Fefes Blog

Fragen? Antworten! Siehe auch: Alternativlos

Thu Feb 29 2024

• [l] Ah, der 29. Februar. Schaltjahr! Hey, da kommt doch bestimmt die eine oder andere Schrott-Software nicht mit klar, oder?

  Aber ja! In Schweden ist die größte Supermarktkette und ihre Apothekenkette ausgefallen, weil die Kassen ausgefallen sind.

  In Neuseeland sind die Tankstellen ausgefallen.

  Und ein Sophos-Kunde schreibt mir, er habe eine Mail von seiner Organisation gekriegt, dass er heute den Rechner nicht ausschalten oder neustarten soll, da "danach das Internet, Teams und unter Umständen Outlook nicht mehr funktionieren".

  Und in eine japanische Kommunalverwaltung kann keine Führerscheine ausstellen oder verlängern.

  Update: Die BVG-App kommt auch nicht mit Schaltjahren klar. Die schleichen sich aber auch immer so hinterhältig an, diese Schaltjahre! Völlig unplanbar!

  Update: Das hat bei der BVG Tradition. Brauchtumspflege!

  Update: Auf einer Liste von Verkäufern kaputter Software darf natürlich EA nicht fehlen!

Sat Mar 18 2023

• [l] Kennt ihr den schon?

  Schritt 1: Krankenhaus fängt sich Ransomware ein.

  Schritt 2: Sophos-Saleslurch tönt auf Twitter rum, mit Sophos wäre das nicht passiert.

  Schritt 3: CIO von dem Krankenhaus so: Unser Antivirus war von Sophos.

  *schenkelklopf* (Danke, Georges)

Fri Dec 11 2020

• [l] Schlechte Laune? Sophos liefert!

  Aber keine Sorge. Die Pre-Auth SQL Injection ist nur ein Problem, wenn man das Admin-Interface aus dem Netz erreichbar hat!1!!

Thu Nov 26 2020

• [l] Seid ihr Sophos-Kunde? Weil ihr euch Sorgen macht, dass eure Daten wegkommen könnten?

  Sophos notifies customers of data exposure after database misconfiguration

  Ach komm, Fefe, alles bedauerliche Einzelfälle. Wie bei den Prügel- und Nazicops und den Geheimdiensten. Das kann man nicht verallgemeinern!

  Packst du noch einen Trend Micro drüber! Das ist "worry free". Da muss man sich keine Sorgen mehr machen.

Mon Jun 22 2020

• [l] Verwendet hier jemand Schlangenöl von Sophos? Nun, die hatten einen Buffer Overflow in ihrer SMTP-Komponente. Das führt zu *blätterraschel* *aktenwälz* einer Sicherheitslücke, die man ohne das Produkt nicht gehabt hätte. Hätte uns doch nur jemand rechtzeitig gewarnt!!1!

Tue Apr 28 2020

• [l] Benutzt hier jemand Sophos-Produkte? Dazu kommt gerade folgender Leserbrief rein:

  TLDR: Es hat gereicht das Enduser-Self-Service-Portal oder die Admin-GUI public erreichbar zu haben um geowned worden zu sein.

  Und Ersteres zumindest haben vieeele. Der gemeine Enduser muß ja sein VPN selber klicken können. Erst Recht zu Homeoffice-Zeiten...

  (Durfte gestern/heute >25 Systeme durchgehen. Nicht eines hats nicht erwischt.)

  Es gibt ja die Variante: 'Hotfix automagisch eingespielt + Dir ist nix passiert' oder 'Hotfix automagisch eingespielt + you were 0wned'.

  Pre-Auth-SQL-Injection, sportlich. Finde leider keine technischen Details zum Angriff selber, man könnte ja meinen im Testing wird mit allem möglichen drauf eingehauen.

  PS: Aber, auch das (noch gepflegte, ältere) Schwesterprodukt "Sophos UTM" hatte so seine Themen die Tage:
  https://www.heise.de/security/meldung/Sophos-zieht-problematisches-Firmware-Sicherheitsupdate-9-703-fuer-UTM-zurueck-4704634 .html

  Ich sage euch, diese Antivirenbranche! Hätte uns doch nur jemand rechtzeitig gewarnt, dass das bloß Schlangenöl ist! (Danke, Sebastian)

Tue Nov 26 2019

• [l] Es gibt einen neuen Browser War!

  Die nächste Version von Edge hat einen Tracker-Blocker, der (schon aus Marktanteilgrübden) vor allem Google wegfiltert.

  Google hat vorgesorgt und bietet seit einigen Jahren einen Proxy an, durch den man seinen Traffic routen kann. Warum würde man das tun? Nun, Google sagt, das spart Bandbreite. Als das in den Anfangstagen mal jemand nachgemessen hat, kam raus: Spart so 10% Traffic. Wenn's hoch kommt.

  Hey, psst, wisst ihr, was noch mehr Traffic spart? Werbung und Tracker rausfiltern!

  Wenn Microsoft das ernsthaft durchzieht, bin ich mal gespannt, wie lange es dauert, bis Google juristisch dagegen vorzugehen versucht. Oder das gibt jetzt ein endloses Katz- und Mausspiel.

Fri Oct 25 2019

• [l] 42.zip betrifft nicht nur Symantec. Das entblößt vielmehr ein fundamentales Problem in den leeren Versprechungen der Schlangenölindustrie. Andere AV-Engines haben selbstredend dasselbe Problem.

  Ein Leser hat mal bei Sophos geguckt. Ergebnis:

  Der Zugriff wurde aufgrund der Erkennung des Threats Mal/HTMLGen-A auf der Website verweigert.

  Und wenn man da auf mehr Details klickt, landet man hier.

  Na gucken wir doch mal.

  Kategorie: Viren und Spyware

  Erste Zeile, erste Lüge. Starker Start, Sophos!

  Typ: Malicious behavior.

  Zweite Zeile, zweite Lüge! Holla! Boris Johnson ist bestimmt stolz!

  Eigenschaften
  Lädt Code aus dem Internet herunter.

  Äh, nein? Tut es nicht!

  Verbreitungsmethode
  - Browsing

  Das verbreitet sich überhaupt nicht.

  Die offensichtliche Lösung wäre gewesen, für Fälle wie 42.zip (das da wie gesagt seit 19 Jahren unverändert liegt!) eine Whitelist anzulegen, in der unbedenkliche Fehldiagnosen landen.

  Aber wieso würde eine Schlangenölfirma die Gelegenheit auslassen, "versehentlich" einen ihrer lautesten Kritiker zu schädigen?

Thu May 23 2019

• [l] Hey Heise, wie verstrahlt muss man eigentlich sein, um das fortlaufende Dauerverkacken von McAfee und Sophos Microsoft in die Schuhe schieben zu wollen?

  Stellt euch mal vor, jemand baut ein Browser-Plugin, um bei Heise die Antiviren-Stories wegzufiltern, weil die immer so ein schlechtes Niveau haben. Und das Plugin bringt jetzt Browser zum Absturz. Nach obiger Logik wäre das dann Schuld von Heise. Merkt ihr selber, Heise, oder?

Tue Apr 9 2019

• [l] Wisst ihr, was wir lange nicht mehr hatten? Dass ein Schlangenöl Windows Update kaputtmacht, oder in diesem Fall: Als Angriff meldet. (Danke, Michael)

Thu Feb 8 2018

• [l] Nutzt hier jemand Wordpress?

  Ich frage mich ja bei Wordpress immer, wie häufig und wie tief die eigentlich ins Klo greifen müssen, damit ihnen die Leute weglaufen.

Fri Jan 12 2018

• [l] Genau mein Humor: Polizei verteilt infizierte USB-Sticks als Preis bei einem Cybersecurity-Quiz. (Danke, Ulf-Erik)

Sat Dec 2 2017

• [l] Die Britischen Dienste springen auf das Kaspersky-Bashing auf. So lange haben die gebraucht, bis sie gemerkt haben, dass es auch eine britische Firma im Schlangenölmarkt gibt, der man mal diskret Industrieförderung zukommen lassen könnte?

