image

Maakt MS Mako einde aan security problemen Windows?

zondag 13 februari 2005, 11:36 door Redactie, 19 reacties

Volgende week begint de RSA Security conferentie, traditioneel een mooie gelegenheid voor Microsoft om haar nieuwste security plannen te onthullen. Volgens sommige analisten zal Bill Gates Microsoft's anti-spyware en anti-virus software aankondigen, maar de kans bestaat ook dat de softwaregigant haar "gedragsblokkering" technologie met de codenaam "Mako" onthult. Vorig jaar liet Microsoft al weten dat het een aantal "actieve beschermingsmaatregelen" zou nemen, ter aanvulling van Windows XP Service Pack 2. De maatregelen zijn in drie categorieen te verdelen:

  1. Dynamische systeembeschermings technologieen, ontworpen om veranderingen in de machine te ontdekken, waardoor poorten automatisch geopend en gesloten kunnen worden.
  2. Gedragsblokkering technologieen, ontworpen om de gevolgen van virussen en wormen te beperken, door risicovol gedrag van de gebruiker, zoals het openen van een .exe bestand in een e-mailbericht, te blokkeren.
  3. Applicatie bewuste firewall en intrusion-preventie technologieen, waardoor de instellingen van de Windows firewall nog een stap verder gaan.

Oorspronkelijk zou Microsoft deze drie actieve beschermingsmaatregelen pas in Longhorn introduceren, maar een aantal maanden na de bekendmaking liet Microsoft weten niet op Longhorn te wachten en de oplossingen, als ze klaar waren, uit te rollen. Of dit binnenkort zal gebeuren horen we waarschijnlijk volgende week. (Microsoft Watch)
Reacties (19)
13-02-2005, 12:51 door Anoniem
net stop mako
13-02-2005, 15:47 door Anoniem
gaat niet werken imo
13-02-2005, 15:53 door Anoniem
Indien iemand een .exe in zijn of haar mail opend helpt in
mijn ogen geen enkele beveiliging meer. Die persoon zou meer
hebben aan een persoonlijke cursus omgaan met de pc.

Ik denk toch dat Microsoft gewoon een lastige groep
computergebruikers te bevredigen heeft.

GateHawk
13-02-2005, 17:42 door Anoniem
Microsoft kennende zullen de beta's van Mako bepaalde
gedragingen van niet-Windows systemen ook verdracht vinden
en tegenwerken. En waarschijnlijk zal dat ook met de
productieversies wel gebeuren. Niet opzettelijk natuurlijk,
een patch zal de boel weer rechttrekken...
13-02-2005, 22:09 door Anoniem
Door Anoniem
Microsoft kennende zullen de beta's van Mako bepaalde
gedragingen van niet-Windows systemen ook verdracht vinden
en tegenwerken. En waarschijnlijk zal dat ook met de
productieversies wel gebeuren. Niet opzettelijk natuurlijk,
een patch zal de boel weer rechttrekken...
Gelukkig is Linux fantastisch
13-02-2005, 22:28 door Anoniem
Door Anoniem
Indien iemand een .exe in zijn of haar mail opend helpt in
mijn ogen geen enkele beveiliging meer. Die persoon zou meer
hebben aan een persoonlijke cursus omgaan met de pc.

Ik denk toch dat Microsoft gewoon een lastige groep
computergebruikers te bevredigen heeft.

GateHawk

.exe blokkeer je toch per default al in je mailserver ?
Net als .pif .scr .vbs .com .bat .wmv en al die andere
rommel die win32 laten trippen.
13-02-2005, 23:32 door Anoniem
Door Anoniem
Indien iemand een .exe in zijn of haar mail opend helpt in
mijn ogen geen enkele beveiliging meer. Die persoon zou meer
hebben aan een persoonlijke cursus omgaan met de pc.

Ik denk toch dat Microsoft gewoon een lastige groep
computergebruikers te bevredigen heeft.

GateHawk

Ooit gehoord van PaX, van W^X ? Ooit gehoord van een
non-exec-stack?
Aan je post te zien niet... google er maar eens op en je
zult zien dat er wel degelijk mogelijkheden zijn om jezelf
te beschermen ook al open je executables.
Dat Windows hier (nog) geen gebruik van maakt is uiteraard
een heel ander verhaal ;-)
13-02-2005, 23:39 door Anoniem
Door Anoniem
Door Anoniem
Microsoft kennende zullen de beta's van Mako bepaalde
gedragingen van niet-Windows systemen ook verdracht vinden
en tegenwerken. En waarschijnlijk zal dat ook met de
productieversies wel gebeuren. Niet opzettelijk natuurlijk,
een patch zal de boel weer rechttrekken...
Gelukkig is Linux fantastisch
Linux is zeker heel goed, maar dat heeft hier niet zoveel
mee te maken. Het is de geschiedenis van Microsoft. Zie
Novell, zie allerlei andere producten. Ze pesten en sarren
en werken producten van anderen op alle mogelijke manieren
tegen. Dat is niet toevallig, het is beleid. Denk daaraan
als je je weer afrukt op Ballmer of Gates.
14-02-2005, 10:01 door raboof
Ooit gehoord van PaX, van W^X ? Ooit gehoord van een
non-exec-stack? Google er maar eens op en je zult zien dat
er wel degelijk mogelijkheden zijn om jezelf te beschermen
ook al open je executables.

Googlen op `W^X' valt vies tegen :) - maar het is inderdaad
bijzonder nuttige techniek. Betekent echter niet dat het
verstandig wordt iedere willekeurige executable te openen.
Sterker nog, daar heeft het eigenlijk nogal weinig mee te
maken :)

Dat Windows hier (nog) geen gebruik van maakt is
uiteraard een heel ander verhaal ;-)

Achja, hoeveel distro's gebruiken er al PaX? Het is wel iets
wat in de komende 2 jaar denk ik steeds normaler gaat worden
(een teken aan de wand is bijvoorbeeld dat stack address
randomisation waarschijnlijk binnenkort officieel in de 2.6
linux-kernels gaat komen). En da's gewoon mooi.
14-02-2005, 11:03 door SirDice
Door Anoniem
Ooit gehoord van PaX, van W^X ? Ooit gehoord van een
non-exec-stack?
Niet om het een of ander maar de laatste serie virussen maken geen
misbruik van buffer overflows. Dit soort technieken helpen dan ook niet.

Begrijp me niet verkeerd. Het is goed dat het er is, alle beetjes helpen
tenslotte. Overigens hebben andere processorarchitecturen dit al vele
jaren.
14-02-2005, 11:46 door Anoniem
Microsoft lost 1 probleem op en er zijn weer 2 nieuwe geboren.
14-02-2005, 12:07 door Anoniem
Googlen op `W^X' valt vies tegen :) - maar het is inderdaad
bijzonder nuttige techniek. Betekent echter niet dat het
verstandig wordt iedere willekeurige executable te openen.
Sterker nog, daar heeft het eigenlijk nogal weinig mee te
maken :)

Inderdaad. Probeer eens /tmp en /home met noexec optie te mounten -
dan heb je een beetje het bedoelde effect.
14-02-2005, 12:37 door Anoniem
Door Anoniem
Door Anoniem
Indien iemand een .exe in zijn of haar mail opend helpt in
mijn ogen geen enkele beveiliging meer. Die persoon zou meer
hebben aan een persoonlijke cursus omgaan met de pc.

Ik denk toch dat Microsoft gewoon een lastige groep
computergebruikers te bevredigen heeft.

GateHawk

.exe blokkeer je toch per default al in je mailserver ?
Net als .pif .scr .vbs .com .bat .wmv en al die andere
rommel die win32 laten trippen.

Als MS outlook gebruikt is dit wel aan te bevelen ;)
14-02-2005, 13:36 door Anoniem
"Inderdaad. Probeer eens /tmp en /home met noexec optie te
mounten - dan heb je een beetje het bedoelde effect."

Uhm, nee. Je komt met ACLs of capabilities te werken.
Wellicht werkt Microsoft's implementatie niet zo goed
waardoor ze het programmeurs van worms/virussen/trojans het
wat moeilijker maken ipv onmogelijk. W^X, PaX en consorten
zijn uiteraard een mooie toevoeging op ACLs, capabilities of
Microsoft's methodes hier besproken. Hoewel deze eigenlijk
inderdaad weinig tot niets met dit onderwerp te maken heeft.

