image

Onderzoeker: virusscanner maakt computer kwetsbaarder

maandag 28 juli 2014, 12:39 door Redactie, 26 reacties

Anti-virussoftware moet computers juist tegen aanvallen en malware beschermen, maar volgens één onderzoeker maakt een virusscanner de computer juist kwetsbaarder, wat ook nog ten koste van de prestaties gaat. Dat stelde Joxean Koret tijdens de SyScan 360 Conferentie.

Koret is onderzoeker bij het Singaporese beveiligingsbedrijf Coseinc. Tijdens zijn presentatie 'Breaking antivirus software' besprak hij verschillende kwetsbaarheden in anti-virussoftware die hij zelf ontdekte en manieren waarop een aanvaller hier misbruik van zou kunnen maken. Koret stelt dat het installeren van software het systeem een beetje kwetsbaarder maakt, omdat het aanvalsoppervlak wordt vergroot. Dat geldt echter ook voor virusscanners die het systeem juist zouden moeten beschermen.

"Virusscanners maken je computer kwetsbaarder ten koste van de prestaties", liet Koret weten. Hij stelt verder dat ook anti-virussoftware kwetsbaar voor zero day-aanvallen is, net zoals de applicaties die het probeert te beschermen. "Het kan zelfs de beveiliging van het besturingssysteem om aanvallen te voorkomen juist verminderen."

Programmeertaal

Een deel van de problemen wordt volgens de onderzoeker veroorzaakt doordat virusscanners vaak in C of C++ worden geschreven wat zich in buffer overflows, integer overflows en andere beveiligingslekken vertaalt. Daarnaast moeten virusscanners een groot aantal bestandsformaten ondersteunen, wat weer voor problemen bij de verwerking van deze bestanden kan zorgen.

Het kan bijvoorbeeld om archiefbestanden gaan. In het verleden is het al vaker voorgekomen dat er lekken in virusscanners zijn ontdekt bij het scannen van archiefbestanden zoals ZIP, ARJ en CAB, waardoor een aanvaller het onderliggende systeem kan overnemen. Het volstaat dan bijvoorbeeld om een e-mail met een kwaadaardige bijlage te versturen die automatisch wordt gescand, waardoor de aanvaller misbruik van het lek in de virusscanner kan maken.

Rechten

Anti-virussoftware draait meestal met de hoogste systeemrechten zoals root of local system, waardoor een lek in de virusscanner een aanvaller ook meteen deze rechten geeft. Koret besloot een groot aantal virusscanners te onderzoeken en ontdekte 14 lokale en remote lekken in verschillende producten van onder andere Avast, AVG, Bitdefender, ESET, F-Secure en Panda. Een aantal van de kwetsbaarheden zouden inmiddels zijn gepatcht, een aantal niet. Via de kwetsbaarheden kan een aanvaller in het ergste geval willekeurige code op de computer uitvoeren.

De onderzoeker concludeert dan ook dat een virusscanner het systeem niet veiliger tegen een ervaren aanvaller maakt en het aanvalsoppervlak juist vergroot. "Ze zijn net zo kwetsbaar als elke andere applicatie", laat Koret weten, die nogmaals herhaalt dat anti-virussoftware de computer juist kwetsbaarder maakt. Ook zouden de programma's vol kwetsbaarheden zitten. Iets waar sommige anti-virusbedrijven volgens de onderzoeker niets om geven.

Hij adviseert gebruikers dan ook om virusscanners niet te vertrouwen. In het geval organisaties anti-virussoftware willen uitrollen zouden ze de machines waarop de virusscanner draait, zoals gateways en systemen voor netwerkinspectie, moeten isoleren en de gebruikte software door een derde partij laten auditen.

