Proaktive IT-Sicherheit
 

Gute Software. Böse Software.

2009-05-22 [Betrachtung zu Malware, Sicherheitsbestimmungen, Verbreitungsmechanismen]

Einführung

Die meisten auf einem Computer befindlichen Softwareanwendungen können in eine der folgenden beiden Kategorien eingeordnet werden:

  1. legitime Software, die vom Benutzer erwünscht ist und von ihm selbst oder in seinem Auftrag installiert wurde
  2. bösartige Software, die ohne Zustimmung des Benutzers installiert wurde – im Allgemeinen Malware genannt

Die Anbieter von Sicherheitssoftware haben daher folgende einfache Aufgabe:

So viel bösartige Software wie möglich erkennen und entfernen, ohne dabei versehentlich legitime Software als Malware zu definieren.

Leider ist diese Aufgabe dann doch nicht so einfach, wie sie scheint.

Falsch positive Ergebnisse

Der Begriff „falsch positiv“ wird zur Bezeichnung jener Fälle verwendet, bei denen eine Anti-Malware-Software ein legitimes Programm bzw. eine legitime Programmkomponente fälschlicherweise als schädlich einstuft. Leider passiert dies bei jeder Sicherheitssoftware immer wieder. Falsch positive Ergebnisse haben wir in einem früheren Sicherheitsartikel aus diesem Jahr ausführlich behandelt, daher gehen wir an dieser Stelle nicht weiter darauf ein.

Bösartig oder nicht bösartig, das ist hier die Frage!

In diesem Artikel geht es vorrangig um die Einführung in eine dritte Softwarekategorie neben den beiden oben genannten:

  1. Software, die von manchen als bösartig betrachtet wird, die der Softwareanbieter jedoch als legitim bezeichnet.

Man kann sagen, dass sich diese Art von Software in einer Grauzone befindet. Deshalb wird diese Kategorie oft mit dem Begriff Greyware bezeichnet.

Viele Greyware-Programme sind Sicherheitsprogramme – oder geben sich als solche aus. Es kann sich dabei um Software handeln, die tatsächlich Malware aufspürt, oder dies nur vorgibt. In jedem Fall fordert solche Software den Benutzer in der Regel auf aggressive Weise dazu auf, das Programm zu kaufen, um vollständig geschützt zu sein.

Eine weitere Eigenschaft der Software in dieser Kategorie besteht darin, dass man sie oft nur schwer wieder los wird.

Ein interessantes Beispiel für Greyware ist das Sony-Rootkit, das vor einigen Jahren Berühmtheit erlangte. Diese Software wurde in legitimer Absicht entwickelt, nämlich als verborgenes Kopierschutztool; es wurde jedoch in der Folge von Malware-Anwendungen als Cloaking-Tool eingesetzt.

Anbieter von Software der Kategorie 3 versuchen oftmals, Druck auf Sicherheitsunternehmen auszuüben, die ihr Programm als bösartig identifizieren. Es kann dabei sogar zu gerichtlichen Klagen kommen. Daher können Anbieter von Sicherheitsprogrammen versucht sein, sich den Wünschen der Greyware-Anbieter zu beugen und die entsprechenden Programme von ihrer Malware-Signaturliste zu entfernen.

Andererseits besteht die Aufgabe eines Sicherheitsunternehmens darin, seine Kunden zu schützen. Und diese sind mit solch einer Entscheidung unter Umständen nicht einverstanden.

Richtlinien

Es bedarf daher einiger Richtlinien und Prinzipien für die Anbieter von Sicherheitssoftware für die Fälle, in denen sie entscheiden müssen, ob eine bestimmte Software als legitim oder schädlich einzustufen ist.

Folgende Kennzeichen weisen auf eine schädliche Software hin:

  • Das Programm installiert sich selbst, ohne dass der Benutzer zugestimmt hat oder davon weiß.
  • Nur ein unwesentlicher Teil der tatsächlichen Programmaktivitäten sind dem Anwender bekannt. Der „verborgene Teil“ dürfte von den meisten Benutzern als unerwünscht angesehen werden.
  • Das Programm aktualisiert sich selbst mit neuen Komponenten, ohne dass der Benutzer zugestimmt hat oder davon weiß.
  • Das Programm ist nur schwer wieder zu entfernen, da es weder ein Deinstallationsprogramm gibt, noch das Standard-Entfernungstool des Betriebssystems zum Deinstallieren verwendet werden kann.
  • Das Programm fordert den Benutzer in extrem aggressiver Weise zum Kauf auf.