AV software loopt per definitie achter de feiten aan..
Vandaar ook dat wij alle executables blokkeren..
En gelukkig doen we dat niet op MIME-type of op extensie
maar wordt er naar het bestand zelf gekeken. Dat kost wel
iets meer tijd maar geeft wel vele malen meer zekerheid
(MIME-types en extensies zijn eenvoudig te faken).

"Zelfs als je twee scanners gebruikt zul je niet altijd alle virussen stoppen"
zegt Turley.
Dus zul je als gebruiker altijd na moeten blijven denken voor je
bijvoorbeeld een email attachment opent. Vervelend nou...
De mail wordt inderdaad wel gescand, maar op extensie. Mensen die een
bestandje krijgen, hernoemen en dan uitvoeren zijn willens en wetens
bezig. Daar gaan we geen voorzorgsmaatregelen voor nemen.

Wij moeten wel.. Anders is het dweilen met de kraan open..
Bovendien mogen gebruikers zelf geen software installeren..
Niemand heeft dus een reden om executables te kunnen
ontvangen/verzenden. Zelfs de ICT'ers niet.. Updates
downloaden ze maar van de website (waar we weer aparte
voorzieningen voor hebben en er is maar een relatief kleine
groep die dat kan/mag)..

Kul! De normale patroonherkenning vindt plaats. En een beetje
virusscanner laat zich niet foppen door een hernoemde
bestandsextentie.

Wat wel waar is, is dat je je gezonde verstand moet gebruiken.
Anders heb je aan 10 scanners nog niet genoeg.

Helaas bestaat er een worm die GEEN gebruik maakt van een executable.
Blokkeren van exe-bestanden is daarom ook geen goede beveiliging.

Een goed mailscanner pakket scant ook op vulnerable code dus
executable of niet...wordt dan toch tegen gehouden. Tevens wordt door een
goed mailscan pakket ook op phising en andere vormen gescant en wordt
door een iets betere mailscanner onschadelijk gemaakt...Het gebruik van
RBLs en Razor in combinatie met DCC haalt 99,9999% procent
eruit....virussen worden ook vaak verspreid door Relays dus die worden
dan ook eruit gehaald, daar heb je niet eens virusscanner voor nodig. Een
goede firewall herkent een portscan of een scan van een virus en voegd
het ip-adres waar het vandaan komt meteen in de drop list van de firewall.
Dit is bijvoorbeeld het principe van Iptables in combinatie met PortSentry
op LINUX...hier kunnen de meeste andere firewalls nog iets van leren...
Als je trouwens gebruik maakt van een IPS/NIPS zal alles waar patterns
van bekend zijn worden tegengehouden. Alles wat encrypted is of verdacht
is wordt in quarantine geplaatst. En kan vrijgegeven worden door iemand
die er verstand van heeft...

Niets is 100% veilig maar als je de tijd verlengd waarin de gepleegd moet
worden kun je sneller preventief handelen. Tevens is een Honeynet ook
geen overbodige luxe op die manier is er bijv. de keuze uit tien systemen
en maar eentje geeft toegang tot iets nuttigs.....

Het gebruik van verschillende toegangs technieken is ook geen
overbodige luxe...tevens als je gebruik maakt van wachtwoorden...nooit
dezelfde gebruiken op verschillende systemen....

Waarom windows blijven gebruiken als het allemaal om
internet, office, e-mail en chatten draait. ?

Ik snap het niet.... er zijn zoveel alternatieven waar je
dit probleemloos mee kan doen en waarvoor je niet eens 1
virusscanner nodig hebt.

Leuk bedacht, maar er zijn meer zaken waar je rekening mee
moet houden dan gebruik van 'internet, office, e-mail en
chatten'
Ik ga hier bij 1100+ desktops niet even omschakelen op Mac
of Linux, al zou ik dat af en toe graag willen. Probleemloos
zou ik namelijk ook niet willen zeggen.

Het artikel begint met:

Voor een thuisgebruiker die alleen office, internet, e-mail
en wil chatten is het absoluut niet noodzakelijk om windows
te blijven gebruiken en zich alsmaar bezig te houden met het
onderhouden van een PC.
Er zijn toch ook wel leuke dingen met de PC je vrije tijd te
doen ?
Zoals gebruiken bijvoorbeeld ?

Ik vind vooral dit de titel van het artikel erg slecht gekozen.

Deze site wordt door veel mensen bezocht die geen
security expert zijn, en zij zouden de (m.i. onterechte)
indruk kunnen krijgen dat het verstandig is om meer dan 1
virusscanner op hun (thuis) PC te installeren. In elk geval
zou ik nooit twee of meer achtergrond ("on-access")
virusscanners op een systeem laten draaien: dat is vragen om
problemen.

Redenen: als je een scanner hebt die verdachte bestanden in
een quarantaine directory plaatst loop je het risico dat de
tweede scanner dat probeert te voorkomen; het is de vraag
hoe dit afloopt. Ook is veel malware gecomprimeerd;
afhankelijk van hoe een virusscanner "uitpakt" bestaat de
kans dat een andere scanner op dat moment de zaak blokkeert.

Daarnaast wordt je PC trager, de kans op false positives en
een niet meer bootende PC nemen toe, evenals mogelijke
privilege escalations (alleen relevant als je normaal geen
admin account gebruikt). Het risico op bugs in een van je
scanners (en exploits daarvoor) neemt ook toe, en hoe meer
scanners, hoe meer kans op problemen bij het installeren (of
updaten!) van software. Meerdere scanners kopen lijkt me
bovendien zonde van je geld. Last but not least, bij verse
malware zit het er in dat geen enkele van je scanners
wat vindt, zie
http://www.security.nl/article/10983/1/Bericht_zelfmoordpoging_Michael_Jackson_is_Trojaans_paard.html

Als je twijfelt over een bestand kun je het op een van de
internet scanners aanbieden, of gewoon een weekje apart
zetten in een speciaal mapje en dan, na gecheckt te hebben
dat je scanner is ge-update, nogmaals scannen.

Ten slotte: heuristische detectie is leuk, maar leidt al
snel tot false positives en is in de praktijk vooral een
reclame slogan van het type "morgen is alles beter". Veel
moderne software kan zelfstandig (of via bijv. MSIE)
legitieme internet verbindingen opzetten, en er zijn zat
handige tooltjes die toetsaanslagen "meekijken". Het is
ondoenlijk om die allemaal bij antivirus fabrikanten te
laten whitelisten.

Erik van Straten

Lekker kort door de bocht.. Jij hebt zeker alleen ervaring
met netwerken met minder dan 10 pc's?

Dit is ook niet onze "enige" beveiliging. Eerst een
virusscanner, dan wat andere malware scans en als het dan
nog niet herkend wordt zijn er nog diverse bestandstypen die
we niet toestaan en eruit gefilterd worden.
Het blokkeren van executables heeft, tot nog toe, alle
nieuwe virussen tegen gehouden die (nog) niet herkent werden door
de virusscanner. Het heeft dus wel degelijk zin.. Maar ik
ben het ermee eens dat er meer moet gebeuren dan alleen het
filteren op executables.

Overigens beschouw ik een vbs script of een java script ook als executable.

Ik wil niet veel zeggen maar als c programmeur ben ik in staat om met 1
zelfgeschreven engine per dag rustig volledig automatisch nieuwe
viruscode te genereren en deze automatisch te laten compileren..Kwestie
van genoeg routines en verschillende opbouw. Knap bedrijf wat tegen
zulke efficiency zou kunnen opboksen..

Die hele anti4us hype heeft maar 1 doel de gebruikers een gevoel van
veiligheid geven...wat er niet is..

Money rulez...het stinkt aan alle kanten.

dat sjeg ik.

2 antivirusscanners op 1 pc?
LOL, dat bedoelen ze toch echt niet wel?

2 virusscanners op 1 pc is helemaal niet veilig,
en we weten allemaal waarom...

virusscanner in server / firewall / werkstation is altijd
wel aan te raden.

als goed programmeur kun je ook wel een protocol verzinnen,
waarmee je virussen laat communiceren enzo binnen 15 min het
internet gescant hebt, en diverse exploits geprobeerd om
binnen te komen,
en die ook wel instand te houden.

ooit artikel over gelezen @ packetstorm, wel interresant.

maar welke "goeie" programmeur heeft hier zin in :S

Als goed programmeur heb ik hier geen zin..

Voordat je het weet ligt er ergens een ziekenhuis plat of heb je een
instantie te pakken welke driftig bezig is de 3e wereld waar ze echt honger
lijden of aan allerlei ziektes lijden...

Je moet er toch niet aan denken om zoiets op je geweten te hebben.

Blijf er bij die antuvirus hype..klinkt wel aardig en daar is het mee
gezegd..tis 1 grote puinhoop en we werken er allemaal aan mee.

Niels,
ik wordt doorverwezen naar :
http://www.nsa.gov/snac.

Er gebeuren rare dingen vandaag (26-06; 20:10):
- handmatig invoeren url geeft 'pagina niet beschikbaar; tot daar aan toe,
dat gebeurt wel meer en is tijdelijk euvel
- kopiëren en plakken in adresbalk IE verbindt me wél... voor enkele
seconden, waarna ik terug op déze pagina terugkom.
Nog nooit meegemaakt... Enig idee wat er aan de hand is?

Het is een wat oud form,
Mijn vraag is eenvoudig.
is het nu wel of niet wijs om twee virus scanners te plaatsen op een systeem?

Grt
Mrtn