Kann ein Virenscanner Meltdown/ Spectre Exploits in BLOBS erkennen?
 

Hallo zusammen!

Mein Thread ist ausnahmsweise kein tatsächliches Virenproblem das mich plagt. Vielmehr ist der Thread auf die Zukunft gerichtet.

Nach den Prozessorsicherheitslücken Meltdown, Spectre-V1 und Spectre-V2 sind Anfang Mai nun nochmal 8 weitere Spectre Next Generation Sicherheitslücken aufgetaucht.

Grundsätzlich bestehen die Sicherheitslücken in unterschiedlichen Detailausprägungen sämtlich darin, dass aktuelle CPUs zur Performance Optimierung "während ihrer Wartezeit" bereits spekulative Ausführungen von "zukünftigem" Code machen, die sich über Zugriffrechte hinwegsetzen. Normaler Weise werden diese auf einem verletzenden Zugriff beruhenden Ergebnisse nachträglich wieder verworfen. Mit gezielten Angriffen können die Ergebnisse jedoch trotzdem aus dem Cache-Speicher des Prozessors ausgelesen werden (Seitenkanalangriff).

Meine Frage ist nun:
Hat ein Virenscanner überhaupt die Möglichkeiten, einen Meltdown/ Spectre Exploit in einer ausführbaren Binärdatei (BLOB) zu erkennen? Kann es überhaupt eine zuverlässige Viren-Signatur für Meltdown/ Spectre Exploits geben, oder ist deren Compilat einem regulären Maschinencode einfach zu ähnlich?

Gegenwärtig werden ja fast alle Windows-Programme als compilierter Binärcode irgendwo aus dem Internet geladen. Auch bei Linux geht der Trend in diese Richtung (Stichwort Flatpak und Snap).


Hintergrund:
Ich betreibe ein Entwicklungslabor mit sensitiven Daten, für das erhöhte Sicherheitsmaßnahmen erforderlich sind.

Hmm...ein Virenscanner erkennt ja nicht weil es da eine "Zecke" sieht. Es is tdoch auch nur ein Programm und macht einfach stumpf das, was programmiert ist. Wenn der AV-Anbieter es geschafft hat, entsprechende Signaturen/Muster zu entwickeln, dann dürfte auch ein Virenscanner bekannte Exploits erkennen.

Dir ist schon klar, dass ein Virenscanner nicht wirklich für Sicherheit sorgt? Er kann sogar oft die Angriffläche erhöhen und v.a. wenn er auf dem zu schützenden Host läuft, auch sonst vieles negativ beeinflussen.

Einen Virenscanner begründen wegen erhöhter Sicherheitsmaßnahmen ist auch ein wenig lachhaft, wenn du mal bedenkst, dass schon locker seit 2012 also seit Windows 8 draußen ist, ein vollwertiges AV direkt in Windows eingebaut ist.

Falls du Linux-Distros in deinem Labor hast: vergiss Virenscanner, die sind dort totaler Unsinn.

Hmm...ein Virenscanner erkennt ja nicht weil es da eine "Zecke" sieht. Es is tdoch auch nur ein Programm und macht einfach stumpf das, was programmiert ist. Wenn der AV-Anbieter es geschafft hat, entsprechende Signaturen/Muster zu entwickeln, dann dürfte auch ein Virenscanner bekannte Exploits erkennen.

Dir ist schon klar, dass ein Virenscanner nicht wirklich für Sicherheit sorgt? Er kann sogar oft die Angriffläche erhöhen und v.a. wenn er auf dem zu schützenden Host läuft, auch sonst vieles negativ beeinflussen.

Einen Virenscanner begründen wegen erhöhter Sicherheitsmaßnahmen ist auch ein wenig lachhaft, wenn du mal bedenkst, dass schon locker seit 2012 also seit Windows 8 draußen ist, ein vollwertiges AV direkt in Windows eingebaut ist.

Falls du Linux-Distros in deinem Labor hast: vergiss Virenscanner, die sind dort totaler Unsinn.

OK, dann wollen wir mal das besste hoffen, dass sich Spectre Exploits genug von regulären Maschinencode unterscheiden, dass man dann wirklich eine charakteristische Signatur findet.

Schon bei manchen normalen Viren ist das ja ein Problem, dass sie schon dann nicht mehr vom Virenscanner gefunden werden, wenn der Virus/ Exploit mit einem anderen Compiler (oder anderen Compiler-Einstellungen) compiliert wurde.

Consuli