Hacker-Wettbewerb stellt Antiviren-Software bloß

Mit dem Wettbewerb ‘The Race to Zero’ wollen die Veranstalter Signatur-basierten Lösungen den Garaus machen, um zu zeigen, dass diese Technologie bereits überholt ist.

Auf schnellstmöglichem Weg bekannte Viren so zu modifizieren, dass sie an der Signatur-Erkennung von Virenscannern vorbeigeschleust werden können – das ist das Ziel beim Wettbewerb ‘The Race to Zero‘. Er wird auf der im August in Las Vegas stattfindenden Hacker-Konferenz DEF CON 16 ausgetragen. Die Veranstalter wollen mit dem Wettbewerb unter anderem aufzeigen, wie leicht und schnell Signatur-basierte Antiviren-Lösungen umgangen werden können. “Signatur-basierte Virusbekämpfung ist tot”, so eine Kernaussage. Diese Erkenntnis ist für die Antiviren-Branche allerdings nicht mehr neu, proaktive Techniken sind bereits verbreitet.

Die Veranstalter wollen mit dem Wettbewerb Botschaften wie “Reverse Engineering und Code-Analyse machen Spaß” transportieren. In mehreren Runden immer komplexer werdender Aufgaben sollen die Teilnehmer Malware-Samples so verschleiern, dass sie von einer Reihe von Antiviren-Tools nicht mehr erkannt werden. Gewinner einer Runde ist dabei das Individuum oder Team, das als erstes alle Schutzlösungen austrickst. Neben einem Gesamtsieger sollen noch weitere Gewinner gekürt werden, etwa für besonders elegante Verschleierung oder den “schmutzigsten Hack”. Dabei wollen die Veranstalter auch aufzeigen, welche Antiviren-Lösungen bei dem Wettbewerb besonders schlechte Leistungen erbringen. “Der Vergleich der Qualität von unterschiedlicher Antivirus-Software bietet den Usern sicherlich Vorteile, dafür ist aber ein Hacker-Contest nicht zwingend notwendig”, kommentiert der Antivirenspezialist Martin Penzes von Sicontact.

Der Wettbewerb will den Beweis antreten, dass Signatur-basierte Erkennungsmethoden bei Antivirenlösungen nicht mehr ausreichen. “Diese Meinung vertritt auch ESET, deren Sicherheitsprodukte wir vertreiben. Die Zukunft der Virenerkennung ist die Heuristik”, meint Penzes. “Die Signaturen können nicht mehr bewältigen, was derzeit an Malware auftaucht”, bestätigt Guido Habicht, Geschäftsführer bei AV-Test. Diese Erkenntnis hat sich in der Branche bereits weitgehend durchgesetzt. “Noch gibt es einige wenige rein Signatur-basierte Systeme”, so Habicht. Alle großen Hersteller wie etwa Symantec oder Kaspersky würden in ihren Produkten aber bereits ‘Behavioral Detection’ nutzen, die unbekannte Malware durch ihr Verhalten als schädlich erkennt. Penzes betont, dass auch ESET proaktive Erkennungstechnologie nutzt. “Unter anderem wird ausführbarer Code in einer sicheren Emulationsumgebung analysiert, um auch ausgefeiltes böswilliges Verhalten zu erkennen und zu verhindern”, beschreibt er.

Die Veranstalter betonen, dass keine neuen Viren erschaffen werden. Auch sollen modifizierte Samples nicht “into the wild”, also ins World Wide Web, freigesetzt werden. Allerdings ist auch nicht vorgesehen, dass für die Mutation von Viren genutzte Techniken ohne Erlaubnis der Teilnehmer und Antiviren-Hersteller weitergegeben werden. “Race to Zeros Webseite verlinkt zu bekannten Virus-Exchange-Seiten und suggeriert, dass Interessenten ‘ihre Fähigkeiten verbessern’ sollen, indem sie mit Malware von diesen Seiten üben. Das Risiko, dass Amateure Fehler machen und bösartigen Code ‘into the wild’ freisetzen, ist beunruhigend hoch”, warnt allerdings Graham Cluley, Senior Technology Consultant bei Sophos, gegenüber dem britischen IT-Medium The Register.