Montag, 3. März 2008

Computerwoche: Virenscanner öffnen Hackern die Türen

Ok, ist schon ein paar Tage her und es ist eigentlich eine Wiederholung meines letzten Posts, aber ich komme leider jetzt erst dazu diesen wunderbaren November-Artikel aus der Computerbild - Entschuldigung - Computerwoche (wie konnte ich diese Qualitätszeitungen nur verwechseln) zu verlinken:

Computerwoche Einleitung (Titelstory 23. November 2007)
Computerwoche Artikel

Ohne Zweifel ist der Artikel insgesamt auf dem erwarteten Niveau der Computerwoche, insbesondere das uns die Sicherheitsexperten einer Firma "n-runs AG" (siehe letzter Post) diese Geschichte erzählen. Aber der Kern ist durchaus erwähnenswert und zeigt einmal mehr, auf welch dünnem Eis die Sicherheit durch Sicherheitsprodukte eigentlich steht.

Es geht darum, dass vor allem die Parser der Virenscanner nachweislich mit vielen Fehlern behaftet sind (wer erinnert sich nicht an die lustigen rekursiven ZIPs, die vor einigen Jahren faktisch alle Gateway-Scanner zum erliegen gebracht haben) und diese sehr oft mindestens zu einem DoS-Angriff nutzbar sind. Darüberhinaus lassen sich eben auch Exploits finden, die während des Parsings zur Codeausführung kommen und aufgrund der Tatsache, dass Virenscanner Systemrechte haben, auch mit vollen Systemrechten zuschlagen können.

Freitag, 23. November 2007

Experte: Sicherheitssoftware ist gefährlich

Na, da sagt es ja mal jemand fast noch deutlicher. Auch wenn ich immer etwas vorsichtig bin, wenn unbekannte Firmen mit angeblichen Experten und noch angeblicheren empirischen Studien oder eignene Analysen aufwarten, trotzdem gefällt mir dieser Artikel natürlich:

"Unternehmen, die viele Anti-Viren-Produkte installieren, erhöhen damit auch ihr Risiko, einem Hackerangriff zum Opfer zu fallen.

Das sagte Thierry Zoller, Sicherheitsexperte der Oberurseler n.runs AG, dem Branchendienst Infoworld. Zoller und sein Kollege Sergio Alvarez haben demnach zwei Jahre lang die Anti-Viren-Lösungen führender Hersteller untersucht.

Die Schwachstelle liege in der Parser Software der Anti-Viren-Produkte, hieß es. Die Parser Software wird genutzt, um Dateien zu öffnen und zu untersuchen. Zoller und Alvarez hätten als 80 Schwachstellen in der Parser Software entdeckt, von denen viele noch nicht geschlossen seien.

Auch große Hersteller seien betroffen. 80 Prozent der Lecks erlaubten es den Hackern sogar, Schadcode auf einem System auszuführen. Einige Anwender glaubten, es helfe, viele Anti-Viren-Engines einzusetzen, so Zoller. Das Gegenteil sei der Fall. "Diese Nutzer erhöhen das Risiko, weil jede Anti-Viren-Lösung Bugs hat."

Zoller Arbeitgeber sieht hier eine Marktlücke. n.runs bietet die Software 'ParsingSafe' an - die Nutzer vor Parsing-Attacken schützen soll.

Andere Experten halten die Aussagen für überzogen. Hacker hätten Schwachstellen dieser Art bislang noch nicht ausgenutzt, sagte Russ Cooper, Senior Scientist bei Verizon Business. Zum einen seien sie mit anderen Taktiken erfolgreich. Zum anderen hätten die Hacker ein höheres Entdeckungsrisiko, wenn sie sich an Anti-Viren-Software wagten – und die Lecks würden schnell geschlossen.

Die Anti-Viren-Hersteller wüssten längst, dass ihre Software Schwachstellen aufweise, sagte Marc Maiffret, CTO bei eEye Digital Security. "Sicherheitssoftware ist so verletzbar, wie jede andere Software auch."

Quelle: silicon.de


Aber es ist natürlich klar, dass die Herren Zoller und Alvarez wohl vor allem Ihr tolles neues Produkt verkaufen wollen. Womit sie sich allerdings irgendwie selbst wiedersprechen, denn noch eine weitere Software auf den Maschinen führt in der eigenen Logik doch zu einem weiteren gefährlichen Angriffsziel....

