image

Rootkit expert: Anti-virus software is zinloos

vrijdag 27 oktober 2006, 10:50 door Redactie, 26 reacties

Volgens de bekende rootkit expert Joanna Rutkowska heeft het geen zin om anti-virus software te gebruiken. De Poolse gebruikt zelf dan ook geen virusscanner. Ze is niet te spreken over de aanpak die veel virusbestrijders gebruiken, namelijk alleen het blokkeren van bekende malware. Ze gelooft ook niet in Host Intrusion Detection Systemen met kunstmatige intelligentie om onbekende aanvalsvectoren te stoppen.

"Ik ben voorzichtig als ik surf, ik gebruik NoScript en open nooit verdachte e-mails of PowerPoint/PDF documenten". Ze beseft dat dit niet genoeg is, omdat er tal van mogelijkheden zijn om kwaadaardige code op haar systeem te krijgen. Vandaar dat Rutkowska regelmatig een zelf geschreven tool draait om de integriteit van het systeem te controleren. Daarnaast gebruikt ze Wireshark om het verkeer te controleren.

In dit interview laat Rutkowska weten dat ze het ontwikkelen van rootkits niet als een gevaar ziet, waarom ze met virtual machine-gebaseerde rootkits werkt, wat Blue Pill doet en wat er mis is met de huidige beveiligingssoftware.

Reacties (26)
27-10-2006, 11:01 door Anoniem
Ze heeft geen gelijk. Virus-scanners beschermen de
eenvoudige computer gebruikers (99% van alle
computergebruikers) tegen de bekendste gevaren. Dat zij
niet bij de doelgroep hoort, ligt aan het feit dat ze geen
simpele computergebruiker is.
27-10-2006, 11:03 door Anoniem
Rutkowska vergeet voor het gemak dat er tegenwoordig anti-virus is dat
ook een of meerdere pro-actieve component heeft. McAfee en Eset
bijvoorbeeld.

Als je wat weet over het maken van malware betekent dat nog niet dat je
verstand hebt van anti-malware, dit is wel weer een duidelijke
demonstratie daarvan.
27-10-2006, 11:40 door Anoniem
Ik geef haar groot gelijk. Ik heb een Windows XP machine met
SP2 achter een NAT-router, en ik surf best gevaarlijk, maar
ik ben nog nooit besmet. Maar die machine is dan ook
volledig op te offeren, als ik 'm opnieuw moet installeren
dan heb ik daar helemaal geen probleem mee. SP2 er op en
klaar is klara.

Overigens gebruik ik geen IE en geen OE op die doos...
alleen firefox als default browser.
27-10-2006, 11:46 door fd0
gewoon een ander OS gebruiken wat impliciet veiliger is dan
Windows
27-10-2006, 11:46 door LaFolie
Door Anoniem
Rutkowska vergeet voor het gemak dat er tegenwoordig
anti-virus is dat
ook een of meerdere pro-actieve component heeft. McAfee en Eset
bijvoorbeeld.

Als je wat weet over het maken van malware betekent dat nog
niet dat je
verstand hebt van anti-malware, dit is wel weer een duidelijke
demonstratie daarvan.

En dat wordt gezegd door .... 'anoniem' !?
27-10-2006, 12:24 door Anoniem
Door LaFolie
En dat wordt gezegd door .... 'anoniem' !?

Misschien kun je inhoudelijk reageren i.p.v. op de persoon?
27-10-2006, 12:45 door Anoniem
Nooit een virus gehad, antivirus zijn maken windows traag..
gewoon windows niet als enige OS gebruiken, niet als admin
inloggen + firexox gebruiken en een samba server in je
netwerk met je documenten er op. NIET TE VEEL troep er op
installeren. GEEN OUTLOOK maar firefox, werken met junkmail
opties van deze ook.

