Lücken bei der Antiviren-Software

Reaktionen auf den Testbericht der ERNW Research GmbH

• Stellungnahme von Norton / Symantec

  Unsere internen Tests haben gezeigt, dass Norton Security sehr wohl Schutz gegen die Attacken bietet, die im Test von ZDF Frontal 21 genutzt wurden. Symantec unterstützt alle unabhängigen Tests, die unter realen Bedingungen durchgeführt werden, damit die Nutzer von Antiviren-Software gegen die verbreitetsten und komplexesten Bedrohungen geschützt bleiben. Aufgrund der begrenzten Informationen und der zu kurzen Vorlaufzeit, die uns zur Überprüfung der Ergebnisse zur Verfügung standen, haben wir Zweifel, ob die von ZDF Frontal 21 genutzte Testmethode der allgemein anerkannten Testpraxis entspricht. Dadurch könnten fehlerhafte und irreführende Ergebnisse entstanden sein. Selbst in dem Report des von Frontal21 beauftragten Testinstitut steht, dass der „Test auf nicht dem Standard entsprechende, untypische und unvollständige Art und Weise“ durchgeführt wurde.
  
  Die Produkte von Norton sind dafür optimiert, den bestmöglichen Schutz und die beste Leistung unter realen Bedingungen zu liefern, in denen Nutzer ihre Informationen und Daten online schützen. Unsere Lösungen liefern starken Schutz und sehr gute Erkennungsraten. Dies wurde auch kürzlich durch unabhängige Testorganisationen wie AV-Test, AV-Comparatives, Stiftung Warentest und SE Labs bestätigt, die den von der Anti-Malware Testing Standards Organization  (AMTSO) aufgestellten Richtlinien für die Tests von Sicherheitssoftware unter realen Bedingungen folgen.

• Antwort von Avira Virus Labs

  Unsere Produkte stehen immer wieder an der Spitze von unabhängigen Tests zur Erkennung von Schadsoftware, Leistung und Benutzerfreundlichkeit. So wurde beispielsweise Avira Antivirus Pro vor kurzem von dem renommierten und unabhängigen Test-Institut AV-Comparatives unter 19 Sicherheitsprodukten für Windows als Produkt des Jahres ausgezeichnet. Zudem gewann Antivirus Pro den „Best Repair Award“ von dem bekannten Test Institut AV-TEST Anfang diesen Jahres.
  
  Wir entwickeln unsere Produkte ständig weiter, um sie an aktuelle und zukünftige Online-Gefahren anzupassen und unseren Anwendern den bestmöglichen Schutz zu gewährleisten. Den von Ihnen beschrieben Sachverhalt zum Test der Avira Internet Security Suite 2017 nehmen wir sehr ernst, daher ist es uns wichtig, die Test-Situation genau zu rekonstruieren und zu bewerten. Um im konkreten Fall zu analysieren, ob und wie das Avira Produkt „umgangen“ wurde, benötigen wir weitere Details, um den Sachverhalt qualifiziert bewerten zu können. Die dazugehörigen Fragen sowie einige Annahmen basierend auf dem Testbericht finden Sie in dem angehängten PDF-Dokument. Mit Ihren detaillierten Antworten können Sie uns helfen, das Produkt noch besser zu machen.
  Generell ist uns externes Feedback zur Optimierung unserer Produkte sehr wichtig. Wir haben daher ein Bug Bounty Programm eingerichtet, in dem interessierte Anwender Feedback zu verschiedenen Produkten geben können und so helfen, unsere Produkte zu verbessern. Unsere Kunden können sich per E-Mail oder Telefon an unseren Customerservice wenden, falls sie Probleme mit unseren Produkten oder Verbesserungsvorschläge haben.
  
  (Alexander Vukcevic, Director Avira Virus Labs, Antwort zur Email-Anfrage von Frontal 21 vom 27.02.2017 und vom 13.03.2017)

• Antwort von avast

  Wie bewerten Sie das Ergebnis der Sicherheitsforscher, demzufolge Ihre Software umgangen werden kann?
  
  Die eingesetzten Patch-Dateien im Test selbst sind nicht bösartig und unterscheiden sich nur dadurch von anderen, kommerziell verfügbaren Remote-Access-Tools auf dem Markt, dass die Funktionalität in einen gutartigen Binärcode eingepflegt - und sozusagen versteckt wurde. Wie die meisten Arten von Technologien lassen sich so genannte Remote-Access-Tools sowohl für gutartige als auch für bösartige Zwecke verwenden. Beispielsweise kann ein Administrator in einem Unternehmen solch ein Tool verwenden, um einem Kollegen in einem anderen Büro zu helfen, oder ein Familienmitglied, das sich besser mit Computern auskennt, kann einem anderen aus der Ferne helfen.
  
