{"id":481,"date":"2008-01-22T17:03:01","date_gmt":"2008-01-22T15:03:01","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/481-die-bosen-bosen-virenscanner"},"modified":"2018-05-22T22:19:34","modified_gmt":"2018-05-22T21:19:34","slug":"die-bosen-bosen-virenscanner","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/481-die-bosen-bosen-virenscanner","title":{"rendered":"Die b\u00f6sen b\u00f6sen Virenscanner"},"content":{"rendered":"<p>Manchmal hab ich echt den Eindruck ich steh im Wald &#8230; heute war wieder so ein Tag.<\/p>\n<p>Ein Kollege und ich hatten ein Gespr\u00e4ch mit einem potentiellen Kunden \u00fcber <a href=\"http:\/\/de.wikipedia.org\/wiki\/Penetrationstest_%28Informatik%29\">Penetrationstests<\/a>. Wir haben so unsere Leistungen vorgestellt und das Gespr\u00e4ch drehte sich dann \u00fcber potentielle Einstiegspunkte in ein Netzwerk. Ich sehe da vor allem Webapplikationen und Mails, die User auf <a href=\"\/blog\/82-drive-by-hacking\">Drive-by-Schadprogramme<\/a> lotsen.<\/p>\n<p>Irgendwann kam dann das Gespr\u00e4ch auf Virenscanner und irgendwer hatte dem Penetrationstest-Interessenten erz\u00e4hlt, Virenscanner seien das absolut \u00fcbelste was es gibt und man k\u00f6nne mit einer einzigen Mail jeden beliebigen Virenscanner so \u00fcbernehmen, dass dann ein Programm installiert wird, das dann automatisch eine Verbindung nach au\u00dfen aufbaut und sensible Programme hinausschleust.<\/p>\n<p>Ich habe mich irgendwie an den Vortrag von Sergio Alvarez auf dem Chaos Camp erinnert, der sich ja mit Sicherheitsl\u00fccken in Virenscannern besch\u00e4ftigt hatte aber so krass kam das damals bei ihm nicht r\u00fcber. Ich sehe das auch ein klein wenig anders:<\/p>\n<ol>\n<li>Virenscannerhersteller sind gewohnt, schnelle Updates zu verteilen. Wenn so eine L\u00fccke auftritt, wird die normalerweise in relativ kurzer Zeit per Scannerengine-Update automatisch aktualisiert. Das &#8222;Window of Vulnerability&#8220; d\u00fcrfte daher meistens relativ klein sein.<\/li>\n<li>Mit einer einzelnen Mail l\u00e4sst sich bestimmt nicht jeder Virenscanner \u00fcbernehmen.\u00c2\u00a0 Ich halte es vielleicht gerade noch f\u00fcr denkbar, dass f\u00fcr (fast) jeden Virenscanner ein Attachment konstruiert werden kann mit dem dieser Virenscanner \u00fcbernommen werden kann.<\/li>\n<li>Die meisten Unternehmen haben mehrere Virenscanner verschiedener Hersteller im Einsatz, am Gateway und auf den Clients, das erschwert zumindest solche Angriffe.<\/li>\n<li>Defense-in-Depth bedeutet auch, dass nicht jeder Client beliebig Verbindungen ins Internet aufbauen kann, das sollte also dadurch schon verhindert werden.<\/li>\n<\/ol>\n<p>Insgesamt stellte sich f\u00fcr mich die Frage: Welchen Sinn hat es, auf Virenscannern rumzureiten, wenn die Ausgangsposition des potentiellen Kunden war, mit Hilfe eines Penetrationstests die Sicherheit der von den Administratoren verwalteten Systeme von Extern \u00fcberpr\u00fcfen zu lassen. Ich habe f\u00fcr die verwendete Firewall vielleicht sogar noch einen Zero-Day in der Hinterhand aber das beweist nicht, dass die Administratoren schlechte Arbeit leisten oder das Produkt an sich schlecht w\u00e4re. Das beweist lediglich, dass man mit Gl\u00fcck und zum richtigen Zeitpunkt (genau, schon wieder das Window of Vulnerability) eigentlich immer einen Weg irgendwo rein findet.<\/p>\n<p>Ich hab dann mal beim Arbeitgeber von Sergio auf die Webseite gekuckt. Siehe da, die haben ein Produkt mit dem Namen &#8222;<a href=\"http:\/\/www.nruns.com\/ps\/\">Parsing Safe<\/a>&#8220; entwickelt, mit dem sich Virenscanner anscheinend in eine gekapselte Umgebung einbetten lassen, die Exploits verhindern soll. Erinnert mich einerseits an die Sandbox-Technik z.B. von Finjan, auf der anderen Seite an <a href=\"http:\/\/www.pivx.com\/HomeOffice\/overview.html\">PivX<\/a>, die irgendwann mal einen Sicherheitsl\u00f6sung f\u00fcr den Internet Explorer entwickelt hatten.<\/p>\n<p>Und klar, wenn man einen Penetrationstest als Verkaufsveranstaltung f\u00fcr die eigenen Sicherheitsprodukte betrachtet, dann macht dieses Vorgehen pl\u00f6tzlich Sinn.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Manchmal hab ich echt den Eindruck ich steh im Wald &#8230; heute war wieder so ein Tag. Ein Kollege und ich hatten ein Gespr\u00e4ch mit einem potentiellen Kunden \u00fcber Penetrationstests. Wir haben so unsere Leistungen vorgestellt und das Gespr\u00e4ch drehte sich dann \u00fcber potentielle Einstiegspunkte in ein Netzwerk. Ich sehe da vor allem Webapplikationen und [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[6],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/481"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=481"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/481\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=481"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=481"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=481"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}