Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

19-01-2014, 09:11 door [Account Verwijderd], 24 reacties
[Verwijderd]
Reacties (24)
19-01-2014, 09:41 door Anoniem
Eeuuhhh, systeem is meer dan decinia oud. Ga mee met de tijd en installeer een OS uit deze eeuw, kun je weer veilig en fris mee vooruit. Ik zou niet durven tips te geven zodat jij nog jaren mee kan gaan met een oud, onbebeiligd systeem. Zou ICT zelfmoord zijn.
19-01-2014, 11:36 door regenpijp
Door securecow: Geachte security.nl-lezers,
Dus mijn vraag, wat moet ik allemaal doen om nog een beetje veilig te zijn?

1. Stoppen met Windows XP.

Als je toch doorgaat met Windows XP:
2. Van het internet afhalen en geen usb devices er meer inpluggen.
3. Anders EMET installeren, Zoveel mogelijk sandboxen door bijv. Google Chrome gebruiken.
4. Stoppen met windows XP als in april 2015 ook verschillende partners stoppen met ondersteuning voor Windows XP.


Microsoft stopt niet voor niets met de ondersteuning van Windows XP. Het is een besturingssysteem van 12 jaar oud.
19-01-2014, 12:36 door [Account Verwijderd]
[Verwijderd]
19-01-2014, 14:19 door Anoniem
Installeer een linux distro. dan behoud je de snelheid en heb je up-to-date security
19-01-2014, 15:02 door nothing_is_secure - Bijgewerkt: 19-01-2014, 15:45
Gewoon lekker XP blijven gebruiken. Geen verdachte bestanden die je via email toegestuurd krijgt openen , niet zo dom zijn om gecrackte software via torrents te dl en te installeren. Dan is het enige risico dat je loopt een driveby download.

Hoe los je dat risico op ? simpel , gebruik FF met een goede en goed ingestelde add blocker , EMET (strak geconfigureerd) MalwareBytes Anti-Exploit (install and forget) Een goed security pakket , mijn voorkeur gaat uit naar Comodo vanwege de zeer strak te configureren HIPS (heet bij Comodo Defense+) en de kans op infectie is absoluut minimaal.
Ik spreek uit ervaring , ik heb hier zowel XP als win7 systemen die al jaren draaien , dagelijks op internet zitten en nog nooit een windows update hebben ontvangen , allemaal al jaren brandschoon. Het enige wat af en toe ge update word zijn FF en flashplayer , en op dit moment zijn die ook al maanden niet ge update.

Nou raadt ik je niet aan om dat na te doen , tenzij je net als ik er een uitdaging in ziet , maar anders is het wel verstandiger om FF , flashplayer enz gewoon te blijven updaten.

Punt blijft dat , terwijl ik met opzet het risico zoek (steevast elke website bezoeken die bezoekers met malware infecteerd) ik tot op de dag van vandaag 0,0 keer geinfecteerd ben , dus denk ik dat je mag stellen dat mijn beveiliging voldoende is :)
19-01-2014, 15:26 door [Account Verwijderd] - Bijgewerkt: 19-01-2014, 17:13
[Verwijderd]
19-01-2014, 15:35 door Anoniem
Door nothing_is_secure: Gewoon lekker XP blijven gebruiken. Geen verdachte bestanden die je via email toegestuurd krijgt openen , niet zo dom zijn om gecrackte software via torrents te dl en te installeren. Dan is het enige risico dat je loopt een driveby download.
...
Punt blijft dat , terwijl ik met opzet het risico zoek (steevast elke website bezoeken die bezoekers met malware infecteerd) ik tot op de dag van vandaag 0,0 keer geinfecteerd ben , dus denk ik dat je mag stellen dat mijn beveiliging voldoende is :)
Hoewel ik ook vind dat XP best te gebruiken blijft voor particulieren, vind ik je advies onverstandig geformuleerd, vooral omdat de vaardigheid van de TS omtrent XP-beveiliging niet uit zijn vraag blijkt.
Daarnaast zou ik op z'n minst een VM-achtige aanraden bij het browsen, Sandboxie is een mooie om eens mee te spelen.

Ook is het zaak om je router goed in stellen, dat risico is namelijk niet afgedekt met jouw methode.

Maar waar ik mij oprecht over verbaas, is dat je stelt dat je 0.0 infecties hebt gehad en dat jouw wijze van beveiligen dus voldoende is. Hoe bepaal jij of jij malware op je pc hebt???
19-01-2014, 19:52 door [Account Verwijderd]
[Verwijderd]
19-01-2014, 22:45 door Whoops
Door nothing_is_secure:Ik tot op de dag van vandaag 0,0 keer geinfecteerd ben
Dat denk je in ieder geval, zeker weten doe je nooit :)
19-01-2014, 23:32 door nothing_is_secure - Bijgewerkt: 19-01-2014, 23:49
Hoewel ik ook vind dat XP best te gebruiken blijft voor particulieren, vind ik je advies onverstandig geformuleerd, vooral omdat de vaardigheid van de TS omtrent XP-beveiliging niet uit zijn vraag blijkt.
Daarnaast zou ik op z'n minst een VM-achtige aanraden bij het browsen, Sandboxie is een mooie om eens mee te spelen.

