11. März 2010
Das ist fast schon so krass wie die Blackberry-Geschichte in den Vereinigten Arabischen Emiraten: Forscher von TippingPoint haben eine scheinbar nützliche Anwendung mit dem Namen “WeatherFist” auf einem Portal zum Download und zur Installation auf Mobiltelefonen angeboten. Innerhalb von wenigen Stunden haben über 700 User die Anwendung runtergeladen und installiert. Innerhalb einiger Tage waren es bereits 8000 infizierte Telefone. Neben der harmlosen Wetteranzeige hat die Anwendung nur den Standort des Telefons gemeldet, genauso einfach hätte man jedoch auch echten Schaden anrichten können. Erstaunlich, daß es bisher nicht mehr Schadanwendungen für Mobiltelefone gibt. Oder hat die nur noch niemand entdeckt?
Das Problem ist … was will man dagegen tun? Nur Anwendungen aus vertrauenswürdigen Quellen herunterladen? Aus dem iTunes Store für das iPfusch, aus dem Google Store für das Android und aus dem Ovi Store für Nokia? Und was, wenn es das benötigte da nicht gibt? Beispielsweise war Putty für das TouchUI eine der ersten Anwendungen die es auf mein neues Telefon geschafft haben. Inzwischen laufen da mehrere Tools, die nicht aus dem Ovi Store sind.
Das Problem wird sein, daß Virenscanner keine echte Chance haben, solche Anwendungen zu finden. Ja, es gibt für mein Mobiltelefon beispielsweise einen Schadcode-Scanner von Trend Micro und einen weiteren von F-Secure. Der von F-Secure ist sogar vorinstalliert. Ich wette, das hätte TippingPoint-Trojaner auch nicht erkannt. Dafür kostet der Adobe Reader 10,- Euro. Das ruft doch nur so nach infizierten Raubkopien. Und mit etwas Geschick kann man einen Trojaner immer so programmieren, daß der Virenscanner ihn nicht findet.
Lösungen? Tja, eine echte habe ich nicht. Nur signierte Anwendungen zuzulassen ist jedenfalls keine. Dann bekommt man ein Lock-in-Gerät wie mit dem iPfusch von Apple. Was ich mir für mein Telefon wünschen würde, wäre beispielsweise eine einfache Übersichtsseite, welche Anwendung auf welche Funktionen(GPS, Datenübertragung eingehend/ausgehend, welche IP-Adressen/Server, etc.) zugreift und eine Möglichkeit das (a) zu Beschränken und (b) zu Widerrufen. Das AccuWeather auf meinem Mobiltelefon fragt mich bei jedem Aufruf ob ich eine Netzverbindung erlauben will. Das ist zwar nett aber nervig. Ich würde das dieser Anwendung beispielsweise pauschal erlauben. Google Maps fragt mich nicht sondern greift einfach auf GPS und Datenverbindung zu. Ich wüsste nicht wie ich das verbieten kann. Andere Anwendungen haben mich bei der Installation einmal gefragt und fertig. Widerrufen ist nicht vorgesehen nur Deinstallation. Ich denke, da müssen die Mobiltelefonhersteller noch von den Desktopfirewallherstellern lernen.
Ach ja, weiß jemand zufällig ob es Truecrypt für das N97 mini gibt?
(Danke Sören)
Tags: Acrobat Reader,
F-Secure,
Mobiltelefon,
Putty,
Symbian,
Tipping Point,
Trojaner
10. März 2010
F-Secure hat festgestellt, daß der Adobe Reader die gefährdetste Anwendung ist. Fast 49 Prozent aller Client-Side Angriffe richten sich gegen den Reader oder das Reader-Plugin im Browser. Auf Platz zwei mit rund 39 Prozent folgt Microsoft Word. Es wird also Zeit, über Alternativen nachzudenken. Mehr bei F-Secure.
(via The Register)
Tags: Acrobat Reader,
Adobe,
F-Secure,
PDF
24. März 2009
Manchmal finde ich F-Secure peinlich.
Eigentlich hat F-Secure einen ganz guten Virenscanner. Ich setze den selbst auf meinen Terminalservern und Firmenclients ein, der Virenschutz ist schnell und braucht wenig Ressourcen, die Erkennungsrate ist gut und insgesamt läßt sich die ganze Suite auch einfach konfigurieren. Aber es gibt bei F-Secure Sachen die einfach schrecklich sind.
