Ziemlich erstaunt habe ich gerade mit dem Process Explorer festgestellt, dass ein so sicherheitskritisches Programm wie ALF-BanCo kein ASLR verwendet.
In Zeiten in denen Trojaner immer raffinierter werden, finde ich es schlampig, dass ihr für ein Homebanking Programm nicht alle möglichen Sicherheitstechniken ausnutzt.
Bitte ändert das mit hoher Priorität.
ALF-BanCo: ASLR fehlt!
Re: ALF-BanCo: ASLR fehlt!
Hallo,
rein theoretisch könnte eine Schadsoftware via Browser einen Pufferüberlauf eines beliebigen Prozesses verursachen, der ASLR nicht unterstützt. Die Schadsoftware würde einfach einen Prozess als "Sprungbrett" in den Speicher nutzen.
Das bedeutet, wenn auch nur ein einziger aktiver Prozess ASLR nicht unterstützt, wäre der PC rein theoretisch angreifbar.
Wenn ein Trojaner bereits auf einem PC "arbeitet", ist es bedeutungslos, ob ASLR wirksam ist oder nicht, denn eine bereits installierte Schadsoftware muss keinen Pufferüberlauf nutzen, um Schadcode auszuführen. Der Trojaner ist bereits der Schadcode.
Am einfachsten könnte Schadcode via Add-on installiert werden. In der Regel wird man keine unbekannten Add-ons installieren. Wenn immer die neuesten Browserversionen verwendet und keine kritischen Add-ons installiert werden, sollte Schadsoftware kein Thema sein.
Aufgrund der Verwendung von Thirdparty-Tools ist in ALF-Banco aktuell ASLR leider nicht generell möglich. Wir stellen aber ALF-BanCo bereits Schritt für Schritt auf neuere Technologien um, womit dies dann in den jeweils bereits umgestellten Teilen möglich ist.
Die Hacker haben aber mittlerweile eine Möglichkeit gefunden, ASLR auszuhebeln:
http://kingcope.wordpress.com/2013/01/2 ... omization/
Durch die Datenbank-Verschlüsselung, die eingesetzten Sicherheitsverfahren (z.B. mobileTAN, optisches TAN mit 2 Übertragungswegen) und weitere Sicherheits-Maßnahmen ist selbst bei einem Angriff die Gefahr von Missbrauch äußerst gering. ALF-BanCo gibt es seit über 10 Jahren und bisher gab es keinen bekannten oder gar erfolgreichen Angriff.
Gruß,
ALF
rein theoretisch könnte eine Schadsoftware via Browser einen Pufferüberlauf eines beliebigen Prozesses verursachen, der ASLR nicht unterstützt. Die Schadsoftware würde einfach einen Prozess als "Sprungbrett" in den Speicher nutzen.
Das bedeutet, wenn auch nur ein einziger aktiver Prozess ASLR nicht unterstützt, wäre der PC rein theoretisch angreifbar.
Wenn ein Trojaner bereits auf einem PC "arbeitet", ist es bedeutungslos, ob ASLR wirksam ist oder nicht, denn eine bereits installierte Schadsoftware muss keinen Pufferüberlauf nutzen, um Schadcode auszuführen. Der Trojaner ist bereits der Schadcode.
Am einfachsten könnte Schadcode via Add-on installiert werden. In der Regel wird man keine unbekannten Add-ons installieren. Wenn immer die neuesten Browserversionen verwendet und keine kritischen Add-ons installiert werden, sollte Schadsoftware kein Thema sein.
Aufgrund der Verwendung von Thirdparty-Tools ist in ALF-Banco aktuell ASLR leider nicht generell möglich. Wir stellen aber ALF-BanCo bereits Schritt für Schritt auf neuere Technologien um, womit dies dann in den jeweils bereits umgestellten Teilen möglich ist.
Die Hacker haben aber mittlerweile eine Möglichkeit gefunden, ASLR auszuhebeln:
http://kingcope.wordpress.com/2013/01/2 ... omization/
Durch die Datenbank-Verschlüsselung, die eingesetzten Sicherheitsverfahren (z.B. mobileTAN, optisches TAN mit 2 Übertragungswegen) und weitere Sicherheits-Maßnahmen ist selbst bei einem Angriff die Gefahr von Missbrauch äußerst gering. ALF-BanCo gibt es seit über 10 Jahren und bisher gab es keinen bekannten oder gar erfolgreichen Angriff.
