Security through Obscurity1 funktioniert nicht. Das ist keine Behauptung, das ist ein immer wieder erwiesener Fakt. Der heutige Beweis hat einen besonders großen Impact für weltweit alle Microsoft Windows Installationen. Die Windows Security Center (WSC) API2 wurde dazu gebracht, jedes beliebige Programm als Anti-Virus Lösung zu akzeptieren. Die Funktionsweise der WSC ist wie folgt: Will ein Hersteller einer AV-Security-Lösung sein Schlangenöl installieren, muss er die in Windows laufenden Mechanismen erst ausschalten können, damit dieser nicht selbst als Malware erkannt und an diesem Versuch verhindert wird. Daher die bisher äußerst strenge Geheimhaltung dieser Schnittstelle. Read more

Im Mai habe ich von einem schönen Projekt berichtet, welches eine undokumentierte Windows API zur Installation eines Pseudo-Virenscanners nutzte.1 Auf diese Art und Weise lässt sich der Windows Defender zusammen mit der Firewall sauber, wie von Microsoft vorgesehen, deaktivieren. Wie befürchtet wurde das Projekt mit Verweis auf den DMCA2 letzten Monat entfernt, so dass nur noch die Readme-Texte im Original-Repo3 verblieben sind. Aus Sicht von Microsoft ist die Veröffentlichung dieser undokumentierten aber frei zugänglichen Funktion eine Urheberrechtsverletzung. Möglicherweise steht auch AVAST dahinter, dessen Implementierung als Proxy verwendet wird. Wie auch immer, klassiches Security through Obscurity4 Sicherheitstheater. Read more

Jüngstes Beispiel zur Widerlegung von Security through Obscurity:1 Ein kleines C++ Programm von Arsenii Esenin2 zur Deaktivierung des Windows Defenders. Das geschieht durch eine nicht dokumentierte WSC API, die jeder AV-Hersteller zur Installation seiner Software aufrufen muss. Der Windows-Defender3 macht anschliessend Platz für das Schlangenöl des Drittanbieters. Esenin hat durch klassisches Reverse Engineering einer solchen Installationsroutine eines Herstellers diese API offengelegt. Üblicherweise verpflichten sich Nutzer der geheimen Schnittstelle mit einer NDA zur Geheimhaltung. Read more