Fragen? Antworten! Siehe auch: Alternativlos
Aber ja! In Schweden ist die größte Supermarktkette und ihre Apothekenkette ausgefallen, weil die Kassen ausgefallen sind.
In Neuseeland sind die Tankstellen ausgefallen.
Und ein Sophos-Kunde schreibt mir, er habe eine Mail von seiner Organisation gekriegt, dass er heute den Rechner nicht ausschalten oder neustarten soll, da "danach das Internet, Teams und unter Umständen Outlook nicht mehr funktionieren".
Und in eine japanische Kommunalverwaltung kann keine Führerscheine ausstellen oder verlängern.
Update: Die BVG-App kommt auch nicht mit Schaltjahren klar. Die schleichen sich aber auch immer so hinterhältig an, diese Schaltjahre! Völlig unplanbar!
Update: Das hat bei der BVG Tradition. Brauchtumspflege!
Update: Auf einer Liste von Verkäufern kaputter Software darf natürlich EA nicht fehlen!
Schritt 1: Krankenhaus fängt sich Ransomware ein.
Schritt 2: Sophos-Saleslurch tönt auf Twitter rum, mit Sophos wäre das nicht passiert.
Schritt 3: CIO von dem Krankenhaus so: Unser Antivirus war von Sophos.
*schenkelklopf* (Danke, Georges)
Aber keine Sorge. Die Pre-Auth SQL Injection ist nur ein Problem, wenn man das Admin-Interface aus dem Netz erreichbar hat!1!!
Sophos notifies customers of data exposure after database misconfiguration
Ach komm, Fefe, alles bedauerliche Einzelfälle. Wie bei den Prügel- und Nazicops und den Geheimdiensten. Das kann man nicht verallgemeinern!Packst du noch einen Trend Micro drüber! Das ist "worry free". Da muss man sich keine Sorgen mehr machen.
TLDR: Es hat gereicht das Enduser-Self-Service-Portal oder die Admin-GUI public erreichbar zu haben um geowned worden zu sein.Ich sage euch, diese Antivirenbranche! Hätte uns doch nur jemand rechtzeitig gewarnt, dass das bloß Schlangenöl ist! (Danke, Sebastian)Und Ersteres zumindest haben vieeele. Der gemeine Enduser muß ja sein VPN selber klicken können. Erst Recht zu Homeoffice-Zeiten...
(Durfte gestern/heute >25 Systeme durchgehen. Nicht eines hats nicht erwischt.)
Es gibt ja die Variante: 'Hotfix automagisch eingespielt + Dir ist nix passiert' oder 'Hotfix automagisch eingespielt + you were 0wned'.
Pre-Auth-SQL-Injection, sportlich. Finde leider keine technischen Details zum Angriff selber, man könnte ja meinen im Testing wird mit allem möglichen drauf eingehauen.
PS: Aber, auch das (noch gepflegte, ältere) Schwesterprodukt "Sophos UTM" hatte so seine Themen die Tage:
https://www.heise.de/security/meldung/Sophos-zieht-problematisches-Firmware-Sicherheitsupdate-9-703-fuer-UTM-zurueck-4704634 .html
Die nächste Version von Edge hat einen Tracker-Blocker, der (schon aus Marktanteilgrübden) vor allem Google wegfiltert.
Google hat vorgesorgt und bietet seit einigen Jahren einen Proxy an, durch den man seinen Traffic routen kann. Warum würde man das tun? Nun, Google sagt, das spart Bandbreite. Als das in den Anfangstagen mal jemand nachgemessen hat, kam raus: Spart so 10% Traffic. Wenn's hoch kommt.
Hey, psst, wisst ihr, was noch mehr Traffic spart? Werbung und Tracker rausfiltern!
Wenn Microsoft das ernsthaft durchzieht, bin ich mal gespannt, wie lange es dauert, bis Google juristisch dagegen vorzugehen versucht. Oder das gibt jetzt ein endloses Katz- und Mausspiel.
Ein Leser hat mal bei Sophos geguckt. Ergebnis:
Der Zugriff wurde aufgrund der Erkennung des Threats Mal/HTMLGen-A auf der Website verweigert.Und wenn man da auf mehr Details klickt, landet man hier.
Na gucken wir doch mal.
