Sicherheit
Schwachstellen in Antiviren-Software entdeckt
von
Thorsten
Eggeling - 09.08.2011
Auch Sicherheits-Software ist nicht frei von Sicherheitslücken. Auf der Black Hat Konferenz demonstrierte ein Sicherheits-Experte eine Reihe von grundsätzlichen Schwachstellen, die er in der Software von Sophos entdeckt hat.
Tavis Ormandy, ein Sicherheitsexperte bei Google, konnte auf der Sicherheitskonferenz Black Hat in Las Vegas vorführen, dass Antivirus-Software eine Reihe von Schwachstellen aufzuweisen kann. Am Beispiel einer Sicherheits-Lösung des Softwareanbieters Sophos zeigte er, wo die Schwachstellen liegen und wie gefährlich sie sind. Ormandy betonte, dass er sich Sophos nur zufällig herausgesucht habe und dass auch andere Antiviren-Produkte von ähnlichen Problemen betroffen sind.
Wie es in einem Blog des Magazins Forbes hieß, sei die Verschlüsselungsmethode, die Sophos für seine Unternehmens-Produkte anwende, nicht besonders ausgefeilt. Ormandy habe Schwachstellen im Signatur-Mechanismus und bei dessen Verschlüsselung gefunden. Der Schlüssel zum Dekodieren der Dateien ist am gleichen Ort abgelegt wie die Dateien selbst. Hacker können den Schlüssel leicht finden und die deshalb unzureichend geschützten Signatur-Dateien manipulieren. Der Virenscanner kann dann bestimmte Schädlinge nicht mehr finden und ist damit wirkungslos.
Ormandy zeigte anhand von Sophos, wie ein Angreifer grundsätzlich mittels Reverse Engineering an Codes käme und diese dann manipulieren könne. Dabei machte er einen Rundumschlag auf die gesamte Sicherheits-Branche. Er vermisse grundsätzlich die technischen Aspekte, stattdessen erlebe er überall nur noch Marketingstrategien a la Hollywood.
Laut Ormandy sei ein grundsätzliches Dilemma aller Antivirushersteller, dass sie ihre Arbeit im Verborgenen täten. Eine wesentlich stabilere Basis für Sicherheit wäre es vielmehr, wenn man bei der Erstellung von Antivirensoftware immer davon ausgehen würde, dass der Angreifer bereits alle Informationen hätte. Erst wenn dann trotzdem kein Angriff mehr möglich sei, wäre wirklich Sicherheit gewährleistet. So könne Antiviren-Software immer nur dann Viren abfangen, wenn es bereits zu Angriffen und somit Schäden gekommen sei. Effektiver seien allerdings präventive Maßnahmen. Ormandy wies auch darauf hin, dass Antivirus-Software in ihrer ganzen Komplexität sogar noch die Chancen auf Angriffe erhöhe und somit die potentiellen Probleme noch vergrößere.
Die Reaktion von Sophos
Sophos selbst soll von der Präsentation nicht überrascht gewesen sein. Schon im Vorfeld habe man von dem Google-Mitarbeiter Ormandy die entsprechenden Informationen bekommen und über die Schwachstellen diskutiert. Das Unternehmen gibt zu, dass der Verschlüsselungsalgorithmus Schwächen aufweise. Auch gab es zu, dass der Pufferüberlauf-Schutz sich als sehr anfällig erwies. Grundsätzlich könne man sich seiner Kritik auch anschließen. Da wo es Sinn mache, werde auch erwogen, einige seiner Vorschläge zur Verbesserung der Sicherheit aufzugreifen und einige Änderungen vornehmen.
Sophos selbst soll von der Präsentation nicht überrascht gewesen sein. Schon im Vorfeld habe man von dem Google-Mitarbeiter Ormandy die entsprechenden Informationen bekommen und über die Schwachstellen diskutiert. Das Unternehmen gibt zu, dass der Verschlüsselungsalgorithmus Schwächen aufweise. Auch gab es zu, dass der Pufferüberlauf-Schutz sich als sehr anfällig erwies. Grundsätzlich könne man sich seiner Kritik auch anschließen. Da wo es Sinn mache, werde auch erwogen, einige seiner Vorschläge zur Verbesserung der Sicherheit aufzugreifen und einige Änderungen vornehmen.
Allerdings kritisierte der Sophos-Mitarbeiter Graham Cluley, dass Ormandy sich bei seiner Analyse nur ein paar Antiviren-Komponenten herausgepickt habe, ohne zu prüfen, ob die Software in ihrer Gesamtheit ihren Job erfüllt. Er habe nicht die Fähigkeit, Malware zu stoppen getestet, sondern nur die Qualität der Kodierung geprüft. Aber dahingehend gäbe er ihm Recht. Da könne noch einiges verbessert werden.