Een VM-achtige ? Bedoel je een browser met ingebouwde sandbox zoals recente versies van IE en google chrome ?
Als dat is wat je bedoeld dan valt IE dus al metteen af want recente versies zijn niet beschikbaar voor XP en google chrome...... niet bepaald mijn favoriet , tenzij jij vind dat google niet al genoeg informatie over ons en ons internet gedrag verzameld. Informatie die tot zeer kort geleden ook volledig ter inzage kwam aan de NSA omdat google de verbindingen tussen hun servers niet encrypte.Informatie die nu nog steeds zeer gemakkelijk in gezien kan worden omdat de NSA elk bedrijf met een vestiging in de USA kan dwingen die informatie af te staan. Pesoonlijk ga ik dus liever voor FF , een bedrijf wat niet probeert alle informatie ter wereld te verzamelen met het idee "kennis is macht" (en als je geen idee hebt hoe ver google hierin gaat dan wil ik je dat best nog eens een keertje uitleggen)

Als je het puur over sandboxie en dergelijke hebt dan is dat volgens mij een tikkeltje overbodig .
punt 1 , Comodo bezit zelf al vele jaren een ingebouwde sandbox die gebruikt kan worden. (verbaas me dat je dat blijkbaar niet weet ?)
punt 2 , Een sandbox voor je browser heeft het nadeel dat alle gegevens verloren gaan na het afsluiten , gegevens zoals geschiedenis en favorieten en ik vind het persoonlijk toch wel handig als dat bewaart blijft.
Dan heb ik het nog niet eens over de downloads die je kwijt bent of de update van flash player die vrolijk door de sandbox geblokkeerd word


Ook is het zaak om je router goed in stellen, dat risico is namelijk niet afgedekt met jouw methode.

Ik dacht dat de discussie hier over het gebruik van windows XP ging ? wat heeft de router daar mee te maken ? of werkt een router ineens anders als er een windows XP machine achter hangt dan als er een nieuwer OS achter hangt ?
(mocht je echt van mening zijn dat XP de werking van die router verandert dan hoor ik graag een goede onderbouwing van je)

Maar waar ik mij oprecht over verbaas, is dat je stelt dat je 0.0 infecties hebt gehad en dat jouw wijze van beveiligen dus voldoende is. Hoe bepaal jij of jij malware op je pc hebt???

Ik wil je dat best vertellen hoor , ik wil het je zelfs laten zien , geef ik je gewoon ff remote access en dan mag je elke besmette website bezoeken die je kan vinden , je mag dan zelfs alle malware die je kan vinden er op gooien zodat ik je alles precies kan laten zien................maar dat gaat je dan wel geld kosten , alleen de zon gaat gratis op.

Bovendien als we het dan toch over dingen hebben waar we ons over verbazen dan wil ik toch even kwijt dat ik mij zeer verbaas over je scepsis. Heb je enig idee hoe bv Malwarebytes Anti-exploit werkt en dat iedereen het (gratis) kan gebruiken (het is zo als ik al aangaf install and forget) en dus maakt het kennis niveau van de TS geen bal uit .Bovendien zal je het in veruit de meeste gevallen niet eens nodig hebben omdat (zoals we zouden moeten weten) de meeste driveby downloads door gehackte advertentie servers veroorzaakt worden , en dat word dus al onmogelijk gemaakt door het gebruik van een add blocker.
Mocht er toch iets in staat zijn om zowel de add blocker als Malware Bytes Anti Exploit te omzeilen dan hebben we EMET nog , en volgens mij is er intussen toch wel bewezen dat dat best zeer goed werkt. En zelfs als ook EMET word omzeild dan hebben we nog een Anti-virus in ons Comodo pakket , mocht ook dat omzeild worden dan blijft er nog de strak ingestelde HIPS beveiliging...................hoe groot is dan de kans dat er iets is dat door al die verschillende lagen tegelijk heen komt ?
0,001% of zo ? lijkt mij goed genoeg !!


ps. hier even een snelle rekensom , ik denk dat we wel kunnen stellen dat 99% van de driveby downloads door advertenties komen , Antie-Exploit (was voorheen bekend als ExploitShield) is veel getest , tot nu toe heeft het alle geserveerde exploits voor de volle 100% gestopt (mats ik je en reken ik 99%), Het percentage voor EMET ligt ten minste op 90% (maar waarschijnlijk vele malen hoger) , anti virus vangt gemiddelt ook nog zo'n 90% minimaal , (lees de testen er maar op na) en dan nog mijn HIPS , ik ben er van overtuigd dat die ook minimaal de 90% zal halen maar ik zal je matsen en uit gaan van slechts 50% , dan krijgen we de volgende rekensom:

99% * 99% * 90% * 90% * 50% = 0,00005% kans dat daar iets door heen komt. (ik was weer veel te voorzichtig met mijn geschatte kans op infectie van 0,001%)

En het leukste is dat mijn beveiliging nog meer lagen bevat die ik voor het gemak hier nog niet eens genoemd heb. :)
19-01-2014, 23:38 door nothing_is_secure - Bijgewerkt: 20-01-2014, 01:16
Door Whoops:
Door nothing_is_secure:Ik tot op de dag van vandaag 0,0 keer geinfecteerd ben
Dat denk je in ieder geval, zeker weten doe je nooit :)

Laat ik je tegemoed komen , zolang de NSA het niet op mij gemunt heeft dan durf ik een 100% schoon garantie te geven , als de NSA het wel op mij gemunt heeft dan wil ik die garantie best wel intrekken :)


ps. , Hoe vaak heb jij je beveiliging goed getest ? hoevaak heb jij jezelf bewust met malware ge infecteerd om je skills met betrekking tot het detecteren en verwijderen te testen ? (en dan praat ik niet over standaard anti virus software , die ik voor de zekerheid af en toe ook nog gebruik, maar over tools die niet afhankelijk zijn van signature files)
Ik denk dat het best redelijk is om er van uit te gaan dat ik dat toch net iets vaker doe en er net iets meer ervaring mee heb.

Derhalve denk ik dat we intussen toch wel van zeker weten mogen spreken :)
20-01-2014, 12:22 door Anoniem
Door nothing_is_secure: Een VM-achtige ? Bedoel je een browser met ingebouwde sandbox zoals recente versies van IE en google chrome ?
Nee ik bedoel een VM(-achtige). Ik gebruik VMWare, maar Sandboxie voldoet IMHO voor particulieren. Zou je me tevens geen woorden in de mond willen leggen svp? ik heb IE / Chrome nooit genoemd.

NSA-gebeuren
Nee Comodo is lekker betrouwbaar wat dat betreft.

Pesoonlijk ga ik dus liever voor FF , een bedrijf wat niet probeert alle informatie ter wereld te verzamelen met het idee "kennis is macht"
FF heeft ook gewoon een verdienmodel, net zoals Comodo overigens. Ik zou voor de lol eens Wireshark gebruiken om te kijken hoe geweldig FF en Comodo wel niet zijn ;]

Als je het puur over sandboxie en dergelijke hebt dan is dat volgens mij een tikkeltje overbodig .
...
punt 2 , Een sandbox voor je browser heeft het nadeel dat alle gegevens verloren gaan na het afsluiten , gegevens zoals geschiedenis en favorieten en ik vind het persoonlijk toch wel handig als dat bewaart blijft.
Dan heb ik het nog niet eens over de downloads die je kwijt bent of de update van flash player die vrolijk door de sandbox geblokkeerd word
Dit is afhankelijk van de instellingen die je toepast, vandaar ook het woord "spelen."

router
Heeft niet direct met XP te maken inderdaad, maar is wel degelijk een vector waar je rekening mee dient te houden i.c.m. een "kwetsbaar" OS. Méér dan bij een ander OS inderdaad, daar de basisinstellingen van XP nogal wat actieve services bevatten die kwetsbaar zijn. Ook dat verhaal mis ik in je 100% garantie-advies.

Ik wil je dat best vertellen hoor , ik wil het je zelfs laten zien , geef ik je gewoon ff remote access en dan mag je elke besmette website bezoeken die je kan vinden , je mag dan zelfs alle malware die je kan vinden er op gooien zodat ik je alles precies kan laten zien................maar dat gaat je dan wel geld kosten , alleen de zon gaat gratis op.
Ik zou remote-acces volledig uitschakelen als ik jou was. MBAM en Comodo zijn géén 100% garantie op het vinden van een infectie en aangezien je verder geen melding maakt van je wijze van het detecteren van malware heb ik mijn twijfels.

Bovendien als we het dan toch over dingen hebben waar we ons over verbazen dan wil ik toch even kwijt dat ik mij zeer verbaas over je scepsis. Heb je enig idee hoe bv Malwarebytes Anti-exploit werkt en dat iedereen het (gratis) kan gebruiken (het is zo als ik al aangaf install and forget) en dus maakt het kennis niveau van de TS geen bal uit
Bij mijn weten is MBAM gratis als on-demand scanner, en is de actieve bescherming 30 dagen gratis waarna betaald moet worden. I.v.m. false positives e.d. is het toch wel handig om te weten wat het kennis-niveau van de TS is.

EMET
Ook al zoiets waarvan het handig is om te weten wat de TS al kent en kan, EMET is niet bepaald plug&play.