Wed Jun 21 2017

• [l] Benutzt hier jemand Software, die RAR-Archive auspacken kann?

  Given the wide prevalence of the unrar source code in third-party software, quite a few downstream parties will be affected. The source code with the fixes can be found under http://www.rarlab.com/rar/unrarsrc-5.5.5.tar.gz - downstream parties are encouraged to quickly update and ship fixes.

  Oh gut, das betrifft bestimmt so gut wie niemanden!1!! Ja gut, ausgenommen 7-zip und so, und natürlich die ganzen Antiviren. Dort war der Bug übrigens zum ersten Mal aufgefallen.

  It appears that the VMSF_DELTA memory corruption that was reported to Sophos AV in 2012 (and fixed there) was actually inherited from upstream unrar. For unknown reasons the information did not reach upstream rar or was otherwise lost, and the bug seems to have persisted there to this day.

  Ja warum würde man auch upstream Bescheid sagen! Da hat man ja einen wettbewerblichen Nachteil von als Schlangenöl, wenn die anderen Schlangenöler informiert werden, und wenn die Software insgesamt sicherer wird!1!!

Wed May 17 2017

• [l] Habt ihr euch mal gefragt, wieso die Leute SMB1 nicht abgeschaltet haben, wo es jetzt doch SMB2 und 3 gibt?

  Anscheinend geht dann Single-Sign-On mit Sophos UTM nicht mehr (UTM steht für Unified Threat Management und sieht so aus).

  Aber macht euch keine Sorgen, denn Sophos erklärt in diesem Webinar, wie man sich mit mehr Schlangenöl schützt. Schon der Name des neuen Schlangenöls überzeugt auf ganzer Linie! "Intercept X"! Nicht etwa "Intercept I" oder "Intercept IV", nein, X! (Danke, Jürgen)

Sun May 14 2017

• [l] Na DAS ist ja komisch! Gestern stand da noch "The NHS is totally protected with Sophos".

  Jetzt steht da "Sophos understands the security needs of the NHS".

  Wie das wohl kommt? (Danke, Eric)

Sat May 13 2017

• [l] OK, der hier ist so geil, der muss in eine separate Meldung.

  "Sophos Web Protection" blockt die Killswitch-Domain für Wannacrypt. Das ist die Domain, die das Teil zu erreichen versucht, um zu gucken, ob er sich selbst umbringen soll. Die erreicht er dann dank Sophos wohl nicht und verbreitet sich doch weiter.

  Und mir wollten die Leute auf der Heise-Show nicht glauben, dass Schlangenöl das Risiko sogar steigern kann.

  Update: Auch Fortinet und Kaspersky finden die Domain böse.

  Update: Ein Einsender schickt einen Screenshot, dass auch Cisco Ironport die Domain filtert. (Danke, Christian)

Mon Apr 4 2016

• [l] "Geben Sie hier Ihr Passwort ein, und wir sagen Ihnen dann, ob es sicher ist" (Danke, Johannes)

Fri Jan 29 2016

• [l] PC-Servicetechniker haben sehr spezielle Berufsrisiken :-)

Wed Jan 13 2016

• [l] Wenn es mir schlecht geht, guck ich ja immer bei der Schlangenölbranche vorbei. Geht mir gleich viel besser. Danke, Sophos! (Danke, Andreas)

Mon Jul 27 2015

• [l] Kennt ihr den schon? Das Netzwerk-Security-Produkt von Sophos hindert das Antivirus-Produkt von Sophos am Kontakt zum Updateserver. Wenn das Peter Norton wüsste!1!!

  Dabei ist es doch völlig klar. Man muss eben Öl und Schlange der verschiedenen Produkte schön voneinandern trennen. Das sieht doch ein Blinder! (Danke, Thomas)

Thu Feb 13 2014

• [l] Wollt ihr mal sehen, was an deutschen Universitäten so in den Geisteswissenschaften passiert? Dann habe ich ein Leckerli für euch. Hier ist eine Pressemitteilung des "Referent_innenRat" der HU Berlin. Das reicht mir ja schon, um sowas normalerweise nicht zu lesen. CamelCase und Genderdeppen-Unterstrich? Aber ich bin explizit darauf hingewiesen worden, dass ich mir das mal durchlesen soll. Das empfehle ich hiermit auch euch. Nein, wirklich. Bis zum Ende!

  Falls jemand Motivation für das Lesen braucht: TL;DR: Gender-Studenten verhindern Erziehungswissenschaft-Erstsemester-Vorlesung, weil darin Kant besprochen wird. Kant war ja ein fieser Rassist!1!!!

  Und dann lest euch noch kurz dieses Statement einer anwesenden Studentin durch, und dieses Statement eines anwesenden Studenten.

  Am Ende hat dann ein Student (!) die Polizei gerufen, weil er gerne an seiner Vorlesung teilnehmen wollte.

  Wieso haben wir eigentlich Gender Studies an Hochschulen? Welchen Erkenntnisgewinn versprechen die? Ich bin ja traditionell schon ein Gegner von Theologie an Hochschulen, aber die haben immerhin ein hohles Heilsversprechen. Was hat Gender Studies?

  Ich finde, wenn jemand andere am Erkenntnisgewinn zu hindern versucht, dann hat der an einer Uni nichts verloren. Das ist das genaue Gegenteil dessen, wofür wir als Gesellschaft uns Universitäten leisten.

  Update: Hier kam eine wütende Mail eines Theologen an, der es sich verbittet, mit diesen Gender Studies verglichen zu werden. \o/

  Update: Mir mailt jemand, dass der "RefRat" von Sophos geblockt wird, Kategorie "Waffen". Pastebin-Mirror.

Fri Jan 24 2014

• [l] In Oberösterreich im Gefängnis geht es bunt zu. Jedenfalls wenn man nach diesem Selfie geht, der auf Facebook auftauchte. Den hat ein polnischer Häftling mit einem geschmuggelten Smartphone aufgenommen, und es zeigt ihn — im Knast, wohlgemerkt — vor seiner Hanfplantage.

  Immerhin funktionierte die Post-Privacy-Aktion aus Sicht der Gefängnisleitung, denn die haben dann natürlich mal zu Suchen angefangen und die ganze Schmuggelware konfisziert.

Fri Aug 9 2013

• [l] Ich habe gestern einen Vortrag gehalten, und in der Mitte davon ging mein Mobiltelefon los. Kein Anruf, ich hatte auf leise geschaltet. Eine Katastrophenwarnung. Nanu? Vulkanausbruch? Blizzard? Nein, ein Amber Alert. Das ist eine "Kind entführt"-Warnung. Die Meldung war relativ knapp und sagte, in Kalifornien (das ist einmal am anderen Ende der USA von mir aus) sei ein Kind in einem blauen Nissan entführt worden. Anscheinend haben sie das landesweit rausgekloppt. Die Vortragsbesucher meinten, bei ihnen sei das auch schon angekommen. Ich vermute mal einen Test des Systems oder so, denn so richtig viel Sinn ergibt das ja nicht, Leute in Spokane über ein entführtes Kind in Kalifornien zu warnen.

  Und man kann auch nur spekulieren, was sich in Kalifornien für Szenen abgespielt haben müssen. Hier ist ein Indiz. Was zur Hölle soll das werden, ein Aufruf zur Selbstjustiz? Was erwarten die denn, was sie mit so einer landesweiten Alarm-Meldung bewirken? Dass die örtliche NRA-Fraktion losläuft und blaue Nissans kaputtschießt?

  Auf der anderen Seite lenkt das natürlich schön von der NSA-Geschichte ab. Wer weiß, vielleicht kommt ja noch eine Meldung, dass der Hinweis auf die NSA zurückgeht, wenn sie das Kind dann retten.

