image

Virusscanner had Microsoft en Apple kunnen redden

dinsdag 26 februari 2013, 12:25 door Redactie, 9 reacties

De aanval op werknemers van Facebook, Microsoft en Apple had voorkomen kunnen worden als die de juiste virusscanner hadden gebruikt. De Java-exploit die de aanvallers op een forum voor iPhone-ontwikkelaars hadden verstopt werd al sinds 19 november 2012 door F-Secure gedetecteerd, ook al ging het hier om een zero-day exploit waarvoor nog geen beveiligingsupdate beschikbaar was.

Via de exploit werd een backdoor op de systemen geïnstalleerd. "Onze anti-virus had Microsoft en Apple kunnen redden", stelt Mikko Hypponen van F-Secure. De vraag is of ook andere virusscanners de malware of exploit proactief hadden gedetecteerd en of de medewerkers van de drie IT-giganten wel anti-virus op hun laptop gebruikten, ook al waren dat Macs.

Detectie
De zaak kwam aan het rollen toen op een Mac-malware mailinglist de gebruikte backdoor werd gedeeld. Het was afkomstig van een bedrijf dat de backdoor op het eigen netwerk had ontdekt, maar niet bij name wil worden genoemd, zegt Sean Sullivan van F-Secure tegenover Security.NL.

"Het was geen virusscanner die de dreiging vond, maar het monitoren van netwerkverkeer." Sullivan sluit niet uit dat anti-virus mogelijk wel was betrokken. "Misschien was de malware eerst op Windowscomputers bij Facebook ontdekt, via een virusscanner, en leidde de analyse van de Windows-backdoor naar de Command & Control-server (C&C), en ontdekte het securityteam dat Macs met dezelfde C&C communiceerden."

Wat er precies gebeurde is onbekend, aangezien Facebook, Apple en Microsoft de details nog niet hebben vrijgegeven. "Hopelijk zullen ze dat doen zodra het politie-onderzoek is afgerond, zodat ook anderen ervan kunnen leren", merkt Sullivan op

Hij stelt dat de generieke detectie waardoor ook de nieuwe Java-exploit werd gedetecteerd, juist ontwikkeld was om Windows-gebruikers te beschermen.

Reacties (9)
26-02-2013, 12:44 door Ler0y JenKins
"Onze anti-virus had Microsoft en Apple kunnen redden", stelt Mikko Hypponen van F-Secure.

Wij van WC-eend... adviseren WC-eend!
26-02-2013, 13:57 door Spiff has left the building
"Onze anti-virus had Microsoft en Apple kunnen redden", stelt Mikko Hypponen van F-Secure.
Door Ler0y JenKins:
Wij van WC-eend... adviseren WC-eend!
Ja ja, die "Wij van WC-eend adviseren WC-eend" opmerking kennen we nu zo ondertussen wel, en begint nogal afgezaagd te worden.

Wat veel interessanter is, dat is de vraag óf en wélke virusscanners ander dan F-Secure eveneens bescherming hadden kunnen bieden tegen die betreffende exploit en aanval. Was F-Secure zo 'knap', of was het slechts een van de vele programma's die bescherming hadden kunnen bieden.
26-02-2013, 14:20 door Anoniem
Door Spiff:
Wat veel interessanter is, dat is de vraag óf en wélke virusscanners ander dan F-Secure eveneens bescherming hadden kunnen bieden tegen die betreffende exploit en aanval. Was F-Secure zo 'knap', of was het slechts een van de vele programma's die bescherming hadden kunnen bieden.

Wat ik nog interessanter vind: heeft MacOS net als Windows ook de mogelijkheid om het uitvoeren van programma's
te beperken tot de locaties waar software normaalgesproken geinstalleerd wordt (en waar de gebruiker neem ik aan niet kan schrijven), zodat je kunt voorkomen dat gebruikers al dan niet per ongeluk een programma downloaden en uitvoeren vanuit een downloadmap of tijdelijke map?
Windows biedt daar voorzieningen voor, maar heeft MacOS (en Linux) dat ook?

Daarmee kun je namelijk driveby downloads veel beter blokkeren dan met een virusscanner.
26-02-2013, 15:22 door [Account Verwijderd]
[Verwijderd]
26-02-2013, 17:58 door cjkos
De vraag is of ze überhaupt wel een virusscanner aan het werk hadden.

Volgens de bedrijven zelf is Apple zelf natuurlijk 'onschendbaar' voor virussen en Microsoft, tsja, blijft toch Microsoft.
26-02-2013, 18:38 door Anoniem
o.a. @ 14:20 anoniem

Geheel tegengaan van het 'per ongeluk' kan je niet, en het aanroepen van sommige processen zijn moeilijk te limiteren , o.a. javascript, python, java, ..

