Archief - De topics van lang geleden

Gebruikers virusscanner zijn veredeld testvee

27-12-2007, 15:45 door Redactie, 21 reacties

2007 zag niet alleen een verdubbeling van de hoeveelheid malware, ook de traditionele bescherming tegen dit soort ongenode gasten is niet langer zonder risico. Al jaren verdienen anti-virusleveranciers goed geld met het beruchte "signature" model, waarbij er na het verschijnen van een virus of worm een update wordt uitgebracht.

Doordat er zoveel malware verschijnt is het voor virusonderzoekers niet meer te doen om alle exemplaren te onderzoeken, dus heeft men dit proces grotendeels geautomatiseerd, met zeer vervelende gevolgen. Niet alleen de hoeveelheid malware nam toe, ook het aantal false positives. Zo gaven NOD32, Symantec, Kaspersky en nog veel andere allemaal vals alarm, waarbij in sommige gevallen de consument zijn of haar PC opnieuw moest installeren. Aan de ene kant is het niet zinnig om tien uur lang een update te testen, omdat tegen die tijd de malware al weer tien varianten verder is. Het schiet ook niet op als je bij elke signature update maar moet duimen of het goed gaat.

Hierdoor zijn updates voor virusscanners inmiddels net zo gevaarlijk als de malware die ze proberen te stoppen. Er hoeft maar één foute tussen te zitten om je systeem te slopen. En dat is iets wat anti-virusleveranciers zich wel mogen aanrekenen, want de consument is geen onbetaalde tester. Larry Seltzer verwoordt de stelling dan ook van deze week: "Ik denk dat ze de Netscape/Google filosofie hebben: Testen? Daar hebben we onze klanten voor."

Reacties (21)
27-12-2007, 16:11 door Anoniem
Heeft Panda Security hier niets op gevonden met die "cloud"
techniek ?
27-12-2007, 16:21 door Anoniem
verschil is dat google, programma's gratis weggeeft en je voor antivirus
over het algemeen vet moet betalen. Gelukkig met mijn antivirus (betaald)
nog geen ellende gehad (klop klop).
27-12-2007, 16:58 door [Account Verwijderd]
[Verwijderd]
27-12-2007, 19:41 door H.King
Door moppentappers
ik zou met md5 checksums gaan werken
of sha1 checksums
v
Panda style. Ik weet niet of je op de hoogte bent van de feit dat je dan wat
bytes add.En md5 veranderd en de virus scan hem dus niet vind.Dus md5
checksums zijn in mijn ogen slechtste wat je zou kunnen gebruiken alleen
is het wel handig ivm het signature model.
27-12-2007, 20:05 door Anoniem
Als alle software fouten bevat, is iedereen toch min of meer
testvee?
27-12-2007, 20:14 door Anoniem
Je kan het probleem misschien ondervangen door meer dan een
scanner te gebruiken. Als er 1 van 3 zegt dat iets besmet
is, is de kans kleiner dat dat echt zo is en dat scheelt
weer nog meer down-time.
En misschien moet je een aantal oude machines actief houden,
die niet updaten. Dan kan je meer oude virussen detecteren
die niet meer in de huidige lijsten voorkomen. En die moet
je dan wel weer laten scannen door scanners die de nieuwste
dreigingen herkennen.
En je moet minstens een scanner hebben met goede heuristiek.
27-12-2007, 22:37 door [Account Verwijderd]
[Verwijderd]
27-12-2007, 23:35 door Anoniem
Door Anoniem
verschil is dat google, programma's gratis weggeeft en je voor antivirus
over het algemeen vet moet betalen. Gelukkig met mijn antivirus (betaald)
nog geen ellende gehad (klop klop).

google, geeft, programma's, weg, maar, zij, hoeven, niet, een, groot, team,
researchers, te, betalen, voor, updates.

Veel mensen vergeten voor het gemak dat een security programma
updates nodig heeft en dat daar de kosten in gaan zitten. Die updates heb
je ook nodig als je niet van individuele signatures gebruik maakt.

Wat betreft het testen: feit is dat je kwalitatief goede researchers nodig
hebt om een goed product te maken en dat uitgebreid testen iets voor de
zwakkeren is.

Als voor iedere update zou moeten worden getest op de wijze zoals dat
voor andere software gebeurt zouden gebruikers niet blij zijn, want dat kost
weken of maanden.

Neemt niet weg dat een hoeveelheid geautomatiseerde tests wel tot de
standaard procedure moeten behoren. Maar ook daarmee kunnen fouten
worden gemaakt. Mensen maken nu eenmaal fouten en met duizenden
versies is de kans daarop aanzienlijk groter dan bij andere software.
28-12-2007, 01:07 door ctrlaltdelete
Een whitelist is een goed idee.

Ik gebruik naast mijn AV ook een anti-malware programma ( Prevx 2.0) dat
met een whitelist werkt en dat werkt perfect. Voor alle uitvoerbare
bestanden wordt eenmaal op een centrale server gecontroleerd of het een
legitiem bestand is en die info komt in een lokale database op mijn
systeem te staan. Zodat daarna alleen nieuwe of gewijzigde bestanden
gecontroleerd dienen te worden.


False positives zullen er waarschijnlijk altijd wel zijn met een AV. Sommige
merken staan er om bekend dat ze vaker een False Positive hebben dan
andere merken, maar 't overkomt elke AV wel eens.

