"Je krijgt in ruil voor wat performance meer zekerheid" En als ik dat nou niet
wil?

MS Kennende word je "verplicht" die update te installeren. Laten we maar
hopen van niet

Totdat men Control Flow Integrety kan omzeilen of uitschakelen...

waarom doen ze toch altijd alsof ze dingen zelf hebben
verzonnen? Ik ben er helemaal voor dat ze de software maken
maar ga alsjeblieft niet doen alsof het je eigen idee is zeg.

dit is weer zo'n half lapmiddel. het beschermt niet tegen
ie-exploits en dergelijken, of gaan die honeypots zelf op
zoek naar twijfelachtige webpages?

It is possible to implement host-based detection
engines [9, 1] with broad coverage that detect infection
attempts with low false negatives and virtually no false positives
but the overhead of detection usually grows with the degree
of coverage. It would be possible to run these expensive
engines continuously on a few dedicated hosts but this
centralization
would result in false negatives because worms can
simply avoid the detectors during propagation.

Vigilante relies on a large scale collaborative worm detection
architecture to overcome these problems: every host can
be a detector and detectors broadcast an alert to other hosts
when they detect a worm outbreak.

Vigilante introduces self-certifying alerts (SCAs) to eliminate
the need for trusting detectors.

SCAs are machine-verifiable proofs of vulnerability; they prove
that an application is vulnerable.


Any host can verify an SCA by using information
in the SCA to reproduce the infection.

By decoupling vulnerability detection from verification,
SCAs allow a large number of hosts to cooperate in
worm detection without trusting each other.
Worm alerts must be broadcast to all hosts that may be running
the vulnerable program. For the cooperative worm detection
architecture to be effective, the broadcast mechanism must
ensure that the SCA reaches all hosts before they become
infected
with high probability even if the worm is detected by a
small number of hosts.


It must also withstand denial of service
attacks aimed at blocking the propagation of alerts.

Vigilante uses a flooding
protocol on a secure overlay [2] that is scalable and resilient to
attacks. Other alert distribution mechanisms are possible, for
example, IP multicast could be used inside corporate networks
but it is not widely deployed on the Internet.

Hosts must protect themselves from infection after receiving
an alert but, to prevent denial of service attacks, they
do not invest any effort in generating protection mechanisms
before they verify the SCA (which is inexpensive). SCAs
are vulnerability-centric; they identify a software vulnerability
rather than a particular worm. Knowing the vulnerability
allows hosts to generate local countermeasures to protect
themselves from all worms exploiting that vulnerability. One
simple protection is to stop the vulnerable application, which
is extreme but may be justifiable in some safety critical settings.
A better option is to use the information in the SCA
to analyse the vulnerable application and generate patches or
filters to prevent infection without stopping the application.


Als ik het hele artikel lees lees ik eigenlijk het volgende :
Stel in de toekomst gaan we over op longhorn die deze techniek
zou gebruiken of misschien nog wel XP met een flinke service
pack.

Heel veel internet verkeer en onze machines mogen we weer
gaan upgraden, want onze machines zijn infecties aan het
nabootsen en zwakke plekken aan het toetsen bij iedere "SCA"
die binnenkomt.
Want 0% false negatives, het lijkt me niet verstandig om daar
blind van uit te gaan.
Ik ga er dan ook van uit dat dit systeem niet alleen voor servers
maar ook gewoon voor onze machientjes bedoeld is.
Dat maak ik op uit de introductie van de tekst.

Any self-certifying alert contains: an identification of the
vulnerable program, a vulnerability type, an event list, and
optional
verification hints.

Ik hoop dat deze "SCA's" niet gekraakt worden want feitelijk geef
je
hiermee informatie weg over de zwakke plekken in je software.
Oke,
De worm gebruikt een zwakke plek en het systeem geeft deze
informatie
door... Tenminste dat is de bedoeling, maar stel dat er meer
boven water
komt dan Vigilante had moeten doen...

Microsoft heeft een naam hoog te houden...

Als een gegeven persoon met kwade bedoelingen met opzet een
worm weg stuurt om te achter halen hoe zijn worm tegen gaat
worden gehouden kan hij /zij natuurlijk ook weer leren hoe het
algoritme werkt.

Verder is er nog en heel stuk tekst over buffer overflows.

Het valt me op dat we in een mogelijke toekomst supercomputers
nodig hebben omdat onze computers meer bezig zijn met het
controleren van de data in het geheugen dan en hoe de
programma's uit gevoerd gaan worden dan met de taken waar we
ooit computers voor hebben bedacht.

