Onlangs meldde webveiligheidsonderzoeker van Google Tavis Ormandy dat de, veelgebruikte, antivirusproducten van Symantec, vele kwetsbaarheden bevatten. Het gaat om zeventien producten, waarvan acht bestemd zijn voor kleinere bedrijven en particulieren. Programma’s bedoeld om je veilig over het wereldwijde web te laten struinen, zijn, zo blijkt eens te meer, niet vrij van ‘gaten en kieren’, stelt het Amerikaanse (web)blad Wired. Symantec heeft de ontdekte gaten inmiddels wel gedicht. Daarmee zijn de Symantec-programma’s overigens nog steeds niet foutvrij.
Sommige van die fouten zijn basaal en zouden moet zijn ontdekt tijdens het schrijven van de programmatuur of bij controle. Andere zijn ernstiger en zouden een aanvaller in staat stellen de ‘beschermde’ computer over te nemen. Een van die fouten zou kunnen worden misbruikt met behulp van een ‘worm‘. Door de gebruiker een bestand of een koppeling te sturen is het al raak. Daarvoor hoeft de gebruiker het bestand niet eens te openen of te koppeling aan te klikken, schrijft Ormandy in zijn blog. Via zo’n lek zou het hele computerpark van een bedrijf kunnen worden besmet.
De fout zit in een deel van het programma dat Symantec gebruikt om te kijken of uivoerbare bestanden (de .exe-bestanden) kwaadaardige code bevatten. Via die route kan een aanvaller de gecontroleerde computer overnemen. In feite helpt een kerncomponent van het Symantec-programma, bedoeld om kwaadaardige programmatuur te ontdekken, een computer over te nemen.
Symantec is niet de enige antivirusprogrammatuur die kwetsbaar is. Eerder ontdekte Ormandy ‘gaten’ in producten van FireEye, Kaspersky Lab, McAfee, Sophos, en Trend Micro. In sommige gevallen kon een aanvaller de virusverdediging omzeilen of virusdetectie ontregelen, maar in andere, zoals Symantec, maken die fouten het mogelijk de computer van de gebruiker binnen te dringen.
Zo hoort het natuurlijk niet. Ormandy bekritiseert de antivirusontwikkelaars al jaren voor de gebrekkige beveiliging die hun programma’s bieden en om hun weerzin de code te openbaren aan beveiligingsdeskundigen om die te laten onderzoeken op kwetsbaarheden. Het is een ernstig probleem, vindt hij. Het is alleen de vraag in hoeverre e-krakers daar misbruik van maken. “We weten niet wat aanvallers doen. We weten dat die kwetsbaarheden op de grijze en zwarte markt worden verhandeld, maar kunnen er niet achterkomen wat de kopers daarmee doen.”
Ideaal doelwit
Beveiligingsprogramma’s vormen een ideaal doelwit voor e-krakers, omdat die programma’s vertrouwd zijn en de hoogste bevoegdheden hebben op een computer. Vaak draait in een bedrijf hetzelfde beveiligingsprogramma op het gros van de machines, zo niet alle. Dan hebben we het nog maar over antivirusprogramma’s. Er zijn ook programma’s die een computer controleren op indringers, er zijn webtra’s. Dat zijn nog mooiere plaatsen om een heel computersysteem binnen te vallen, zegt Chris Wysopal van het bedrijf Veracode. Dat is het primaire doelwit van een beetje e-kraker.
Ontwikkelaars van beveiligingsprogrammatuur zouden, vindt hij, daarom aan hogere normen moeten voldoen, maar, gek genoeg, hebben nog maar weinig mensen naar kwetsbaarheden in die systemen gekeken buiten de Googledeskundige. Er is veel meer gekeken naar lekken in het besturingssysteem en toepassingen. Mogelijk dat dat te dichtbij komt. Veel beveiligingsdeskundigen werken in die bedrijfstak. “Misschien ziet het er niet goed uit als een medewerker van Symantec een lek in McAfee openbaart.”
Ormandy denkt eerder aan de vereiste vaardigheden. De meeste beveiligingsdeskundigen werken vanuit de kwaadaardige programmatuur, de omgekeerde ontwikkeling, maar houden zich niet bezig met fouten in de code. “Ik denk dat de vaardigheden fouten in de code te ontdekken hele andere zijn dan die nodig zijn om de malwaar te doorgronden, ook al zijn dat allebei beveiligingsdisciplines. Je kan een goede malwaaranalist zijn zonder dat je veel verstand hoeft te hebben van veilige programmatuurontwikkeling.”
Veilige code
Dat verklaart nog steeds niet waarom de antivirusbedrijven geen orde op zaken gesteld hebben. Wysopal denkt dat dat ligt aan de ingehuurde ontwikkelaars die geen ervaring hebben met veilige code. Daarnaast zou ook de gebruikte codetalen (C en C++) een rol spelen. Die zouden gevoelig zijn voor kwetsbaarheden. Die talen worden gebruikt omdat ook de besturingssystemen daarin geschreven zijn. Bovendien moeten ontwikkelaars nogal eens ingewikkelde programmeertrucs uithalen en dan sluipt een fout er makkelijk in. Al die zaken zijn nog geen excuus voor de gevonden fouten, zegt Wysopal. Er zijn automaten om de code te controleren. Die halen er niet lees uit, maar veel van de gevonden fouten wel degelijk, zo stelt hij.
Ormandy denkt dat de problemen elders liggen. Volgens hem zijn deze programma’s al in de opzet onveilig. Zo zou een differentiëring. “Ormandy: “Alles gebeurt op het zelfde bevoegdheidsniveau.”
Symantec heeft de kwetsbaarheden die Ormandy ontdekte waar mogelijk wel gedicht, maar foutvrij zijn de programma’s daarmee zeker niet. Volgens Ormandy hadden de makers van de beveiligingsprogrammatuur niet in de gaten dat er problemen waren, totdat ze met de neus op de feiten werden gedrukt. “Dat zou wel eens het grootste probleem kunnen zijn.
Bron: Wired