Gepubliceerd: Maandag 15 februari 2010
Het crashen van Windows XP na installatie van een securitypatch ligt aan een rootkit. De Microsoft-patch zit de infectie onbedoeld dwars.
Toon volledig artikel
Ze kunnen niet altijd schuldig zijn natuurlijk. ;)
Maar inderdaad. Het is de eerste keer, voor zover ik me herinner, dat malware op zo grote schaal voor zoveel problemen zorgt bij een patch. Ik denk dan ook dat niemand dit had kunnen voorzien.
Het bewijst misschien ook dat XP (Of liever gezegd, het draaien onder een administrator account) haar beste tijd heeft gehad. Niet dat een nieuwere versie het probleem uitbant, maar het verhoogt in elk geval de drempel weer een stukje.
En het bewijst dat antivirus bedrijven de wapenwedloop niet meer bij lijken te kunnen houden. De meeste scanners schijnen deze rootkits niet te kunnen detecteren. Om goede redenen misschien, maar het is wel verontrustend.
En het bewijst dat antivirus bedrijven de wapenwedloop niet meer bij lijken te kunnen houden.
Pardon?
We hebben het hier toch over het drijvend houden van een operating system dat veel weg heeft van een schip dat is gebouwd op basis van het concept van een varend vergiet?
Het geeft geen pas om dan de makers van de pleisters waarmee we het vergiet drijvend moeten houden de schuld te geven.
Daar komt nog bij dat de maker van dit onvolprezen vergiet er in slaagt om met allerlei ongedocumenteerde en onvermoede features in slaagt dagelijks spontaan nieuwe gaten in het vergiet te laten ontstaan.
Hoe kun je in zo'n situatie zeggen dat de anti-virus schrijvers de wedloop aan het verliezen zijn?
Je kunt een anti-virus schrijver vergelijken met een schaatser, hij moet wel ijs hebben om op te kunnen schaatsen. nu heeft hij een Olypisch ovaal vol met stroop.
Blijkt Microsoft toch onschuldig
Het is maar net hoe je dat bekijkt.
Het staat als een paal boven water dat Microsoft een systeem op de markt heeft gebracht dat uiterst kwetsbaar is.
Zelfs als de gebruiker een volledig gepatched systeem heeft en netjes een up to date anti-virus installeert en bijhoudt, dan nog blijven er zoveel gaten over dat zo'n rootkit de machine overneemt. Het ergste is, dat de goede gebruiker zich veilig waant, hij heeft toch al het mogelijke gedaan?
De gebuiker is door rootkit en WGA aan de heidenen overgeleverd:
- Microsoft behandelt de klant op voorhand als misdadiger, waartegen zij gedurende het gebruik een case aan het opbouwen is;
- De rootkit zorgt ervoor dat de gebruiker helemaal niet meer weet wat er met zijn gegevens gebeurt.
Om de ramp compleet te maken: Er zijn maar heel weinig mogelijkheden om de rootkit uit te schakelen en zelfs dan weet de gebruiker niet wat er verder allemaal gebeurt.
Deze malware is specifiek geschreven door cybercriminelen om samen met Trojans en backdoor-software pc's te kapen.
Vervolgens worden die ingezet als onderdeel van botnetten, waar de malwaremakers hun geld mee verdienen.
Deze situatie is voor geen enkele consument en geen enkel bedrijf acceptabel. Wie komt er nu eindelijk eens op voor de rechten van de gebruiker van deze duur betaalde systemen?
Als dit met Linux zou gebeuren dan zou Microsoft via koppen van Chocolade Letters in de landelijke dagbladen aansturen op een verbod van onveilige Open Source Software! Nu ze zelf de oorzaak zijn komen ze niet verder dan dat ze anderen de schuld proberen te geven. Wee Microsoft!
Misschien dat Microsoft zich eerst eens een tijdje zorgen moet maken over het veilig maken van hun systemen voordat ze verder gaan met hun WGA programma. Ik hoop dat de Consumentenbond en de EU hun hier een handje mee helpt.
Rootkits zijn mogelijk op IEDER operating system wat nu op de markt is. De eerste rootkit is overigens gemaakt voor Unix (vandaar ook de naam "root"kit).
Wat WGA hier nou weer mee te maken heeft weet ik niet. Als je een legale versie van Windows hebt hoef je je helemaal niet druk te maken om WGA.
Wat WGA hier nou weer mee te maken heeft weet ik niet.
Alles.
Vooral op het punt van de rechtvaardiging.
Microsoft legt een compleet juridisch cordon rond de geodbedoelende en betalende gebruiker. Het kost de gebruiker tijd en geld.
Daarnaast is hij halve dagen in de weer om de beveiliging van het systeem op orde te houden.
Zo ben je toch helemaal niet productief meer?
Als je een legale versie van Windows hebt hoef je je helemaal niet druk te maken om WGA.
Dat is te makkelijk, kijk hier maar eens.
Iedereen weet dat het bijna onmogelijk is om met de ingewikkelde microsoft licentie structuur niet ergens in overtreding te zijn.
Voorbeeldje?
Je hebt bijvoorbeeld een terminal server en daar wil je daar met een client naartoe. Tot zover is het simpel.
Je het op de client MS Office en je bebt op de server MS Office. Je hebt voor zowel de server MS Office als voor de cleint MS Office licenties. Mag je dat zomaar gebruiken?
Nu wordt het ingewikkeld: Nee!
Waarom niet?
De Microsoft licentie voorwaarden schrijven voor dat je in zo'n geval op de client geen OEM licentie mag hebben voor MS Office, maar dat je een speciale MS Office licentie moet kopen voor dezelfde MS Office versie als op de server.
Wij weten dit, maar de meeste argeloze gebruikers niet en die kijken lelijk op hun neus als je ze vervolgens met het prijskaartje confronteert: € 600,- per werkplek in een "afkoop" licentie.
Microsoft legt een compleet juridisch cordon rond de geodbedoelende en betalende gebruiker. Het kost de gebruiker tijd en geld.
Daarnaast is hij halve dagen in de weer om de beveiliging van het systeem op orde te houden.
We hebben het toch nog wel steeds over WGA toch ? WGA is gewoon een check om te verifieren dat je een geldige Windows licentie hebt. Als dat niet zo is dan wordt je dat middels meldingen duidelijk gemaakt. Niks meer, niks minder.
Hoe dat een gebruiker tijd en geld kost en wat gebruikers daarvoor moeten sleutelen aan de beveiliging van hun systeem ongaat me echt.
Je verhaal over Office licenties is niet indrukwekkend. Het is heel simpel: Office is client software en wordt dus per client gelicenseerd. Als je Office in een TS omgeving wilt gebruiken moet je voor iedere client een licentie hebben. Dat dit geen OEM licentie mag zijn is algemeen bekend. Een OEM licentie is namelijk gekoppeld aan de hardware waarmee je het koopt. In een TS omgeving bestaat die hardwarekoppeling niet meer en dus kan je daar geen OEM versie voor gebruiken. Een OEM licentie mag je alleen op je lokale PC gebruiken. Wil je Office in een TS omgeving gebruiken (en eventueel ook nog lokaal) dan moet je een retail of volume-license versie kopen. Simpel!
Jij houdt ook nooit op hè?
Ten eerste weet je helemaal niet hoe een gebruiker die rootkit heeft opgelopen; je roept dat dit met een volledig gepatched systeem en zonder schuld van de gebruiker is gebeurd. Hoe weet je dat zo zeker? Heb jij inzage in de crashdumps; ben jij naar gebruikers toegegaan om gecrashde pc's op te halen van gebruikers, zoals Microsoft gedaan heeft?
Ten tweede roep je ook nog dat Microsoft de klant als misdadiger behandeld en "een case opbouwt"; volgens mij is er geen enkele aanleiding om dat te denken, in alle communicatie en tools van Microsoft zie je expliciet vermeld staan dat ze hiervan geen persoonlijke informatie bewaren.
Na het eerdere, nu foutief gebleken artikel over dit probleem, en je reactie daarover, lijkt het me voor jou meer op zijn plaats om hier een excuus aan te bieden.
Wat zei je ook alweer?
Nu je het zegt, waar zijn de fanboys eigenlijk? Ik is ze een beetje in het verhaal.
- Hebben ze het opgegeven?
- Zijn ze het zat en zijn ze stiekum Linux aan het installeren?
- Zijn ze op zoek naar een andere nick om Microsoft te gaan bashen?
Waar zijn alle fanboys heen?
Waar zijn ze gebleven?
Waar zijn alle fanboys heen?
Heel Lang terug
Waar zijn alle fanboys heen?
Blue Screen of Death
Wanneer komt het begrip?
Wanneer komt het verstand?
Ten eerste weet je helemaal niet hoe een gebruiker die rootkit heeft opgelopen; je roept dat dit met een volledig gepatched systeem en zonder schuld van de gebruiker is gebeurd. Hoe weet je dat zo zeker? Heb jij inzage in de crashdumps; ben jij naar gebruikers toegegaan om gecrashde pc's op te halen van gebruikers, zoals Microsoft gedaan heeft?
Hou maar op met het verdedigen van Microsoft:
http://techworld.nl/technologie/17632/rootkit-blijkt-stiekem-oorzaak-xp-vastloper.html#source=newslist
Hierin kun je lezen dat de meeste anti-virus software niet in staat is om deze rootkit op te sporen.
De goedbedoelende gebruiker is dus dankzij zijn fundamenteel onveilige systeem kansloos met betrekking tot deze rootkit.
Ten tweede roep je ook nog dat Microsoft de klant als misdadiger behandeld en "een case opbouwt"; volgens mij is er geen enkele aanleiding om dat te denken, in alle communicatie en tools van Microsoft zie je expliciet vermeld staan dat ze hiervan geen persoonlijke informatie bewaren.
Natuurlijk geloof ik Microsoft helemaal! Microsoft heeft zich in het verleden altijd gehouden aan zijn beloftes!
Punt 1:
Ik geloof daar dus niets van, je kunt er ook geen enkel recht aan ontleenen;
Punt 2:
Zelfs al zouoden ze het echt zo bedoelen: Via de rootkits liggen jouw gegevens toch al op straat, vooral voor lieden die je daar niet mee wilt zien rondlopen.
Na het eerdere, nu foutief gebleken artikel over dit probleem, en je reactie daarover, lijkt het me voor jou meer op zijn plaats om hier een excuus aan te bieden.
Excuses? Geen denken aan!
Het artikel was niet fout. Het betekent in ieder geval dat Microsoft de patch onvoldoende in het veld heeft getest, anders hadden ze de fout ontdekt voordat ze daar op deze manier tegenaan zijn gelopen. Nu lijden ze imago schade.
Microsoft zit op twee punten fout:
1. Het systeem is zo lek als een mandje;
2. De patches zijn onzorgvuldig getest, anders kan het niet zo massal misgaan.
Hierin kun je lezen dat de meeste anti-virus software niet in staat is om deze rootkit op te sporen.
Dat is pas na installatie, als de rootkit al draait. Een goede virusscanner hoort eigenlijk al bij het downloaden van de rootkit aan te slaan. Waarom dat niet gebeurt is mij een raadsel.
Maar is het de schuld van Microsoft dat de virusscanner zijn werk niet doet? Krijgt Linux ook de schuld als je een rootkit je systeem in 'root'?
Linux is hier door het repository systeem in het voordeel, niet omdat het van zichzelf nu direct zoveel veiliger is bij trojans/rootkits.
De patches zijn onzorgvuldig getest, anders kan het niet zo massal misgaan.
Ga je nu echt beweren dat microsoft had moeten testen tegen elk stuk malware op de markt, om te controleren of die malware niet een BSOD zou veroorzaken?
Dat is pas na installatie, als de rootkit al draait.
Ik kan het zo snel niet meer vinden, maar ergens in een artikel van die onderzoeker Patrick W. Barnes stond dat:
1. De rootkit kon binnenkomen opsystemen die volledig waren gepatched en bij met hun anto-virus;
2. De meeste anti-virussen niet in staat zijn om deze rootkit te herkennen.
Een goede virusscanner hoort eigenlijk al bij het downloaden van de rootkit aan te slaan. Waarom dat niet gebeurt is mij een raadsel.
Waarom dit zo werkt?
Heel simpel. Er zitten veel meer gaten en lekken in het Windows OS dan wij (en Microsoft) weten. Daar kkomt bij dat Microsoft een aanhanger is van "security by obscurity", iets waarvan echte security experts kamerbreed gehakt hebben gemaakt.
De rootkit bouwers vallen dus terug op de stukken code die zo via omwegen te pakken hebben weten te krijgen en op reverse engeneering. Het is voor die mensen een vorm van prijsschieten in een tent met een bonte verzameling van deels stokoude 8, 16 en 32 bits code.
Al doende hebben ze dus een aantal wegen gevonden waarmee ze het OS om de tuin kunnen leiden. Als je een keer zover bent, dan is een anti-virus applicatie eigenlijk al bij voorbaat kansloos.
Je kunt natuurlijk proberen je best te doen en Windows te patchen en veilig te maken, maar als je niets meer tegen al die rootkits kunt doen dat is het onderhand geen optie meer om met Windows Internet op te gaan. Je weet niet eens wanneer je te grazen genomen bent.
Je kunt beter een vette firewall inrichten en zo'n Windows machine daarachter zetten en alleen gebruiken voor die zaken waarvoor je echt Windows nodig hebt, Internetten en Email doe je dan maar op een andere manier. Je kunt die firewall dan ook nog eens een keer zo inrichten dat ie een beetje in de gaten houdt wat die Windows machine zoal uitspookt, tcpdump is daar echt een prachtig tool voor.
Een rootkit is pas niet meer te detecteren als het draait, tot die tijd is het zo zichtbaar als alle ander malware, dus ook net zo herkenbaar.
Er kunnen wel allerlei schier mythische mogelijkheden worden toegeschreven aan rootkits, maar het blijft software. Alleen software die zich heel goed kan verbergen nadat het is geïnstalleerd.
Er kunnen wel allerlei schier mythische mogelijkheden worden toegeschreven aan rootkits, maar het blijft software.
De "kwaliteit" van deze rootkit is nu juist dat de meeste anti-virus software die niet opmerkt. niet voor de infectie en al helemaal niet erna. Dat heb ik uit het verhaal van Patrick W. Barnes begrepen.
Je kunt hier alleen maar wat tegen doen als je achter een firewall gaat zitten waarop je een stuk Linux / FreeBSD software zoals snort in inline mode draait. Je hebt dan een intrusion prevention systeem, mooi spul.
Dat is een actieve firewall die elk packet eerst via IPTABLES een QUEUE in gooit en pas accepteert en doorzet als die door een reeks filters is gegaan.
Dat heb ik uit het verhaal van Patrick W. Barnes begrepen.
Volgens mij heb je het dan toch echt mis begrepen.
Je kunt hier alleen maar wat tegen doen als je achter een firewall gaat
Hoe kom je daar nu bij? Een rootkit houdt je niet tegen met een firewall. De meeste malware komt tegenwoordig binnen als trojan, dus geen firewal die je daar gaat helpen.
Het helpt hooguit bij de detectie van de rootkit, tenminste als die op een ander systeem draait, omdat je dan het verkeer van de rootkit kan opmerken. Maar dan is het kwaad toch echt al geschied.
Het helpt hooguit bij de detectie van de rootkit, tenminste als die op een ander systeem draait, omdat je dan het verkeer van de rootkit kan opmerken.
Klopt, je kunt heel moeilijk met een Windows OS rootkits voor Windows tegenhouden.
Kijk in zo'n geval maar eens goed naar een Linux firewall waarop je een intrusion detection / intrusion prevention systeem hebt geïmplementeerd!
Het kan namelijk wel degelijk, met snort in inline mode, ik heb er behoorlijk lang naar gezocht.
De meeste systemen zijn inderdaad gemaakt voor intrusion detection, maar dan is het kwaad in sommige gevallen al geschied.
Voor Debian moet je daarvoor zelf een package bouwen waarin je snort met inline mode hebt geconfigureerd.
Het is wel een mooi systeem compleet met een standaard set aan rules, die je automatisch kunt upgraden. Daarnaast heb je de mogelijkheid om zelf een set van rules te definiëren.
Update: Ik heb het besmette atapi.sys bestand gedownload. En wat denk je? Kaspersky sloeg direct alarm en heeft het bestand in quarantaine gezet.
Meer over deze rootkit hier.
The infection comes from the usual dropper spread by peer to peer networks or by crack and keygen websites, and it needs administrator privileges to run its payload. If UAC is disabled or the user voluntarily gives admin permissions, this infection can run even on Windows Vista and Windows 7. This is likely to be the usual scenario, where a user looks for specific cracks and don't mind if UAC warnings him, he gives admin privileges to the wanted crack.
Je ziet een firewal beschermt hier niet tegen besmetting, maar hooguit tegen de gevolgen daarna.
Bedankt aan mijn minnaars voor de goede tegenargumenten. =P
Je kan wel de wens hebben dat het allemaal niet waar is, maar met minnetjes geven gaat het echt niet vanzelf weg.
Hehe. Waarom dit idd allemaal gemint moet worden...??
Het lijkt me trouwens logisch dat de rootkit nu in middels wel herkend wordt idd. De signatuur zal nou toch wel algemeen bekend zijn.
Dat sowieso. Virussen scannen is altijd al grotendeels reactief geweest en maar weinig proactief. Dat is en blijft de achilleshiel van virusscanners.
Er worden een paar systemen ziek, en bij de diagnose komt men achter de signatuur die vervolgens verspreid wordt.
Maar totdat daar een betere oplossing voor is zullen we het er mee moeten doen. De schepping/evolutie heeft ons tenslotte ook niets beters tegen de griep gegeven dan een reactief immuunsysteem. :)
Bedankt aan mijn minnaars voor de goede tegenargumenten.
Deze discussie op zich is vanuit Microsoft perspectief natuurlijk buitengewoon ongewenst, daar vallen ook genuanceerde verhalen en constructieve bijdragen onder.
Voor de rest is deze discussie niet anders dan al die andere discussies over de Microsoft ellende. De fanboys zeuren alleen maar over het feit dat je stelling neemt, maar komen zelf met geen enkel argument laat staan een oplossing. Ze willen bijvoorbeeld dat je bewijzen levert voor zaken die Microsoft geheim houdt, terwijl iedereen ziet dat het aan alle kanten mis gaat.
Jammer voor ze, want dat loopt niet goed af voor hun. Het zijn barre tijdenin de IT, maar als je met Linux werkt valt dat heel erg mee: Je hebt het druk en dat is niet alleen omdat het Windows marktaandeel volgens de statistieken daalt.
Een rootkit is pas niet meer te detecteren als het draait, tot die tijd is het zo zichtbaar als alle ander malware, dus ook net zo herkenbaar.
Nee hoor het duurt even voordat het signature bekend is en van sommige nooit. Na installatie door de gebruiker (gaat vanzelf onder windows), doet de rootkit z´n werk in stealth mode en werkt de gebruiker vervolgens in zijn eigen virtuele jail vertrouwend op zijn antivirus welke naar de verkeerde machine zit te kijken (hihihi).
Je wil niet weten hoeveel gekaapte windows zombies klaarstaan om toe te slaan, wachtend op een commando van de master om gewekt te worden.
Wat zou helpen is software ala tripwire en selinux, maar dat is onder windows niet beschikbaar.
Ik ben het met je eens dat MS niet geacht kan worden patches uit te testen op alle mogelijke rootkits (afgezien van het feit dat anderen vinden dat de BSOD een rootdetectiefeature kan zijn) maar het feit dat er de laatste tijd weer zoveel nieuwe en heel oude gaten opduiken die kennelijk door heel professionele criminelen en door chinese overheidsinstanties gedekte hackers gebruikt worden maakt mij steeds overtuigder dat het hele Windows een te groot risico is.
De weinige mensen die de broncode goed kennen zijn degenen die er misbruik van maken en die paar instanties die er wel goede bedoelingen mee zouden moeten hebben (o.a. MS zelf) zijn kennelijk niet in staat om het OS-bouwsel zo te beheersen dat ze in staat zijn op enig moment echt afdoende veiligheidsmaatregelen in te bouwen. Dat mag nu toch wel geconcludeerd worden.
MS en een leger aan anti-malware antivirus bedrijven is niet in staat windows echt veilig te maken. Het zijn elke keer lapmiddelen en op geen enkel moment krijg ik het vertrouwen dat er nu iets zo fundamenteels is verbeterd dat we echt een stap verder zijn gekomen.
Het is fnuikend dat er geen onafhankelijke instellingen zijn die het hele Windows eens goed tegen het licht mogen/kunnen houden en echt goed kunnen openlijk mogen evalueren... ..en we hebben het hier over een systeem dat wereldwijd in allerlei instellingen en bedrijven gebruikt wordt met o.a. uiterst privacygevoelig informatie.
Het is een situatie die in geen enkele bedrijfstak mogelijk zou moeten zijn, maar ZEKER niet in die tak waarin alle mogelijke data veilig zou moeten zijn.
Volgens mij komt het met Windows qua veiligheid nooit echt meer goed.
Het maakt mij zo dankbaar dat ik alleen met een Linux-PC's online ben en dat mijn Win7 PC alleen voor de updates daar af en toe op mag. Zodra mijn Avira Anti-virus licentie daarop afgelopen is komt die het internet niet meer op.
In dit geval hebben we het over een os uit 2001. Sindsdien is er toch echt wel het een en ander veranderd. Dat XP daar niet meer goed op in kan spelen? Het zij zo.
Misschien wordt het eens tijd om die oude 'vriend' met pensioen te sturen. Alleen wie gaat hem vervangen? Ik denk dat m'n meisje sacherijnig wordt als ze bepaalde spelletjes moet haan missen, het zal dus wel weer gedeeltelijk Windows worden.
Kijk Windows 7 is natuurlijk een hele verbetering tov XP laat dat duidelijk zijn. Maar het is en blijft gewoon een OS ( en doet niet de afwas voor je etc. ) Zonder dollen: Ik zie, nu ik beide ken, de meerwaarde van Win7 t.o.v. Ubuntu totaal niet.
Met Windows begint het hele verhaaltje weer met de Anti-virus anti-malware anti-spyware tools.
De hele commerciele rimram treedt met windows in actie en in no-time heb je, als je niet op let, weer een overvol systeem daar bij menig geinstalleerd (hulp-)programma weer andere software wil meeinstalleren (Yahoo bij Linksys etc. etc.).
In de tijd tussen een kompleet dichtgeslibt Xp systeem dat niet hersteld wenste te worden en Windows 7 ben ik Ubuntu gaan gebruiken, en het is simpel, helder en overzichtelijk. (ook voor mijn meissie, die er inmiddels ook alles op kan, en evenals mijn zoontje) Bij installatie van allerlei programmas wordt goed gecontroleert op compatibiliteit en geen ergernissen over allerlei commercieel gepush. Zonder meer het systeem waar ik het langst echt plezier van heb gehad. Nog nooit een probleem gehad.
WinXP heb ik virtueel draaien voor die twee programmas waar ik niet zonder kan RAW-fotoverwerkers, maar dat zou zelfs op VM kunnen.
....en als je meissie een spel wil doen is het toch veel leuker om met een drankje samen aan de tafel te gaan zitten Catannen of bijv. Carcasonne uit de kast te trekken ;) Kost een a twee tientjes per spel en is veel gezelliger!
Ik zie, nu ik beide ken, de meerwaarde van Win7 t.o.v. Ubuntu totaal niet.
Ik zie de voordelen wel in de games. Daar is Linux nog niet zo ver als ik graag zou willen.
... veel leuker om met een drankje samen aan de tafel te gaan zitten Catannen ...
We zitten dan liever op een terrasje. Voor die spelletjes die jij noemt hebben we beide niet het geduld. Wat dat betreft vullen we elkaar goed aan. :)
....maar wel het geduld voor het zitten op een terrasje..héhé ;)
Heeft volgens mij weinig met geduld te maken: Ik heb zelf juist niet het geduld voor een PCgame, Leisure Suit Larry is het eerste (1987) en enige spel dat ik leuk vond :), maar daarna heb ik geen enkel spel ooit langer dan een paar uur volgehouden.
Maar ik snap het verder wel: Op de PC is er nog niet echt een goed alternatief. Zonder games had MS het inderdaad een stuk moeilijker.
Het enige waar wij een joystick voor gebruiken op de PC is voor het vliegen van de Flightsimulator in Google Earth (leuk voor de aardrijkskundige kennis van mijn zoontje)
en de enige game(-console) die op de nominatie staat om er bij ons in te komen is de Wii (zodat de kinderen niet te vaak stijf achter de PC gaan zitten).
Met Windows begint het hele verhaaltje weer met de Anti-virus anti-malware anti-spyware tools.
Zeg eens eerlijk, hoe vaak slaat je virus scanner alarm ?
Na jaren betaald te hebben voor NOD32 en de laatste paar jaren nooit meer een melding gezien te hebben ben ik er mee gestopt. Geen virusscanner meer voor mij.
Nou ik kan je vertellen dat mijn virusscanner inderdaad wel regelmatig heeft gedetecteerd, al is het voor mij niet altijd in te zien of er false positives tussen zaten en een aantal van mijn Raw-bestanden onterecht in quarantaine staan.
Maar ja je kan als je voorzichtig bent je systeem redelijk schoon houden: Niet IE gebruiken, geen achterbuurtjes op internet opzoeken, geen toolbars installeren etc.
Verder helpt het als je bijv. Spybot S&D draait Adaware en regelmatig Hijackthis.
De meest dramatische terugval van meldingen was trouwens toen ik Gmail ging gebruiken (die gewoon een geweldig goede anti-spam c.q. Anti-virus werking heeft).
NOD heeft een goede naam, maar dat is nog geen garantie dat je PC echt schoon is: Toen ik jaren geleden eens Panda ging draaien naast Norton bleek Panda een aantal infecties te hebben gevonden die Norton niet had gezien.
En ook ik heb een tijdje zonder AV-software gedaan, omdat ik dacht dat het wel meeviel >(maar vooral omdat mijn Syteem door Norton of McAfee ongelooflijk traag werd). Toen ik daarna toch weer eens een test deed bleek er toch weer het een en ander loos was. Dus dat doe ik nooit weer.
En als jij je systeem schoon hebt, betekent dat dat je redelijk goed weet wat je doet (en wat je laten moet).
Maar laat er dan ook niemand anders achter (zeker geen kinderen)
Daarom zal ik het nooit iemand aanraden zonder AV-software te draaien. De ellende die je je op de hals haalt als het misgaat staat in geen verhouding tot de kosten van de licentie.
Maar ook met die Software is er geen garantie als de gebruiker waarschuwingen negeert. De gecrashte PC van een familielid van mij bleek vol spy- en adware te zitten, ondanks bijv. Spybot S&D, maar dat bleek gedeactiveerd (Door hemzelf?).
Het grote probleem is dus dat het hele AV-gebeuren echt nodig is. ..en zelfs een dat is geen garantie.
Op de levensduur van een PC (stel 6 jaar) is dat toch zo'n 200-300 euro die ik liever besteed aan iets anders. Een doorsnee Windows-PC is dus altijd zo'n 50% duurder dan een Linux-PC.
Zegt SurfRight, het Nederlandse beveiligingsbedrijf van Mark Loman, de man achter Hitman Pro. Iemand die erg gebaat is bij deze uitkomst. Daarom vind ik het wat moeilijk te plaatsen.
Verrassend was dat ook verdachte bestanden werden aangetroffen op 32 procent van de computers
Verdachte bestanden kunnen ook false positives zijn. Verder, als je virusscanner staat ingesteld op scannen bij gebruik en het virus ligt gewoon ergens te slapen in een zip file van een game demo die je vorig jaar ergens gedownload hebt maar nooit aan toe gekomen bent, telt deze waarschijnlijk ook mee.
Ons onderzoek laat zien dat traditionele antivirus software de cybercriminelen niet weet bij te houden
Dat denk ik ook, maar er zijn gradaties. Ik denk dat dit onderzoek een worst case verhaal is om Hitman Pro te promoten.
Angstzaaien is inderdaad het beste middel om geld uit de zak te kloppen, maar probeer het eens uit! Mijn ervaring is inderdaad dat de ene virusscanner meer of andere dingen vindt dan de ander.. en dat lijkt me vrij logisch.
Maar mijn vrees is dat dit verhaal wel eens angstig dicht bij de waarheid kunnen liggen.
...en om jezelf in slaap te sussen met het idee dat je een AV hebt draaien, daar is ook niemand bij gebaat.
(Alleen lààt je het wel twee AV's live te draaien.)
Microsoft security essentials . AVG antivirus, Avast om zo maar wat erg goede en gratis Virusprogrammas te noemen.
Je kosten verhaal gaat dus niet op.
Excuses? Geen denken aan!
Ik had het ook niet echt verwacht.
Tuurlijk niet; en jij gedroeg je ook heel netjes in je reacties.Windows XP update leidt tot Blue Screen of Death
Rootkit blijkt oorzaak XP-vastloper
Het artikel was niet fout.
Ga zo door: gewoon alle beschuldigingen volhouden en doorgaan dit forum vol te kladden met aanvallen op Microsoft. Het maakt niet uit of het terecht is of niet want het is voor een goed doel. Je zult zo heel wat zieltjes winnen (in je dromen).
Goed.
Wat heeft Microsoft dan in de afgelopen maanden gedaan om de XP-gebruiker te helpen voorkomen dat hij door deze en ander rootkits te grazen werd genomen?
Er is inmiddels een flink aantal zaken dat ze voor XP laten liggen, omdat het te moeilijk is om het op te lossen (onder andere TCP/IP en volgens mij SMB2).
Wat heeft Microsoft dan in de afgelopen maanden gedaan om de XP-gebruiker te helpen voorkomen dat hij door deze en ander rootkits te grazen werd genomen?
Pre-cies!
Ik lees vooral dat andere partijen dan Microsoft met oplossingen komen om de rootkit onschadelijk te maken, Microsoft heeft toch ook een eigen 'beveiligings pakket'. (One care ofzo? (klinkt trouwens als 'wanker'))
Microsoft kan deze met Security Essentials ook detecteren als Win32/Alureon.A (Definition: 1.69.77.0, Released: Oct 23, 2009) en die is gratis te downloaden.
Natuurlijk is Microsoft wel schuldig, Windows is toch geinfecteerd.
Als ik mij wel hebt laten informeren schijnt dat een OS van Microsoft te zijn :)
De enige manier om rootkits te voorkomen is om een compleet gesloten systeem te maken waarbij de gebruiker zelf geen software, updates of drivers kan installeren. Zoals de iPhone bijvoorbeeld. Ik wil zo'n OS niet als desktop OS.
De enige manier om rootkits te voorkomen is om een compleet gesloten systeem te maken waarbij de gebruiker zelf geen software, updates of drivers kan installeren. Zoals de iPone bijvoorbeeld.
Upgraden van software, updates op de iPhone kan iedereen al te makkelijk!
Heel slecht voorbeeld dus. Probeer mss nog eens...?
Hij heeft het over zelf, als in: Zelf een bron voor software en updates kunnen kiezen. Ik ben met hem eens dat Apple daar te streng is, en Microsoft te laks.
Eeeh, nee, is geen slecht voorbeeld. Dat Apple het heel gebruikersvriendelijk heeft gemaakt voor de gebruiker om software te installeren of te updaten maakt het OS niet minder gesloten. Het iPhone OS installeert niets wat niet ge-code-signed is en wat niet door Apple goedgekeurd is. Tenzij je de iPhone jailbreaked.
PS: Dat is in het geval van de iPhone postitief want daaruit ontleent het platform een deel van zijn veiligheid voor de gebruiker.
Het beste kun je systemen die risico lopen regelmatig scannen met een virusscanner die van cd bootable is. Daarmee geef je de controle over je pc tijdelijk aan een ander OS, een rootkit kan zich zodoende niet verbergen. Antivirusmakers als Kaspersky, Avira en Bitdefender bieden allemaal gratis iso's aan op hun websites. Wel even netwerkkabel in de pc zodat ze kunnen updaten. Op deze manier heb ik al een aantal machines kunnen herstellen die vanuit Windows niet meer schoon waren te krijgen.
De technieken voor een rootkit worden steeds geavanceerder. Op een gegeven moment zal het toch neerkomen op zoiets als het bit voor bit vergelijken met de originele bestanden die op een extern niet beschrijfbaar medium staan.
Het bit voot bit vergelijken is juist vrijwle onmogelijk omdat moderne OS'sen het rechtstreeks benaderen van de hardware afvangen en de onderdelen van het OS die wel de hardware benaderen zijn geinfecteerd door de rootkit.
Een whitelist i.p.v. de huidige blacklist gebaseerde signatures
Ik bedoel dat het zo geavanceerd is dat een signature te vervalsen is. Whitelist of blacklist maakt dan niet meer uit.Het bit voot bit vergelijken is juist vrijwle onmogelijk omdat moderne OS'sen het rechtstreeks benaderen van de hardware afvangen
Volgens mij niet als je dat met een bootable device doet waarna de bestanden van het originele OS goed te benaderen moeten zijn.
Het beste kun je systemen die risico lopen regelmatig scannen met een virusscanner die van cd bootable is.
Op een gegeven moment zal het toch neerkomen op zoiets als het bit voor bit vergelijken met de originele bestanden die op een extern niet beschrijfbaar medium staan.
Inderdaad, in ict land heersen er 2 grote misverstanden rond (het nut van) het gebruik van virusscanners:
1. Het is mogelijk vanaf een systeem zelf vast te stellen of dit systeem geïnfecteerd is. Dit is onmogelijk, op het moment dat een bepaald systeem 'untrusted' is, is iedere software dit op de systeem draait (met name de virusscanner) zelf ook 'untrusted'
2. Het is handig om bestanden te scannen op alle mogelijke infecties. Dit is natuurlijk ook onzin, een virusscanner kan nooit op de hoogte zijn van alle virussen. In ieder geval is het natuurlijk handiger en vooral veel betrouwbaarder om te controleren of een bestand in de originele staat is dan een bestand te controleren om miljoenen virus signatures.
Dat in ogenschouw nemende is het ontzettend simpel om met zekerheid vast te stellen of een systeem geinfecteerd is met een rootkit. Start op vanaf een live cd, mount de harde schijf read-only en controleer de checksums van alle binaries tegen een externe database. Zo simpel is dat.
Beide stelling die je zelf verzint en dan weerlegt zijn onzinnig.
Een virusscanner is al actief voordat er een infectie optreed en waarschuwt dus voor een mogelijke infectie. Een besmet systeem is dus mosterd na de maaltijd.
Een virusscanner is een verouderde term. De meeste moderne scanners doen meer dan simpel scannen op handtekeningen ( die inderdaad altijd achter de feiten aanlopen) maar reageert op verdachte handelingen of gedragingen.
Het is dus hoog tijd dat je wat info zoekt over moderne beveiligingsmaatregelen, je loopt zaken te verkondigen uit een vorige eeuw.
Wat je tip betreft.. ik hoop dat die live cd uit onverdachte bron komt en niet zelf reeds een rootkit gaat installeren voordat je systemen axctief zijn ;)
Beide stelling die je zelf verzint en dan weerlegt zijn onzinnig.
Die stellingen zijn ook onzinnig. Dat is het hele punt van mijn reactie. Ik noem het niet voor niets twee grote misverstanden in ict land.
Een virusscanner is al actief voordat er een infectie optreed en waarschuwt dus voor een mogelijke infectie. Een besmet systeem is dus mosterd na de maaltijd.
Een virusscanner kan helpen een infectie te voorkomen, al zijn daar natuurlijk betere methoden voor. Waar het om gaat is dat een virusscanner inherent niet in staat is betrouwbaar een bestaande infectie te constateren.
Een virusscanner is een verouderde term. De meeste moderne scanners doen meer dan simpel scannen op handtekeningen ( die inderdaad altijd achter de feiten aanlopen) maar reageert op verdachte handelingen of gedragingen.
Op een systeem dat niet geïnfecteerd is zijn er geen 'verdachte handelingen en gedragingen' en op een systeem dat al wel geïnfecteerd is is de virusscanner niet meer in staat om dat te beoordelen.
In ieder geval hebben de systemen waar dit artikel over gaat in ieder geval wel een rootkit opgelopen, in veel gevallen ondanks hun moderne virusscanners die 'meer doen dan simpel scannen'.
Het is dus hoog tijd dat je wat info zoekt over moderne beveiligingsmaatregelen, je loopt zaken te verkondigen uit een vorige eeuw.
Ik zou je toch eens adviseren niet zo'n grote mond op te zetten. Anders ga je straks _weer_ (1 2 3 4 5 6 7 8 9) zo hard op je bek. Ik begin daar nogal moe van te worden.
Op een systeem dat niet geïnfecteerd is zijn er geen 'verdachte handelingen en gedragingen' en op een systeem dat al wel geïnfecteerd is is de virusscanner niet meer in staat om dat te beoordelen.
Wanneer een nieuw virus activiteiten onderneemt die door de scanner als onveilig of ongewoon worden gezien voorkomt deze de besmetting. De scanner is dan dus doeltreffend. Moderne maatregelen werken vaak op deze wijze. Nogmaals, lees je eerst eens wat in en kom dan terug.
Ook deze stelling van je kan dus met het waswater mee.
ps:
Meer trainen lijkt me daarnaast een goede tip voor je, je conditie holt erg snel achteruit zo te lezen ;)
Als je mijn eerste en mijn tweede reactie er nog eens op na zou lezen dan zie je dat ik nergens beweer dat een virusscanner niet behulpzaam zou zijn kunnen zijn bij het voorkomen van een infectie. Sterker nog, op Windows is een virusscanner zo ongeveer het enigste wat nog een infectie zou kunnen voorkomen.
Wat wel het geval is, is dat een virusscanner draaiende op een systeem dat reeds geïnfecteerd is niet in staat is deze infectie betrouwbaar te constateren. Op het moment dat er twijfels zijn bij een bepaald systeem is het dus niet zinvol dit systeem te controleren met een op dit systeem zelf draaiende virusscanner.
Wat verder het geval is, is dat een bestand op 1 manier wel goed kan zijn, maar op vele manieren niet goed. Het is dan veel logischer en betrouwbaarder om te controleren of een bestand in orde is dan om het tegenovergestelde te controleren. Als ik ga golfen kijk ik of het balletje zich in de hole bevindt, dat is veel effectiever en betrouwbaarder dan de rest van de wereld af speuren naar het balletje en indien het daar onvindbaar blijft dan maar te concluderen dat het zich in de hole bevindt.
Het is dus hoog tijd dat je wat info zoekt over moderne beveiligingsmaatregelen, je loopt zaken te verkondigen uit een vorige eeuw ... Wat je tip betreft.. ik hoop dat die live cd uit onverdachte bron komt en niet zelf reeds een rootkit gaat installeren voordat je systemen axctief zijn ... Nogmaals, lees je eerst eens wat in en kom dan terug.
Ook deze stelling van je kan dus met het waswater mee ... Meer trainen lijkt me daarnaast een goede tip voor je, je conditie holt erg snel achteruit zo te lezen
Raar.
Raar.
Je bedoelt waarschijnlijk 'voorspelbaar'. :)
Verder is je verhaal wat mij betreft vrij helder. Als de besmetting daadwerkelijk heeft plaatsgevonden, dan is een virusscanner (zeker in het geval van een rootkit) niet meer betrouwbaar. Los van of je black- of whitelisting gebruikt.
De virusscanner zal haar werk moeten doen op het moment dat de trojan binnen komt op je systeem, nog voordat het geactiveerd kan worden. Ik denk dat daar een combinatie van whitelisting met blacklisting goed zou kunnen werken.
Whitelisting kan dan gebruikt worden voor processen die bijvoorbeeld atapi.sys mogen patchen. En blacklisting voor processen die dat absoluut niet mogen. Dat laatste is met een goede whitelist misschien dan niet meer echt nodig, maar ik heb nu eenmaal een hekel aan rommel die niets op mijn systeem te zoeken heeft. ;)
je geeft weer eens geen antwoord op de vragen en de weerleggingen van je gammele stellingen. Zoals zo vaak voeg ik daar aan toe.
Je analogie met het golven
Als ik ga golfen kijk ik of het balletje zich in de hole bevindt, dat is veel effectiever en betrouwbaarder dan de rest van de wereld af speuren naar het balletje en indien het daar onvindbaar blijft dan maar te concluderen dat het zich in de hole bevindt.
Als ik ga golfen dan probeer ik het balletje in een hole te krijgen (met zo min mogelijk slagen) ipv het daar te gaan zoeken ;) Misschien een idee voor je, dat maakt de sport een stuk toegankelijker en is beter voor je conditie. Daarnaast is de hitkans ook een stuk groter. Meestal zijn er geen balletjes te vinden in de hole als je ze er niet eerst zelf ingeslagen hebt. Mocht je er wel een vinden dan heb je ook daar meteen ruzie met een andere golfer die zijn balletjes kwijt is. Kortom, zoek een andere sport of lees eerst de spelregels eens ;)
En die laatste tip had ik ook op een andere gebied al eerder gegeven.
je geeft weer eens geen antwoord op de vragen en de weerleggingen van je gammele stellingen.
In jouw reacties op mijn reacties stel je en geen vragen en weerleg je bovenal geen van mijn stellingen. Dit is eenvoudig na te gaan door mijn reacties daadwerkelijk te lezen: 1, 2, 3.
Zoals zo vaak voeg ik daar aan toe. Je analogie met het golven Als ik ga golfen dan probeer ik het balletje in een hole te krijgen (met zo min mogelijk slagen) ipv het daar te gaan zoeken ;) Misschien een idee voor je, dat maakt de sport een stuk toegankelijker en is beter voor je conditie. Daarnaast is de hitkans ook een stuk groter. Meestal zijn er geen balletjes te vinden in de hole als je ze er niet eerst zelf ingeslagen hebt. Mocht je er wel een vinden dan heb je ook daar meteen ruzie met een andere golfer die zijn balletjes kwijt is. Kortom, zoek een andere sport of lees eerst de spelregels eens ;) En die laatste tip had ik ook op een andere gebied al eerder gegeven.
Geen enkel verband met hetgeen waar je op pretendeert te reageren, nola op Dinsdag 16 Februari 2010 13:40:
Als je mijn eerste en mijn tweede reactie er nog eens op na zou lezen dan zie je dat ik nergens beweer dat een virusscanner niet behulpzaam zou zijn kunnen zijn bij het voorkomen van een infectie. Sterker nog, op Windows is een virusscanner zo ongeveer het enigste wat nog een infectie zou kunnen voorkomen.
Wat wel het geval is, is dat een virusscanner draaiende op een systeem dat reeds geïnfecteerd is niet in staat is deze infectie betrouwbaar te constateren. Op het moment dat er twijfels zijn bij een bepaald systeem is het dus niet zinvol dit systeem te controleren met een op dit systeem zelf draaiende virusscanner.
Wat verder het geval is, is dat een bestand op 1 manier wel goed kan zijn, maar op vele manieren niet goed. Het is dan veel logischer en betrouwbaarder om te controleren of een bestand in orde is dan om het tegenovergestelde te controleren. Als ik ga golfen kijk ik of het balletje zich in de hole bevindt, dat is veel effectiever en betrouwbaarder dan de rest van de wereld af speuren naar het balletje en indien het daar onvindbaar blijft dan maar te concluderen dat het zich in de hole bevindt.
veel knip en plakwerk en geen antwoord: "nolawerk" op zijn best.
Probeer je n u met een soort C/P terreur onder vragen uit te komen? Beetje zielig gedoe.
Maar, behulpzaam als ik ben, help je een beetje op weg.
1: je stellingen zijn onzinnig en reeds weerlegd. Het feit dat je nu verschuilt achter het idee dat het wijdverbreide misverstanden betreft maak het er niet betert op.
2: van Golf heb je ook al geen kaas gegeten. Al lijkt het beeld me wel leuk je op de green naar balletjes in holes te zien speuren. Rare vogel ;)..
Dis nu niet komen met links en knip en plak werk maar gewoon antwoorden! ( en niet in je fantasie-taaltje graag)
als jouw enige bijdragen scheldpartijen zijn dan gaat het niet zo best met je..
Naast loser nu zielepoot.. wat triest...
Maar het is in ieder geval geen fantasietaal van Nola/Alon, dat is dan winst zullen we maar zeggen ;)
Je geeft helder en duidelijk je ontwikkelingsniveau en je doel hier weer. Taalkundig een meesterwerk van je ;)
Wat is jouw doel met dit eeuwige gezuig?
Als jij werkelijk niet snapt/wilt snappen dat een besmette machine een onbetrouwbaar werktuig is - al helemaal om zichzelf te ontsmetten - en dat het eenvoudiger is om componenten te vergelijken met de staat waarin ze horen te verkeren dan om er één voor één virusdefinities tegen aan te houden, dan heb ik grote moeite om te geloven dat je professioneel met computerbeheer of programmeren te maken hebt.
Techniek snap je niet, logica is je vreemd, je taalgebruik laat in stijl, spelling en grammatica te wensen over en je bent consequent neerbuigend tegenover iedereen die het met je oneens is. Je denkt van van alles en nog wat verstand te hebben en laat het steevast afweten als discussies je boven het hoofd groeien.
Ik heb ratten meegemaakt die zich intelligenter gedroegen dan jij.
Ik heb ratten meegemaakt die zich intelligenter gedroegen dan jij.
Dat lijkt me inderdaad de beste omgeving voor je en belangrijker nog, het juiste niveau.
Succes met je soortgenoten ;)
En je schelden toont feilloos aan dat je argumenten op zijn. ( die heb ik toch al gemist in je reacties die steeds meer alleen op de persoon zijn de laatste tijd. Moeilijke jeugd waarschijnlijk).
Zijn reactie bevatte nog steeds 100% meer argumenten dan de jouwe.
Anti-virus bedrijven geven zelf ook aan dat je niet meer op een scanner kan vertrouwen als je het start vanaf een besmet systeem. En herstelpunten geven al aan dat scannen op fouten niet altijd handig is.
Maar helaas zijn dat argumenten waar je je angstvallig doof voor houdt. Net als je rootkit blunder. Ik heb je ook daar nog steeds geen multi-platform rootkit zien noemen.
heb je wel eens nagedacht waarom je meent te moten schelden op iemand met sub-optimale intelligentie waar jij ver boven verheven staat?
Wat zegt dat eigenlijk over jou.. mmm.
Hoe triest moet je leven wel niet zijn als je meent dat een forum je werkelijkheid vertegenwoordigt.
Ik zeg dat jij je sub-intelligent gedraagt. Waar schrijf ik dat ik me boven jou verheven voel? Je bent weer aan het projecteren.
Ik herhaal: wat is jouw doel met dit eeuwige gezuig?
Heb je er een doel mee, of is het een manie die je niet kan weerstaan?
Blijft de vraag staan waarom jij dan maar wat graag loopt te schelden op iemand met dat vermeende gedrag. Blijft toch een akelige gewoonte. Vertel!
Toch een slechte jeugd?
ik zal het simpel houden ( datmoet wel makkelijk voor mij zijn, toch?)
Jij beweert hierboven zaken over mij, je legt me woorden in de mond, die ik nergens stel/zeg of beweer.
Deze bijv:
Als jij werkelijk niet snapt/wilt snappen dat een besmette machine een onbetrouwbaar werktuig is - al helemaal om zichzelf te ontsmetten
Toon eens aan waar ik dat zeg.. of toon karakter en geef toe dat je aan het stoken bent. Dat doe je graag en vaak gericht op bepaalde personen. Jij "zuigt"" hier dus en erger nog je vervalt in grof taalgebruik. Ook dat is afwijkend van de morus hier en daar reageer ik op.
Dat waren wel veel letters en woorden maar als je de tijd neemt kom je er wel uit.
Er zijn anders wel wat secondanten die graag helpen ;)
Staat er nog een vraag open over je slechte jeugd, maar die komt later wel..
Dus al die tijd was je het eens met nola? Wat leef je toch in een onrechtvaardige wereld dat je zo verkeerd begrepen wordt.
Maar vertel. Wat is jouw doel met dit eeuwige gezuig?
kijk in dit topic eens naar jouw bijdragen en waar je op reageerde. Stel dan ook vast da tje als een soort deformed pitbull achter mijn bijdragen aan aan het jagen bent. Dat jij weer een vraag ontloopt ( hier net boven, dat moest toch lukken: ik vraag je om een bewijs!) toont al aan dat jij hier aan het "zuigen" bent. even terzijde, het valt op da tje daar veel mee bezig bent ;)
Kortom, je ontloopt inhoudelijke discussie, probeert me voortdurend zaken in de mond te leggen ( ja weer die gewoonte van je) en geeft geen antwoord op gerichte en directe vragen.
Vertel eens over die slechte jeugd van je.. misschien maakt dat wat duidelijk.
Als jij werkelijk niet snapt/wilt snappen dat een besmette machine een onbetrouwbaar werktuig is - al helemaal om zichzelf te ontsmetten
Toon eens aan waar ik dat zeg.. of toon karakter en geef toe dat je aan het stoken bent.
Dus al die tijd was je het eens met nola? Wat leef je toch in een onrechtvaardige wereld dat je zo verkeerd begrepen wordt.
;-)
Wat is jouw doel met dit eeuwige gezuig?
Als jij werkelijk niet snapt/wilt snappen dat een besmette machine een onbetrouwbaar werktuig is - al helemaal om zichzelf te ontsmetten - en dat het eenvoudiger is om componenten te vergelijken met de staat waarin ze horen te verkeren dan om er één voor één virusdefinities tegen aan te houden,
Ik moet erkennen, hier heb jij toch minder woorden voor nodig dan ik :)
dan heb ik grote moeite om te geloven dat je professioneel met computerbeheer of programmeren te maken hebt.
Techniek snap je niet, logica is je vreemd, je taalgebruik laat in stijl, spelling en grammatica te wensen over en je bent consequent neerbuigend tegenover iedereen die het met je oneens is. Je denkt van van alles en nog wat verstand te hebben en laat het steevast afweten als discussies je boven het hoofd groeien.
Ik heb ratten meegemaakt die zich intelligenter gedroegen dan jij.
Ik volgens mij weleens bakstenen ;)
De meeste moderne scanners doen meer dan simpel scannen op handtekeningen...
Je beweert dat wel telkens, maar ik ben eigenlijk nog nooit generieke waarschuwingen tegen gekomen, anders dan false positives.
Zo wordt ik bij de officiële versie van Doom3 gewaarschuwd voor een algemene keylogger en bij de officiële versie van Acdsee voor een algemene trojan.
Daardoor weet ik inderdaad dat scanners meer doen dan scannen op handtekeningen, maar of ze daar ooit iets daadwerkelijk mee vinden vraag ik me wel eens af.
Met het opkomen van EVI 'biosen' wordt al gespeculeerd op rootkits in de 'bios'. Daar zou zelfs een scanner vanaf een live-cd niet achter komen. Op dit moment is het nog wel een idee, maar hoelang deze oplossing houdbaar blijft valt nog te bezien.
Ik denk dat alleen het bewust maken van mensen helpt. Zij zijn toch vaak nog de zwakste schakel.
Ook het idee van Apple om alleen een App store te gebruiken voor verspreiding van software is een stuk veiliger, al zou ik daar persoonlijk weer niet blij mee zijn.
Probleem opgelost! :)
Rootkit patcht Windows XP Blue Screen of Death
De makers van een rootkit die na het installeren van recente Windows XP updates voor een Blue Screen of Death zorgde, hebben hun malware gepatcht. Dat zegt Erik Loman van beveiligingsbedrijf Surfright tegenover Security.nl. Gisterenavond verscheen een nieuwe versie van de TDL3 rootkit, die met beveiligingsupdate MS010-015 compatibel is. Microsoft besloot na meldingen van blauwe schermen en defecte systemen de patch terug te trekken.
Dit weekend werd duidelijk dat de TDL3 rootkit voor de crashende systemen verantwoordelijk is. Het bestand dat de rootkit infecteert, in veel gevallen atapi.sys, werd op 9 februari door Microsoft gepatcht. De aanpassingen in de kernel conflicteerde met de aanwezige rootkit, met als gevolg dat veel gebruikers hun systeem moesten herstellen.
Zombies
Een onverwacht effect van de patch is dat veel gebruikers door het herstellen van het originele atapi.sys bestand, de malware van hun systeem hebben verwijderd. "Dit heeft ze heel veel zombies gekost, het aantal is drastisch gedaald", aldus Loman. Volgens hem is het aantal besmette machines gehalveerd. De makers van TLD3 omschrijft hij als "professionele jongens", die alle ontwikkelingen nauwlettend in de gaten houden. Het was dan ook geen verrassing dat de rootkit zou worden geüpdatet. De nieuwste versie veroorzaakt inmiddels geen blauw scherm meer.
Ook beveiligingsexperts hielden hier rekening mee en vroegen Microsoft dit weekend om de beveiligingsupdate weer uit te geven. Dit zou geïnfecteerde gebruikers waarschuwen dat er iets mis met hun systeem is. Sinds gisteren wordt MS010-015 door Microsoft weer aangeboden.
Bron.
Ook beveiligingsexperts hielden hier rekening mee en vroegen Microsoft dit weekend om de beveiligingsupdate weer uit te geven. Dit zou geïnfecteerde gebruikers waarschuwen dat er iets mis met hun systeem is. Sinds gisteren wordt MS010-015 door Microsoft weer aangeboden.
Dit is een regelrechte blunder. Het is buitengewoon onprofessioneel als je op deze manier werkt.
Op deze manier kun je nooit een systeem beheren en vertrouwen. Als je een systeem niet vertrouwt, dat moet je zo'n systeem vanaf een veilig extern medium opstarten om te onderzoeken welke malware zich op het systeem bevindt.
Als zich malware op het systeem bevindt, dat rest er maar één optie compleet opnieuw inrichten:
- Backup maar naar een onkwetsbaar systeem, bijvoorbeeld Linux;
- Poetsen en helemaal op 0 zetten;
- Onderzoeken van de data op de backup op een onkwetsbare computer;
- Herinrichten van het systeem (als dat nog van Microsoft mag, lees de EULA);
- Backup terugzetten.
Elke systeembeheerder die het anders durft te doen vliegt er bij mij met kop en kont uit.
Ik hoor hier helaas niets over de verspreiding van de malware, alleen een vage mededeling in de trant van "de helft is verdwenen". Hoeveel Windows XP machines zijn nu in totaal zombe met deze rootkit?
Omdat het lastig is de rootkit te detecteren, zal het ook wel lastig zijn om in beeld te krijgen hoeveel machines besmet zijn.
Security.nl sprak in elk geval van 16.000 computers, maar aangezien lang niet iedereen HtmanPro zal draaien zal dat een te laag getal zijn.
Hoe men komt tot die halvering komt weet ik al helemaal niet. Misschien dat ze een sniffer hebben die het dataverkeer naar de C&C servers kan achterhalen, maar totdat ze zelf naar buiten treden met informatie is het allemaal koffiedik kijken.
Backup maar naar een onkwetsbaar systeem, bijvoorbeeld Linux;
Ik kan op mijn Linux systeem een FTP server zetten, hierop rechten e.d. zetten.
Als een domme gebruiker een aangepaste FTP server zelf installeert op Linux is dat systeem net zo kwetsbaar als elk ander systeem
Als een domme gebruiker een aangepaste FTP server zelf installeert op Linux is dat systeem net zo kwetsbaar als elk ander systeem
Het is nog beter om ftp helemaal niet te gebruiken. Buiten dat het een onveilig protocol is, is het nog buitengewoon onhandig ook.
Ik ben erg zuinig op mijn klanten, maar toch raak ik er wel eens eentje kwijt. Dat is dan altijd een klent die perse FTP toegang wil hebben op mijn systemen.
Ik vertik dat gewoon. Er zijn ftp clients waarmee je via ssh kunt werken, maar dat is vaak te moeilijk.
Daar gaat het niet om.
Jij zegt dat Linux onkwetsbaar is.
Ik zeg dat dat niet zo is aangezien de gebruiker zelf een FTP server op zijn systeem kan zetten en dus ook een iets minder fijne FTP server. (FTP is uiteraard te vervangen voor elke willekeurige server zoals SMTP, IRC enz. enz.)
M.a.w. Linux is niet onkwetsbaar.
Linux is onkwetsbaar voor Windowsmalware. Andersom, als je Linuxdoos 'geroot' is, kun je 'm backuppen naar een Windowsmachine omdat een Linux-rootkit daar ook niet zal werken. In die zin is Windows ook onkwetsbaar voor UNIX-malware.
er zijn rootkits die os onafhankelijk werken.. die stop je dus niet als er geen scanner actief is op het moment van besmetting.
Zou kunnen, maar ik ken ze niet. Ik weet dat er een Proof Of Concept was een paar jaar geleden van een virus, maar een multiplatform rootkit is groot nieuws. Tenzij je doelt op EFI rootkits, maar ik heb nog niet gelezen dat die daadwerkelijk al in het wild voor komen. Vertel, waar kan ik meer info vinden over die multiplatform rootkit?
ah.. even gemist..
Feitelijk zijn alle rootkits os onafhankelijk alleen al vanuit hun werking. Ze starten onafhankelijk van het os op.
De "utility" die de rootkit op een pc plaatst is OS afhankelijk maar/en kan voor elk os gemaakt worden.
Ook daar blijft het de gebruiker die klikt en soms ( denk aan Sony) klikt terwijl er iets anders gedaan wordt, de zwakke schakel.
Er is geen enkele OS dat zonder fatsoenlijke scan en beveiligingstechniek beschermd kan worden tegen een rootkit.
Dank voor je antwoord, maar het past niet helemaal bij de vraag. Ik kan me wel een -zij het extreem bewerkelijk- mechanisme voorstellen, maar ik heb nog nergens feitelijke code gezien. Je hebt er, zoals je ook aangeeft, een platformcompatible startvehikel voor nodig om ergens eenmalig objectcode te injecteren en entry points te wijzigen. Ik ben bekend met rootkits voor Linux, FreeBSD en Win32 maar ik haal op dit moment nog eventjes relatief opgelucht adem omdat er nog geen 100% platformonafhankelijk virus/rootkit is. Architectonisch gedragen de verschillende OS'en zich gelukkig nog zoals ik ze ken. Wat Apple doet met universal/fat binaries heeft bij mijn weten kernelondersteuning nodig, maar mocht er een echt onafhankelijk mechanisme mogelijk zijn dan ben ik een en al oor!
Eerst zei je:
er zijn rootkits die os onafhankelijk werken..
En nu vuur je een theoretisch verhaal af:
Feitelijk zijn alle rootkits os onafhankelijk alleen al vanuit hun werking.
Op dat punt heb je zelfs gelijk. Er is echter een probleem. Als je ook wil dat je rootkit daadwerkelijk iets gaat doen, heb je twee opties.
Optie één. Je schrijft zelf routines die het net op kunnen. Daarvoor moet je hardware detectie inbouwen, een ip-nummer zien te achterhalen, protocollen implementeren, ga zo maar door. Feitelijk schrijf je dan een os onder het os, wat mij persoonlijk niet eenvoudig lijkt. En wat volgens mij ook nog niet gedaan is.
Optie twee. Praten met het bestaande os is volgens mij een stuk eenvoudiger. Maar het heeft als nadeel dat het weer lastig is om met alle os'en rekening te houden. Zeker in een divers landschap zoals Linux dat heeft. In de praktijk heb ik dan ook nog nooit van een multi-platform rootkit gehoord.
Ik blijf dus toch benieuwd naar je initiële claim:
er zijn rootkits die os onafhankelijk werken..
Vertel, waar kan ik meer info vinden over die multi-platform rootkit?
Noem er eens eentje! Ik ben zeer benieuwd.. Linux en Windows gebruiken een compleet ander formaat voor hun executables.
Als een domme gebruiker een aangepaste FTP server zelf installeert op Linux is dat systeem net zo kwetsbaar als elk ander systeem
En als een domme gebruiker dat dus eens een keertje niet doet (en waarom zou een domme gebruiker dat ook eigenlijk doen?), is Linux dus niet net zo kwetsbaar als 'elk ander systeem'.
Dit zou geïnfecteerde gebruikers waarschuwen dat er iets mis met hun systeem is.
Grappig, de patch als rootkit detectie. :D
Het was te verwachten dat de rootkitbouwers snel zouden schakelen om dit probleem op te lossen. Helaas blijft de wereld nu weer opgescheept zitten met een rootkit probleem.
Bedankt voor de link.
Oef wat zou het fijn zijn als bij ieder Windows / Apple / Linux topic de reacties over de inhoud zouden gaan.
Met name hier op webwereld wordt direct ieder topic direct gehijackt door altijd dezelfde gasten met nietzeggende roeptoeterpraat. De inhoud telt niet het gevoel van je ventilator.
Of op webwereld. Als ik het vergelijk met tweakers dan is het hier toch wel afgedaald tot een erg sneu welles-niets geroeptoeter versus Microsoft-Linux. En waarom vraag ik me af.
Alsof dat soort reacties bijdragen aan het marktaandeel van een van de twee. Het roept hoogstens nog meer aversie op. Het zorgt er in ieder geval voor dat ik minder het forum bezoek.
En dacht ik zo, aangezien het maar een klein groepje is met sneue reacties (10-20) kan een oproep nooit kwaad :)
En waarom vraag ik me af.
Dat is de vraag bij veel vetes. Niemand weet meer exact wie begon en waarover het begon. Helaas lijkt geen van de partijen bereid de strijdbijl te begraven, dus het zal nog wel een poosje door etteren.
Als ik het vergelijk met tweakers dan is het hier toch wel afgedaald tot een erg sneu welles-niets geroeptoeter versus Microsoft-Linux.
Op tweakers heb je wel een inspanning tot serieuze moderatie.
Zo snel mogelijk een troll post over linux in elk MS topic gooien wordt daar fors afgestraft.
Op tweakers heb je wel een inspanning tot serieuze moderatie.
Tweakers is juist een voorbeeld van een moderatiesysteem wat niet goed werkt.
Als je waarderingen/moderaties te veel afwijken van het gemiddelde, wordt je voor bepaalde tijd de mogelijkheid ontnomen om te kunnen waarderen/modereren. M.a.w. als je mening te veel afwijkt van de ms-fanboy meerderheid dan kun je het wel schudden.
Als Tweakers hetzelfde systeem zou hanteren als Webwereld dan zouden de waarderingen daar er veel realistischer uitzien.
Op tweakers heb je wel een inspanning tot serieuze moderatie. Zo snel mogelijk een troll post over linux in elk MS topic gooien wordt daar fors afgestraft.
Je hebt gelijk, maar dit is ook gelijk de reden dat je zoveel gemind wordt. Want je schrijft het nu alsof er geen troll-posts van Microsoft gebruikers bij Linux-topics zijn.
Voorlopig moet je gewoon om trollers heen lezen, of de troll-posts doorzien. Dat zal nog wel even zo blijven. Zorg er gewoon voor dat je zowel de positieve als negatieve punten van de meeste OSen kent, en je leest er wel doorheen. Want geen enkel OS is perfect.
Want je schrijft het nu alsof er geen troll-posts van Microsoft gebruikers bij Linux-topics zijn.
Dat staat absoluut niet in verhouding tot elkaar. Bekijk maar eens een stuk of tien linux of linux gerelateerde topics op webwereld. En vergelijk dat dan met het getroll bij MS/Windows gerelateerde topics.
Het verschil is gewoon enorm.
Voorlopig moet je gewoon om trollers heen lezen, of de troll-posts doorzien. Dat zal nog wel even zo blijven. Zorg er gewoon voor dat je zowel de positieve als negatieve punten van de meeste OSen kent, en je leest er wel doorheen. Want geen enkel OS is perfect.
De redactie moet gewoon met regelmaat offtopic first posts weggooien
Oef wat zou het fijn zijn als bij ieder Windows / Apple / Linux topic de reacties over de inhoud zouden gaan.
Met name hier op webwereld wordt direct ieder topic direct gehijackt door altijd dezelfde gasten met nietzeggende roeptoeterpraat. De inhoud telt niet het gevoel van je ventilator.
Stuur je klacht rechtstreeks naar de redactie op redactie@webwereld.nl
Stuur je klacht rechtstreeks naar de redactie op redactie@webwereld.nl
Dat heb ik gedaan naar aanleiding van jouw grove taalgebruik:
onbenul, domme gelul, randdebiel, gaatje in je kop, je blijft gewoon een idioot
Het enige wat de redactie deed was de genoemde reactie verwijderen.
Een zeer slappe actie van de redactie.
Het gekke is dat ze je al eens een ban gegeven hebben maar nu laten ze je toch weer toe terwijl je duidelijk niets geleerd hebt.
Als ik de idioten hier serieus moest nemen zou ik me weer gaan ergeren aan de minnetjes. zolang er geen normlaa moderatiesysstem op Webwereld is kan ik me hier wel wat uitleven.
click
Geachte Baseline,
Tot onze spijt hebben we moeten constateren dat u de fatsoensnormen op het reactieforum van Webwereld overtreedt door mede-reageerders uit te schelden.
Het reactieforum is bedoeld voor inhoudelijke discussies. Daarbij kunnen de gemoederen soms hoog oplopen, maar dat is nog geen excuus voor scheldkanonnades.
Uw account is gedeactiveerd en uw IP-adres is gelogt. Mochten zich in de toekomst opnieuw incidenten voordoen, zijn wij genoodzaakt om uw IP-adres op de zwarte lijst te plaatsen waardoor de toegang tot de website volledig wordt geblokkeerd.
fatsoensnormen
hAl, Albert en Baseline zijn een en dezelfde persoon. Al zijn accounts zijn inmiddels op non-actief gezet.
Ik heb geprobeerd Albert direct - per email - te benaderen en een oplossing te vinden. Tot op heden heb ik daar nog geen reactie op ontvangen.
Voor de duidelijkheid: we toleren geen persoonlijke aanvallen, spam of onbehoorlijk taalgebruik in de reacties. Dat betekent dat je mag beargumenteren waarom je opmerkingen van iemand ondemocratisch vindt, maar je mag iemand niet uitmaken voor een Hitler, idioot of andere krachttermen.
ban
Daarnaast zouden ze trollen, gericht uit de tent lokken en altijd maar weer die ouwe koeien uit de sloot halen dan ook moeten bestraffen. Het voordeel van Tweakers is nu juist dat afwijkende moderatie wordt bestraft. Bij tweakers kan een post kritisch zijn maar wel on-topic of informatief. Hier wordt je op Nickname of voorkeur direct afgeschoten ook al zijn het gewoon harde feiten. Zelf een feiten post met bron vermelding wordt hier weg gemind. Bij Tweakers mag je echt wel een aantal keren weg modderen, maar als je mening steevast afwijkt dan ben je gewoon niet objectief genoeg. Het systeem daar voorkomt persoonlijke vetes, zoals die hier plaatsvinden. Ook is er groepsgedrag richting bepaalde personen met bepaalde voorkeuren (uit beide kampen). Het is iets dat hier wordt toegelaten, maar draagt niets bij aan de discussie of de oplossing. Elke topic over Microsoft producten of patches begint vaak met een reactie dat Linux of OpenOffice beter is. Vooral bij patches draagt dit helemaal niets bij. Van mij mogen ze daar vanuit de redactie best op modereren. Dit zou ervoor kunnen zorgen dat de discussie op gang komt ipv wie het hardst kan schreeuwen en schelden. Ik doe weinig tot niets met Linux en zal dan ook zelden tot nooit in zo'n topic reageren. Andersom snap ik niet waarom iemand die geen Microsoft producten gebruikt zo nodig inhoudloos moet reageren.
Bij Tweakers mag je echt wel een aantal keren weg modderen, maar als je mening steevast afwijkt dan ben je gewoon niet objectief genoeg.
Dus als je mening afwijkt van de grote (windows)massa dan ben je niet objectief genoeg. Dat is nu precies het probleem van de moderatie op tweakers.net.
Een Japans gezegde luidt: "De spijker die uitsteekt moet worden neergeslagen".
Als je het dus niet eens bent met de massa, dan wijkt je mening dus gemiddeld inderdaad af. Alleen worden inhoudsloze reacties ook daar gewoon weg gemoddereerd (ook pro-Windows), hier niet. Moet ik nu constateren dat alle Linux gebruikers opeens de discussie op Tweakers niet meer aangaan vanwege moderatie? Onzin! Net als sommige hier de confrontatie met de grote schare Linux-fans hier niet uit de weg gaan. Als je mening gewoon op elke post van iemand die Windows fijn vindt afwijkt, ook als deze inhoudelijk goed is, dan ben je gewoon niet objectief genoeg. Daarnaast kun je bij Tweakers niet altijd iemand op Nick als ongewenste post beschouwen. Hier wordt vaak al voordat er überhaupt iets is gelezen gelijk op het af- of goedkeurende duimpje geklikt. DAT is het gene dat er mis is met de modderatie hier, het is niet objectief maar gebaseerd op politiek en onderbuikgevoelens. Het meest bizarre is het moddereren van reacties op je eigen post. Daarnaast zou ik ook meer gradatie willen zien ipv alleen maar +/-. Maar goed, genoeg Offtopic gelult...
Je zal mij niet horen zeggen dat het het hier op webwereld ideaal is. Maar ik vind dit beter dan Tweakers waar iedere andersdenkende de mond gesnoerd wordt. Reacties hoef je niet te lezen. Als ze je niet bevallen scroll je gewoon verder.
Op Tweakers zou jou dagelijkse meestal volslagen off topic anti-MS getroll (en dat van figuren als linus4ever, Lady Gaga en Kickass) snel weggmodereerd worden.
Maar waarschijnlijk heb je dat ook wel eens geprobeerd en ben je er na een tijdje gewoon uitgekickt.
De waarheid over MS mag blijkbaar niet meer gezegd worden?
Waar blijft de vrije meningsuitdrukking?
MS schrijft heel brakke software PUNT
Er bestaan technisch veel mooiere en elegantere oplossingen.
Owee als je deze waarheid als een koe verkondigt... Die snoeren we dan wel even de mond, zonder het minste argument. Helemaal niet nodig zelfs... Hoe zwak!
Het hele verhaal klopt niet. Als je namelijk mensen waarschuwt tegen trojans en zo dan zegt bijna iedereen: nee hoor, is een valse melding van m'n virusscanner, er zit echt geen virus in die keygen. Dus dat ze een rootkit hebben kan dan ook niet, toch ?
Als mensen denken dat ze geen malware op hun computer hebben, dan hebben ze er blijkbaar geen last van. Wat maakt het dan nog uit verders?
Tegen de tijd dat windows weer kuren begint te vertonen of te traag wordt, wordt gewoon het windows-schijfje weer te voorschijn gehaald en voila, alles is weer fris voor een tijdje.
De meeste mensen weten niet beter en denken dat dit de normale gang van zaken is.
Wat maakt het dan nog uit verders?
Dat de computer misbruikt wordt voor het versturen van spam en het plegen van DDOS aanvallen bijvoorbeeld? De gebruiker zelf zal dan misschien niet onmiddellijk problemen ondervinden, maar de rest van de wereld wel.
DDOS is een irritant verschijnsel, dat geef ik toe. Maar spam is allang geen probleem meer. Een krachtig filter zoals Google dat toepast zorgt dat alle spam in /dev/null verdwijnt.
Nu toevallig wordt ontdekt dat deze rootkit wel erg vaak voorkomt, vraag ik me af hoeveel rootkits er nog niet zijn ontdekt?
Dit is een probleem dat niets met Windows / Linux / Apple te maken heeft. Als de laatste twee aan populariteit zouden winnen, dan zouden hackers daar ook de moeite voor nemen. Het is een probleem van moderne OS'en die alles moeten kunnen, supergebruikersvriendelijk moeten zijn en door dit alles zo complex worden dat ze niet meer waterdicht te krijgen zijn.
Tja, als je je 100% wil wapenen tegen de gevaren van het internet, dan kun je gewoon de netwerkkabel uit de pc trekken, behalve wanneer je eerst even boot van een Linux-cd'tje (zonder de hd te mounten natuurlijk).
Een andere optie is dualboot. Een partie waar geen belangrijke en/of privacygevoelige data op staat die gebruikt wordt om te internetten.
Deze partie kan af en toe "gereinigd" worden middels een backup de hele partie te overschrijven (ghostimage).
De andere partitie wordt gebruikt voor het serieuze werk en heeft de netwerkverbinding uitgeschakeld (geen netwerkkaartdriver installeren).
Maar zolang zo'n beetje alle virussen/trojans/malware voor windows gemaakt wordt, is het makkelijker om een niet-windows OS gebruiken.
Eigenlijk is het heel simpel. Computers die kritische toepassingen draaien mogen nooit aan het internet geknoopt worden.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
