Twee virusscanners niet voldoende
Het gebruik van een virusscanner onder thuisgebruikers is nog altijd bedroevend laag. Gebruikers die één scanner gebruiken zijn echter ook niet veilig, aldus John Turley van Checkbridge. "Zelfs als je twee scanners gebruikt zul je niet altijd alle virussen stoppen" zegt Turley. Het probleem is dat er steeds meer varianten van allerlei virussen verschijnen. Op deze manier lopen anti-virusaanbieders altijd achter de feiten aan, aangezien het gemiddeld zo'n 10 uur kost om een nieuwe variant te analyseren en er een update voor te schrijven. Zou men dit binnen drie uur kunnen doen, dan zou er volgens de experts van AV-Test geen uitbraak van wormen en virussen mogelijk zijn. Dat is echter nog lang niet geval. Naast het feit dat het opvangen van alle verschillende varianten veel tijd kost, heeft dit ook nog een ander effect. Anti-virusaanbieders moeten namelijk hun tijd en energie verdelen, waardoor kleinere virussen niet direct worden aangepakt, en meer tijd hebben om slachtoffers te maken, aangezien er geen bescherming voor is.
Zelfs het hebben van een scanner is nog steeds geen vrijbrief om nooit geinfecteerd te raken. Tijdens een test wist de beste scanner 97% van alle malware te stoppen. Hoewel er ook dagen waren dat slechts 64% gestopt werd. Het draait dan ook allemaal om heuristische herkenning, zo gaan de experts in dit artikel verder.
Reacties (19)
14-06-2005, 16:22 door
SirDice
AV software loopt per definitie achter de feiten aan..
Vandaar ook dat wij alle executables blokkeren..
En gelukkig doen we dat niet op MIME-type of op extensie
maar wordt er naar het bestand zelf gekeken. Dat kost wel
iets meer tijd maar geeft wel vele malen meer zekerheid
(MIME-types en extensies zijn eenvoudig te faken).
Vandaar ook dat wij alle executables blokkeren..
En gelukkig doen we dat niet op MIME-type of op extensie
maar wordt er naar het bestand zelf gekeken. Dat kost wel
iets meer tijd maar geeft wel vele malen meer zekerheid
(MIME-types en extensies zijn eenvoudig te faken).
14-06-2005, 16:33 door
egeltje
"Zelfs als je twee scanners gebruikt zul je niet altijd alle virussen stoppen"
zegt Turley.
Dus zul je als gebruiker altijd na moeten blijven denken voor je
bijvoorbeeld een email attachment opent. Vervelend nou...
De mail wordt inderdaad wel gescand, maar op extensie. Mensen die een
bestandje krijgen, hernoemen en dan uitvoeren zijn willens en wetens
bezig. Daar gaan we geen voorzorgsmaatregelen voor nemen.
zegt Turley.
Dus zul je als gebruiker altijd na moeten blijven denken voor je
bijvoorbeeld een email attachment opent. Vervelend nou...
De mail wordt inderdaad wel gescand, maar op extensie. Mensen die een
bestandje krijgen, hernoemen en dan uitvoeren zijn willens en wetens
bezig. Daar gaan we geen voorzorgsmaatregelen voor nemen.
14-06-2005, 16:59 door
SirDice
Door egeltje
De mail wordt inderdaad wel gescand, maar op extensie.
Mensen die een
bestandje krijgen, hernoemen en dan uitvoeren zijn willens
en wetens
bezig. Daar gaan we geen voorzorgsmaatregelen voor
nemen.
Wij moeten wel.. Anders is het dweilen met de kraan open..De mail wordt inderdaad wel gescand, maar op extensie.
Mensen die een
bestandje krijgen, hernoemen en dan uitvoeren zijn willens
en wetens
bezig. Daar gaan we geen voorzorgsmaatregelen voor
nemen.
Bovendien mogen gebruikers zelf geen software installeren..
Niemand heeft dus een reden om executables te kunnen
ontvangen/verzenden. Zelfs de ICT'ers niet.. Updates
downloaden ze maar van de website (waar we weer aparte
voorzieningen voor hebben en er is maar een relatief kleine
groep die dat kan/mag)..
Door egeltje
De mail wordt inderdaad wel gescand, maar op extensie.
De mail wordt inderdaad wel gescand, maar op extensie.