Anti-virus in Comodo
Ik zou Avira, Kaspersky oid aanbevelen, Comodo AV is niet meer dan matig en behoorlijk intensief qua CPU-gebruik.

hoe groot is dan de kans dat er iets is dat door al die verschillende lagen tegelijk heen komt ?
0,001% of zo ? lijkt mij goed genoeg !!
Als jij 100% aansprakelijkheid op je neemt in het geval dat het fout gaat geef ik je gelijk.

rekensom
Bij beveiliging moet je er van uit gaan dat iets fout gaat, wat daar de consequenties van zijn, hoe je die waarneemt en ondervangt en wat je daar vervolgens aan kan doen. Maurice de Hondt geeft ook vaak berekeningen...

En het leukste is dat mijn beveiliging nog meer lagen bevat die ik voor het gemak hier nog niet eens genoemd heb. :)
Vandaar dat ik je advies onvolledig noem! Wat je daar "leuk" aan vindt is me een raadsel...


Conclusie:
Afgezien van al je spelfouten; ik vind XP ook prima te gebruiken voor particulieren, indien de gebruiker weet waar hij/zij mee bezig is.
Juist die kennis is macht en dat gaat veel verder dan een paar tips. Ik bekijk veiligheid vanuit een professionele hoek, en dan werkt het net even wat anders allemaal. Mocht je verstand hebben van XP, lekker blijven gebruiken dan...!
Tevens zou ik je aan willen raden om bij het geven van advies rekening te houden met de TS, in plaats van er van uit te gaan dat de vraagsteller net zoveel "verstand" van ICT heeft als jij.

Moet je de vraag stellen of XP gebruiken verstandig is? <- Snel overstappen op een OS waar je je wél prettig bij voelt!
20-01-2014, 16:17 door Anoniem
"Gewoon lekker XP blijven gebruiken. Geen verdachte bestanden die je via email toegestuurd krijgt openen , niet zo dom zijn om gecrackte software via torrents te dl en te installeren. Dan is het enige risico dat je loopt een driveby download."

Je hebt nog nooit gehoord van wormen die zich via het network verspreiden ? Denk aan bijvoorbeeld Conficker ? Niet iedere malware is afhankelijk van handelingen van de gebruiker.
20-01-2014, 16:22 door Anoniem
"99% * 99% * 90% * 90% * 50% = 0,00005% kans dat daar iets door heen komt"

99% * 99% * 90% * 90% * 50% = 39.7%
20-01-2014, 17:51 door nothing_is_secure
Door Anoniem: "Gewoon lekker XP blijven gebruiken. Geen verdachte bestanden die je via email toegestuurd krijgt openen , niet zo dom zijn om gecrackte software via torrents te dl en te installeren. Dan is het enige risico dat je loopt een driveby download."

Je hebt nog nooit gehoord van wormen die zich via het network verspreiden ? Denk aan bijvoorbeeld Conficker ? Niet iedere malware is afhankelijk van handelingen van de gebruiker.

Hoeveel van die wormen heb jij de laaste tijd gezien ? Ik geen een , al jaren niet , dat maakt het risico daarop al meteen heel erg klein.
Bovendien raadt ik Comodo aan , en die bezit een prima firewall die dat soort rotzooi (mocht er onverhoopt een nieuwe uitkomen) kinderlijk eenvouding kan tegenhouden. Gewoon unsollicited incoming blocken dan is er niets aan de hand.
20-01-2014, 18:00 door nothing_is_secure
Door Anoniem: "99% * 99% * 90% * 90% * 50% = 0,00005% kans dat daar iets door heen komt"

99% * 99% * 90% * 90% * 50% = 39.7%

Nee hoor , ik ben bang dat je een gigantische rekenfout maakt.

Ik zal het even in jip en janneke taal proberen uit te leggen :

99% * 99% * 90% * 90% * 50% gaan we omzetten naar de kans op infectie , dan word het :

1% van 1% van 10% van 10% van 50%

1% van 1% = 0,01%
10% van 0,01% = 0,001%
10% van 0,001% = 0,0001%
50% van 0,0001% = 0,00005%

Is het je nu duidelijk ?
20-01-2014, 18:03 door nothing_is_secure
@ anoniem van vandaag 12:22

Leuk verhaal , lekker kort door de bocht en dan ruk je hier en daar ook nog wat uit zijn verband. Laat ik eens op een paar van de argumenten die me het meeste dwars zitten reageren.

router
Heeft niet direct met XP te maken inderdaad, maar is wel degelijk een vector waar je rekening mee dient te houden i.c.m. een "kwetsbaar" OS. Méér dan bij een ander OS inderdaad, daar de basisinstellingen van XP nogal wat actieve services bevatten die kwetsbaar zijn. Ook dat verhaal mis ik in je 100% garantie-advies.

