image

"Nieuwe naam voor virussen, wormen en spyware nodig"

donderdag 20 september 2007, 09:59 door Redactie, 19 reacties

Niet de technische werking, maar de economische schade die malware veroorzaakt moet bepalen in welke categorie het valt, zo zijn twee anti-virusveteranen van mening. Het huidige systeem richt zich meer op de techniek achter de malware, en negeert voor gebruikers belangrijkere zaken, zoals hoe de malware geld probeert te stelen. "Ik heb een achtergrond van meer dan 26 jaar technische ondersteuning, en het irriteert me dat we mensen tegen dingen beschermen, en dat zij niet weten waar tegen we ze beschermen", zegt David Perry van Trend Micro.

Samen met collega Anthony Arrott presenteert Perry vandaag een paper om digitale dreigingen aan de hand van de economische schade die ze veroorzaken te beoordelen. Volgens de twee virusbestrijders zijn de huidige termen van virussen, Trojaanse paarden, dialers, adware etc., te ingewikkeld voor de doorsnee gebruiker. Er moeten daarom nieuwe beschrijvingen komen, wat ook voor minder categorieën zou zorgen.

De nieuwe beoordeling kijkt hoe een dreiging wordt geïnstalleerd, wat het economische motief is, hoe het de computer misbruikt en zichzelf weet te verbergen.

Reacties (19)
20-09-2007, 10:51 door SirDice
Het maakt niet uit welke classificatie en benaming je het beestje geeft, journalisten en gebruikers geven er toch hun eigen draai aan. Na een tijdje is ook die onderverdeling "te complex" omdat iedereen te pas en te onpas de verkeerde gebruikt.

En zo moeilijk is de onderverdeling virus, worm, trojan, ad- en spyware niet.. Alleen jammer dat mensen die er totaal geen verstand van hebben alles onder de noemer virus gooien (terwijl de meeste "virussen" eigenlijk wormen zijn).
20-09-2007, 11:06 door Anoniem
Ik heb een voorstel we maken de volgende catagorien aan:

Windows Undocumented
Windows By design
Windows Regression tested
Windows Keep it quiet
Windows SP1
Windows SP2
Windows SP3
Windows SP4
Windows Feature
Windows User signed Agreement
20-09-2007, 11:31 door Anoniem
@SirDice op donderdag 20 september 2007 10:51

Hear, hear. Leuke PR stunt van Perry overigens.

Een classificatiesysteem naar economische schade is natuurlijk altijd veel
complexer dan een classificatie naar type (met enige hierarchie) omdat die
ofwel subjectief is ofwel niet uitvoerbaar omdat het teveel tijd kost.
20-09-2007, 11:47 door Anoniem
Door Anoniem
Ik heb een voorstel we maken de volgende catagorien aan:

Windows Undocumented
Windows By design
Windows Regression tested
Windows Keep it quiet
Windows SP1
Windows SP2
Windows SP3
Windows SP4
Windows Feature
Windows User signed Agreement


Linux freak? (Als Linux het markaandeel van Windows had, zat iedereen
daarop te zeiken. Gewone Huis-Tuin-en-Keuken gebruikers snappen niks
van rechten, en willen zonder teveel gedoe de software gebruiken die zij
willen gebruiken. En een it-beheerder vinden ze overbodig, ze verklote hun
systeem liever verder dan dat ze er iemand naar laten kijken voordat het te
laat is (Maar hun auto staat bij het minste akefietje bij de garage).
20-09-2007, 11:58 door Anoniem
Door Anoniem
Door Anoniem
Ik heb een voorstel we maken de volgende catagorien aan:

Windows Undocumented
Windows By design
Windows Regression tested
Windows Keep it quiet
Windows SP1
Windows SP2
Windows SP3
Windows SP4
Windows Feature
Windows User signed Agreement


Linux freak? (Als Linux het markaandeel van Windows had, zat iedereen
daarop te zeiken. Gewone Huis-Tuin-en-Keuken gebruikers snappen niks
van rechten, en willen zonder teveel gedoe de software gebruiken die zij
willen gebruiken. En een it-beheerder vinden ze overbodig, ze verklote hun
systeem liever verder dan dat ze er iemand naar laten kijken voordat het te
laat is (Maar hun auto staat bij het minste akefietje bij de garage).
Gewoon negeren.
20-09-2007, 12:08 door Anoniem
Linux freak? (Als Linux het markaandeel van Windows had, zat
iedereen daarop te zeiken.
Helemaal mee eens. Ten aanzien van web servers welke op *ix
functioneren (66% van de markt) zie je ook dat er veel malware voor is.
Als het markt aandeel van Apple meer groot wordt, krijgen die arogante
gebruikers ook wel genoeg malware te verduren.
20-09-2007, 12:21 door Anoniem
Door SirDice
Het maakt niet uit welke classificatie en benaming je het beestje geeft,
journalisten en gebruikers geven er toch hun eigen draai aan. Na een tijdje
is ook die onderverdeling "te complex" omdat iedereen te pas
en te onpas de verkeerde gebruikt.

