Nieuws

Onderzoeker kraakt virusscanner Sophos

zondag 7 augustus 2011, 14:09 door Redactie, 12 reacties

Beveiligingsonderzoeker Tavis Ormandy heeft de virusscanner van het Britse Sophos uit elkaar gehaald en ontdekt dat de beveiliging van het product ernstig tekort schiet. Tijdens zijn presentatie op de Black Hat conferentie haalde Ormandy, tevens werknemer van Google, uit naar de anti-virusbedrijven die vinden dat ze niet gecontroleerd moeten worden, omdat dit cybercriminelen zou kunnen helpen.

Ormandy is het hier niet mee eens. Hij stelt dat het Kerckhoffs principe niet alleen voor cryptografische systemen geldt, maar voor alle beveiligingssystemen. Het principe stelt dat als alles over een systeem bekend is, het nog steeds veilig hoort te zijn. "Als onderzoek naar een beveiligingsproduct het verzwakt, dan is het product niet goed", aldus de onderzoeker.

Ook zou deze geheimzinnigheid alle prikkels om het product te innoveren tegengaan, waardoor men aan oude ideeën en principes blijft vasthouden. Tijdens zijn onderzoek ontdekte Ormandy dat de anti-virus signatures automatisch worden gegenereerd, ook al wordt er vaak gezegd dat virus-experts die nog controleren. Tevens bevatten ze allerlei irrelevante data.

Encryptie
Eén van de beveiligingsmaatregelen in de Sophos virusscanner zou gebruikers tegen buffer overflows moeten beschermen. De beveiliging werkt echter alleen op versies voor Windows Vista. Daarnaast zou één van de maatregelen eenvoudig door aanvallers zijn te omzeilen. Dat doet Ormandy concluderen dat de ontwikkelaar die dit onderdeel ontwikkelde, bepaalde aspecten niet goed heeft begrepen.

Verder wist Ormandy ook het zelf gemaakte 64-bit encryptiesysteem van Sophos te reverse engineeren. Hij ontdekte dat het systeem vereist dat de decryptie-sleutel in het bestand zelf aanwezig moet zijn, waardoor het geen echte encryptie is, maar eerder een extra obfuscatielaag om aanvallers te vertragen.

Belofte
"De belofte van anti-virus is dat de gebruikers minder afhankelijk zijn om een goede vertrouwensbeslissing te maken. Hoewel dit zeker wenselijk is, is Sophos onvoldoende toegerust om deze belofte met hun huidige technologie waar te maken. De pseudo-wetenschappelijke terminologie die Sophos gebruikt om hun software te promoten maskeert elementaire patroonherkenningstechnieken", aldus Ormandy.

Hij geeft de Britse virusbestrijder een pluim omdat het probeert exploit-aanvallen te voorkomen, maar concludeert dat het bedrijf het onderwerp niet begrijpt, wat tot een ongeschikt product leidt dat door bestaande oplossingen ver wordt voorbijgestreefd.

Britse politie verviervoudigt aantal cyberagenten

Politie pakt automobilist na YouTube-filmpje

Reacties (12)

07-08-2011, 16:04 door Anoniem

Ormandy heeft niet begrepen hoe anti-virus werkt.

Anti-virus signatures hoeven geen relevante data te bevatten, althans dat hoeft niet relevant te zijn voor de werking van de malware, waar het om gaat is herkenning (detectie) en voorkomen van false positives.

Encryptie, of beter encoding, wordt doorgaans gebruikt om te voorkomen dat signature bestanden worden herkend als malware door andere software. De eis is alleen dan dat anderen niet dezelfde encoding gebruiken.

Wat betreft het gebruik van checksums: Het is logisch dat detectie checksums zo kort mogelijk worden gehouden omdat er nogal wat nodig zijn. Korte checksum nemen veel minder plaats in beslag.

Sophos gebruikte voorheen korte 16bit checksums en dat kan in de praktijk inderdaad leiden tot false positives. De angst voor checksum aanvallen is echter ongegrond, behalve wanneer korte checksums als whitelist gebruikt zouden worden. Alleen dan heb je sterke encryptie nodig. Sophos doet dat dan ook.

