliger Basis zugewiesen. So sollen Angriffe durch einen Pufferüberlauf verhindert oder zumindest erschwert werden.

DEP oder Data Execution Prevention wird auch als NX-Bit (No eXecute) bezeichnet. Der Schutz hat seine Basis bereits in der Hardware. Die Prozessor-Hersteller AMD und Intel haben diese Technik bereits seit mehr als 10 Jahren unter den Eigennamen EVP bzw. XD-Bit in all ihren Prozessoren implementiert. Sie soll verhindern, dass Programme beliebige Daten als Programm ausführen und auf diese Weise Schadcode starten.

Nutzt ein Programmierer als Unterstützung die Technik von DEP und ASLR, so sinkt das Risiko, dass eine eventuelle Schwachstelle auch wirklich ausnutzbar ist. Setzt eine Software DEP und ASLR nicht ein, kann man allerdings nicht generell sagen, dass sie unsicher ist. Wenn die Programmierung zu 100% fehlerfrei ist, dann lässt sich die Sicherheit auch nicht erhöhen. DEP und ASLR sind also ein Zusatzschutz für alle Fälle, auf den ein Programmierer bzw. der Hersteller nicht verzichten sollte. Der Einsatz ist so einfach: es handelt sich um im Compiler vorhandene Funktionen, die dazu geschaltet werden. Auf den Codeumfang oder die Programmlaufzeit hat die Technik keinen negativen Einfluss.

Die Datei-Signaturen mit Zertifikaten sind genauso einfach zu implementieren. Jeder Hersteller besitzt ohne Zweifel laufend aktualisierte Zertifikate, die er sich bei einer offiziellen Zertifizierungsstelle besorgt. Dieses Zertifikat ist eine von unabhängiger Stelle bestätige Kopie des digitalen Firmenausweises. Die Programmierer fügen einfach mit Tools die Signatur, die das Zertifikat enthält, an eine Datei an. Diese Microsoft-Authenticode-Code-Signierungs-Technologie gehört zum Standard und sollte bei keiner veröffentlichten Datei fehlen.

Beitrag teilen: