Archief - De topics van lang geleden

Keuze virusscanner onbelangrijk

28-07-2008, 11:33 door Redactie, 25 reacties

Op Security.nl krijgen we vaak de vraag wat de beste virusscanner is, een onderwerp dat ook regelmatig terugkeert op het forum, maar is anti-virus software wel zo verschillend en maakt het uit welke oplossing je kiest? Een virusscanner beschermt tegen virussen en andere malware. In het kader van voorkomen is beter dan genezen is het belangrijker om te weten hoe je een infectie oploopt.

In de meeste gevallen is dat via ongepatchte applicaties (drive-by downloads), het openen van de verkeerde bestanden of via de Autorun-feature van USB-sticks e.d. Voor de eerste categorie volstaat het up to date houden van alle geïnstalleerde applicaties. In theorie kan een aanvaller via een zero-day beveiligingslek iemand onopgemerkt infecteren, maar dan is het de vraag of een virusscanner deze aanval wel herkent. Autorun is uit te schakelen, waarna het downloaden van bestanden overblijft.

Elk bestand dat je van het internet downloadt hoor je te scannen, je weet tenslotte nooit wat je in huis haalt. Op dit gebied doen de meeste scanners niet veel voor elkaar onder. De ene scanner herkent virus A, terwijl de andere weer virus B herkent. Ze hebben allemaal gemeen dat ze geen 100% detectie bieden en dat het patchen van applicaties op dit moment belangrijker is om niet besmet te raken.

Anti-virus software is voor de meeste thuisgebruikers nog onmisbaar, maar alle aandacht voor het kiezen van de beste scanner kan men beter richten op het eigen surfgedrag. Dat zet uiteindelijk meer zoden aan de dijk dan alle hoop op een programma te vestigen dat steeds vaker achter de feiten aanloopt. Onze stelling luidt derhalve: Keuze virusscanner onbelangrijk

Update: Titel stelling genuanceerd

Reacties (25)
28-07-2008, 11:43 door Anoniem
Klopt; het zijn ook allemaal dezelfde organisaties met dezelfde namen en
technieken (NOT).

De stelling past ook niet helemaal bij de context van dit verhaal.
28-07-2008, 11:54 door pikah
Aangezien het feit dat alle virusscanners geen 100% detectie
hebben, is er wel degelijk verschil in het percentage dat de
verschillende virusscanner detecteren.

Nog niet eens gesproken over de performance..


Ofwel: Oneens...
28-07-2008, 12:06 door eth-x
Jullie bij security.nl zijn helemaal kegel...
verander jullie webdomain naar http://www.wezeggenzomaariets.nl

Mijn excuses, maar dit is geen security blog meer... dit is regelrecht een schande. Dit is absoluut niet technisch gestaafd.
What about in the cloud technologies, beter/slechter dan signatures, welke scanners hebben dit, welke niet ?

Eth-x
Senior Malware Security Consultant
28-07-2008, 12:11 door Anoniem
Door eth-x
Jullie bij security.nl zijn helemaal kegel...
verander jullie webdomain naar http://www.wezeggenzomaariets.nl

Mijn excuses, maar dit is geen security blog meer... dit is regelrecht een
schande. Dit is absoluut niet technisch gestaafd.
What about in the cloud technologies, beter/slechter dan signatures, welke
scanners hebben dit, welke niet ?

Eth-x
Senior Malware Security Consultant


Eddie, is that you ? :-D
28-07-2008, 12:15 door Anoniem
eht-x: het gaat hier om een stelling.
28-07-2008, 12:23 door Anoniem
Door eth-x
Jullie bij security.nl zijn helemaal kegel...
verander jullie webdomain naar
http://www.wezeggenzomaariets.nl

Mijn excuses, maar dit is geen security blog meer... dit is
regelrecht een schande. Dit is absoluut niet technisch gestaafd.
What about in the cloud technologies, beter/slechter dan
signatures, welke scanners hebben dit, welke niet ?