Kul! De normale patroonherkenning vindt plaats. En een beetje
virusscanner laat zich niet foppen door een hernoemde
bestandsextentie.
Wat wel waar is, is dat je je gezonde verstand moet gebruiken.
Anders heb je aan 10 scanners nog niet genoeg.
14-06-2005, 17:29 door
G-Force
Door SirDice
AV software loopt per definitie achter de feiten aan..
Vandaar ook dat wij alle executables blokkeren..
En gelukkig doen we dat niet op MIME-type of op extensie
maar wordt er naar het bestand zelf gekeken. Dat kost wel
iets meer tijd maar geeft wel vele malen meer zekerheid
(MIME-types en extensies zijn eenvoudig te faken).
AV software loopt per definitie achter de feiten aan..
Vandaar ook dat wij alle executables blokkeren..
En gelukkig doen we dat niet op MIME-type of op extensie
maar wordt er naar het bestand zelf gekeken. Dat kost wel
iets meer tijd maar geeft wel vele malen meer zekerheid
(MIME-types en extensies zijn eenvoudig te faken).
Helaas bestaat er een worm die GEEN gebruik maakt van een executable.
Blokkeren van exe-bestanden is daarom ook geen goede beveiliging.
14-06-2005, 18:07 door
[Account Verwijderd]
[Verwijderd]
Een goed mailscanner pakket scant ook op vulnerable code dus
executable of niet...wordt dan toch tegen gehouden. Tevens wordt door een
goed mailscan pakket ook op phising en andere vormen gescant en wordt
door een iets betere mailscanner onschadelijk gemaakt...Het gebruik van
RBLs en Razor in combinatie met DCC haalt 99,9999% procent
eruit....virussen worden ook vaak verspreid door Relays dus die worden
dan ook eruit gehaald, daar heb je niet eens virusscanner voor nodig. Een
goede firewall herkent een portscan of een scan van een virus en voegd
het ip-adres waar het vandaan komt meteen in de drop list van de firewall.
Dit is bijvoorbeeld het principe van Iptables in combinatie met PortSentry
op LINUX...hier kunnen de meeste andere firewalls nog iets van leren...
Als je trouwens gebruik maakt van een IPS/NIPS zal alles waar patterns
van bekend zijn worden tegengehouden. Alles wat encrypted is of verdacht
is wordt in quarantine geplaatst. En kan vrijgegeven worden door iemand
die er verstand van heeft...
Niets is 100% veilig maar als je de tijd verlengd waarin de gepleegd moet
worden kun je sneller preventief handelen. Tevens is een Honeynet ook
geen overbodige luxe op die manier is er bijv. de keuze uit tien systemen
en maar eentje geeft toegang tot iets nuttigs.....
Het gebruik van verschillende toegangs technieken is ook geen
overbodige luxe...tevens als je gebruik maakt van wachtwoorden...nooit
dezelfde gebruiken op verschillende systemen....
executable of niet...wordt dan toch tegen gehouden. Tevens wordt door een
goed mailscan pakket ook op phising en andere vormen gescant en wordt
door een iets betere mailscanner onschadelijk gemaakt...Het gebruik van
RBLs en Razor in combinatie met DCC haalt 99,9999% procent
eruit....virussen worden ook vaak verspreid door Relays dus die worden
dan ook eruit gehaald, daar heb je niet eens virusscanner voor nodig. Een
goede firewall herkent een portscan of een scan van een virus en voegd
het ip-adres waar het vandaan komt meteen in de drop list van de firewall.
Dit is bijvoorbeeld het principe van Iptables in combinatie met PortSentry
op LINUX...hier kunnen de meeste andere firewalls nog iets van leren...
Als je trouwens gebruik maakt van een IPS/NIPS zal alles waar patterns
van bekend zijn worden tegengehouden. Alles wat encrypted is of verdacht
is wordt in quarantine geplaatst. En kan vrijgegeven worden door iemand
die er verstand van heeft...
Niets is 100% veilig maar als je de tijd verlengd waarin de gepleegd moet
worden kun je sneller preventief handelen. Tevens is een Honeynet ook
geen overbodige luxe op die manier is er bijv. de keuze uit tien systemen
en maar eentje geeft toegang tot iets nuttigs.....
Het gebruik van verschillende toegangs technieken is ook geen
overbodige luxe...tevens als je gebruik maakt van wachtwoorden...nooit
dezelfde gebruiken op verschillende systemen....
Waarom windows blijven gebruiken als het allemaal om
internet, office, e-mail en chatten draait. ?
Ik snap het niet.... er zijn zoveel alternatieven waar je
dit probleemloos mee kan doen en waarvoor je niet eens 1
virusscanner nodig hebt.
internet, office, e-mail en chatten draait. ?
Ik snap het niet.... er zijn zoveel alternatieven waar je
dit probleemloos mee kan doen en waarvoor je niet eens 1
virusscanner nodig hebt.
Door Anoniem
Ik snap het niet.... er zijn zoveel alternatieven waar je
dit probleemloos mee kan doen en waarvoor je niet eens 1
virusscanner nodig hebt.
Leuk bedacht, maar er zijn meer zaken waar je rekening meeIk snap het niet.... er zijn zoveel alternatieven waar je
dit probleemloos mee kan doen en waarvoor je niet eens 1
virusscanner nodig hebt.
moet houden dan gebruik van 'internet, office, e-mail en
chatten'
Ik ga hier bij 1100+ desktops niet even omschakelen op Mac
of Linux, al zou ik dat af en toe graag willen. Probleemloos
zou ik namelijk ook niet willen zeggen.
Door Anoniem
moet houden dan gebruik van 'internet, office, e-mail en
chatten'
Ik ga hier bij 1100+ desktops niet even omschakelen op Mac
of Linux, al zou ik dat af en toe graag willen. Probleemloos
zou ik namelijk ook niet willen zeggen.
Door Anoniem
Ik snap het niet.... er zijn zoveel alternatieven waar je
dit probleemloos mee kan doen en waarvoor je niet eens 1
virusscanner nodig hebt.
Leuk bedacht, maar er zijn meer zaken waar je rekening meeIk snap het niet.... er zijn zoveel alternatieven waar je
dit probleemloos mee kan doen en waarvoor je niet eens 1
virusscanner nodig hebt.
moet houden dan gebruik van 'internet, office, e-mail en
chatten'
Ik ga hier bij 1100+ desktops niet even omschakelen op Mac
of Linux, al zou ik dat af en toe graag willen. Probleemloos
zou ik namelijk ook niet willen zeggen.
Het artikel begint met:
Het gebruik van een virusscanner onder thuisgebruikers is
nog altijd bedroevend laag
Voor een thuisgebruiker die alleen office, internet, e-mail
en wil chatten is het absoluut niet noodzakelijk om windows
te blijven gebruiken en zich alsmaar bezig te houden met het
onderhouden van een PC.
Er zijn toch ook wel leuke dingen met de PC je vrije tijd te
doen ?
Zoals gebruiken bijvoorbeeld ?
14-06-2005, 23:31 door
Bitwiper
Ik vind vooral dit de titel van het artikel erg slecht gekozen.
Deze site wordt door veel mensen bezocht die geen
security expert zijn, en zij zouden de (m.i. onterechte)
indruk kunnen krijgen dat het verstandig is om meer dan 1
virusscanner op hun (thuis) PC te installeren. In elk geval
zou ik nooit twee of meer achtergrond ("on-access")
virusscanners op een systeem laten draaien: dat is vragen om
problemen.
Redenen: als je een scanner hebt die verdachte bestanden in
een quarantaine directory plaatst loop je het risico dat de
tweede scanner dat probeert te voorkomen; het is de vraag
hoe dit afloopt. Ook is veel malware gecomprimeerd;
afhankelijk van hoe een virusscanner "uitpakt" bestaat de
kans dat een andere scanner op dat moment de zaak blokkeert.
Daarnaast wordt je PC trager, de kans op false positives en
een niet meer bootende PC nemen toe, evenals mogelijke
privilege escalations (alleen relevant als je normaal geen
admin account gebruikt). Het risico op bugs in een van je
scanners (en exploits daarvoor) neemt ook toe, en hoe meer
scanners, hoe meer kans op problemen bij het installeren (of
updaten!) van software. Meerdere scanners kopen lijkt me
bovendien zonde van je geld. Last but not least, bij verse
malware zit het er in dat geen enkele van je scanners
wat vindt, zie
http://www.security.nl/article/10983/1/Bericht_zelfmoordpoging_Michael_Jackson_is_Trojaans_paard.html
Als je twijfelt over een bestand kun je het op een van de
internet scanners aanbieden, of gewoon een weekje apart
zetten in een speciaal mapje en dan, na gecheckt te hebben
dat je scanner is ge-update, nogmaals scannen.
Ten slotte: heuristische detectie is leuk, maar leidt al
snel tot false positives en is in de praktijk vooral een
reclame slogan van het type "morgen is alles beter". Veel
moderne software kan zelfstandig (of via bijv. MSIE)
legitieme internet verbindingen opzetten, en er zijn zat
handige tooltjes die toetsaanslagen "meekijken". Het is
ondoenlijk om die allemaal bij antivirus fabrikanten te
laten whitelisten.
Erik van Straten
Deze site wordt door veel mensen bezocht die geen
security expert zijn, en zij zouden de (m.i. onterechte)
indruk kunnen krijgen dat het verstandig is om meer dan 1
virusscanner op hun (thuis) PC te installeren. In elk geval
zou ik nooit twee of meer achtergrond ("on-access")
virusscanners op een systeem laten draaien: dat is vragen om
problemen.
Redenen: als je een scanner hebt die verdachte bestanden in
een quarantaine directory plaatst loop je het risico dat de
tweede scanner dat probeert te voorkomen; het is de vraag
hoe dit afloopt. Ook is veel malware gecomprimeerd;
afhankelijk van hoe een virusscanner "uitpakt" bestaat de
kans dat een andere scanner op dat moment de zaak blokkeert.
Daarnaast wordt je PC trager, de kans op false positives en
een niet meer bootende PC nemen toe, evenals mogelijke
privilege escalations (alleen relevant als je normaal geen
admin account gebruikt). Het risico op bugs in een van je
scanners (en exploits daarvoor) neemt ook toe, en hoe meer
scanners, hoe meer kans op problemen bij het installeren (of
updaten!) van software. Meerdere scanners kopen lijkt me
bovendien zonde van je geld. Last but not least, bij verse
malware zit het er in dat geen enkele van je scanners
wat vindt, zie
http://www.security.nl/article/10983/1/Bericht_zelfmoordpoging_Michael_Jackson_is_Trojaans_paard.html
Als je twijfelt over een bestand kun je het op een van de
internet scanners aanbieden, of gewoon een weekje apart
zetten in een speciaal mapje en dan, na gecheckt te hebben
dat je scanner is ge-update, nogmaals scannen.
Ten slotte: heuristische detectie is leuk, maar leidt al
snel tot false positives en is in de praktijk vooral een
reclame slogan van het type "morgen is alles beter". Veel
moderne software kan zelfstandig (of via bijv. MSIE)
legitieme internet verbindingen opzetten, en er zijn zat
handige tooltjes die toetsaanslagen "meekijken". Het is
ondoenlijk om die allemaal bij antivirus fabrikanten te
laten whitelisten.
Erik van Straten
15-06-2005, 11:10 door
SirDice
Door Anoniem
Waarom windows blijven gebruiken als het allemaal om
internet, office, e-mail en chatten draait. ?
Ik snap het niet.... er zijn zoveel alternatieven waar je
dit probleemloos mee kan doen en waarvoor je niet eens 1
virusscanner nodig hebt.
Lekker kort door de bocht.. Jij hebt zeker alleen ervaringWaarom windows blijven gebruiken als het allemaal om
internet, office, e-mail en chatten draait. ?
Ik snap het niet.... er zijn zoveel alternatieven waar je
dit probleemloos mee kan doen en waarvoor je niet eens 1
virusscanner nodig hebt.
met netwerken met minder dan 10 pc's?
Door Peter V.
Helaas bestaat er een worm die GEEN gebruik maakt van een
executable. Blokkeren van exe-bestanden is daarom ook geen
goede beveiliging.
Dit is ook niet onze "enige" beveiliging. Eerst eenHelaas bestaat er een worm die GEEN gebruik maakt van een
executable. Blokkeren van exe-bestanden is daarom ook geen
goede beveiliging.
virusscanner, dan wat andere malware scans en als het dan
nog niet herkend wordt zijn er nog diverse bestandstypen die
we niet toestaan en eruit gefilterd worden.