Het laatste stuk over buffer overflow's is wellicht een
uitleg over de nexus. Microsoft's idee om een tweede
besturingssysteem naast het windows os te laten draaien welke
het windows os met programma's moet controleren.
Misschien is dit een onderdeel of een voorbode daarvan.

ALG

Laat M$ eens de oorzaken goed bestrijden, in plaats van de
gevolgen.

Microsoft zou Microsoft niet zijn als er niet - per ongeluk
natuurlijk - enkele foutjes in Control Flow Integrity zouden
zitten, waardoor software van derden niet (goed) werkt.
Zoals bijvoorbeeld FireFox/Mozilla, OpenOffice.org of NDS.

Beide ontwikkelingen van MS zijn absoluut niet nieuw. De
eerste was ruim 5 jaar geleden al ergens in gebruik. Rede
waarom dat nooit iets is geworden was oa omdat het moeilijk
is te zorgen dat een vang machine eerder geinfecteerd wordt
dan andere machines. Daarnaast moet je maar net de juiste
software hebben draaien om gevoelig te zijn en exact te
kunnen analyseren wat nu het zwakke punt is. Zelfs als dat
zwakke punt gevonden is kost het zeer veel tijd om een
medicijn op te zetten en te verspreiden voordat andere
machines geinfecteerd worden.

Is helaas symptomatisch bij het bedrijf van Gates...

Hebben ze weer wat bedacht om het nog onvermijdelijker te
maken om de TCPA chip OS-DRM door de strot van de onwetende
nietsvermoedende doorsnee windowsgebruiker te duwen.
Iedereen wordt zo een knecht van Microsofts antivirus
programma dat ingebakken zit in de toekomstige
Longworm-versies. Norton c.s. exeunt.

Jammer dat een beetje slimme worm 10 minuten of minder
nodig heeft om alle op het Internet besmetbare systemen te
besmetten. Die 10 minuten is een optimistische schatting...
Veel succes met het analyseren en verspreiden van
blocklists enzo binnen 10 minuten. Boze tongen beweren dat
een volledige besmetting in theorie binnen 30 seconden kan
plaatsvinden. (Zie de analyses van sql slammer en andere
wormen). Ik vraag me echt af hoe de updates snel zat
verspreid kunnen worden om ook maar een beetje effectief te
zijn. Ik vraag me ook af hoe microsoft denkt bedrijven te
overtuigen van noodzaak van automatische updates van wat dan
ook zonder tests...

Ja, dan wordt je boos dat al die Linux fanaten worden opgepakt, zo ken ik
er ook nog wel eentje

De honey-pots hebben ze in iedergeval al..

Leve Linux!

ik word helemaal niet boos

aleen een beetje verdrietig

Okay, cool ! Krijgen we dan ook geen IE meer in ring-0 En
standaard minder user-rights i.p.v. default admin rights ?
Stoppen ze daan ook met NULL-sessies. Aahh, progress.
Aw, fuck it. Ik hou het bij BSD

Genezen is beter dan voorkomen. Want daar krijg je veel meer
geld voor. :-)

Leuk stuk. Een mooi uitgangspunt om nog eens goed te gaan
denken voordat je dit zou willen implementeren. Ik geef
diegenen gelijk die vinden dat de code (bugs), de
instellingen in de software (complexiteit) en het ontwerp
(o.a. de downward compatibility) de bron van het probleem
is. Nu dat dit een gegeven is (er wordt immers veel MS
software verkocht) kan het de Vigilante techniek wat lucht
brengen en ons bevrijden uit de tang waarin we zitten. Nu
proberen we in control te zijn door AV software, Firewalls
en anti-spyware te installeren samen met een strikt
patch-beleid en het hardenen van het systeem.

Een nieuw (lap)middel brengt natuurlijk ook weer gevaren met
zich mee. Een SCA zou nagemaakt kunnen worden met daarin
gegevens over een nep-vulnerability en de bijbehorende
aanval. Het is dan mogelijk het systeem een actie laten
triggeren zodat de werking van het systeem wordt veranderd
(bijvoorbeeld uitzetten van IIS).

Als je het rapport “MSR-TR-2004-83” leest zie je dat er nog
veel randvoorwaarden instaan waaraan de technologie nog moet
voldoen (Sandboxing bij het testen van de kwestbaarheid van
een systeem op basis van de SCA. De opmerking over de
gewenste onaantastbaarheid van het Vigilante systeem voor
oneigenlijk gebruik en aanvallen met wormen). Het zal nog
wel een tijd duren voordat dit in de echte wereld ingezet
kan worden. Misschien hebben we tegen die tijd een
besturingssysteem dat deze problemen niet heeft (Trusted
Computing Group)