Not logged in. · Lost password · Register

John Late
johnLate
Member since Oct 2009
688 posts
Subject: Sophos Antivirus
+1 miniwahr
Quote by RRZE:
An allen bayerischen Hochschulen wird derzeit die Virenscannerlösung der Firma Sophos eingesetzt. Diese Lösung ist primär für den Einsatz in professionellen Enterprise-Umgebungen konzipiert und entwickelt. [...]

Wer darf Sophos nutzen?
Der Landesvertrag erlaubt die Nutzung von Sophos Anti-Virus auf universitätseigenen Rechnern sowie auf den privaten Rechnern der FAU-Angehörigen (Mitarbeiter und Studenten). [...]
(via http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/windows/sicherheit/fausav.shtml)

Quote by Tavis Ormandy:
The BOPS component of Sophos Antivirus is essentially useless. At best you could argue it might require an attacker to make trivial modifications to his existing exploit.

Studying BOPS has been revealing, demonstrating a fundamental failure by Sophos to understand the most basic security concepts

Quote by Tavis Ormandy:
This effectively disables ASLR on all Microsoft Windows platforms that have Sophos installed, allowing attackers to develop reliable exploits for what might otherwise have been safe systems.

Quote by Tavis Ormandy:
Sophos Antivirus comprises multiple independent components, many of which are privileged. One of those components, the updater service, is responsible for fetching signature updates from Sophos servers and runs as NT AUTHORITY\SYSTEM. [...] Trivial observation using standard tools reveals that the process loads modules from a directory writable by Everyone.

Exploitation of these errors requires only rudimentary software engineering skills, simply creating a DLL with matching exports and placing it in the writable directory causes the privileged process to load it.

Quote by Tavis Ormandy:
Of course, the hardcoded 64bit symmetric key (which happens to be 0xd6917912f2e43923) is easily recoverable using standard reverse engineering techniques, making their obfuscation moot.

However, for extra security, the decrypted contents are then optionally decrypted with the XOR cipher, using the hardcoded, 8bit key, 0x93. This guarantees that any attacker will simply give up writing their ret2libc payload, as they will be unable to concentrate due to uncontrollable laughter.

Quote by Tavis Ormandy:
Sophos were able to convince me they were working with good intentions, but they were clearly ill-equipped to handle the output of one co-operative security researcher working in his spare time.

(via https://lock.cmpxchg8b.com/sophail.pdf & https://lock.cmpxchg8b.com/sophailv2.pdf (via http://seclists.org/fulldisclosure/2012/Nov/31))

Discuss.
Allen ist das Denken erlaubt, vielen bleibt es erspart.
Airhardt
FAU-Mann
Member since Oct 2005
3262 posts
+6 meisterT, rupran, malte, John Late, neverpanic, ...
Hmmm, wollen wir den SP2-Weihnachtshackingwettbewerb ändern? ;-)
John Late
johnLate
Member since Oct 2009
688 posts
Apropos Antivirus... grad auf einem Kundenrechner: "Haben Sie das gemerkt? Windows ist 143% schneller hochgefahren als vor der Installation von AVG."

Echt toll. Wenn der Virenscanner jetzt auch noch was gegen den parallel laufenden "BKA-Trojaner" (die Ukash-Erpessung, nicht der Staatstrojaner) tun würde...


Oh noch besser... gerade wollte ich den Beitrag abschicken, da poppt ein Fenster auf: "McAfee - Ihr PC ist gefährdet" - no shit.

Ich weiß garnicht worüber ich mich mehr freuen soll, dass der Kunde es für eine gute Idee hält sein System mit zwei konkurierenden Virenscannern auszubremsen oder dass keiner von beiden den Virus zuverlässig entfernt.

[update] "Ihr Computer ist sicher (keine Aktion erforderlich)"... faszinierend, wie McAfee zu dieser Meinungsänderung kommt, dabei hat das Ding kein Internet um seine Signaturen zu aktualisieren, noch habe ich irgendetwas gemacht...


Virenscanner. Technik die begeistert.
Allen ist das Denken erlaubt, vielen bleibt es erspart.
This post was edited on 2012-11-09, 14:54 by John Late.
arw
Dipl. e.t. Dipl. q.3
Avatar
Member since Oct 2005
1892 posts
Virenscanner auf einem System mit einem hinreichend intelligent gebauten Virus haben prinzipiell keine Chance den bereits vorhandenen Virus zu erkennen oder zu entfernen. Und so Viechzeug verbreitet sich dank ordentlichem Internet inzwischen schneller als die Updates fuer die Virenscanner. D.h. eigentlich ist es nur eine Frage der Zeit bis man sich was einfaengt, was man anschliessend nicht mehr loskriegt.

