Securityfocus hat eine Artikel von Symantec Research (äh … Symantec und Research ohne Negation in einem Satz?) veröffentlicht, in dem sie beschreiben, dass ein böser Hacker:
- eine böse und eine harmlose Applikation programmiert
- beide Applikationen so verändert, dass sie den gleichen MD5-Hash produzieren
- die harmlose Applikation auf einen Webserver legt
- wartet, bis der Hash dieser Applikation es in die Whitelist-Tabellen der Virenscanner geschafft hat
- die böse Applikation auf den Webserver legt
- den Schadcode ausführen kann, weil er per Whitelist erlaubt wird
Schön, dass Symantec das schon 2008 aufgefallen ist. Nur, das ist ja so etwas von … da muss ich lange nachdenken … 2004! Dan Kaminsky hat ein vergleichbares Problem bereits 2004 auf Doxpara als PDF veröffentlicht und in Folge in seinen BlackOps TCP/IP Präsentationen (PPT) live vorgeführt. Das Tool confoo.pl hat er damals bereits auf seiner Webseite bereitgestellt.
Aber gut, wir wissen ja, dass Symantecs Norton Antivirus manchmal auch nicht gerade der schnellste ist. 🙂