Google-engineer: Anti-virus grootste obstakel veilige browser
Anti-virussoftware is het grootste obstakel om een veilige browser te kunnen aanbieden en voegt daarnaast een gigantisch aanvalsoppervlak toe, zo stelt Justin Schuh, security-engineer bij Google en verantwoordelijk voor de beveiliging van Chrome.
Schuh kreeg op Twitter een woordenwisseling met anti-virusveteraan Vesselin Bontchev. Volgens Schuh, die zijn eigen mening ventileerde, zijn virusscanners het grootste obstakel voor een veilige browser. Zo kon een beveiligingsmaatregel om Chrome-gebruikers tegen Flash-aanvallen te beschermen vanwege anti-virussoftware een jaar lang niet worden toegevoegd, aldus de Google-engineer. Daarnaast voeren virusscanners man-in-the-middle-aanvallen op gebruikers uit wat voor allerlei fouten zorgt en belangrijke beveiligingsmaatregelen zoals hsts ondermijnt.
Ook zorgen virusscanners ervoor dat browsers crashen, gaat Schuh verder. "Ik denk dat het mogelijk is om een virusscanner te ontwikkelen die meer goed dan kwaad doet, maar geen van de anti-virusleveranciers probeert het", zo laat hij weten. Schuh stelt dat anti-virusleveranciers belangrijke best practices negeren en onveilige code aan de kernel van het besturingssysteem toevoegen. "Anti-virus is een etterende wond van beveiligingslekken", gaat de Google-engineer verder. Virusscanners doen volgens hem helemaal niets om het aanvalsoppervlak te verkleinen.
Tavis Ormandy, een collega van Schuh, heeft het afgelopen jaar in allerlei anti-viruspakketten zeer ernstige kwetsbaarheden ontdekt waardoor aanvallers alleen door het versturen van een e-mail computers konden overnemen. Verder was er geen enkele interactie vereist. "Beveiliging draait voornamelijk om het verkleinen van het aanvalsoppervlak en het handhaven van grenzen. Anti-virus voegt een enorm aanvalsoppervlak toe en overbrugt grenzen." De Google-engineer besluit zijn tirade tegen anti-virussoftware dat virusscanners niet slecht hoeven te zijn, maar alleen Microsoft met Windows Defender gemotiveerd is om een veilig product te ontwikkelen.
Men moet wel.
Dat billy g het doet is dan ook aardig al zouden velen liever zien dat het os zelf standaard stukken veiliger zou zijn (en oneindig veel minder gehannes zou opleveren bij installatie en uitvoer van de vele updates.)
Dat is en blijft de grote archilleshiel.
De stelling gaat dan ook om de *motivatie*, niet de *competentie*. De bewering is trouwens wel tikkie alu-hoedje...
Het simpele feiten
1 die software vraagt gewoon te veel rechten om van alles in de gaten te houden
2 ze blokkeren betere oplossingen omdat die Antivirus software in zijn oude vorm moet blijven draaien ... rechtszaken van uitsluiting.
Nu maakt Google een opmerking dat Microsoft de boel wel veilig wil zien te krijgen. Vervolgens tirades dat Microsoft de schuld heeft. Alu hoedje en bash verslaving.
Het zou verstandiger zijn om met security zaken bezig te zijn.
Als antivirussoftware achterhaald is dan is dat zo. Beter een goede beveiliging dan een vinkje op een checklijstje
Het simpele feiten
1 die software vraagt gewoon te veel rechten om van alles in de gaten te houden
2 ze blokkeren betere oplossingen omdat die Antivirus software in zijn oude vorm moet blijven draaien ... rechtszaken van uitsluiting.
Nu maakt Google een opmerking dat Microsoft de boel wel veilig wil zien te krijgen. Vervolgens tirades dat Microsoft de schuld heeft. Alu hoedje en bash verslaving.
Het zou verstandiger zijn om met security zaken bezig te zijn.
Als antivirussoftware achterhaald is dan is dat zo. Beter een goede beveiliging dan een vinkje op een checklijstje
1. Welke rechten gebruikt CHROME dan allemaal om alles in de gaten te houden?
2. Welke oplossingen blokkeert CHROME dan allemaal?
TL;DR: Het is een CHROME security engineer ;)
Nou warempel. Net laaste versie geïnstalleerd van dit product. Denk je dat er gebeurd toen ik de browserplugin laadde? Kernel panic!
