Gebruikers virusscanner zijn veredeld testvee
2007 zag niet alleen een verdubbeling van de hoeveelheid malware, ook de traditionele bescherming tegen dit soort ongenode gasten is niet langer zonder risico. Al jaren verdienen anti-virusleveranciers goed geld met het beruchte "signature" model, waarbij er na het verschijnen van een virus of worm een update wordt uitgebracht.
Doordat er zoveel malware verschijnt is het voor virusonderzoekers niet meer te doen om alle exemplaren te onderzoeken, dus heeft men dit proces grotendeels geautomatiseerd, met zeer vervelende gevolgen. Niet alleen de hoeveelheid malware nam toe, ook het aantal false positives. Zo gaven NOD32, Symantec, Kaspersky en nog veel andere allemaal vals alarm, waarbij in sommige gevallen de consument zijn of haar PC opnieuw moest installeren. Aan de ene kant is het niet zinnig om tien uur lang een update te testen, omdat tegen die tijd de malware al weer tien varianten verder is. Het schiet ook niet op als je bij elke signature update maar moet duimen of het goed gaat.
Hierdoor zijn updates voor virusscanners inmiddels net zo gevaarlijk als de malware die ze proberen te stoppen. Er hoeft maar één foute tussen te zitten om je systeem te slopen. En dat is iets wat anti-virusleveranciers zich wel mogen aanrekenen, want de consument is geen onbetaalde tester. Larry Seltzer verwoordt de stelling dan ook van deze week: "Ik denk dat ze de Netscape/Google filosofie hebben: Testen? Daar hebben we onze klanten voor."
techniek ?
over het algemeen vet moet betalen. Gelukkig met mijn antivirus (betaald)
nog geen ellende gehad (klop klop).
ik zou met md5 checksums gaan werken
of sha1 checksums
v
bytes add.En md5 veranderd en de virus scan hem dus niet vind.Dus md5
checksums zijn in mijn ogen slechtste wat je zou kunnen gebruiken alleen
is het wel handig ivm het signature model.
scanner te gebruiken. Als er 1 van 3 zegt dat iets besmet
is, is de kans kleiner dat dat echt zo is en dat scheelt
weer nog meer down-time.
En misschien moet je een aantal oude machines actief houden,
die niet updaten. Dan kan je meer oude virussen detecteren
die niet meer in de huidige lijsten voorkomen. En die moet
je dan wel weer laten scannen door scanners die de nieuwste
dreigingen herkennen.
En je moet minstens een scanner hebben met goede heuristiek.
verschil is dat google, programma's gratis weggeeft en je voor antivirus
over het algemeen vet moet betalen. Gelukkig met mijn antivirus (betaald)
nog geen ellende gehad (klop klop).
google, geeft, programma's, weg, maar, zij, hoeven, niet, een, groot, team,
researchers, te, betalen, voor, updates.
Veel mensen vergeten voor het gemak dat een security programma
updates nodig heeft en dat daar de kosten in gaan zitten. Die updates heb
je ook nodig als je niet van individuele signatures gebruik maakt.
Wat betreft het testen: feit is dat je kwalitatief goede researchers nodig
hebt om een goed product te maken en dat uitgebreid testen iets voor de
zwakkeren is.
Als voor iedere update zou moeten worden getest op de wijze zoals dat
voor andere software gebeurt zouden gebruikers niet blij zijn, want dat kost
weken of maanden.
Neemt niet weg dat een hoeveelheid geautomatiseerde tests wel tot de
standaard procedure moeten behoren. Maar ook daarmee kunnen fouten
worden gemaakt. Mensen maken nu eenmaal fouten en met duizenden
versies is de kans daarop aanzienlijk groter dan bij andere software.
Ik gebruik naast mijn AV ook een anti-malware programma ( Prevx 2.0) dat
met een whitelist werkt en dat werkt perfect. Voor alle uitvoerbare
bestanden wordt eenmaal op een centrale server gecontroleerd of het een
legitiem bestand is en die info komt in een lokale database op mijn
systeem te staan. Zodat daarna alleen nieuwe of gewijzigde bestanden
gecontroleerd dienen te worden.
False positives zullen er waarschijnlijk altijd wel zijn met een AV. Sommige
merken staan er om bekend dat ze vaker een False Positive hebben dan
andere merken, maar 't overkomt elke AV wel eens.