Eth-x
Senior Malware Security Consultant


Ik ben het met je eens, maar dan vooral om de belabberde
berichtgeving om het DNS probleem van de laatste weken (ik
geloof dat ik in elk nieuwsbericht op deze site wel een
onwaarheid heb gezien).

[admin] zoals? [/admin]


Maar in dit geval gaat het om een Stelling. Het idee (dacht
ik) hiervan is niet dat ze uitdragen wat zij vinden, maar
dat ze discussie willen losmaken, en daarom een (gewaagde)
uitspraak poneren.

Overigens draai ik geen virusscanner :)
28-07-2008, 12:25 door Anoniem
De stelling klopt wel degelijk, alleen moet ie iets
genuanceerder. Bekijk maar een aantal lijsten van uitslagen
van tests van virus scanners. De top20 ligt hooguit 2% uit
elkaar.

NETTO maakt de keuze dus niet heel veel uit, al zitten er
ook tussen die nog minder dan 60% scoren... da's toch wel
een heel verschil met scanners die 99% scoren.
28-07-2008, 12:26 door Anoniem
"Ze hebben allemaal gemeen dat ze geen 100% detectie bieden en dat het
patchen van applicaties op dit moment belangrijker is om niet besmet te
raken."

Fout. De meeste malware komt zonder exploit. Dat is een kwestie van
economie: wat werkt het best en wat is de grootste doelgroep? Exploits
werken op een klein deel van de ongepatchte machines omdat ze vaak
afhankelijk zijn van versies van de software, er zijn nu eenmaal veel meer
mensen die graag een "filmpje" willen zien over Blair, Britney, etc. Dat werkt
veel beter.

Vergeet het scannen van bestanden. Bestanden die je van een jou onbekende
en niet vertrouwde bron haalt moet je gewoon niet openen. Zo simpel is het.
28-07-2008, 13:13 door Anoniem
Ach, de stelling klopt op zich wel, als er maar aan wat
extra zaken voldaan worden.
Zo moet de gebruiker bij voorkeur geen Microsoft producten
gebruiken: dat scheelt al zo'n 99% van de kans op een
virusbesmetting.
Maar ook een beperkte toegang tot internet, geen lokale
opslag van bestanden, geen floppydrive of CDRom speler, geen
rechten om dingen te installeren helpt.
Wat ook werkt: een tweede (of liever: een derde)
virusscanner. Wat scanner A niet oppikt, pakt B wel, en
anders C. Uiteraard staan A, B en C op andere locaties te
scannen (A en B op de firewalls, C op het lokale werkstation).
Een andere optie is om met Linux-based terminals te gaan
werken. Zowel het besturingssysteem (Linux) als het feit dat
er lokaal volkomen niks gebeurt (behalve wat pixeltjes
ophalen van een server en die lokaal weergeven) maakt een
virusscanner overbodig. Natuurlijk moet er dan op de
server(s) wel weer een goede beveiliging aanwezig zijn...
28-07-2008, 13:27 door [Account Verwijderd]
[Verwijderd]
28-07-2008, 14:21 door eth-x
Was het allemaal maar zo simpel :)

Ooit al over XSS (Cross-site scripting) gehoord ?
28-07-2008, 14:23 door Anoniem
Door Anoniem
Klopt; het zijn ook allemaal dezelfde organisaties met dezelfde namen en
technieken (NOT).

De stelling past ook niet helemaal bij de context van dit verhaal.

Ehh.. de stelling was eerst: Alle virusscanners zijn gelijk. Daar slaat dit op. Nu
hebben jullie het veranderd.
28-07-2008, 14:43 door xclude
Elke PC is zo veilig als degene die achter de toetsen zit punt.
Je kan een mug met een ankerketting aan een dukdalf vastleggen maar als
de dukdalf onder het water oppervlak verroest is vliegt de mug gewoon weg.

