Een scenario waar ik al jaren voor waarschuw, komt nu dus uit.

Verban windows en het lost 99,99% van het virus probleem op.
En virussen onder een *nix omgevinging daar ben ik niet bang
voor want die kunnen nix, behalve dan misschien je home dir
slopen, mhaw lekker belangrijk ik heb altijd backups...

Securityproducten zijn waardeloos indien men geinfecteerde
keygenerators gebruikt of het product van "onbekende" bron haalt welke zijn "aangepast" en het systeem al besmetten voor of tijdens de installatie van het product.

De constatering dat de meeste (softwarematige) securityproducten "slecht" functioneren maakt dat de producten door het publiek niet serieus worden genomen (en daar derhalve geen waarde aan kan worden gegeven) waardoor het "illegaal" verkrijgen van deze producten als acceptabel word gezien.

Ik werk hier al een tijdje met NOD, komt er in verschillende
testen zeer goed uit.
http://www.av-comparatives.org/seiten/ergebnisse_2005_11.php
en zit in deze test bij de "grote" jongens
http://www.av-comparatives.org/seiten/ergebnisse_2005_08.php

Antivirus toko's zijn logge olifanten geworden die alsmaar
meer achter de feiten aan hollen. Vroeger waren AV bedrijven
klein, konden ze snel inspringen op bepaalde situaties en
werd malware door amateurs geschreven welke zich in MAANDEN
propageerden. Vond je dus malware, had je 1 tot 6 maanden de
tijd om er iets aan te doen. Je kon dus nog een enveloppe
vol met floppies sturen welke drie of meer dagen onderweg
was en welke ook al 3 dagen duurde om te massa-produceren.
AV toko's zijn steeds groter geworden, worden logger en
kunnen niet meer 'snel' effe iets doen. Malware wordt niet
meer geschreven door amateurs maar gemaakt door
professionals voor profesionals. Professionals die stukjes
code laten lekken welke door scriptkiddies gebruikt wordt
zodat ze 'veilig', op afstand kunnen zien hoe effectief
bepaalde code is.
IPV dat de besmetting ALTIJD via floppies plaatsvindt welke
makkelijk te ondervangen was, kan besmetting nu op allerlei
gebied plaatsvinden. Het meest getargete OS Windows heeft
daar helemaal (en volgens mij gedeeltelijk opzettelijk, tbv
NSA/CIA/FBI opsporing) geen rekening mee gehouden.
Besmettingen kunnen nu op meer dan alleen via bootsectoren
worden doorgegeven. Email, bluetooth, WiFi, netbios, rpc,
enz enz enz. Niet op de laatste plaats via MSIE. Ook de
homogeniteit van installaties zorgt voor problemen.
Microsoft plempt op iedere PC MSIE, outlook expres enz enz.
Juist hun gedwongen koppelverkoop om concurenten te weren
maakt hun operating systeem nu juist NOG ontvankelijker voor
malware. Op mijn ene linux gebakje draai ik Kopete, op de
andere draai ik Gaim. Dan wordt het al een stuk moeilijk om
100% betrouwbaar een vulnerability te exploiten. Op mijn ene
bak staat Firefox te draaien, op de andere Opera. Juist het
ontbreken van de diversiteit zorgt ervoor dat het maken van
malware zo makkelijk is voor Microsoft producten.

Terug te komen op Windows, ik draai enkele honeypots om te
kijken wat voor leuk nieuw speelgoed op internet te vinden
is, en tijdens de laatste 5 grote outbreaks van
netwerkwormen bleek dat ze alle vijf dwars door de AV
producten heen kwamen... Voornamelijk Norman, Panda en
Norton/Symantec bleken vrij brak te zijn. Is ook niet zo
verwonderlijk daar deze producten pas detecteren wanneer het
al te laat is. McAfee en Sophos bleken vele malen beter te
zijn, zo ook F-Secure. McAfee maakt alleen in veel gevallen
van je Pentium4 op 3GHz een 80386 op 33MHz, Sophos is
verschrikkelijk met up2date houden en F-Secure zit er een
beetje tussen in.