Reacties (26)
28-07-2014, 12:58 door Anoniem
Ja in een enkel geval is een airbag ook gevaarlijk of gordels. Geen reden om die maar af te schaffen dan.
28-07-2014, 12:58 door Anoniem
Tsja,en zonder antivirus software is een aanvaller helemaal zo binnen,en die admin.rechten die krijgt ie toch wel,is het niet linksom danwel rechtsom,of viceversa. Een firewall heeft vast ook kwetsbaarheden en vertraagd ook de pc,dus die dan ook maar weglaten!? Het beste is een pc die zichzelf controleerd en meteen ook weer repareert.Het is eigenlijk vd zotte dat ik Kaspersky Pure moet nemen die kwaadaardige wijzigingen in windows opspoort en dan (als het goed is)weer repareert,dat zou windows uit zichzelf moeten kunnen doen.
28-07-2014, 12:58 door Anoniem
Los van kwetsbaarheden sturen antimalware producten, meestal zonder dat je het weet, allerlei informatie, soms inclusief "verdachte" documenten, naar de antivrusboer; zie http://www.av-comparatives.org/data-transmission-internet-security-products/ (onderzoek van april 2014).

Bron: http://www.makeuseof.com/tag/antivirus-tracking-youd-surprised-sends/.
28-07-2014, 13:24 door Anoniem
Tweede paragraaf: "Koret is onderzoeker bij het Singaporese beveiligingsbedrijf Coseinc."

Laatste paragraaf: Hij adviseert gebruikers dan ook om virusscanners niet te vertrouwen. In het geval organisaties anti-virussoftware willen uitrollen zouden ze de machines waarop de virusscanner draait, zoals gateways en systemen voor netwerkinspectie, moeten isoleren en de gebruikte software door een derde partij laten auditen.

Laat me raden: Coseinc. is zo'n derde partij die zo'n audit tegen betaling kan leveren?...

Neemt niet weg dat er een kern van waarheid in zit dat een virusscanner het aanvalsoppervlak vergroot.
Maar ga nou alsjeblieft niet denken: "Ik gebruik nooit meer een virusscanner, want die is onveilig".
(hoewel het is om te beginnen beter om jezelf veilig surfgedrag aan te leren, met daarnaast een goeie virusscanner...)
28-07-2014, 13:26 door User2048
Ik vind het een beetje vergezocht. Het klopt dat iedere software kwetsbaarheden kan bevatten en het systeem onveiliger kan maken. Dat geldt niet alleen voor anti-virussoftware. Als je de lijn van meneer Koret doorzet zou je geen enkele software moeten installeren. Je hebt dan inderdaad een veilig, maar ook nutteloos systeem.
28-07-2014, 13:28 door spatieman
het GROOTSTE probleem met virusscanners, en vooral met betaalde versies.
is dat vrijwel iedereen dan denkt, ik heb een (betaalde) virusscanner, nu kan ik doen en laten wat ik wil ,en overal op los klikken.
28-07-2014, 14:06 door [Account Verwijderd] - Bijgewerkt: 28-07-2014, 22:16
[Verwijderd]
28-07-2014, 14:12 door Anoniem
Interessante terechte vaststellingen waarvoor niet zoveel aandacht is *.

Echter het aantal virussen of malware dat gebruik maakt van privilege escalation op antivirussoftware komt weinig tot niet voor. Op zich geen reden daar geen aandacht aan te besteden want het gaat om impliciete kwetsbaarheden die een keer kunnen worden misbruikt.

Voorkomen is beter dan genezen.

* soms wel : Tavis Ormandy, "Sophail: A Critical Analysis of Sophos Antivirus"

https://lock.cmpxchg8b.com/sophailv2.pdf
https://lock.cmpxchg8b.com/sophail.pdf
28-07-2014, 14:14 door Anoniem
@User2048 Een veilig systeem is inderdaad een die je niet meer kan gebruiken. Soms (te vaak) is de balans zoek.
Al je een system "hardened" is een van de aandachtspunten alle niet gebruikte services uit zetten. Vervolgens komt er ook een lijst van wat ze vinden dat normaliter niet gebruikt wordt. Je voelt het probleem denk ik wel met die aanname.

Het kunnen/willen monitoren van alles wat er gebeurt is een activiteit die je hoort te doen. Vaak wordt dat wegens complexiteit of kosten achterwege gelaten. (eens spatieman..)
28-07-2014, 15:04 door Anoniem
Het beste kun je helemaal GEEN software op je PC draaien!
28-07-2014, 15:15 door Anoniem
Virusscanners zijn op zich een groot risico voor je systemen.
Naast wat er hier al genoemd wordt is er ook nog het bekende probleem dat virusscanners over het algemeen
automatisch geupdate worden zonder voorgaande test, terwijl alle andere software eerst getest wordt voor het in
productie genomen wordt. Daar zijn ook al diverse rampen door gebeurd links en rechts.

