Tuesday, September 11, 2007

Example of Security Product Introducing Vulnerabilities

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons I blog is to record concrete events so I can more easily reference cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact details in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. In Black Hat USA 2007 Round Up Part 2 I said:

Modern countermeasures applied to reduce vulnerability and/or exposure in many cases increase both vulnerability and exposure. This is certainly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with so many agents (see Matasano is Right About Agents.)

Sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se vulnerabilities are present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agent itself, such that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agent can be directly attacked. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cases (like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one I cite today), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agent appears to re-introduce a vulnerability that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underlying system fixed years ago. From Haxdoors of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Kaspersky Antivirus 6/7:

Kaspesky [sic] and System Service Descriptor Table

Very long time is known that this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weakest part of this antivirus. The weakest, because it contains number of elementary bugs.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of poorly coded so-called Proactive Defense. On Windows XP Kaspersky AV adds additional services in SSDT table...

And now surprise. Any of this unknown SSDT entries can be EXPLOITED and can crash system into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSOD even from Guest account with MINIMAL PRIVILEGES. We coded simple program. Its generates invalid system calls with invalid parameters for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se unknown SSDT entries. The code is very simple but efficient. Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same on clean Windows will lead to nothing, because Windows handles such situation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right manner.
(emphasis added)

Please excuse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 English; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker is Russian. (How is your Russian?)

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, normal Windows without Kaspersky is immune. Windows plus Kaspersky (supposedly equalling "defense in depth") is vulnerable.

Please remember this whenever you write (horror) or read a policy that requires anti-virus on all systems, regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost-benefit equation.

25 comments:

Joanna Rutkowska said...

I couldn't agree more! The industry should eventually learn not to build security on tricks and hacks!

Chris Rohlf said...

I disagree (partly). Of course additional software has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility to open you up to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vulnerability. However you shouldn't blame policy makers who 'require AV on all hosts' for example. Kaspersky (and most ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r AV) protect against far many more threats than risks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y introduce. If you truly believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposite, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n lets remove IDS from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network as well because packet dissectors are notorious for introducing vulnerability that wasn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re before.

Anonymous said...

Richard,

Great point and great example.

-Ryan Heffernan

Anonymous said...

i couldn't care less, it's just as chris mentioned, you can remove all security products from your network, and "secure it ?!"

and richard, you lock your house or car when you're away at work ? why do that, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lock can secure your car, or maybe not ?

Joe said...

@Chris

CISP requires AV agents without allowing compensating controls. You are required to install AV software in order to process CC transactions. That is unreasonable.

@Richard

Take a look at Symantec's AV vulnerabilities for 2007. That's scary. 21 this year. I mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m because I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are more widely used.

Anonymous said...

so today (on my day off) i woke up, read a blog and realized its time to walk back to work with a smile on my face.^^
my colleagues will smile too - till cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y hear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason for my happyness...
honestly i like my work cause it never gets boring. you expect sth like this every day and (try to) prepare for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se thigs -yet you hope its not gonna be you tomorrow.
well today it is me... and it will be my contacts at kav-support :-)

Anonymous said...

I don't mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy (of requiring an av solution) so much. What I hate is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy maker enforces a particular brand on me and refuses to listen when I report serious deficiences. I've lost count of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of infections I've had to clean up because it's so trivially easy for end users to disable McAfee Virus Scan Enterprise.

Richard Bejtlich said...

Car-locking anonymous,

If using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lock on my car made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doors disappear, I wouldn't lock my car.

Anonymous said...

Chris, you say you disagree but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n point out that, in whatever specific case you're thinking of, anti-virus has more benefits than costs. That is Richard's whole point. Just saying, "We require anti-virus on all systems" is not smart. As long as nobody is reading email or browsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web from a server, how often will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of anti-virus outweigh cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk?

Every type of system and sometimes even individual systems need to have separate cost-benefit analysis. From your statement, you did make some kind of cost-benefit analysis in your head. What if policy required you to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposite of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost-benefit analysis supported?

Anonymous said...

Ha ha ha. Such 'vulnerabilities' have already been published, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y show nothing but a desire to make a boo for a successful vendor. I would advise you developing your own security solution that detects proactively about 90% of contemporary malware, without modifying SSDT. It's a good idea to not criticise if you cannot do better.

Chris Rohlf said...

