Helemaal mee eens....

Negen jaar ervaring: geen MS producten gebruiken voor online
activiteiten, maakt virusscanners ook overbodig.... ;)

Maar ja daar zit nu inderdaad juist die omzet genereerende
loop/'samenzwering'....

"The IT industry in the United States has single-handedly
wrecked the world economy over the last couple of years,"
Commonwealt Bank managing director David Murray.

De heer Murray durfde hier niet gewoon MS te zeggen maar
noemt het voor het gemak maar "The IT industry in the United
States".

The earth is flat, pigs can fly and nuclear power is safe...

Als we digitale handtekeningen hebben, bedenken de virusschrijvers daar
wel weer wat omheen.
Kijk naar phishing. Je maakt gewoon mis-/gebruik van de onoplettendheid
van de gebruiker.
Kijk naar allerlei activex popups. "Weet u zeker dat u deze control wilt
installeren?", "Jaja, rot op met je berichtje, ik wil gewoon op deze site."

Even de laatste alinea van TFA hier gequote en mijn mening hierover....
Hier ben ik het voleldig mee eens!
Ook dit klopt, een oplossing bouwen voor niet-opgeleide mensen zal altijd
mislukken, helaas is pakweg 95% van de computergebruikers binnen een
gewoon bedrijf niet-opgeleid als het om ICT, computers of security gaat.

Mensen dit proberen te leren is moeilijk, omdat het ze niet interesseerd,
dus niet opletten en dus alles alsnog niet goed doen. Dus hoewel de gedachte goed is, zijn de mensen hier niet in geinteresseerd, zullen ze de digitale handtekening niet lezen of aandachtg bekijken en deze gewoon accepteren.

>Digitale handtekening maakt virusscanners overbodig

Hoe zou een digitale handtekening dan een bedreiging als de Blaster
worm hebben gestopt, welke gebruikt maakte van een buffer overflow in
de DCOM RPC service om maar 1 voorbeeldje te nemen ?

>Critici zijn van mening dat gebruikers te stom zijn om te bepalen welke
certificaten te vertrouwen zijn en dat de boeven soms een legitiem
certificaat kunnen bemachtigen.

Waarom hebben deze critici ongelijk, mede gezien het aantal gebruikers
dat virussen aanklikt, in hoax mailtjes trapt, en ga zo maar door ? Zijn de
malware schrijvers niet slim genoeg om de gebruikers om de tuin te leiden
en, net als nu, te proberen om security vendors een stap voor te blijven
door steeds weer nieuwe truuks te verzinnen ?

>Digitale handtekening maakt virusscanners overbodig

M.i. is deze stelling volkomen onzin.

>Negen jaar ervaring: geen MS producten gebruiken voor online
activiteiten, maakt virusscanners ook overbodig.... ;)

Zeker nooit gehoord van produkten als Norton AntiVirus 10.0 for
Macintosh. Of beschermt zo'n produkt tegen niet-bestaande virussen ? ;)

een virus hebt toch al een digitale handtekening ? :)

"en het enige dat de gebruiker moet doen voor het openen is de
handtekening controleren."

Komt me bekend voor. Was dat niet de oplossing tegen phishing, virussen
en spam?

Next!

je zou beide oplossingen moeten combineren, een anti virus
de de handtekening kan verfieren en de virussen kan bestrijden
dat alles met digitale handtekeningen hopsa is opgelost
geloof ik niet

Wie bepaald welke partijen die handtekeningen uit mogen
geven? Inmiddels zijn er al meer dan 100 partijen in een
standaard Windows omgeving aanweizg die certificaten uit
mogen geven. Ruim 70% daarvan ken ik niet. Waarom zou ik hen
vertrouwen? Wat heb ik voor relatie met Autoridad de
Certificacion de la Abogacia?

Daarnaast kan met een beetje social engineering het gros van
de gebruikers worden overgehaald om een nieuwe trusted CA te
installeren. Gevolg is dat alle spyware en virussen mooi als
geldig gezien worden.