Oke dan , je zit in je reactie trots te vertellen dat je veiligheid "vanuit de professionele hoek" bekijkt , dan mag ik er van uit gaan dat het niet nodig zou moeten zijn om je uit te moeten leggen hoe de gemiddelde modem/router werkt ? Ik neem aan dat je toch wel zou moeten weten hoe NAT (Netwerk Adress Translation) werkt ? Of Werk jij in je professionele omgeving met routers die geen NAT doen ? En voor zover mijn kennis reikt houdt dat toch echt in dat unsollicited incoming packets automatisch gedropped worden. Sterker nog , het ding heeft geen flauw benul waar het heen zou moeten sturen zonder dat er poortforwarding is ingesteld. En de kans dat iemand zomaar per ongelijk poorten als 135,137,138,139,445 en 5000 naar deze windows machine forward lijkt mij toch echt minimaal. Bovendien verwacht ik dat dat de meeste softwarematige firewalls toch wel standaard dergelijk verkeer by default blokken (niet dat dat nodig is hoor , de router geeft het toch niet door , maar puur voor de volledigheid :)

Kortom , je slaat de plank behoorlijk mis.


Bovendien als we het dan toch over dingen hebben waar we ons over verbazen dan wil ik toch even kwijt dat ik mij zeer verbaas over je scepsis. Heb je enig idee hoe bv Malwarebytes Anti-exploit werkt en dat iedereen het (gratis) kan gebruiken (het is zo als ik al aangaf install and forget) en dus maakt het kennis niveau van de TS geen bal uit
Bij mijn weten is MBAM gratis als on-demand scanner, en is de actieve bescherming 30 dagen gratis waarna betaald moet worden. I.v.m. false positives e.d. is het toch wel handig om te weten wat het kennis-niveau van de TS is.

Dan mag je klagen over mijn spelvouten , ik vind je gebrek op het gebied van lezen toch wat onhandiger.
Ik heb het namelijk nergens over MBAM (MalwareBytes Anti Malware) , wel heb ik het over
MBAE (MalwareBytes Anti Exploit) . Je hele verhaal over MBAM heeft er dus niets mee te maken..

EMET
Ook al zoiets waarvan het handig is om te weten wat de TS al kent en kan, EMET is niet bepaald plug&play.

EMET is inderdaad niet "plug&play". Plug&play is een term die betrekking heeft op hardware , EMET is software.
Misschien dat je in de war bent met de term "Install & Forget" zoals ik die gebruikte met betrekking tot MBAE.
En MBAE (in tegenstelling tot MBAM) behoeft geen enkele vorm van configuratie , run de installer en klaar is klara , niks meer aan doen. Install & Forget dus.(het kennis-niveau van de TS doet er dus geen bal toe zo als ik al eerder aan gaf)

hoe groot is dan de kans dat er iets is dat door al die verschillende lagen tegelijk heen komt ?
0,001% of zo ? lijkt mij goed genoeg !!
Als jij 100% aansprakelijkheid op je neemt in het geval dat het fout gaat geef ik je gelijk.

Leuk dat je de 0,001% uit die eerste schatting neemt i.p.v. de 0,00005% uit de latere berekening , maar voor het geval je het nog niet door had , dat is dus een kans van 1 op de 2 miljoen om toch besmet te raken. Lijkt mij dus toch best wel vrij veilig. Bovendien heb ik het nergens over een 100% garantie , zou ook wel dom zijn om dat te roepen , zeker voor iemand met mijn nick die luidt immers Nothing_is_secure DUH!!

rekensom
Maurice de Hondt geeft ook vaak berekeningen...

Dat zal best , maar wat heeft dat met mijn berekening te maken ? Als er iets mis is met die berekening dan hoor ik dat graag , maar wees dan duidelijk wat er volgens jou mis mee is.


En het leukste is dat mijn beveiliging nog meer lagen bevat die ik voor het gemak hier nog niet eens genoemd heb. :)
Vandaar dat ik je advies onvolledig noem! Wat je daar "leuk" aan vindt is me een raadsel...

[Sarcasm]
Onvolledig advies............poeh , dat is nog al wat. Dat had ik natuurlijk nooit mogen doen. :|
Ik had uiteraard 3 weken vakantie op moeten nemen om een volledig "rapport" te schrijven voor de TS , waarbij alles wat er maar met security te maken heeft had moeten melden. Misschien had ik het ook nog door jou moeten laten beoordelen alvorens ik het hier had gepost. En als het na 3 weken misschien net iets te groot was geworden om hier te posten dan had security.nl natuurlijk gewoon even de website aan moeten passen zodat mijn verhaal wel zou passen..............
Ja ....nee.......inderdaad , je hebt helemaal gelijk , 1000 maal excuus voor mijn onvolledige verhaal.
[/Sarcasm]