Het grootste nadeel van AV producten is dat er EERST wat
moet gebeuren en dan pas bekeken wordt "is dit fout?"... Je
gaat toch ook niet kijken in je keuken of je inderdaad geen
water moet gooien op je vlam-in-de-pan? Nee, je gaat naar
buiten met een brandblusser en deken en gaat kijken wat er
gebeurt. Zo moet dat ook met AV producten. Laat eerst maar
eens goed controleren of dat wat er gebeurt ook toegestaan
is, en vervolgens ook maar eens in de 'proeftuin' kijken wat
er precies gebeurt. Slimme firewalls zouden ook moeten
gemaakt worden. Nu kan elke machine connecten naar een RPC
poort op een Windows machine. Zelfs als die windows machine
daar helemaal niet om gevragen heeft. Een slimme firewall
zet dus die poort uit totdat het OS aangegeven heeft dat er
een applicatie op die poort gaat connecten. Nadat de
applicatie zijn werk gedaan heef, sluiten we de poort weer.
Een Gatekeeper als het ware. RPC moet slimmer, en moet gaan
samenwerken met beveiliging ipv deze compleet lamleggen.

Dus...
Wat is de waarde van deze opmerking?
Als je een bijdrage hebt in de richting van een mogelijke oplossing /
verbetering, bij deze het verzoek deze te delen.

-RB

geloof je het zelf? zelfs als het kon dan zou het net werken
zoals jij denkt. alle virusschrijvers richten zich dan op
*nix en zullen zeker wel nieuwe trucjes vinden. ook gaan de
gebruikers met minder kennis er gebruik van maken en die
zullen rustig altijd als root user werken.

Antivirus producten hobbelen, per definitie, achter de feiten aan. Signatures worden immers pas gemaakt NADAT er een nieuw virus is ontdekt.
Malware van tegenwoordig verspreidt zich binnen enkele uren. AV bedrijven reageren hier heel snel op. Het feit dat malware vroeger minder snel kon propageren zegt meer over de ontwikkeling van malware dan over AV producten.
Hier spreek je jezelf dus tegen. Scriptkiddies zijn, per definitie, amateurs.
Voor thuis gebruikers gaat dit misschien op. Kijk maar eens naar de "Morris worm". Dan zul je zien dat besmetting echt niet alleen via floppies ging..
Natuurlijk... Conspiracy theory is er niets bij..
File infectors en wormen die via het netwerk propageerde zijn er altijd al geweest. Dat is echt niet iets van de laatste tijd.
Hier ben ik het mee eens.
Da's niet zo moeilijk. Nieuw virus, nieuwe signatures. Geen signature, geen detectie.
AV producten kunnen pas nieuwe dingen detecteren wanneer ze voorzien zijn van nieuwe signatures.
Ik geloof niet dat je begrijpt hoe die dingen werken. De API's worden afgevangen en er wordt gekeken of het mag VOORDAT de API uitgevoerd wordt.
Een slimme firewall beheerder zet alles dicht en gaat dan kijken wat er nodig is.
En als die applicatie nu malware is? Hoe kan het OS detecteren dat het verzenden van een email wel of niet verstuurd mag worden? En als de malware tegen het OS zegt dat het goed is?
RPC is, per definitie, gevaarlijk. Zie hiervoor ook de problemen die er vroeger waren onder Un*x met RPC. De geschiedenis herhaalt zich.. Het enige wat je hiervan kan zeggen is dat MS beter had moeten kijken en had moeten leren van de fouten die gemaakt zijn bij andere OS'en. Dat hebben ze niet gedaan en ze maken dus nu dezelfde fouten.

Veel malware wordt door derden tegenwoordig aangeleverd. Ze
krijgen en hebben dus al voordat het in het wild actief
wordt een voorproefje gekregen. Hoe moeilijk kan het zijn
als je het antwoord al krijgt om de oplossing te vinden?


Nee, professionelen schrijven voor professionelen. Zoals
spamkoningen, mafia enz. Soms willen ze echter kijken hoe
goed iets werkt, een concept uit proberen. Daar willen ze
echter niet hun vingers aan branden, omdat die concepten
niet zo goed geprogrammeerd zijn, waardoor de kans dat ze
achterhaald worden, de schrijvers, vele malen groter is.
Daarom laten ze dus stukjes code glippen en scriptkiddies
maken dankzij hun copy&paste malware creators hier simpele
en brakke wormen mee.