Verder denkt de schrijver van het artikel dat anti-virus vooraf met alles rekening zou moet houden, maar dat is nog een misvatting. Als je dat zou doen, is de performance van anti-virus enorm slecht. Je hoeft alleen rekening te houden met daadwerkelijke malware. Een update kan immers zo worden gemaakt.

07-08-2011, 17:19 door [Account Verwijderd]

[Verwijderd]

07-08-2011, 20:10 door Anoniem

Ik vind het een beetje verdacht dat hij alleen specifiek Sophos heeft bekeken; er zijn veel meer AV vendors die gebruik maken van bijvoorbeeld crc32 signatures. Dit pleit uiteraard Sophos niet vrij, maar ik vind het verdacht dat een security researcher de kwaliteit van AV signatures gaat bekijken van een specifieke vendor en dit niet afzet tegen de kwaliteit van andere vendors maar er vervolgens wel een waarde oordeel over heeft. (Tavis zegt op zijn twitter: "if you're evaluating or deploying Sophos you might want to check it out http://t.co/JhdDvNj")

Wat het een beetje verdacht maakt is dat Tavis een flink conflict heeft gehad met Graham Cluley van Sophos. Graham heeft stevige kritiek gehad op Tavis over het publiceren van een werkende exploit voor Internet Explorer zonder dat hij Microsoft de tijd had gegeven het lek op te lossen (5 dagen):

http://nakedsecurity.sophos.com/2010/06/15/tavis-ormandy-pleased-website-exploits-microsoft-zeroday/
http://nakedsecurity.sophos.com/2010/07/14/patch-tavis-day/

07-08-2011, 22:42 door Anoniem

Door Peter V: Sterker nog: er bestaat een firewall (de naam zeg ik hier even niet) die je Windows-wachtwoord gebruikt als inlognaam, in plaats van je gewone inlognaam. En dat gebeurt ook nog eens onversleuteld...

Handig, als een hacker op zoek is naar wachtwoorden om zo je systeem binnen te komen...

Dus als ik het goed begrijp gebruikt die firewall je windows wachtwoord (bijvoorbeeld: Raampjes01) als inlognaam, met daarbij een eigen wachtwoord?

Dat is zo ongeveer het stomste wat ik in tijden heb gehoord..

Die firewall ken ik niet, maar ik ben wel nieuwsgierig. Is het een commercieel pakket? Voor thuis, MKB of Enterprise gebruik?

07-08-2011, 23:23 door quikfit

En het nut van deze non info is?

08-08-2011, 09:14 door Anoniem

Door Anoniem: Ormandy heeft niet begrepen hoe anti-virus werkt.

Hij snapt wel dat security-by-obscurity niet werkt.

Anti-virus signatures hoeven geen relevante data te bevatten, althans dat hoeft niet relevant te zijn voor de werking van de malware, waar het om gaat is herkenning (detectie) en voorkomen van false positives.

Encryptie, of beter encoding, wordt doorgaans gebruikt om te voorkomen dat signature bestanden worden herkend als malware door andere software. De eis is alleen dan dat anderen niet dezelfde encoding gebruiken.

Maar het is ook wel handig voor virusschrijvers als ze de signatures kunnen controleren. Dan hoeven ze alleen maar een nieuwe versie uit te brengen als de signature van hun virus is gedetecteerd. En bij virussen die zich (automatisch) aanpassen is het ook wel handig als de virusschrijver ervoor kan zorgen dat de aanpassing zo is dat hij niet opnieuw (snel) wordt gedetecteerd.

Hee, ik zou als virusschrijver een extra programmatje schrijven dat bij het downloaden van de virussignatures even kijkt welke eigen signatures er in staan en op grond daarvan het virus aanpassen. Of zelfs het bestand met de signatures aanpassen. Nu je weet hoe Sophos de boelt versleuteld, kun je je eigen signatures eruit halen en het bestand nog steeds legitiem laten lijken.

[/quote]Wat betreft het gebruik van checksums: Het is logisch dat detectie checksums zo kort mogelijk worden gehouden omdat er nogal wat nodig zijn. Korte checksum nemen veel minder plaats in beslag.

