Sicherheitssoftware im Exploit-Test schlecht ausgeführt

Security-Software-Suites tun sich schwer damit, zu erkennen, wann eine PC-Software angegriffen wird, so der dänische Hersteller Secunia.

Secunia hat getestet, wie gut ein Dutzend Internet-Sicherheits-Suites bei der Ausnutzung einer Software-Schwachstelle identifiziert werden konnten. sagte Thomas Kristensen, CTO von Secunia.

Das ist eine andere Herangehensweise als die heutigen Programme. Sicherheitssoftware konzentriert sich in der Regel auf die Erkennung von bösartiger Software, die nach Ausnutzung einer Schwachstelle auf einem PC landet. Die Software wird mit Signaturen oder Datendateien aktualisiert, die bestimmte schädliche Nutzlasten erkennen, die an den PC-Postexploit geliefert werden.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Es gibt einen klaren Vorteil beim Fokussieren "Wenn man einen Exploit entdeckt, anstatt sich gegen unzählige Nutzlasten zu verteidigen", sagte Kristensen. Der Exploit selbst ändert sich nicht und muss auf die gleiche Weise genutzt werden, damit der PC gehackt wird.

Während eines Angriffs auf eine Sicherheitslücke könnten unzählige Payloads - von Keyloggern bis zu Botnet-Software - bereitgestellt werden.

Die Identifizierung des Exploits sei jedoch keine leichte Arbeit, sagte Kristensen. Versionen des von der Sicherheitslücke betroffenen Programms müssen vor und nach der Anwendung eines Patches analysiert werden, um herauszufinden, wie der Exploit funktioniert.

Für den Test hat Secunia eigene Working Exploits für bekannte Software-Schwachstellen entwickelt. Von diesen Exploits waren 144 bösartige Dateien wie Multimedia-Dateien und Office-Dokumente. Die restlichen 156 waren Exploits in bösartigen Webseiten, die unter anderem nach Browser- und ActiveX-Schwachstellen suchen.

Symantec hat die Nase vorn, aber selbst dann waren die Ergebnisse nicht herausragend: Die Internet Security Suite 2009 des Unternehmens erkannte 64 von ihnen 300 Exploits oder 21,33 Prozent der Stichprobe.

Die Ergebnisse wurden dann viel schlechter. BitDefenders Internet Security Suite 2009, Build 12.0.10, kam auf den zweiten Platz und ermittelte 2,33 Prozent des Sample-Sets. Die Internet Security 2008 von Trend Micro hatte die gleiche Erkennungsrate wie BitDefender, gefolgt von der Internet Security Suite 2009 von McAfee mit 2 Prozent auf Platz 3.

Kristensen warnte, dass Secunia wusste, dass die meisten Anbieter sich nicht darauf konzentrieren, Exploits aufzuspüren. Es würde jedoch den Anbietern nützen, Signaturen für Exploits anstatt nur für Nutzdaten zu erstellen, da sie dadurch mehr Zeit sparen könnten. Es gibt weit weniger Exploits als Payloads, sagte er.

Anbieter wie Symantec scheinen sich in diese Richtung zu bewegen, da sie Signaturen für Microsoft-bezogene Exploits erstellt haben, sagte Kristensen.

"Wir sehen keine die anderen Anbieter haben etwas Ähnliches ", sagte Kristensen.

In der Zwischenzeit sollten Benutzer Software-Patches anwenden, sobald diese Patches veröffentlicht wurden. Wenn es eine Verzögerung zwischen der Veröffentlichung eines Exploits und der Veröffentlichung eines Patches gibt, können Benutzer das spezielle Programm auch einfach vermeiden.

"Zu viele Leute denken, sie hätten nichts zu befürchten, wenn sie nur [Antivirus-Software] hätten" Kristensen sagte. "Leider ist das definitiv nicht der Fall."