Het is de ultieme ironie: securitysoftware die systemen onveilig maakt. Helaas is het realiteit en niet eens uitzondering, bewijst security-onderzoeker Tavis Ormandy. Bekende beveiligingspakketten zijn voor de bijl gegaan.
Tavis Ormandy heeft jaren terug al naam gemaakt met de ontdekking van vele grote gaten in veelgebruikte software zoals Windows, Linux en Adobe Reader. Een aantal van de door hem ontdekte complexe kwetsbaarheden bleek al jaren in de code aanwezig te zijn. De laatste tijd heeft de beruchte security-onderzoeker nogal impact gemaakt op de ict-beveiligingsindustrie.
Lange lijst leveranciers
Achter elkaar zijn namelijk de securityprogramma’s en -appliances van diverse grote namen onder de loep genomen en gekraakt. Ormandy heeft serieuze fouten in securitysoftware gevonden en weet die te misbruiken om computers juist onveiliger te maken. Na het ontdekken en verifiëren middels zelfontwikkelde exploitcode heeft de onderzoeker zijn bevindingen gemeld bij de verantwoordelijke leveranciers. Die hebben zich vervolgens gehaast om patches te ontwikkelen.
De getroffen securitybedrijven zijn onder meer AVG (dat onlangs is overgenomen door concurrent Avast), Avast, Comodo, Eset, FireEye, Kaspersky, Malwarebytes, en Trend Micro. De kwetsbaarheden in de uiteenlopende pakketten van deze bekende en vertrouwde leveranciers maken het in sommige gevallen mogelijk om data uit te lezen op computers van slachtoffers. In andere gevallen zijn systemen geheel over te nemen.
Kaping en drive-by aanvallen
Het op afstand kapen van computers blijkt in het geval van Comodo Internet Security kinderlijk eenvoudig. Dat pakket gebruikt voor remote support namelijk een VNC-server die automatisch draait en ook nog een eenvoudig raadbaar standaardwachtwoord heeft ingebakken. Naast deze simpele kapingsmogelijkheid heeft Ormandy ook complexere kwetsbaarheden gevonden in de door hem onderzochte pakketten. Deze gaten maken vergaand misbruik mogelijk, zoals het uitvoeren van eigen kwaadaardige code.
Sommige van de serieuze zwaktes in securitysoftware zijn door aanvallers te benutten zonder dat gebruikers ook maar iets hoeven te doen. Zo wist Ormandy programmeerfouten van leverancier Kaspersky te benutten door een speciaal gemaakt netwerkpakket te sturen naar een systeem dat is beveiligd met die securitysoftware. Inmiddels hebben de getroffen leveranciers hun producten beter beveiligd door patches ervoor uit te brengen. Ondertussen zet Ormandy zijn geruchtmakende onderzoekswerk voort. Nieuwe treffers zijn alweer gemaakt, in onder meer de producten van Symantec en McAfee (Intel Security).
Project Zero
Security-onderzoeker Ormandy is in dienst van Google die een speciaal securityteam heeft dat doelbewust de beveiliging van veelgebruikte non-Google ict-producten aan de tand voelt. Het bestaan van dit team, het zogeheten Project Zero, is zo’n twee jaar geleden publiekelijk onthuld. De ontdekte gaten worden hierbij gemeld aan de verantwoordelijke softwaremakers die daarbij wel een strakke deadline krijgen opgelegd voor de publieke onthulling van de kwetsbaarheden. Dit heeft de felle en langlopende discussie over responsible disclosure meerdere keren doen oplaaien.