Het is algemeen bekend dat encryptie technieken off-limits
zijn zolang de NSA geen master string daarvoor heeft. Kijk
bijv naar PGP.



Helaas leven we niet allemaal in ideale hobbycomputer kamer,
en zijn er ook veel omgevingen waar dat eenvoudigweg niet
(meer) mogelijk is dankzij legacy. Software waarvan de
programmeur al 10 jaar geleden onder een trein is gekomen
maar waar nog productie gedraait mee (moet) worden. Software
waarvan de koper niets mag mee doen, behalve gebruiken. En
dan spreek ik niet over Windows XP van 70 dollar maar over
specifieke software voor specifieke ethernet aangestuurde
hardware a miljoenen EYPO waarbij de garantie vervalt maar
je niet kunt overstappen op een andere leverancier omdat die
er gewoonweg niet zijn.


Een gebruiker zou OPGEVOED moeten worden, tja, ik weet het,
is zeer moeilijk met al die Windows-verwende lusers. E-mail
stuur je naar de mailserver van je ISP of je eigen server.
Niet vanaf de client rechtstreeks. 50% van alle spammailtjes
zou dan al afgevangen worden. Vervolgens doe je nog een
reverse-lookup, om te kijken of de afzender-domein
daadwerkelijk een MX record heeft op dat IP adres. Daarmee
haal je nog eens 45% van de mail pompende malware eruit.

Hoe het OS kan achterhalen of een app mag mailen? Simpel,
dat moet de beheerder van de computer verteld hebben. Dus
outlook.exe, ja, sober.g.scr, nee. Ja, ik weet dat je dan
veel verwacht van een luser maar schijnbaar is het okay om
een computer te kopen en half internet om zeep te helpen en
daarmee weg te komen door ontwetendheid.

Ach.. Gelukkig heb ik pas 9 jaar bij een grote bank/verzekeraar als security specialist gewerkt..
10 jaar oude software komt niet op Internet.. En anders schrijf je er zelf een proxy voor die alle problemen wegfiltert.
Op een apart LAN.. Firewalled tot en met.. En al helemaal niet in de buurt van de Internet verbinding laten komen..

Voor elke oplossing is een probleem te bedenken..

Met zo'n instelling blijven we zwakzinnig. Hoe kom je erbij
dat dit **niet** kan?

Ben je er echt van overtuigd dat het afspelen van Windows
Media bestanden de lock-in van Windows rechtvaardigd?

Met zo'n opmerking als 'zelfs *als* het kon' geef je alleen
maar toe aan Microsoft's markdominantie waar ze helemaal
geen recht ophebben. Dat is immers bereikt door sneaky PR &
marketing ploys (Gek he, dat de Xbox 360 in Japan helemaal
niet uitverkocht is? De gemiddelde Japanse winkel-eigenaar
is niet zo geld-geil als de Amerikaanse, die natuurlijk
graag meewerkt aan Microsoft's reclame stunt, om te zeggen
dat alle Xboxen zijn uitverkocht aan het einde van de dag.
Microsoft leverde de Amerikaanse winkelbezitters namelijk
geen Xbox om te verkopen als deze dat statement niet wilden
maken aan het eind van de dag. Maar ik wijd enorm uit; de
aggressieve marketing technieken zullen wel bekend zijn hier.)

Er valt als eindgebruiker *prima* met een UNIX variant te
werken; de machine van m'n vriendin is sinds de overgang
naar Slackware alleen nog maar gecrashed vanwege manke
hardware. :)

ik had het over het echt verbannen (dus illegaal maken via
een wet ofzo) van windows, dat kan niet zomaar. en verder
ben ik gewoon realistisch, je kan wel dromen van een wereld
zonder windows maar dat gaat gewoon niet gebeuren de komende
tijd. dat heeft niks te maken met rechtvaardigen ofzo,
windows is er en gaat niet even weg. dus accepteer dat feit
en probeer het probleem op te lossen met dat in gedachten.