Hm, nur mal ganz so nebenbei: Wenn ihr eh mehrere VMs erstellen wollt, warum nehmt ihr für die Surf-VM nicht gleich direkt eine aktuelle Linuxdistribution? Problem gelöst.
Anonsten kann ich auch nur empfehlen, die originale PDF einmal genau durchzulesen. Es ist erschreckend, wie bei manchen AV-Herstellern gearbeitet wird. Beispielsweise zu Panda:
- Another terrible bug: The Panda's installation directory have write privileges for all users.
- However, again, the directory is “protected” by the shield...
- What is the fucking shield?
- The Panda shield is a driver that protects some Panda owned processes, the program files directory, etc...
- It reads some registry keys to determine if the shield is enabled or disabled.
- But... the registry key is world writeable. Also, it's funny, but there is a library (pavshld.dll) with various exported functions...
- All exported functions contains human readable names.
- All but the 2 first functions. They are called PAVSHLD_001 and 002.
- Decided to reverse engineer them for obvious reasons...
- The 1st function is a backdoor to disable the shield.
- It receives only 1 argument, a “secret key” (GUID): ae217538-194a-4178-9a8f-2606b94d9f13
- If the key is correct, then the corresponding registry keys are written.
- Well, is easier than writing yourself the registry entries...
Ein Antivirusprogramm anzugreifen, ist meist sogar einfacher als bei einem Browser. Antivirenprogramme müssen zig Dateiformate unterstützen und auf Bedrohungen scannen können - mehr als jede andere Software. Entsprechend umfangreich und fehlerhaft dürften viele der Implementierungen sein. Auch wird an vielen Stellen auf Sicherheitsmaßnahmen verzichtet, um die Konkurrenz z. B. durch einen Performancevorteil auszustechen.
Noch schlimmer: Die meisten Hersteller von Antivirussoftware sind eher kommerziell veranlagt. Benutzt oder kauft ein User die Software, so ist das Ziel erreicht. Es reicht prinzipiell, wenn die Software ein schönes buntes Interface hat und die gängigste Malware erkennt (anhand der Erkennungsraten werden die Scanner in Tests meistens geprüft, nicht auf die Anzahl eigener Schwachstellen im Scanner). Ob ein Scanner angreifbar ist, kann der Ottonormalverbraucher überhaupt nicht feststellen, für ihn zählen andere Faktoren.
Solange eine Lücke nicht gerade für schlechte Publicity sorgt, ist die ganze Fleißarbeit eigentlich umsonst. Wenn man das sogar noch weiterspinnt, dann könnten Sicherheitslücken in der Free-Version, die zu einer Infektion führen, sogar dafür sorgen, dass der Benutzer die Pro-Version kauft. Soviel Verschwörungstheorie dazu.
Grüße
Thomas
