| Virenscanner öffnen Hackern die Türen | |
| Problemlösung in Sicht |
Keine Kommentare
Sophos wiederum bestätigt, dass Virenscannner ein Angriffsziel sind. "Wir haben in unseren Labors mit Hilfe unserer Honeypots festgestellt, dass es vermehrt Versuche gibt, den Virenscanner auszuhebeln", berichtet Jens Freitag, Senior Technology Consultant bei Sophos. Die Parsing-Funktionalität des Scanners sei gleichzeitig eine Schwachstelle, die schon in der Vergangenheit dazu geführt habe, dass sich dieser außer Gefecht setzen ließ. Daher habe Sophos die eigene AV-Lösung entsprechend weiterentwickelt, um derartigen Angriffen entgegenzuwirken. Ein erster Schritt sei hier die so genannte Buffer Overflow Protection, die den Stack überwache und prüfe, ob ein Programm versucht, ihn zu überschreiben, um einen Pufferüberlauf zu erzeugen.
Laut Symantec gibt es in letzter Zeit in der Tat Versuche, mit dem Virenscanner den ganzen Rechner lahmzulegen, um DoS-Attacken zu starten. "Das Thema beschäftigt uns seit geraumer Zeit, und wir bemühen uns darum, unser Produkt als Applikation sicherer zu machen, damit es nicht ausgehebelt oder missbraucht werden kann", berichtet Michael Hoos, Technical Director Central Emea bei Symantec. Neben einer Vielfalt an Selbstschutzmechanismen in der Symantec-Software sorge ein automatisierter, umfangreicher Quality-Assurance-Prozess beim Testen von Virendefinitionen gegen alle gängigen Dateien dafür, dass es nicht zu Fehlerkennungen komme. "Aber: Es ist Software! Wenn ein Angreifer sich hinsetzt und partout unser Produkt verwenden will, um etwas lahmzulegen, wird ihm das - wie bei jeder anderen Software - irgendwann gelingen", räumt Hoos ein. Viel einfacher und eher dem gängigen Vorgehen eines Angreifers entsprechend sei es aber, sich auf das Betriebssystem oder Applikationen zu konzentrieren, bei denen die Erfolgschancen entsprechend größer seien.
Nachdem sich die grundsätzliche Fehleranfälligkeit der AV-Lösungen beim Parsen aus den genannten Gründen kaum beheben lässt, der Erkennungsmechanismus bei der Bekämpfung digitaler Schädlinge aber nicht zu ersetzen ist, gibt es nach Ansicht von n.runs nur eine Lösung: eine weiterhin hohe Erkennungsrate von Viren, allerdings eingebettet in eine sichere Architektur, die erfolgreiche Angriffe auf AV-Produkte verhindert. Die Sicherheitsexperten entwickeln daher eine Lösung (Codename "Parsing-safe"), die auf dem Zusammenspiel mit den bereits eingesetzten AV-Produkten basiert und die AV-Hersteller als Technikpartner einbindet. (kf)
Black Hat: Ajax macht Hacker glücklich;