Mittwoch, 19. September 2007

Treiber von Sicherheitssoftware gefährden Systemstabilität

Weniger Sicherheit durch Sicherheitsprodukte - ein entsprechendes Bulletin kam heute von Matousec Security mti einer eindrucksvollen Beweisführung, wie angreifbar namhafte "Sicherheitsprodukte" sind. Heise hat die Nachricht aufgegriffen und folgende in folgender Liste zusammengefasst:

Betroffen sind laut der Matousec-Analyse folgende Produkte:

  • BlackICE PC Protection 3.6.cqn
  • G DATA InternetSecurity 2007
  • Ghost Security Suite beta 1.110 and alpha 1.200
  • Kaspersky Internet Security 7.0.0.125
  • Norton Internet Security 2008 15.0.0.60
  • Online Armor Personal Firewall 2.0.1.215
  • Outpost Firewall Pro 4.0.1025.7828
  • Privatefirewall 5.0.14.2
  • Process Monitor 1.22
  • ProcessGuard 3.410
  • ProSecurity 1.40 Beta 2
  • RegMon 7.04
  • ZoneAlarm Pro 7.0.362.000

Bei den meisten Produkten handelt es sich um die aktuellen Versionen, für die es derzeit noch keine Updates gibt.

Die detaillierte Analyse einschliesslich Code-Erklärung und Analsyse-Tool findet sich hier.



Freitag, 7. September 2007

Downlad a Virus - direkt beim Anti-Virus-Hersteller

Eine nette Phishing-Variante ist gerade aufgetaucht: E-Mails mit AV-Software-Werbung (wie sie ja tatsächlich auch massenhaft von Marketing-Abteilungen der AV-Hersteller versendet werden) werben mit einer kostenlosen Version und linken auf einen sehr guten Nachbau der Trend Micro Seite. Die angebotene AV-Software enthält dann aber gleich einen Virus frei Haus, schön eingepackt in den Schutz vor "anderen" Viren...

Alles nachzulesen im Blog von Trend Micro:
http://blog.trendmicro.com/trend-micro-web-site-phished21/

Mittwoch, 5. September 2007

www.picidae.net - Content Filter Go Home

Über Sinn und Unsinn von Content Filtern lässt sich ja noch weniger streiten als über Anti-Virus Produkte. Während letztere unter bestimmten Umständen als notwendiges Übel bei gut überlegtem Einsatz noch einen Rest Sinn ergeben können, so sind Content Filter zumindest als "Wir passen auf das niemand böse Seiten sieht"-Produkte eine völlig überflüssige Security-Budget-Vernichtungsidee. Mit Angstmache-Themen wie Compliance oder am besten "Schutz schutzbedürftiger Mitarbeiter (Azubis)" wird ein Zeug verkauft, dessen primäre Auswirkung die maximale Verlangsamung des produktiven Internetzugriffs ist - nicht mehr und nicht weniger.

Netterweise haben jetzt zwei Schweizer ein Stück Open Source entwickelt, welches die Sinnlosigkeit des Zensurkampfes in Perfektion aufzeigt:

http://pici.picidae.net/

Einfach mal eine beliebige URL eintippen und staunen. Das Ding ist ein einfaches Stück Code, welches eine beliebige Webseite in ein Image mit Imagelinks verwandelt und damit alle existierenden Content-Parser gegen die Wand laufen lässt: Zufälltige Struktur, keine bad words, keine eindeutige URL. Das Ergebnis ist ein angenehmes und wirklich schnelles browsing vorbei an allen Filtern.

Für alle, die mehr wissen wollen - am besten mal auf die Projektseite gehen. Dort wird auch gut beschrieben, warum das einfache sperren der picidae-URL nichts bringt und wie man selbst an dem Projekt teilnehmen kann, um zB Chinesen mehr Spass am Internet zu bescheren.

Ich bin gespannt ob es die Corporate ITs damit etwas schneller begreifen, wie sinnlos bestimmte IT-Ausgaben eigentlich sind - oder ob es wie so oft beim verzweifelten Festhalten an der Security by Obscurity Linie bleibt.

Dienstag, 4. September 2007

SQL Injection ganz einfach

SQL Injection ist ja ein recht breites Thema und wird in vielen Blogs und Webseiten bereits ausführlich behandelt. Wenn ich es hier anspreche, dann aus folgenden Gründen: Zum einen sollte es einfach latent immer im Bewusstsein bleiben, wie mächtig dieses Hacker-Werkzeug ist und wie oft auch gut gesicherte Webseiten durch Fehler in diesem Bereich angreifbar werden. Zum anderen aber, weil ich letzte Woche ein wirklich gutes Papier gefunden habe, in dem eine Variante beschrieben wird, die das Verhältnis Einfachheit zu Auswirkung wirklich optimal beschreibt.

Erstmal zum Thema SQL Injection (Wiki-Artikel) für alle, die es noch nicht kennen:
    SQL-Injektion (engl. SQL Injection) bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken, die durch mangelnde Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht. Der Angreifer versucht dabei über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Datenbankbefehle einzuschleusen. Sein Ziel ist es dabei Daten in seinem Sinne zu verändern oder Kontrolle über den Server zu erhalten.

Üblicherweise wird eben versucht, SQL-Befehle abzusetzen. Gary Oleary-Steele beschreibt nun eine neue Variante, die er hier erklärt:

SQL E-Mail Recovery Attack (englisch, PDF-Link)

Das Papier ist wirklich lesenswert, kurz gesagt beschreibt er wie man unter bestimmten Umständen die "Passwort vergessen"-Funktion vieler Webseiten ausnutzen kann, um sich Zugang zu einen fremden Account zu verschaffen.

Dienstag, 28. August 2007

Wikiscanner und die Folgen

Er ist eingeschlagen wie eine Bombe: Der Wikiscanner (bzw. hier für die deutsche Wikipedia) Und zugegeben, auch wenn das, was er tut, eher trivial ist, so ist es doch mal wieder die Zusammenführung von existierender Information, die plötzlich eine völlig neue Sichtweise ermöglicht.

Für alle, die sich noch nicht mit dem Wikiscanner auseinandergesetzt haben: Er analysiert einfach die IPs, die bei jeder Wiki-Änderung hinterlegt werden, gegen die offiziell zugeteilten IP-Ranges und kann damit vielen Wiki-Einträgen einen "Urheber" geben. Das ist faktisch immer nur ein Unternehmensname, aber dennoch lässt der direkte Vergleich zwischen Eintrag und Unternehmen allzuoft deutliche Rückschlüsse zu. Nicht zu sprechen von kleineren Unternehmen, bei denen man eigentlich - wenn man sie kennt - fast schon die Person ausmachen kann, die hinter einer Änderung steht.

Ein einfaches Beispiel

Die deutsche Microsoft geht über MS Dublin ins Internet, im deutschen Wiki werden primär deutsche Microsofties editieren, ein kurzer Blick in den Wikiscanner und wir dürfen uns 163 Änderungen ansehen:

http://wikiscanner.virgil.gr/f_DE.php?ip2=213.199.128.0-143.255

Neben lustigen Einträgen (was ist denn nun ActiveX?? Wie lange gibt eine Kuh Milch?) mischt Microsoft natürlich auch bei den eigenen Produkten mächtig mit. Das ganze ist sehr überschaubar und birgt wenig Anlass zur Kritik, es zeigt aber die Möglichkeiten des Scanners sehr gut.

Die Konsequenzen

Sicher kann man jetzt viel über statische IP-Ranges schreiben (oder gar dem Lifetime IP-Feature von IPv6 uns seine Folgen in diesem Kontext). Mir geht es aber um etwas anderes:

Der Wikiscanner zeigt, welche Folgen lanfristige IP-Speicherung hat. In der Debatte um "Vorratesdatenspeicherung" sollte spätestens jetzt auch der letzte Anti-Terror-Schreihals aufwachen: Die Profilierung von Individuen wird perfektioniert. Es wird immer wieder zu versehentlichen Veröffentlichungen von IP-Bewegungsdaten kommen und es gibt kein Vergessen. Auch in 10 Jahren kann die eigene Jungendsünde zwar verjährt sein, aber immer noch im Netz kursieren. Und es wird Mashups geben, die auf einen Blick alle Daten zusammentragen und sehr binär über die eigene Zukunft entscheiden.

Ich werde hoffentlich bald mal Zeit finden, das ganze prototypisch in ein eigenes Mashup gegen Wiki / Foren / AOL Suchliste / Google Groups laufen zu lassen, aber ich denke es müsste schon so recht klar geworden sein: Die eigene Spur ist mit einem Log Off oder dem Schliessen des Browserfensters noch lange nicht vernichtet...