It´s just as simple as that.
28-07-2008, 17:02 door Anoniem
Mij persoonlijk maakt het inderdaad niet uit, welk vergiet
er gebruikt wordt.
Als je 'echt wilt' prik je d'r toch zo doorheen.
28-07-2008, 18:16 door Jos Buurman
Door xclude
Elke PC is zo veilig als degene die achter de toetsen zit punt.

En daar heb je ook direkt de kern van het probleem te pakken.
Een pc is een middel om iets gedaan te krijgen. Voor veel mensen e-mail
lezen, surfen, foto's bewaren en muziekje draaien. Zo moeilijk kan het toch niet zijn om dat te doen zonder dat het lek is?

Ik wil helemaal niet bezig zijn met beveiliging, virusscanners, firewalls en weet
ik veel wat. Ik wil mijn e-mail lezen, foto's bewaren, muziek luisteren en af en
toe een website bezoeken.

Om het even naar het topic 'virusscanner' te halen, waarom zou ik er eentje
nodig hebben? Waarom moet ik kiezen? Ik wil geen virusscanner, ik wil e-mail ect.

Vanuit de techniek is het zo makkelijk om de 'schuld' bij de eindgebruiker neer
te leggen terwijl het probleem duidelijk technisch is.
Ik heb een product voor e-mail etc gekocht wat potentieel een onderdeel van
een botnet kan zijn. Klinkt als een defect produkt, niet als mijn probleem.
En het is niet alleen dat ene product, het is de totale IT industrie.
Waarom moet ik me druk maken over openstaande poorten op mijn pc?
Gewoon alles dicht en dan niet op de pc, maar bij de provider.
Werkt daardoor iets niet? Dan is de eerste vraag waarom een externe applicatie een direkte verbinding met mijn pc nodig heeft. Kan een legitieme reden hebben, maar aangezien we het hier over consumenten hebben zal dit niet gek vaak voorkomen. Laat een handige gebruiker maar bij zijn ISP expliciet aangeven dat een bepaalde inkomende poort opengezet moet worden.

En e-mail beveiliging? Best, maar waarom niet door het hele netwerk?
Ik wil helemaal geen onveilige zaken ontvangen.
Doe mij maar een mechanisme waarin de verzender van een attachment expliciet moet aangeven dat hij/zij een attachment meegestuurd heeft, waarna het pas vrijgegeven wordt aan de ontvanger.

En dan het uitvoeren van executables op de computer zelf.
Ik wil alleen maar e-mailen, browsen etc.
Onbekende executables worden dus helemaal niet uitgevoerd en die mogelijkheid zou er ook helemaal niet moeten zijn. Kan alleen maar stuk gaan.

Zo kan ik nog wel even doorgaan.
Zolang de computertechniek op de huidige generieke manier blijven werken zal beveiliging een illusie blijven. We blijven bezig met halfbakken oplossingen als patches, firewalls en virusscanners.
De oplossing ligt bij de gebruiker. Namelijk bepalen wat deze nodig heeft en niets meer dan dat leveren. Uitbreiding mag mogelijk zijn, maar niet als het een defect produkt kan veroorzaken. Dat wordt van niet IT produkten niet geaccepteerd, dus waarom van IT produkten wel?
28-07-2008, 20:43 door Anoniem
Door eth-x
Jullie bij security.nl zijn helemaal kegel...
verander jullie webdomain naar
http://www.wezeggenzomaariets.nl

Mijn excuses, maar dit is geen security blog meer... dit is
regelrecht een schande. Dit is absoluut niet technisch gestaafd.
What about in the cloud technologies, beter/slechter dan
signatures, welke scanners hebben dit, welke niet ?

Eth-x
Senior Malware Security Consultant

Kom op man, en dat noemt zich professioneel Senior Malware
Security Consultant, nou ik zou er niks van aannemen
28-07-2008, 20:58 door Anoniem
Door Anoniem
De stelling klopt wel degelijk, alleen moet ie iets
genuanceerder. Bekijk maar een aantal lijsten van uitslagen
van tests van virus scanners. De top20 ligt hooguit 2% uit
elkaar.

