Onderzoeker kraakt virusscanner Sophos
Beveiligingsonderzoeker Tavis Ormandy heeft de virusscanner van het Britse Sophos uit elkaar gehaald en ontdekt dat de beveiliging van het product ernstig tekort schiet. Tijdens zijn presentatie op de Black Hat conferentie haalde Ormandy, tevens werknemer van Google, uit naar de anti-virusbedrijven die vinden dat ze niet gecontroleerd moeten worden, omdat dit cybercriminelen zou kunnen helpen.
Ormandy is het hier niet mee eens. Hij stelt dat het Kerckhoffs principe niet alleen voor cryptografische systemen geldt, maar voor alle beveiligingssystemen. Het principe stelt dat als alles over een systeem bekend is, het nog steeds veilig hoort te zijn. "Als onderzoek naar een beveiligingsproduct het verzwakt, dan is het product niet goed", aldus de onderzoeker.
Ook zou deze geheimzinnigheid alle prikkels om het product te innoveren tegengaan, waardoor men aan oude ideeën en principes blijft vasthouden. Tijdens zijn onderzoek ontdekte Ormandy dat de anti-virus signatures automatisch worden gegenereerd, ook al wordt er vaak gezegd dat virus-experts die nog controleren. Tevens bevatten ze allerlei irrelevante data.
Encryptie
Eén van de beveiligingsmaatregelen in de Sophos virusscanner zou gebruikers tegen buffer overflows moeten beschermen. De beveiliging werkt echter alleen op versies voor Windows Vista. Daarnaast zou één van de maatregelen eenvoudig door aanvallers zijn te omzeilen. Dat doet Ormandy concluderen dat de ontwikkelaar die dit onderdeel ontwikkelde, bepaalde aspecten niet goed heeft begrepen.
Verder wist Ormandy ook het zelf gemaakte 64-bit encryptiesysteem van Sophos te reverse engineeren. Hij ontdekte dat het systeem vereist dat de decryptie-sleutel in het bestand zelf aanwezig moet zijn, waardoor het geen echte encryptie is, maar eerder een extra obfuscatielaag om aanvallers te vertragen.
Belofte
"De belofte van anti-virus is dat de gebruikers minder afhankelijk zijn om een goede vertrouwensbeslissing te maken. Hoewel dit zeker wenselijk is, is Sophos onvoldoende toegerust om deze belofte met hun huidige technologie waar te maken. De pseudo-wetenschappelijke terminologie die Sophos gebruikt om hun software te promoten maskeert elementaire patroonherkenningstechnieken", aldus Ormandy.
Hij geeft de Britse virusbestrijder een pluim omdat het probeert exploit-aanvallen te voorkomen, maar concludeert dat het bedrijf het onderwerp niet begrijpt, wat tot een ongeschikt product leidt dat door bestaande oplossingen ver wordt voorbijgestreefd.
Anti-virus signatures hoeven geen relevante data te bevatten, althans dat hoeft niet relevant te zijn voor de werking van de malware, waar het om gaat is herkenning (detectie) en voorkomen van false positives.
Encryptie, of beter encoding, wordt doorgaans gebruikt om te voorkomen dat signature bestanden worden herkend als malware door andere software. De eis is alleen dan dat anderen niet dezelfde encoding gebruiken.
Wat betreft het gebruik van checksums: Het is logisch dat detectie checksums zo kort mogelijk worden gehouden omdat er nogal wat nodig zijn. Korte checksum nemen veel minder plaats in beslag.
Sophos gebruikte voorheen korte 16bit checksums en dat kan in de praktijk inderdaad leiden tot false positives. De angst voor checksum aanvallen is echter ongegrond, behalve wanneer korte checksums als whitelist gebruikt zouden worden. Alleen dan heb je sterke encryptie nodig. Sophos doet dat dan ook.
Verder denkt de schrijver van het artikel dat anti-virus vooraf met alles rekening zou moet houden, maar dat is nog een misvatting. Als je dat zou doen, is de performance van anti-virus enorm slecht. Je hoeft alleen rekening te houden met daadwerkelijke malware. Een update kan immers zo worden gemaakt.
Wat het een beetje verdacht maakt is dat Tavis een flink conflict heeft gehad met Graham Cluley van Sophos. Graham heeft stevige kritiek gehad op Tavis over het publiceren van een werkende exploit voor Internet Explorer zonder dat hij Microsoft de tijd had gegeven het lek op te lossen (5 dagen):
http://nakedsecurity.sophos.com/2010/06/15/tavis-ormandy-pleased-website-exploits-microsoft-zeroday/
http://nakedsecurity.sophos.com/2010/07/14/patch-tavis-day/
Handig, als een hacker op zoek is naar wachtwoorden om zo je systeem binnen te komen...