En zo moeilijk is de onderverdeling virus, worm, trojan, ad- en spyware
niet.. Alleen jammer dat mensen die er totaal geen verstand van hebben
alles onder de noemer virus gooien (terwijl de meeste
"virussen" eigenlijk wormen zijn).

Maar Perry en Arrott hebben wel gelijk vind ik. Mijns inziens is het wel
degelijk een risico dat malware allerlei exotische namen krijgt. Vele
hoaxes (inclusief fantasienamen van niet-bestaande virussen) zijn hierop
gebouwd. Het probleem is juist dat een objectieve referentie ontbreekt, en
verschillende anti-virusbakkers ook nog eens hun eigen namen bedenken.
Verwarring ten top dus.

Ik zou malware daarom voorzien van een objectieve aanduiding, zoals
jaartal-volgnummer en eventueel een paar klasse-aanduidingen, zoals:
- klasse m.b.t. de verspreidingsgraad is (zegt wat over de KANS);
- klasse m.b.t. de potentiele schade is (zegt wat over de IMPACT).
Dus bijvoorbeeld 2007/355-K1-I1. De naam kan eventueel wijzigen: als de
kans stijgt wordt het dan 2007/355-K2-I1.

Onzin-meldingen zijn zodoende eenvoudiger identificeerbaar (voldoen niet
aan de naamgeving en/of kloppen niet met de klasse-aanduidingen) en
v.w.b. de dirty details (wat doet het ding, hoe verwijder je het, etc.) kan
iedereen in de centrale virus-database checken.

Peter.
20-09-2007, 13:39 door Anoniem
Peet,

De impact verandert toch steeds na een security update? Dus de
klasseaanduiding is dan wel constant ah veranderen.


En die klasses zijn er toch al?
20-09-2007, 13:50 door Anoniem
Bovenstaande reactie was niet van mij (voor alle duidelijkheid)
20-09-2007, 14:24 door spatieman
clasiefied als ongewenst.
20-09-2007, 15:31 door Anoniem
"Ik heb een voorstel we maken de volgende catagorien aan"

@ Redactie:

Waarom plaatsen jullie onzin reacties, gezien jullie modereren kunnen jullie
dergelijke berichten toch gewoon niet plaatsen.....
20-09-2007, 16:41 door lievenme
Door Anoniem
"Ik heb een voorstel we maken de volgende catagorien
aan"

@ Redactie:

Waarom plaatsen jullie onzin reacties, gezien jullie
modereren kunnen jullie
dergelijke berichten toch gewoon niet plaatsen.....
blijkbaar iemand die pleit voor Big Security Brother.nl
20-09-2007, 17:23 door Anoniem
wanneer maken ze nou eens een operating system eerst 100% evilware-
proof en brengen het dan pas op de markt?
20-09-2007, 17:54 door Anoniem
Door Anoniem
Peet,

De impact verandert toch steeds na een security update? Dus de
klasseaanduiding is dan wel constant ah veranderen.


En die klasses zijn er toch al?

Met de impact doelde ik op de schade die de malware kan aanrichten als
je NIET beveiligd/gepatcht bent. Hoe hoger de impact, hoe meer noodzaak
om te patchen dus. De impact in de naam verandert dus niet. Goede
beveiliging vermindert de KANS dat je door de malware wordt getroffen, en
die factor in de naam zou (zoals ik al aangaf) wél kunnen wijzigen.

En inderdaad, die klasses zijn er al. Hoeft dus geen moeizaam proces
meer te voor te komen om tot overeenstemming te komen. Maar nu
worden die klasses pas duidelijk als je in de 'dirty details' van de malware
duikt. Ik zou ze daarom graag in de naam zien, liever dan een
nietszeggende kreet als "Melissa" of "Code Red" of whatever.

