Avira Scout: Planung und Taktik (Teil 2)

Unser Ziel ist es, einen einfach anzuwendenden und sicheren Browser zu entwickeln, der nicht gegen Datenschutzrichtlinien verstößt. Dazu werden wir die folgenden fortschrittlichen Methoden anwenden:

Unsere Cloud-Datenbanken

Das Hinzufügen von Cloud-Funktionen zur Dateiprüfung war ein großer Erfolg. Die Qualität der Erkennung von schädlichen Dateien stieg drastisch an. Kurz gesagt:

Auf dem Client findet eine Vorauswahl nach Art einer Verhaltenserkennung statt. Wenn eine Datei verdächtig ist, wird beim Cloud-Server angefragt, ob die Datei bereits bekannt ist.

Falls sie unbekannt ist:

  • Wird ein Upload angefordert.
  • Die Datei wird auf den Server hochgeladen.
  • Dort haben wir mehrere verschiedene Erkennungsmodule, die nicht auf Kunden-PCs eingesetzt werden können (eine KI mit einer großen Datenbank, Sandboxes zur Verhaltenseinstufung usw.). Die Module prüfen die Datei und stufen sie ein.
  • Die Datenbank wird aktualisiert.
  • Die Ergebnisse werden zurückgesendet, Sie sind geschützt.

Wir haben unglaublich große Datenbanken erstellt, die schädliche Dateien der letzten Jahre abdecken. Etwas Ähnliches sollten wir auch für den Browser haben und unsere große Wissensdatenbank und die serverseitigen Klassifizierungstools auch für Web-Gefahren nutzen.

Der Vorgang sollte ungefähr so aussehen:

  • Der Browser erkennt etwas Verdächtiges („Verhaltenserkennung“) – dies ist die so genannte Vorauswahl.
  • Er fragt bei der Backend-Datenbank an, ob das Verhalten bereits bekannt ist.
  • Wenn nicht, werden die relevanten Daten (URL, Datei, …) zur Überprüfung hochgeladen.
  • Unser serverbasiertes Tool (und unsere Analysten) stufen dann den Upload ein und aktualisieren unsere Datenbanken.
  • Das Ergebnis wird direkt zurückgesendet (innerhalb von Millisekunden. Ja, die Tools sind tatsächlich so schnell. Unsere Analysten müssen wir vielleicht noch optimieren…).
  • Sie sind geschützt.
  • Wir erweitern unsere Karte mit den „bösen Bereichen des Internets“.

Dazu müssen wir das Signal-Rausch-Verhältnis (signal-to-noise ratio) verbessern. Wir sind nur an schädlichen Webseiten interessiert. Wenn die Vorauswahl im Browser zu aggressiv ist und unschädliche Seiten an uns gesendet werden, ist dies eine Verschwendung von CPU-Zyklen und Bandbreite. Da wir Millionen Anwender als Faktor einbeziehen müssen, werden selbst kleine Fehler teuer und ärgerlich für alle Beteiligten.

Vertrauliche Daten werden von uns entfernt, bevor wir Informationen senden (Wir sind nicht an Benutzerdaten interessiert. Wir spionieren nur Malware aus). Tatsächlich sind personenbezogene Daten giftig für uns. Server werden gehackt, Datenbanken gestohlen, Unternehmen zum Schweigen gebracht. Wenn wir diese Art von Daten nicht auf unseren Servern haben, schützt uns das ebenso sehr wie Sie. Manche Webseiten haben sogar Benutzernamen in der URL – unfassbar! Ich glaube nicht, dass wir diese Datenspuren automatisch erkennen und entfernen können. Aber vielleicht könnten wir die Webseiten öffentlich dazu bringen, solche Probleme selbst zu beheben. Das wäre zu überlegen.

Die Abschnitte im Quellcode, die Daten erfassen und sie zum Versenden vorbereiten, sind Open Source. Und deshalb bitte ich hier, uns NICHT zu vertrauen und den Open Source Code zu überprüfen!

