Nieuws
image

Sophos: virusscanner nu veiliger dan concurrentie

donderdag 8 november 2012, 13:09 door Redactie, 7 reacties

De virusscanner van het Britse anti-virusbedrijf Sophos is nu veiliger dan veel concurrerende anti-virusprogramma's, zo laat het bedrijf tegenover Security.nl weten. Onlangs publiceerde beveiligingsonderzoeker en Google-medewerker Tavis Ormandy een vernietigend rapport over de werking van Sophos Antivirus. Ormandy ontdekte verschillende ernstige beveiligingsproblemen waardoor kwaadwillenden kwetsbare systemen konden overnemen.

Aanval
De problemen deden zich voor bij het scannen van bepaalde bestandstypen, zoals .PDF. Een aanvaller zou een e-mail met een PDF-bijlage kunnen sturen, die automatisch wordt gescand en de aanvaller zodoende volledige controle over het systeem geeft. Ormandy publiceerde in zijn rapport een werkende exploit, die inmiddels ook in 'webversie' is vertaald, zoals onderstaande video van Eric Romang laat zien.

Daardoor is het bezoeken van een website voldoende om gehackt te worden. Inmiddels heeft Sophos voor Mac-gebruikers een update uitgebracht, te herkennen aan het versienummer 8.0.8c. Deze update verhelpt dat aanvallers code op het systeem kunnen uitvoeren. Later deze maand volgt er nog een update die problemen verhelpt waardoor een aanvaller de virusscanner kan uitschakelen.

Ontwikkeling
De vraag blijft hoe één iemand dit soort ernstige problemen in zulke belangrijke software kon ontdekken. "Als iemand geconcentreerd genoeg is om beveiligingslekken te vinden, dan is het mogelijk om ze in elk product te vinden", zegt Gerhard Eschelbeck, CTO van Sophos, tegenover Security.nl.

"Dit is een uitdaging voor de software-industrie. Zelfs grote leveranciers zoals Microsoft, met al hun middelen, hebben met deze uitdagingen te maken. Daardoor brengen ze nog steeds maandelijks beveiligingsupdates uit." Eschelbeck stelt dat ook Sophos een maandelijkse update-routine hanteert.

Programmeren
De virusbestrijder dankt Ormandy voor de samenwerking. "Daardoor is de lat van onze software behoorlijk hoger komen te liggen. Als gevolg daarvan denken we dat ons product nu veiliger is dan van veel van onze concurrenten." Ondanks de kritiek van Ormandy op de virusscanner, zou Sophos wel richtlijnen voor veilig programmeren volgen en over een Security Development Lifecycle beschikken.

Eschelbeck merkt op dat de meeste problemen werden veroorzaakt door de manier waarop de virusscanner met bestanden omgaat. "Dit is één van de meest complexe gebieden voor beveiligingsbedrijven en iemand die met dezelfde striktheid hiernaar kijkt, zou ook bij veel andere producten en technologieën soortgelijke problemen ontdekken."

Reacties (7)
08-11-2012, 14:28 door Anoniem
"Daardoor is de lat van onze software behoorlijk hoger komen te liggen. Als gevolg daarvan denken we dat ons product nu veiliger is dan van veel van onze concurrenten."

De PR-afdeling van Sophos is nu wel heel erg positief. Er is een gigantische exploit gepatched. Het lijkt me sterk dat in die paar dagen tijd de volledige broncode al is doorgenomen. Los daarvan is het wel erg dapper om na dit fiasco met droge ogen te verklaren het "ons product nu veiliger is dan de concurrentie".

Natuurlijk had dit ook een andere AV vendor kunnen overkomen. Sophos valt in die zin alleen te verwijten dat er blijkbaar niet voldoende auditing op de eigen software is gedaan. Toch gaat deze PR-statement wel erg ver.
08-11-2012, 15:14 door Anoniem
Want de concurrentie is nog niet publiekelijk op de bek gegaan?

Kennelijk hangt de "IT security industrie" toch wel erg van perceptie aanelkaar.
08-11-2012, 15:20 door AdVratPatat
"Als iemand geconcentreerd genoeg is om beveiligingslekken te vinden, dan is het mogelijk om ze in elk product te vinden", zegt Gerhard Eschelbeck, CTO van Sophos, tegenover Security.nl.

Da's de quote van de dag voor mij; dat komt op mij over alsof heel het R&D team van Sophos dus niet in staat om zich beter te concentreren op het eigen product dan een enkele onderzoeker in dienst van Google...

LOL
08-11-2012, 16:10 door Anoniem
Hun PR afdeling draaid iig op volle toeren
08-11-2012, 16:51 door sjonniev
Je moet er maar tijd voor hebben/maken/krijgen. En van Google krijg je nou eenmaal veel tijd voor hobby-projecten.
Dus ga zo door, Tavis!
09-11-2012, 11:54 door Anoniem
Goed dat er dit soort onderzoeken zijn. Als gebruiker goed om te vernemen. Frappant dat die Travis alleen Sophos op de korrel neemt. Sophos heeft in ieder geval deze “lekken” kunnen repareren en hiermee een nog betere solution te kunnen garanderen. Andere IT Security vendors worden blijkbaar niet door Travis doorgelicht. Wat zegt dat over die Travis en de overige vendors?
09-11-2012, 16:43 door Anoniem
Het gaat altijd over perceptie. Als er een lek wordt ontdekt zit die er vaak al lang in. Voordien leefde men in de waan dat er geen lek was. Althans, men maakte zich er niet druk om.

Als je denkt dat er in anti-virus producten geen lekken zitten, terwijl die producten enorm veel bestandsformaten ondersteunen, dan ben je geen echte beveiligingsexpert. Technisch gezien heeft Sophos gelijk door te stellen dat ze nu minder lekken hebben.

Wat wel had kunnen gebeuren is dat bedrijven hun producten laten doorlichten. Niet om een papieren certicatie, maar om lekken te vinden. Daar heb je dus specialisten zoals Ormandy voor nodig. Iemand met doorzettingsvermogen. Blijkbaar kan een wraakoefening ook een gunstige kant hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure