作为端点安全重要组成部分的Sophos有限责任公司的反病毒引擎,最近受到了一名安全研究人员的密切关注和审查,他在2011年黑帽大会上揭示了审查结果,结果对该产品不利。 作为漏洞猎人(Vulnerability hunter)的Tavis Ormandy,白天是Google公司的一名信息安全工程师,在黑帽大会上作完演讲后,预计他将把他的发现写成书面形式,同时还有他剖析Sophos引擎所使用的一些工具。 Ormandy表示,他在分析中发现,Sophos软件建立和匹配病毒特征使用的是弱或过时的加密方式,过多的依赖于混乱的安全(relies on obfuscation for securit……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作为端点安全重要组成部分的Sophos有限责任公司的反病毒引擎,最近受到了一名安全研究人员的密切关注和审查,他在2011年黑帽大会上揭示了审查结果,结果对该产品不利。
作为漏洞猎人(Vulnerability hunter)的Tavis Ormandy,白天是Google公司的一名信息安全工程师,在黑帽大会上作完演讲后,预计他将把他的发现写成书面形式,同时还有他剖析Sophos引擎所使用的一些工具。
Ormandy表示,他在分析中发现,Sophos软件建立和匹配病毒特征使用的是弱或过时的加密方式,过多的依赖于混乱的安全(relies on obfuscation for security too often),而且在其他问题中无法理解某些开发技术。
Ormandy在演讲开始时解释道,反病毒产品使用户不用再不得不对他们的安全作出信任决定(keep users from having to make trust decisions about their security);但代价是攻击面增加了。他承认这是一个适当的交易,因为病毒感染需要迅速采取行动。但供应商们不会公布在他们的防毒产品技术规格,为了防止攻击者利用他们的产品。
“我做该项目的意图是提供Sophos反病毒产品缺失的技术规格,从而帮助实现更彻底的反病毒评价,”Ormandy说道,“这样,用户在想要实施反病毒技术时,关于是否应该使用这种产品就可以作出明智的决定。”
为了分析该产品的设计和实施,Ormandy对该产品进行了逆向工程;在他的谈话中,他并没有谈到漏洞。他发现的设计问题是使用弱加密散列函数,CRC32,他说这会影响对已知病毒匹配的签名的质量。他发现一些校验是无法进行的,琐碎的或与代码无关的,且非自动生成的签名质量很差,因为签名方案通常比较弱。
“没有任何理由,为什么他们会依靠这么弱的计划,”Ormandy说道,“这不是一个性能问题。”
在演讲前,Sophos看过了Ormandy的文件草稿。这家英国的厂商已经开始将修复落实到位,并承诺在即将到来的主要版本中作出一系列变化。
Sophos的加拿大高级安全顾问Chester Wisniewski表示,他认同Ormandy发现中的部分东西,但一些简单的检查加速了客户的签名实施,且避免阻碍端点上的表现。他补充道,Ormandy对特定引擎组件的深入是学术上的,而Sophos的研究人员每天收到超过15万的恶意软件样本,他们是在业务环境下作出决定。
“我们每天都在脚踏实地的试图去解决24小时内随时出现的这15万个样本,”Wisniewski说道,“我们已经有了作出反应的方式,现在我们可以提供保护。Ormandy从学术的角度来看这个问题真的很酷,这是你可以解决这个问题很聪明的方式(He looks at it from an academic perspective where there’s this really cool, clever thing you could be doing that could solve this problem.),但我们将不得不商业化,将它变成可以减轻用户安装的某种形式。”
“他不明白我们所面临的挑战是不同的。他在技术上了解这些产品,但他也许不明白为什么它们是产品或者我们为什么要用那些技术,”Wisniewski补充道,“我们不依靠他所提到的技术去提供保护。这只是一个大整体中的一小部分。”
Ormandy在做关于Sophos引擎研究的整个过程中发现了加密问题。他们使用了过时和陈旧的64位的Feistel块密码(Feistel block ciphers)或异或密码(XOR cipher),Ormandy表示,它们使用不当,基本上已经成为了模糊处理工具,而不是加密。Sophos的Wisniewski表示,公司正朝着在未来发布的产品版本中淘汰这些弱加密的方向努力。
“我们的BOPS系统设计用来为‘早期的Windows版本’提供保护,” Wisniewski说,“据研究人员透露,现在你可以绕过微软的保护。在这里,我们完全理解Tavis Ormandy的观点,并正在为Vista和Windows 7实施一个新的缓冲区溢出系统,因为我们想阻止微软技术的最终运行。”
“很多时候,在外界有一双眼力好的眼睛盯着产品是件好事,”Wisniewski说道,“了解外界的观点对我们来说肯定是有帮助的。”
相关推荐
-
反病毒引擎:从Tavis Ormandy对Sophos公司产品的研究中学习
反病毒行业大部分的运转一直是严守的秘密,直到最近,情况有所改变,这多亏了Tavis Ormandy的反病毒软件研究。他在Sophos公司的反病毒引擎中确定了几个高级别的缺陷。
-
黑帽大会2011:Dan Kaminsky披露自己最新的网络安全研究课题
研究者Dan Kaminsky依靠披露新的身份验证缺陷以及让各大厂商采用DNSSEC协议而成为安全界的超级明星,近日在黑帽大会2011上,他披露自己最新的网络安全研究课题。
-
黑帽大会2011关注新的黑客技术:软件漏洞
预计本周将在内华达州举行的2011年黑帽安全大会的温度会达到100摄氏度,但真正的热度将集中在软件公司和负责确保其产品安全的人员上。究竟大会上都有哪些重点呢?
-
黑帽大会2011:研究人员展示Android攻击
Dasient公司的一个研究团队将会在黑帽大会2011上展示一个严重的Android手机drive-by攻击,该攻击可以使攻击者获得对网络的访问并窃取手机上的数据。