Kategorie: Viren und SpywareErste Zeile, erste Lüge. Starker Start, Sophos!
Typ: Malicious behavior.Zweite Zeile, zweite Lüge! Holla! Boris Johnson ist bestimmt stolz!
EigenschaftenÄh, nein? Tut es nicht!
Lädt Code aus dem Internet herunter.
VerbreitungsmethodeDas verbreitet sich überhaupt nicht.
- Browsing
Die offensichtliche Lösung wäre gewesen, für Fälle wie 42.zip (das da wie gesagt seit 19 Jahren unverändert liegt!) eine Whitelist anzulegen, in der unbedenkliche Fehldiagnosen landen.
Aber wieso würde eine Schlangenölfirma die Gelegenheit auslassen, "versehentlich" einen ihrer lautesten Kritiker zu schädigen?
Stellt euch mal vor, jemand baut ein Browser-Plugin, um bei Heise die Antiviren-Stories wegzufiltern, weil die immer so ein schlechtes Niveau haben. Und das Plugin bringt jetzt Browser zum Absturz. Nach obiger Logik wäre das dann Schuld von Heise. Merkt ihr selber, Heise, oder?
Ich frage mich ja bei Wordpress immer, wie häufig und wie tief die eigentlich ins Klo greifen müssen, damit ihnen die Leute weglaufen.
Given the wide prevalence of the unrar source code in third-party software, quite a few
downstream parties will be affected. The source code with the fixes can be found
under http://www.rarlab.com/rar/unrarsrc-5.5.5.tar.gz - downstream parties are
encouraged to quickly update and ship fixes.
Oh gut, das betrifft bestimmt so gut wie niemanden!1!! Ja gut, ausgenommen 7-zip und so, und natürlich die ganzen Antiviren. Dort war der Bug übrigens zum ersten Mal aufgefallen.It appears that the VMSF_DELTA memory corruption that was reported to Sophos AV in 2012 (and fixed there) was actually inherited from upstream unrar. For unknown reasons the information did not reach upstream rar or was otherwise lost, and the bug seems to have persisted there to this day.
Ja warum würde man auch upstream Bescheid sagen! Da hat man ja einen wettbewerblichen Nachteil von als Schlangenöl, wenn die anderen Schlangenöler informiert werden, und wenn die Software insgesamt sicherer wird!1!!
Anscheinend geht dann Single-Sign-On mit Sophos UTM nicht mehr (UTM steht für Unified Threat Management und sieht so aus).
Aber macht euch keine Sorgen, denn Sophos erklärt in diesem Webinar, wie man sich mit mehr Schlangenöl schützt. Schon der Name des neuen Schlangenöls überzeugt auf ganzer Linie! "Intercept X"! Nicht etwa "Intercept I" oder "Intercept IV", nein, X! (Danke, Jürgen)
Jetzt steht da "Sophos understands the security needs of the NHS".
Wie das wohl kommt? (Danke, Eric)
"Sophos Web Protection" blockt die Killswitch-Domain für Wannacrypt. Das ist die Domain, die das Teil zu erreichen versucht, um zu gucken, ob er sich selbst umbringen soll. Die erreicht er dann dank Sophos wohl nicht und verbreitet sich doch weiter.
Und mir wollten die Leute auf der Heise-Show nicht glauben, dass Schlangenöl das Risiko sogar steigern kann.
Update: Auch Fortinet und Kaspersky finden die Domain böse.
Update: Ein Einsender schickt einen Screenshot, dass auch Cisco Ironport die Domain filtert. (Danke, Christian)
Dabei ist es doch völlig klar. Man muss eben Öl und Schlange der verschiedenen Produkte schön voneinandern trennen. Das sieht doch ein Blinder! (Danke, Thomas)
Falls jemand Motivation für das Lesen braucht: TL;DR: Gender-Studenten verhindern Erziehungswissenschaft-Erstsemester-Vorlesung, weil darin Kant besprochen wird. Kant war ja ein fieser Rassist!1!!!
Und dann lest euch noch kurz dieses Statement einer anwesenden Studentin durch, und dieses Statement eines anwesenden Studenten.
Am Ende hat dann ein Student (!) die Polizei gerufen, weil er gerne an seiner Vorlesung teilnehmen wollte.
