Nieuws
image

"Windows 7 biedt weinig voor ervaren XP gebruiker"

dinsdag 6 oktober 2009, 12:04 door Redactie, 24 reacties

Wie Windows XP met verminderde rechten gebruikt, heeft op security gebied weinig redenen om op Windows 7 over te stappen, zo stelt Randy Abrams van anti-virusbedrijf ESET, in Nederland bekend vanwege NOD32. Hij ziet in Windows 7 wel de langverwachte opvolger van XP. "Maar hoe zit het dan met Windows Vista? Om eerlijk te zijn, Vista is voor de Windows familie wat DOS 4.0 voor de DOS familie was. DOS 4.0 was een buitenbeentje, veel groter dan DOS 3.3 en niet zo aardig als DOS 5.0."

Volgens Abrams was het idee achter Vista oud, maar goed. "Laat gebruikers met verminderde rechten draaien en je geeft het besturingssysteem veel meer bescherming." Toch is het niet helemaal perfect, aangezien UNIX dit model al jaren gebruikt en er nog steeds lekken worden ontdekt. De Morris worm liet in 1988 zelfs zien dat UNIX nog steeds kwetsbaar voor wormen is. Het moduul is robuuster dan DOS en Windows is in principe op DOS gebouwd. Windows NT, 2000 en XP brachten het UNIX-model wel dichter naar het Windows platform, maar accounts met verminderde rechten worden nog altijd weinig gebruikt. "Met het Vista model werd dit opgedrongen, maar met zoveel vervelende dialoogvensters, dat veel mensen de beveiligingsmaatregel uitschakelden."

Virusscanner
Abrams merkt op dat Windows 7 het model verbetert, maar dat betekent niet dat beveiligingssoftware nu overbodig is geworden. "Geloof me, Microsoft maakt de eigen virusscanner niet voor Windows 7 beschikbaar als ze je konden vertellen dat je geen anti-virus op Windows 7 nodig hebt." Volgens de directeur Technical Education draait het allemaal om risk management. "Als je Windows XP niet als administrator gebruikt, dan ben je waarschijnlijk kundig genoeg om niet veel van de beveiliging van Windows 7 te profiteren, maar de meeste XP gebruikers draaien als administrator. Het overstappen naar een besturingssysteem dat je als gebruiker gebruikt, in plaats van administrator, is een slimme zet en onderdeel van een gelaagde beveiligingsaanpak."

Gebruikers moeten echter niet verwachten dat technologie hen kan beschermen. "Een besturingssysteem is ontworpen om programma's te draaien en virussen en Trojaanse paarden zijn in werkelijkheid alleen programma's." Windows 7 in combinatie met een goede virusscanner is voor de meeste gebruikers zeker een verbetering ten opzichte van XP. "Maar het meer weten over beveiliging is de beste verdediging, ongeacht welk besturingssysteem je gebruikt."

Reacties (24)
06-10-2009, 12:47 door Anoniem
Kan iemand mij dat eens uitleggen waarom je beter niet als Administrator ingelogt kunt zijn? Ook als je de enige gebruiker bent?

Ik begrijp het namelijk niet helemaal.
06-10-2009, 13:26 door Anoniem
Bedankt Captain Obvious, wederom red je de dag.
06-10-2009, 13:43 door SirDice
Door Anoniem: Kan iemand mij dat eens uitleggen waarom je beter niet als Administrator ingelogt kunt zijn? Ook als je de enige gebruiker bent?