Die Süddeutsche Zeitung hat unter dem Titel “Alt und gefährlich” einen Artikel veröffentlicht, der sich mit der Problematik veralteter und damit angreifbarer Software auf einem Rechner beschäftigt. Das ist ein bekanntes Problem und beispielsweise Secunia hat mit dem PSI (für Privatanwender) und CSI (für Firmen) ein recht nützliches Tool entwickelt, das aufzeigt welche veralteten und angreifbaren Programme sich noch auf einem Rechner befinden. Ich wünsche mir eigentlich schon seit längerem so eine Funktion integriert in einen Virenscanner. F-Secure ist nun auf diesen Zug aufgesprungen. Leider.
Der Link der Süddeutschen Zeitung verweist auf den F-Secure Health Check. Wenn man diese Seite mit abgeschaltetem Javascript oder ohne Flash betritt, bekommt man nur den lapidaren Hinweis: “Get Adobe Flash Player”. So etwas geht gar nicht. Der Flash Player ist eine der vielen Anwendungen, die oft veraltet auf Systemen rumliegen und leicht angegriffen werden können. Gerade bei einem Angebot, das mich vor veralteter Software schützen sollte, darf ich nicht schlimmstenfalls gezwungen werden, noch extra Software installieren zu müssen. Davon abgesehen, welcher Webseitenbetreiber ist denn so daneben, eine Webseite ausschließlich in Flash zu gestalten (ausgenommen natürlich derBauer)?
Das einzige, was diese völlig unnütze Flash-Seite übrigens macht, ist auf eine andere F-Secure Seite weiterzuleiten. Und hier wird es dann völlig peinlich. Diese Seite funktioniert auch nur mit Javascript. Und meldet meinem Browser dann lapidar: “F-Secure Health Check requires Microsoft Internet Explorer 6 or later”, sogar mit Copyright- und Trademark-Hinweis. Der F-Secure Health Check ist nämlich ein ActiveX-Control und läuft natürlich nicht in Firefox.
Hallo F-Secure! Aufwachen!
- ActiveX ist die kaputteste Variante, so einen Dienst zu implementieren. Fragt mal die anderen Virenscanner-Hersteller, wie dumm das ist. Beispielsweise Panda, Bitdefender, Authentium, nochmal Panda, Symantec Norton, McAfee, nochmal Symantec, schon wieder Panda und McAfee, usw. … oder wie Heise damals schrieb: “Sicheres ActiveX und andere Märchen“.
- Vielleicht hat es sich bis Finnland noch nicht rumgesprochen: es gibt auch andere Webbrowser als den Internet Explorer. Und es gibt gute Gründe, Firefox, Opera oder Safari unter Windows einzusetzen, z.B. weil man dann die Sicherheitsprobleme mit ActiveX nicht hat.
- Wenn sogar der Süddeutschen Zeitung auffällt, daß ActiveX eine dumme Idee ist, dann sollte man vielleicht was ändern. Wörtlich aus dem Artikel: “Auf einen solchen Eingriff reagieren Sicherheitsprogramme aber meist allergisch. Denn das Programm lädt ein ActiveX-Applet auf den Rechner, das dann auch noch einige Updates nachlädt, um den Rechner dann zu durchsuchen.”
- Und nein, der lapidare Kommentar von Herrn Rapp, “das ActiveX-Applet landet im Browser-Cache und lässt sich somit leicht entfernen” ist keine Lösung. Die meisten Windows-Nutzer dürfen nämlich damit überfordert sein, den Cache zu löschen oder ActiveX-Controls zu deaktivieren. Besonders wenn in der FAQ dazu steht: “Delete folder PCHC_1_1 in C:\Documents and Settings\xxxxxxx\LocalSettings\Temp\”.
Liebe Freunde von F-Secure, so gut euer Virenscanner auch ist, DAS hier ist völlig daneben. Setzen, 6.
Tags: ActiveX,
F-Secure,
Secunia,
Virenscanner
21. Dezember 2007
Eigentlich kaum überraschend, daß die Erkennungsrate der Virenscanner schlechter wird. Das Computermagazin c’t hat die gängigen weit verbreiteten Virenscanner getestet und viele schneiden deutlich schlechter in der Erkennung ab als vor einem Jahr.