NETTO maakt de keuze dus niet heel veel uit, al zitten er
ook tussen die nog minder dan 60% scoren... da's toch wel
een heel verschil met scanners die 99% scoren.

Je gaat er hier gemakshalve van uit dat deze tests kloppen
en juist worden weergegeven. Denk maar even terug aan de
belachelijke test die enkele maanden terug gepubliceerd werd
door de consumentenbond om een uiterste te noemen.
Vaak word enkel de engine of maar een deel van een volledige
beveiliginssuite getest, wat het nut van het volledige
product te niet doet. Signature based scannen is idd nog
nodig, maar sommige producten zullen een internettoegang
moeten hebben om snel nieuwe bestanden te kunnen gaan
vergelijken met gegevens 'in the cloud'. Als dan blijkt dat
grote testen een offline pc gebruiken heb je een groot deel
van de functionaliteit die gewoon wordt weggevaagd en
onrealistische resultaten zal genereren.

Vasa
28-07-2008, 22:17 door Anoniem
Door Jos Buurman
Ik wil mijn e-mail lezen, foto's bewaren, muziek luisteren
en af en
toe een website bezoeken.

en als je dat alleen doet is er ook vrijweinig aan de hand,
de grap is alleen dat het nog een hele kunst blijkt te zijn
om een pc te beheren.

Door xclude
Elke PC is zo veilig als degene die achter de toetsen zit
punt.

Klopt! De meeste "Eindgebruikers" hebben geen idee hoe het
allemaal werkt, het is net zoals auto rijden zonder
rijbewijs, het vraagt om problemen.
29-07-2008, 01:09 door Rene V
Voor de mensen die goed engels kunnen, hier een paar tips
waarbij je niet eens een virusscanner nodig hebt om toch
veilig te zijn:

http://www.wilderssecurity.com/showthread.php?t=196737

http://www.mechbgon.com/build/security2.html

en tot slot om de LUA nog veiliger te maken:

http://www.wilderssecurity.com/showpost.php?p=1190510&postcount=93
29-07-2008, 13:19 door Jos Buurman
Klopt! De meeste "Eindgebruikers" hebben geen idee hoe het
allemaal werkt, het is net zoals auto rijden zonder rijbewijs, het vraagt om
problemen.

Ik zie deze vergelijking wel vaker gemaakt worden, maar vind deze niet terecht.
Het gebruik van een pc is niet het zelfde als van een auto. Een auto is een
aparaat van zeg 1000kg waarmee je iemand dood kan rijden. Een auto is
gemaakt om deze 1000kg in beweging te zetten en te houden. Het doel van de
auto, transport van A naar B, maakt het ding dus gevaarlijk.
Het onderhoud van de auto is belangrijk omdat bij een defect een object van
1000kg oncontroleerbaar wordt.
En een rijbewijs om er enigszinds zeker van te zijn dat iemand
verantwoordelijk om kan gaan met een potentiëel dodelijk voorwerp.

Een pc heeft helemaal geen inherente eigenschappen die het ding gevaarlijk
zou moeten maken voor anderen.
Dat dit wel kan heeft helemaal niets met beheer te maken.
Om de vergelijking met de auto te maken:
Een computer is geen auto waarvan de remmen onklaar gemaakt kunnen
worden. Wat een computer in essentie is, is een op zich veilig voorwerp wat
veranderd kan worden in een auto en dan ook nog eens volledig
manipuleerbaar is.
Men kan de remmen onklaar maken, het stuur er uit halen etc.

Neem de mogelijkheid weg om de computer om te vormen in een gevaarlijk
voorwerp en het is ook niet meer nodig onderhoud te plegen op onderdelen
die de computer gevaarlijk maken.

Het heeft dus niets maar dan ook niets met de gebruiker te maken en alles
met de IT industrie die dit concept niet snapt of niet wil snappen!
29-07-2008, 13:23 door Anoniem
Enkele opmerkingen:

1. Het maakt niet uit welk OS je draait. Voor Linux(en) en BSD's zijn er net zo
goed exploits beschikbaar die misbruikt worden in de algemene toolkits. Dus
Windows Bashen heeft helemaal geen zin. Zover mij bekend is het meest
veilige OS om mee te surfen VMS, tegenwoordig grafisch en met browser...
(jammer dus voor alle die MAC fanaten - u bent net zo gedoemd)

2. Het maakt niet uit waar je naar toe surft, er zijn geen goede of foute sites.
Hierboven werd al gesproken over XSS. Asprox heeft duidelijk gemaakt dat
juist de goede websites het slachtoffer worden. Waarom zou het forum van
security.nl hier niet voor misbruikt kunnen worden in de toekomst (met een nu
nog onbekende aanval).

3. De term virusscanner is verkeerd. Tegenwoordig zijn virussen geen
probleem meer. De malware objecten maken zich niet kenbaar of doen niets
irritant. De malware (trojans en spyware) werken netjes op de achtergrond
zonder storingen oid te veroorzaken. Ze wachten netjes tot ze geactiveerd
worden. Dit is van toepassing op zowel log collectors (spyware) als trojans,
enerzijds voor banking sites anderzijds als onderdeel van een botnet.

4. Omdat er zoveel nieuwe malware objecten zijn, worden de oude signatures
uit de database gehaald. Dus een relatief oude aanval is weer net zo effectief
als een hele nieuwe !!!

5. Omdat de malware objecten dynamisch gecodeerd worden, kun je zowiezo
geen signatures meer gebruiken. Opnieuw is ASPROX een goed voorbeeld.
De uiteindelijke besmetting was een stukje goed programmeerwerk, probeer
maar eens een handmatige decodering van het javascript dat gedownload
werd via de initiele XSS aanval.

6. Upload de moderne virussen (malware) maar eens naar Virustotal. In het
algemeen heb je nog geen 25% detectie.

Mijn stelling: zet je virusscanner maar uit, steek er maar geen geld meer in.
29-07-2008, 19:40 door Anoniem
Door Jos Buurman
Een pc heeft helemaal geen inherente eigenschappen die het
ding gevaarlijk zou moeten maken voor anderen.

Juist, een pc is ook niet gevaarlijk in de zin van
levensgevaar, er zijn echter wel andere "gevaren" die een pc
heeft, zoals bijvoorbeeld dataverlies/diefstal of
bijvoorbeeld fraude met je online bankzaken...
Dit is een beveiligings site, je beveiligt je tegen gevaar,
dus blijkbaar zijn er wel gevaren...alleen in een andere vorm.

Ik wil ook niet zeggen dat iemand een bewijs nodig heeft om
een pc te kunnen gebruiken maar sommige mensen hebben echt
geen idee wat ze doen....
30-07-2008, 11:48 door Jos Buurman
Door Anoniem Juist, een pc is ook niet gevaarlijk in de zin van
levensgevaar, er zijn echter wel andere "gevaren" die een pc heeft,
zoals bijvoorbeeld dataverlies/diefstal of bijvoorbeeld fraude met je online
bankzaken...
Dit is een beveiligings site, je beveiligt je tegen gevaar,
dus blijkbaar zijn er wel gevaren...alleen in een andere vorm.

De 'gevaren' die een pc heeft zijn niet gerelateerd aan de pc, maar aan de
gegevens welke verwerkt of opgeslagen worden. Waarbij electronische
verwerking en opslag andere eigenschappen hebben als fysieke verwerking
en opslag, maar in essentie dezelfde risico's.
Of ik een digitaal contract heb wat corrupt raakt of een fysiek contract wat door
muizen opgevroten wordt maakt geen verschil. In beide gevallen is het risico,
vernietiging, het zelfde.
Wat ik een 'gebruiker' kan verwijten is dat hij/zij te weinig rekening houdt met
de risico's voor zijn gegevens of het wegvallen van een toepassing.
Dat is echter niet alleen een digitaal probleem, als er brand uitbreekt in
iemands huis, wat blijft er dan nog over?