Natuurlijk maakt het ook wel een verschil of het om een Windows
onderdeel gaat of een programma dat slechts in 1 land op beperkte
schaal wordt gebruikt.
Maar het is gewoon onmogelijk om virusdefinities te testen op ALLE
beschikbare software.
De stelling slaat eigenlijk nergens op, tenzij je wel een hele slechte AV
gebruikt.
Een whitelist is een goed idee.
Ik gebruik naast mijn AV ook een anti-malware programma ( Prevx 2.0) dat
met een whitelist werkt en dat werkt perfect. Voor alle uitvoerbare
bestanden wordt eenmaal op een centrale server gecontroleerd of het een
legitiem bestand is en die info komt in een lokale database op mijn
systeem te staan. Zodat daarna alleen nieuwe of gewijzigde bestanden
gecontroleerd dienen te worden.
False positives zullen er waarschijnlijk altijd wel zijn met een AV.
Sommige
merken staan er om bekend dat ze vaker een False Positive hebben dan
andere merken, maar 't overkomt elke AV wel eens.
Natuurlijk maakt het ook wel een verschil of het om een Windows
onderdeel gaat of een programma dat slechts in 1 land op beperkte
schaal wordt gebruikt.
Maar het is gewoon onmogelijk om virusdefinities te testen op ALLE
beschikbare software.
De stelling slaat eigenlijk nergens op, tenzij je wel een hele slechte AV
gebruikt.
Prevx is idd een aanrader voor iedereen, gebruik het zelf ook naar grote
tevredenheid.Wat de stelling betreft, is onzin
Handig voor een snelle detectie van varianten lijkt me dat.
Je kan het probleem misschien ondervangen door meer dan een
scanner te gebruiken. Als er 1 van 3 zegt dat iets besmet
is, is de kans kleiner dat dat echt zo is en dat scheelt
weer nog meer down-time.
En misschien moet je een aantal oude machines actief houden,
die niet updaten. Dan kan je meer oude virussen detecteren
die niet meer in de huidige lijsten voorkomen. En die moet
je dan wel weer laten scannen door scanners die de nieuwste
dreigingen herkennen.
En je moet minstens een scanner hebben met goede heuristiek.
ze elkaar in de weg zitten is vrij groot. Je zou een pakket als G-data kunnen
overwegen, deze heeft 2 engines. Je zou wel een 2e on demand scanner
kunnen gebruiken en deze je systeem elke dag kunnen laten doorzoeken.
Bitdefender Free v10 is daar goed voor te gebruiken.
I test my case.
Greetingz,
Jacco
panda gebruikt toch een signature model isw met die MD5 cloud ?
Handig voor een snelle detectie van varianten lijkt me dat.
als panda nu signature model gebruikt dan is dat vooruitgang.Maar MD5
heb je niks aan als het een kwestie van bytes adden is om de md5 te
changen.En in no time wordt dat ook wel bekend gemaakt aan de
scriptkiddy's.
zijn al die virusscanners tegenwoordig signaturebased(dan
kan je ze dus in principe wel weggooien?)?
we have at least to consider the possibility that we have a
small aquatic bird of the family anatidae on our hands....
;)
Ik snap niet wat je bedoelt.
Maar als een virusmaker zijn eigen virus nou in 1000 of
misschien wel > 10.000 varianten uit zet in het wild, dan
zijn dat 10.000 verschillende signatures voor hetzelfde virus.
En tegen de tijd dat de anti-virusmensen die signatures in
hun databases hebben verwerkt, dan heeft die virusschrijver
al minimaal 1 keer weer die handeling verricht en kan de
cyclus weer opnieuw beginnen toch?
Het begrip signature is je niet helemaal duidelijk. Een signature betekent
handtekening. Het zegt niets over de methode, het kan een volledige of
partiële checksum zijn of een reeks bytes of nog iets anders, zoals bytes
op strategische plaatsen in de executable of een vorm van een regular
expression.
Je kunt best met 1 signature 10.000 stuks malware detecteren, zelfs
zonder false positives.
benul hebben wat ze afspelen of downloaden zijn. En dan serieus denken
dat nuteloze security applicaties invloed hebben.
Zo zie je maar dat dat het paart van trojan zelf tijdloos is en een mens zonder hebzucht niet zonder kan....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.