[admin] We leven niet meer in de middeleeuwen...[/admin]

[...] Anti-virusbedrijven moeten dagelijks al 30.000 malware
exemplaren verwerken, er is geen behoefte aan meer
exemplaren[...]

Als er in een week ruim 200.000 exemplaren verwerkt moeten
worden, dan zullen die 100 die er extra bijkomen het
verschil ook niet maken. Ik heb het idee dat het die
anti-virus bedrijven er alleen maar om te doen is om hun
eigen hachie te beschermen, en dat het vooral niet al te
bekend moet worden dat hun producten geen bescherming bieden
tegen kwalitatief goede tegenstanders, ook al beweren ze
vaak het tegendeel. Het feit dat er iets structureels fout
zit in de door hun geleverde producten en de basis waarop ze
hun producten hebben gebaseerd wordt nu duidelijk gemaakt,
en DAAR zijn ze geen voorstander van. Preken voor eigen
parochie noemen ze zoiets.

Kunnen ze de politie er niet op af sturen? Het maken van
malware is immers strafbaar...

geadchte #1: beter in het zonlicht dan in het donker, al
denk ik dat de echte maligne aso's in het donker zullen blijven
gedachte #2: van alles dat we in het zonlicht kunnen zien,
kunnen we ook leren. Wanneer de strategie en de taktiek van
de virusschrijvers verandert, dan moeten de McAfees en
andere Nortons aanpassen. Nu lijkt het wel een oproep om in
het duister te blijven, dan kunnen de
antivirusvenootschappen dat ook, en kunnen ze voor weinig
veel geld blijven vragen van een domgehouden consument.

Beveiligingsonderzoek moet zich richten op het verbeteren
van detectie en niet ontwijking.

De bedoeling van de wedstrijd is de detectie te verbeteren,
zodat ontwijken (bijna) onmogelijk word.

Virusscanners lossen het verkeerde probleem op, en als
dergelijke acties dat extra onder de aandracht brengen is
dat alleen maar toe te juigen.
Dat virusscaner producenten zich daar met hand en tand tegen
verzetten is te verwachten, het is immers hun brood.

Wat iedereen nu eens onder ogen moet gaan zien is dat het
probleem niet is dat malware versprijd en opgestart wordt,
en we dat kunnen oplossen met virus scanners die de
verspreiding en het starten uit alle macht proberen te
voorkomen, met alle bekende false-positive/false-negative
problemen die we van dat soort oplossingen kennen. Het
probleem is dat ALLE software, malware en goedbedoelende
software draait met veel te veel rechten. Ik heb het dan
voor de duidelijkheid niet over admin vs user rechten, want
dat is irrelevant, maar over het punt dat tetris genoeg
rechten heeft om mijn mailbox te lezen, m'n documenten te
verwijderen etc zonder dat het enige noodzaak heeft voor
zulke rechten. Het 'Principle Of Least Privilege' (POLP) is
het begin van de oplossing van malware, van spam, etc, etc.
Virusscanners zijn geen oplossing tegen malware,
virusscanners zijn een oplossing voor regulatory compliance
die toevallig ook nog een erg ZICHTBAAR deel van de malware
tegen kan houden waardoor een groot aantal mensen zich
daarmee voldoende veilig wanen om er bergen geld naartoe te
gooien, en waardoor OS fabricanten geen urgentie zien voor
het oplossen van het eigenlijke probleem.

Inderdaad, maar er is voldoende bewijs dat dit tot nu toe niet resulteert in een extreem kleine kans dat verse malware wordt gemist (een belangrijk argument om überhaupt AV te draaien, met al haar nadelen).
Zie bijv. deze recente meldingen: [url=http://isc.sans.org/diary.html?storyid=4330]malicious PDF's[/url] en [url=http://www.virustotal.com/analisis/7a22ddc5aac588d069fc59e989b6ad0f]gespamde dagvaarding[/url] (bron: [url=http://isc.sans.org/diary.html?storyid=4289]Federal Subpoena[/url]).

Er raken gewoon teveel computers gecompromitteerd en het is duidelijk dat AntiVirus slechts ten dele helpt. Ik geloof niet dat het mogelijk is dat de AV industrie dit probleem oplost, daarom is het goed dat dit onder de aandacht wordt gebracht.

Het zou kunnen helpen viruscanners te verbeteren.
Maar of dit echt wat zal uitmaken is echt de vraag.

Leuke uitdrukking. Maar ik neem aan dat je dan niet weet dat
de verworvenheden die we tegenwoordig hebben uit diezelfde
Middeleeuwen stammen...

DUS moeten we ons niet met strafbare zaken bezig houden. Struikrovers
mogen ook niet meer hun gang gaan. Toch?

Ik vindt dit een prima idee, echter de resultaten moeten wel gedeeld worden.

Als je een goed product maakt hoef je als producent toch niet bang te zijn voor
deze contest.

het wordt weer een heel ander verhaal als de gebruikte methodes bekend
gemaakt worden aan het grote publiek want daar zit echt niemand op te
wachten, ik verheug me al op de uitslag.

Ik zet mijn centen in op Eset, kaspersky en G-Data als diegene die het "beste"
uit de strijd komen, maar mijn verwachting is dat ze allemaal snel zullen
sneuvelen.

Nee, er wordt gezocht naar bepaalde byte-reeksen (al dan niet onderbroken), zeg maar patronen. False positives komen daardoor regelmatig voor.

De hash van een exe file wijzigen is trouwens doodeenvoudig. Behalve dat er bytes zijn in de file die je straffeloos kunt wijzigen, kun je het bestand ook langer maken. Doe maar eens het volgende:

copy /b c:windowsnotepad.exe + c:windowsnotepad.exe notepad2.exe
notepad2

Die werkt gewoon (maar is 2x zo lang geworden, en heeft natuurlijk een andere hash).