Sophos gebruikte voorheen korte 16bit checksums en dat kan in de praktijk inderdaad leiden tot false positives. De angst voor checksum aanvallen is echter ongegrond, behalve wanneer korte checksums als whitelist gebruikt zouden worden. Alleen dan heb je sterke encryptie nodig. Sophos doet dat dan ook.[/quote]
Ik snap dan niet waarom ze die serke encryptie (wie beweert dat trouwens?) niet ook voor de blacklist gebruiken.

Verder denkt de schrijver van het artikel dat anti-virus vooraf met alles rekening zou moet houden, maar dat is nog een misvatting. Als je dat zou doen, is de performance van anti-virus enorm slecht. Je hoeft alleen rekening te houden met daadwerkelijke malware. Een update kan immers zo worden gemaakt.

Bij anti-virus software is het altijd een afweging tussen nieuwe malware detecteren en een hoge score halen bij anti-virus testen, die vaak oude malware gebruiken. Er is trouwens niet iets als oude malware. Malware van 10 jaar geleden waart nog steeds rond. Als anti-virus software die niet meer detecteert, gaat die weer groeien.

Peter

08-08-2011, 09:31 door svenvandewege

Ik denk dat er wel veel meer av vendors gebruik maken van automatische signatures genereersystemen.

Norton antivirus heeft de zogenaamde pulse updates bijvoorbeeld. Dat wil zeggen dat er iedere 5 tot 15 minuten kleine updates uitkomen. Dit gaat 24 uur per dag 7 dagen per week door.

In mijn ogen maken ze of gebruik van mensen aan de lopende band die in een soort van ploegen dienst werken, of ze hebben een automatisch genereersysteem. Kies zelf maar!

08-08-2011, 10:55 door Anoniem

@Vandaag,09:14 doorAnoniem

Je maakt dezelfde fout als Ormandy. De "encryptie" dient geen doel om iets geheim te houden.

De Sophos signatures op zichzelf zijn niet van nut. Want waarom moeilijk doen als het makkelijk kan? Malware schrijvers kunnen gewoon door Sophos te gebruiken zien of hun creaties worden gedetecteerd. (Dat is ook de oorzaak van de populariteitsparadox: hoe populairder het anti-virus, hoe meer kans dat die de malware niet tevoren herkent.)

Verder denk je blijkbaar dat de signatures strings zijn. Dat is niet zo, het zijn checksums. Je kunt niet direct een relatie leggen tussen checksums en bytes in een bestand.

Ik snap dan niet waarom ze die serke encryptie (wie beweert dat trouwens?) niet ook voor de blacklist gebruiken.

Goed lezen. Sterke encryptie in signatures is per definitie omvangrijk, kost dus geheugen en cpu, en het dient geen praktisch doel. Het is gewoon niet nodig. Je moet technische middelen gebruiken daar waar ze nodig zijn. Het middel zelf geeft niet aan wat het doel is.

08-08-2011, 11:04 door Anoniem

Door svenvandewege: Ik denk dat er wel veel meer av vendors gebruik maken van automatische signatures genereersystemen.

In mijn ogen maken ze of gebruik van mensen aan de lopende band die in een soort van ploegen dienst werken, of ze hebben een automatisch genereersysteem. Kies zelf maar!

Als Ormandy een anti-virus bedrijf zou opzetten, zou het al failliet zijn voordat het gaan leveren. Hij zou miljoenen manuren spenderen aan nutteloos werk.

08-08-2011, 13:00 door Anoniem

Reactie Sophos.
http://nakedsecurity.sophos.com/2011/08/05/tavis-ormandy-and-sophos/

08-08-2011, 13:10 door Anoniem

http://nakedsecurity.sophos.com/2011/08/05/tavis-ormandy-and-sophos/

Bovenstaand de reactie van Graham Clueley van Sophos.

Hij heeft de beperking dat hij niet zo technisch kan worden als Ormandy en ook niet wil uitleggen hoe anti-virus werkt, en vervalt in de gebruikelijke PR blabla, maar deze keer heeft hij onderliggend wel gelijk over "encryptie" in signatures.

08-08-2011, 18:27 door Anoniem

Wat Ormandy niet begrepen heeft wordt hier nog eens uitgelegd:
http://anti-virus-rants.blogspot.com/2011/08/tavis-ormandys-sophail-presentation.html

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer