1. Foren
  2. Kommentare
  3. Internet-Forum
  4. Alle Kommentare zum Artikel
  5. › Detekt: Software spürt…

Falsche Sicherheit

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Falsche Sicherheit

    Autor: 477ack 21.11.14 - 15:09

    Dieses Program wird nicht in der lage sein irgentetwas zuverlässig zu erkennen.
    Hier mal ein paar auszüge aus dem Quellcode:
    <snip>
    process_whitelist = [
    'avp.exe',
    'avguard.exe',
    'avira.oe.systr',
    'savservice.exe',
    'sbamsvc.exe',
    'housecall.bin',
    'avastui.exe',
    'dphostw.exe',
    ]
    </snip>
    also alle Prossesse mit diesen namen werden nicht gescannt, dabei ist es völlig unerheblich ob der Process der ist für den er sich ausgibt. Es wird nicht das Verzeichnis geprüft und auch die Checksummen werden nicht verglichen.

    <snip>
    # If there is a process name, let's match it against the whitelist
    # and skip if there is a match.
    # TODO: this is hacky, need to find a better solution to false positives
    # especially with security software.
    if process_name:
    if process_name.lower() in process_whitelist:
    continue
    </snip>

    Wie im kommentar beschrieben die wohl schlechteste lösung.
    Also müssen die jeweiligen akteure nur die Datei umbenennen und es findet gar keine Prüfung statt, zur Prüfung selbst lasse ich mich jetzt mal nicht aus. (Die ist leider genauso durchdacht wie der Process scan)

    FAZIT: Leider unbrauchbar. Hat noch jemand sich den Quelltext angeschaut ? Was meint Ihr ?

  2. Re: Falsche Sicherheit

    Autor: caldeum 21.11.14 - 15:27

    477ack schrieb:
    --------------------------------------------------------------------------------
    > Dieses Program wird nicht in der lage sein irgentetwas zuverlässig zu
    > erkennen.
    > Hier mal ein paar auszüge aus dem Quellcode:
    >
    > process_whitelist = [
    > 'avp.exe',
    > 'avguard.exe',
    > 'avira.oe.systr',
    > 'savservice.exe',
    > 'sbamsvc.exe',
    > 'housecall.bin',
    > 'avastui.exe',
    > 'dphostw.exe',
    > ]
    >
    > also alle Prossesse mit diesen namen werden nicht gescannt, dabei ist es
    > völlig unerheblich ob der Process der ist für den er sich ausgibt. Es wird
    > nicht das Verzeichnis geprüft und auch die Checksummen werden nicht
    > verglichen.
    >
    > # If there is a process name, let's match it against the whitelist
    > # and skip if there is a match.
    > # TODO: this is hacky, need to find a better solution to false positives
    > # especially with security software.
    > if process_name:
    > if process_name.lower() in process_whitelist:
    > continue
    >
    > Wie im kommentar beschrieben die wohl schlechteste lösung.
    > Also müssen die jeweiligen akteure nur die Datei umbenennen und es findet
    > gar keine Prüfung statt, zur Prüfung selbst lasse ich mich jetzt mal nicht
    > aus. (Die ist leider genauso durchdacht wie der Process scan)
    >
    > FAZIT: Leider unbrauchbar. Hat noch jemand sich den Quelltext angeschaut ?
    > Was meint Ihr ?
    Ohje die Whitelist sieht ja böse aus. Ist das den Programmierern nicht aufgefallen dass das mordsmäßiger Schwachsinn ist? Sie sind nichtmal auf die Idee gekommen, eine Hashtabelle der Binarys zu pflegen.

    Meine Meinung: so ein Projekt ist lobenswert aber absolut nicht geeignet für OpenSource und taugt auch nicht als Release. Es ist absolut unlogisch, die Suchmuster mit dem Feind zu teilen, den man versucht abzuwehren. Natürlich wird der die Informationen mit Freude nehmen und seine Systeme wieder absichern.

  3. Re: Falsche Sicherheit

    Autor: 477ack 21.11.14 - 15:43

    > Meine Meinung: so ein Projekt ist lobenswert aber absolut nicht geeignet
    > für OpenSource und taugt auch nicht als Release. Es ist absolut unlogisch,
    > die Suchmuster mit dem Feind zu teilen, den man versucht abzuwehren.
    > Natürlich wird der die Informationen mit Freude nehmen und seine Systeme
    > wieder absichern.

    Sehe ich auch so. Allerdings bei den Signaturen kein Problem die werden in der Regel eh ins leere laufen, hier mal ein Beispiel:
    <snip file=" detekt / rules / xtreme.yar">
    rule Xtreme
    {
    meta:
    detection = "Xtreme RAT"
    strings:
    $string1 = /(X)tremeKeylogger/ wide ascii
    $string2 = /(X)tremeRAT/ wide ascii
    $string3 = /(X)TREMEUPDATE/ wide ascii
    $string4 = /(S)TUBXTREMEINJECTED/ wide ascii
    $unit1 = /(U)nitConfigs/ wide ascii
    $unit2 = /(U)nitGetServer/ wide ascii
    $unit3 = /(U)nitKeylogger/ wide ascii
    $unit4 = /(U)nitCryptString/ wide ascii
    $unit5 = /(U)nitInstallServer/ wide ascii
    $unit6 = /(U)nitInjectServer/ wide ascii
    $unit7 = /(U)nitBinder/ wide ascii
    $unit8 = /(U)nitInjectProcess/ wide ascii
    condition:
    5 of them
    }
    </snip>

    Wenn der Process Obfuscted oder strings Verschlüsselt wurden (was jeder hobby botnet betreiber macht) wird erst garnichts gefunden.

  4. Re: Falsche Sicherheit

    Autor: Replay 21.11.14 - 15:47

    Oder es findet Luftnummern.

    https://forum.golem.de/kommentare/internet/detekt-software-spuert-staatstrojaner-auf/spyware-gefunden/88115,3966697,3966767,read.html#msg-3966767

    Krieg ist Frieden, Freiheit ist Sklaverei, Unwissenheit ist Stärke. Das Ministerium für Wahrheit.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Recruiter (m/w/d)
    Cegeka Deutschland GmbH, Neu Isenburg, Köln
  2. IT Support- und Digitalisierungsmanager(in) (w/m/d)
    Krone gebäudemanagment und technologie gmbh, Berlin
  3. IT-Spezialist als Software-Entwickler / Tester (Informatiker, Fachinformatiker, Wirtschaftsinformatiker ... (m/w/d)
    tailor-made software GmbH, deutschlandweit (Home-Office möglich)
  4. Manager Informationssicherheit / Datenschutz Erzeugung (w/m/d)
    EnBW Energie Baden-Württemberg AG, Stuttgart

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 12,49€
  2. (u. a. Tom Clancy's Rainbow Six Siege - Deluxe Edition für 9,50€, Tom Clancy's Rainbow Six...


Haben wir etwas übersehen?

E-Mail an news@golem.de