DE-Cleaner verunsichert Anwender mit Fehlalarmen [Update]

Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Zusammenarbeit mit dem eco-Verband über die "Computer Bild" ("Die Deutsche Anti-Bot-CD") verteilte und zum kostenlosen Download angebotene DE-Cleaner neigt offenbar zu häufigen Fehlalarmen. Der auf Symantecs Norton Power Eraser beruhende Scanner bewertet zahlreiche harmlose Programme zunächst fälschlicherweise als verdächtig oder sogar als bösartig.

Eine Ursache des Problems ist, dass der erste Scan auf einer Schnellprüfung beruht, bei der Symantecs Tool zunächst heuristisch, also ohne Virensignaturen, Dateien untersucht und anschließend den "Norton Community"-Reputationsserver nach einer Einschätzung zu einer Datei befragt. Gibt es nur wenige Bewertungen dazu und lieferte schon die Heuristik eine schlechte Einstufung, gilt ein Programm als verdächtig oder bösartig.

Zwar lässt sich mit einem weiteren Scan die Datei auf Symantecs Servern genauer untersuchen, wobei sich das "Missverständnis" meist aufklärt, allerdings kommen die meisten Anwender gar nicht so weit. Stattdessen beschweren sie sich unter Umständen beim Hersteller des bemängelten Programms, was sie denn da untergeschoben bekommen hätten.

Der eco-Verband bestätigte gegenüber heise Security die Fehlalarme: "Das Problem mit False Positives, die der DE-Cleaner meldet, ist uns bekannt und wir arbeiten intensiv an einer Lösung. Symantec bietet bis dahin Herstellern, deren Produkte oder Dateien vom DE-Cleaner falsch eingestuft werden, die Möglichkeit, das Produkt auf eine Whitelist setzen zu lassen. Dazu sollte für jede ausführbare Datei das Formular unter https://submit.symantec.com/false_positive/insight/ ausgefüllt werden", so Katrin Mallener, Pressesprecherin des Verbands der deutschen Internetwirtschaft eco.

Das Whitelisting soll sicherstellen, dass die betroffene Software immer als gutartig eingestuft wird. Wichtig sei, dass das Formular für jede ausführbare Datei einmalig vollständig ausgefüllt wird, insbesondere einschließlich der SHA1-Prüfsumme. Allerdings gilt das Whitelisting aufgrund der Verknüpfung mit dem Hash nur für eine spezifische Produktversion. Sobald sich etwas an der Datei ändere, müsse das Formular erneut für diese Version ausgefüllt werden. Mallener schlägt vor: "Eine einfachere alternative Lösung wäre, die Software mit einer digitalen Signatur zu versehen. Auch das würde die fälschliche Erkennung vermeiden."

Beide Schritte sind jedoch mit Aufwand und Kosten verbunden. Nach Angaben des Herstellers der CAD-Software für Leiterplatten Target 3001, der von dem Problem betroffen ist, würde dies aufgrund der verschiedenen Versionen und Sprachunterstützungen das Anlegen von mehr als 20 Einträgen in der Whitelist erfordern. Aufgrund der häufigen Updates sei dies manuell nicht machbar. Skripten lässt sich der Vorgang auch nicht, da ein Captcha das automatische Eintragen verhindere. Ein Code-Signing-Zertifikat zum Signieren der Programme kostet bei Verisign etwa 500 Euro. Microsoft bietet allerdings für kurze Zeit ein Programm an, bei dem man bereits für 100 Euro ein Zertifikat kaufen kann.

So oder so führen die vorgeschlagenen Schritte aber quasi zu einer Beweislastumkehr: Hersteller werden auf diese Weise gezwungen, ihre Unschuld zu beweisen. Derzeit können sie nur hoffen, dass Anwender die Meldungen des DE-Cleaner richtig einschätzen können. Also: Im Zweifel den ersten Aussagen des Tools keinen Glauben schenken und den zusätzlichen Scan (Remote Scan) durchführen. [Update]eco weist darauf hin, dass in der Bedienungsanleitung beschrieben ist, dass der "Remote Scan" in jedem Verdachtsfall durchzuführen ist – aber wer liest schon Bedienungsanleitungen?[/Update] (dab)