Onderzoeker: virusscanner maakt computer kwetsbaarder
Anti-virussoftware moet computers juist tegen aanvallen en malware beschermen, maar volgens één onderzoeker maakt een virusscanner de computer juist kwetsbaarder, wat ook nog ten koste van de prestaties gaat. Dat stelde Joxean Koret tijdens de SyScan 360 Conferentie.
Koret is onderzoeker bij het Singaporese beveiligingsbedrijf Coseinc. Tijdens zijn presentatie 'Breaking antivirus software' besprak hij verschillende kwetsbaarheden in anti-virussoftware die hij zelf ontdekte en manieren waarop een aanvaller hier misbruik van zou kunnen maken. Koret stelt dat het installeren van software het systeem een beetje kwetsbaarder maakt, omdat het aanvalsoppervlak wordt vergroot. Dat geldt echter ook voor virusscanners die het systeem juist zouden moeten beschermen.
"Virusscanners maken je computer kwetsbaarder ten koste van de prestaties", liet Koret weten. Hij stelt verder dat ook anti-virussoftware kwetsbaar voor zero day-aanvallen is, net zoals de applicaties die het probeert te beschermen. "Het kan zelfs de beveiliging van het besturingssysteem om aanvallen te voorkomen juist verminderen."
Programmeertaal
Een deel van de problemen wordt volgens de onderzoeker veroorzaakt doordat virusscanners vaak in C of C++ worden geschreven wat zich in buffer overflows, integer overflows en andere beveiligingslekken vertaalt. Daarnaast moeten virusscanners een groot aantal bestandsformaten ondersteunen, wat weer voor problemen bij de verwerking van deze bestanden kan zorgen.
Het kan bijvoorbeeld om archiefbestanden gaan. In het verleden is het al vaker voorgekomen dat er lekken in virusscanners zijn ontdekt bij het scannen van archiefbestanden zoals ZIP, ARJ en CAB, waardoor een aanvaller het onderliggende systeem kan overnemen. Het volstaat dan bijvoorbeeld om een e-mail met een kwaadaardige bijlage te versturen die automatisch wordt gescand, waardoor de aanvaller misbruik van het lek in de virusscanner kan maken.
Rechten
Anti-virussoftware draait meestal met de hoogste systeemrechten zoals root of local system, waardoor een lek in de virusscanner een aanvaller ook meteen deze rechten geeft. Koret besloot een groot aantal virusscanners te onderzoeken en ontdekte 14 lokale en remote lekken in verschillende producten van onder andere Avast, AVG, Bitdefender, ESET, F-Secure en Panda. Een aantal van de kwetsbaarheden zouden inmiddels zijn gepatcht, een aantal niet. Via de kwetsbaarheden kan een aanvaller in het ergste geval willekeurige code op de computer uitvoeren.
De onderzoeker concludeert dan ook dat een virusscanner het systeem niet veiliger tegen een ervaren aanvaller maakt en het aanvalsoppervlak juist vergroot. "Ze zijn net zo kwetsbaar als elke andere applicatie", laat Koret weten, die nogmaals herhaalt dat anti-virussoftware de computer juist kwetsbaarder maakt. Ook zouden de programma's vol kwetsbaarheden zitten. Iets waar sommige anti-virusbedrijven volgens de onderzoeker niets om geven.
Hij adviseert gebruikers dan ook om virusscanners niet te vertrouwen. In het geval organisaties anti-virussoftware willen uitrollen zouden ze de machines waarop de virusscanner draait, zoals gateways en systemen voor netwerkinspectie, moeten isoleren en de gebruikte software door een derde partij laten auditen.
Bron: http://www.makeuseof.com/tag/antivirus-tracking-youd-surprised-sends/.
Laatste paragraaf: Hij adviseert gebruikers dan ook om virusscanners niet te vertrouwen. In het geval organisaties anti-virussoftware willen uitrollen zouden ze de machines waarop de virusscanner draait, zoals gateways en systemen voor netwerkinspectie, moeten isoleren en de gebruikte software door een derde partij laten auditen.
Laat me raden: Coseinc. is zo'n derde partij die zo'n audit tegen betaling kan leveren?...
Neemt niet weg dat er een kern van waarheid in zit dat een virusscanner het aanvalsoppervlak vergroot.
Maar ga nou alsjeblieft niet denken: "Ik gebruik nooit meer een virusscanner, want die is onveilig".
(hoewel het is om te beginnen beter om jezelf veilig surfgedrag aan te leren, met daarnaast een goeie virusscanner...)
is dat vrijwel iedereen dan denkt, ik heb een (betaalde) virusscanner, nu kan ik doen en laten wat ik wil ,en overal op los klikken.