Ich hoffe, wir finden eine einfache Lösung, um die Daten anzuzeigen, die uns gesendet werden, bevor dies tatsächlich geschieht. Das einzige Problem ist, dass das Anzeigen dieser Daten negative Auswirkungen auf Ihr Surferlebnis haben könnte. Dann bekommen Sie einen störenden Dialog angezeigt, während Sie eigentlich erwarten, dass eine Webseite lädt …

Eine Möglichkeit könnte sein, eine globale Konfiguration anzubieten, um zumindest Cloud-Aufforderungen auszuschalten (immer, nur im anonymen Modus, niemals) und Ihnen in Protokollen zu zeigen, was gesendet wurde.

Werbung

Wir verkaufen Bibliotheken und Datenbanken, die schädliche Dateien und Webseiten abdecken.

Wollen Sie Ihr eigenes Antivirenprogramm? Oder Schutztechnologie in Ihrem Tetris-Spiel, um es einzigartig zu machen? Kontaktieren Sie unsere Abteilung „System Integration“ und schließen Sie den Deal ab.

Um Malware zu identifizieren, haben andere Unternehmen Tausende von Webcrawlern, die Benutzerverhalten simulieren.

Wir nutzen einfach die Millionen von Avira Anwendern als Kundschafter und Tester.

Branding

Wir brauchen richtiges Branding. Das würde Avira spezifische Änderungen im Browser einbeziehen (Namen, Logos, andere Texte). Aber auch Links. Das ist nicht nur für die Markenwahrnehmung relevant, sondern auch, damit unsere Browser-Anwender unseren Support für Chromium nicht mit dem von Google Chrome verwechseln („Welche Chrome-Version haben Sie denn?“ … hört zu … „Das haben wir nie veröffentlicht, klicken Sie bitte mal auf ‚Mehr Infos‘ und sagen Sie mir die Versionsnummer.“ … hört zu … „Was zum?!?“ => Verwirrung). Nach einem solchen Gespräch werden unsere Anwender dann an unseren Support weitergeleitet, der TATSÄCHLICH helfen kann.

Härtung

Wir werden den Build-Prozess stetig verbessern. Es gibt Compilerschalter für Feature wie Position Independent Executable (PIE), Fortify Source usw., die wir zur Kompilation aktivieren sollten (viele sind bereits aktiviert). Die meiste Zeit werden wir allerdings darauf verwenden sicherzustellen, dass sie nicht aus Versehen deaktiviert werden, auf allen Plattformen aktiviert sind und den Browser nicht verlangsamen. Diese Aufgabe kann einfach starten und dann ganz plötzlich unangenehme Nebenwirkungen entwickeln. Darum müssen wir TestenTestenTesten.

TestenTestenTesten

Google hat die Hotwords-Funktion zu Chromium und Chrome hinzugefügt. Eine nette Funktion. Aber sie schaltet auch das Mikrofon ein und „spioniert“ den Anwender aus (eine praktische Funktion, die viele Anwender wollen). So etwas ist natürlich bei unserem sicheren Browser, der nicht die Privatsphäre unserer Anwender verletzt, ein Ding der Unmöglichkeit. Darum müssen wir sichergehen, dass keine „Überraschung !!!“- Erweiterungen standardmäßig installiert werden. Das ist eine weitere Aufgabe für unsere Tester, die Verifizierungsvorgänge zu unserem Browser hinzufügen, um unsere spezifischen Bedürfnisse zu handhaben. Beachten Sie bitte: Chrome und Chromium haben bereits sehr gute Unit-Tests und andere automatisierte Testfälle. Wir brauchen etwas Extra-Paranoia. Das ist Aufgabe für die Tester in unserem Team.

Mehr Transparenz

In weiteren Blog-Postings werden wir auf all die Funktionen eingehen. Die Angriffe, die sie blockieren, ihre Schwächen, was wir unternommen haben und unternehmen werden, um sie zu verbessern. Wir werden Sie auf unserem Weg mitnehmen. Sie kommen so weit mit, wie Sie sich trauen.

TL;DR:
Es gibt noch so viel mehr, was wir tun können, um den Browser zu verbessern, ohne dabei den Kern zu berühren.

Aber wir haben das Ende dieses einen Weges erreicht.

Thorsten Sick

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

I use science to protect people. My name is Thorsten Sick and I do research projects at Avira. My last project was the ITES project where I experimented with Sandboxes, Sensors and Virtual Machines. Currently I am one of the developers of the new Avira Browser