Er zijn zo veel manieren om veilig te zijn, hier kan ik de
hele dag doorgaan (en zonder virusscanner of weet ik welke
trage kostbare tool)
27-10-2006, 13:29 door Anoniem
Er zijn vast ook mensen die nooit condooms gebruiken en nooit besmet
raken met een geslachtsziekte. Maar ook dat is - net als wat deze dame
doet met haar PC - een vorm van calculerend gokken. Ik wens haar sterkte.
Zelf trek ik me niks aan van haar drogredenen en handhaaf óók mijn
digitale condomerie.
27-10-2006, 16:36 door dman
wij van wc eend, gebruiken geen glorix!
27-10-2006, 17:42 door Anoniem
Door Anoniem
GEEN OUTLOOK maar firefox, werken met junkmail
opties van deze ook.

Dit is onzin. Ten eerste ben je hier een mail pakket aan het vergelijken met
een browser. Ten tweede is Outlook en Outlook Express aantoonbaar
veiliger dan bijvoorbeeld Thunderbird. De eerste twee blokkeren namelijk
executables en dat doet Thunderbird niet. Beveiligingslekken in e0mail
pakketten worden vrijwel nooit gebruikt. Er zijn nog wel een paar oude
virussen die dat deden, maar dat werkt alleen als je nog met antieke
software werkt.
27-10-2006, 19:03 door K800i
op een andere computer van mij zat ook een rootkit. nod32 is daarop geinstalleerd
en zelfs die kon het niet vinden of tegenhouden uiteindelijk heeft
spysweeper het gedetecteerd maar toen was de rootkit al meerdere
weken op de computer aanwezig.
27-10-2006, 23:54 door the virusman
zijn er hier mensen die ervaringen hebben met de rootkit verwijderaar van
F-secure ?? (mijn pc is vrij van rootkits volgens dit programma)

Ik geloof zeker dat virusscanners wel nut hebben, op haar level (Joanna Rutkowska )misschien
idd niet. Maar er zijn maar weinig mensen die op dit niveau opereren.

Haar punt is echter dat er toch wel degelijk mensen zijn met minder goede bedoelingen die ook op dit niveau opereren en we te maken krijgen met totaal onzichtbare processen die door geen enkele scanner gezien worden, simpelweg omdat er niets te zien is.

De gevaren van een iets lagere gradatie (lees nog steeds een hoog
niveau) zijn met de juiste software te ondervangen.
28-10-2006, 11:23 door Anoniem
als je weet waar je mee bezig bent is een virusscanner
misschien niet echt nodig. toch gebruik ik 'm wel als extra
veiligheid, als ik iets download wat ik toch niet helemaal
vertrouw is het handig om te kijken of dat gevoel klopte.

maar voor mensen met minder computer kennis is een
virusscanner gewoon een goed idee.
28-10-2006, 12:12 door Anoniem
als je weet waar je mee bezig bent is een virusscanner
misschien niet echt nodig.

Ik heb ook geen virus scanner vind ze iritant en gebruiken enorm veel
geheugen.Wel installeer ik het om de zoveel tijd vanwege msn omdat daar
de enigste kans is waarbij data sneller geinfecteerd zou kunnen zijn.En
installeer windows gewoon opnieuw om de 2 maanden ofzo.

Kwa beveiliging doe ik er ook niks aan heb nog steeds service pack1 en
doe verder ook niks aan de beveiliging.Hiervoor heb ik weer een aparte pc
voor netwerk analyze.
28-10-2006, 12:17 door Anoniem
Door the virusmen
Haar punt is echter dat er toch wel degelijk mensen zijn met minder goede
bedoelingen die ook op dit niveau opereren en we te maken krijgen met
totaal onzichtbare processen die door geen enkele scanner gezien
worden, simpelweg omdat er niets te zien is.

De gevaren van een iets lagere gradatie (lees nog steeds een hoog
niveau) zijn met de juiste software te ondervangen.

Het heeft niets met niveau te maken, je kunt eenvoudigweg niet elke
pagina die je bezoekt handmatig controleren voordat je hem laadt. Ze doet
aan controle achteraf (duidelijk te lezen), dus als het al te laat is. Anti-virus
is een preventief middel.
28-10-2006, 15:41 door the virusman
natuurlijk kun je iedere pagina niet controleren voor je hem laadt, en idd ze
controleerd achteraf.
Wat ik duidelijk probeerde te maken is dat kwaadwillende software op het
niveau geschreven van mensen als Joanna niet te stoppen is, althans niet
door de huidige generatie scanners.

