Auf VirusTotal gehen täglich etwa 400.000 Meldungen über digitale Schädlinge ein, davon sind 300.000 im Schnitt einzigartig. Wer als Hersteller an dieser Plattform teilnimmt, kann also auf einen großen Informationspool zugreifen, muss aber auch eigene Erkenntnisse an den Pool zurückspielen. Im Grunde eine feine Sache. Wenn Google nun einige, vor allem junge und hochbewertete IT-Sicherheitsanbieter aussperrt, steigt in den Augen von einigen Experten die allgemeine Bedrohungslage, weil es so mehr potenzielle Einfallstore für Angreifer geben wird.
Etablierten Herstellern, die mit hohem personellen und finanziellen Aufwand eigene Forschung betreiben, sind natürlich diejenigen, die selbst nichts zu diesem gigantischen Informationspool beisteuern, ein Dorn im Auge. Schließlich profitieren sie von den Investitionen der anderen Anbieter und vermarkten und verwerten diese Informationen in den eigenen Produkten – unter Umständen mit höherem Profit.
Unter Berufung auf informierte Quellen berichtet die Nachrichtenagentur Reuters, dass Cylance, Palo Alto Networks und CrowdStrike sowie weitere kleinere Anbieter von so genannten NexGen-Sicherheiterheitslösungen zu denjenigen gehören, die nicht mehr an dem Austauschprogramm teilnehmen dürfen, weil sie angeblich selbst keinen Beitrag zu dieser Datenbank leisten.
Nun wird von verschiedenen Seiten befürchtet, dass die Lösungen dieser Unternehmen durchlässiger für Schädlinge werden oder auch die Rate von Fehlalarmen zunehmen wird. So erklärt etwa Andreas Marx, Leiter des deutschen Testlabors AV-Test, gegenüber Reuters, dass Produkte von Firmen ohne Zugriff auf VirusTotal eine geringere Erkennungsrate aufweisen würden.
Für Unternehmen, die sich ausschließlich auf diese Datenbank verlassen, ist ein Ausschluss natürlich eine denkbar schlechte Nachricht. Tatsächlich soll es aber am Markt solche Anbieter geben.
Cylance erklärt, VirusTotal bereits seit einigen Wochen nicht mehr zu nutzen. Palo Alto Networks erklärt gegenüber silicon.de schriftlich: „Wir nutzen nicht die Resultate von VirusTotal um zu bestimmen, ob eine Datei bösartig oder harmlos ist. Die Änderung der Grundsätze von VirusTotal wird sich deshalb nicht auf das Level an Schutz vor Cyberbedrohungen auswirken, das wir unseren Kunden bieten.“
Offiziell gibt es keine Informationen darüber, welche Unternehmen nun vom Rauswurf betroffen sind. Es lässt sich aber andererseits nachvollziehen, welche Anbieter noch an dem Programm teilnehmen. So stellen die folgenden 58 Unternehmen nach wie vor ihre Scan-Engines in dem Pool zur Verfügung: ALYac, AVG, AVware, Ad-Aware, AegisLab, AhnLab-V3, Alibaba, Antiy-AVL, Arcabit, Avast, Avira, Baidu, Baidu International, BitDefender, Bkav, CAT-QuickHeal, CMC, ClamAV, Comodo, Cyren, DrWeb, ESET-NOD32, Emsisoft, F-Prot, F-Secure, Fortinet, GData, Ikarus, Jiangmin, K7AntiVirus, K7GW, Kaspersky, Kingsoft, Malwarebytes, McAfee, McAfee-GW-Edition, eScan, Microsoft, NANO-Antivirus, Panda, Qihoo-360, Rising, SUPERAntiSpyware, Sophos, Symantec, Tencent, TheHacker, TrendMicro, TrendMicro-HouseCall, VBA32, VIPRE, ViRobot, Yandex, Zillya, Zoner, nProtect.
„Wir teilen unsere Scanning-Engine mit Virus Total und wir nutzen diese Datenbank, um unsere Fähigkeiten, Schädlinge zu entdecken, zu komplettieren“, erklärt Jiri Sejtko, Director of Viruslab Operations bei Avast, gegenüber silicon.de. „Wir glauben, das ist ein faires Modell, solange jeder nimmt und gibt.“
Für Avast ist das Google-Portal durchaus wichtig, wie Sejtko erklärt. Neben weiteren Informationen zu Schädlingen biete VirusTotal auch für die Avast-Nutzer wichtige Funktionen, weil diese darüber Dateien oder URLs hochladen können um zu prüfen, ob diese einen Schädling enthalten oder nicht. Dieser Service ist für alle Nutzer kostenlos. Auch als Quelle von Meta-Daten über Schädlinge biete die Datenbank klare Vorteile, so Sejtko.
Ähnlich sieht das auch Bitdefender. Das Unternehmen teilt mit: „Die Zusammenarbeit mit VirusTotal ist extrem wichtig in dieser Branche, da wir somit qualitativ hochwertige Musterbeispiele sowie Informationen zu Bedrohungen kostenfrei teilen können.“
Raimund Genes, Chief Technology Officer bei Trend Micro, nennt einen weiteren wichtigen Aspekt des gemeinsamen Info-Pools: „Antivieren-Anbieter finden zwar möglicherweise den gleichen Schädling, doch bei jedem Hersteller bekommt die Malware einen neuen Namen. Daher nutzen wir VirusTotal auch als Cross-Mapping, so dass alle AV-Produkte und Hersteller die Schädlinge benennen können.“ Laut Genes habe es in der Branche bereits Bemühungen gegeben, eine einheitliche Namensgebung zu etablieren, aber angesichts der schieren Menge von Malware, die täglich in neuen Varianten auftritt, sei das nicht praktikabel. VirusTotal diene daher auch als eine Art DNS-Server für die Sicherheitsindustrie.
Aber ziehen die strengeren Teilnahmebedingungen bei VirusTotal eine höhere Bedrohungslage im Internet nach sich? Die Antwort von Avast ist ein klares „Nein“. „Ich glaube, das Gegenteil ist der Fall“, kommentiert Sejtko. Jedes Sicherheits-Produkt, das sich alleine auf VirusTotal verlässt, das hauptsächlich Offline-Multiengine-Scanner nutzt, basiert ohnehin auf einem fragwürdigem Konzept.“ Sejtko begründet das damit, dass somit die Wahrscheinlichkeit von False Positives steige.
Auch sei ein derartiges Sicherheitskonzept besonders bei frischer Malware sehr schwach, weil die AV-Scanner, die von VirusTotal genutzt werden, einer gewissen Verzögerung unterliegen oder die Signaturen würden nicht angezeigt, weil sie entweder alt oder verhaltensbasiert sind. „Der Scanner, den wir für VirusTotal zur Verfügung stellen ist statisch, das bedeutet, dass er auch nicht sämtliche Schutz-Layer bietet, die wir unseren Kunden zur Verfügung stellen.“ Laut Sejtko würden so oder ähnlich auch andere Hersteller verfahren.
Trend-Micro-CTO Genes kommentiert das Ganze etwas süffisant: „Unternehmen, die angeblich Pattern-less – also nicht Signatur-basiert – arbeiten und das als Unique Selling Point anpreisen, sollten ja auch keine Auswirkungen zu spüren bekommen.“ Wenn diese Lösungen, die in der Kritik stehen, die VirusTotal-Lösungen ohne Gegenleistung zu nutzen, dennoch mit diesen Signaturen arbeiten, könne auch Genes nicht abstreiten, dass die Erkennungsrate dieser Lösungen vermutlich nach unten gehen wird. Allerdings, so der Trend-Micr- Manager weiter, müssten diese Unternehmen eben auch in die Erkennung von Schädlingen investieren. Somit würde langfristig das Sicherheitsniveau sogar davon profitieren.
Genes stellt aber auch klar, dass es nicht darum gehe, irgendjemanden auszusperren. „Wichtig für eine echte Partnerschaft ist, dass jeder, der mitmacht, sowohl nimmt als auch gibt“, kommentiert Genes in einem Blog.
Auch bei Bitdefender fürchtet man keine deutliche Verschlechterung der Sicherheitslage: „Dieser Dienst hatte schon immer Nutzungsbedingungen– und richtlinien. Sinn und Zweck war es stets, Unternehmen zu helfen, Erkennungsalgorithmen und Erkennungsraten zu verbessern, und nicht als Erkennungstool für verschiedenen Unternehmen eingesetzt zu werden.“
„Jeder Antiviren-Hersteller kann sich VirusTotal anschließen und Zugriff auf VirusTotal-Informationen bekommen. Wer Zugriff auf die API haben will, muss lediglich seine Scanning-Engine an VirusTotal und den Testern bereitstellen, um einen gewissen Qualitätsgrad zu garantieren“, ergänzt Sejtko von Avast. „Und das ist genau ein Schritt in die richtige Richtung.“
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