Het grote probleem is echter: "in de boekjes" staat dat je een virusscanner moet hebben, dus als je die niet hebt
ben je "not compliant".
Dat heeft meestal toch meer gewicht dan technische overwegingen.
28-07-2014, 15:20 door [Account Verwijderd] - Bijgewerkt: 28-07-2014, 15:22
[Verwijderd]
28-07-2014, 16:44 door Mysterio
Door Anoniem: Ja in een enkel geval is een airbag ook gevaarlijk of gordels. Geen reden om die maar af te schaffen dan.
Daar zijn regels voor. In situaties waarbij de airbag of gordels een risico vormen wordt aangeraden ze uit te schakelen of niet om te doen. Denk aan de kinderzitjes en taxichauffeurs.

OT: Ja, een virusscanner is software die met verhoogde rechten draait en toegang heeft tot de diepste krochten van het systeem. Het is goed om daarover na te denken en te realiseren dat daar een kwetsbaarheidsfactor in zit. Dat is een gezonde gedachtegang, maar tot nu toe blijkt dat het niet op te wegen tegen de risico's die je loopt zonder virusscanner.

Heb jij je nooit afgevraagd wat de AV boeren met jouw gegevens en data doen? Alle email laten we scannen (sommigen zetten er zelfs een voettekst onder) alle bestanden worden gescand en we weten dat er data wordt verstuurd. Daarnaast weten we dat McAfee (bijvoorbeeld) een veel gebruikte zakelijke scanner is. Via dat platform heb je potentieel toegang tot elk systeem binnen een organisatie.

Er is echter geen echte oplossing voor dit hypothetisch probleem. Elke oplossing die je aandraagt verergert eerder de situatie dan dat er daadwerkelijk een stap wordt gezet richting betere afscherming van de data.
28-07-2014, 17:40 door Anoniem
Door Mysterio: [
Heb jij je nooit afgevraagd wat de AV boeren met jouw gegevens en data doen? Alle email laten we scannen (sommigen zetten er zelfs een voettekst onder) alle bestanden worden gescand en we weten dat er data wordt verstuurd.

Heb jij je nooit afgevraagd wat een antivirus cloudscanner met jouw data online doet?
Sommige scanners sturen bestanden die zijzelf suspect vinden het internet op. Bijvoorbeeld volgens deze zelf reclame wiki pagina, https://en.wikipedia.org/wiki/Hitman_Pro
Daarnaast hebben sommige fabrikanten nou eenmaal inniger banden met diverse overheidsdiensten.

Er is echter geen echte oplossing voor dit hypothetisch probleem. Elke oplossing die je aandraagt verergert eerder de situatie dan dat er daadwerkelijk een stap wordt gezet richting betere afscherming van de data.

Geen cloudscanner gebruiken.
Geen real time protectie toepassen met online communicatie.
Geen browser urls door je virusscanner laten controleren.
Feedback functies uitschakelen en gevonden bestanden niet laten uploaden.
Zelf de momenten kiezen updates binnen te halen in plaats van automatisch in verband met online statistiek en dus privacy.

De overige rechten die de antivirusscanner zich toe eigent beoordelen op wat er in het end user licence agreement, eula, staat beschreven. Land van herkomst van de scannerfabrikant beoordelen. Marketing gedrag van de fabrikant in de media beoordelen.
Dan vallen er misschien algauw een aantal populaire fabrikanten af.
28-07-2014, 18:17 door Anoniem
Door Anoniem: Tweede paragraaf: "Koret is onderzoeker bij het Singaporese beveiligingsbedrijf Coseinc."

Laatste paragraaf: Hij adviseert gebruikers dan ook om virusscanners niet te vertrouwen. In het geval organisaties anti-virussoftware willen uitrollen zouden ze de machines waarop de virusscanner draait, zoals gateways en systemen voor netwerkinspectie, moeten isoleren en de gebruikte software door een derde partij laten auditen.