Wieso haben wir eigentlich Gender Studies an Hochschulen? Welchen Erkenntnisgewinn versprechen die? Ich bin ja traditionell schon ein Gegner von Theologie an Hochschulen, aber die haben immerhin ein hohles Heilsversprechen. Was hat Gender Studies?
Ich finde, wenn jemand andere am Erkenntnisgewinn zu hindern versucht, dann hat der an einer Uni nichts verloren. Das ist das genaue Gegenteil dessen, wofür wir als Gesellschaft uns Universitäten leisten.
Update: Hier kam eine wütende Mail eines Theologen an, der es sich verbittet, mit diesen Gender Studies verglichen zu werden. \o/
Update: Mir mailt jemand, dass der "RefRat" von Sophos geblockt wird, Kategorie "Waffen". Pastebin-Mirror.
Immerhin funktionierte die Post-Privacy-Aktion aus Sicht der Gefängnisleitung, denn die haben dann natürlich mal zu Suchen angefangen und die ganze Schmuggelware konfisziert.
Und man kann auch nur spekulieren, was sich in Kalifornien für Szenen abgespielt haben müssen. Hier ist ein Indiz. Was zur Hölle soll das werden, ein Aufruf zur Selbstjustiz? Was erwarten die denn, was sie mit so einer landesweiten Alarm-Meldung bewirken? Dass die örtliche NRA-Fraktion losläuft und blaue Nissans kaputtschießt?
Auf der anderen Seite lenkt das natürlich schön von der NSA-Geschichte ab. Wer weiß, vielleicht kommt ja noch eine Meldung, dass der Hinweis auf die NSA zurückgeht, wenn sie das Kind dann retten.
Das Notfallwarnsystem ist auch sonst gelegentlich für ein Kopfschütteln gut.
Nun, äh, Tavis Ormandy hat sich nochmal Sophos angeguckt. Die Ergebnisse sind branchentypisch. Ich zitiere mal aus der Einleitung:
Many of the vulnerabilities described in this paper could have been severely limited by correct security design, employing modern isolation and exploit mitigation techniques. However, Sophos either disables or opts-out of most major mitigation technologies, even disabling them for other software on the host system.
Da bleibt kein Auge trocken. Ich sage das ja seit Jahren, dass die Installation von Antiviren die Angriffsoberfläche erhöht statt sie zu senken. Ich meinte das aber eher im Sinne von "da ist eine Tonne von Parser-Code drin", dass Antiviren tatsächlich für andere Anwendungen ASLR abschalten, das ist selbst für die Snake-Oil-Branche bemerkenswert schlecht.Hier noch ein Zitat vom Ende des Papers.
In response to early access to this report, Sophos did allocate some resources to resolve the issues discussed, however they were clearly ill-equipped to handle the output of one co-operative, non-adversarial security researcher. A sophisticated state-sponsored or highly motivated attacker could devastate the entire Sophos user base with ease. Sophos claim their products are deployed throughout healthcare, government, finance and even the military.
Aber hey, die "Fachpresse" und die "Experten" werden weiterhin Antiviren empfehlen.
Was für ein Anfängerfehler.
Signature definitions are authenticated using a weak crypto scheme that is trivially defeated, making transport security essential. Sophos do not use transport security.
Der wichtige Punkt ist aber, dass selbst wenn sie die ganzen Probleme reparieren, Antiviren immer noch Snake Oil sind, prinzipbedingt. Sie können nur bekannte Viren sicher erkennen und sich ansonsten auf Heuristiken verlassen, was ein Programmierer-Euphemismus für "funktioniert nicht zuverlässig" ist.
Die schlechte Nachricht: Sony Ericsson wurde gehackt.
Nah genug :-)
Na?
Sony Griechenland. Jedenfalls postet jemand Daten im Internet, die behaupten, ein Datenbankdump von denen zu sein.
Ich bitte um Verzeihung zu dem Snake-Oil-Vendor-Link, aber die einzige andere URL, die ich hatte, war zu einem angeblichen SQL-Dump.
Neben einer hauseigenen Scan-Engine sollen sie unter anderem auch die Spürhunde von Computer Associates, Sophos, Norman und Kaspersky auf die eingehende E-Mail ansetzen können.Ein Bug in nur einer von denen wird also reichen, um dieses Produkt aufzumachen. Wir leben in interessanten Zeiten, Freunde. :-)