Virenscanner, das Geschäft mit Angst und fragwürdiger Moral

[braegler]

Show must go on...
Kaum hat Tavis es geschafft, den Defender unter Linux zum rennen zu bringen (oder zumindest die DLLs zu laden [ https://github.com/taviso/loadlibrary ]), geht es auch schon los
https://bugs.chromium.org/p/project-zero/issues/detail?id=1261 MsMpEng: multiple crashes while scanning malformed files
https://bugs.chromium.org/p/project-zero/issues/detail?id=1260 MsMpEng: Multiple problems handling ntdll!NtControlChannel commands
https://bugs.chromium.org/p/project-zero/issues/detail?id=1258 Windows MsMpEng remotely exploitable UaF due to design issue in GC engine

Ich denke, die nächsten Wochen und Monate können für uns sehr interessant und für die Bugfixer sehr arbeitsintensiv werden.
Muss ja gestehen, dass ich auf das Wissen und Können schon etwas neidisch bin.

 

[drfuture]

Öhm, verstehe ich das richtig das er eine Lib baut um Windows-Antiviren-Programme unter Linux starten zu können um dann seine Produkte dahingehend zu prüfen ob sie unter Windows fehlerfrei laufen (mit diesem Sicherheitsprogramm hier z.B. Defender)?

Erhöhung der Komplexität um Fehler zu finden ist glaube ich keine gute Idee - wenn es zu Fehlern kommt - liegt es dann am Defender oder der Lib?

 

[Abul]

https://github.com/taviso/loadlibrary
Da steht alles.

Diesen Bug hat er ja auch damit Entdeckt.

Hier is der Heise-Artikel zu den 3 Bugmeldungen die braegler gepostet hat.

Scheint ja was dran zu sein wenn Microsoft da was asap Fixen muss.

 

[drfuture]

jaja den Artikel habe ich schon gelesen - daher ja die Frage, für mich liest sich das als testet er über die Lib Windows-Apis auf Fehler oder Sicherheitslücken.

Klar kann er damit auch Erfolg haben wenn man lange genug Sucht findet man immer was - und das ist ja auch gut und richtig.
Aber trotzdem stellt sich mir dir Frage ob der Ansatz generell so gut ist da der Fehler dann auch im "Converter" für die Zugriffe stecken kann.

Fuzzing auf Windows betreiben zig Sicherheitsfirmen und MS selber - und jeder findet wohl ständig was... was sicher allen zu Gute kommt.

 

[nik]

Geht darum, dass er die fuzzingtools für Linux besser findet und so einen Weg geschaffen hat, die auch für Windowslibs/programme zu nutzen.

 

[drfuture]

ja schon... aber... versteht denn keiner mein bedenken? ^^
Egal

 

[HoneyBadger]

ja schon... aber... versteht denn keiner mein bedenken? ^^
Egal

Ich verstehe nicht einmal, worüber ihr da gerade debattiert.
Würde es aber gerne. Wenn´s jemand für Laien vereinfachen möchte, würde ich mich freuen.

 

[sia]

ja schon... aber... versteht denn keiner mein bedenken? ^^

Wenn er ein PoC geschrieben hat und das in einer Windows-VM läuft, nachdem er die Lücke durch seinen Loader mit Fuzzing gefunden hat, wird es ja wohl auch unter Windows laufen. Wäre schön blöd, wenn man unter Umständen geldbringende Bugs nicht verkaufen kann, weil man einen 2min-Check vergessen hat, nachdem man die Nacht mit ordentlich Kaffee sämtliche Inputs des Programms durchgefuzzt hat.

Oh nein, die böse Virtualisierung! Microsoft hat doch viel mehr Ahnung, die finden die Lücken früher oder später auch ohne Fuzzing! Das machen dort die Praktikanten.

Sehr geniales Tool, das nächste solo CTF gehört wieder mir

EDIT:

Support for ASAN and Valgrind to detect subtle memory corruption bugs.