Korrekt ist natürlich, daß die Malware-Szene immer professioneller wird, ich habe das hier ja auch schon angedeutet. Vor der Veröffentlichung werden die Schadprogramme auf Webseiten wie Virustotal oder AvCheck auf ihre Erkennbarkeit getestet und zumindest AvCheck bietet einen kostenpflichtigen Service der garantiert, daß die Schadprogramme nicht an die Virenscannerhersteller weitergegeben werden. Erschreckend ist aber auch, daß die Scanner mit ihren Heuristiken Schadprogramme nicht mehr erkennen, die sie vor einem Jahr noch erkannten.
Beim Behaviour-Blocking konnte nur ein Produkt, F-Secure, überzeugen während die Heuristik von Esets NOD32 mit 68% der unbekannten Schädlinge die beste Erkennungsrate aufwies. Kaspersky und BitDefender gehören laut The Register auch zu den besseren Produkten.
Das einzige was mich erschreckt ist, daß F-Secure auch Computer Bild Testsieger bei den Online-Virenscannern geworden ist. Und das ist normalerweise ein Hinweis, daß ein Produkt für den professionellen Einsatz gar nicht zu gebrauchen ist.
Ach ja … Whitelists irgendwer?
Tags: F-Secure,
Kaspersky,
Virenscanner,
VirusTotal
14. Dezember 2007
Tja, so ein Defacement kommt in den besten Familien vor. Meistens wie hier auch, ist ein Fehler in der Forensoftware schuld. Ich warte ja darauf, daß mein Wordpress auch irgendwann kompromittiert wird 
Tags: Blog,
Defacement,
F-Secure,
Forum,
Wordpress
27. Juli 2007
Ich bin ja schon lange der festen Überzeugung, wenn man ein Server-Netzwerk komplett übernehmen will, dann braucht man entweder eine Lücke in der Backup-Software oder eine Lücke im Virenscanner. Das sind die beiden Programme, die in der Regel auf allen Servern identisch installiert sind.
Aktuell ist gerade wieder Stimmung in der Kiste, wie ein paar Links von Heise zeigen:
Gut, man muß natürlich zugeben, daß Virenscanner gar nicht so trivial sind. Alleine die Funktionen um mit diversen Packern wie ZIP, RAR, GZIP, TAR, BZIP, … und diversen Embedded-Formaten wie OLE zurechtzukommen ist nicht einfach zu programmieren. Trotzdem ist es natürlich ärgerlich, wenn ein Rechner durch eine Lücke in einer Schutzsoftware übernommen wird.
Andreas Marx von der AV-Test GmbH testet regelmäßig im Auftrag diverser Publikationen Virenscanner auf ihre Erkennungsrate und Funktionalität. Das ist ganz hilfreich um zu erkennen, wie Zuverlässig ein bestimmter Virenscanner nicht nur bezüglich der Wildlist sondern auch seltenerer Schadprogramme ist. Ein akzeptabler Virenscanner liegt heute im Bereich von etwa 95-98% Erkennungsrate. In diesem Bereich bleibt bei der Analyse nichts mehr übrig.
Ich bin das Thema deshalb von einer anderen Seite angegangen. Meine Fragestellung war:
Welcher Virenscanner hat die meisten Sicherheitsprobleme?
Zur Auswertung habe ich die von Secunia veröffentlichten Statistiken zu Sicherheitslücken verwendet und auf einige Virenscanner und Hersteller runtergebrochen. Dabei werden verschiedene Farben verwendet:
- rot: extemely critical
- orange: highly critical
- gelb: moderately critical
- hellgrün: less critical
- dunkelgrün: not critical
Die Farbe in einem Kästchen gibt immer die Sicherheitslücke mit der höchsten Gefährdungsstufe aus diesem Jahr an, die Zahl die Anzahl der Sicherheitslücken insgesamt in diesem Jahr. Wenn über den betrachteten Gesamtzeitraum mehr als 7 Sicherheitslücken eines Produkts bekannt wurden, ist das Produkt rot markiert. Und hier die Auswertung:
Am schlechtesten schneiden nach dieser Metrik die Produkte von Symantec, Kaspersky, Trend Micro und F-Secure ab. Ob das irgendeinen Nutzen hat wage ich zu bezweifeln. Lustig finde ich es aber trotzdem.
Tags: F-Secure,
Kaspersky,
Secunia,
Sicherheitslücke,
Symantec,
Trend Micro,
Virenscanner
10. Juni 2007
Kaspersky gehört jetzt nicht gerade zu meinen bevorzugten Virenscannern, ich könnte aber noch nicht einmal genau sagen, warum. Ich bin halt mit F-Secure schon sehr zufrieden und F-Secure funktioniert schön effizient und ressourcenschonend auch auf unseren Terminalservern.
