Vaak is het zelfs niet meer als een alarmeringsysteem:
Je krijgt een melding dat er een virus gevonden is, maar het
virus kon niet verwijderd worden omdat het proces actief is..

Zijn er eigenlijk virusscanners die dit proces dan kunnen
killen en het nogmaals probleren?

Mee eens. Virussen kunnen preventief bestreden worden,
echter, dat (lijkt mij) is dusdanig complex en duur, dat het
practisch niet echt haalbaar is. En het zou een complete IT
tak out of business helpen, wat een hoop banen zou kosten,
en een hoop rechtzaken zou opleveren.

Probleem: Malware
Incident: Virus/Worm/Trojan=>RAT/Spyware etc.
Ik denk meer aan incident bestrijding.

Ik zie meer heil in backup procedures en integriteits
monitor systemen.

Euhhh, wel met je tijd meegaan he?
Preventief is tegenwoordig "proactief" +o(

Ja, virusscanners zijn slechts symptoombestrijding. Ja, je loopt achter de
feiten aan. Maar zonder is vragen om, zeker als men weet dat de
gemiddelde computergebruiker lui is en 'dom'.

Feit vind ik wel dat de huidige generatie virusscanners nog net dat stukje
extra missen om te zorgen dat virussen al in het geheugen worden
geladen en überhaupt gestart kunnen worden. Het lijkt mij dat het wel
akelig verdacht is als de hoeveelheid threads cq processen in een
computer ineens schrikbarend toeneemt, zeker als dit nauwelijks afneemt.
Door naast heuristisch te scannen ook nog eens predictief te scannen heb
je de signatures alleen nog nodig om downloads, webpage-inhoud en
attachments te scannen en indien nodig meteen te killen en te deleten.
Dan pas is een virusscanner van symptoombestrijder naar pro-aktief
scanner.

Gewoon goede contentfiltering hanteren, dat scheelt behoefte
aan lapmiddelen.

Ehm..... ja, het blijft bestrijden van symptomen. Maar er
zijn meer businessmodelen die daar op teren.....

Doktoren hebben er ook geen baat bij als iedereen gezond zou
leven. Het klinkt triest, maar de pharmaceutische industrie
is een bijzonder machtige sector, die het niet schuwt echt
gezondmakende medicijnen van de markt te weren (drijven).

Garages zijn blij met bijv. verkeersheuvels of versmallingen
in de weg, dit belast de auto wat zwaarder zodat je meer
onderhoud moet laten doen aan je auto. Of je moet sneller
een nieuwe auto, waarbij de autodealer meer verkoopt. Ze
bouwen dan ook geen tanks, maar auto's die minder lang meegaan.

Spijkerbroeken die vroeger decennia meegingen heb je niet
meer, tenzij je een exclusief merk koopt.

Alles is aan onderhoud of vervanging onderhevig. Dat is een
business model voor de economie zodat iedereen zijn broodje
kan hebben. Daar horen digitale virussen ook onder. Dit is
ooit ontstaan, maar het is wel een business model geworden
waar miljarden in omgaan (totaal bedrag aan het fenomeen
malware en de bestrijding daarvan).

Zodra alles veilig, schoon, gezond en duurzaam gefabriceerd
is, klapt de economie en moeten we allemaal tuintjes gaan
harken (totdat iedereen een Zen-tuin wil....).

- Unomi -

Feit vind ik wel dat de huidige generatie virusscanners nog net dat stukje
extra missen om te zorgen dat virussen al in het geheugen worden
geladen en überhaupt gestart kunnen worden.

Heb je PrivX al eens bezig gezien? Dit stukje freeware doet volgens mij
exact wat jij beschrijft, zij het dat het geen bescherming biedt tegen
schrijven in het RAM, maar wel op de HD.

capricornus

Helemaal met de stelling eens.

Neem nu het feit dat de gemiddelde prive PC gebruiker pas
aan virussen e.d. DENKT als het systeem 'raar' doet of
extreem traag is. Dus als de symptomen zichtbaar zijn wordt
er actie ondernomen. En hoevaak je dan wel niet hoort:
"Antivirus software? Wa's da??", "Jazeker, die virusscanner
staat er al een jaar op! .... Updaten???" of "Ja ik heb een
virusscanner... maar dat kloteding start al geruime tijd
niet meer op!"

