Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hack malware AV detectie !?

01-03-2016, 20:49 door Anoniem, 2 reacties
Blij met je AV pakket?

Waarom?
- Omdat je ervoor betaald hebt?
- Omdat je AV pakket zo goed uit de tests komt?
- Uit welke tests is jouw AV zo goed tevoorschijn gekomen en op welke malware is er dan getest? Heb je dat ook bekeken?


Dit zijn vragen die me al, laten we zeggen, op zijn minst hebben beziggehouden sinds ongeveer juli 2015.
Nee hoor, eigenlijk veel eerder al maar juli 2015 gaf wel een extra impuls om die vragen wat actiever in het achterhoofd te houden.
Gaat er al een belletje rinkelen?
Wat was er ook alweer voor nieuws in juli 2015?

Security nieuws juli 2015

In juli 2015, nu 8 maanden geleden kwam er een ruime 400 GB aan informatie op straat te liggen die eigenlijk achter gesloten deuren had moeten blijven.
In die berg aan data bevonden zich allerlei soorten malware exploits voor onder andere Windows, Linux, Mac OSX, Android, iOS, Flash, MSOffice.

Ik heb het dan natuurlijk over de commerciële malware van een Italiaans bedrijf dat op straat kwam te liggen.
https://www.security.nl/posting/434642/Italiaanse+spyware-ontwikkelaar+HackingTeam+gehackt
https://www.security.nl/posting/434753/HackingTeam+had+zero+day-lekken+voor+Windows+en+Flash

Dat was voor dat bedrijf in kwestie ergens nogal best een vervelende aangelegenheid omdat het blootlegde waar allerlei malware haar oorsprong had, namelijk bij een commercieel bedrijf in Europa zelf, en vooral ook door wie en tegen wie deze malware exploits werden ingezet.

Ogen geopend

Wat we ergens 'stiekem' wel wisten werd ineens onmiskenbaar duidelijk, niet alleen werd malware geschreven en gebruikt door criminelen maar ook wereldwijd door vele overheden.
Alsof dat nog niet genoeg was werd ineens ook heel erg duidelijk dat niet alleen gepoogd werd criminelen te hacken maar juist ook niet criminelen als mensenrechten activisten en journalisten.
Ineens werd dus aannemelijk vastgesteld waar diverse soorten malware en soorten targeted attacks haar oorsprong vonden en door wie zij werden ingezet.
https://en.wikipedia.org/wiki/Hacking_Team

Gelukkig maar dat..

Het voordeel was, voor ons gebruikers, dat deze plotselinge openbaring er ook voor ging zorgen dat de AV industrie en onderzoekers het geopenbaarde exploits materiaal en het bijbehorende software pakket konden worden geanalyseerd opdat deze breed zouden konden worden opgenomen in de malware definities van vele AV pakketten.
Er daarbij vanuitgaande dat dat dan ook zou passen binnen de policies van betreffende AV bedrijven.

Hoe zit dat?

Want er was al eens eerder openlijk getwijfeld of AV bedrijven al dan niet op verzoek misschien detectie van sommige malware zouden uitsluiten.
Bits of Freedom schreef daarover al eens en heeft in 2013 geprobeerd daarop antwoord te krijgen van antivirus bedrijven.
30% van de aangeschreven Av bedrijven reageerden, niet alle AV bedrijven werden door BOF aangeschreven.
"Antivirusbedrijven: als we overheidsmalware ontdekken, dan verwijderen we die"
https://www.bof.nl/2013/11/15/antivirusbedrijven-als-we-overheidsmalware-ontdekken-dan-verwijderen-we-die/

Toegnomen urgentie van detectie

In de afgelopen tijd is de relevantie van deze problematiek alleen maar urgenter geworden.
Vlak nadat de gegevens van de hack op straat kwamen te liggen waren er zeer sterke aanwijzingen dat diverse diensten interesse hadden in de producten van het betreffende bedrijf naast het al bevestigde gebruik van software van dat andere bedrijf ( https://www.bof.nl/2014/09/08/is-het-hack-straks-van-de-dam/ ) en de verwachting lijkt niet onaannemelijk dat die interesse blijft bestaan met het oog op de naderende behandeling van het hackvoorstel (WETgeving!) en diensten daaromtrent meer bevoegdheden te geven.

