Microsoft virusscanner laat virussen door
Na verschillende interne beta tests maakte Microsoft vorige week haar Windows OneCare service toegankelijk voor het grote publiek. Iedereen kan nu de Windows virusscanner en firewall tijdens de testperiode gratis testen. De softwaregigant is namelijk van plan om de dienst in abonnementsvorm volgend jaar aan Windows gebruikers aan te bieden.
Dan moet er nog wel het een en ander gebeuren, aldus Mary Landesman. Windows OneCare werkt namelijk niet met andere firewalls, behalve de firewall die standaard al in Windows XP aanwezig is. Ook werkt de software niet met andere virusscanners en nog veel erger, laat het sommige virussen door.
Landesman ontdekt dat de Goldun keylogger Trojan en een recente variant van de Mitglieder backdoor Trojan niet gevonden werden. In beide gevallen zei OneCare dat de bestanden schoon waren, terwijl andere virusscanners de dreiging wel detecteerde.
Een andere tekortkoming is het feit dat OneCare met wachtwoord beschermde .zip bestanden niet kan scannen. Daar komt bij dat de Windows Firewall nauwelijks bescherming biedt, en standaard door virussen en wormen wordt uigeschakeld.
Tot Microsoft deze problemen oplost is OneCare volgens Landesman alleen interessant voor gebruikers die het allemaal niets kan schelen.
After attending Brevard College, Mary pursued courses in BASIC
programming, DBase, and C++.
Tjonge
wachtwoord beschermde .zip bestanden niet kan scannen.
Education:
After attending Brevard College, Mary pursued courses in BASIC
programming, DBase, and C++.
Tjonge
Uhmmmm.. dus??
-R.
op je pc te krijgen. geweldig die MS software
Antivirusbedrijven kunnen met moeite hun definities voor die .zip-bijlage
virussen met moeite volgen.
Zip-bijlages blokkeren in je email-client blijkt toch het meest efficiente.
Antivirusbedrijven kunnen met moeite hun definities voor die .zip-bijlage
virussen met moeite volgen.
Kromme zin ;)
Op mijn werk hebben we een antivirus rack unit, die tot iedergeval 16 lagen
diep gaat: dus een zip file, in een zip file, in een .. bottleneck is inderdaad
dat wachtwoord beveiligde bestanden niet gecontroleerd kunnen worden.
Dus waarom die niet automatisch de prullenbak in?
Zip-bijlages blokkeren in je email-client blijkt toch het meest efficiente.
Antivirusbedrijven kunnen met moeite hun definities voor die .zip-bijlage
virussen met moeite volgen.
Kromme zin ;)
Op mijn werk hebben we een antivirus rack unit, die tot iedergeval 16 lagen
diep gaat: dus een zip file, in een zip file, in een .. bottleneck is inderdaad
dat wachtwoord beveiligde bestanden niet gecontroleerd kunnen worden.
Dus waarom die niet automatisch de prullenbak in?
-R.
After attending Brevard College, Mary pursued courses in BASIC
programming, DBase, and C++.
Mary is een professionele anti-virus tester die onder andere werkt voor av-
test.org, het Duitse anti-virus test instituut.
Schamper doen over iemand haar achtergrond heeft geen pas. Kun je
geen inhoudelijke argumenten bedenken of werk je bij Microsoft?
wachtwoord beschermde .zip bestanden niet kan scannen.
Ik denk dat je ze wel bent tegengekomen, er zijn er namelijk een fors
aantal. Er zijn diverse technieken voor. Kaspersky Labs was een paar jaar
geleden zo dom om bekend te maken hoe dat in zijn werk gaat.
> Ze controleren dan de zipfile zelf en niet wat er zich
> in die zipfile bevindt.
Ja en nee. Bestandsnamen in encrypted zipfiles zijn zelf
niet encrypted, je kunt dus zonder wachtwoord zien of er
bijv. een .exe file in zit, of iets met een dubbele extensie
en/of heel veel spaties. Een waarschuwing is dan toch wel op
z'n plaats.
Bovendien waren er, als ik me goed herinner, (mail-server)
virusscanners die het password uit de email haalden. Dat
werd lastiger (maar niet onmogelijk) toen virusmakers dat
password in een plaatje gingen stoppen (Beagle.M
bijvoorbeeld). Dergelijke technieken, en zeker dubbele
versleuteling, hebben echter tot gevolg dat de meeste
ontvangers er niet meer in trappen.
Ik heb me er een tijdje niet meer in verdiept, maar voor zover ik weet zijn er geen on-access desktop virusscanners die -met standaard instellingen- gecomprimeerde bestanden uitpakken om de inhoud te scannen, doodeenvoudig omdat dit te veel performance kost (dat doen ze over het algemeen wel als je ze "on demand" de opdracht geeft om een drive, folder of bestand te scannen). Dat is is niet zo erg mits die scanner ook draait op het moment dat je het gecomprimeerde bestand uitpakt.
Erik van Straten
Ze controleren dan de zipfile zelf en niet wat er zich in die zipfile
bevindt.
"Een andere tekortkoming is het feit dat OneCare met wachtwoord
beschermde .zip bestanden niet kan scannen"
Daar hebben we het toch over?
Los daarvan, er vind decryptie plaats, o.a. via de door Kaspersky publiek
gemaakte methode.
Wat Mary zegt is geheel juist. Haar probleem is dat ze inside knowledge
heeft die testers (journalisten) bij IT-bladen niet hebben, de perceptie en
verwachtingen van het publiek over anti-virus stroken daardoor niet altijd
met de werkelijkheid.
De detectieproblemen duiden op het onderschatten van Microsoft dat anti-
virus een real-time service is, er hoort geen gat te zitten tussen het tijdstip
van uitrollen en de eerste signature update.
Die insteek van Microsoft proef je al bij hun houding ten opzichte van
andere security problemen. Ze gaan eerst overleggen, plannen en dan
werken, testen, dat werkt bij gewone software wel, maar niet noodzakelijk
bij systemen waar een near real-time re-actie vereist is.
Het is niet vreemd dat er nogal wat personele mutaties zijn geweest bij de
overname van diverse security bedrijven door Microsoft. Microsoft zou zich
moeten aanpassen aan de deskundigen, niet andersom.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