Ik begrijp het namelijk niet helemaal.
Alle software die jij draait draait met dezelfde rechten. Alles wat jij kunt kan die software dan ook. Dat geldt zeker voor malware die dankbaar gebruik maakt van deze rechten om bijvoorbeeld keyloggers of rootkits te installeren. Een 'gewone' gebruiker (dus zonder admin rechten) kan dat niet en eventuele software (malware) die je draait dus ook niet.
06-10-2009, 13:46 door Anoniem
Inloged als administator kunnen applicaties makkelijker gestart en in je systeem worden geinstalleerd (denk hieraan ook aan worms of andere soorten virussen)
Zodra je staat inglogd als user (dus zonder administrator rechten) zouden deze virussen minder snel vatbaar zijn op jou pc. Maar volgens mij valt dat wel mee hoor, je kan beter gewoon opletten met wat je op je pc doet, dan komt het ook wel goed, en als het dan nog steeds gebeurd kan je er nix aan doen :p
06-10-2009, 13:51 door Bitwiper
Door SirDice:
Door Anoniem: Kan iemand mij dat eens uitleggen waarom je beter niet als Administrator ingelogt kunt zijn? Ook als je de enige gebruiker bent?

Ik begrijp het namelijk niet helemaal.
Alle software die jij draait draait met dezelfde rechten. Alles wat jij kunt kan die software dan ook. Dat geldt zeker voor malware die dankbaar gebruik maakt van deze rechten om bijvoorbeeld keyloggers of rootkits te installeren. Een 'gewone' gebruiker (dus zonder admin rechten) kan dat niet en eventuele software (malware) die je draait dus ook niet.
Een gewone Windows (XP bijv.) gebruiker kan wel (opzettelijk of ongemerkt) een keylogger installeren. Kernel-rootkits zijn niet mogelijk, maar middels DLL-injection kunnen, als ik me niet vergis, gewone gebruikers wel bestanden onzichtbaar maken, processen verstoppen etc. Feit is wel dat er nauwelijks malware is die dit laatste doet.

@anoniem: zie mijn bijdragen in http://www.security.nl/artikel/31037/1/Minder_rechten_maakt_zelfs_Adobe_Reader_veilig.html voor uitleg waarom het toch zinvol is om als non-admin te werken, ook als je de enige gebruiker bent van een PC.
06-10-2009, 14:40 door Anoniem
@Iedereen-Bedankt voor de uitleg.
06-10-2009, 15:23 door Skizmo
Waarom gebruikt windows eigenlijk het linux-adminwachtwoord-timeout-principe niet ? Volgens mij werkt dat prima.
06-10-2009, 15:38 door Anoniem
Door Skizmo: Waarom gebruikt windows eigenlijk het linux-adminwachtwoord-timeout-principe niet ? Volgens mij werkt dat prima.
Dat zit er wel degelijk in, maar de meesten vinden dat maar een onzinnige bedoening.
06-10-2009, 16:00 door Anoniem
"Windows 7 biedt weinig voor ervaren XP gebruiker"

Voor de wat minder ervaren gebruiker is het volgens mij ook een ramp. Waarom gebruikt Microsoft in de nieuwe Windows, Office en IE versies allemaal van die 'innovatieve' menustructuren waar mensen nauwelijks wijs uit worden ? In vorige versies was het allemaal overzichtelijk, en nu moet je gaan zoeken hoe je bij allemaal menu opties komt doordat het veel minder overzichtelijk is.
06-10-2009, 16:50 door Didier Stevens
Door Bitwiper: middels DLL-injection kunnen, als ik me niet vergis, gewone gebruikers wel bestanden onzichtbaar maken, processen verstoppen etc.

Klopt. En niet alleen via DLL injection, maar ook andere injection technieken om de code van het process (draaiend programma) te patchen.

Voordeel is wel dat dergelijke infectie gemakkelijker te verwijderen is.
06-10-2009, 16:51 door SirDice
Door Anoniem: "In vorige versies was het allemaal overzichtelijk, en nu moet je gaan zoeken hoe je bij allemaal menu opties komt doordat het veel minder overzichtelijk is.
Dat zelfde commentaar had men volgens mij ook toen iedereen van W9x of W2000 naar XP overstapte. Nu is iedereen er inmiddels aan gewend.
06-10-2009, 17:18 door SirDice
Door Didier Stevens:
Door Bitwiper: middels DLL-injection kunnen, als ik me niet vergis, gewone gebruikers wel bestanden onzichtbaar maken, processen verstoppen etc.