Laat ik het nog even samenvatten ,
je uit kritiek op MBAE , een programma wat je blijkbaar niet kent en dan dus verward met MBAM ,
je lijkt niet te (willen) snappen de router niks met de keuze voor XP of een nieuwer (windows) OS te maken heeft ,
je klaagt over mijn berekening zonder dat je ook maar probeert om aan te geven wat daar dan mis mee is ,
je vind mijn verhaal onvolledig terwijl duidelijk mag worden geacht dat het niet haalbaar is om hier een volledig "rapport" te schrijven over alle vormen van beveiliging ,
en aan de andere kant klaag je dat de tools die ik opnoem al te lastig voor de TS zouden zijn (waarom denk je dat ik de rest niet heb opgenoemd ? zou het misschien kunnen dat ik al zeker wist dat dat te veel van het goede zou zijn voor de het kennis-niveau van de TS ?),
je blijft proberen er achter te komen wat voor leuke tools ik allemaal in mijn (virtuele) toolkit heb , iets wat bij mij het gevoel geeft dat je zelf blijkbaar niet over die tools beschikt en er graag op deze manier achter wilt komen (als je mijn reactie op Whoops had gelezen , en dan vooral wat ik in de ps uitleg dan zou je denk ik toch wel enig idee moeten hebben over wat voor tools ik beschik en op vertrouw ?)
en last but not least
je vind een beveiliging met een berekende kans van 1 op de 2 miljoen om door een driveby download besmet te raken niet genoeg ? Dat gevoel krijg ik namelijk van jou verhaal.

Conclusie:
Ik denk dat ik in mijn eerste reactie een aantal goede adviezen geef.
Ik denk dat de voorzichtige berekening zoals ik die in mijn vorige post deed aantoont dat XP met de paar (in mijn ogen) simpele aanbevelingen zeker veilig genoeg geacht mag worden voor de doorsnee gebruiker , ondanks dat de support op XP binnenkort stopt.
Ik denk dat je kritiek niet terecht is , en bovendien in veel gevallen simpelweg onjuist.

Dat is wat ik er van denk :)


P.S.
Ik zal nog een tipje van de sluier oplichten voor je , de tools die ik gebruik die geven informatie als : SSDT Hooks , Shadow SSDT Hooks , running processes (incl.hidden processes) , Drivers (incl. hidden drivers) , Stealth Code , Code Hooks waaronder : IRJ (Inline Relative Jumps) Inline SEH , IAT (Import Adress Table) en EAT (Export Adress Table) Modifications , om er snel even een paar op te noemen. En dit is een gedeelte van wat het eerste beste programma (uit mijn verzameling) wat ik opende voor info geeft.
Ik weet niet hoever jou kennis gaat , maar het lijkt mij dat toch best wel behulpzaam zou kunnen zijn bij het opsporen van geavanceerde malware.
En ja inderdaad , dit is voornamelijk op detectie van rootkits gericht en in mindere mate op de hedendaagse golf van userland malware die zichzelf meestal in processen zoals Explorer.exe en svchost.exe injecteerd.
Dat is wat mij betreft ook helemaal niet erg want dergelijke crap is namelijk kinderlijk eenvoudig met een goede HIPS (Defence+ in Comodo) te detecteren en te stoppen. Zoals ik al tegen Whoops zei , ik spreek uit ervaring.
20-01-2014, 18:49 door [Account Verwijderd]
[Verwijderd]
22-01-2014, 15:02 door [Account Verwijderd] - Bijgewerkt: 22-01-2014, 15:03
[Verwijderd]
22-01-2014, 16:09 door Anoniem
Door nothing_is_secure:
Door Anoniem: "99% * 99% * 90% * 90% * 50% = 0,00005% kans dat daar iets door heen komt"

99% * 99% * 90% * 90% * 50% = 39.7%

Nee hoor , ik ben bang dat je een gigantische rekenfout maakt.

Ik zal het even in jip en janneke taal proberen uit te leggen :

99% * 99% * 90% * 90% * 50% gaan we omzetten naar de kans op infectie , dan word het :

1% van 1% van 10% van 10% van 50%

1% van 1% = 0,01%
10% van 0,01% = 0,001%
10% van 0,001% = 0,0001%
50% van 0,0001% = 0,00005%

Is het je nu duidelijk ?

Misschien toch wel wat mis met de berekening, niet de som op zich maar wel de manier.
Je kan enkel op deze manier kansen vermenigvuldigen als alle bedreigingen hetzelfde zijn, door alle middelen gedetecteerd worden, en bekend zijn.