Natuurlijk maakt het ook wel een verschil of het om een Windows
onderdeel gaat of een programma dat slechts in 1 land op beperkte
schaal wordt gebruikt.
Maar het is gewoon onmogelijk om virusdefinities te testen op ALLE
beschikbare software.

De stelling slaat eigenlijk nergens op, tenzij je wel een hele slechte AV
gebruikt.
28-12-2007, 08:58 door the virusman
Door ctrlaltdelete
Een whitelist is een goed idee.

Ik gebruik naast mijn AV ook een anti-malware programma ( Prevx 2.0) dat
met een whitelist werkt en dat werkt perfect. Voor alle uitvoerbare
bestanden wordt eenmaal op een centrale server gecontroleerd of het een
legitiem bestand is en die info komt in een lokale database op mijn
systeem te staan. Zodat daarna alleen nieuwe of gewijzigde bestanden
gecontroleerd dienen te worden.


False positives zullen er waarschijnlijk altijd wel zijn met een AV.
Sommige
merken staan er om bekend dat ze vaker een False Positive hebben dan
andere merken, maar 't overkomt elke AV wel eens.

Natuurlijk maakt het ook wel een verschil of het om een Windows
onderdeel gaat of een programma dat slechts in 1 land op beperkte
schaal wordt gebruikt.
Maar het is gewoon onmogelijk om virusdefinities te testen op ALLE
beschikbare software.

De stelling slaat eigenlijk nergens op, tenzij je wel een hele slechte AV
gebruikt.


Prevx is idd een aanrader voor iedereen, gebruik het zelf ook naar grote
tevredenheid.Wat de stelling betreft, is onzin
28-12-2007, 09:09 door Anoniem
panda gebruikt toch een signature model isw met die MD5 cloud ?
Handig voor een snelle detectie van varianten lijkt me dat.
28-12-2007, 11:15 door Anoniem
Door Anoniem
Je kan het probleem misschien ondervangen door meer dan een
scanner te gebruiken. Als er 1 van 3 zegt dat iets besmet
is, is de kans kleiner dat dat echt zo is en dat scheelt
weer nog meer down-time.
En misschien moet je een aantal oude machines actief houden,
die niet updaten. Dan kan je meer oude virussen detecteren
die niet meer in de huidige lijsten voorkomen. En die moet
je dan wel weer laten scannen door scanners die de nieuwste
dreigingen herkennen.
En je moet minstens een scanner hebben met goede heuristiek.
Zoals algemeen bekend nooit meer dan 1 scanner gebruiken. De kans dat
ze elkaar in de weg zitten is vrij groot. Je zou een pakket als G-data kunnen
overwegen, deze heeft 2 engines. Je zou wel een 2e on demand scanner
kunnen gebruiken en deze je systeem elke dag kunnen laten doorzoeken.
Bitdefender Free v10 is daar goed voor te gebruiken.
28-12-2007, 14:24 door Anoniem
[admin] De afbeelding is afkomstig van de General Motors crash test [/admin]

I test my case.

Greetingz,
Jacco
29-12-2007, 05:23 door H.King
Door Anoniem
panda gebruikt toch een signature model isw met die MD5 cloud ?
Handig voor een snelle detectie van varianten lijkt me dat.

als panda nu signature model gebruikt dan is dat vooruitgang.Maar MD5
heb je niks aan als het een kwestie van bytes adden is om de md5 te
changen.En in no time wordt dat ook wel bekend gemaakt aan de
scriptkiddy's.
29-12-2007, 12:29 door [Account Verwijderd]
[Verwijderd]
29-12-2007, 12:44 door [Account Verwijderd]
[Verwijderd]
31-12-2007, 11:38 door Anoniem
Door rookie
zijn al die virusscanners tegenwoordig signaturebased(dan
kan je ze dus in principe wel weggooien?)?
Idd..... If it looks like a duck, and quacks like a duck,
we have at least to consider the possibility that we have a
small aquatic bird of the family anatidae on our hands....
;)
31-12-2007, 12:23 door [Account Verwijderd]
[Verwijderd]
01-01-2008, 15:04 door Anoniem
Door rookie
Ik snap niet wat je bedoelt.

Maar als een virusmaker zijn eigen virus nou in 1000 of
misschien wel > 10.000 varianten uit zet in het wild, dan
zijn dat 10.000 verschillende signatures voor hetzelfde virus.

En tegen de tijd dat de anti-virusmensen die signatures in
hun databases hebben verwerkt, dan heeft die virusschrijver
al minimaal 1 keer weer die handeling verricht en kan de
cyclus weer opnieuw beginnen toch?

Het begrip signature is je niet helemaal duidelijk. Een signature betekent
handtekening. Het zegt niets over de methode, het kan een volledige of
partiële checksum zijn of een reeks bytes of nog iets anders, zoals bytes
op strategische plaatsen in de executable of een vorm van een regular
expression.

Je kunt best met 1 signature 10.000 stuks malware detecteren, zelfs
zonder false positives.
02-01-2008, 11:41 door [Account Verwijderd]
[Verwijderd]
02-01-2008, 21:24 door Anoniem
Oh jah joeppiee half nederland die aan de mp3 downloads zit zonder enig
benul hebben wat ze afspelen of downloaden zijn. En dan serieus denken
dat nuteloze security applicaties invloed hebben.

Zo zie je maar dat dat het paart van trojan zelf tijdloos is en een mens zonder hebzucht niet zonder kan....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.