  Das Notfallwarnsystem ist auch sonst gelegentlich für ein Kopfschütteln gut.

Mon Nov 5 2012

• [l] Erinnert ihr euch an das erste Mal, als Tavis Ormandy Sophos zertrümmert hat? Letztes Jahr? Erinnert sich vermutlich keiner mehr dran, denn so funktioniert kognitive Dissonanz. Man muss sowas schnell vergessen, sonst kann man nicht vor sich rechtfertigen, immer noch diesen Antivirus-Bullshit einzusetzen. Und dann redet man sich so Dinge wie ein "das wird seit dem bestimmt besser geworden sein".

  Nun, äh, Tavis Ormandy hat sich nochmal Sophos angeguckt. Die Ergebnisse sind branchentypisch. Ich zitiere mal aus der Einleitung:

  Many of the vulnerabilities described in this paper could have been severely limited by correct security design, employing modern isolation and exploit mitigation techniques. However, Sophos either disables or opts-out of most major mitigation technologies, even disabling them for other software on the host system.

  Da bleibt kein Auge trocken. Ich sage das ja seit Jahren, dass die Installation von Antiviren die Angriffsoberfläche erhöht statt sie zu senken. Ich meinte das aber eher im Sinne von "da ist eine Tonne von Parser-Code drin", dass Antiviren tatsächlich für andere Anwendungen ASLR abschalten, das ist selbst für die Snake-Oil-Branche bemerkenswert schlecht.

  Hier noch ein Zitat vom Ende des Papers.

  In response to early access to this report, Sophos did allocate some resources to resolve the issues discussed, however they were clearly ill-equipped to handle the output of one co-operative, non-adversarial security researcher. A sophisticated state-sponsored or highly motivated attacker could devastate the entire Sophos user base with ease. Sophos claim their products are deployed throughout healthcare, government, finance and even the military.

Thu Sep 20 2012

• [l] Lacher des Tages: Sophos erkennt seinen eigenen Updater als Malware, löscht ihn. Bwahahaha

  Aber hey, die "Fachpresse" und die "Experten" werden weiterhin Antiviren empfehlen.

Wed Jul 25 2012

• [l] Der technologische Fortschritt ist nicht aufzuhalten: Ein Xbox-HDMI-Kabel, das den Lärm von Computerviren reduziert. (Danke, Jens)

Mon Jul 16 2012

• [l] Man kann bei Apple offenbar diverse In-App-Käufe geldlos faken, indem man den Apple Store in seinem DNS umbiegt und ein "vertrauenswürdiges" SSL-Zertifikat auf dem Gerät installiert.

  Was für ein Anfängerfehler.

Thu Jun 7 2012

• [l] Linkedin verspricht, nach dem Hack doch mal Passwörter mit Salt auszurollen. Das ist eine Technik aus den 70er Jahren, falls sich jetzt jemand denkt, naja, solche Krypto-Raketentechnologie muss Linkedin ja nicht kennen.

Sun May 6 2012

• [l] Die Spezialexperten von Apple haben die Debug-Version von Filevault ausgeliefert, und die schreibt das Passwort im Plaintext in ein Logfile außerhalb des Cryptocontainers. Die BESTEN der BESTEN der BESTEN, SIR! (Danke, Jakob)

Sat Aug 20 2011

• [l] Ich sage ja schon seit vielen Jahren, dass Antiviren Snake Oil sind. Diese Tage kam von Tavis Ormandy ein großartiges Paper über Sophos Antivirus 9.5 heraus. Tavis hat sich das mal näher angeschaut und kommt zu wenig schmeichelhaften Ergebnissen. Es fällt schwer, da etwas rauszugreifen. Ich zitiere mal einen der offensichtlicheren Kritikpunkte:

  Signature definitions are authenticated using a weak crypto scheme that is trivially defeated, making transport security essential. Sophos do not use transport security.