Klopt. En niet alleen via DLL injection, maar ook andere injection technieken om de code van het process (draaiend programma) te patchen.
Nu kan ik me vergissen maar volgens mij heb je hiervoor toch minimaal SeDebugPrivilege nodig. En dat is toch echt iets wat een standaard gebruiker niet heeft.
06-10-2009, 18:45 door Bitwiper
Door SirDice:
Door Didier Stevens: Klopt. En niet alleen via DLL injection, maar ook andere injection technieken om de code van het process (draaiend programma) te patchen.
Nu kan ik me vergissen maar volgens mij heb je hiervoor toch minimaal SeDebugPrivilege nodig. En dat is toch echt iets wat een standaard gebruiker niet heeft.
SeDebugPrivilege is een handige vrijbrief (daarmee kun je elk proces debuggen, waaronder system processen), maar ook zonder (default) kan een unprivileged user (lees: de code die hij/zij bewust of onbewust draait) heel veel. Zie bijv. http://jon.oberheide.org/damburst/.
06-10-2009, 19:28 door Thasaidon
Door Didier Stevens:
Door Bitwiper: middels DLL-injection kunnen, als ik me niet vergis, gewone gebruikers wel bestanden onzichtbaar maken, processen verstoppen etc.

Klopt. En niet alleen via DLL injection, maar ook andere injection technieken om de code van het process (draaiend programma) te patchen.

Voordeel is wel dat dergelijke infectie gemakkelijker te verwijderen is.
Dan klinkt het "linux-adminwachtwoord-timeout-principe" helemaal zo gek nog niet ;-)

(en NEE! ik heb niets tegen Windows)
06-10-2009, 19:50 door Didier Stevens
Door SirDice:
Nu kan ik me vergissen maar volgens mij heb je hiervoor toch minimaal SeDebugPrivilege nodig. En dat is toch echt iets wat een standaard gebruiker niet heeft.

Je hebt het SeDebugPrivilege nodig om processen te debuggen (dit omvat o.a. code injection) die draaien onder een *ander account* dan het account dat de debugging doet.
Voor je eigen processen heb je dit privilege niet nodig. Als process A wil prutsen met process B, dan kan dit zonder SeDebugPrivilege mits de owner van beide processen dezelfde account is.

Local admin heeft per default het SeDebugPrivilege, Users niet.
07-10-2009, 10:32 door SirDice
SeDebugPrivilege is een handige vrijbrief (daarmee kun je elk proces debuggen, waaronder system processen), maar ook zonder (default) kan een unprivileged user (lees: de code die hij/zij bewust of onbewust draait) heel veel. Zie bijv. http://jon.oberheide.org/damburst/.
Since Green Dam uses userspace hooking within the address space of a user-owned process, we can inject our own code into a running process as an unprivileged user, remove Green Dam's hooks, and restore the process to its original non-censored state.
M.a.w. de code van Green Dam is al niet helemaal lekker. Bij dergelijke software moet dat toch niet kunnen lijkt me. Nu ben ik zeker geen Windows API guru maar volgens mij is het toch ook niet al te moeilijk om te voorkomen dat dit mogelijk is.
07-10-2009, 10:53 door SirDice
Door Thasaidon:
Door Didier Stevens:
Door Bitwiper: middels DLL-injection kunnen, als ik me niet vergis, gewone gebruikers wel bestanden onzichtbaar maken, processen verstoppen etc.

Klopt. En niet alleen via DLL injection, maar ook andere injection technieken om de code van het process (draaiend programma) te patchen.

