Manchmal hab ich echt den Eindruck ich steh im Wald … heute war wieder so ein Tag.
Ein Kollege und ich hatten ein Gespräch mit einem potentiellen Kunden über Penetrationstests. Wir haben so unsere Leistungen vorgestellt und das Gespräch drehte sich dann über potentielle Einstiegspunkte in ein Netzwerk. Ich sehe da vor allem Webapplikationen und Mails, die User auf Drive-by-Schadprogramme lotsen.
Irgendwann kam dann das Gespräch auf Virenscanner und irgendwer hatte dem Penetrationstest-Interessenten erzählt, Virenscanner seien das absolut übelste was es gibt und man könne mit einer einzigen Mail jeden beliebigen Virenscanner so übernehmen, dass dann ein Programm installiert wird, das dann automatisch eine Verbindung nach außen aufbaut und sensible Programme hinausschleust.
Ich habe mich irgendwie an den Vortrag von Sergio Alvarez auf dem Chaos Camp erinnert, der sich ja mit Sicherheitslücken in Virenscannern beschäftigt hatte aber so krass kam das damals bei ihm nicht rüber. Ich sehe das auch ein klein wenig anders:
- Virenscannerhersteller sind gewohnt, schnelle Updates zu verteilen. Wenn so eine Lücke auftritt, wird die normalerweise in relativ kurzer Zeit per Scannerengine-Update automatisch aktualisiert. Das „Window of Vulnerability“ dürfte daher meistens relativ klein sein.
- Mit einer einzelnen Mail lässt sich bestimmt nicht jeder Virenscanner übernehmen. Ich halte es vielleicht gerade noch für denkbar, dass für (fast) jeden Virenscanner ein Attachment konstruiert werden kann mit dem dieser Virenscanner übernommen werden kann.
- Die meisten Unternehmen haben mehrere Virenscanner verschiedener Hersteller im Einsatz, am Gateway und auf den Clients, das erschwert zumindest solche Angriffe.
- Defense-in-Depth bedeutet auch, dass nicht jeder Client beliebig Verbindungen ins Internet aufbauen kann, das sollte also dadurch schon verhindert werden.
Insgesamt stellte sich für mich die Frage: Welchen Sinn hat es, auf Virenscannern rumzureiten, wenn die Ausgangsposition des potentiellen Kunden war, mit Hilfe eines Penetrationstests die Sicherheit der von den Administratoren verwalteten Systeme von Extern überprüfen zu lassen. Ich habe für die verwendete Firewall vielleicht sogar noch einen Zero-Day in der Hinterhand aber das beweist nicht, dass die Administratoren schlechte Arbeit leisten oder das Produkt an sich schlecht wäre. Das beweist lediglich, dass man mit Glück und zum richtigen Zeitpunkt (genau, schon wieder das Window of Vulnerability) eigentlich immer einen Weg irgendwo rein findet.
Ich hab dann mal beim Arbeitgeber von Sergio auf die Webseite gekuckt. Siehe da, die haben ein Produkt mit dem Namen „Parsing Safe“ entwickelt, mit dem sich Virenscanner anscheinend in eine gekapselte Umgebung einbetten lassen, die Exploits verhindern soll. Erinnert mich einerseits an die Sandbox-Technik z.B. von Finjan, auf der anderen Seite an PivX, die irgendwann mal einen Sicherheitslösung für den Internet Explorer entwickelt hatten.
Und klar, wenn man einen Penetrationstest als Verkaufsveranstaltung für die eigenen Sicherheitsprodukte betrachtet, dann macht dieses Vorgehen plötzlich Sinn.