Geil^^

Das zusammen mit dem hier und schwupps, easy pwn. Meinem faulen Skriptkiddiedasein steht endlich noch weniger im Wege.

 

[dexter]

ja schon... aber... versteht denn keiner mein bedenken? ^^

Bedenken, nunja, ich hab "Bedenken", Virenscannern zu vertrauen, die Lücken aufmachen, die ohne AV nicht da sind. Wenn man sich die aktuelle Defender*lücke so anschaut, dann muss man da wirklich nicht viel verstehen, deaktivieren und gut. *willkürliches Beispiel, jeder(!) AV macht den selben oder anderen Müll

 

[sia]

Bisher hatte ich beim Defender immer das Argument, dass Microsoft ja wohl besser weiß, was für Windows funktioniert und wie sie sichere Software schreiben.

Interessant, dass man selbst wenn man als Microsoft-Gegner verschrien ist, noch negativ überrascht werden kann.

 

[drfuture]

Meine Bedenken haben aber 0 mit Virenscanner zu tun, um Virenscanner geht es bei seinem Projekt ja nunmal auch gar nicht - sondern der Defender war ein Beispiel.

Und ja Virenscannern zu vertrauen ist ein Problem, aber außer phre4k hat hier keiner ein alternatives _tragbares_ Konzept vorstellen können.
Und jedem Konsumer Adminrechte zu entziehen wird nicht Realität werden. Sieht man schon an Android bei dem jeder zweite aus *gründen* (Tipp von gutem Kumpel) das Handy rootet um cool zu sein.
Wobei ich den Ansatz das Benutzer Benutzer sind und nichts am Rechner in Sicherheitsrelevanten gegenden zu tun haben durchaus interessant und gut finde.
Das lustige ist ja das MS zum Teil genau diesen Weg geht und deswegen überall von Entmündigung gesprochen wird.... Und genau das als Gegenargument kommt das der Benutzer eben nicht mehr alles selber entscheiden kann und darf - obwohl er es im Zweifel großteils gar nicht entscheiden kann mangels Fachkenntnis.

 

[nik]

@drfuture: Ja, dir geht es um eine weitere Schicht, die hier zusätzlich Fehler einbringen kann. Aber wie phre4k schon geschrieben hat, ist es ja ein leichtes, den gefunden Bug anschließend zu verifizieren.

Wobei ich den Ansatz das Benutzer Benutzer sind und nichts am Rechner in Sicherheitsrelevanten gegenden zu tun haben durchaus interessant und gut finde.

Das ist aber auch nur eine Seite der Medaille

Die andere sind dann eben Funktionen, die man als Benutzer nicht mehr deaktivieren oder auch gar nicht erst nutzen kann, weil das vom Herausgeber nicht vorgegeben ist.
Natürlich ist fraglich, ob jeder Hans Root auf seinem Handy braucht. Aber schon allein, dass es kaum anders möglich ist, Werbung sinnvoll zu filtern, gibt dem ganzen eben einen faden Beigeschmack.

Wo fängt bei dir denn dann Bevormundung an und hört die Sinnhaftigkeit auf?
Ich begrüße auch, dass die automatische Updatefunktion von Windows nicht mehr ohne weiteres deaktiviert werden kann. Auf der anderen Seite find ich es aber unschön, dass das auch für Treiberupdates gilt.

Das entscheidende ist hier aber das "ohne weiteres". Es sollte eben doch irgendwie gehen, und wenn man das über Gruppenrichtlinien oder Registrykeys lösen muss.

Und wieso der "Aufschrei" so groß war, lag ja nur an der drastischen Änderung. Vorher konnte jeder Depp Systemdateien löschen, weil er standardmäßig Admin war und dann kam Vista und plötzlich gabs die UAC, die auch noch sinnvoll konfiguriert war und deswegen bei Systemänderungen nach ner Bestätigung gefragt hat.
Wenn sie sich da geschickter angestellt hätten, wäre das Konzept auch nicht so sehr auf Ablehnung gestoßen.