Maar eerlijk is eerlijk: deze doet geen MiTM of andere vreemde dingen die bijvoorbeeld Avast wel doet. Ik denk dan ook dat dit vooral op de andere av's van toepassing is. BS is het zeker niet in mijn ervaring.
Het simpele feiten
1 die software vraagt gewoon te veel rechten om van alles in de gaten te houden
2 ze blokkeren betere oplossingen omdat die Antivirus software in zijn oude vorm moet blijven draaien ... rechtszaken van uitsluiting.
Nu maakt Google een opmerking dat Microsoft de boel wel veilig wil zien te krijgen. Vervolgens tirades dat Microsoft de schuld heeft. Alu hoedje en bash verslaving.
Het zou verstandiger zijn om met security zaken bezig te zijn.
Als antivirussoftware achterhaald is dan is dat zo. Beter een goede beveiliging dan een vinkje op een checklijstje
1. Welke rechten gebruikt CHROME dan allemaal om alles in de gaten te houden?
2. Welke oplossingen blokkeert CHROME dan allemaal?
TL;DR: Het is een CHROME security engineer ;)
Het is niet CHROME die bijzondere rechten heeft, maar de anti virus software. Veel anti virus software voegt valse certificaten toe om web verkeer te kunnen monitoren d.m.v. een man-in-the-middle attack. Zo voegt AV software dus een kwetsbaarheid toe aan je computer.
Dat ontgaat mij volledig, de maker een besturingssysteem kan het toch in bouwen?
Hoe betrouwbaar is een systeem, dat software van derden nodig heeft voor de veiligheid, omdat ze hun eigen software niet goed kunnen (of willen) beveiliging?
Absolute onzin, heb Defender al diverse malware zien tegenhouden die Karspersky AV op een secure web gateway en een antispam firewall met AV gewoon door lieten. Dus ja Defender werkt absoluut, maar zoals met elke AV komen er ook gewoon dingen doorheen.
Dat ontgaat mij volledig, de maker een besturingssysteem kan het toch in bouwen?
Hoe betrouwbaar is een systeem, dat software van derden nodig heeft voor de veiligheid, omdat ze hun eigen software niet goed kunnen (of willen) beveiliging?
Windows Defender is al geïntegreerd in bijvoorbeeld Windows 10. Jammer genoeg eindigt Windows Defender steevast onderaan in de AV test reviews. Dus een heel goed product is het niet.
Jaren geleden had je het verhaal over vrije browser keuze (Microsoft mocht niet meer IE integreren in Windows) Want consumenten moesten de keuze hebben en er mocht geen monopolie positie ontstaan. Dat soort gedoe kun je ook krijgen als AV geïntegreerd zit in een OS en er geen andere keuze is (of wordt opgedrongen, wat MS graag doet)
TIP:
Schakel ' Surf of Browser Protection' in je AV (heet overal anders) uit. Gebruik daarvoor in de plaats (de gratis) Anti-Exploit van Anti Malwarebytes, deze is zeer effectief in het stoppen van allerlei exploits!. Het grootste probleem is daarmee opgelost en je hebt een veel effectievere en veiliger oplossing (Anti-Exploit stopte de Firefox 0day FBI exploit lang voordat deze werd gepatched)
Dat heet voortschrijdend inzicht.
Of evaluatie van de gewijzigde omgeving.
Of gewoon vooruitgang.
Absolute onzin, heb Defender al diverse malware zien tegenhouden die Karspersky AV op een secure web gateway en een antispam firewall met AV gewoon door lieten. Dus ja Defender werkt absoluut, maar zoals met elke AV komen er ook gewoon dingen doorheen.
Gisteren nog een mail gehad met daaronder de opmerking dat het bij de afzender gescand was door Symantec Cloud. Mijn scanner (f-prot) had het als virus getagged. Nadat ik het bij Virus Total had ingediend, bleen er maar 21 van de 56 scanners deze versie te detecteren. En ja, Symantec zat niet bij die 21.