Dus voor de gemiddelde thuis-pc zal antivirus-software
louter gebruikt worden om brandjes te blussen.

En ook bij bedrijven zie je vaak dat de scanners op
workstations / laptops met intervallen varieërend van 1 dag
tot 1 maand automatisch bijgewerkt worden. En in geval van
een acute uitbraak worden er mailtjes verstuurd om de
gebruikers te manen een handmatige update uit te voeren.

Bovendien, een bedrijf staat tamelijk machteloos iemand die
zelf een aggressief virus schrijft en dat op het
bedrijfsnetwerk loslaat. Zeker als het virus zichzelf
beperkt tot een bepaalde IP-range.

Vraagje, welke scanner gebruik jij?

Dat zijn dan wel optimaal slecht
geconfigureerde workstations + netwerk, dat ze überhaupt
afhankelijk zijn van een virusscanner.
Valt het kwartje?

Ik werk al jaren met AVG en met volle tevredenheid. Niet
omdat het gratis is maar omdat het kwalitatief een goed
product is. Regelmatig wordt de programmatuur voorzien van
updates.

Virusscanners zijn inderdaad symptoonbestrijding.
Het is de rotheid van het operatingsystem dat het mogelijk
maakt dat er uberhaupt virussen mogelijk zijn

Ronald

Het woord zegt het al: anti-virussoftware.

Dat is een niet geheel juiste strekking.
Realistischer is dan de benaming "anti known virus software"
vanwege de aard van het lapmiddel.

Hmm... niet helemaal. Een virus of worm kan op verschillende
manieren binnen komen:
- ontvangen van besmet emailtje. Mogelijke oplossing:
mail-client zonder scripting en geringe kans op
buffer-overflow. (bv. webmail)
- bezoeken van besmette website. Mogelijke oplossing:
browser zonder scripting en geringe kans op buffer-overflow.
(bv. lynx)
- aansluiten van besmette laptop op netwerk. Mogelijke
oplossing: Laptops uit het netwerk weren.

Natuurlijk ga ik nu van het ene uiterste naar het andere
uiterste, en is een virusscanner een middenweg. Zet een
virusscanner op de mailserver en proxyserver en dat scheelt
al een hoop. Maar dan zit je nog met 'nieuwe' virussen waar
nog geen definities voor zijn en virussen die speciaal voor
jouw bedrijf geschreven zijn. En ook tegen een besmette
laptop haalt het niets uit.

Om dan maar te zwijgen over de virussen die via MSN
verspreid worden. Toegegeven, de meeste bedrijven bannen
messengers als ICQ en MSN van hun netwerk, maar een beetje
slimme gebruiker vind altijd wel een manier om door/om de
proxy heen te komen.

Dus 100% proactieve virus-bestrijding is imo. niet mogelijk.
En dan blijf ik bij mijn standpunt: gebruikers denken pas
aan een virus als het systeem 'raar' doet. Als ze al niet op
hoge poten naar systeembeheer rennen om te zeiken hoe slecht
die PC (of compleet systeembeheer) wel niet functioneert.

Sophos...

Wat ik weg heb geknipt is hier
ook van belang.
Dit wordt bedoelt met matig beheer: je geeft werknemers de
mogelijkheid software te installeren en programma's uit te
voeren die zij voor hun werk niet noodzakelijkerwijs nodig
hebben. Alleen dat al maakt werkstations zeer kwetsbaar.
Jazeker wel. Niet met lapmiddelen gaan
werken, maar hard beginnen uit te sluiten. In Windows zitten
best wel beperkingsmogelijkheden, mede via het register, als
je ze maar optimaal benut.
Dat laatste gebeurt dus helaas zelden.
Het op hoge poten naar het systeembeheer lopen is
dan terecht, gelet op voorgaande.

Ik denk dat antivirusbestrijding eerder een kat een muis spel is tussen
virusschrijvers en antivirus schrijvers ;)

Het zal denk ik nooit ophouden, de virus schrijvers willen virussen
schrijven die ze kunnen gebruiken voor hun doeleinden en de antivirus
schrijvers willen dat tegen gaan, en het publiek er tegen beveiligen. Op
het moment dat de antivirusschrijvers een virus hebben gevonden, en
er een script voor hebben geschreven om het tegen te gaan. Dan heeft
de virus schrijver al weer een aangepaste versie van zijn virus, en zo
begint het weer van voor af aan. Ik denk niet dat er een winnaar zal
komen. Ik denk wel dat er mee doorgegaan moet worden, om zo
misschien in de toekomst de virusschrijver voor te zijn. Maar dit zal
misschien wel nooit gebeuren.
Tot die tijd denk ik dat het een symptoom bestrijding zal blijven.

