211service.com
Multi-Engine-Chaos von Antivirus
Als Immunet Anfang dieser Woche sein neues Produkt namens Immunet Protect ankündigte, bestand ein wesentlicher Vorteil darin, dass die Protect-Metaengine die Bedrohungswarnungen dieser Produkte verwenden könnte, um zu informieren, wenn eine Gruppe von Benutzern eine Sammlung verschiedener Antivirensoftware ausführte seine eigene Bevölkerung.
Immunet Protect bietet Schutz, indem es die gesammelte Erfahrung der von Ihnen bereits eingesetzten Sicherheitsprodukte sowie das Wissen über die Anwendungen nutzt, die bei der gesamten Benutzerpopulation von Immunet, dem Unternehmen, installiert sind heißt es in seiner Pressemitteilung auf die Technik. Immunet Protect sammelt Sicherheitsurteile darüber, was vor seiner Community sicher ist und was nicht. Diese aggregierten Urteile werden in der Cloud zusammengefasst und, wenn sie stichhaltig sind, sofort dem Rest der Immunet-Community zur Verfügung gestellt.
Bis Mittwoch hatte das Unternehmen jedoch beschlossen, dieses Attribut nicht in das Programm aufzunehmen.
Eines der umstrittensten [Attribute] war, ob eine Datei von einem anderen [Antivirus]-Produkt erkannt werden [könnte], schrieb Oliver Friedrichs, CEO von Immunet, am Donnerstag in einer E-Mail. Nach Abwägung der Auswirkungen haben wir uns entschieden, dies in Zukunft nicht zu tun.
Die Idee stellte ein Problem dar, da Unternehmen, die die Ergebnisse mehrerer Antiviren-Engines zum Schutz ihrer Benutzer verwenden möchten, normalerweise die Engines lizenzieren müssen. Die Verwendung der Ergebnisse des Scans einer anderen Antiviren-Engine auf dem Computer eines Benutzers könnte als Urheberrechtsverletzung von Antiviren-Datenbanken angesehen werden.
Teilweise schaut die Branche aber offenbar auch weg. Antivirus-Firmen tauschen häufig die Bedrohungen aus, die sie identifiziert haben, um die allgemeine Bevölkerung vor Massenausbrüchen zu schützen, sagt Pedro Bustamante, leitender Forschungsberater bei Panda Security. Darüber hinaus verwenden viele Antivirenfirmen Computer, auf denen die Antivirensoftware der Konkurrenten ausgeführt wird, um als Kanarienvogel zu fungieren und Bedrohungen zu erkennen, die die Firmen möglicherweise übersehen haben. Dann nehmen die Analysten des Unternehmens einen Teil der Datei heraus, um zu sehen, ob sie tatsächlich bösartig ist.
Es ist das schmutzige kleine Geheimnis der Branche, sagt Bustamante. Wir alle tun das Gleiche, wenn es darum geht, Produkte von Wettbewerbern zu verwenden, um unseren Produkten Erkennungen hinzuzufügen. Wenn eine Gruppe eine Bedrohung sieht, werden andere Personen die Erkennung schnell hinzufügen.
Das macht nur Sinn.
In einer Forschungsarbeit veröffentlicht von drei Forschern der University of Michigan , 10 gängige Antivirenprogramme wurden gegen eine Sammlung von Schadcode getestet. Selbst die beste Antiviren-Engine konnte zunächst nur drei Viertel des neu gepackten Schadcodes erkennen. Es dauerte drei Monate, bis die beste Antiviren-Engine 90 Prozent der gefährlichen Software erkannte.
Wo ein Motor ausfällt, können mehrere Motoren erfolgreich sein, sagt Jon Oberheide, Doktorand an der University of Michigan und Hauptautor des Papiers.

Das Scannen potenzieller bösartiger Software mit zwei oder mehr Engines verbessert die Genauigkeit erheblich. (Quelle: Oberheide et al.)
Die Kombination der Intelligenz mehrerer Antiviren-Engines kann zu erheblichen Verbesserungen bei der Erkennungsabdeckung globaler Malware führen, sagt er.
In dem Papier stellten Oberheide und seine Kollegen fest, dass jede einzelne Engine 40 bis 80 Prozent der Viren in der ersten Woche erkennt – die Verwendung von mehr als einer Antiviren-Engine zum Scannen desselben Programms erhöht die Erkennungsrate auf 75 bis 95 Prozent in der ersten Woche . Die Forscher der University of Michigan nennen die Technik n-Versionsschutz.
Während die Technik Unternehmen dabei helfen könnte, Bedrohungen schneller zu erkennen, wäre die Lizenzierung von drei oder vier Engines pro Benutzer unerschwinglich. Die automatisierte Erkennung auf Basis mehrerer Antiviren-Scanner scheint also vorerst eine Sackgasse zu sein.