Signatur für Ursprung einer Datei?
 

Hallo zusammen,

ich wollte mal fragen, ob es eine Möglichkeit gibt, einer Datei (z.B. eine DLL) eine Signatur mitzugeben, mit der andere Programme (z.B. Anti-Viren-Programme) erkennen können, welchen Ursprung sie besitzen.

Der konkrete Fall würde dann so aussehn:
- Ein Benutzer installiert ein Programm durch eine *.msi-Datei
- Diese *.msi-Datei erstellt bei der Installation eine DLL-Datei (z.B. vnchook.dll)
- Viele Firewalls/Anti-Viren-Programme stufen diese DLL als gefährlich ein (z.B. weil über sie ein VNC-Zugriff erfolgen kann)
- Durch die Signatur der DLL wird aber klar, dass diese DLL keine Schadsoftware ist sondern von einem vertrauenswürdigen Hersteller erzeugt wurde
- Die Einstufung wird zurückgesetzt

Mir ist natürlich bewusst, dass es unzählige Trojaner gibt, die diese vnchook.dll auch mitliefern.
Allerdings ist es als Hersteller von Software, die eine VNC-Funktion (als HelpDesk) beinhaltet, äußerst aufwendig, dass der VNC-Zugriff von Firewalls von Haus aus geblockt wird.
Es ist dann jedesmal nötig mit dem Kunden zu telefonieren und ihm zu beschreiben, wie er das Programm/DLL in die Ausnahmeliste seiner Firewall eintragen kann.

Nein es ist (praktisch) nicht möglich, vor allem müsste dies ja dann auch extrem fälschungssicher sein und zertifiziert (Kosten, Aufwand) werden.
Es wäre übrigens auch Aufgabe einer sogar vernünftigen Firewall auch zertifizierten Müll zu blocken bzw. es ist ja auch ein Kritikpunkt an den Kiddie-Firewalls, dass sie dem dummen Nutzer ungefragt Sachen abnehmen und Diverses ungefragt zulassen, was dieser aber vielleicht gar nicht haben will.

Von diesem Standpunkt betrachtet gebe ich dir natürlich vollkommen recht.

Angenommen, ein Programm beinhaltet z.B. eine Funktion, um per VNC auf den Desktop des Kunden zugreifen zu können. Diese Funktion basiert im wesentlichen auf dem OpenSource-Project UltraVNC (h**p://sourceforge.net/projects/ultravnc/). Bei der Installation des Programms werden u.a. auch Datein wie "vnchooks.dll" mitgeliefert. Diese Dateien werden dann leider von vielen Firewalls/Virenprogrammen als bösartig eingestuft.

Mir ist natürlich bewusst, dass viele Torjaner u.ä. Programme gleichnamige Dateien mit einschleusen. Weisen diese jedoch nicht eine andere Signatur auf als die herkömmliche vnchooks.dll? Wie ist es möglich, hier eine Unterscheidung zu fällen?

Im professiopnellen Umfeld gibt es übrigens genügend Fernwartungs-/Hilfetools die zumindest durch normale (nicht "Personal-" oder "Desktop-")Firewalls durchkommen (mit PFs nicht getestet).

Bleibt die Fragen, welche Tools das sind.
Dabei ist allerdings davon auszugehn, dass diese Tools auf keinem OpenSoure-Project beruhen und daher deren Dateien nicht von Trojanern misbraucht werden.
Verwendet man nämlich UltraVNC als Grundlage für Fernwartungstools ist es notwendig einige Dateien mit einzubeziehen (eben vnchooks.dll), welche auch von Trojanern verwendet/eingeschleust werden.

Ich könnte nachsehen und dir eine (kleine) "Liste" zusammensuchen.
Davon ist nicht nur auszugehen, sondern es ist so. Deshalb ist das Zeug mitunter auch deutlich teuer, wird erst im großen Stil "pro Einsatz" halbwegs günstig.
Ich tippe drauf, dass du Backdoors meinst. Allerdings hat eine Urheberrechtsverletzung Malware bisher selten aufgehalten. Aber die offene und allgemeine Verfügbarkeit einer Open-Source-Lösung macht es halt für alle Seiten einfacher und billiger.

Du würdest mir wirklich einen großen Gefallen machen, wenn Du mir einige dieser Tools nennen könntest :applaus:

Es würde vermutlich auch nichts nützen, wenn man die "indizierten" Dateien einfach etwas verändert, oder?
Dann würden sie nicht mehr genau der Signatur des Origianls entsprechen und dadurch nicht mehr von Firewall und Konsorten erkannt werden.

Soweit ich mich erinnere, stufen die AVPs/Firewalls vnc als Riskware ein, d.h. als nicht per se schädlich. Es kommt auf den Einsatzzweck an und davon haben AVPs idR null bis gar keine Ahnung. vnchooks.dll verfügt über eine gültige Signatur, nur hilft das wenig, wenn sie - eher ungewöhnlich :balla: - als Backdoor mißbraucht wird. Die Signatur hilft nicht viel weiter.

