VirusTotal fileert nu ook verdachte Flash-bestanden
De gratis online scantool VirusTotal heeft een nieuwe feature toegevoegd genaamd 'swfknife' waarmee het verdachte Flash-bestanden kan analyseren. De website gebruikt de 'engines' van zo'n 50 verschillende virusscanners en is zeer handig als 'second opinion' om te bepalen of bestanden ook besmet zijn.
Eind 2012 werd VirusTotal door Google overgenomen. Vandaag kondigen de ontwikkelaars een nieuwe feature aan die de dreiging van gevaarlijke Flash-bestanden tegen moet gaan. Doordat Adobe Flash Player op steeds meer computers aanwezig is, wordt het ook steeds vaker door aanvallers aangevallen.
Daarnaast wordt Flash Player ook gebruikt als 'springplank' om kwetsbaarheden in andere programma's uit te buiten. Zo werd onlangs nog een zero day-aanval op Internet Explorer ontdekt waarbij Flash Player werd gebruikt om de ASLR- en DEP-beveiliging van Windows te omzeilen. Tijdens de analyse van de bestanden die bij deze aanvallen werden gebruikt kwamen de ontwikkelaars van VirusTotal tot de conclusie dat ze geen tool hadden om Flash-bestanden te analyseren.
Analyse
Swfknife brengt hier verandering in. Gebruikers kunnen nu ook Flash-bestanden (SWF) uploaden, waarna de tool interessante eigenschappen weergeeft die mogelijk op een aanval duiden. Het gaat dan om de aanwezigheid van ActionScript, of het bestand eerst het besturingssysteem controleert voordat het zich laat uitvoeren, of er lange strings worden gebruikt en nog veel meer zaken die verdacht kunnen zijn.
Ook geeft de tool de iframe-patronen van verdachte URLs weer die het bestand mogelijk bevat. Hierdoor kunnen onderzoekers hun eigen analyse verbeteren en helpt het om campagnes van dezelfde groepen aanvallers in kaart te brengen.
Ik had er al eens bij stil gestaan maar dit werd concreet bevestigd toen ik een keer het privacy policy las van Dr. Web aangaande gebruik van haar producten of met name haar services.
http://company.drweb.com/policy/
Betekent dat dan ook niet in concreto dat wanneer je een file upload naar VirusTotal,
je het volledige upload path binnen je computer aan de 'Service' openbaart
en daarmee een essentieel onderdeel van je directory structuur voor de aanbieder inzichtelijk maakt met daarbij nog de extra info als je ip adres?
Mogelijk voorbeeld path:
Geeft op zijn minst de info :
- Ip adres
- Directory structuur
* Harddisk Partitie naam
* Centrale User directory naam
* Naam van je lokale gebruikersaccount, heel vaak de volledige voor en achternaam van de gebruiker
* Plaats binnen de gebruikers account, desktop, documenten, pictures, video, muziek, andere directory
* Subdirectory naam
* .. , uiteindelijk het file zelf, maar dat upload je bewust dus dat moet geen punt zijn.
'Zomaar wat vragen' :
- Gaat een upload en bijbehorende communicatie in dit geval of altijd volledig over Https? Volledig versleuteld en niet door derden uitleesbaar?
Geldt die onuitleesbare https versleuteling ook voor het uploadPath?
- Wat doet het bedrijf met verkregen extra computer informatie?
- In hoeverre kan dat bedrijf wat met die extra informatie en is deze door het bedrijf of anderen te gebruiken voor andere zaken?
Slaat het bedrijf deze informatie tijdelijk of voor altijd op?
Wat is daaruit extra afleidbaar naast de veelheid aan informatie die je browser waarschijnlijk zelf al geeft?
- Wat kunnen kwaadwillige derden met deze informatie wanneer deze informatie 'op straat' komt te liggen?
Behalve wachtwoorden is de kennis van de specifieke directory structuur met naam en toenaam 'zeer gewenst'/'een luxe' voor het willen opzetten van een remote verbinding in geval van een hackpoging.
- ! Gaat deze 'Path openbaring' aan de aanbieder ook altijd op voor het het downloaden van een file?
'Non'-issue ?
Misschien een 'non'-issue, ik vroeg 'gewoon' af of de meeste gebruikers zich dit überhaupt realiseren.
Misschien toch niet onbelangrijk om bij stil te staan.
Want er zijn veel meer 'Services' die je kan gebruiken voor het uploaden van files en waarschijnlijk ook gebruikt. Zouden die allemaal geheel veilig zijn en een voorbeeldig Privacy Policy hebben?
Of doet het er niet toe?
Als je het weet kan je bewuster afwegen en kiezen of maatregelen nemen; misschien wel het aanmaken van een aparte upload gebruikers account?
ga jij eens snel van het net wil je?
jij zal ALTIJD iets weten te vinden wat je niet vertrouwt ,en dan kritiek leveren alleen ook al omdat dat zo intelligent lijkt.
als je dan zo ziekelijk bang bent voor alles en nog wat dan zou ik bij de bosjes mannen gaan wonen.
Als je dat Flashgedoe niet nodig hebt is de beste optie het van uw PC aflaten.
Pijnlijk detail is wel dat er steeds meer 'sites' eisen dat je dat geïnstalleerd hebt staan, raar toch niet?
Ook eisen er veel dat je cookies aanneemt.
Een ander pijnlijk detail is dan weer dat ik daar geen boodschap aan heb aan dat cookie gedoe weg ermee dus.
Het zijn en blijven toch allemaal maar manieren om je te kunnen 'traceren'.
Dat lijkt mij dan weer wel handig ... (als het werkt tenminste ... )
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.