Echter het aantal virussen of malware dat gebruik maakt van privilege escalation op antivirussoftware komt weinig tot niet voor. Op zich geen reden daar geen aandacht aan te besteden want het gaat om impliciete kwetsbaarheden die een keer kunnen worden misbruikt.
Voorkomen is beter dan genezen.
* soms wel : Tavis Ormandy, "Sophail: A Critical Analysis of Sophos Antivirus"
https://lock.cmpxchg8b.com/sophailv2.pdf
https://lock.cmpxchg8b.com/sophail.pdf
Al je een system "hardened" is een van de aandachtspunten alle niet gebruikte services uit zetten. Vervolgens komt er ook een lijst van wat ze vinden dat normaliter niet gebruikt wordt. Je voelt het probleem denk ik wel met die aanname.
Het kunnen/willen monitoren van alles wat er gebeurt is een activiteit die je hoort te doen. Vaak wordt dat wegens complexiteit of kosten achterwege gelaten. (eens spatieman..)
Naast wat er hier al genoemd wordt is er ook nog het bekende probleem dat virusscanners over het algemeen
automatisch geupdate worden zonder voorgaande test, terwijl alle andere software eerst getest wordt voor het in
productie genomen wordt. Daar zijn ook al diverse rampen door gebeurd links en rechts.
Het grote probleem is echter: "in de boekjes" staat dat je een virusscanner moet hebben, dus als je die niet hebt
ben je "not compliant".
Dat heeft meestal toch meer gewicht dan technische overwegingen.
OT: Ja, een virusscanner is software die met verhoogde rechten draait en toegang heeft tot de diepste krochten van het systeem. Het is goed om daarover na te denken en te realiseren dat daar een kwetsbaarheidsfactor in zit. Dat is een gezonde gedachtegang, maar tot nu toe blijkt dat het niet op te wegen tegen de risico's die je loopt zonder virusscanner.
Heb jij je nooit afgevraagd wat de AV boeren met jouw gegevens en data doen? Alle email laten we scannen (sommigen zetten er zelfs een voettekst onder) alle bestanden worden gescand en we weten dat er data wordt verstuurd. Daarnaast weten we dat McAfee (bijvoorbeeld) een veel gebruikte zakelijke scanner is. Via dat platform heb je potentieel toegang tot elk systeem binnen een organisatie.
Er is echter geen echte oplossing voor dit hypothetisch probleem. Elke oplossing die je aandraagt verergert eerder de situatie dan dat er daadwerkelijk een stap wordt gezet richting betere afscherming van de data.
Heb jij je nooit afgevraagd wat de AV boeren met jouw gegevens en data doen? Alle email laten we scannen (sommigen zetten er zelfs een voettekst onder) alle bestanden worden gescand en we weten dat er data wordt verstuurd.
Heb jij je nooit afgevraagd wat een antivirus cloudscanner met jouw data online doet?
Sommige scanners sturen bestanden die zijzelf suspect vinden het internet op. Bijvoorbeeld volgens deze zelf reclame wiki pagina, https://en.wikipedia.org/wiki/Hitman_Pro
Daarnaast hebben sommige fabrikanten nou eenmaal inniger banden met diverse overheidsdiensten.
Geen cloudscanner gebruiken.
Geen real time protectie toepassen met online communicatie.
Geen browser urls door je virusscanner laten controleren.
Feedback functies uitschakelen en gevonden bestanden niet laten uploaden.
Zelf de momenten kiezen updates binnen te halen in plaats van automatisch in verband met online statistiek en dus privacy.
De overige rechten die de antivirusscanner zich toe eigent beoordelen op wat er in het end user licence agreement, eula, staat beschreven. Land van herkomst van de scannerfabrikant beoordelen. Marketing gedrag van de fabrikant in de media beoordelen.
Dan vallen er misschien algauw een aantal populaire fabrikanten af.
Laatste paragraaf: Hij adviseert gebruikers dan ook om virusscanners niet te vertrouwen. In het geval organisaties anti-virussoftware willen uitrollen zouden ze de machines waarop de virusscanner draait, zoals gateways en systemen voor netwerkinspectie, moeten isoleren en de gebruikte software door een derde partij laten auditen.
Laat me raden: Coseinc. is zo'n derde partij die zo'n audit tegen betaling kan leveren?...
Neemt niet weg dat er een kern van waarheid in zit dat een virusscanner het aanvalsoppervlak vergroot.
Maar ga nou alsjeblieft niet denken: "Ik gebruik nooit meer een virusscanner, want die is onveilig".
(hoewel het is om te beginnen beter om jezelf veilig surfgedrag aan te leren, met daarnaast een goeie virusscanner...)