We hebben geen miljarden verspil aan het ontwikkelen, maar verdiend
aan het 'implementeren'. Niet iedereen in Polen heeft door dat sinds 1989
het kapitalisme gewonnen heeft, geloof ik/.

"en het enige dat de gebruiker moet doen voor het openen is de
handtekening controleren."

Is er geen virus te maken dat verborgen zit in de digitale handtekening,
en dat dus je computer besmet op het moment dat je denkt die
handtekening te gaan controleren ?

echt nul met elkaar te maken

Ook Linux heeft virus scanners, niet dat het zelf vatbaar
is, maar om te voorkomen dat andere computers besmet worden
wanneer emails geforward worden.

Ja, laten we alle software digitaal ondertekenen. Dat ondertekenen gebeurt door MS na betaling van een (flink) bedrag. Dan pas kan en mag de software werken onder windows. Goede oplossing..... Voor MS... Want zo draai je natuurlijk ook gelijk Open Source en Freeware de nek om..

En zoals terecht opgemerkt, hoe gaat een digitale handtekening beschermen tegen een remotely exploitable buffer overflow?

Of moeten we toch maar voor malware een evil bitje gaan zetten?

Tja...Iemand vertelde mij dat het digitaal ondertekenen van
een viraal bestand meteen de deur wagenwijd openzet.

Niet mee eens, het digitaal tekenen van software geeft geen
garanties. Bovendien is dit totaal niet haalbaar, hoe ga je
iedere software digitaal ondertekenen? Komen er bedrijven
die voor veel geld jouw binary gaan reversen om te bekijken
of er geen malware in zit om ze dan vervolgens voor veel
geld te ondertekenen?

OF is het zelf fabriceren van software helemaal taboe
geworden en laten we dat over aan de grote bedrijven?

Leuk verhaaltje maar raakt kant noch wal. Het maken van
software is veel te gedecentraliseert voor deze oplossing.

Waarom zou ik een digitaal ondertekende file vertrouwen? Ik ben nu ook
verplicht om de Verisign, Thawte etc. te vertrouwen maar dat weiger ik ook.
Waarom zou ik de signers vertrouwen? Ik heb niet met ze geknikkert...

/*
Zeker nooit gehoord van produkten als Norton AntiVirus 10.0 for
Macintosh. Of beschermt zo'n produkt tegen niet-bestaande
virussen ? ;)
*/
Nee sinds microsofts software er is voor een apple is het nodig.
Ik draai een virus scanner op suse , niet voor SUSE linux
maar voor de windowns backup data erop en voor WINE want de
win applicaties onder wine zouden wel eens..........
Maar de data is het belangrijkste is restore niet graag
virussen!!!!!!!en trojans en en ene
ne..............................

Tegen welke Mac-malware beschermt Norton AV 1.0 for
MacIntosh dan?

Er zijn miljoenen software programma's ieder met een eigen
ondertekening, die overigens bij elke (kleinste) wijziging
veranderd moet worden.
Sommige pakketten veranderen wekelijks.
Wie gaat dit controleren, er mag nl.l geen spyware meer
inzitten! Microsoft vraagt hiervoor zoveel geld, dat
bedrijven als TRUST besluiten dit bewust niet te doen. en
zijn die in staat om dit onderzoek te doen?
Indien dat zo was, waren ze zeker in staat geweest het
duurste OS ter wereld (Vista) het meest veilige te maken.
Dat is het nu Vista (of Windows) kent in tegenstelling tot
Apple Mac-OS en Linux varianten en HP-UX en Solaris en
andere OS-en, WEL:
Dagelijks meer
virussen,spyware,adware,ransomware,trojans,rootkits, worms,
trojan downloaders, rabbits, browser hijackers, dialers,
backdoors, etc. etc
Steeds meer mensen doen ervaring op, op andere OS-en zoals
mac-os-x en stappen dus over. Terecht !

Even in mijn poging tot engels, omdat ik het ook rechtstreeks aan Joanna
hebt gericht:

I see a connection between AV and signing that supports Joanna's
criticism regarding resource allocation processes, but that also shows
limits to signing as a defense against malware threats.