Allow me to clarify my earlier statement. Richard is very pro-NIDS, and would probably recommend you roll out IDS on your network if you want to detect attacks and monitor your network (correct me if I'm wrong Richard). However packet dissectors (tcpdump, wireshark, snort etc...) have all been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of many vulnerabilities. And perhaps put you at greater risk cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n an AV because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y process ALL network traffic regardless. So should we remove NIDS as well? And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n blame Richard for putting us at greater risk?

And to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 poster who said Symantec had 21 vulnerabilities this year alone. Which product? You do know Symantec makes more cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n one AV product right?

http://secunia.com/product/659/?task=advisories Symantec Corporate AV version 8, 6 vulns this year, two are DOS only. Same goes for v9 and 10, only a couple, and some are just DOS.

It does become a risk vs benefit analysis. In my mind, AV is worth it, but you should never sleep at night simply *because* you run AV. (No, I don't work for an AV vendor).

Richard Bejtlich said...

ha ha ha anonymous,

I am not trying to criticize Kaspersky specifically. I am critical of policies which dictate anti-virus everywhere, assuming that "more is better" and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no cost for adding yet more code in pursuit of "defense in depth." I wrote this post to log a concrete example of how blindly requiring anti-virus or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countermeasures can have unintended consequences.

Chris Rohlf said...

"I wrote this post to log a concrete example of how blindly requiring anti-virus or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countermeasures can have unintended consequences."

To that point I will agree. But I still think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same goes for NIDS and any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 'security' technology. Specifically singling out just AV isnt very fair.

Richard Bejtlich said...

Hi Chris,

I see your point. If someone wrote a policy requiring HIPS or HIDS on all hosts I would have similar reservations.

I also do not know of any policies which require network traffic inspection ("IDS", etc.) or collection ("network forensics", etc.).

If a requirement for a passive network inspection or collection product did exist, I would support and encourage it. Why? See my next post for reasons. This comment is getting too long!

Anonymous said...

its also lame that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "SSDT table" modifications aren't cleaned up if you go and remove Kaspersky AV, you need to run an additional Kaspersky tool to clean it up.

Anonymous said...

This whole argument is flawed. You're already running anti-virus because of continual flaws and exploits in Windows (and users). It seems perfectly reasonable to require anti-virus on computer that are vulnerable to viruses (ex: Windows PC using web, email, usb). If your computer is locked down by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r means, or running something not susceptable to significant viruses, it seems like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy should take that into account.

Anonymous said...

nothing in this world is simple. Kav is something that i have run on my machines for many years, with great success. But thats not to say that i only rely on kaspersky. I am a firm believer that every AV product does something a little different to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last and as such will detect things that some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs might not. Its like any software package you buy, not all packages will be suitable for every user.

I have had friends that have run various AV's in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past and all ended up in trouble one way or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. for example one friends running Norton system works had 98 virus on her system not detected. anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r running pc-cillin 164 viruses. All detected and corrected by using Kaspersky. But whose to say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se people didnt allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se viruses into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir system by misuse of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir AV. From where i stand no AV product is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 total security answer, and as long as we understand that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n we are better off. Whilst I understand this article was intended to highlight issues associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation of AV's and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 added risks associated with that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article has quite blantantly been point at one product only. If you have an issue with a product or a company cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n maybe you should take it up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. From a security point of view whilst cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article is informative about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of ssdt, you could have done cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same article without mentioning any particular brand or product. From what i can see all you have done is not only pick on a particular product, but have also given information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very people that AV's try to protect us from. Perhaps next time you will consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 total ramifications, before announcing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of crooks and criminals cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to hack or defeat a system.

Richard Bejtlich said...

Anonymous, you said:

"all you have done is not only pick on a particular product, but have also given information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very people that AV's try to protect us from. Perhaps next time you will consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 total ramifications, before announcing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of crooks and criminals cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to hack or defeat a system."

If you think this blog post amounts to any kind of "announcement" to anyone with malicious intentions, you should stick your head back in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sand, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world must seem a lot safer.

Anonymous said...

Sure, it's not only Kaspersky that implements SSDT hooks in improper way:

Matousec BSODhook

Anonymous said...
This comment has been removed by a blog administrator.
Anonymous said...
This comment has been removed by a blog administrator.
Anonymous said...
This comment has been removed by a blog administrator.
Bonobo said...
This comment has been removed by a blog administrator.
webmaster said...
This comment has been removed by a blog administrator.
Anonymous said...
This comment has been removed by a blog administrator.