Als je je veiliger waant omdat een antivirusleverancier gecertificeerd is door beveiliger Verizon, is het tijd om je aannames te herzien. Google's Tavis Ormandy stelt dat de methodologie van dat certificeringsproces 'ongeveer zo belachelijk is als je zou verwachten'. Leveranciers volgen de krakkemikkige richtlijn met criteria (PDF), betalen leges om het certificaat te verkrijgen en gebruikers zien dat dan als een betrouwbaar keurmerk.
Gaten direct gevonden
Ormandy is bezig met een kruistocht tegen gemakkelijk te vinden kwetsbaarheden in high-profile beveiligingsproducten. Zo nam hij al meerdere malen AV van Comodo op de korrel. Hij wees op een aantal eenvoudige issues die hij direct opmerkte, maar het probleem beperkt zich niet tot Comodo. Hij ontdekte soortgelijke problemen in producten van Malwarebytes, Avast, AVG, FireEye, TrendMicro en meer.
Vraag Ormandy overigens niet welk antivirusproduct je dan wel moet nemen, want dan krijg je als antwoord dat het hele concept AV problemen heeft:
I get asked constantly what av to use. You're missing the point; av creates more problems than it solves, and we're overdue an av slammer.
— Tavis Ormandy (@taviso)12 March 2016Het kostte Ormandy geen enkele moeite om de kwetsbaarheden te vinden, daar simpele tools ze al opmerken. Met het toepassen van geavanceerdere vaardigheden vond hij honderden kritieke geheugenfouten en zelfs ergere logica- en ontwerpfouten. En dat zonder toegang te hebben tot de broncode en de documentatie van ontwikkelaars.
Nutteloze tests
Ondertussen, terwijl Ormandy de fouten in software van bijvoorbeeld Comodo met het grootste gemak ontdekt, schept Comodo op over het ontvangen van de 'Excellence in Information Security Testing Award' van ICSA Labs, een onafhankelijke afdeling van Verizon. Volgens onderdirecteur Egemen Tas van Comodo is de prijs erkenning van Comodo's beveiligingstechnologieën.
Volgens Ormandy zijn dit "nutteloze tests waarvoor antivirusbedrijven daadwerkelijk de moeite nemen om te slagen. Misschien is het ervoor zorgen dat deze tests daadwerkelijk iets wezenlijks testen de eerste stap naar verbetering."
Jaren 90-code
De onderzoeker denkt dat de sector niet eens een voorzichtige stap in die richting gaat nemen, tenzij ze ertoe gedwongen worden. Hij heeft suggesties om de software te verbeteren, zoals het integreren van Microsofts SDL in het testproces en het toewijzen van bonuspunten voor leveranciers die sandboxing toepassen.
"Er moet snel iets veranderen. De volgende Slammer of CodeRed neemt IIS of MSSQL niet op de korrel: de beveiliging van Microsoft-software is heel anders dan tien jaar geleden. Maar alle grote beveiligingsleveranciers gebruiken een antieke codebase zonder oog te hebben voor moderne beveiligingspraktijken - het is nog steeds hacken alsof het 1999 is."
Mevrouw Smit - niet haar echte naam - is programmeur met specifieke interesse in IT -privacy en security. Daarnaast is ze freelance schrijfster.
Goed stukje en helemaal waar.
Je hoeft eigenlijk niet eens op zoek naar bugs in de programmatuur van anti-virus producten om beperkingen en kwetsbaarheden te vinden.
Wist je bijvoorbeeld dat er in alle A/V producten beperkingen zitten voor grote files?
Om niet al te veel performance te moeten verbruiken voor het scannen van grote files bouwen producenten een beperking in op de grootte die ze scannen.
Sommigen zullen bestanden groter dan x MB geheel niet scannen, anderen scannen ze wel maar dan tot maximaal die x MB.
Bij sommige a/v producenten kun je dat zien en aanpassen, bij een enkeling zal je nergens enige aanwijzing vinden dat zoiets "onderwater"/"achter de schermen" gebeurt.
Reageer
Preview