• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Technik] Syscan360-Konferenz: Antivirensoftware oft auch zusätzliches Sicherheitsrisiko

Antiviren-Software soll ja bekanntlich gegen Sicherheitsbedrohungen helfen. Doch der Fehler steckt im Detail: Sie kann nämlich genauso auch die Sicherheit eines Systems deutlich herabsetzen. Dies zeigt der Sicherheitsforscher Joxean Koret in seinem Vortrag "Breaking Antivirus Software" (Youtube/PDF) auf der Syscan360-Konferenz. Hier beschreibt er, wie 14 der 17 von ihm untersuchten Antiviren-Programme deutliche Sicherheitslücken enthalten.

Er zeigt dabei deutliche Kritikpunkte auf: Antiviren-Programme laufen fast immer mit vollen Systemrechten und legen dazu teilweise Sicherheitsfeatures des Betriebssystems lahm. Kein Systemprogramm unterstützt mehr Dateiformate als ein Virenscanner, da diese auf mögliche Bedrohungen gescannt werden müssen - entsprechend umfangreich und fehlerhaft sind viele der Implementierungen. Auf Sicherheitsfeatures wie eine Sandbox oder ASLR (Zufallsgestaltung des Adressraums) wird oftmals verzichtet um die Konkurrenz z. B. durch einen Performancevorteil auszustechen. Ebenfalls sei die Synchronisation vieler Hersteller über HTTP (unverschlüsselt) ein Problem, vor allem wenn die empfangenen Pakete nicht signiert/überprüft werden.

Ein Fehler in einem Antivirusprogramm ließe sich leichter ausnutzen als eine Lücke in einem Browser, so das vernichtende Urteil des Sicherheitsexperten. Bitdefender enthält laut der Untersuchungen am meisten kritische Schwachstellen und damit auch F-Secure und G Data, die die selbe Engine nutzen. Auch in Avast, Avira, AVG und Panda fand er kritische Fehler.

Andere Forscher wiesen nach dem Vortrag darauf hin, dass sie bereits in früheren Jahren viele ähnliche Fehler gefunden hätten und die selben Fehler immer noch gemacht werden.


Quelle: Heise
 
Zum Vergrößern anklicken....

thom53281

SYS64738
Teammitglied

thom53281
Registriert
14 Juli 2013
Beiträge
6.918
  • Thread Starter Thread Starter
  • #2
Erschreckend, aber nicht weiter verwunderlich - spätestens dann nicht mehr wenn man die PDF vom Vortrag einmal gelesen hat. Jeder, der mit Englisch kein Problem hat, sollte das auf jeden Fall einmal tun. :)


Grüße
Thomas
 

mathmos

404

mathmos
Registriert
14 Juli 2013
Beiträge
4.415
Ich finde das schon etwas mehr als erschreckend. Dass z. B. sogenannte decompression bombs immer noch funktionieren, lässt mich nur noch mit dem Kopf schütteln.
 

bevoller

Neu angemeldet

B
Registriert
4 Aug. 2013
Beiträge
1.481
Ist halt etwas schwierig. Schließlich sollen ja Schädlinge entdeckt werden, die sich ggf. in einem Archiv verstecken. Und mehrfach zu komprimieren ist ja ein nicht ganz unübliches Mittel gegen eine Erkennung.
Andererseits hätte man vielleicht einfach mal die Tiefe begrenzen können. Das Archiv aus dem 20. Archiv zu prüfen macht zwar eigentlich immer noch Sinn, man könnte aber darauf verzichten, wenn es zur Laufzeit bzw. nach dem Scan im Log einen deutlichen Hinweis auf einen Abbruch gäbe.
 

gelöschter Benutzer

Guest

G
Wenn mir das als AV-Programmierer untergekommen wäre mit den ZIP-Bombs, würde ich die Extraktionstiefe auf 20 beschränken, wenn die Größe kleiner als 10MB ist oder so ähnlich.

Die AV-Hersteller haben doch i.d.R. ein Virenlabor, wie kann da so was jahrelang durchrutschen?


Ein hoch auf signierte Linux-Updates.
 

thom53281

SYS64738
Teammitglied

thom53281
Registriert
14 Juli 2013
Beiträge
6.918
  • Thread Starter Thread Starter
  • #6
Und was machst Du, wenn ich Dir eine ZIP-Bombe mit 10,1MB unterjuble? ;)

Letztendlich ist auch ein Antivirensoftwarehersteller zumeist eher kommerziell veranlagt. Heißt - egal ob die Software nun kostenlos oder kostenpflichtig ist: Ich möchte, dass der Endbenutzer meine Software nutzt (evtl. sogar kauft) und nicht die eines anderen Herstellers. Genau soviel Aufwand muss ich betreiben, nicht mehr und nicht weniger. Alles andere ist unnötige Fleißarbeit.

Ob die Software nun kritische Lücken enthält, ist für den Endbenutzer nicht ersichtlich. Solange die Software keine riesigen Bugs enthält und gängige Malware erkennt, ist für den Endbenutzer augenscheinlich alles in Ordnung. Das haben wir ja auch hier schon gesehen. Das kann man sogar noch weiterdenken: Wenn der Endbenutzer sich durch meine Free-Version des AV Malware einfängt, vielleicht kauft er dann sogar meine Pro-Version?

Jedenfalls soviel Verschwörungstheorie dazu. :)


Gegenüber manch anderen dort geschilderten Schwachstellen, gehören ZIP-Bomben wohl noch zu den angenehmeren Vertretern. Interessant fand ich vor allem das zu Panda:

  • Another terrible bug: The Panda's installation directory have write privileges for all users.
  • However, again, the directory is “protected” by the shield...
  • What is the fucking shield?

  • The Panda shield is a driver that protects some Panda owned processes, the program files directory, etc...
  • It reads some registry keys to determine if the shield is enabled or disabled.
  • But... the registry key is world writeable. Also, it's funny, but there is a library (pavshld.dll) with various exported functions...

  • All exported functions contains human readable names.
  • All but the 2 first functions. They are called PAVSHLD_001 and 002.
  • Decided to reverse engineer them for obvious reasons...
  • The 1st function is a backdoor to disable the shield.

  • It receives only 1 argument, a “secret key” (GUID): ae217538-194a-4178-9a8f-2606b94d9f13
  • If the key is correct, then the corresponding registry keys are written.
  • Well, is easier than writing yourself the registry entries...
Zum Vergrößern anklicken....
Das nenne ich mal sauber entwickelte Software. :)


Grüße
Thomas
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben