Nieuws
image

HP en IBM uitbreiding voorkomt verspreiding wormen

zondag 13 februari 2005, 10:17 door Redactie, 5 reacties

Hewlett-Packard heeft een software uitbreiding voor haar ProLiant servers en HP BladeSystem gepresenteerd, waarmee de verspreiding van virussen en wormen binnen het netwerk binnen milliseconden gestopt kan worden. De Virus Throtte software maakt geen gebruik van de traditionele signatures, maar kijkt naar virus-achtig gedrag dat door machines vertoond wordt. Vindt het een geinfecteerde machine, dan wordt die direct van het netwerk afgesloten. De software stuurt dan een bericht naar de systeembeheeder, zodat die kan kijken wat er aan de hand is.

En niet alleen HP, ook IBM heeft haar eigen technologie ontworpen om de verspreiding van wormen tegen te gaan. IBM's "Antidote" software laat de systeembeheerder security policies binnen het netwerk instellen, waaronder een feature die het mogelijk maakt dat alle geinfecteerde machines geblokkeerd worden. (Internet News, CRN)

Reacties (5)
13-02-2005, 11:11 door Anoniem
Het gaat ook hier nog steeds om symptoombestrijding.
Kan me voorstellen dat deze functie ook wel eens aardig
verstorend kan werken.
13-02-2005, 11:27 door Anoniem
"maar kijkt naar virus-achtig gedrag" is toch hetzelfde als een definitie?
Ergens zal gedefinieerd staan wat virus-achtig gedrag is. Dit wijzigt vaak,
en als er geen regelmatige updates verschijnen heb ik er geen vertrouwen
in.
13-02-2005, 13:18 door Anoniem
Door Anoniem
"maar kijkt naar virus-achtig gedrag" is toch hetzelfde als
een definitie?
Ergens zal gedefinieerd staan wat virus-achtig gedrag is.
Dit wijzigt vaak,
en als er geen regelmatige updates verschijnen heb ik er
geen vertrouwen
in.

Neen: een virus-definitie (A)beschrijft hoe een virus-code
eruit ziet. Het heeft dus kennis van 'het slechte' . Ook
wel 'misuse detection' genoemd.
Virus-achtig gedrag (B)is een afwijking van het 'normale'
(goed) gedrag. Zo'n systeem heeft kennis over 'het goede' ,
en wat daar van afwijkt wordt als 'slecht' gemarkeerd. Ook
wel annomaly detection genoemd. Een ander concept dus.

A: goede resultaten voor gedefinieerde virussen, maar dus
geen zero-day bescherming. Updates nodig. Komt (theoretisch)
een eind aan.
B: (meestal) een zelf-lerend mechanisme dat een soort
baseline maakt van 'goed gedrag'. Zero-day bescherming,
geen updates nodig, maar ook: erg omgevings afhankelijk en
grote kans op false-positives omdat een afwijking van het
'normale' niet automatisch betekent dat het een virus betreft.
SF
13-02-2005, 16:04 door Anoniem
Persoonlijk ben ik van mening dat je nooit alle virussen kan
tegenhouden omdat er altijd gebruikers zijn die attachments
blijven openen, soms zelfs om de systeembeheerder te zieken.

Een hacker die echt in een systeem in wilt breken schrijft
zijn eigen virus/worm/trojan die niet opgepikt wordt als een
virus omdat het programma "normaal" reageerd.

Maar HP en IBM zullen daar wel beter over nagedacht hebben ;)

GateHawk
13-02-2005, 22:17 door raboof
Sja, het klinkt allemaal heel mooi, maar in hoeverre zoiets
in de praktijk gaat werken...

Voorbeeld: stel dat je nog inbelt naar je ISP. Als die zijn
inbelnummer verandert wil je dat kunnen instellen (duh). Je
wilt echter niet dat een virus jouw inbelnummer kan
veranderen in een duur betaalnummer in een exotisch land.

Knap systeem dat het eerste toelaat maar het tweede wel
verhindert. Er zijn wel allerlei mouwen aan te passen, maar
het blijft een fragiel systeem als je het mij vraagt.

Maar ik wil het ook weer niet bij voorbaat naar de
prullenmand verwijzen, ik ben benieuwd wat er gaat gebeuren.
Maar ook skeptisch.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search