I use the following model of the process that we are trying to manage:
1. Source (S) takes responsibility for generation of data (D).
2. Consumer (C) receives D
3. C processes D
4. C gets hurt.

I assume that we want to manage the risk of 4.
The first thing we do is closing the loop:
5. C notices it has been hurt
6. we identify S
7. we hunt S
8. we catch S
9. S is found guilty in a fair trial
10. we punish S
11. S changes its behavior
12. goto 1 with a reduced risk in 4.

The management of this process is being supplied by a global
cooperation (at least interaction) of all parties involved: we.
I prefer to call it the Network Of Trust (NOT).
At the moment NOT is nearly invisible, and its maturing process is
continually being slowed down by complex blends of social, cultural, and
political processes.
But it does exist and will eventually become more visible.

For every step in the process cycle, NOT has a combination of technical
and organizational tools that can contribute to the common goal:
management of risk in 4.

AV focuses on the analyses of D, and will primarily be used in steps 2 to 5.
Signing focuses on the identification of S, and will primarily be used in
steps 1, 2, and 6.
Obviously both tools are useful, and NOT requires additional tools.

If NOT were a reasonable creature, it would allocate its resources in a
perfectly balanced way, so all tools would receive exactly the resources
needed to optimize individual contributions to the common goal.
The current (and past) allocation to AV does indeed prove that NOT is
being very unreasonable.

The suggestion that signing would be more effective then AV is somewhat
puzzling in the model described above, but that doesn't disqualify signing
as a tool.
One of the tools.

Jan-Hein van der Burg.

Ik hoop niet dat je deze mail echt aan Joanna gestuurd hebt...
...
5. C notices it has been hurt
6. we identify S
7. we hunt S
8. we catch S
9. S is found guilty in a fair trial
10. we punish S
11. S changes its behavior
...
Deze tekst is een deel van de redevoering over het nut van
het digitaal tekenen van groepjes bytes beter is voor de
beveiliging...

En dan een mooie afsluiting: The suggestion that signing
would be more effective then AV is somewhat
puzzling in the model described above, but that doesn't
disqualify signing
as a tool.
Oftewel: sja, ik heb moeite om uit te leggen waarom maar
signing is een goede toel.

Wie met open source werkt, weet dat alle versies van alle
bestanden een digitale tekening hebben. De echte tekening
download je van de officiele website. En je package
management vergelijkt bij downloads de code met de bewaarde
code. Bij afwijkingen kan je de keuze aan de gebruiker laten.

Maar helpt digitaal tekenen ook tegen wormen en trojanen?

Het artikel heeft een plaatje van een hand met een pen op
een tablet.
http://www.security.nl/image/1226

Uiterst ongeschikt plaatje!

Een digitale handtekening is verre van dat; zulke
afbeeldingen induceren bij mensen de associatie dat een
digi-handtekening echt zo gemaakt wordt.

Ik geef aan dat signing een van de tools is die je kunt gebruiken in de
bestrijding van malware, en dat je het gebruik van tools (en de financieele
middelen die je ervoor inzet) in onderlinge samenhang kunt zien.
Dus: ja het kan helpen, maar is niet afdoende, en hetzelfde geldt voor AV.

Lijkt me een beetje naief te denken dat 1 simpele oplossing
in staat is alle virussen uit te bannen. Virusschrijvers
hebben laten zien dat ze voldoende inventief zijn om op
alles een oplossing te vinden.
Er worden dan wel weer andere methoden gebruikt; of gewoon
vertrouwd op de zielloosheid van 95% van de
computergebruikers die overal achteloos op klikken zonder te
lezen wat er staat.

Helaas kunnen trojanen en wormen ook voorzien worden van een
digitale handtekening... Voor een bedrijf dat zijn PKI
omgeving (en vooral de "vertrouwde CA" verzameling) op orde
heeft kan het wel een uitkomst zijn.

Volgens mij is dit oud nieuws, 'symbian' doet dit gewoon goed en
pragmatisch.
Hopelijk komt er ooit gewoon een PC versie van symbian, of zien
MS/Linux/Bsd in dat ze op dit gebied het lichtende voorbeeld van
symbian zouden moeten gaan volgen.