- Onder Mac OS X krijgt over het algemeen het programma dat je installeert de rechten mee van het account waaronder je het installeert (aangenomen dat je dan verschillende user accounts hebt met verschillende rechten ; admin, standaard, managed, guest)

- Sommige programma's claimen meer; bijvoorbeeld virusscanners gaan vaak op root niveau zitten, met een functioneel doel maar niet zonder risico (hint : publicaties Tavis Ormandy).

- Te overwegen is een programma map aan te maken onder een local user account, dan is het betreffende programma niet systeemwijd via andere user accounts benaderbaar. Het in variatie toepassen van deze truc is ook aan te raden bij kwetsbare internetplugins.

- Onder Mac OS X wordt de gebruiker gewaarschuwd (met keuzemogelijkheid) bij de eerste keer dat de gebruiker een programma probeert te openen dat is gedownload van het internet.

Aandachtspunten :

- Browsers, bijvoorbeeld Safari, de functie 'automatisch openen van gedownloade bestanden' uitzetten.

- Extensie weergave altijd geavtiveerd , om te kunnen zien of het betreffende pdf-je toch geen programma betreft, "document.pdf" of "document.pdf.app" , "fotomodel.jpg" of "fotomodel.jpg.app" ,.. "..zip" of ".. zip.app"

- Bestandsinfo , onder bestandsinfo kan ook als eigenschap "unix executable' vermeld worden, komt voor als de extensie ontbreekt en de Mac daarom niet weet met welk programma het moet openen.
Het kan ook zijn dat het ècht om een executable gaat en het terminal programma op command niveau dit gaat uitvoeren. Dat wil je niet, voor dat soort aangelegenheden zou het kunnen dat een virusscanner haar waarde bewijst.

Meer omtrent dit nieuwsbericht, het mijns inziens opmerkelijk selectieve veiligheids advies aangaande veiligheid voor Mac, heb ik wel beschikbaar maar niet gepost. *
Deels ook van toepassing op linux en windows en het mogelijk 'belang' van de virusscanner in een ander perspectief gezet.

*
- lang : ten opzichte van 1-regelige reacties is een inhoudelijke toelichting / onderbouwing, met tips, van 1300 woorden wat lang.
- houdbaarheid : los van moderatie en mogelijke interesse onder lezers heeft een reactie onder een artikel maar een houdbaarheid van enige dagen (igv anonieme posts, aanmaken account geen behoefte aan).
27-02-2013, 00:05 door Anoniem
Veel groter probleem is dat dit 'ergens' ontdekt wordt door een of andere AV partij, die gaan dan patsen met 'kijk wij hebben hem het eerst' en delen met andere AV's om de gebruikers te beschermen ho maar.

Dus het gaat niet om bescherming van gebruikers die dik moeten betalen, het gaat om geld.

Geen enkel product is de beste, het gaat er maar net om wie wanneer waar tegen aan gelopen is.

Blacklisting is dood, er moeten slimmere oplossingen komen, malware wordt elke maand slimmer, een systeem met alleen een blacklist AV product er op is beschermd op het niveau van de jaren 80.
27-02-2013, 09:36 door Ed Dekker
Door Spiff:
Wat veel interessanter is, dat is de vraag óf en wélke virusscanners ander dan F-Secure eveneens bescherming hadden kunnen bieden tegen die betreffende exploit en aanval. Was F-Secure zo 'knap', of was het slechts een van de vele programma's die bescherming hadden kunnen bieden.
Minstens zo interessant: gaan leveranciers ook net zoveel lawaai maken over malware die hun scanner had moeten pakken, maar gemist heeft? Totale transparantie werkt twee kanten op. Marketing blokkeert de ene richting en (ver)kleurt de andere. En dat is slecht voor security.
27-02-2013, 13:39 door Anoniem
'zodat anderen ervan kunnen leren' & virusscanner als oplossing?


Wat er precies gebeurde is onbekend, aangezien Facebook, Apple en Microsoft de details nog niet hebben vrijgegeven. "Hopelijk zullen ze dat doen zodra het politie-onderzoek is afgerond, zodat ook anderen ervan kunnen leren", merkt Sullivan op

Via de exploit werd een backdoor op de systemen geïnstalleerd. "Onze anti-virus had Microsoft en Apple kunnen redden", stelt Mikko Hypponen van F-Secure.