Bof jij even dat er op één plek al allerlei informatie daarover voor jou is verzameld!
Hackvoorstel?
https://www.bof.nl/category/hackvoorstel/

Tot zover het ophalen van wellicht alweer weggezakte recente geschiedenis.

Nieuw nieuws

Vandaag en gisteren werd er bekend gemaakt door een onderzoeker dat het erop lijkt dat het betreffende Italiaanse bedrijf ondertussen inderdaad gewoon verder is gegaan met het doorontwikkelen van haar diensten en hackingsoftware.
https://tweakers.net/nieuws/108819/aangepaste-versie-os-x-malware-wijst-op-nieuwe-activiteiten-hacking-team.html
https://motherboard.vice.com/read/new-hacking-team-apple-mac-malware-samples
https://reverse.put.as/2016/02/29/the-italian-morons-are-back-what-are-they-up-to-this-time/

Dat lag op zich ook al wel in de lijn der verwachting omdat zij, dat Italiaanse bedrijf, dat in het najaar ook zelf bevestigende naar haar relaties met het onder de aandacht brengen van het vernieuwde softwarepakket.
Daar werd op deze site weliswaar geen ruchtbaarheid aan gegeven (je kan ook niet al het securitynieuws brengen) maar op Tweakers werd het draadje nog wel verder gevolgd, tot op heden dus aan toe.
https://tweakers.net/nieuws/106077/hacking-team-komt-met-nieuwe-spionagesoftware-voor-overheden.html

Recycling?

Eén van de conclusies die security researchers naar aanleiding van geüploade code naar Virus Total en het reverse engineeren daarvan hebben getrokken is deze
(Motherboard) "They are still doing business with all the leaked code."

En eerlijk gezegd verbaast me dat niet zo omdat het binnen een paar maanden volledig herschrijven van een geheel nieuw software pakket met allemaal nieuwe exploits een weinig realistische en haalbare kaart lijkt.
Het is die aanname die mij ook al geruime tijd bezighield, zou code worden gerecycled of zelfs nog in originele vorm nog worden gebruikt, ondanks dat dit ontdekt is?

Een aanname die misschien niet zo gek is als je kijkt naar het normale malware circuit. daar zie je bijvoorbeeld dat er veel malware in omloop is die gebruik maakt van allang bekende lekken in velerlei software. Met name gebruik van Flash MS-Office en ook Java hebben daarbij de voorkeur.
Malware (en haar makers) dus die er gewoon op gokken dat gebruikers de allang verkrijgbare patches voor die lekken niet hebben geïnstalleerd.

Dat werkt natuurlijk alleen goed als die gebruikers geen AV product heeft geïnstalleerd, of een slecht AV product.
Een goed AV product heeft natuurlijk haar zaakjes zeer goed op orde omdat zij voortdurend, al dan niet real time, haar malware definities bijwerkt omdat zij het malware aanbod heel erg goed bijhoudt.

Definitie-zaakjes op orde

Heel erg goed bijhouden van het aanbod?

Heb jij je wel eens afgevraagd wat AV bedrijven zouden hebben kunnen doen of hebben gedaan met die 400 GB aan data die ineens op straat kwam te liggen en nog steeds op het internet te vinden is?
Zouden AV bedrijven de afgelopen 8 maanden die tijd vol hebben benut om elke bit en byte in die berg data te analyseren en ten positieve te gebruiken om hun AV definitielijste helemaal piek fijn up to date te krijgen?

- Wat denk je?
- Wat verwacht je?
- Hoe kunnen we dat controleren?


Ik kan je helaas het antwoord niet helemaal geven, bijvoorbeeld omdat ik niet zou weten of en hoe je die 400GB aan data ter verificatie zou kunnen laten scannen door Virus Total.
Dat zou wel een ultieme test zijn denk je niet?

Ondertussen..

Vermoedelijk vlak voor dat mr. "reverse.put.as" kwam met zijn stuk over uploads van malware exemplaren op VT was er nog iemand anders bezig wat laagdrempelige checks uit te voeren ('Via via en uit via via zeer betrouwbare bron vernomen')
Op dezelfde dag werd er een VT steekproefje genomen, om te kijken of die AV bedrijven inderdaad vol hun kansen waar hebben hadden genomen bij al dat extra beschikbare malware materiaal uit 2015.
Met een beetje materiaal aal uploadend en scannend.

Willekeur?