Het blokkeren van executables heeft, tot nog toe, alle
nieuwe virussen tegen gehouden die (nog) niet herkent werden door
de virusscanner. Het heeft dus wel degelijk zin.. Maar ik
ben het ermee eens dat er meer moet gebeuren dan alleen het
filteren op executables.
Overigens beschouw ik een vbs script of een java script ook als executable.
Ik wil niet veel zeggen maar als c programmeur ben ik in staat om met 1
zelfgeschreven engine per dag rustig volledig automatisch nieuwe
viruscode te genereren en deze automatisch te laten compileren..Kwestie
van genoeg routines en verschillende opbouw. Knap bedrijf wat tegen
zulke efficiency zou kunnen opboksen..
Die hele anti4us hype heeft maar 1 doel de gebruikers een gevoel van
veiligheid geven...wat er niet is..
Money rulez...het stinkt aan alle kanten.
dat sjeg ik.
zelfgeschreven engine per dag rustig volledig automatisch nieuwe
viruscode te genereren en deze automatisch te laten compileren..Kwestie
van genoeg routines en verschillende opbouw. Knap bedrijf wat tegen
zulke efficiency zou kunnen opboksen..
Die hele anti4us hype heeft maar 1 doel de gebruikers een gevoel van
veiligheid geven...wat er niet is..
Money rulez...het stinkt aan alle kanten.
dat sjeg ik.
2 antivirusscanners op 1 pc?
LOL, dat bedoelen ze toch echt niet wel?
2 virusscanners op 1 pc is helemaal niet veilig,
en we weten allemaal waarom...
virusscanner in server / firewall / werkstation is altijd
wel aan te raden.
als goed programmeur kun je ook wel een protocol verzinnen,
waarmee je virussen laat communiceren enzo binnen 15 min het
internet gescant hebt, en diverse exploits geprobeerd om
binnen te komen,
en die ook wel instand te houden.
ooit artikel over gelezen @ packetstorm, wel interresant.
maar welke "goeie" programmeur heeft hier zin in :S
LOL, dat bedoelen ze toch echt niet wel?
2 virusscanners op 1 pc is helemaal niet veilig,
en we weten allemaal waarom...
virusscanner in server / firewall / werkstation is altijd
wel aan te raden.
als goed programmeur kun je ook wel een protocol verzinnen,
waarmee je virussen laat communiceren enzo binnen 15 min het
internet gescant hebt, en diverse exploits geprobeerd om
binnen te komen,
en die ook wel instand te houden.
ooit artikel over gelezen @ packetstorm, wel interresant.
maar welke "goeie" programmeur heeft hier zin in :S
Als goed programmeur heb ik hier geen zin..
Voordat je het weet ligt er ergens een ziekenhuis plat of heb je een
instantie te pakken welke driftig bezig is de 3e wereld waar ze echt honger
lijden of aan allerlei ziektes lijden...
Je moet er toch niet aan denken om zoiets op je geweten te hebben.
Blijf er bij die antuvirus hype..klinkt wel aardig en daar is het mee
gezegd..tis 1 grote puinhoop en we werken er allemaal aan mee.
Voordat je het weet ligt er ergens een ziekenhuis plat of heb je een
instantie te pakken welke driftig bezig is de 3e wereld waar ze echt honger
lijden of aan allerlei ziektes lijden...
Je moet er toch niet aan denken om zoiets op je geweten te hebben.
Blijf er bij die antuvirus hype..klinkt wel aardig en daar is het mee
gezegd..tis 1 grote puinhoop en we werken er allemaal aan mee.
15-06-2005, 19:06 door
Nabulafia
15-06-2005, 21:37 door
[Account Verwijderd]
[Verwijderd]
26-06-2005, 20:17 door
Nabulafia
Door NielsT
Hier werkt de link wel, maar hier staat hij helemaal bovenaan:
http://nsa1.www.conxion.com/support/download.htm
Er gebeuren rare dingen vandaag (26-06; 20:10):Hier werkt de link wel, maar hier staat hij helemaal bovenaan:
http://nsa1.www.conxion.com/support/download.htm
- handmatig invoeren url geeft 'pagina niet beschikbaar; tot daar aan toe,
dat gebeurt wel meer en is tijdelijk euvel
- kopiëren en plakken in adresbalk IE verbindt me wél... voor enkele
seconden, waarna ik terug op déze pagina terugkom.
Nog nooit meegemaakt... Enig idee wat er aan de hand is?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