Btw Eset nod32 komt binnenkort officieel met versie 2.7 de detectie graad
in deze versie moet nog veel hoger liggen en probeerd de gevaren van de
onzichtbare processen (rootkits) nog beter aan te pakken.
28-10-2006, 16:58 door Anoniem
Misschien heb je het artikel niet goed gelezen, Dr Joanna
Rutkowska doet wel degelijk aan preventie, ze scant met een
browser (FF 2.0) die script blokkeert, laat geen onveilige
processen draaien, blokkeert de algemene malware vectoren en
weet wat zij klikt. De massa weet niet waarop en waarnaar
ze klikken of wat ze wegklikken, dus die zijn soms met
gelaagde bescherming nog niet te helpen. (jammer maar maar
al te waar, botnets zijn het bewijs).
Men zou eigenlijk een heleboel computers tegen zekere
gebruikers moeten beschermen. Binnenin de browser scannen
met de pre-link scanner van DrWeb of vooraf weten wat je
zoek queries zijn door http://www.scandoo.com te gebruiken om te
zoeken, geeft al een heel wat veiliger gevoel. Pani
Rutkowska heeft haar eigen "sandbox" geschapen, die hoeft
dus niet zo bang te zijn om een gecompromitterd systeem als
schoon terug te zetten.

polonus
29-10-2006, 12:46 door Anoniem
In dit artikel Reageert Joanna op een artikel waarin een
nieuwe functionaliteit van Metasploit wordt besproken.
Hierin zit nu een fuzzer verwerkt die de malicious code
zodanig bewerkt dat heuristisch gebaseerde virusscanners
deze niet meer herkennen. Geen enkele herkent de code dan
nog, terwijl deze wel zijn werk doet. De enige manier om nu
nog code te herkennen is door deze te analyseren of uit te
voeren in een gecontroleerde omgeving.
De vragen die uit zo'n analyse komen zijn te ingewikkeld
voor de meeste gebruikers, "Mag deze applicatie een
wijziging in het register utivoeren?" enzo.
29-10-2006, 13:13 door Anoniem
ESET heeft NOD32 2.7 Beta al voor iedereen beschikbaar
gesteld; zie de officieele aankondiging op de
[url=http://www.wilderssecurity.com/showthread.php?s=8f499460527d64d43b9c2ade2cbe04dd&t=152249[ESET
Forums][/url]
29-10-2006, 17:11 door Anoniem
29-10-2006, 22:08 door Anoniem
er is geen helige graal, zolang mensen bestaan zullen er
problemen bestaan :)

dus we kunnen eeuwige discussies voeren, uiteindelijk is het
een combinatie van zaken die men moet toepassen om zo
veilig(ER) te werken
30-10-2006, 01:33 door Anoniem
In dit artikel Reageert Joanna op een artikel waarin een
nieuwe functionaliteit van Metasploit wordt besproken.
Hierin zit nu een fuzzer verwerkt die de malicious code
zodanig bewerkt dat heuristisch gebaseerde virusscanners
deze niet meer herkennen.

fuzzer: yup. Opmerking over heuristiek in virusscanners:
incorrect. Check met NOD32 - en wellichte met BitDefender 10
of desnoods met een goed getweakede Kaspersky.

De enige manier om nu
nog code te herkennen is door deze te analyseren of uit te
voeren in een gecontroleerde omgeving.

Neu...niet de enige manier. Dat gezegd: ProcessGuard
en soortgelijke software kan goed van pas komen. En
vanzelfsprekend is een sandboxed omgeving uiteindelijk de
toekomst - mee eens.

De vragen die uit zo'n analyse komen zijn te ingewikkeld
voor de meeste gebruikers, "Mag deze applicatie een
wijziging in het register utivoeren?" enzo.