Gruß,
ALF
Interessanter Artikel
ALF hat geschrieben:Die Schadsoftware würde einfach einen Prozess als "Sprungbrett" in den Speicher nutzen.
Das bedeutet, wenn auch nur ein einziger aktiver Prozess ASLR nicht unterstützt, wäre der PC rein theoretisch angreifbar.
Was wiederum ein Argument für eine ASLR Absicherung von ALFBanco wäre
Ganz so einfach ist die Sicherheitslage nicht: Ein Add-On ist für den User eine Blackbox. Ich muss dem Programmierer blind vertrauen. Es gab in der Vergangenheit mehrere Erweiterungen die entweder infiziert wurden oder irgendwann mit schädlichen Funktionen ausgestattet wurden. Da nützen mir tausende Empfehlungen und entsprechende Popularität auch nichts.Am einfachsten könnte Schadcode via Add-on installiert werden. In der Regel wird man keine unbekannten Add-ons installieren. Wenn immer die neuesten Browserversionen verwendet und keine kritischen Add-ons installiert werden, sollte Schadsoftware kein Thema sein.
Ist das so? Verringere ich nicht auch in diesem Fall Angriffsvektoren?Wenn ein Trojaner bereits auf einem PC "arbeitet", ist es bedeutungslos, ob ASLR wirksam ist oder nicht, denn eine bereits installierte Schadsoftware muss keinen Pufferüberlauf nutzen, um Schadcode auszuführen. Der Trojaner ist bereits der Schadcode.
Danke für die Information.Aufgrund der Verwendung von Thirdparty-Tools ist in ALF-Banco aktuell ASLR leider nicht generell möglich. Wir stellen aber ALF-BanCo bereits Schritt für Schritt auf neuere Technologien um, womit dies dann in den jeweils bereits umgestellten Teilen möglich ist.
Danke, ein interessanter Link. Ob das Verfahren tatsächlich auch unter x64 funktioniert, geht aus dem Artikel nicht hervor. Meines Wissens nach unterscheidet sich die Speicherverwaltung doch in einigen Punkten. Ein Punkt aber, den ich gerne nochmals weiter recherchieren will.Die Hacker haben aber mittlerweile eine Möglichkeit gefunden, ASLR auszuhebeln:
http://kingcope.wordpress.com/2013/01/2 ... omization/
Ok, das könnte tatsächlich so sein. Aber seid ist wirklich sicher, dass es nirgendwo eine Möglichkeit gibt, sich in Kommunikationsprozesse einzuklinken?Durch die Datenbank-Verschlüsselung, die eingesetzten Sicherheitsverfahren (z.B. mobileTAN, optisches TAN mit 2 Übertragungswegen) und weitere Sicherheits-Maßnahmen ist selbst bei einem Angriff die Gefahr von Missbrauch äußerst gering.
Gut, ALFBanco hat immer noch Exotenstatus. Das merkt man z.B. auch bei den Banken-Hotlines. Aber den letzten Satz möchte ich nun gar nicht unterschreiben. Dass 10 Jahre lang nichts passiert ist, heißt nicht, dass ALFBanco sicher ist. Jahrelang wurde Malware nur für Windows entwickelt. Und plötzlich waren doch handfeste Exploits für OSX im Umlauf. Und wie wir spätestens seit der NSA-Debatte wissen, werden viele Angriffe nicht mehr bekannt, weil sich mit gefundenen Sicherheitslücken Geld verdienen lässt. Ob ALFBanco nicht schon heimlich angegriffen wird, wissen wir somit nicht zwingend.ALF-BanCo gibt es seit über 10 Jahren und bisher gab es keinen bekannten oder gar erfolgreichen Angriff.
Wer vor einiger Zeit auf Reddit das AMA ("Ask Me Anything") zum Thema Trojaner gelesen hat, ist sich bezüglich der Sicherheit von Anwendungen nicht mehr so sicher. Der Autor hat sich irgendwann durch die Erwähnung von HBCI als Deutscher geoutet. Entsprechendes kriminelles Wissen existiert also nicht nur in Russland und China, wo man natürlich ALFBanco nicht kennt. Alleine die detaillierte Darlegung, warum alle Virenscanner gegenüber Morph-Code machtlos sind, machte die aktuelle Bedrohungslage deutlich.
Insgesamt finde ich das Thema Sicherheit inzwischen so extrem komplex, dass es für Nicht-Sicherheitsexperten kaum noch möglich ist, die möglichen Angriffsvektoren einzuschätzen. Ich plädiere deshalb immer dafür die maximal möglichen Sicherheitsoptionen zu nutzen.