image

Lekken in anti-virus gevaarlijk voor elk besturingssysteem

zaterdag 27 augustus 2005, 10:05 door Redactie, 14 reacties

Software lekken kunnen in elk programma een gevaar zijn, maar de kwetsbaarheden in security produkten komen het hardst aan. Onderzoek laat zien dat deze lekken vaak geen interactie van de gebruiker vereisen, en onafhankelijk van het gebruikte besturingssysteem een aanvaller toegangsrechten kunnen geven. Onderzoeker Alex Wheeler vond dit jaar alleen al lekken in de virusscanners van Symantec, TrendMicro, Computer Associates, F-Secure en Sophos, bij elkaar goed voor 75% van de anti-virusmarkt. Alle bugs konden misbruikt worden voor het veroorzaken van een buffer overflow, waardoor een aanvaller willekeurige kan uitvoeren.

Op de vraag waarom virusscanners zo kwetsbaar zijn zegt Wheeler: "Anti-virus engines zijn zo ontworpen dat ze alle data scannen voordat een gebruiker de kans heeft gehad om er iets mee te doen, en vanuit het oogpunt van een aanvaller is dat precies wat je wilt." Volgens Wheeler heeft men pas het topje van de ijsberg ontdekt als het aankomt op lekken in security produkten, en staat ons in de toekomst nog veel meer te wachten.

Reacties (14)
27-08-2005, 14:32 door bustersnyvel
Maar hoezo is dit van toepassing op elk
besturingssysteem? Ik heb geen virussen op m'n Linux bak,
dus ook geen virus scanner. Waarom zou ik me hier druk om maken?
27-08-2005, 15:07 door Anoniem
Door bustersnyvel
Maar hoezo is dit van toepassing op elk
besturingssysteem? Ik heb geen virussen op m'n Linux bak,
dus ook geen virus scanner. Waarom zou ik me hier druk om maken?

Hahaha! Ben je dom of doe je alsof?

Wheeler heeft overigens gelijk. AV bedrijven staan vooraan als het gaat om
het wijzen naar Microsoft, maar ze zouden er goed aan doen hun eigen
code eens te auditen en problemen eruit te halen.

En passant kun je zo exploits in bestandsformaten detecteren. Maar naar
het schijnt is nog vrijwel niemand in de AV industrie is op dat idee
gekomen.
27-08-2005, 15:24 door Anoniem
Door bustersnyvel
Maar hoezo is dit van toepassing op elk
besturingssysteem? Ik heb geen virussen op m'n Linux bak,
dus ook geen virus scanner. Waarom zou ik me hier druk om maken?
O o wat geweldig weer zeg. Wacht gewoon tot er meerdere ook
linux gebruiken dan komt de ellende van zelf. Alle software
bevat fouten ook linux dus niemand is veilig.
27-08-2005, 16:21 door Anoniem
en niet alleen fouten, het is ook een kwestie van vrijheid geven aan de
gebruiker en de software die hij draait. als een mail client mag mailen,
waarom zou een worm dat niet mogen? 't is in principe hetzelfde. en daar
zijn wel oplossingen voor, door applicaties bepaalde rechten te geven te
mailen enzo, maar dat is het vrijheid knelpunt.
27-08-2005, 17:16 door Anoniem
Tja op Linux is het probleem waarschijnlijk wat meer op de
server dan op de client. (mailservers, fileservers etc.)
27-08-2005, 21:26 door Apacheman
Door bustersnyvel
Maar hoezo is dit van toepassing op elk
besturingssysteem? Ik heb geen virussen op m'n Linux bak,
dus ook geen virus scanner. Waarom zou ik me hier druk om
maken?

Wel eens gehoord van ClamAV (b.v.) welke je op een Linux-bak
kan draaien met Sendmail of Postfix (mailservers oftewel
MTA's)? Om de Windhoos PC's te beschermen welke ook gebruik
maken van je mailserver kun je hiervoor kiezen. Laatst is
hierin een kritisch lek gevonden versies voor 0.86.2 !
27-08-2005, 22:17 door Anoniem
Door Anoniem
Door bustersnyvel
Maar hoezo is dit van toepassing op elk
besturingssysteem? Ik heb geen virussen op m'n Linux bak,
dus ook geen virus scanner. Waarom zou ik me hier druk om maken?