  Der von den Sicherheitsforschern getestete Fall wäre in der Realität eher ungewöhnlich. Die eingesetzte Datei versucht weder das System kontinuierlich - also auch nach einem Neustart - zu kontrollieren, noch umgeht sie den Systemschutz oder schaltet diesen ab. Die Datei kann also beispielsweise nach einem PC-Neustart nicht mehr laufen und der PC nach einem Neustart von dem Angreifer nicht mehr kontrolliert werden.
  
  Der Test ist auch dahingehend etwas künstlich, als dass während der Reverse-Shell-Verbindung keine Aktivität durchgeführt wurde. Aus Verhaltenssicht korrespondiert die Funktionalität mit einer gewöhnlichen Applikation, die nach außen via Port 443 eine Verbindung zu einem externen Server herstellt. Wenn wir ein solches Verhalten generell unterbinden würden, könnte dies den Arbeitsablauf unserer Nutzer stören. Zudem ist die Übertragung einer ausführbaren Datei als Anhang kein effektives Angriffsszenario, da viele E-Mail-Server, wie zum Beispiel Gmail, eine solche E-Mail als potenziell gefährlich einstufen würden, ganz gleich welchen Inhalt diese hat.
  
  Wir arbeiten kontinuierlich daran, die beste Balance zwischen Sicherheit und Benutzerfreundlichkeit zu finden und werden das Ergebnis dieses Tests dabei einbeziehen.
  
  Führende unabhängige Sicherheitstest-Institutionen wie AV-Test oder AV-Comparatives testen die Wirksamkeit unserer Software regelmäßig - und deren Ergebnisse bestätigen die hohe Qualität, die unsere Produkte bieten. Die Testergebnisse dieser Institutionen sind sehr transparent und wir behandeln diese transparent. Im jüngsten Test von AV-Comparatives, von Februar 2017, hatten wir beispielsweise eine Erkennungsrate von 99,7 Prozent, den Vergleich der verschiedenen Anbieter finden Sie hier: https://chart.av-comparatives.org/chart1.php

• Stellungnahme der G DATA Software AG

  Antiviren-Software ist darauf ausgelegt automatisierte und weit verbreitete Angriffe zu verhindern. Die von Ihnen beschriebene Vorgehensweise entspricht in Ansätzen der eines gezielten Angriffs auf ein spezifisches System, der nicht für einen massenhaften Einsatz vorgesehen ist.
  
  Der Test ist unserer Einschätzung nach nicht geeignet, um eine generelle Aussage über die Schutzmechanismen von Security-Lösungen zu treffen. Tatsächlich schadhaftes Verhalten wurde im Test nicht dokumentiert, da die Angriffssimulation nach dem ersten Schritt abgebrochen wurde. Proaktive Schutztechnologien der am Markt befindlichen Security-Lösungen können in dem von Ihnen skizzierten Szenario deshalb nicht zum Tragen kommen.
  

• Stellungnahme von Kaspersky Lab

  Kaspersky Lab möchte Frontal21 dafür danken, dass uns der Testbericht der Analyse verschiedener Sicherheitslösungen zur Verfügung gestellt wurde. Obwohl die Anzahl der im Testverfahren eingesetzten Samples nicht ausreicht, um Rückschlüsse auf die Produkteffizient bei einem realen Einsatz zuzulassen, sind wir für die Ergebnisse dankbar.
  
  Die Lösung von Kaspersky Lab hat standardmäßig zwei von drei getesteten Angriffsversuchen blockiert, was im Vergleich mit anderen Sicherheitslösungen das beste Resultat darstellt. Entsprechend der Analyse handelt es sich bei dem nicht erfolgreich verhinderten Angriffsszenario um ein speziell von den Testern entwickeltes Szenario, um einer Erkennung durch die Sicherheitslösung zu umgehen. Dieses ‚Reverse Shell 3279‘-Szenario ermöglicht es, lokal Standard-Windows-Befehle mit lokalen Nutzerrechten zu starten. Der Testbericht bietet keine Informationen, ob die Ausführung dieser Befehle erfolgreich war. Das ‚Reverse Shell 3279‘-Szenario vergibt keine Administratorrechte auf dem Rechner.
  
  Kaspersky Lab arbeitet an einer Aktualisierung seiner Sicherheitslösungen, um dieses Angriffsszenario zu entdecken und zu blockieren. Kaspersky Lab nimmt unabhängige Tests sehr ernst und setzt diese auch ein, um seine vielfach ausgezeichneten Technologen weiter zu verbessern.