Virusscanner en browser falen in beschermen consument
Zowel browsers als virusscanners falen genadeloos in de bescherming van internetgebruikers, waarbij bekende virusscanners slechts 29% van de malware detecteren, zo blijkt uit onderzoek. Cyveillance onderzocht de real-time detectie van malware door anti-virus software en de phishingfilters van de vier populairste browsers. Het beveiligingsbedrijf verzamelt elke dag duizenden kwaadaardige bestanden die het meteen door de virusscanners liet scannen. McAfee presteerde met een detectiegraad van 44% het best, wat betekent dat het 56% van alle wormen, Trojaanse paarden en virussen doorlaat. Kaspersky en Virusbuster scoorden met respectievelijk 18% en 16% het slechtst. Gemiddeld detecteerden de virusscanners 29% van de malware die tussen 12 mei en 10 juni van dit jaar werd verzameld. "Zoals de resultaten laten zien, detecteren de populairste AV-oplossingen minder dan de helft van alle malware dreigingen. Als je een kwaadaardige website bezoekt, betekent dit dat je meer dan een 1 op 2 kans hebt om geïnfecteerd te raken."
Detectie score virusscanners
McAfee 44%
Sophos 38%
Dr. Web 36%
Symantec 35%
Trend Micro 34%
AVG 31%
F-Secure 28%
ESET NOD32 27%
Sunbelt 26%
F-Prot 23%
Norman 23%
Kaspersky 18%
VirusBuster 16%
Phishingfilter
Naast virusscanners controleerde Cyveillance ook de werking van phishingfilters, zoals populaire browsers die gebruiken. De test bestond uit twee delen. Zodra een phishingsite werd opgemerkt, liet men die meteen door de browser controleren. Vervolgens werd dit proces na 24 uur herhaald. Internet Explorer presteerde in de eerste ronde het slechtst en herkende slechts een kwart van de phishingsites. Google Chrome (51,2%), Mozilla Firefox (54,9%) en Apple Safari (45,5%) deden het stukken beter, maar miste grofweg toch nog de helft van alle phishingaanvallen via het web.
Na 24 uur presteerden de phishingfilters al stukken beter, toch wist Microsoft's browser wederom geen indrukwekkende score neer te zetten. Internet Explorer kwam niet verder dan 55,3%. Google Chrome (86,2%), Mozilla Firefox (87,1%) en Apple Safari (84%) weten na een dag wachten al veel meer phishingsites te herkennen. De resultaten staan haaks op die van een door Microsoft gesponsord onderzoek dat twee weken geleden verscheen. Daarin wist IE met 83% de meeste phishingaanvallen te stoppen, gevolgd door Firefox met 80%. Google Chrome wist bij dit onderzoek 26% te detecteren, terwijl Apple een bedroevende 2% scoorde.
Nederland
Als laatste keek Cyveillance naar de activiteit van landen als het gaat om de verspreiding van malware en Nederland komt regelmatig in de statistieken terug. Zo host Nederland 7% van alle phishingsites, en staat daarmee derde achter Canada en de Verenigde Staten. Verder bevinden hier zich 4% van alle "drop sites", servers die gestolen informatie afkomstig van besmette computers opslaan. Als laatste host Nederland 2% van alle sites die voor het verspreiden van malware wordt ingezet.
Mocht je sandbox of vm toch zooi binnen krijgen, kun je deze "schonen/deleten/leeg gooien" en opnieuw beginnen.
Werkt prima en doe ik al heel lang zo.
Sophos 38%
Dr. Web 36%
Symantec 35%
Trend Micro 34%
AVG 31%
F-Secure 28%
ESET NOD32 27%
Sunbelt 26%
F-Prot 23%
Norman 23%
Kaspersky 18%
VirusBuster 16%
Waar zijn de andere AV's?
En welk nut hebben deze tests als ze allemaal een ander resultaat hebben?
Is er een 100% betrouwbare toevallig?
Waar zijn de andere AV's?
En welk nut hebben deze tests als ze allemaal een ander resultaat hebben?
Is er een 100% betrouwbare toevallig?
Vwbt de resultaten, die laten gewoon zien hoe veel van de "zooi" er door betreffende scanners gevonden is, dus dat zijn de resultaten. En die lijken me toch wel eenduidig.
En nee, er is geen 100% betrouwbare. Makers van scanners zullen altijd achter lopen op de feiten omdat ze nou eenmaal gebruik maken van databases waarmee gescand wordt
Dit is dan ook een enorme klus als de detectiegraad van de scanners zo laag is. Men moet dan het programma runnen en zien dat het een virus is (door virusgedrag te monitoren) en wie zegt dat het gelijk actief wordt? Wellicht start het virus pas na een maand op?
Hoe bepaal je dan of het een kwaadaardig bestand is?
Afgezien daarvan is het in algemene zin een aanvaard gegeven dat Anti-viruses geen 100% betrouwbaarheid impliceren. Genoemde percentages zijn echter van dien aard, dat enige twijfel op zijn minst op zijn plaats is. Het is algemeen gebruikelijk dat Anti-virus testers testbed, testmethode en Anti-virus configuraties die gebruikt zijn mede publiceren. Zonder dat is elke uitkomst oncontroleerbaar en derhalve weinig zinvol.
Paul Wilders
http://www.wilderssecurity.com
Mocht je sandbox of vm toch zooi binnen krijgen, kun je deze "schonen/deleten/leeg gooien" en opnieuw beginnen.
Werkt prima en doe ik al heel lang zo.
Of ga je nu eigenwijs zeggen dat je iets veeel beters gebruikt asl xp?