Een virus of een drive-by of een gemanipuleerd mailtje, of een gebruiker, is niet dezelfde bedreiging en niet alle middelen zullen dit wel/niet detecteren. Door de resultaten (%) te vermenigvuldigen zeg je dat alle middelen dit wel doen. Ook een bekende bedreiging of een nieuwe onbekende bedreiging zal van invloed zijn (misschien wel in alle detectie middelen in de 1% of 10% niet afgedekte percentage dus dan 100% zeker besmetting)

Rest van het verhaal ben ik het wel mee eens overigens
22-01-2014, 20:01 door Anoniem
geen software downloaden van Cnet, Softonic en Brothersoft (hier zit vaak spyware en browser hijackers in)

http://antimalwaresoftware.nl/overige-beveiligingssoftware/malwarebytes-anti-exploit/
dit zou je kunnen gebruiken ter voorkoming van malware
23-01-2014, 08:04 door Pandit
Ik had het niveau op security.nl wat hoger ingeschat dan die van bijv. tweakers.net. Windows XP SP0 kwam in Oktober 2001 op de markt dus niet uit de vorige eeuw zoals de eerst anoniem beweerd. XP SP0 werkte goed op systemen met 64mb !!!, In de afgelopen 12 jaar heeft Microsoft veel aan XP verbouwd, afgezien van het uiterlijk is XP SP3 dat in 2008 uitkwam en waarvan de ondersteuning in April afloopt een ander OS. De systeemeisen zijn ook flink zwaarder (min 512mb) geworden. Waar de gemiddelde gebruiker straks last van krijgt is dat er geen OS (security) patches meer uitkomen. In de praktijk blijkt dat kwetsbaarheden in het OS niet vaak het probleem is bij security incidenten maar de software die erop draait, te denken aan Java, Flash etc. Het is ook zaak deze bij te houden.
Een ander manco aan XP is dat vrijwel iedereen als administrator werkt, Dit heeft Microsoft in Vista en hoger opgelost door UAC. Binnen XP is iets beters beschikbaar in de vorm van SURUN (http://kay-bruns.de/wp/software/surun/), dat meer lijkt op sudo onder Unix. Ik gebruik dit al jaren onder XP en hoger. Verder is een up2date malware scanner uiteraard een must. en last but nog least security bewustzijn, daar kan geen enkel OS je mee helpen. Met het bovenstaande blijft XP ook na April een veilig OS
23-01-2014, 10:00 door [Account Verwijderd]
[Verwijderd]
06-02-2014, 19:25 door nothing_is_secure
Door Anoniem:
Door nothing_is_secure:
Door Anoniem: "99% * 99% * 90% * 90% * 50% = 0,00005% kans dat daar iets door heen komt"

99% * 99% * 90% * 90% * 50% = 39.7%

Nee hoor , ik ben bang dat je een gigantische rekenfout maakt.

Ik zal het even in jip en janneke taal proberen uit te leggen :

99% * 99% * 90% * 90% * 50% gaan we omzetten naar de kans op infectie , dan word het :

1% van 1% van 10% van 10% van 50%

1% van 1% = 0,01%
10% van 0,01% = 0,001%
10% van 0,001% = 0,0001%
50% van 0,0001% = 0,00005%

Is het je nu duidelijk ?

Misschien toch wel wat mis met de berekening, niet de som op zich maar wel de manier.
Je kan enkel op deze manier kansen vermenigvuldigen als alle bedreigingen hetzelfde zijn, door alle middelen gedetecteerd worden, en bekend zijn.

Een virus of een drive-by of een gemanipuleerd mailtje, of een gebruiker, is niet dezelfde bedreiging en niet alle middelen zullen dit wel/niet detecteren. Door de resultaten (%) te vermenigvuldigen zeg je dat alle middelen dit wel doen. Ook een bekende bedreiging of een nieuwe onbekende bedreiging zal van invloed zijn (misschien wel in alle detectie middelen in de 1% of 10% niet afgedekte percentage dus dan 100% zeker besmetting)

Rest van het verhaal ben ik het wel mee eens overigens

Laat ik om te beginnen even zeggen dat ik weet dat mijn reactie "een tikkeltje aan de late kant is" .
Maar hetgeen je stelt klopt in mijn ogen toch echt niet.

"Je kan enkel op deze manier kansen vermenigvuldigen als alle bedreigingen hetzelfde zijn, door alle middelen gedetecteerd worden, en bekend zijn."

Nee , dat lijkt mij zeker niet. Ik kan makkelijk op deze manier rekenen omdat , en enkel omdat, de methoden die ik aanreik elkaar bijna naadloos aanvullen. Dat aanvullen is waar het hier om draait. Dat is de reden dat ik een percentage van een percentage van een percentage kan nemen. Als de methoden die ik aanreik elkaar niet zouden aanvullen maar het zelfde gat zouden dichten dan zou je inderdaad een punt hebben dat mijn manier van rekenen niet juist is , maar dat is dus niet zo.

Laat ik dat eens in een andere bewoording zetten :

In de eerste plaats moet een exploit de adblocker zien te omzeilen. Omdat we weten dat bijna alle exploits door/via advertenties worden geserveerd kunnen we dus makkelijk stellen dat er slechts een zeer klein percentage over blijft dat hier door deze eerste laag heen komt.