Hahaha! Ben je dom of doe je alsof?

Wheeler heeft overigens gelijk. AV bedrijven staan vooraan
als het gaat om
het wijzen naar Microsoft, maar ze zouden er goed aan doen
hun eigen
code eens te auditen en problemen eruit te halen.

En passant kun je zo exploits in bestandsformaten
detecteren. Maar naar
het schijnt is nog vrijwel niemand in de AV industrie is op
dat idee
gekomen.

Wat dat laatste betreft sla je de plank aardig mis. Meerdere
AV producten herkennen al langer exploit-code in bestanden.
Download maar eens wat random_exploits.c en scan die met een
Sophos, Norton of Kaspersky product. Waarachtig wel dat deze
de file aan zullen duiden als zijnde een exploit. ;-)

-Nowhereman
28-08-2005, 17:22 door Anoniem
Door Anoniem
Door Anoniem
Door bustersnyvel
Maar hoezo is dit van toepassing op elk
besturingssysteem? Ik heb geen virussen op m'n Linux bak,
dus ook geen virus scanner. Waarom zou ik me hier druk om maken?

Hahaha! Ben je dom of doe je alsof?

Wheeler heeft overigens gelijk. AV bedrijven staan vooraan
als het gaat om
het wijzen naar Microsoft, maar ze zouden er goed aan doen
hun eigen
code eens te auditen en problemen eruit te halen.

En passant kun je zo exploits in bestandsformaten
detecteren. Maar naar
het schijnt is nog vrijwel niemand in de AV industrie is op
dat idee
gekomen.

Wat dat laatste betreft sla je de plank aardig mis. Meerdere
AV producten herkennen al langer exploit-code in bestanden.
Download maar eens wat random_exploits.c en scan die met een
Sophos, Norton of Kaspersky product. Waarachtig wel dat deze
de file aan zullen duiden als zijnde een exploit. ;-)

-Nowhereman

Ik heb het over bestandsformaten waarin zich lekken bevinden. Je noemt
als voorbeeld het detecteren source code. Dat is iets heel anders. Het is
natuurlijk een schijnveiligheid voor wie gelooft dat het product dan een
echte exploit in een bepaald bestandsformaat zal detecteren.

Verreweg de meeste anti-virus bedrijven die exploits detecteren,
detecteren bekende shellcode, ze detecteren niet op een generieke wijze
de beveiligingslek zelf. Dat mag een nuanceverschil lijken, maar dat is het
in het geheel niet! Het is niet zo moeilijk shellcode aan te passen om
detectie te omzeilen.

Als je bestandsformaten parsed, en moet oppassen dat de scanner niet
het slachtoffer wordt van overflows, onjuiste jumps e.d., kun je meteen zien
welke stukken data niet aan de specificatie voldoen. Als het bekende
lekken zijn kun je die dan allemaal detecteren, niet alleen die waarvan je
toevallig de shellcode kent.
28-08-2005, 22:40 door Anoniem
Deze draad hangt echt aan elkaar van onzin en misvattingen.
28-08-2005, 22:59 door Anoniem
1. Misvatting - Linux kent geen virussen/rootkits , die zijn
er WEL!
2. Misvatting - Linux is ALTIJD veilig, ALLEEN een minimaal
geinstalleerde Linux met recente updates en meer...! de
gebruiker, tweaker etc. bepaald. Hoe meer applicatie's, des
te meer risico op "lekken" in een systeem.

Linux geeft "transparantie" in de werking van het systeem.
Linux is STANDAARD beter beschermd tegen misbruik van
buitenaf.(1)

1= indien STERKE wachtwoorden worden toegepast (dit is voor
ieder OS van toepassing!)
29-08-2005, 08:15 door Anoniem
Door Anoniem
Door bustersnyvel
Maar hoezo is dit van toepassing op elk
besturingssysteem? Ik heb geen virussen op m'n Linux bak,
dus ook geen virus scanner. Waarom zou ik me hier druk om maken?
O o wat geweldig weer zeg. Wacht gewoon tot er meerdere ook
linux gebruiken dan komt de ellende van zelf. Alle software
bevat fouten ook linux dus niemand is veilig.

Maar, zo redenerend, moet je Linux gebruiken tot de penetatriegraad
aanleiding geeft een ander OS te kiezen. Je hebt in elk geval
sluikreclame voor Linux gemaakt.
29-08-2005, 11:29 door Anoniem
Door Anoniem
Door bustersnyvel
Maar hoezo is dit van toepassing op elk
besturingssysteem? Ik heb geen virussen op m'n Linux bak,
dus ook geen virus scanner. Waarom zou ik me hier druk om maken?
O o wat geweldig weer zeg. Wacht gewoon tot er meerdere ook
linux gebruiken dan komt de ellende van zelf. Alle software
bevat fouten ook linux dus niemand is veilig.

Het aantal gebruikers heeft helemaal niets met
virussen/exploits te maken. Wel de structuur en opbouw van
een besturingssysteem. Die is in linux een stuk veiliger dan
in windows.
Overigens zitten er wel degelijk lekken in linux, en zeker
in de applicaties voor linux.
Patchen is dan ook net zo belangrijk in linux als in
windows. Het draaien van een antivirus programma is altijd
aan te raden. Ook onder linux.
29-08-2005, 15:11 door Anoniem
O o wat geweldig weer zeg. Wacht gewoon tot er
meerdere ook
linux gebruiken dan komt de ellende van zelf. Alle software
bevat fouten ook linux dus niemand is veilig.
Bespeur ik daar enige jaloezie.... Wat schattig, zeg.
30-08-2005, 00:53 door Anoniem
O o wat geweldig weer zeg. Wacht gewoon tot er
meerdere ook linux gebruiken dan komt de ellende van zelf.
Alle software
bevat fouten ook linux dus niemand is veilig.

Ja. alle software die uit iets meer dan enkele regels
bestaat bevat fouten. Ja...Linux ook !!!!!!
Ja...de rootkits zijn al jaren bekend in de
UNIX-wereld.....da's niks nieuws..

Verder:

Ieder z'n "meug" alhier hoor, maar een dergelijke opmerking
komt van iemand die:
* Een "borrelpraat"-kenner is van computers.
* Een MS-aanhanger die uit commercieel oogpunt denk dat er
niets anders is.
* Een Windows IT'er die echt geen kaas heeft gegeten van de
meest elementaire UNIX-kennis...


Ik hoop dat je NIET die laatste bent...., want dan moest je
je schamen als je jezelf als IT'er aanprijst: elke IT'er die
geen basiskennis van UNIX heeft moet nodig eens terug naar
de schoolbanken.

En daarna weet je ook gelijk WAAROM Linux zo goed als immuun
is voor malware. Ik zeg "zo goed als".....want ooit zal
e.o.a. malloot wel wat in elkaar bakken wat Linux
aantast.....mare....dan komt wel nog een ander konijn uit de
hoed:

Linux (lees "alle gangbare distro's) zijn zo veelzijdig en
divers qua applicaties dat het je gewoon niet lukt een
massale aanval op te zetten. iedere Unix-freak weet dat er
b.v. al zo'n 20 emailclients te gebruiken zijn (10 textbased
en 10 GUI-based) en die malloot wil ze ALLEMAAL
aanvallen...........en ALS dan net die ene client "gepakt"
wordt die jij als LINUX-user gebruikt.......so what....LINUX
propt zijn apps niet IN het OS hoor....zoals MS dat doet.

DREAM ON BABY MS-LOVER...
NO ONE WILL EVER MAKE A BIG ATTACK TO LINUX


ritslinux
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.