Maar wat je zegt klopt niet. /tmp en /home met noexec optie
heeft totaal geen nut. Immers werken bijvoorbeeld /bin/bash
en /lib//lib/ld-linux.so.2 nog. At best hou je hier een
domme, automatische script/trojan/worm of een kiddie mee
tegen maar het blijft dweilen met den kraan open.

Bovendien zullen sommige applicaties er mee stoppen die in
/tmp geschreven worden en het probleem in /tmp is niet dat
ze executable zijn het probleem is dat ze EN writable EN
executable zijn OF dat ze writable zijn waardoor integriteit
verloren gaat OF dat elke user de file mag executen terwijl
het de bedoeling is dat enkel user dat mag. W^X kan het
eerste probleem (EN EN) oplossen maar het tweede niet
terwijl dat ook een probleem is. Het laatste lijkt me niet
veel voorkomend maar 't kan; bijv stel je programmeert en je
schrijft je binary naar /tmp om de een of andere reden
terwijl iemand 'm dan net kan executen of readen terwijl er
IP/patenten/whatever op berust.
14-02-2005, 14:08 door SirDice
Door Anoniem
"Inderdaad. Probeer eens /tmp en /home met noexec optie te
mounten - dan heb je een beetje het bedoelde effect."
nosuid lijkt mij veel effectiever. De reden dat /tmp vaak niet toegankelijk is gemaakt voor executables komt omdat veel exploits een suid root shell (of wrapper) droppen in /tmp. /tmp is world-writable en dus altijd toegankelijk.

Het virusprobleem los je niet op op deze manier. Ook daar zijn wel weer truukjes voor. Ook ACLs helpen niet. Het enige wat je (maximaal) kan bereiken is dat de gebruiker alleen maar die bestanden kan raken waar hij/zij toegang toe heeft. Aangezien die gebruiker ook moet kunnen werken ontkom je hier niet aan. Wat m.i. nog steeds het grootste probleem met windows is is dat een gebruiker standaard administrator is en dat er nog veel te veel processen (zonder dat dit nodig is) met veel te veel rechten draaien. Wat dat betreft kunnen ze in Redmond nog wat leren van UNIX.
14-02-2005, 15:20 door [Account Verwijderd]
[Verwijderd]
14-02-2005, 17:24 door Anoniem
Door Erwin Blonk
Door Anoniem
Door Anoniem
Microsoft kennende zullen de beta's van Mako bepaalde
gedragingen van niet-Windows systemen ook verdracht vinden
en tegenwerken. En waarschijnlijk zal dat ook met de
productieversies wel gebeuren. Niet opzettelijk natuurlijk,
een patch zal de boel weer rechttrekken...
Gelukkig is Linux fantastisch

De eerste poster heeft het helemaal niet over Linux gehad. En de
aannames, hoewel wat makkelijk, zijn niet geheel bezijden de waarheid.

Nee jij denkt het beter te weten.

Linux, Linux, Linux, Linux, Linux.

En nee ik ben geen volledige linux gebruiker, Win32 idem.
Het gaat er gewoon om dat Windows nog lange na niet beter/gelijk is aan
linux wat betreft de gevoeligheid en veiligheid met betreking tot security, en
dat mag gewoon gezegt worden, of wordt ik nu door me kop geschoten
met bovengenoemde worden.
14-02-2005, 20:15 door Anoniem
"Het virusprobleem los je niet op op deze manier. Ook daar
zijn wel weer truukjes voor. Ook ACLs helpen niet."
"Het enige wat je (maximaal) kan bereiken is dat de
gebruiker alleen maar die bestanden kan raken waar hij/zij
toegang toe heeft."

Dat laatste kan dmv een fatsoenlijk geconfigureerde ACL.
15-02-2005, 10:04 door SirDice
Door Anoniem
Dat laatste kan dmv een fatsoenlijk geconfigureerde ACL.
Klopt. Maar juist doordat die gebruiker bij die bestanden kan kan een virus
wat die gebruiker gestart heeft het ook.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.