Laat me raden: Coseinc. is zo'n derde partij die zo'n audit tegen betaling kan leveren?...

Neemt niet weg dat er een kern van waarheid in zit dat een virusscanner het aanvalsoppervlak vergroot.
Maar ga nou alsjeblieft niet denken: "Ik gebruik nooit meer een virusscanner, want die is onveilig".
(hoewel het is om te beginnen beter om jezelf veilig surfgedrag aan te leren, met daarnaast een goeie virusscanner...)

Sorry, I cannot write in NL. While I work for COSEINC, I did thi research as myself during my spare time just for fun, not for profit or asked by my employer.
28-07-2014, 19:41 door Anoniem
Heeft iemand hier ook de PDF bekeken? Ja, alle software is kwetsbaar, maar er zijn gradaties. Updaten zonder SSL, met unsigned bestanden en dan CRC32 als hash gebruiken, kom op zeg..
28-07-2014, 22:17 door Eric-Jan H te D
Met het artikel in de hand heb je in ieder geval een argument tegenover de bank
die jouw schade niet wenst te betalen, omdat je geen virusscanner op je computer
hebt staan. Je kunt altijd aanvoeren dat je wel op gezette tijden een offline scan
uitvoert,
28-07-2014, 23:13 door Anoniem
Door Anoniem: Ja in een enkel geval is een airbag ook gevaarlijk of gordels. Geen reden om die maar af te schaffen dan.

Kijk !
Dat bedoel ik en daar pleit ik ook al jaren voor .

Gewoon uit alle auto's de airbag slopen en die vervangen door een lange vlijmscherpe ijzeren pen op het stuur en een centimeter of 10 van de borstkas af .

Geloof me ... het aantal ernstige ongevallen zal drastisch afnemen .
29-07-2014, 00:52 door softwaregeek - Bijgewerkt: 29-07-2014, 00:52
Met dit verhaal moet je eens bij de Banken aankomen!
29-07-2014, 00:59 door Anoniem
Het is waar dat antivirus software een groot risico vormen. Dat blijkt ook wel uit het verleden. Lekken ontdekt in format lezers (parsers van allerlei aard, maar met name compressieformats) bleken vaak ook in antivirus te zitten. Dat is ook het merkwaardige, de antivirus bedrijven vullen hun blogs met commentaar op andere softwarebedrijven, maar zelf vegen ze het liefst hun kwetsbaarheden onder het tapijt, want erg open zijn ze er niet over geweest.

Daarnaast zijn er ook de appliances (meestal Linux) die niet altijd even goed worden onderhouden. Het zou mij niets verbazen als er nog lekken in de SSHd kunnen worden gevonden.
29-07-2014, 07:17 door Anoniem
Door Anoniem: Ja in een enkel geval is een airbag ook gevaarlijk of gordels. Geen reden om die maar af te schaffen dan.
Het gebruik van airbags of gordels vergroot inderdaad de kans op een ongeval omdat men zich minder kwetsbaar voelt en (onbewust) meer risio neemt . Airbags en gordels helpen alleen de schade aan de persoon te beperken en niet de kans op een ongeval.
29-07-2014, 09:20 door Anoniem
Ik ben al blij als ik het woord "virus" goed kan spellen laat staan dat ik er iets van snap.
Wil wel zonder beperkingen het internet kunnen bezoeken.
Heb daarom van een laptop de harde schijf verwijderd en start op met Live Linux Mint 17 (niet geinstalleerd maar als image op USB-stick)
Doe direct na het opstarten de gevoelige zaken zoals bankzaken.
Start opnieuw op en doe op het internet waar ik zin in heb, bezoek alles zonder mij ergens zorgen over te maken.
Misschien wat omslachtig maar volgens mij veiliger dan alle gebruikelijke methoden (denk ik).
29-07-2014, 09:46 door Mysterio
Door Anoniem:
Door Anoniem: Ja in een enkel geval is een airbag ook gevaarlijk of gordels. Geen reden om die maar af te schaffen dan.
Het gebruik van airbags of gordels vergroot inderdaad de kans op een ongeval omdat men zich minder kwetsbaar voelt en (onbewust) meer risio neemt . Airbags en gordels helpen alleen de schade aan de persoon te beperken en niet de kans op een ongeval.
Ik ben zwaar benieuwd naar de onderbouwende statistieken van jouw reactie. Je ziet namelijk dat vanaf 1970 het aantal dodelijke ongevallen relatief afneemt. Er zijn nogal wat factoren die meetellen, waaronder de steeds veiligere auto's.
30-07-2014, 10:57 door Anoniem
Door Anoniem:
Door Anoniem: Tweede paragraaf: "Koret is onderzoeker bij het Singaporese beveiligingsbedrijf Coseinc."