Voordeel is wel dat dergelijke infectie gemakkelijker te verwijderen is.
Dan klinkt het "linux-adminwachtwoord-timeout-principe" helemaal zo gek nog niet ;-)
Iets soort gelijks als DLL injection is ook onder *nix mogelijk met LD_PRELOAD.
07-10-2009, 19:27 door Bitwiper
Door SirDice:
Since Green Dam uses userspace hooking within the address space of a user-owned process, we can inject our own code into a running process as an unprivileged user, remove Green Dam's hooks, and restore the process to its original non-censored state.
M.a.w. de code van Green Dam is al niet helemaal lekker. Bij dergelijke software moet dat toch niet kunnen lijkt me. Nu ben ik zeker geen Windows API guru maar volgens mij is het toch ook niet al te moeilijk om te voorkomen dat dit mogelijk is.
Eens dat dit geen slimme aanpak lijkt. Het zou kunnen dat de makers van de Green Dam software van userspace API's gebruik maken om compatibiliteitsproblemen met verschillende Windows versies en beveiligingssoftware te voorkomen.

Damburst was natuurlijk gewoon een (recent) voorbeeld van een app die van code injection gebruik maakt. Eerder deed Ilfak Guilfanov dat al met z'n unofficial WMF-bug-patch (zie http://www.hexblog.com/2005/12/wmf_vuln.html):
Technical details: this is a DLL which gets injected to all processes loading user32.dll. It patches the Escape() function in gdi32.dll. The result of the patch is that the SETABORT escape sequence is not accepted anymore.
Zie ook de "Hotpatching and the Rise of Third-Party Patches" presentatie van Alexander Sotirov op Blackhat '06 (http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Sotirov.pdf).
08-10-2009, 09:58 door Anoniem
"De Morris worm liet in 1988 zelfs zien dat UNIX nog steeds kwetsbaar voor wormen is. "

Dit moet een spelfout zijn. 1988? We leven in 2009.

Indien u linux gebruikt voor u marketing promo, gebruik dan in ieder geval recente voorbeelden.
1988...
08-10-2009, 13:53 door SirDice
Door Anoniem: Indien u linux gebruikt voor u marketing promo, gebruik dan in ieder geval recente voorbeelden.
1988...
In 1988 bestond linux nog niet. Die morris worm maakte gebruik van bugs in 4BSD en Sun-3.

Evengoed, ook de hedendaagse Linux, *BSDs en andere unici zijn vatbaar voor wormen.
08-10-2009, 13:54 door SirDice
Door Bitwiper: Zie ook de "Hotpatching and the Rise of Third-Party Patches" presentatie van Alexander Sotirov op Blackhat '06 (http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Sotirov.pdf).
Als ik even wat tijd over heb ga ik dat eens op m'n gemak zitten lezen.
08-10-2009, 18:16 door Anoniem
SirDice , ook voor jou lezen is moeilijk. gaat over Unix, is ontstaan in 1968 of rond die tijd.
Jij refeert aan Linux. begin jaren 90. dacht 91 /92 dat Linus het uitbracht en dan nog is het deels gebaseerd op Minix.

MINIX is a Unix-like computer operating system based on a microkernel architecture. Andrew S. Tanenbaum wrote the operating system to be used for educational purposes; MINIX also inspired the creation of the Linux kernel. Its name is a portmanteau of the words minimal and Unix.

Bron: http://en.wikipedia.org/wiki/MINIX

Geeft niet hoor.

Groet Hot Burmees.

Door SirDice:
Door Anoniem: Indien u linux gebruikt voor u marketing promo, gebruik dan in ieder geval recente voorbeelden.
1988...
In 1988 bestond linux nog niet. Die morris worm maakte gebruik van bugs in 4BSD en Sun-3.

Evengoed, ook de hedendaagse Linux, *BSDs en andere unici zijn vatbaar voor wormen.
16-11-2009, 12:30 door Anoniem
ik heb windows 7 1week op mijn pc gehad daarna direct er af gepleurt weg met die troep even wachten want er werken niet zo veel programa,s met windows 7
01-08-2010, 13:23 door Anoniem
Door Anoniem: Kan iemand mij dat eens uitleggen waarom je beter niet als Administrator ingelogt kunt zijn? Ook als je de enige gebruiker bent?

Ik begrijp het namelijk niet helemaal.

Omdat je als Administrator alle rechten hebt, en zo heeft malware vrij spel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search