Peter
Dat ontgaat mij volledig, de maker een besturingssysteem kan het toch in bouwen?
Hoe betrouwbaar is een systeem, dat software van derden nodig heeft voor de veiligheid, omdat ze hun eigen software niet goed kunnen (of willen) beveiliging?
Möchten ze niet want dat zou machtsmisbruik van marktdominantie zijn.
Het kromme:
Ben je nog te klein heb je te weinig marktaandeel dan kom je er niet aan toe (budget)
Ben je groot genoeg met groot marktaandeel dan moeten anderen het goed gaan vinden voordat je zaken rigorous aanpakt. Alleen religieuze volgelingen gaan blind mee.
Je kunt een OS toch zichzelf laten beveiligen, kijk b.v. naar Linux, BSD, Haiku en dergelijke, die zijn allemaal gemaakt met veiligheid als uitgangspunt.
Voor deze systemen bestaan ook antivirus programma's, maar die moeten werken als root, om alles te kunnen lezen, waardoor je juist weer een deur open zet, terwijl de mogelijkheid om er een virus op te krijgen enorm laag is, zowel door de veiligheid van het systeem zelf, maar ook omdat het niet veel op de desktop/laptop gebruikt wordt.
Natuurlijk kan Microsoft dat ook, maar ze willen vasthouden aan de erfenis (comptabiliteit) uit het verleden.
- gebruik muis / wijzer wat Apple aankaarte maar wat kwam uit de Xerox koker als de Alto
- met de browser die geintegreerd werd. Wonderlijk genoeg een voortzetting van IBM met IPF
https://en.wikipedia.org/wiki/Information_Presentation_Facility
Eigenlijk een gemiste kans met https://nl.wikipedia.org/wiki/Standard_Generalized_Markup_Language
IBM heeft het verbreken van hun monopolie nooit goed kunnen verwerken.
Typisch dat je het vergeten bent als je het niet uitkomt maar wel aanvoert als je het wel uitkomt.
Het simpele feiten
1 die software vraagt gewoon te veel rechten om van alles in de gaten te houden
2 ze blokkeren betere oplossingen omdat die Antivirus software in zijn oude vorm moet blijven draaien ... rechtszaken van uitsluiting.
Nu maakt Google een opmerking dat Microsoft de boel wel veilig wil zien te krijgen. Vervolgens tirades dat Microsoft de schuld heeft. Alu hoedje en bash verslaving.
Het zou verstandiger zijn om met security zaken bezig te zijn.
Als antivirussoftware achterhaald is dan is dat zo. Beter een goede beveiliging dan een vinkje op een checklijstje
1. Welke rechten gebruikt CHROME dan allemaal om alles in de gaten te houden?
2. Welke oplossingen blokkeert CHROME dan allemaal?
TL;DR: Het is een CHROME security engineer ;)
Het is niet CHROME die bijzondere rechten heeft, maar de anti virus software. Veel anti virus software voegt valse certificaten toe om web verkeer te kunnen monitoren d.m.v. een man-in-the-middle attack. Zo voegt AV software dus een kwetsbaarheid toe aan je computer.
Alleen doen ze dit niet om malware op je computer te krijgen. Eerder om dit te voorkomen.
Kun je iets meer vertellen over dat toevoegen van certificaten? Waaraan worden die toegevoegd?
Ik zie namelijk mijn betaalde versie van Kaspersky wel eens waarschuwen voor verlopen certificaten (datum) bij het bezoeken van een website. (www.moviemeter.nl) De ene keer wel, de andere keer niet..
Weet je toevallig hoe dat kan en of er sprake kan zijn van een serieuze dreiging?
Bij voorbaat dank!
je zoekt je een ongeluk zo...
Zoek Google eens op mitm browse virusscanner.
https://blog.mozilla.org/security/2016/01/06/man-in-the-middle-interfering-with-increased-security/
Om data te kunnen evalueren moet zo'n tool overal bij kunnen waar je eigenlijk geen rechten voor zou willen verlenen. Om https verkeer te décryptent moet dat gebeuren voor de décrypte in de Stack van de Browser.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.