Dat heeft
voedingsbodem nodig.

Mee eens... maar welke programma's hebben ze nodig? In het
MKB is dit vaak nog wel te doen, maar in een grote
organisatie wordt dit tamelijk lastig. En wat als er een
ingehuurde consultant / freelancer met zijn laptop binnen komt?

Mensen hebben de nare eigenschap om te doen wat ze willen,
zelfs als ze het niet kunnen / mogen. Hoe meer je gaat
knijpen, hoe meer je een wedloop in gang zet. En dan is het
de beheersafdeling vs. de rest van het bedrijf. En zeker in
een omgeving waar meerdere competenties samen komen delf je
makkelijk het onderspit. Want je kunt je firewall nog zo
dicht zetten, zolang je HTTPS open houdt, staat het internet
alsnog wagenwijd open.

En dan nog, stel dat je een omgeving creëert die echt
potdicht zit, gebruikers kunnen alleen doen wat ze moeten
doen en alle updates worden automatisch de client
ingeschoten. Is de kans op virussen / wormen / spyware dan
meteen geëlimineerd? Ik denk van niet; er zullen altijd
lekken blijven die nog niet algemeen bekend zijn, die door
virussen uitgebaat kunnen worden.

Hoe het binnen komt? Nou bijvoorbeeld via een werknemer die
verantwoordelijk is voor de database. Deze werknemer baalt
ervan dat hij niet alle tools kan gebruiken om die database
te beheren. Hij heeft daarom zijn laptop meegenomen en dmv.
MAC-adres spoofing leidt hij de switch en DHCP server om de
tuin. Weet hij veel dat hij een virus op zijn machine heeft?!

En als er voor dat virus *toevallig* nog geen AV-update
beschikbaar is heeft hij vrij spel in het complete
netwerk... dag-dag security!

Oh en laten we het doomscenario nog even iets aanscherpen;
deze medewerker heeft weet van dat tooltje, en denkt hem ook
te kunnen bedienen (á la backorifice / netbus). Buiten dat
hij zijn eigen machine ontdoet van wat restricties, helpt
hij ook nog wat collega's. En voor je het weet mag je een
stapel machines opnieuw inrollen.

Security blijft mensenwerk; en het begint vaak met
vertrouwen. Daar is geen technische oplossing tegen opgewassen.

Dat zul je lokaal per afdeling moeten
inventariseren.
Niet meer of
minder dan bij het MKB.
Dat hangt er vanaf wat
hij/zij komt doen.
Onmogelijk. Denk je in dat mensen enkel met hun
machine kunnen doen wat zij met hun machine behoren te
kunnen doen. De enige wedloop die je ermee kunt introduceren
is die hoe effectief mensen hun werk (gaan) doen waarvoor
zij zijn aangenomen.
Neehoor. Je moet
psychologisch gezien alleen niet zo'n behoefte hebben aan
populairiteit. Je bent een verlengstuk van het bedrijf, niet
van het personeel, dat in belang van het bedrijf moet
handelen. Wanneer het in belang van het bedrijf is om
restricties door te voeren, zij het zo. Als ze zo nodig aan
hun machine willen pielen mogen ze dat thuis aan de eigen
computer doen dat geen productie hoeft te draaien.
Zegt de term ''man in the middle" je iets? :)
En dan nog, werkstations die enkel uit kunnen voeren wat ze
is opgedragen ...
Je kunt daarmee stellen dat het
des te onwaarschijnlijker is dat malware zich er kan huisvesten.
Eens, maar als je een kansberekening
doet kom je aanzienlijk gunstiger uit wanneer je alles zo
ver als mogelijk uitsluit.
Uitgaande van de situatie dat het netwerk en werkstations
optimaal zijn geconfigureerd zal zo'n geïnfecteerde notebook
weinig uithalen.
Hij/zij kan met de eigen rechten de database beheren waarin
doorgaans vrijwel altijd enkel gegevens staan.
Wanneer je werkstations
niet afdoende onder restricties hebt geplaatst klopt dat.
Maar die situatie sloot ik dus al uit.
Over
zijn/haar eigen notebook bedoel je.
Dat gaat niet, wanneer je deze van de
juiste restricties hebt voorzien.
Wanneer je werkstations niet onder
afdoende restricties hebt gesteld, klopt dit scenario.
Technische oplossingen zijn daarin geheel
afhankelijk van de kwaliteiten van de beheerder. Daar heb je
volkomen gelijk in.