Was spricht gegen den Remotedesktop von Windows? Jetzt sag nicht Linux...

edit: ich hänge es mit dran

Die Signatur ließe sich aber fälschen, ebenso wie ein normaler Hash-Wert. Je fälschungssicherer und je verlässlicher zertifiziert so eine Datei mit Signature wäre, desto teurer ist die Zertifizierung und desto aufwändiger in jeder Richtung wäre das Zertifikat und dessen Überprüfung.
Und die Signatur einer dll (im Beispiel) hilft ja nichts (wie ordell1234 richtig sagt, dass AV-Programm weiß ja nicht wozu es genutzt wird), die gesamte Anwendung müsste eine neue (fälschungssichere, sicher zertifizierte, teure) Signatur bekommen, inkl. der dll, damit - theoretisch - ein AV-Programm bzw. eine Personal-Firewall diese dll diesem (zertifiziertem) Programm zuordnen könnte.

Bedeute das also, dass die Fernwartungs-Tools, die nicht durch Firewalls/Anti-Viren-Programme gesperrt werden, auch nur deshalb berücksichtigt werden, da sie eine teure Zertifizierungs-Prozedur bei Kaspersky, Symantec & Co durchlaufen haben?
Wer nimmt diese Zertifizierungen eigentlich vor? Es ist doch sicher nicht notwendig, sich bei jedem einzelnen Hersteller seperat zertifizieren zu lassen.

Nutzt man jedoch ein Open-Source-Projekt bzw. ein VNC-Programm, dass auch von Schadsoftware schon verwendet wurde, wird man von Haus aus erstmal ausgesperrt.

Weiß ich nicht und glaube ich auch nicht unbedingt.
Denn es ist schließlich für eine AV-Software mindestens so peinlich (ich würde sagen deutlich peinlicher) ein False-Positive-Ergebnis zu liefern, als für ein Fernwartungstool fälschlich als mögliche Malware falsch identifiziert zu werden.

Dies hat mit Open-Source (ob als Begriff richtig verwendet oder in falscher Wikipedia-Weltsicht) nichts zu tun, sondern mit "das auch mit Schadsoftware verwendet wird". Du darfst dich also bei Script-Kiddies bedanken, nicht bei kommerziellen Softwareproduzenten.
Egal ob Open-Source oder Closed-Source, egal ob Freeware oder kommerzielle Software, ein Programm oder Programmteil welches für Malware benutzt wird, sollte unbedingt erst einmal gemeldet oder geblockt werden. Weder ein AV-Programm noch eine Desktop- oder gar echte Firewall kann ja die Intention erkennen oder den Kontext in dem (als Beispiel) VNC läuft. Alles andere würde ja die Malwarebekämpfungssoftware vollkommen unsinnig machen.

Danke für die Auskunft und Information.
Dann wird dieses Problem also auf absehbare Zeit bestehn bleiben.

Ohne teure Zertifizierung heißt es dann also weiterhin, bei einem notwendigen Einsatz eines Fernwartungs-Tools, den Kunden anzurufen und mit ihm gemeinsam herauszufinden, wie man die entsprechenden Files in die Ausnameliste seiner Firewall aufnimmt :killpc:

Wer nimmt diese Zertifizierungen eigentlich vor?

Noch einmal:
Ich weiß es nicht und ich bezweifle, dass da eine Zertifizierung möglich ist, die dein Teil (der VNC-Software) davor bewahrt von AV-Software, Desktop-Firewalls und echten (externen) Firewalls als mögliche Malware identifiziert zu werden.
Bei einer externen Firewall hilft eine Zertifizierung naturgemäß sowieso niemals und bei pc-interner Software wird eine Zertifizierung auch nur wenig helfen, denn du wirst eher nicht eine fremde Software (den VNC-Teil) so simple zertifizieren können bzw. sollen, er wäre ja austausch- und missbrauchbar.
//Ich will als Bösewicht deine als sauber zertifizierte vnchooks.dll-Kopie nutzen um AV-Software auszutricksen und schon ist dein Zertifikat ein Anzeichen für Malware - du müsstest also zu verhindern wissen, dass (ohne weiteres) deine dll-Version anderweitig einsetzbar ist. Kritisch wiederum bei Open-Source nach GNU/GPL/OSI/FSF oder sonstwie, wenn du die Nutzung faktisch unmöglich machen wolltest. //

Du magst aber als Entwickler mal bei den AV-Herstellern nachfragen, wie du dieses Problem umgehen kannst.
Ich halte aber auch eine einfache, bebilderte Anleitung wie ein potentieller Nutzer dies regeln kann für sinnvoll.

Danke Shadow, Du hast mir wirklich sehr geholfen.

Ich werde mal bei Kaspersky & Co nachfragen. Wenn's produktive Ergebnisse gibt, poste ich sie hier noch rein.

Greets
Gooner85

Mich würden auch die unproduktiven Ergebnisse interessieren :D
Ganz im Ernst, es würde mich freuen, wenn du jegliche Antworten dem Forum oder mir "irgendwie" zukommen lassen könntest (natürlich ohne persönliche Daten u.ä.). Auch wir wollen lernen (und den nächsten Frager dann ausführlicher beraten zu können).
:daumenhoc

Kaspersky hat (leider) diesen Standpunkt:

Quelle: Kaspersky Forum

Zwischenzeitlich hab' ich auch mal im Forum des UltraVNC-Projekts nachgefragt, ob die eventuell einen Vorschlag haben. Hier nachzulesen.

Es lief letzendlich darauf hinaus, dass VNC-Files eben immer missbraucht werden können und es deshalb wohl keine Chance gibt, sich vor einer generellen Aufnahme in eine Blacklist zu schützen.

Hast Du vielleicht die Namen der VNC-Tools parat, die mit Firewall weniger (gar keine) Probleme haben?

:dankeschoen: für die Zwischeninformation