image

Onderzoeker: "Virusscanners zijn beveiligingsrisico"

donderdag 22 november 2007, 10:47 door Redactie, 17 reacties

De software die bedrijven gebruiken om hun netwerk te beveiligen, is zelf een springplank voor hackers om toe te slaan. Volgens de Luxemburgse beveiligingsonderzoeker Thierry Zoller zorgt de manier waarop virusscanners werken voor een extra risico. Neem bijvoorbeeld scanners die het mailverkeer inspecteren. Die moeten data in duizenden bestandsformaten controleren. Een bug in de "parser" software, die voor het controleren van de bestanden wordt gebruikt, doet de kans toenemen dat een aanvaller slaagt.

De afgelopen twee jaar hebben Zoller en zijn collega Sergio Alvarez meer dan 80 parser bugs in anti-virus software ontdekt, waarvan de meeste nog altijd niet gepatcht zijn. Via de kwetsbaarheden is het voor een aanvaller mogelijk om willekeurige code op het systeem uit te voeren. "Mensen denken dat het installeren van meerdere AV engines een extra beveiligingslaag is. Ze denken dat als de ene engine de worm niet vindt, de andere dat wel zal doen. Je hebt echter je aanvalsoppervlak niet verkleind, maar vergroot, omdat elke AV engine bugs bevat."

Hoewel aanvallers de kwetsbaarheden niet misbruiken, wil dat niet zeggen dat dit niet zal gebeuren. Doordat virusscanners inmiddels overal worden ingezet, is het juist interessant voor aanvallers om via deze programma's in te breken. "Het komt er gewoon op neer dat AV-software stuk is. Een e-mail en je bent weg", aldus Zoller. Experts zijn niet zo blij met de bevindingen van Zoller, omdat die criminelen op verkeerde ideeën zou kunnen brengen.

Reacties (17)
22-11-2007, 10:54 door Anoniem
Ieder stukje code vormt een risico als het niet goed geprogrammeerd is.
Of het nu beveilingssoftware is of niet.
22-11-2007, 11:14 door Anoniem
80 bugs in twee jaar tijd is nog altijd beter dan geen
beveiliging.
Geen enkel systeem is 100% veilig ook antivirus programma's
of firewall's niet.
22-11-2007, 11:15 door Anoniem
Dus hoe minder acieve code een machine heeft...
22-11-2007, 11:29 door Anoniem
Hoe kun je je computer (Windows) veilig houden door geen
virusscanner te houden? Want dan neem ik aan dat je ook geen
antispywarescanner gebruikt.
22-11-2007, 11:57 door wimbo
Door Anoniem
Hoe kun je je computer (Windows) veilig houden door geen
virusscanner te houden? Want dan neem ik aan dat je ook geen
antispywarescanner gebruikt.
Je moet ook geen computer gebruiken.....
22-11-2007, 12:24 door Anoniem
Door Anoniem
Hoe kun je je computer (Windows) veilig houden door geen
virusscanner te houden? Want dan neem ik aan dat je ook geen
antispywarescanner gebruikt.

Niet zo moeilijk als je denkt.
Niet surfen met de Exploder, (maar b.v. FF met
NoScript!), geen fOutlook gebruiken.... en een
fatsoenlijke FW; werkt al ruim negen jaar prima voor mij :)
22-11-2007, 13:14 door Anoniem
Elk stukje sw wat toegang heeft tot alle data is natuurlijk bij voorbaat een
risico. Dit geldt dus ook voor backup sw of het OS in zijn algemeen.

Dus we kunnen wel even doorgaan zo. En dat hoeft dus niet specifiek av te
zijn.

Het gaat meer om de toegang tot i.c.m. veelvoudig gebruikte sw.

Dit geldt dus ook voor het OS, bestands systemen, defragmentatietooling,
backup sw, san solutions, netwerk sw ...

Om daar nu specifiek av uit te lichten? Waarom dan niet de backup sw
b.v.? Of het bestandssysteem.