2e laag , EMET , alleen datgene dat door de adblocker laag heen is gekomen kan tot op EMET geraken. In mijn reken voorbeeld is dat 10% van 1% kunnen nemen als kans dat een exploit door beide lagen van de gelaagde beveiliging heenkomt.
en 10% van 1% = 0,1 %

3e laag , Malwarebytes Anti Exploit , dit stukje software gebruik een compleet andere methode van beveiliging dan de 2 eerder genoemde. De methode die Malwarebytes Anti Exploit gebruikt is het in de gaten houden van (nieuwe) executables die door/via de browser (plugins) gedownload worden en vervolgens uitgevoerd worden. Of beter gezegd waarbij geprobeerd word om die executable uit te voeren , omdat de software tot nu toe in praktijk testen 100% van de malware gestopt heeft voordat het uitgevoerd kon worden. Eigenlijk is de naam "anti exploit" dus een beetje misleidend omdat het niet zoals EMET dat kan de daadwerkelijke exploit (en shellcode) kan tegenhouden maar zich enkel en alleen heeft gefocussed op het tegengaan van het runnen van de door de exploit gedownloade malware.

Dat houdt in dat ook al zou een exploit door de 2 eerdere lagen van beveiliging heen hebben weten te komen dan nog is er geen enkele reden om aan te nemen dat het ook door deze unieke laag heen kan komen dus kunnen we wederom veilig stellen dat we de 0,1 % die door beide vorige lagen heen is gekomen kunnen verkleinen met de kans dat iets door MBAE heen komt. Omdat het niet echt zinvol is om met de tot nu toe behaalde score van 100% te rekenen heb ik gemakshalve de score verlaagt naar 99%. Dat laat een "gat" van 1% dat iets door MBAE heen komt en dit kunnen we dus verrekenen met de 0,1 % die we al hadden en komen derhalve uit op 1% van 0,1 % , en dat geeft een kans dat een exploit door alle 3 de lagen heen komt van 0,001%

4e laag , Anti Virus , wederom een geheel aparte laag die compleet anders te werk gaat dan de eerdere 3 lagen.
Ook al zou een exploit door de 3 eerdere lagen heen weten te komen dan nog geeft dat geen enkele indicatie dat het ook door deze laag heen weet te komen. Let wel , ik tel hier alleen de werking van signature based AV , ik tel hier niet de mogelijkheid dat een AV een kwaadaardig script herkent en stopt , ik tel ook niet eens de kans dat de verbinding met de server die de exploit serveert word tegengehouden omdat die in een database voorkomt , ik tel alleen de kans dat de geserveerde malware in de signatures voorkomt van de AV. De kans dat het hier doorheen komt is zo'n 10 %.
10% van 0,001 % = 0,0001 %.

5e laag , HIPS , de laatste laag die wederom compleet anders werkt dan de 4 vorige lagen van de gelayerde beveiliging.
Deze laag is in geen enkel opzicht te vergelijken met signature based AV , werkt totaal anders dan EMET , heeft geen enkele paralel met een adblocker of met MBAE. En dat houdt in dat een exploit die door de 4 eerdere lagen heen weet te komen nog steeds met iets speciaals moet komen om ook door deze laag heen te komen.
Omdat het iets lastiger is in mijn ogen om de doeltreffendheid van deze laag aan te tonen heb ik hier voor het gemak een doeltreffendheid van slechts 50% voor gesteld , terwijl ik er van overtuigd ben dat de doeltreffendheid veel en veel hoger ligt voor deze laag. Afijn , 50% van de tot nu toe gerekende 0,0001 % = dus de 0,00005 % zoals ik die eerder berekent had.

Het enige waar je misschien terecht kritiek op had kunnen hebben is waarschijnlijk de 99% bescherming zoals ik die berekende voor de ad blocker in de eerste laag. Misschien is het eerlijker om die voor de zekerheid iets naar beneden bij te stellen naar slechts 90%.
Aan de andere kant was mijn 90% bescherming die ik voor EMET rekende waarschijnlijk veel te laag , gezien het gigantische bedrag dat google heeft uitgeloofd voor een exploit die EMET weet te omzeilen . Vandaar dat we die beter bij kunnen stellen naar 99%.

Dit zorgt er voor dat de uitkomst van de berekening exact het zelfde blijft , ook wisselen de percentages van EMET en de adblocker van plaats.


"Een virus of een drive-by of een gemanipuleerd mailtje, of een gebruiker, is niet dezelfde bedreiging en niet alle middelen zullen dit wel/niet detecteren. Door de resultaten (%) te vermenigvuldigen zeg je dat alle middelen dit wel doen."

Nee hoor , dat zeg ik helemaal niet , ik heb in mijn oorspronkelijke post al gezegd dat dit alleen van toepassing is op driveby downloads , ook heb ik beargumenteerd waarom ik mij in het verhaal alleen op driveby downloads focus.


Kortom , de kritiek die je levert gaat echt niet op , mijn berekening blijft staan als een huis .


ps. ik ben blij dat je het voor de rest met mijn verhaal eens bent :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.