Dat is zo ongeveer het stomste wat ik in tijden heb gehoord..
Die firewall ken ik niet, maar ik ben wel nieuwsgierig. Is het een commercieel pakket? Voor thuis, MKB of Enterprise gebruik?
Handig, als een hacker op zoek is naar wachtwoorden om zo je systeem binnen te komen...
En het nut van deze non info is?
Hij snapt wel dat security-by-obscurity niet werkt.
Encryptie, of beter encoding, wordt doorgaans gebruikt om te voorkomen dat signature bestanden worden herkend als malware door andere software. De eis is alleen dan dat anderen niet dezelfde encoding gebruiken.
Maar het is ook wel handig voor virusschrijvers als ze de signatures kunnen controleren. Dan hoeven ze alleen maar een nieuwe versie uit te brengen als de signature van hun virus is gedetecteerd. En bij virussen die zich (automatisch) aanpassen is het ook wel handig als de virusschrijver ervoor kan zorgen dat de aanpassing zo is dat hij niet opnieuw (snel) wordt gedetecteerd.
Hee, ik zou als virusschrijver een extra programmatje schrijven dat bij het downloaden van de virussignatures even kijkt welke eigen signatures er in staan en op grond daarvan het virus aanpassen. Of zelfs het bestand met de signatures aanpassen. Nu je weet hoe Sophos de boelt versleuteld, kun je je eigen signatures eruit halen en het bestand nog steeds legitiem laten lijken.
[/quote]Wat betreft het gebruik van checksums: Het is logisch dat detectie checksums zo kort mogelijk worden gehouden omdat er nogal wat nodig zijn. Korte checksum nemen veel minder plaats in beslag.
Sophos gebruikte voorheen korte 16bit checksums en dat kan in de praktijk inderdaad leiden tot false positives. De angst voor checksum aanvallen is echter ongegrond, behalve wanneer korte checksums als whitelist gebruikt zouden worden. Alleen dan heb je sterke encryptie nodig. Sophos doet dat dan ook.[/quote]
Ik snap dan niet waarom ze die serke encryptie (wie beweert dat trouwens?) niet ook voor de blacklist gebruiken.
Bij anti-virus software is het altijd een afweging tussen nieuwe malware detecteren en een hoge score halen bij anti-virus testen, die vaak oude malware gebruiken. Er is trouwens niet iets als oude malware. Malware van 10 jaar geleden waart nog steeds rond. Als anti-virus software die niet meer detecteert, gaat die weer groeien.
Peter
Norton antivirus heeft de zogenaamde pulse updates bijvoorbeeld. Dat wil zeggen dat er iedere 5 tot 15 minuten kleine updates uitkomen. Dit gaat 24 uur per dag 7 dagen per week door.
In mijn ogen maken ze of gebruik van mensen aan de lopende band die in een soort van ploegen dienst werken, of ze hebben een automatisch genereersysteem. Kies zelf maar!
Je maakt dezelfde fout als Ormandy. De "encryptie" dient geen doel om iets geheim te houden.
De Sophos signatures op zichzelf zijn niet van nut. Want waarom moeilijk doen als het makkelijk kan? Malware schrijvers kunnen gewoon door Sophos te gebruiken zien of hun creaties worden gedetecteerd. (Dat is ook de oorzaak van de populariteitsparadox: hoe populairder het anti-virus, hoe meer kans dat die de malware niet tevoren herkent.)
Verder denk je blijkbaar dat de signatures strings zijn. Dat is niet zo, het zijn checksums. Je kunt niet direct een relatie leggen tussen checksums en bytes in een bestand.
In mijn ogen maken ze of gebruik van mensen aan de lopende band die in een soort van ploegen dienst werken, of ze hebben een automatisch genereersysteem. Kies zelf maar!
http://nakedsecurity.sophos.com/2011/08/05/tavis-ormandy-and-sophos/
Bovenstaand de reactie van Graham Clueley van Sophos.
Hij heeft de beperking dat hij niet zo technisch kan worden als Ormandy en ook niet wil uitleggen hoe anti-virus werkt, en vervalt in de gebruikelijke PR blabla, maar deze keer heeft hij onderliggend wel gelijk over "encryptie" in signatures.
http://anti-virus-rants.blogspot.com/2011/08/tavis-ormandys-sophail-presentation.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.