 

[Jan_de_Marten]

Das ist aber auch nur eine Seite der Medaille.

Eine Medaille hat nun mal nur zwei Seiten ........ Benutzerfreundlichkeit vs Sicherheit (und nicht nur im EDV-Bereich). Das war so und wird auch immer so bleiben. Allen recht machen kann man das sowieso nicht. Es gilt also den besten Kompromiß zu finden. Gut finde ich Software die man nicht braucht, also nicht installieren muß bzw die immer schon im Hintergrund leise und unauffällig sind. Weniger ist eben doch manchmal mehr.

 

[sia]

Ich finde auch, dass man Nutzern nur über kryptische CLI Kommandos Admin geben sollte. Eventuell über Boot-Optionen oder eine Admin-Diskette - das schaffen die Noobs nie!

Und ganz wichtig ist in meinen Augen auch Sandboxing bzw die Nutzung der Windows-Sicherheitsfunktionen. Wenn nach wie vor per Default alles in den Benutzerordner installiert werden kann und dann nicht mal ein chmod+x nötig ist, wird das nie was.

--- [2017-05-31 09:52 CEST] Automatisch zusammengeführter Beitrag ---

@drfuture: Nur 50% root wäre gar keine schlechte Quote. Ich bezweifle aber, dass es so viele sind. Fände es toll, wenn man Windows erst mal rooten müsste.

 

[alter_Bekannter]

Das Problem wird recht sinnvoll von Google angegangen, Android. Das hat auch noch viele Probleme Zb Massenspeicherrechte gibts nur alles oder garnichts.

 

[nik]

@Jan_de_Marten: stimmt, aber Benutzerfreundlichkeit würde ich hier nicht mit Funktionsumfang gleichsetzen.

Ich bevorzuge auch eine sinnvolle Grundkonfiguration (z.B. die UAC), mag es aber nicht, wenn Dinge aus Prinzip nicht gehen, weil "Sicherheit".
Und dazu zähle ich solche Sachen wie Treiberupdates lassen sich nicht deaktivieren oder ich kann nur Sachen aus irgendeinem vorgegeben Store installieren.

 

[drfuture]

Treiberupdate deaktivieren:

in Pro/Enterprise:
Richtlinie für lokale Computer -> Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update -> Keine Treiber in Windows-Update einschließen“

Home:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate

jeweils einen dWork-32bit mit Name ExcludeWUDriversInQualityUpdate und wert 1 anlegen.


Die meisten Funktionen gehen mit Policies zu regeln die beanstandet werden....

@Werbefilter - wenn ich bestimmten Traffic blocken kann - kann ich ihn dummerweise oft auch ohne Meldung und ohne das es jemand merkt umleiten.
Daher ist das durchaus ziemlich gefährlich.

 

[sia]

@drfuture: genau so sollte es mit allem sein. Updates nicht mit einem einfachen Klick zu deaktivieren (props an Microsoft an dieser Stelle, das ist ja im Moment in der Home-Edition tatsächlich so), GPOs/CLI. Hoffen wir, das MS das auch konsequent weiter durchzieht.

 

[nik]

@drfuture: Hat mir hier nur als Beispiel gedient.

@werbefilter und deshalb wäre es sinnvoller, vertrauenswürdige Angebote im Playstore anzubieten und diese nicht aus politischen Gründen daraus zu entfernen. Das führt nur dazu, dass sich die Nutzer andere Quellen suchen müssen.

 

[drfuture]

Die Apps haben aber schlicht keinen Zugriff... auf der Ebene auf der das Sinnvoll ist - gibt ja div. Umwege, die haben dann zumindest ein "warn" Symbol z.B. für VPN im Titel und müssen aktiviert werden.
Wenn eine normale App das alles verändern könnte hätte man ganz andere Probleme.