Als dat hetgene is dat nodig is om het structureel valen van
het virusscanners eindelijk eens goed onder de aandacht te
krijgen, zo de noodzaak voor een ECHTE oplossing duidelijk
te maken, en dus een markt te creeren voor echte
oplossingen, dan zou ik zeggen waarom niet?
De enige echte oplossing moeten we zoeken in het veilig
kunnen DRAAIEN van alle software inclusief malware, niet in
het achterhaalde concept van het proberen te bepalen of een
programma goede bedoelingen heeft.


Om dit concept als metafoor te nemen, de huidige virus
scanners gebruiken veelal perimiter security, vergelijkbaar
met de metalen harnassen uit de middel eeuwen. De dreiging
past echter niet meer op de verdediging, net zoals harnassen
geen verdediging hebben geboden tegen Y-Pestis, maar de
leveranciers proberen ons nog steeds ijzeren harnassen te
verkopen met de belofte dat de nieuwste modellen toch echt
tegen Y-Pestis zullen beschermen.

Ach...
Je kan ook een OS gebruiken dat nog helemaal geen last heeft
van al dat Virus en andere gedoe, en voorlopig ook niet gaat
krijgen..
Er zijn toch genoeg alternatieven die ook sexy icoontjes
gebruiken!?

Moet je wel 't de wilskracht hebben om de foto van Billy G.
van je nachtkastje te halen en uit de lemming rat_race te
stappen.

Groetjes
*Anna.

Dan moeten die uitzuigers van de AV bedrijven eens
fatsoenlijke technieken ontwikkelen ipv te azen op het geld
van de betalende subscribers. Want dat gaat zo lekker met
signatures he?

Nee, dat zou veel te veel tijd kosten.

Ik vermoed dat de meeste virusscanners zullen beginnen met het bepalen van het bestandstype (executable, MSWord .doc, pdf, jpeg etc.) op basis van kenmerken in het bestand (niet afgaand op de extensie dus).

Bij executables zou het kunnen dat bepaald wordt of er sprake is van compressie (zoals upx, aspack etc.) maar bij recente malware is vaak sprake van gemodificeerde compressiealgoritmes waarbij de virusscanner deze niet uit kan pakken, d.w.z. zonder een deel van de malware in een sandbox-omgeving uit te voeren. Maar dat kost tijd en bij nieuwe malware is de kans op succes niet groot.

Bij executables zal het in de praktijk neerkomen op het zoeken naar reeksen bytes op bepaalde offsets in het bestand. Wat de malwaremakers doen is die bytes variëeren, bijv. door te spelen met de volgorde van instructies of door NOP instructies tussen te voegen (alhoewel ik vermoed dat de meeste scanners daar niet meer in zullen trappen). De wedstrijd van [url=http://www.racetozero.net/]'Race to Zero'[/url] zal, vermoed ik, aantonen hoe eenvoudig dit is (zie de plaatjes op die pagina om te laten zien wat ik bedoel met wijzigen van bytes). Zie ook [url=http://www.theregister.co.uk/2008/03/03/underground_malware_testing/]deze page[/url].

Ook bij 'leesbare' executables blijkt detectie erg lastig, vooral omdat het moeilijk vast te stellen is of het malware of legitieme code betreft, zie bijv. [url=http://isc.sans.org/diary.html?storyid=4234]dit artikel[/url].Ja, dat gebeurt (in een rap tempo), en dat is precies waarom pattern-based malware-detectie ten dode is opgeschreven. De virusdefinitie files (met patronen) worden steeds groter met als gevolg dat virusscanners meer geheugen in beslag nemen, het scannen van bestanden langer duurt, en de kans op false positives toeneemt, wat ook nog eens verergerd wordt door het toenemend aantal bestanden op een doorsnee PC (zie bijv. [url=http://www.theregister.co.uk/2007/08/03/64bitvista_av_tests/]dit artikel:[/url] 6 van de 20 Vista-64 scanners misten de VB100 certificatie vanwege false positives).

Ik heb niet eens een virus scanner, en mijn enige firewall
is m'n goed geconfigureerde router :)

Zijn er, vandaag de dag, al methodes voor om dit goed te
doen, onder Windows?

Ik weet dat je met bijvoorbeeld SandboxIE een eind kunt
komen. En de rechten structuur op Linux (met verschillende
groepen die een gedeelte kunnen), zou ook wel iets helpen.
Op Linux zijn SELinux en AppArmor dan wel goede pakketten om
de software te sandboxen, omdat dit met een whitelist policy
lijst gaat en dit kan met elk pakket. Maar voor Windows is
er. volgens mij, nog helemaal niks wat SELinux kan evenaren.

"Kunnen ze de politie er niet op af sturen? Het maken van
malware is immers strafbaar..."

Jij hebt liever dat men dit in een achterkamertje doet, zonder publiciteit ?
Zodat er wel dat soort virussen komen, maar er geen informatie omtrent de
manier waarop wordt vrijgegeven ?

Mij lijkt dergelijke security-by-obscurity niet erg handig, en het laatste wat je
moet doen is de politie erop afsturen. Wel zouden antivirus bedrijven
verstandig zijn wanneer ze wat researchers sturen.

PS: Zijn er hier ook mensen die vinden dat de onderzoekers die lekken
aantonen in de OV chipkaart of in het nieuwe Paspoort door de politie
opgepakt moeten worden ?

Het strafbaar stellen van malware is een leuke - definieer malware maar
eens.