Mitternachtshacking

Symantec ist irgendwie auch eine lustige Firma.

Auf der einen Seite weiß ich nie, wie man den Laden eigentlich aussprechen soll. “Sümantek” oder “Simantek” oder “Seimantek” oder wie sonst? Auf der anderen Seite weiß ich nicht, womit die eigentlich ihr Geld verdienen. Security kann es jedenfalls nicht sein. Ok, Symantec hat da einen sogenannten Virenscanner im Angebot. Der bei uns intern “die gelbe Gefahr” heißt. Und angeblich soll der so viele Ressourcen benötigen, dass man alleine deshalb vor Viren und Schadprogrammen geschützt ist, weil man mit dem Rechner eh nicht mehr arbeiten kann. Aus dem Firewall-Markt (SGS, kennt die noch jemand?) hat sich Symantec auch verabschiedet, vermutlich weil die Software-Firma keine Hardware-Logistik stemmen wollte oder konnte. Statt dessen wird halt zugekauft, erst SecurityFocus (platt), dann PGP (mal sehen), jetzt Verisign (oh Gott). Der aktuelle tolle Marketingslogan von Symantec: “The last word in online trust” würde ich jetzt ganz spontan mit “die letzten, denen ich online vertraue” übersetzen.

Gründe dafür gibt es jedenfalls genug. Beispielsweise das von Symantec zur WM 2010 gestartete Portal 2010NetThreats, in dem Besucher kommentieren konnten und praktisch jeder Link in den Kommentaren zu Spam und anderen potentiellen Malware-Seiten zeigt.

Aber vielleicht haben wir das auch einfach nur falsch verstanden und 2010NetThreats ist eine Seite bei der die Bösen im Internet ihre Malware-Seiten registrieren können, damit die nächste Version des Norton 360% CPU-Auslastung Virenscanners sie auch zuverlässig erkennt.Wer weiß das schon.

Symantec hat auf einem Server Zugangsdaten von 44 Millionen Online-Spielern aus 18 Spiele-Webseites gefunden. Insgesamt rund 17 GByte Daten, hauptsächlich wohl chinesische Seiten und Spieler, gesammelt durch den Trojaner Loginck.

Je nach Spielstufe und Charakter sei ein Account zwischen 6 und 28.000 US-Dollar wert.

Davon abgesehen, dass es mich immer wieder wundert, wie Symantec ganz zufällig auf diese Server draufkommt (klar, die analysieren den Trojaner aber berechtigt das zum Login/Einbruch auf so einen Server?) scheint das Abgreifen von Spielerdaten inzwischen extrem lukrativ zu sein. Ich bin echt überrascht.

Symantec war einkaufen und PGP gehört jetzt Symantec. PGP, als Software von Phil Zimmermann entwickelt und als Firma mitgegründet, war lange Jahre ein Geschäftsbereich von Network Associates, wurde von NAI jedoch nicht konsequent weiterentwickelt. Die PGP-Software wurde deshalb zurückverkauft und ist jetzt bei Symantec gelandet. Zusammen mit den vorher von PGP gekauften Unternehmen Glück & Kanja Technology, Chosen Security und TC Trustcenter.

Tja, der Norton Virenscanner von Symantec heißt bei uns intern “die gelbe Gefahr”. Securityfocus … ein Schatten seiner selbst. Die ganzen Tools von Atstake wie LC5 … verschwunden. Die Symantec Firewalls (ganz früher Axent Raptor, dann Symantec Enterprise Firewall, zuletzt Symantec Gateway Security) … eingestellt.

Ich fürchte, mit PGP werde ich in Zukunft auch nicht mehr froh.

Symantec schließt einen großen Teil von SecurityFocus und führt einige Inhalte in Symantec Connect über. Zumindest die Bugtraq-Mailingliste und die Vulnerability Datenbank sollen aber (vermutlich erstmal) erhalten bleiben.

Eigentlich habe ich darauf ja schon seit der Übernahme gewartet. Kaum war @stake bei Symantec sind die ganzen Tools wie LC (das ehemalige LophtCrack) verschwunden. So schnell konnte man gar nicht sichern wie Symantec da bereinigt hat. Nicht sehr freundlich, wenn man mich fragt. Andere Firmen (namentlich wären hier McAfee und Foundstone zu nennen) sind da etwas cooler.