Conclusie en beschikbare kennis :

Aangaande quotes zie ik hier een wat opmerkelijke tegenstelling; het contrast tussen een tekort aan beschikbare kennis rondom de manier waarop systemen zijn besmet en de vaste overtuiging dat genoemd product dat had kunnen voorkomen. *


Mini-backdoor of meeliften op reeds geactiveerde SSH functionaliteit ?

Activatie van SSH connecties door de gebruiker zelf t.b.v. sharing bieden krachtige (misbruik) mogelijkheden.
Namelijk het via Remote Acces kunnen inloggen op terminal command niveau, dat in voorkomende gevallen Root acces en bijbehorende permissies betreft.

Dan is er al een 'backdoor' geactiveerd op SSH niveau (inclusief bijbehorende versleuteling) al dan niet met geminimaliseerde toegangspermissies / maximale user acces en voor het gemak een minimum aan psw restricties (instellen van eenmalig ingestelde en geaccepteerde certificaat gebaseerde toegangspermissie).
In eerste plaats aandacht voor poort 22 zou al een goed begin kunnen zijn.


'zodat anderen ervan kunnen leren' ... ... ...

Gemist en daarom als aanvulling ; neem onderstaand configuratie kernpunten ook eens in overweging :

- Java gebruik en configuratie
- Browser instellingen en plugins

- Wel of niet gebruik van Remote Login (SSH, poort 22, standaard uit maar even makkelijk geactiveerd / wijd open te zetten) / Remote Management / Remote Apple Events functionaliteit (al dan niet met specifiek user gespecificeerde permissies)
- Gebruik van Screensharing
- Gebruik van Bestandsdeling (bonjour technologie), monitoring shared directories
- Gebruik van Printerdeling en overige mogelijkheden (dvd / cd drive deling, webserver, xgrid-deling, internetdeling)

- Universele toegang voor externe devices en meer
- Gebruik bluetooth devices, bluetooth acces, bestandsdeling mogelijkheden via bluetooth

- Doelmatig accountbeheer op de Mac (scheiding admin en standard, accounts toewijzen voor specifiek gebruik, optimalisatie Mac configuraties dus)
- Sterk en specifiek firewall / poort beheer (welke poorten heb je echt nodig? Toewijzing en limitering poortacces per programma, monitoring).

- Interne kennis en afstemming met ICT afdeling rondom ICT gebruik en toepassingen binnen het eigen netwerk en naar buiten toe. (met aandacht voor eigen mobile werkmiddelen)
- Overwegingen rondom software configuratie en gebruik soorten software (gratis of betaald en veiliger)

En de tip van een virusscanner natuurlijk
- Die op zichzelf weer monitoring verdient (zie Tavis O.).


Nog op zoek naar een virusscanner voor de Mac ?

Voor een aardig (indicatief) inzicht in de keuzemogelijkheden.
Een bewonderenswaardige poging (door Thomas Reed) virusscanners voor Mac zelf te testen en op een rij te zetten (inclusief bescheiden kanttekeningen aangaande methoden en conclusies) :

http://www.reedcorner.net/mac-anti-virus-testing-01-2013/

20 scanners, gratis en betaald. Zie ook de 9e plaats (prima resultaat) en vergelijk dit met de 6 a 7 hoger scorende ( gratis ) alternatieven daarboven.


Virusscanner extra's : de firewall functionaliteit / monitoring poortgebruik

Een snelle blik op een paar reviews leert dat niet alle scanners die mogelijkheid hebben, of dit aanbieden in wel erg gelimiteerde vorm. Bijvoorbeeld door alleen het monitoren van de ingebouwde firewall van OS X, 'Aan of uit?' Auto-activatie i.g.v. van laatste optie.
Welke merk(en) dat betreft, wat je daarvoor als gebruiker wil neerleggen en daaruit voortvloeiende conclusies laat ik aan de lezer.


Monitoring programma's aanwezig op de Mac zelf (hulpprogramma's)

- Activiteiten weergave
- Console
- Netwerk hulpprogramma
- Terminal


Meer interesse in Mac Malware dreigingen en historie ?

Krijg snel een globaal beeld van Mac dreigingen, laagdrempelig en gecategoriseerd, by Thomas Reed :

http://www.thesafemac.com/mmg-threats/
http://www.thesafemac.com/mmg-catalog/


--

* veronderstellende n.b., wanneer virusscan software werkt op basis van een vaste routine (de verzameling geprogrammeerde code) maar de infectie route / routine nog onbekend is, lijkt het me dat je niet met zekerheid kunt vaststellen of de malware gedetecteerd had kunnen worden daar het eventueel de routines van de virusscanner zou kunnen hebben omzeild (remote root acces door malware / hackers).
Betreft misschien de marge tussen lab-test en bedrijfs realiteit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.