Trotzdem darf man ja mal über den Tellerrand hinausblicken und weil wir gerade beim Thema sind, Kaspersky hat auch ein Blog und kürt jeden Monat die Top 10 der Schadprogramme nach folgenden Kategorien:
- Greediest Trojan targeting banks
- Greediest Trojan targeting payment cards
- Greediest Trojan targeting e-payment systems
- Stealthiest malicious program
- Smallest malicious program
- Biggest malicious program
- Most malicious program
- Most common malicious program in email traffic
- Most common Trojan family
- Most common virus\worm family
Das klingt doch mal nach einer Herausforderung, oder? Aber Achtung, die Hürden sind hoch. Im April verwendete das versteckteste Programm 11 verschiedene EXE-Packer und das größte Schadprogramm umfasste 220 MB. 220 MB? Lässig
Tags: F-Secure,
Kaspersky,
Viren,
Virenscanner
Ich habe mich ja schon ein paar mal gefragt, wo kann man Schadcode am besten in einem Windows System unterbringen, damit er beim Booten automatisch gestartet wird aber nicht zu sehr auffällt.
F-Secure hat uns jetzt freundlicherweise die Arbeit abgenommen und eine Liste der wichtigsten 10 Startpunkte für Schadprogramme zusammengestellt. Die Liste ist an sich wenig überraschend, an erster Stelle steht der berüchtigte “Run”-Schlüssel unter HKLM\Software\Microsoft\Windows\CurrentVersion. Aber die Idee mit dem SharedTaskSheduler oder Winlogon ist auch nicht schlecht.
Ich muß mal ein paar Erweiterungen für meine Schadprogramme schreiben
Tags: F-Secure,
Viren,
Virenscanner,
Windows
20. Mai 2007
F-Secure pusht mal wieder die Idee einer Toplevel-Domain .bank die nur für Banken zur Verfügung stehen soll. Auf den ersten Blick klingt das gar nicht so schlecht und F-Secure sucht wohl auch gerade einen Sponsor, der das Thema bei ICANN weitertreiben soll. Auf den zweiten Blick wird das ingesamt nicht viel bringen.
- Die Leute klicken sowieso auf alles was sich bewegt, selbst wenn extra dabei steht, daß man sich damit seinen Rechner infiziert
- Die Phisher basteln sich auch weiterhin lustige URLs wie www.postbank.bank.secure.hk und die Leute fallen auch weiterhin drauf rein
- Weil es immer wieder Lücken im Browser gibt, mit denen z.B. durch JavaScript falsche URLs in der Kopfzeile angezeigt werden können
- Weil sogar die Default-Einstellungen von Firefox nichts taugen
Das einzige, was eine solche Toplevel-Domain bringt ist, daß sich die Hersteller von Virenscannern und Personal Firewalls leichter tun. Wenn es nach .bank geht ist es ok, braucht man schon mal nicht mehr kontrollieren. Und irgendwann ist einfach alles andere suspekt und fertig.
Hey F-Secure, macht Eure Hausaufgaben
Tags: Browser,
F-Secure,
Firefox,
ICANN,
Javascript,
Mozilla,
Phishing,
Spoofing
28. April 2007
Was ist eigentlich aus den angekündigten Handy-Viren geworden? Außer dem einen oder anderen Hoax dazu und vielleicht ein paar Proof-of-Concept Viren wie Cabir kann ich nichts mehr dazu finden. F-Secure hat zwar 2005 mal versucht, den Toyota Prius über die Bluetooth-Schnittstelle mit Cabir zu infizieren, nach deren Aussage aber ohne Erfolg. Ok, es gab wohl ein paar Fast-Infektionen, aber nichts das wirklich größeren Schaden verursacht hätte.
Trotzdem scheint ein Markt für Anti-Virus Produkte da zu sein. Kaspersky bietet ein Anti-Virus Mobile an, ebenso Trend Micro. Kauft das irgendwer? Ist da wirklich ein Markt? Handelt es sich um reine Panikmache? Oder sind so viele mobile Geräte schon geschützt, daß sich die Viren und Würmer deshalb nicht mehr ausbreiten können?
Um Aufklärung wird gebeten.
Tags: Bluetooth,
Cabir,
F-Secure,
Kaspersky,
Mobiltelefon,
Trend Micro,
Viren
