Mitternachtshacking

Der Vortrag von Sergio ’shadown‘ Alvarez von n runs war irgendwie wieder so ein typischer n runs Vortrag wie auf dem Congress auch immer. Da wird ein aktuell relevantes Thema verwendet, dann etwas Forschung darum getrieben, die sicher gar nicht mal schlecht ist (Shadown hat über 80 Sicherheitsprobleme und Bugs an die diversen Virenscanner-Hersteller gemeldet) und dann wird für den CCC ein Vortrag zusammengestellt, der bestenfalls auf Management Niveau noch jemanden vom Hocker reißt, weil einfach gerade gar keine Details drin sind.

Sicher richtig ist, dass von Lücken in AV-Software rund 90% der Computer betroffen sind. Das ist nicht wenig. Andererseits ist es so, dass die AV-Hersteller eben auch eine sehr effektive Methode haben, über Updates der Scan-Engine auch die Fehler schnell zu beheben. Man vergleiche die täglichen Updates mit dem monatlichen Patchday von Microsoft.

Interessant fand ich gerade noch die Zusammenstellung der Mythen:

• AV-Software ist sicher
• AV-Software macht das Netzwerk sicherer
• AV-Software wird von Sicherheitsspezialisten entwickelt
• AV-Software verhindert alle Infektionen
• AV-Software entdeckt auch komplett unbekannte Viren

Die Realität ist eher:

• Sehr alte Viren werden oft nicht mehr entdeckt (richten aber auch keinen Schaden mehr an)
• Eine Reihe von Binary-Packern werden nicht erkannt
• Längst nicht alle Archiv-Formate werden erkannt (wenn auch alle wichtigen)
• Spezielle Funktionen in Archiv-Formaten sind nicht implementiert (z.B. gzip concatenation)

Die Probleme führt er auf folgende Hauptursachen zurück:

• Fest einprogrammierte Passwörter in Binaries (gut, kommt in den besten Familien vor)
• Fest einprogrammierte Verschlüsselungskeys in Binaries (kommt auch öfter mal vor)
• AdminConsole-Passwörter in Konfigurationsdateien (es gab da einen Fall von Trend Micro)
• Client Listener (das ist ein echter Knackpunkt)
• Null DACLs für Registry Settings, Config Files und Handles (auch das stimmt zu 100%)
• Schlechte Inputvalidierung (viele Integer-Fehler)
• Probleme mit großen Dateien >2GB
• Weit verbreitete Programme/Filetypen sind oft noch nicht enthalten
• Zu viele Formate, die ein Parser verstehen muss

Und dann gab es noch eine kurze Demo mit einem Fuzzer, bei dem er dann den Virenscanner zum Absturz gebracht hat. Cool … mit Fuzzing findet man also Virenscanner-Lücken. Das ist sooo neu, da braucht es gleich einen Month of the AV-Software Bug(MoAVSWB).