Ich persönlich glaube ja, Symantec hätte SecurityFocus am liebsten schon direkt nach der Übernahme zugemacht. Insbesondere die öffentliche Schwachstellendatenbank mit den Exploits dürfte einigen Leuten bei Symantec ein Dorn im Auge sein. Aber vermutlich hat Symantec den öffentlichen Aufschrei gefürchtet. Ich bin ja mal gespannt wie lange es die Schwachstellendatenbank noch öffentlich und kostenlos gibt.

(via Heise)

Nein, nicht die Chinesen bei Olympia sondern Symantec. Und nicht den Guinness-Rekord für den langsamsten Virenscanner der Welt sondern den Secunia-Ehrenpreis für die meisten erkannten Exploits durch die Norton Internet Security Suite. Immerhin 20% der Secunia-Exploits werden erkannt, im Gegensatz zu so etwa 2-3% bei den Mitbewerbern. Details zum Test hat Secunia hier im PDF aufgeführt.

Man kann jetzt darüber streiten wie die Ergebnisse zustandegekommen sind. Beispielsweise, ob Symantec die Exploits bereits kannte und die Suite darauf optimiert hat. Das finde ich aber eigentlich uninteressant.

Die Kernfrage ist eigentlich: Ist so eine Endkundensuite die richtige Stelle um Exploits zu erkennen und zu verhindern?

Natürlich ist es für die Anwender hilfreich, wenn bestimmte Angriffe auf das ungepatchte System so verhindert werden. Andererseits wird es niemals eine Suite geben, die eine große Anzahl an Exploits zuverlässig erkennen kann, da die Exploits immer wieder variiert oder neu entwickelt und verändert werden. Die Gefahr die ich sehe ist, daß sich Anwender auf den scheinbar so tollen Schutz dieser Software verlassen und dabei das Patchen und Aktualisieren der Software vernachlässigen. Der beste Schutz vor Exploits ist jedoch immer noch eine aktuelle, gepatchte Software ohne Lücke.

Aus dieser Überlegung heraus wäre mir z.B. eine Internet Security Suite die mich auf veraltete und nicht gepatchte Software hinweist wertvoller. Ein Virenscanner der sowieso alle gelesenen Dateien prüft sollte leicht in der Lage sein, so einen Check mal eben mitdurchzuführen. Mich erstaunt immer wieder, wie viele alte und nicht mehr benötigte Softwarepakete wie z.B. uralte Java-Installationen auf meinen Rechnern sind. Der Secunia Personal Software Inspector gehört beispielsweise in die Kategorie von Software auf die ich auf meinen Rechnern nicht mehr verzichten möchte. Gleichzeitig werden die Anwender sensibilisiert und passen vielleicht besser auf, daß die auf ihren Systemen installierte Software halbwegs aktuell gehalten wird.

(via Heise)

Ok, ich kenne niemanden sehr viele Privatpersonen und Firmen die McAfee freiwillig auf ihrem Rechner installieren würden. Das ist wie mit Symantec, dessen Norton Antivirus auch mal als gelbe Gefahr bester Virenscanner der Welt bezeichnet wird und den unsere Systemadministratorin und Windows-Guru nicht mal geschenkt sehr gerne auf ihren Systemen installieren wollte. Der McAfee Virenscanner hat auch schon mal natürlich noch nie die Produktionsanlagensteuerungssoftware eines unserer Kunden als Virus eingestuft. Und der McAfee SiteAdvisor warnte lautstark vor irrt sich niemals auch nicht wegen dem Heise Browsercheck der Exploits simuliert.

Jedenfalls hat der Anbieter der gefährlichen Spyware nützlichen Browsertoolbar 7search.com McAfee wegen unfairen Geschäftspraktiken und Rufschädigung verklagt und verlangt Schadenersatz.

Ich finde das ein idiotisches prima Geschäftsmodell. Da könnte man ja auch Viren verbreiten, die sich nur nach Zustimmung einer EULA Endkundennutzungsvereinbarung installieren, die das Reverse Engineering verbietet. Und dann verklage ich die ganze Baggage alle Virenscannerhersteller wegen Verstoß gegen die Lizenzbedingungen.

Das habt ihr nun davon Vorsorglich distanziere ich mich von meiner eigenen Meinung. Ich steh eh heute 3 Meter neben mir.

Eigentlich ist das ja ein älteres Thema aber es passt mir gerade gut, das hier jetzt aufzugreifen.

Intel hat sich eine richtig clevere Idee ausgedacht, um PCs vor diversen Problemen und Sicherheitsrisiken zu schützen: vPro. Das ist jetzt nicht ironisch gemeint. Ich halte das Modell wirklich für gut, wenn es richtig umgesetzt wird. Bei vPro läuft das Betriebssystem nicht direkt auf der Hardware sondern in einem leichtgewichtigen hardware-unterstützten Hypervisor. Der Hypervisor unterstützt mehrere virtuelle Systeme gleichzeitig, die dann für verschieden Funktionen verwendet werden können. Eine Idee ist, in so einem virtuellen System parallel zum normalen Windows Betriebssystem diverse Sicherheitsfunktionen ablaufen zu lassen. Intel nennt das “Virtuelle Appliances”.

In der Praxis würde das z.B. bedeuten, neben dem Betriebssystem gibt es eine virtualisierte leichtgewichtige “Appliance”, in der eine Firewall mit integriertem Intrusion Detection/Prevention System abläuft, die zwischen Hauptbetriebssystem und Netzwerk geschaltet wird. Dieses Konzept hat den wichtigen Vorteil, daß alle Funktionen in diesem virtuellen System vor dem Hauptbetriebssystem geschützt sind. Das Abschalten der Firewall-Funktion oder des Virenscanners durch einen Trojaner ist daher keine direkte Gefahr mehr. Ebenso könnte man in der virtuelle Appliance VPN-Gateways z.B. zum Sicheren Zugriff auf das Firmennetz einrichten. Ich kann mir hier unzählige spannende Möglichkeiten vorstellen.

Symantec hat diese Ideen offensichtlich fertig implementiert, es nennt sich VSS, Virtual Security Solution. Leider hat Symantec dabei einen bösen Fehler begangen. Nach dieser Meldung von Heise ist die Lösung auf Microsoft Windows CE implementiert (wohl eher XP Embedded, macht aber keinen Unterschied), ein leichtgewichtigeres Betriebssystem als ein komplettes Windows XP. Die VSS läuft und funktioniert, aber Symantec wird sich mit Microsoft bezüglich der Lizenzen nicht einig. Am Preis kann es eher nicht scheitern, nach Informationen der Seite Windowsfordevices kostet eine CE-Lizenz gerade mal drei (3) US-$. Ich würde daher vermuten, Microsoft sieht z.B. einen VPN-Gateway als “Server” und läßt es daher nicht zu, diese Software auf Windows CE laufen zu lassen. Statt dessen ist die volle Lizenz für einen Windows Server fällig. Natürlich ist das Konzept dann finanziell nicht mehr attraktiv. CNet schreibt, daß Symantec nun daran arbeitet, VSS auf ein Open Source Betriebssystem zu portieren.

Und an der Stelle verstehe ich Symantec ja gleich gar nicht mehr. Gibt es da überhaupt ein Management, das kompetente Entscheidungen trifft? Oder nach Marty McFly: “Hallooo” klopf auf den Kopf “irgendjemand zu Hause?”

Einerseits streitet Symantec seit geraumer Zeit mit Microsoft wegen den Schwierigkeiten, die durch die Beschränkung in Vista bestehen nur signierte Kernelmodule ablaufen zu lassen. Oder weil Microsoft die API nicht zeitnah veröffentlicht. Und weil Microsoft Security-Software zum Dumpingpreis anbietet.

Andererseits hatte Symantec bis zur Abkündigung alle Funktionen bereits auf einem Open Source Betriebssystem am Laufen: die Symantec Gateway Security (SGS) als Firewall mit VPN, Intrusion Prevention, SSL Gateway und Antivirus, auf einem gehärteten Red Hat Betriebssystem. Meinetwegen wechselt man noch schnell zu CentOS (dann braucht man Red Hat nichts mehr bezahlen) oder nimmt ein Embedded Linux. Wenn die Software unter Linux mal läuft, ist die Anpassung einfach. Aber nein, man will ja den Monopolisten Marktführer unterstützen.

Das Traurige daran: ich könnte mir vorstellen, daß VSS eine echt zukunftsweisende Technologie mit wichtigen Sicherheitsfunktionen sein könnte und jetzt halt zwei oder drei Jahre später erscheint. Allerdings hätte die Episode auch was gutes, wenn andere Hersteller davon lernen würden. Wird nur leider wohl eher nicht passieren. Andere Hersteller, z.B. hier RSA mit der SecurID-Appliance verwenden jetzt schon Windows Server 2003 in einer Appliance. Da würde ich doch niemals eine Appliance kaufen, wenn sowieso Windows drin ist.

Falls zufällig ein Hersteller einer tollen innovativen Appliance hier mitliest: nehmt ein Open Source Betriebssystem, meinetwegen auch FreeBSD oder OpenBSD anstatt Linux (dann müssen die Änderungen nicht veröffentlicht und an die Community zurückgegeben werden) aber Finger weg von Microsoft.

Ich bin ja schon lange der festen Überzeugung, wenn man ein Server-Netzwerk komplett übernehmen will, dann braucht man entweder eine Lücke in der Backup-Software oder eine Lücke im Virenscanner. Das sind die beiden Programme, die in der Regel auf allen Servern identisch installiert sind.

Aktuell ist gerade wieder Stimmung in der Kiste, wie ein paar Links von Heise zeigen:

• 25.07.2007: Pandas Antiviren-Business-Lösung lässt sich Code unterschieben
• 23.07.2007: Sicherheitslöcher in Antivirus-Produkten von Norman
• 21.07.2007: Lücken in Panda Antivirus und NOD32
• 17.07.2007: Schwachstellen in Trend Micros OfficeScan
• 13.07.2007: Sicherheitslecks in Antivirensoftware

Gut, man muß natürlich zugeben, daß Virenscanner gar nicht so trivial sind. Alleine die Funktionen um mit diversen Packern wie ZIP, RAR, GZIP, TAR, BZIP, … und diversen Embedded-Formaten wie OLE zurechtzukommen ist nicht einfach zu programmieren. Trotzdem ist es natürlich ärgerlich, wenn ein Rechner durch eine Lücke in einer Schutzsoftware übernommen wird.

Andreas Marx von der AV-Test GmbH testet regelmäßig im Auftrag diverser Publikationen Virenscanner auf ihre Erkennungsrate und Funktionalität. Das ist ganz hilfreich um zu erkennen, wie Zuverlässig ein bestimmter Virenscanner nicht nur bezüglich der Wildlist sondern auch seltenerer Schadprogramme ist. Ein akzeptabler Virenscanner liegt heute im Bereich von etwa 95-98% Erkennungsrate. In diesem Bereich bleibt bei der Analyse nichts mehr übrig.

Ich bin das Thema deshalb von einer anderen Seite angegangen. Meine Fragestellung war:

Welcher Virenscanner hat die meisten Sicherheitsprobleme?

Zur Auswertung habe ich die von Secunia veröffentlichten Statistiken zu Sicherheitslücken verwendet und auf einige Virenscanner und Hersteller runtergebrochen. Dabei werden verschiedene Farben verwendet:

• rot: extemely critical
• orange: highly critical
• gelb: moderately critical
• hellgrün: less critical
• dunkelgrün: not critical

Die Farbe in einem Kästchen gibt immer die Sicherheitslücke mit der höchsten Gefährdungsstufe aus diesem Jahr an, die Zahl die Anzahl der Sicherheitslücken insgesamt in diesem Jahr. Wenn über den betrachteten Gesamtzeitraum mehr als 7 Sicherheitslücken eines Produkts bekannt wurden, ist das Produkt rot markiert. Und hier die Auswertung:

Am schlechtesten schneiden nach dieser Metrik die Produkte von Symantec, Kaspersky, Trend Micro und F-Secure ab. Ob das irgendeinen Nutzen hat wage ich zu bezweifeln. Lustig finde ich es aber trotzdem.

Langsam bin ich ja schon enttäuscht. Da gibt es einen neuen Virus, der versucht die Leute zu erpressen (neudeutsch Ransomware) :

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.

Und wenn wir berücksichtigen, daß die meisten Privatleute (und erschreckend viele Firmen) keine Backups haben, ist das eine realistische Drohung. Nur: das ist schlicht gelogen. Der Trojaner scheint eine leicht modifizierte RC4-Routine zu verwenden. Das ist jedoch im Gegensatz zu RSA ein symmetrisches Verfahren und der Schlüssel zum Verschlüsseln ist der gleiche wie zum Entschlüsseln. Wenn der Virus die Daten verschlüsselt kann folglich aus dem Virus auch der Schlüssel zur Dechiffrierung extrahiert werden. Die cleveren Jungs von Kaspersky haben das rausgefunden und ein kostenfreies Tool zum Entschlüsseln veröffentlicht. Das wären dann 300 USD gespart. Nett von Kaspersky.

Bootnote (Begriff von The Register geklaut):

Wenn ich der Virenautor wäre, würde ich jetzt Kaspersky wegen wettbewerbsfeindlichem Verhalten verklagen. Die machen einfach das Geschäftsmodell kaputt. Und außerdem ist das garantiert ein Verstoß gegen den DMCA, der so Reverse-Engineering zur Umgehung von Sicherungsmaßnahmen (und das ist die Verschlüsselung ja wohl) eindeutig verbietet.

Wollte nicht auch mal Cult of the Dead Cow Symantec verklagen, weil die Back Orifice 2000 in Norton Antivirus als Schadprogramm erkannt haben? Dabei ist das doch ein normales Remote-Admin Tool, vergleichbar mit PCAnywhere und Symantec will nur die Wettbewerber ausschalten … ich finde aber keine Quelle mehr dazu.

Ich war früher mal der Ansicht, die Symantec Firewall ist gar nicht so schlecht, immerhin war sie die letzte Proxy-basierte Firewall. Die Symantec SGS fand ich jedoch schon nicht mehr so ideal weil Hardware von einem Software-Hersteller ist immer ein wenig kritisch zu sehen. Für Standard-Server wie HP oder Dell krieg ich leicht flächendeckend Hardware-Austausch vor Ort in 4 Stunden. Mit den Appliances geht das meistens nur in Großstädten oder gar nicht.

Die SGS besteht im Grunde nur aus einem gehärteten Red Hat Linux sowie der Symantec Raptor Firewall darauf. Ich habe deshalb ja immer gehofft, Symantec wird vernünftig und bietet die Software wie Check Point zur Installation auf beliebigen Servern an. Statt dessen hat Symantec die Firewall offiziell eingestellt. Und jetzt wird es wüst. Richtig entwickelt wird da meiner Meinung nach nichts mehr und die meisten Updates und Fixes machen die Sache eher schlimmer.

Ein Kunde kämpft folglich gerade mit seinem Cluster:

Description: VPN Tunnel Fails after “reboot all cluster nodes now”
1. Configure site to site vpn tunnel between two 2-node clusters using load balancing
2. On one cluster, execute “reboot all cluster nodes now”
3. After nodes reboot, the pings and or wgets fail
4. use bftstat dump -> tunneldb (or look at SGMI active connections) and note that each node negotiated its own tunnel

Oder auf deutsch: wenn man beide Cluster-Node gleichzeitig neu bootet, baut jeder Node für sich die VPN-Tunnel neu auf und weil dann zwei Tunnel da sind funktioniert gar nichts mehr. Leider merken das die Nodes nicht alleine sondern man muß danach einen manuell aus- und wieder einschalten, damit der andere dann die VPN-Tunnel alleine hat.

Ich bin mal gespannt, wann Symantec da einen Fix bringt oder ob der (nicht ganz billige) Wartungsvertrag unseres Kunden vorher abläuft.

Über die Symantec dann ersetzende Firewall bin ich mir auch noch nicht ganz schlüssig:

• Cisco ASA ?
• Check Point FireWall-1 ?
• Juniper NetScreen ?
• oder was exotisches wie Phion ?

Hat zufällig jemand eine Übersicht der Funktionen sowie Vor- und Nachteile? Das würde mir gerade viel Arbeit sparen-