Ik heb geen zin om alles weer te gaan quotten en op elke zin
apart antwoord te geven. Daarom pak ik het weer wat algemener.

Hoewel Windows prima dicht te zetten is met group-policies
en dergelijke blijf je met een veiligheidsprobleem zitten
wat Windows eigenlijk altijd al gehad heeft: het
SYSTEM-account. Een gebruiker of proces wat met het
SYSTEM-account draait, is in staat om het hele register aan
te passen en de hele machine te beheren. En de mogelijkheden
om deze privileges te verkrijgen zijn legio. Wanneer je
denkt dat inloggen op de grafische schil of via een
netwerk-verbinding de enige mogelijkheden zijn dan heb je
het mis.

In linux / unix is het een hele tijd mogelijk geweest om een
buffer-overrun te produceren in mount; een programma wat
normaliter als root zal draaien. Hierdoor kon je dus in het
code-segment komen van een proces dat als root draait en
daarvandaan een shell afvorken waarin je root-rechten hebt.

Natuurlijk is Windows absoluut niet te vergelijken met
Linux, en al helemaal niet op het gebied van het
securitymodel... maar het toont aan dat er meerdere wegen
zijn die naar Rome leiden. Maar stel dat een virus er in
slaagt om in het geheugensegment van je virusscanner (of een
andere SYSTEM-service) te komen, dan is hij binnen.

Het hoeft trouwens geeneens een SYSTEM-account te wezen;
kijk maar naar SQL-Slammer, die gebruik maakt van een
buffer-overflow in MSSQL-Server en aldaar vernietigend te
werk kan gaan.

Antivirus-maatregelen staan op dat punt dus compleet LOS van
de restricties die je de gebruikers oplegt. Natuurlijk is
het zo dat hoe minder een gebruiker kan, hoe minder de kans
is dat die gebruiker je besmet (er vanuit gaande dat ze niet
zelf gaan lopen hacken natuurlijk.) Maar als een virus
eenmaal binnen is, halen die gebruikersrestricties niets
uit. Sterker nog; het kan tegen je werken als een gebruiker
een virus wil verwijderen, maar dat niet mag omdat die map
hermetisch afgeschermd is.

Werd het tegendeel beweerd dan? Nee. Je kunt
mede het BIOS afschermen en devices beperken tot het hoogst
nodige, de behuizing verzegelen. Betere software gebruiken.
Overbodige services disablen, poorten sluiten. Je moet dan
werkelijk een vandaal met teveel tijd over tussen het
personeel hebben zitten.
Ik geloof ook niet in 100% potdicht, anders
dut je in, je kunt het wel aanzienlijk bemoeilijken en dus
onwaarschijnlijker maken.
Natuurlijk, MSSQL.
Ik
begrijp wat je bedoelt onder gebruikersrestricties, maar ga
ik nog iets verder: de algehele configuratie. Welke services
men draait, welke uitvoerbare programma's fysiek aanwezig
zijn etc. Je neemt niet enkel voedingsbodem weg voor
vandalen maar daarmee tevens voor virussen en overige
malware. Natuurlijk sluit het ene het andere niet uit maar
is het een optelsom.
Je kunt niet zomaar een pleister plakken op een grote open
wond (zoals anti-virus 'maatregelen' regelmatig worden
toegepast). Deze zal eerst schoongemaakt en misschien
gehecht moeten worden.
Precies.
Je bedoelt in deze cracken. Hacken is
namelijk een zeer wenselijke bezigheid: het oplossen van
problemen ter voorkoming van narigheid.
Omdat je dan weet dat het
systeem gecompromitteerd is, kun je er niet meer op
vertrouwen dat verwijdering afdoende zal zijn. Dan zet men
nadat men de oorzaak ervan heeft achterhaald een clean image
terug, duurt maar ~5 minuten.