Gepubliceerd: Maandag 13 juli 2009
De antivirussoftware van CA heeft systeembestanden van Windows XP aangezien voor malware. Volgens de gedupeerden reageerde het bedrijf slecht op de klachten.
Toon volledig artikel
[Complot theorie]
Dit is gewoon een complot van Microsoft, AVG, CA en McAfee om gebruikers alsnog proberen over te krijgen op Vista.
[/Complot theorie]
Het lijkt wel een trend te worden. Het is natuurlijk onverteerbaar dat je Virusscanner, die je moet beschermen tegen downtime, zelf downtime veroorzaakt.
[hahahahahaha] Dat krijg je als je antivirus software nodig hebt met administrator rechten.. [/hahahahahaha]
@ laps op Maandag 13 Juli 2009 14:27 (hahahahah)
Dat laps lacht tussen haakjes vind ik hoogst twijfelachtig.
Dat niet alleen, dat het rechte haken zijn vind ik zelfs hoogst verdacht. ;)
Maar zijn gelach is sowieso wel twijfelachtig, want volgens mij heeft de virusscanner op mijn OpenSUSE machine ook 'Administrator' rechten (Maar dat moet ik later maar eens nakijken).
Maar zijn gelach is sowieso wel twijfelachtig, want volgens mij heeft de virusscanner op mijn OpenSUSE machine ook 'Administrator' rechten
Ff snel gecheckt op een van mijn Debian servers: draait als user clamav in group clamav (had ik ook wel verwacht, eigenlijk). Ik neem aan dat dat op SuSE niet anders is.
Ik zou eigenlijk niet weten wat er gebeurt als clamav een virus ontdekt, 't is me nog niet overkomen :) Presumably hookt-ie naar dovecot of courier ofzo om die te vertellen dat-ie iets met dat mailtje moet.
Ik kan me herinneren dat de rechten hoger waren dan doorsnee user. Maar dus niet root als ik jou beluister. De waarheid ligt dus in het midden.
Niet hoger, maar anders. Eerder lager zelfs. Een daemon als deze, die met gevaarlijke data omgaat, draait in een eigen user en group om die gevaarlijke data te isoleren van de rest van het systeem. Zo heeft de clamav-user geen homedirectory, geen shell en mag 'ie als het goed is helemaal niets behalve de clamav-daemon draaien.
Dit vind ik wel kwalijk eigenlijk.. Je weet niet wat er gebeurt als er een virus binnenkomt? Hopelijk heb je die server alleen voor eigen gebruik dan.
Hoe dan ook, je MTA (Sendmail, Postfix etc.) heeft een hele keten aan regels die worden doorlopen op het moment dat er mail binnenkomt. Je virusscanner maakt daar deel van uit. Op grond van wat de virusscanner zegt, handelt je MTA de mail verder af. Dat wil zeggen: bouncen, in een aparte queue plaatsen, of gewoon afleveren met een waarschuwing etc..
Als het virus pas in Dovecot of Courier wordt afgevangen, ben je als antivirusproduct rijkelijk laat.
Sorry, maar ik heb nog steeds de slappe lach.
Het is toch ook om te lachen (het komt er met bakken uit), dat een heel groot bedrijf met veel slimme mensen instaat is om een product te maken wat vernaggeld wordt door
1) de aanwezigheid van een product van een klein bedrijf of
2 de afwezigheid van een product van een klein bedrijf.
Er zal toch echt wel iets mis zijn met XP als eerst McAfee en nu CA bepaalde onderdelen als virus bestempelen ;-)
Er zal toch echt wel iets mis zijn met XP als eerst McAfee en nu CA bepaalde onderdelen als virus bestempelen ;-)
Ik heb soms de indruk dat de AV bedrijven zich meer en meer beginnen te richten op de opvolgende versies van Windows, waardoor het testen voor XP een beetje ondergesneeuwd raakt. Geen idee waardoor die blinde vlek voor het grootste deel van de markt vandaan zou moeten komen.
Als je in een netwerksituatie zit, dan wordt de virusscanner en zijn updates standaard via de server beschikbaar gesteld aan de clients. Daar hoort dan bij dat het met admin-rechten moet plaatsvinden. Hierdoor is het onderhoud en het theoretisch kunnen beschadigen van systeembestanden alleen als admin mogelijk.
Als ik in Linux de bekende clamav-scanner installeer, dan doe ik dat als root. Ook de update van de definities vindt plaats als root.
Juist hierdoor kunnen hackers zonder root/admin-wachtwoord niet zomaar je virus-scanner manipuleren.
Het zou verstandig zijn om bij een detectie de user/admin te laten kiezen wat met het bestand gedaan moet worden.
Maar er zijn bij alle virusscanners af en toe "grappige" detecties. Sophos zag bij mij 2 weken geleden het installatiebestand notepad.ex_van WindowsXPSP2 als een virus.
Vandaag is het bestand bij Sophos "ok".
FreshClam (de updater voor virusdefinities) draait als het goed is niet als root. Dat is ook niet nodig. Een geisoleerde user-account is net zo veilig als het root-account. Een dergelijke user is namelijk alleen te compromitteren wanneer de aanvaller al root heeft, en dan ben je sowieso te ver heen om nog iets te redden aan je systeem.
Het beste is een clamav gebruiker en -groep. Als er een vulnerability in zit heb je hooguit de rechten van die verder nutteloze gebruiker gekregen. Dus geen root, want dan zou je door een bug root permissies kunnen krijgen. Wil je toch meer rechten dan kan je het beste een soort zandbak creëren, of te wel een chroot jail. Dan kan je een aantal core resources bij elkaar vegen.
Wel grappig dat de discussie over een artikel over een virusscanner voor Windows meteen gaat over hoe je het beste een virusscanner kan draaien op Linux. Welnu, voor mij geldt: helemaal niet. Ik vind het tot daar aan toe om een scanner te draaien op een win32 bak (met de bijbehorende blauwe schermen, dankuwel meneer Avast!) maar op een Linux server komt-ie niet. Laat die win32 machines zichzelf maar beschermen (of om zeep helpen, voor mijn part...).
2,50 per maand voor belangrijke bescherming per maand duur? Dat het gratis kan klopt, ik gebruik zelf ClamAV, maar 37 euro per jaar is niet duur. Helemaal niet als het je een stuk zekerheid en continuïteit geeft.
Wij Nederlanders vinden snel iets duur, terwijl hetgeen er tegenover staat vaak niet in geld is uit te drukken. Een hele fotocollectie van je pasgeboren dochter wordt door toedoen van een virus vernietigd en er is geen backup, waarde? Onbetaalbaar... Maar wel klagen over 37 euro per jaar.....
Erg jammer hoor...
2,50 per maand voor belangrijke bescherming per maand duur?
Nee, als je het zo stelt niet. Maar ik heb ten eerste niet één computer te beschermen, dus die kosten stijgen sowieso al. Punt twee, niet op elk os wordt volgens mij Nod32 ondersteund, dus voor mijn Linux dozen en partities moet ik dan weer wat anders gaan kopen. Punt drie, de concurrentie is een stuk goedkoper (AVG, Avast en Clam).
Die drie factoren maken Nod32 voor mij te duur.
Ik bedoelde ook in het Windows tijdperk. Thunderbyte heb ik ook een tijdje gebruikt onder Dos. Daarvoor McAfee.
Ik moet het met Typogeek eens zijn. Thunderbyte was voor zijn tijd een snelheidsmonster. :)
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