Dat gaf nogal een wisselend maar weinig vertrouwenswekkend beeld.
Uploads van diverse soorten bekend geworden specifieke malware exemplaren gaven een enorme variatie.
Bij geen van een handje exemplaren en diverse soorten code definities (voor deeldetectie misschien) was het zo dat alle 55 scanners op het rood van detectie gingen.

In het beste geval ging het detectieresulaat richting 70/80% maar nooit overeenkomstig/gelijkwaardig gedetecteerd door dezelfde pakketten!
Alsof er met willekeur door de diverse AV bedrijven er een beetje naar gekeken was, een willekeurige graai genomen, het ene bedrijf het ene gedetecteerd en het andere bedrijf weer wat anders maar absoluut geen gelijkwaardige homogeniteit te ontdekken.

OS variaties

Er was wel een andere homogeniteit te ontdekken.
Een indicatie van homogeniteit, want het betrof 1 specifieke steekproef met code die er voor drie OS-en beschikbaar was voor een tesje.
Java code, tegenwoordig wat minder populair bij breed in te zetten malware mag altijd te proberen bij targeted attacks.

Uit dat proefje bleek dat detectie allerminst gelijk was voor de drie bekende soorten OS en als Windows, Linux en Mac OS X.
Daar zat een dusdanig groot verschil in dat je je op zijn minst mag gaan afvragen in hoeverre voldoende aandacht is besteed door AV bedrijven die ook AV pakketten aanbieden voor Linux en Mac OS X.

Oordeel zelf


Wat een verschillen hè?

Nogmaals wat vragen (aangenomen dat de indicatie klopt) :

- Wat heeft hier eigenlijk wel of zeg maar geen prioriteit na 8 maanden?!
- Waarom heeft het geen prioriteit?
- Mag je als gebruiker verwachten dat er wel of juist geen prioriteit is aan gegeven?
- Wordt je happy van een dergelijke indicatie als je er misschien ook nog wel flink voor moet betalen?
- Waarom levert na 8 maanden tijd een simpel testje geen vrijwel 100% detectie op onder 55 AV producten en bijvoorbeeld onder Mac OSX zelfs maar een hit bij slechts 1 AV product?


Maak je niet druk?

Hoewel je kan discussiëren over hoe groot de kans is dat je tegen deze vorm van malware aanloopt zou je wat mij betreft van Av producenten mogen verwachten dat de detectie vergaand in orde is en niet extra nog hoeft te vertrouwen op specifieke aanvullende producten.

Specifieke producten die wel eens aan relevantie zouden kunnen winnen als straks het legaal hacken sterk wordt uitgebreid en of dezelfde code wel in handen komt van de verkeerde mensen.
Want er is de laatste tijd op het gebied van encryptie al flink over gediscussieerd, code blijft nooit alleen in 'goede' handen en komt vroeg of laat ineens op straat te liggen.

Als dat gebeurt is de vraag wie je dan bescherming biedt.
De kleine steekproef van AV detectie gaf geen positief signaal af.

Veel sterkte met de herbeoordeling en overwegingen rondom het gebruik van een of je (extra) AV product!

'VT'groet met antihack(ge)moed,

XxX


P.s. Amnesty! Jullie project ligt stil!
https://github.com/botherder/detekt/releases/tag/2.0
Reacties (2)
02-03-2016, 09:37 door Anoniem
Heb je betrokken AV-boeren al aangeschreven?


Daarnaast geloof ik in Rechtsorde.
Ik kan dan wel lid zijn van de kerk van het vliegende spaghetti-monster, maar dat plaatst ik niet boven de Wet. En volgens diezelfde wet, heeft het bedrijf in kwestie, net als Vupen bijvoorbeeld, geen wetten overtreden door malware te beheren / ontwikkelen. Er wordt belasting over betaald, dus het mag.

Dat doet natuurlijk niets af aan de morele kwesties.
Zoals dat ook van toepassing is op een particulier bedrijf dat de analoge tapdiensten voor het politieapparaat levert. En net zoals bij het feit dat de ING haar volledige serverpark heeft ondergebracht bij een Amerikaans bedrijf, hun je je inderdaad afvragen wat wel en niet wenselijk is.