Als ik documenten op mijn pc zet of een verbinding met mijn bank maak vind ik
dat ik er vanuit mag gaan dat dit veilig kan.
Natuurlijk heb ik enige zorgplicht, namelijk dat ik af en toe controleer of mijn
documenten niet beschadigd zijn, of dat ik daadwerkelijk zaken doe met mijn
eigen bank. Ik vind echter ook dat een producent van een pc of
besturingssysteem die adverteerd dat ik mijn spullen daarmee kan bewaren
ook regelt dat dit veilig kan gebeuren. Waar ik niet mee geconfronteerd wil
worden is dat het produkt niet meer is als een kartonnen doos waarin mijn
waardevolle spullen opgeslagen zitten, temidden van een enorme
hoeveelheid water en vuur. Maak dan gewoon een brandwerende en
waterdichte kluis. Minder praktisch maar wel veiliger voor mijn documenten.

Beveiliging tegen gevaren is goed, maar het moet niet zo zijn dat ik me tegen
gevaren moet beschermen welke door mijn opslagmiddel veroorzaakt
worden, tenzij deze eigenschappen noodzakelijk zijn voor een betere overall
beveiliging. Of gevaren welke niet voorkomen kunnen worden.
Ik kan me goed voorstellen dat er in een kluis een sprinkler-installatie
aanwezig is, liever wat documenten verdwenen als een volledig pand.
Of dat documenten na verloop van tijd vergaan door externe invloeden, dat is
inherent aan de manier van opslag.
30-07-2008, 18:25 door Anoniem
Helemaal niet mee eens. Toegegeven: niet alle tests zijn even grondig en/of
even goed onderbouwd, maar als je het een beetje volgt dan blijkt uit de
vergelijkende tests die algemeen als degelijk worden beschouwd (zoals AV-
Comparatives) dat er weldegelijk een groot verschil is, vooral op het gebied
van detectiegraad.

Je kan het een beetje vergelijken met voorbehoedsmiddelen: je hoeft er niet
echt een tekening bij te maken om te weten dat bv. de pil betere beveiliging
biedt dan coitus interruptus. En net zoals je niet "een beetje" zwanger kan
worden, kan je ook niet een beetje besmet worden door malware.

Zelf heb ik dus gekozen voor de hoogste detectie, wat me bij G Data bracht.
Gebruik ik al een hele tijd en ben ik heel tevreden over.
01-08-2008, 12:30 door Anoniem
De ene scanner herkent virus A, terwijl de andere weer
virus B herkent. Ze hebben allemaal gemeen dat ze geen 100%
detectie bieden ...

Hoewel ze geen van alle 100% halen, zijn de onderlinge
verschillen groot genoeg, zoals te zien in de vergelijkende
test van AV-comparitives van mei 2008:
http://www.av-comparatives.org/seiten/ergebnisse_2008_05.php.
Avira scoort hier een totaal 72%, terwijl F-Secure een
totaal van 6% haalt.
Behalve de detectiegraad is het belangrijk hoeveel beslag de
software op je systeem legt. Avira is wat dat betreft nogal
bescheiden, terwijl oudere versies van McAfee voor goed
merkbare vertraging konden zorgen.
En antivirus-software heeft vaak zelf ook lekken, dus is het
zinvol om de minst lekke te kiezen.
Op een goed ingericht systeem hebben virussen weinig kans,
maar kan een scanner net een stukje extra beveiliging geven.
Daarom denk ik dat het toch belangrijk is welke scanner je
gebruikt. En daarom ben ik het dus niet met de stelling eens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.