Laatste paragraaf: Hij adviseert gebruikers dan ook om virusscanners niet te vertrouwen. In het geval organisaties anti-virussoftware willen uitrollen zouden ze de machines waarop de virusscanner draait, zoals gateways en systemen voor netwerkinspectie, moeten isoleren en de gebruikte software door een derde partij laten auditen.

Laat me raden: Coseinc. is zo'n derde partij die zo'n audit tegen betaling kan leveren?...

Neemt niet weg dat er een kern van waarheid in zit dat een virusscanner het aanvalsoppervlak vergroot.
Maar ga nou alsjeblieft niet denken: "Ik gebruik nooit meer een virusscanner, want die is onveilig".
(hoewel het is om te beginnen beter om jezelf veilig surfgedrag aan te leren, met daarnaast een goeie virusscanner...)

Sorry, I cannot write in NL. While I work for COSEINC, I did thi research as myself during my spare time just for fun, not for profit or asked by my employer.

Hmmm... so why does it say on slide 28 of your research:
* I don't give my research for free.
* Audit your products.
Seems there still is some business interest too, right?
And it's difficult to keep a fully free mind if money is involved.

Anyway, my main concern is that after reading this topic on security.nl some common people would think
that they 're better off surfing the internet without any AV-protection at all.
But with hundreds of thousands of threats and exploits out there, such behaviour is probably even more dangerous
than the risk of a few vulnerabilities you have discovered in AV-software.

Don't get me wrong: I highly appreciate your work, I do see the risks and I'm not denying everything.
People really should be aware of things you 've mentioned.
And depending on the situation it might be worth a professional audit.
(though even professionals may overlook something... so it's probably still not fully 100% safe. Only safer...)

Like once in a while somebody gets shot in the city of Amsterdam. So that's a real and fatal threat.
But should this be a reason for everybody who visits Amsterdam to buy and wear a "fully tested" bulletproof vest now?...
In most cases it makes more sense to just avoid "warzones" and "obscure places" and not showing risky behaviour.

My point is that the meaning of the results were not put enough into perspective,
which easily causes the message to become unbalanced,
causing common people are even tempted now to completely remove all their AV-software.
And I suppose this was not your intention, or was it?...
30-07-2014, 20:00 door Anoniem
@ vandaag, 10:57 door anoniem

ai tink dat duh sumboddy of 28-07-2014, 18:17 has teeken joe bai duh noos
ferry vunnie hi hi

bai duh wee emsterdem dus nod hef warzones
peeple ket shot on duh street eefen in bissi sjopping streetz on duh deelait tijm
notting toe doe wif "obscure places" ant risky behaviour det ar juzt verry teels vrom duh peepers
uzu allie normal peeple dont ket hurt so nothing is on duh hand

but joe anzwer ant opinion is goet on duh av software bekos we niet it
zoo complimentinks of duh enklies wadz better den di of duh anonimus riesurtzjer
nottink too be asjeemt of

verie greetinks animonus
30-07-2014, 22:47 door Anoniem
@anoniem vandaag 20:00

Thanks for your reply mr. Anmienosus. I belief that I made the good choice the way I reacted earlier. (-;

btw: dit you not wiet yet det bissi sjopping striets aar warzones? Eweribodi always seems to bi in de war over dèèèr...
(like a bunch of chicks without head)

Keep the fun alive, and please keep your English accent. It's just fine!
Many goeroehoedjes
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.