De échte vraag is, wat je -realistisch gezien- kunt doen. 3 zaken:
- Objectieve informatiegaring, zie mijn allereerste vraag.
- Toch maar even gaan stemmen 6 april aanstaande. Of,
- Aandelen kopen van een aluminiumfabrikant. Het maakt overigens niet uit of ze folie of halffabricaten leveren, het gaat namelijk uitstekend met de aluminiumindustrie. Veel innovatie, veel gesubsidieerde eindproducten, veel nieuwe toepassingen = gratis beleggingsadvies ;)
02-03-2016, 17:01 door Anoniem
- De échte vraag is, wat je -realistisch gezien- kunt doen. 3 zaken
Nee dat is een hele slechte samenvatting en misleidend.
Het beste wat jij zelf kan doen is het topic nogmaals lezen en de werkelijke boodschap wel proberen op te pikken in plaats hier andere boodschappen te verspreiden die volledig off topic zijn. (huisregels doen er niet meer toe?)



Globaal samenvattend

1) Diverse Security researchers ontdekken nieuwe hackmalware component via VT en analyseren die wat wel aandacht krijgt op andere sites maar niet hier op deze security site.

2) Steekproefsgewijze scans op datzelfde VT met oudere malware componenten van datzelfde bedrijf dat hacksoftware wereldwijd levert leert dat de oude componenten die al driekwart jaar wereldwijd op straat liggen vrijwel niet of zeer wisselend worden gedetecteerd door producten van AV bedrijven.

3) Overheid krijgt binnenkort misschien of waarschijnlijk meer bevoegdheden om burgers te hacken en doet dat wellicht met gebruik van de software die datzelfde bedrijf levert


Globale conclusies

Je kan je terecht druk maken over een nieuwe vondst van nieuwe hackmalware,
maar dat drukmaken over gebeurt hier nog niet zo.

Je kan je druk maken over het feit dat de overheid straks met eventueel gebruik van diezelfde hacksoftware ons starks loopt te hacken,
maar dat drukmaken over gebeurt hier nog niet zo.

Je zou je druk kunnen maken over hoe het straks gesteld is met jouw eigen veiligheid als er in een nieuwe situatie op los gehackt mag worden en jij niet, zeg maar onvoldoende beschermd wordt door producten die pretenderen jou te beschermen.

In het geval van nieuwe malware horen we begrip op te brengen dat er tijd zit tussen verschijnen van en detectie. Men moet er even aan kunnen werken.

In dit geval zijn er sterke aanwijzingen dat met inbegrip van een zeker begrip, de commerciele Av industrie onvoldoende de moeite lijkt te hebben genomen om datgene wat voor het grijpen op straat ligt aan malware code dan ook secuur te analyseren en ook daadwerkelijk te verwerken in de eigen producten.

Er lijkt eerder sprake te zijn van willekeurig wat bekenste componetjes eruit pikken (waar publicitair aandacht voor was) en die dan wel soms wel en soms niet meenemen in de definities voor voornamelijk de Windows productlijn terwijl er ook malware gevonden is die zich richtte op tenminste drie OS systemen, plus Android en iOS.

Voor de meeste/veel AV producten voor alle drie de OS-en moet worden betaald om er gebruik van te kunnen maken.
Het ziet er naar uit dat er veel gebruikers wel betalen maar niet de veiligheid krijgen die zij wel mogen verwachten omdat er heel selectief lijkt te zijn omgesprongen met het toevoegen van malware definities.

Daar kan je over gaan corresponderen met 56 bedrijven of je kan dat in algemene zin opmerken in de hoop dat gebruikers zelf hier heel kritisch naar gaan kijken.
Want jij hebt staks waarschijnlijk een product waarvan je verwacht dat het je beschermt en waarvoor je betaalt terwijl het je niet beschermt terwijl het wel die kans heeft gehad om jou die bescherming wel te bieden.

De grote vraag is dus waarom niet alle producten voor alle soorten OS-en goed, uitmunten scoren op de openbaar beschikbare malware code van dit hacking bedrijf.

Interessant voor iedereen want straks is iedereen veel minder beschermd tegen hacking dan ze veronderstellen


Andere kritische noot : je oproep hier om te gaan stemmen op 6 april met betrekking tot het "Referendum EU-verdrag Oekraïne" heeft hier niets en dan ook niets mee te maken! Zeer Offtopic.
Dat geeft al te denken wat je doel was, dit nog lege forumtopic gebruiken om aandacht te krijgen voor iets heel anders.
Jammer dat de moderators dit doorzichtige plannetje niet doorzagen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.