  Der wichtige Punkt ist aber, dass selbst wenn sie die ganzen Probleme reparieren, Antiviren immer noch Snake Oil sind, prinzipbedingt. Sie können nur bekannte Viren sicher erkennen und sich ansonsten auf Heuristiken verlassen, was ein Programmierer-Euphemismus für "funktioniert nicht zuverlässig" ist.

Wed May 25 2011

• [l] Die gute Nachricht (für Sony): heute wurde Sony nicht gehackt.

  Die schlechte Nachricht: Sony Ericsson wurde gehackt.

  Nah genug :-)

Mon May 23 2011

• [l] Ratet mal, wer gerade gehackt wurde! Kommt ihr NIE drauf!1!!

  Na?

  Sony Griechenland. Jedenfalls postet jemand Daten im Internet, die behaupten, ein Datenbankdump von denen zu sein.

  Ich bitte um Verzeihung zu dem Snake-Oil-Vendor-Link, aber die einzige andere URL, die ich hatte, war zu einem angeblichen SQL-Dump.

Wed Oct 13 2010

• [l] Lacher des Tages: Paul Vixie pinkelt der Antiviren-Industrie ans Bein. Nun bin ich ja der letzte, der die Snake Oil Industrie verteidigen würde, aber Paul Vixie hält bis heute den Rekord für die meisten CERT-Vulnerabilities pro Person. DER soll mal GANZ LEISE sein, wenn es um Security geht. Ich finde es zum Brüllen, dass HITB ausgerechnet DEN die Keynote sprechen lässt. Was für eine Farce. Oder vielleicht war das auch nur ein Dankeschön, weil er mit BIND und seinem grottigen Ranz-Cron-Daemon eigenhändig die Nahrungsgrundlage für die Gründung der Securityindustrie geschaffen hat.

Tue Aug 28 2007

• [l] Erster echter Nachteil für den Konsumenten durch §202c. n.runs hat ja kürzlich die ganzen Antiviren versenkt, und in einem Fall, Sophos, hat der Hersteller schlicht geleugnet, daß es sich um ein Problem handelt, und n.runs kann jetzt keinen Beweis antreten, weil das ein Hackertool wäre. Und wißt ihr, was ich unseren Politikern jetzt aus ganzem Herzen wünsche? Daß die Sophos-Produkte einsetzen und über genau diese Lücke jetzt alle von der Russenmafia geownt werden. Schweinebande, elende.

Tue Feb 13 2007

• [l] "Wer besonders sicher sein wolle, setze ein Betriebssystem wie die Unix-Variante FreeBSD ein", sagt Sophos. Klar, damit kann man dann nur noch über Wifi-Beacon-Frames im Vorbeifahren geownt werden, FreeBSD ist total voll sicher, ey. Bwahahaha.

Wed Jun 7 2006

• [l] Microsoft kündigt ein großartiges neues Produkt an: Microsoft Antigen, eine Mailserver-Lösung gegen Spam, Viren und Würmer. Was mich daran so freut: nicht nur daß Microsoft eine großartige Vergangenheit in Sachen SMTP hat (ich erinnere mich noch an die erste Exchange-Version, die sie sicherheitshalber nicht 1.0 genannt haben, sondern ihr eine höhere Versionsnummer gegeben haben, um Produktreife zu simulieren; das Teil rauchte dann ab, wenn HELO AAAAAAAAA… sagte. Das waren noch Zeiten), sondern auch daß sie das bestimmt aus Performancegründen nicht in C# machen werden, sondern in C oder C++, und daß sie da nicht nur eine Virenscan-Engine einsetzen wollen:

  Neben einer hauseigenen Scan-Engine sollen sie unter anderem auch die Spürhunde von Computer Associates, Sophos, Norman und Kaspersky auf die eingehende E-Mail ansetzen können.

  Ein Bug in nur einer von denen wird also reichen, um dieses Produkt aufzumachen. Wir leben in interessanten Zeiten, Freunde. :-)