Nog wel. Activeer alle opties in - bijvoorbeeld -
Kaspersky antivirus 6 in combo met Internet Explorer.
Soortgelijke vragen poppen dan al op. Millioenen gebruiken
inmiddels Kaspersky op deze wijze. Over 3 jaar oftewel de
meerderheid wereldwijd, of www-land houdt virtueel op te
bestaan. Geen Vista of Nix OS voorkomt dat.
01-11-2006, 17:02 door Anoniem
Door Anoniem
Ten tweede is Outlook en Outlook Express aantoonbaar
veiliger dan bijvoorbeeld Thunderbird. De eerste twee
blokkeren namelijk
executables en dat doet Thunderbird niet.
Sorry hoor, maar Outlook Express veiliger dan Thunderbird?
Zodra er een plaatje met link in een e-mail zit, maakt
Outlook (Express) verbinding met het internet om deze te
openen. Thunderbird blokkeert dat plaatje gewoon.

Niet dat Thunderbird echt zoveel geweldiger is, maar het is
in mijn boek toch wel degelijk veiliger dan Outlook (of
Outlook Express).
05-11-2006, 09:57 door Anoniem
Ik werk al jaren met w2k op mijn laptop en ook al net zo
lang geen anti-virus, en ook geen virus gehad. Diegene die
ik via de mail binnen krijg zijn altijd zo duidelijk. Nu
moet ik zeggen dat ook ik "vreemde" software gebruik.
Firefox voor t surfen en Lotus Notes voor de mail en als dat
niet aanwezig is Thunderbird.

Maar voor 99% van de gevallen heb ik ook liever dat ze een
anti-virus programma gebruiken, liefst 1 die ook pif, bat,
scr, zip en exe bestanden wegmikt. Scheelt weer een hoop
potentiele virus verspreiders.
05-11-2006, 12:17 door Anoniem
Door Anoniem
Nu moet ik zeggen dat ook ik "vreemde" software gebruik.
Firefox voor t surfen en Lotus Notes voor de mail en als dat
niet aanwezig is Thunderbird.

Notes en Thunderbird werken nadelig voor de virusbesmettingskans. In
Outlook en Outlook Express worden executables geblokkeerd, in Notes en
Thunderbird niet.
02-04-2010, 21:55 door Anoniem
Windows XP is niet het minst veilige systeem, maar wel de meest gewilde voor malwaremakers.
En wanneer iemand die malware maken kent dit soort dingen zegt, dan ga ik bijna denken dat ze veel onbeveiligde systemen op het net wil.
Windows XP kan je beheren in services en processen, en dat een antivirusprogramma je computer vertraagd ligt dan echt aan onkunde over het instellen van processen en services die er starten wanneer windows opstart.

Er zijn veel programma's die wanneer ze zijn geinstalleerd, in je systeemconfiguratie (MSCONFIG) processen automatisch opstarten met windows.
Ook kunnen programma's services installeren, (Configuratiescherm/Systeembeheer/Services) locatie (?:/Windows/system32/services.msc).

Alle programma's die niet met je systeem en je beveiliging te maken hebben kan je uitschakelen en handmatig starten wanneer je het programma wilt gaan gebruiken en afsluiten wanneer je met het programma klaar bent.

Je ramgeheugen en de hoeveelheid processen die actief zijn bepalen de snelheid op een computer, en niet een virusscanner, dat een virusscanner geheugen nodig zal hebben, dat zal duidelijk zijn, maar deze als oorzaak zien, nee, dan heb je weinig verstand van windows.
Zoals je dus ook zelf services en processen kan starten en kan stoppen ook met behulp van taakbeheer.

Net als in windows na het installeren een service pack heeft draaien, die automatisch opstarten (zie services)
Leer al die services eens kennen, dan kan je de snelheid op je computer zelf regelen, en hoef je niet een virusscanner als oorzaak te zien.
Want de services Server en Computerbrowser kunnen uitgeschakeld worden wanneer je geen mappen en bestanden deelt in een eigen netwerk.
en programma's zoals Nero e.d, die laten constant processen meedraaien, die uit kunnen wanneer je nero niet gebruikt.

Dus windows, en ook het register, als je die kent, dan is windows een fantastisch systeem met een volledig pakket aan beveiligingssoftware.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.