Sorry, I cannot write in NL. While I work for COSEINC, I did thi research as myself during my spare time just for fun, not for profit or asked by my employer.
die jouw schade niet wenst te betalen, omdat je geen virusscanner op je computer
hebt staan. Je kunt altijd aanvoeren dat je wel op gezette tijden een offline scan
uitvoert,
Kijk !
Dat bedoel ik en daar pleit ik ook al jaren voor .
Gewoon uit alle auto's de airbag slopen en die vervangen door een lange vlijmscherpe ijzeren pen op het stuur en een centimeter of 10 van de borstkas af .
Geloof me ... het aantal ernstige ongevallen zal drastisch afnemen .
Daarnaast zijn er ook de appliances (meestal Linux) die niet altijd even goed worden onderhouden. Het zou mij niets verbazen als er nog lekken in de SSHd kunnen worden gevonden.
Wil wel zonder beperkingen het internet kunnen bezoeken.
Heb daarom van een laptop de harde schijf verwijderd en start op met Live Linux Mint 17 (niet geinstalleerd maar als image op USB-stick)
Doe direct na het opstarten de gevoelige zaken zoals bankzaken.
Start opnieuw op en doe op het internet waar ik zin in heb, bezoek alles zonder mij ergens zorgen over te maken.
Misschien wat omslachtig maar volgens mij veiliger dan alle gebruikelijke methoden (denk ik).
Laatste paragraaf: Hij adviseert gebruikers dan ook om virusscanners niet te vertrouwen. In het geval organisaties anti-virussoftware willen uitrollen zouden ze de machines waarop de virusscanner draait, zoals gateways en systemen voor netwerkinspectie, moeten isoleren en de gebruikte software door een derde partij laten auditen.
Laat me raden: Coseinc. is zo'n derde partij die zo'n audit tegen betaling kan leveren?...
Neemt niet weg dat er een kern van waarheid in zit dat een virusscanner het aanvalsoppervlak vergroot.
Maar ga nou alsjeblieft niet denken: "Ik gebruik nooit meer een virusscanner, want die is onveilig".
(hoewel het is om te beginnen beter om jezelf veilig surfgedrag aan te leren, met daarnaast een goeie virusscanner...)
Sorry, I cannot write in NL. While I work for COSEINC, I did thi research as myself during my spare time just for fun, not for profit or asked by my employer.
Hmmm... so why does it say on slide 28 of your research:
* I don't give my research for free.
* Audit your products.
Seems there still is some business interest too, right?
And it's difficult to keep a fully free mind if money is involved.
Anyway, my main concern is that after reading this topic on security.nl some common people would think
that they 're better off surfing the internet without any AV-protection at all.
But with hundreds of thousands of threats and exploits out there, such behaviour is probably even more dangerous
than the risk of a few vulnerabilities you have discovered in AV-software.
Don't get me wrong: I highly appreciate your work, I do see the risks and I'm not denying everything.
People really should be aware of things you 've mentioned.
And depending on the situation it might be worth a professional audit.
(though even professionals may overlook something... so it's probably still not fully 100% safe. Only safer...)
Like once in a while somebody gets shot in the city of Amsterdam. So that's a real and fatal threat.
But should this be a reason for everybody who visits Amsterdam to buy and wear a "fully tested" bulletproof vest now?...
In most cases it makes more sense to just avoid "warzones" and "obscure places" and not showing risky behaviour.
My point is that the meaning of the results were not put enough into perspective,
which easily causes the message to become unbalanced,
causing common people are even tempted now to completely remove all their AV-software.
And I suppose this was not your intention, or was it?...
ai tink dat duh sumboddy of 28-07-2014, 18:17 has teeken joe bai duh noos
ferry vunnie hi hi
bai duh wee emsterdem dus nod hef warzones
peeple ket shot on duh street eefen in bissi sjopping streetz on duh deelait tijm
notting toe doe wif "obscure places" ant risky behaviour det ar juzt verry teels vrom duh peepers
uzu allie normal peeple dont ket hurt so nothing is on duh hand
but joe anzwer ant opinion is goet on duh av software bekos we niet it
zoo complimentinks of duh enklies wadz better den di of duh anonimus riesurtzjer
nottink too be asjeemt of
verie greetinks animonus
Thanks for your reply mr. Anmienosus. I belief that I made the good choice the way I reacted earlier. (-;
btw: dit you not wiet yet det bissi sjopping striets aar warzones? Eweribodi always seems to bi in de war over dèèèr...
(like a bunch of chicks without head)
Keep the fun alive, and please keep your English accent. It's just fine!
Many goeroehoedjes
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
