{"id":213,"date":"2007-08-09T23:28:34","date_gmt":"2007-08-09T21:28:34","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/213-ccc-camp-antivirus-insecurity"},"modified":"2018-05-31T17:53:14","modified_gmt":"2018-05-31T16:53:14","slug":"ccc-camp-antivirus-insecurity","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/213-ccc-camp-antivirus-insecurity","title":{"rendered":"CCC Camp: Antivirus (In)Security"},"content":{"rendered":"<p>Der <a href=\"http:\/\/events.ccc.de\/camp\/2007\/Fahrplan\/events\/2042.en.html\">Vortrag von Sergio &#8217;shadown&#8216; Alvarez<\/a> von n runs war irgendwie wieder so ein typischer n runs Vortrag wie auf dem Congress auch immer. Da wird ein aktuell relevantes Thema verwendet, dann etwas Forschung darum getrieben, die sicher gar nicht mal schlecht ist (Shadown hat \u00fcber 80 Sicherheitsprobleme und Bugs an die diversen Virenscanner-Hersteller gemeldet) und dann wird f\u00fcr den CCC ein Vortrag zusammengestellt, der bestenfalls auf Management Niveau noch jemanden vom Hocker rei\u00dft, weil einfach gerade gar keine Details drin sind.<\/p>\n<p>Sicher richtig ist, dass von L\u00fccken in AV-Software rund 90% der Computer betroffen sind. Das ist nicht wenig. Andererseits ist es so, dass die AV-Hersteller eben auch eine sehr effektive Methode haben, \u00fcber Updates der Scan-Engine auch die Fehler schnell zu beheben. Man vergleiche die t\u00e4glichen Updates mit dem monatlichen Patchday von Microsoft.<\/p>\n<p>Interessant fand ich gerade noch die Zusammenstellung der Mythen:<\/p>\n<ul>\n<li>AV-Software ist sicher<\/li>\n<li>AV-Software macht das Netzwerk sicherer<\/li>\n<li>AV-Software wird von Sicherheitsspezialisten entwickelt<\/li>\n<li>AV-Software verhindert alle Infektionen<\/li>\n<li>AV-Software entdeckt auch komplett unbekannte Viren<\/li>\n<\/ul>\n<p>Die Realit\u00e4t ist eher:<\/p>\n<ul>\n<li>Sehr alte Viren werden oft nicht mehr entdeckt (richten aber auch keinen Schaden mehr an)<\/li>\n<li>Eine Reihe von Binary-Packern werden nicht erkannt<\/li>\n<li>L\u00e4ngst nicht alle Archiv-Formate werden erkannt (wenn auch alle wichtigen)<\/li>\n<li>Spezielle Funktionen in Archiv-Formaten sind nicht implementiert (z.B. gzip concatenation)<\/li>\n<\/ul>\n<p>Die Probleme f\u00fchrt er auf folgende Hauptursachen zur\u00fcck:<\/p>\n<ul>\n<li>Fest einprogrammierte Passw\u00f6rter in Binaries (gut, kommt in den besten Familien vor)<\/li>\n<li>Fest einprogrammierte Verschl\u00fcsselungskeys in Binaries (kommt auch \u00f6fter mal vor)<\/li>\n<li>AdminConsole-Passw\u00f6rter in Konfigurationsdateien (es gab da einen Fall von Trend Micro)<\/li>\n<li>Client Listener (das ist ein echter Knackpunkt)<\/li>\n<li>Null DACLs f\u00fcr Registry Settings, Config Files und Handles (auch das stimmt zu 100%)<\/li>\n<li>Schlechte Inputvalidierung (viele Integer-Fehler)<\/li>\n<li>Probleme mit gro\u00dfen Dateien &gt;2GB<\/li>\n<li>Weit verbreitete Programme\/Filetypen sind oft noch nicht enthalten<\/li>\n<li>Zu viele Formate, die ein Parser verstehen muss<\/li>\n<\/ul>\n<p>Und dann gab es noch eine kurze Demo mit einem Fuzzer, bei dem er dann den Virenscanner zum Absturz gebracht hat. Cool &#8230; mit Fuzzing findet man also Virenscanner-L\u00fccken. Das ist sooo neu, da braucht es gleich einen Month of the AV-Software Bug(MoAVSWB).<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Vortrag von Sergio &#8217;shadown&#8216; Alvarez von n runs war irgendwie wieder so ein typischer n runs Vortrag wie auf dem Congress auch immer. Da wird ein aktuell relevantes Thema verwendet, dann etwas Forschung darum getrieben, die sicher gar nicht mal schlecht ist (Shadown hat \u00fcber 80 Sicherheitsprobleme und Bugs an die diversen Virenscanner-Hersteller gemeldet) [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[13,8],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/213"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=213"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/213\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=213"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=213"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=213"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}