Helfen wuerde da nur ein vernueftiger Anwender, der nicht dumm alles moegliche saugt und oeffnet ("oh, toll, Powerpoint-Witze vom Kollegen") und nichtbescheuerte Software ("oh, in dem PDF ist wirrer Flash-Kram, fuehren wirs mal aus"). Aber das ist natuerlich beides zuviel verlangt, sonst haetten wir auch schon HIV durch Condome ausgerottet bekommen.
John Late
johnLate
Member since Oct 2009
688 posts
Ich stimm dir zu, es hilft nur ein vernünftiger Anwender.

Im konkreten Fall lief McAfee vor der Infektion mit aktuellen Signaturen (AVG kam später hinzu).

Ohne Internetverbindung, mit MBAM* und über 40 Tage alten Signaturen, konnte ich den Haupteil säubern, so dass eine Internetverbindung ohne Erpessungsmeldung möglich war, schließlich noch einen Rest entfernen.

(*: Das soll keine Empfehlung für MBAM sein, beim nächsten Fall sieht's wieder ganz anders aus...)

(Das System verhält sich jetzt sauber. Klar, eigentlich muss eine Neuinstallation her. Aber der Eigentümer scheut den Aufwand und nimmt für die Zocker-Kiste das Restrisiko in Kauf.)

Fazit: Die meisten Virenscanner versagen schon bei billigen Bedrohungen. Wenn dann ein schon müffelndes SnakeOil das andere SnakeOil aussticht, zählt leider auch die Schnelllebigkeit der Viren nicht mehr als Argument. Klar schützt eine Kugelsichere Weste nicht vor Panzergranaten, aber doch bitte vor Steinschleuder aus dem YPS-Heft. Die Hersteller erwecken einen Eindruck, der keiner intensiveren Betrachtung stand hält. Im Übrigen ist Sophos IMHO bestimmt nicht der einzige Kandidat, der mehrere neue Lücken in ein System reißt. Das Drama ist, dass viele User sich bereitwillig überzeugen lassen, für so einen Sondermüll Geld auszugeben...
Allen ist das Denken erlaubt, vielen bleibt es erspart.
F30
2k11er
Avatar
Member since Oct 2011
270 posts
In reply to post #4
+1 Noya
Quote by arw:
Aber das ist natuerlich beides zuviel verlangt, sonst haetten wir auch schon HIV durch Condome ausgerottet bekommen.
Achso, der Schwarze schnackselt also gerne ist also zu blöd, Kondome zu verwenden.

Wenn er nur wollte, hätte natürlich jeder Bürger eines Entwicklungslandes die gleichen Informationsmöglichkeiten zu HIV wie der Europäer zu Viren-"Schutzprogrammen"! Außerdem ist die bloße Verfügbarkeit von Kondomen in Regionen, wo es einen tagtäglichen Kopf um Wasser und Grundnahrungsmittel gibt, doch überhaupt kein Problem!
Wie zynisch.
Mich
Member since Dec 2008
337 posts
Quote by John Late on 2012-11-08, 23:19:
Discuss.

Die Antwort von Sophos: http://nakedsecurity.sophos.com/2012/11/05/tavis-ormandy-s…

http://nakedsecurity.sophos.com/2010/06/15/tavis-ormandy-p… ... related?
arw
Dipl. e.t. Dipl. q.3
Avatar
Member since Oct 2005
1892 posts
+1 F30
F30: ja, du hast recht, das ist natuerlich deutlich zu pauschal. fuege "in entwickelten laendern" hinzu. oder alternativ reg dich ueber horden von missionaren auf, die in entwicklungslaendern rumerzaehlen, dass kondome suende sind.

und abseits der speziellen situation in entwicklungslaendern breitet sich HIV auch hierzulande noch aus.
Close Smaller – Larger + Reply to this post:
Verification code: VeriCode Please enter the word from the image into the text field below. (Type the letters only, lower case is okay.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Special characters:
Go to forum
Datenschutz | Kontakt
Powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2011 by Yves Goergen