Net of je een vergiet hebt en je meldt dat je vergiet lek is door dat ene
gaatje.
22-11-2007, 13:46 door Anoniem
de enigste veilig manier om gebruik te maken van je pc is geen internet
nemen, of je pc aansluiten op een bedraad of onbedraad netwerk :)
22-11-2007, 13:52 door SirDice
Door Anoniem
Hoe kun je je computer (Windows) veilig houden door geen virusscanner te houden? Want dan neem ik aan dat je ook geen antispywarescanner gebruikt.
Niet altijd en overal maar op klikken... Ik heb al jaren geen virusscanner en ben nog nooit geïnfecteerd.
22-11-2007, 14:25 door Anoniem
"onderzoekers" kwekken wel wat vaker in het rond...
22-11-2007, 14:28 door Anoniem

... Ik heb al jaren geen virusscanner en ben nog nooit
geïnfecteerd.

Hoe weet u dat? U gebruikt immers geen virusscanner!
22-11-2007, 15:07 door SirDice
Door X-2

... Ik heb al jaren geen virusscanner en ben nog nooit
geïnfecteerd.

Hoe weet u dat? U gebruikt immers geen virusscanner!
't is m'n werk om dat soort dingen te weten?!?
22-11-2007, 15:25 door Anoniem
Het gaat om virusscanners op SMTP relays, niet om een proggie op je
windowsdoosje wat je al dan niet nodig hebt.

Het lijkt mij een uitstekend onderzoek, want de kwetsbaarheid van een
relay in de DMZ die vaak een directe trust heeft met allerlei andere doosjes
in die zone, is kritiek. En dat rar of zip parsers in AV engines stuk zijn, is
helaas inderdaad een mega probleem dat toevallig ook op je desktop zou
kunnen spelen als de mail gescanned door je AV.... In welke userspace
draait een AV ook al weer?
22-11-2007, 19:09 door Anoniem
Door X-2

... Ik heb al jaren geen virusscanner en ben nog nooit
geïnfecteerd.

Hoe weet u dat? U gebruikt immers geen virusscanner!

Dat "immers" is een foute gedachte. Dat een virusscanner "iets" detecteert
of juist niet zegt misschien wel meer over die virusscanner dan het
betreffende bestand.
22-11-2007, 19:16 door Anoniem
Door SirDice op donderdag 22 november 2007 15:07

quote:Door X-2

quote:
... Ik heb al jaren geen virusscanner en ben nog nooit
geïnfecteerd.


Hoe weet u dat? U gebruikt immers geen virusscanner!


't is m'n werk om dat soort dingen te weten?!?

Zolang je 't niet kunt bewijzen, is het geen weten maar
geloven. En als het je werk is, kan je misschien wel wat
professionele tips geven waarmee anderen ook kunnen
vaststellen of hun pc's wel of niet besmet zijn. Dan kunnen
die mensen misschien ook zonder virusscanner verder, dus met
verminderd risico :)
23-11-2007, 10:43 door Anoniem
Door Anoniem
Door SirDice op donderdag 22 november 2007 15:07

quote:Door X-2

quote:
... Ik heb al jaren geen virusscanner en ben nog nooit
geïnfecteerd.


Hoe weet u dat? U gebruikt immers geen virusscanner!


't is m'n werk om dat soort dingen te weten?!?

Zolang je 't niet kunt bewijzen, is het geen weten maar
geloven. En als het je werk is, kan je misschien wel wat
professionele tips geven waarmee anderen ook kunnen
vaststellen of hun pc's wel of niet besmet zijn. Dan kunnen
die mensen misschien ook zonder virusscanner verder, dus met
verminderd risico :)

Niet surfen met de Exploder, (maar b.v. FF met NoScript!),
geen fOutlook gebruiken.... en een fatsoenlijke FW; werkt al
ruim negen jaar prima voor mij :)
Voor de zekerheid, af en toe eens scannen met o.a. Stinger,
Blacklight, etc.
23-11-2007, 11:52 door SirDice
HijackThis, Regedt32, Process Explorer, Regmon, Filemon, VMWare, Wireshark., voor het diepere werk SoftICE en IDA (dat zijn geen tools die ik iemand zou aanraden die geen verstand van Windows heeft)... Firefox met NoScript ipv Internet Explorer, Thunderbird ipv outlook (Express), niet op alles klikken wat er voor je neus verschijnt en een gezonde dosis argwaan en paranoia.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.