Sophos: virusscanner nu veiliger dan concurrentie
De virusscanner van het Britse anti-virusbedrijf Sophos is nu veiliger dan veel concurrerende anti-virusprogramma's, zo laat het bedrijf tegenover Security.nl weten. Onlangs publiceerde beveiligingsonderzoeker en Google-medewerker Tavis Ormandy een vernietigend rapport over de werking van Sophos Antivirus. Ormandy ontdekte verschillende ernstige beveiligingsproblemen waardoor kwaadwillenden kwetsbare systemen konden overnemen.
Aanval
De problemen deden zich voor bij het scannen van bepaalde bestandstypen, zoals .PDF. Een aanvaller zou een e-mail met een PDF-bijlage kunnen sturen, die automatisch wordt gescand en de aanvaller zodoende volledige controle over het systeem geeft. Ormandy publiceerde in zijn rapport een werkende exploit, die inmiddels ook in 'webversie' is vertaald, zoals onderstaande video van Eric Romang laat zien.
Daardoor is het bezoeken van een website voldoende om gehackt te worden. Inmiddels heeft Sophos voor Mac-gebruikers een update uitgebracht, te herkennen aan het versienummer 8.0.8c. Deze update verhelpt dat aanvallers code op het systeem kunnen uitvoeren. Later deze maand volgt er nog een update die problemen verhelpt waardoor een aanvaller de virusscanner kan uitschakelen.
Ontwikkeling
De vraag blijft hoe één iemand dit soort ernstige problemen in zulke belangrijke software kon ontdekken. "Als iemand geconcentreerd genoeg is om beveiligingslekken te vinden, dan is het mogelijk om ze in elk product te vinden", zegt Gerhard Eschelbeck, CTO van Sophos, tegenover Security.nl.
"Dit is een uitdaging voor de software-industrie. Zelfs grote leveranciers zoals Microsoft, met al hun middelen, hebben met deze uitdagingen te maken. Daardoor brengen ze nog steeds maandelijks beveiligingsupdates uit." Eschelbeck stelt dat ook Sophos een maandelijkse update-routine hanteert.
Programmeren
De virusbestrijder dankt Ormandy voor de samenwerking. "Daardoor is de lat van onze software behoorlijk hoger komen te liggen. Als gevolg daarvan denken we dat ons product nu veiliger is dan van veel van onze concurrenten." Ondanks de kritiek van Ormandy op de virusscanner, zou Sophos wel richtlijnen voor veilig programmeren volgen en over een Security Development Lifecycle beschikken.
Eschelbeck merkt op dat de meeste problemen werden veroorzaakt door de manier waarop de virusscanner met bestanden omgaat. "Dit is één van de meest complexe gebieden voor beveiligingsbedrijven en iemand die met dezelfde striktheid hiernaar kijkt, zou ook bij veel andere producten en technologieën soortgelijke problemen ontdekken."
De PR-afdeling van Sophos is nu wel heel erg positief. Er is een gigantische exploit gepatched. Het lijkt me sterk dat in die paar dagen tijd de volledige broncode al is doorgenomen. Los daarvan is het wel erg dapper om na dit fiasco met droge ogen te verklaren het "ons product nu veiliger is dan de concurrentie".
Natuurlijk had dit ook een andere AV vendor kunnen overkomen. Sophos valt in die zin alleen te verwijten dat er blijkbaar niet voldoende auditing op de eigen software is gedaan. Toch gaat deze PR-statement wel erg ver.
Kennelijk hangt de "IT security industrie" toch wel erg van perceptie aanelkaar.
Da's de quote van de dag voor mij; dat komt op mij over alsof heel het R&D team van Sophos dus niet in staat om zich beter te concentreren op het eigen product dan een enkele onderzoeker in dienst van Google...
LOL
Dus ga zo door, Tavis!
Als je denkt dat er in anti-virus producten geen lekken zitten, terwijl die producten enorm veel bestandsformaten ondersteunen, dan ben je geen echte beveiligingsexpert. Technisch gezien heeft Sophos gelijk door te stellen dat ze nu minder lekken hebben.
Wat wel had kunnen gebeuren is dat bedrijven hun producten laten doorlichten. Niet om een papieren certicatie, maar om lekken te vinden. Daar heb je dus specialisten zoals Ormandy voor nodig. Iemand met doorzettingsvermogen. Blijkbaar kan een wraakoefening ook een gunstige kant hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.