Die AV-Industrie: "Lichtgestalt" oder "Teufel" im Kampf gegen Viren & Würmer

R

Rushjo

Guest
Wie mal heute auf TheRegister in einer Columne mit dem Namen "white knight
or black hat" lesen kann, ist auch mittlerweile eine Diskussion über das Verhalten der
AntiViren-Industrie im Zusammenhang mit "Viren/Wurm-Warnungen" aufgekommen.
Momentan ist es gängige Praxis, das die meisten AV-Produkte für eMail-Server per
"default" eine eMail mit mehr oder minder "informativen" Inhalt an den scheinbaren
Ansender einer Virus-/Wurm-verseuchten eMail schicken. Dabei wird von der AV-
Industrie meistens sehr aggressiv Ihr AV-Produkt beworben. Weiterhin wird man
selber einfach als "Absender" dieser eMail hingestellt. Und dies obwohl die AV-Firmen
selber zu geben, die "moderne" Würmer die Absender-Adressen "spoofen". Damit
erzeugen die AV-Firmen ein riesiges eMail-Aufkommen, verdächtigen User zu unrecht
bzw. ohne Beweise und bewerben Ihre Produkte in einer unerwünschten kommer-
ziellen eMail (aka SPAM). Dies nimmt mittlerweile schon so groteske Züge an, dass
man z.T. mehr eMails von AV-Firmen mit Warnungen vor den Würmer erhält als
"echte Würmer". Dabei wird in den eMail von keiner Information über die angeblich
versandte "verseuchte" eMail, wenig Werbung mit wenig Informatioen bis hin zu
reiner Werbung alles geboten. Hinzu kommt noch, das es bei den AV-Firmen keine
einheitliche Nomenklatur für die Benennung neuer Viren gibt, sodass hier ein totales
Informationschaos entsteht. Dies erzeugt unter Umständen zwar die "nötige Aufmerksamkeit"
der User, aber unter Vorspielung "falscher Tatsachen" und Erzeugung einer "Hysterie/
Panik". Was wiederum durch Zufall einer Firma, die vom Verkauf von "AV-Produkten"
lebt natürlich sehr gelegen kommt. Hier mal ein Beispiel für das Nomenklatur-
Problem:

Zitat von Attrition Security
Norton AntiVirus - W32.Novarg.A@mm
RAV AntiVirus - Win32/Mydoom.A@mm
GroupShield for Exchange - W32/Mydoom@MM
BorderWare MXtreme Mail Firewall - I-Worm.Novarg
InterScan - WORM_MIMAIL.R
Antigen - MyDoom.A@m (Norman) worm
McAfee - W32/Mydoom@MM

Dies bezeichnet alles den selben Wurm, nämlich "MyDoom". Eine weitere auch interes-
sante Eigenart der AV-Industrie, ist Ihr Umgang mit dem Wort "Security Advisory".
Dies hat eigentlich herzlich wenig mit einem Virus-/Wurm-Ausbruch zu tun, sondern
ein "Security Advisory" beschreibt eine Sicherheitslücke in einer Software. Das hier
mal Birnen und Äpfel vermischt werden, interessiert die AV-Firmen auch nicht, da
es ja wiederum ein Mittel zur Gewinnung von Aufmerksamkeit ist. Und dies sichert
entsprechende Einnahmen über die AV-Produkte, die durch Zufall noch per eMail
beworben werden. Auch die Unsitte der AV-Firmen in Ihren "Warn-eMails" immer
zu sagen:

"Ask your Administrator for more Informations".

Bindet sehr viele Ressourcen, man stelle sich mal den armen Administrator eines
grossen Netzwerk mit 500-1000 Rechner und dann meldet sich jeder User wegen
einer solchen eMail wirklich bei Ihm. Der hat dann erstmal tagelang nur mit eMail
beantworten zu tun.

Als mögliche Lösung erscheint dem Autor bei TheRegister die Erstellung einer RFC, welche
den Umgang mit Viren/Würmern, Benennung dieser, Informationsverhalten über Sie
etc. für alle AV-Firmen mal "standardisiert". Der Autor/Initiator einer ähnlichen
Diskussion auf Attrition Security sieht das "melden dieses SPAM's" an den jeweiligen
Administrator (aka Abuse/Admin@...) als Methode an. Dies würde die AV-Industrie
dazu zwingen aufgrund der Users-Verhalten diese "default Feature" wie eMail-
Benachrichtigung abzuschalten.

Mhm, mal eine Problematik von einer interessanten, anderen Seite betrachtet.

[1] Quelle, TheRegister.co.uk (english)
[2] Quell, Attrition.org (english)

MfG Rushjo
 
Zurück
Oben