Als de gebruiker met beperkte rechten surft (dat is steeds gebruikelijker), zal de meeste recente malware het gebruikersprofiel van de gebruiker infecteren, en niet het hele computersysteem. Eventuele andere gebruikers (waaronder een admin) hebben hier dan geen last van.

Precies zoals velen al jaren voorspellen dat zou gaan gebeuren. Ook niet prettig, maar wel eenvoudiger te detecteren en te verwijderen.

Geavanceerde malware kan vervolgens soms wel, middels onbekende of ongepatchte privilege escalation attacks, het hele systeem "infecteren". Vaak wordt dan een rootkit geïnstalleerd.

Volgens mij is het niets nieuws dat virusscanners exploits niet of nauwelijks detecteren, net iets anders encrypten/encoderen en virusscanners herkennen de aanval ook niet meer. Kijk maar naar Java exploits (cve-2012-0507 / cve-2012-1723) die niet/nauwelijks herkend worden met alle gevolgen van dien.

zo zo een test waaruit mcaffee goed uti de bus komt, die zullen ze daar op kantoor inlijsten

Van de gratis virusscanners is Avast de enige die hier 100% scoort.AVG,Avira en Microsoft Security Essentials laten het hier geweldig afweten.

We hebben een lange discussie achter de rug met NSS Labs mbt de uitkomst van deze test.

NSS Labs hebben bij hun test de standaard instellingen gebruikt in hun consumenten test. Dit veroorzaakt in bovenstaande test in dit geval een probleem aangezien in NOD32 HTTPS scanning stadaard uitstaat ivm privacy overwegingen. In de discussie met NSS Labs hebben we ook gesteld dat als een beveiligingsproduct SSL communicatie onderschept, de browser ander gedrag vertoond tov de normale stanaard. Oa is er geen groene balk die een "safe connection" aankondigd, het certificaat is uitgegeven door een onbekende CA (ESET Root Ssl CA in ons geval) wat weer voor verwarring zorgt bij de eindgebruiker (mogelijk MitM SSL aanval). Door oa banken wordt er continu op gewezen om te controleren of "het slotje" aanwezig is en om te kijken of het certifcaat van de bank is.

Er zijn genoeg redenen om de discussie aan te gaan of HTTPS scanning standaard aan of uit moet staan. Natuurlijk is er geen twijfel dat meer detectie een betere beveiliging betekent. Maar als NSS Labs de kwaliteit van HTTPS scanning wil testen, kunnen ze beter de funktionaliteit mbt HTTPS scanning aan zetten.

Een ander probleem is NSS Labs keuze van het (niet zo) prevelerende gemiddelde gebruiker scenario. Op dit moment zien we geen HTTPS exploits in het wild. Dit kan natuurlijk veranderen en dan zullen de beveiligingsbedrijven daarop reageren, oa door de funktionaliteit standaard aan te zetten en door hun gebruikers over de gevolgen in te lichten.

Ook is het zo (en niet direkt gerelateerd aan onze detectie resulaten) dat de keuze voor de testomgeving niet ideaal is.
Ze hebben CVE-2012-1875 getest op Windows 7 SP1 32-bit target met IE8 en CVE-2012-1889 op Windows XP SP3 met IE6. Later in de discussie heeft NSS Labs ons verteld dat volgens http://www.ie6countdown.com slechts 6% van de gebruikers deze "obsolete" browser maar gebruikt. NSS heeft ons inmiddels toegezegd om hier serieus naar te kijken en dit mee te nemen in de keuze van de browser voor hun volgende test.

Righard Zwienenberg
Senior Research Fellow
ESET

Zie mijn betoog hierboven. Of ze het laten af weten of niet ligt aan de standaard instellingen. Dat kan gelden voor alle produkten waarbij staat "HTTPS Problem" waarbij de exploit onder HTTP wel gewoon wordt gedetecteerd.

Conclusie van het geheel bestaat dus uit 2 open deuren:

1) De resultaten van een test hangen af van hoe je test, en zeggen opgesomd in een lijstje maar bar weinig.

2) Geen IE gebruiken en zorgen dat je de meest geupdate Win7 gebruikt.