Peter van Z (geen Peter V dus)
20-09-2007, 20:36 door Anoniem
Vele pogingen tot uniforme naamgeving zijn mislukt en ongetwijfeld zullen
er nog vele volgen.

@Anoniem op donderdag 20 september 2007 12:21
Problemen met jouw classificatie:
1. Gebruikers onthouden geen 2-letter afkortingen laat staan dat ze de
betekenis begrijpen of ueberhaupt weten.
2. De verspreidingsgraad is op het moment van naamgeving in verreweg
de meeste gevallen niet bekend.
3. Voor de impact is langdurig en kostbaar onderzoek nodig. Die is op het
moment van naamgeving eveneens niet bekend.

Er is al een centrale database voor virusnamen, meerdere zelfs.
Bijvoorbeeld Vgrep van Dmitry Gryaznov/Ian Whalley en XREF van Andreas
Marx. Niet bedoeld voor gewone eindgebruikers, ik denk ook niet dat die
daar een behoefte aan hebben.

Eindgebruikers hebben wel behoefte aan goede gegevens over wat
bepaalde malware doet. Het is wel zo dat de meeste anti-virus
producenten virusbeschrijvingen zien als een pr instrument. Men hoopt
uiteraard dat journalisten en gebruikers naar hun site zullen verwijzen.
Sommigen hopen ook met een maximum aan standaard vulling weg te
komen. Maar zo dom zijn gebruikers nu ook weer niet.
21-09-2007, 10:22 door Anoniem
@anoniem 20 september 20:36

1. Gebruikers onthouden geen 2-letter afkortingen laat staan dat ze de
betekenis begrijpen of ueberhaupt weten.
>>> Geen probleem. De betekenis kunnen ze opzoeken (als ze willen).
Waar ik graag van af wil is die, per anti-virusbakker vaak verschillende,
fantasienamen waarmee het ook nog eens makkelijk hoaxes verzinnen is.
Een naam moet eenduidig zijn, en je moet eraan kunnen refereren.

2. De verspreidingsgraad is op het moment van naamgeving in verreweg
de meeste gevallen niet bekend.
>>> Toch slagen anti-virusbedrijven er steeds in die van meet af aan vast
te stellen, dus dat zal wel meevallen. Meldingen van een nieuw virus
komen doorgaans van de wereldwijde gebruikersorganisaties, en je weet
dus al zeer snel hoeveel personen aan de lijn hangen. Meer dan high,
medium of low hoeft het trouwens m.i. niet te zijn.

3. Voor de impact is langdurig en kostbaar onderzoek nodig. Die is op het
moment van naamgeving eveneens niet bekend.
>>> Dus is de impact in het begin onbekend, prima toch? Zodra er een
update voor is (en dat is vaak al binnen een paar uur na ontdekking) is er
vastgesteld wat het virus doet en is de impact bepaald. Ik zie het probleem
niet zo.

Er is al een centrale database voor virusnamen, meerdere zelfs.
>>> Precies, meerdere zelfs ... Naamgeving standaardiseren is dus
nodig.

Eindgebruikers hebben wel behoefte aan goede gegevens over wat
bepaalde malware doet.
>>> Ja. Zodoende kwam ik dus tot mijn idee over naamgeving. Nu zegt de
naam vaak te weinig over wat de malware doet.

Peter van Z
21-09-2007, 14:07 door Anoniem
Door Anoniem
Ik heb een voorstel we maken de volgende catagorien aan:

Windows Undocumented
Windows By design
Windows Regression tested
Windows Keep it quiet
Windows SP1
Windows SP2
Windows SP3
Windows SP4
Windows Feature
Windows User signed Agreement

Top indeling!! haha
21-09-2007, 18:11 door Anoniem
Eindgebruikers hebben wel behoefte aan goede gegevens
over wat bepaalde malware doet.
Je hebt eindgebruikers en eindgebruikers.
22-09-2007, 04:35 door Karl Hungus
Door SirDice
En zo moeilijk is de onderverdeling virus, worm, trojan, ad-
en spyware niet.. .
Jawel, veel malware valt helaas in meerdere categorieën.

Door SirDice
Alleen jammer dat mensen die er totaal geen verstand van
hebben alles onder de noemer virus gooien .

Klopt. Maar waarom zeuren over een woordje (hacker versus
cracker bijvoorbeeld) dat niet helemaal correct gebruikt
wordt in populaire media? Zolang vakliteratuur het
onderscheid maar maakt, zo weet Jan Modaal tenminste
ongeveer waarover het gaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.