Mocht je sandbox of vm toch zooi binnen krijgen, kun je deze "schonen/deleten/leeg gooien" en opnieuw beginnen.
Werkt prima en doe ik al heel lang zo.
Of ga je nu eigenwijs zeggen dat je iets veeel beters gebruikt asl xp?
Mocht je sandbox of vm toch zooi binnen krijgen, kun je deze "schonen/deleten/leeg gooien" en opnieuw beginnen.
Werkt prima en doe ik al heel lang zo.
Of ga je nu eigenwijs zeggen dat je iets veeel beters gebruikt asl xp?
Of je gebruikt Kaspersky Internet Security 2010, daar zit ook een sandbox in.
Of ga je nu eigenwijs zeggen dat je iets veeel beters gebruikt asl xp?
Maargoed... http://www.sandboxie.com
dat is een voorbeeld van een sandbox programma. Er is een gratis versie welke wat gelimiteerde opties heeft.
Of je hebt de betaalde versie waarin je geen limitaties hebt.
Beiden werken evengoed vwbt het Sandbox gedeelte. De limitatie zit hem in bepaalde opties die je wel of niet aan kunt zetten.
Daarnaast heb je andere mogenlijkheden zoals bv http://www.virtualbox.org of http://www.vmware.com (vmware player)
In beiden kun je zgn "images" draaien waardoor je dus een OS binnen je normale OS kunt draaien.
Dit is wat omslachtiger, maar werkt evengoed omdat je een OS afgeschermd van je normale OS draait.
Ja er zijn inmiddels manieren om bv "uit een vmware sessie te breken" en bij het host OS te komen,
maar dat zal het gemiddelde virus of de gangbare mallware niet doen omdat deze hiervoor niet geschreven is.
En ja, ik heb een trail versie van KIS2010 draaien op een test systeem, en daar zit idd een sandbox module in die op een soortgelijke manier zou werken als bv Sandboxie. Echter, persoonlijk vind ik de firewall die in KIS2010 zit veel te beperkt voor iemand die hele specifieke rules wil maken. Maar dat kan natuurlijk ook komen omdat ik de trail versie draai die beperkingen heeft?
Oh... en dan is er nog een manier...
Boot je systeem met een Linux LiveCD, dan weet je zeker dat er niets kan gebeuren, want je draait dan vanaf een readonly systeem.
Handig en veilig voor b.v. internet bankieren :)
Sandboxie is niet immuun voor infecties met rootkits, die met mogelijk maken de sandbox te passeren. POC valt Engelstalig na te lezen alhier: http://sandboxie.com/phpbb/viewtopic.php?t=5948. Ook VirtualBox en VMware zijn proefondervindelijk niet waterdicht gebleken zoals zelf gesteld. Er zijn wel degelijk rootkits in omloop die het mogelijk maken "uit de virtal ware sessie" te breken. En tenslotte: zelfs Linux distro's zijn niet waterdicht.
Paul Wilders
http://www.wilderssecurity.com
Dit is ook een van de beste virusscanners en vrij bekend en staat helemaal niet op de lijst.
Sandboxie is niet immuun voor infecties met rootkits, die met mogelijk maken de sandbox te passeren. POC valt Engelstalig na te lezen alhier: http://sandboxie.com/phpbb/viewtopic.php?t=5948. Ook VirtualBox en VMware zijn proefondervindelijk niet waterdicht gebleken zoals zelf gesteld. Er zijn wel degelijk rootkits in omloop die het mogelijk maken "uit de virtal ware sessie" te breken. En tenslotte: zelfs Linux distro's zijn niet waterdicht.
Paul Wilders
http://www.wilderssecurity.com
Niets is waterdicht. Feit blijft dat browsen in een sandbox of VM in de meeste gevallen aanzienlijk veiliger is dan zonder.
Sandboxie is niet immuun voor infecties met rootkits, die met mogelijk maken de sandbox te passeren. POC valt Engelstalig na te lezen alhier: http://sandboxie.com/phpbb/viewtopic.php?t=5948. Ook VirtualBox en VMware zijn proefondervindelijk niet waterdicht gebleken zoals zelf gesteld. Er zijn wel degelijk rootkits in omloop die het mogelijk maken "uit de virtal ware sessie" te breken. En tenslotte: zelfs Linux distro's zijn niet waterdicht.
Paul Wilders
http://www.wilderssecurity.com
Wat ik echter aan wil geven is dat men zichzelf enigszins beter kan beschermen.
Net als met wireless, kun je beter WPA gebruiken dan WEP.
Hoe beter je jezelf probeert te beschermen, hoe lastiger het zal zijn voor virussen en mallware om wat te doen.
Zelf weet ik geen enkele manier die 100% veiligheid bied... behalve dan de stekker eruit,
dus er zal altijd een risico zijn.
De veiligste manier zou dus zijn om te internetten vanaf een LiveCD zodat je vanaf een read-only os draait zeg maar.
Maar ook dat is niet veilig voor bv een "man in the middle attack", fishing- en spoofed sites, etc...
Je zou ook een browser sandboxed kunnen draaien in een vmware image, maar dat is overkill denk ik ;-)
dan heb ik niet eens over een liveCD in een vmware omgeving draaien, wat echt overkill is..
Althans, ik heb er nog nooit over gelezen.
Net als met wireless, kun je beter WPA gebruiken dan WEP.
Hoe beter je jezelf probeert te beschermen, hoe lastiger het zal zijn voor virussen en mallware om wat te doen.
Met die stelling ben ik het volkomen eens. Het aandragen van dergelijke mogelijkheden lijkt me op zich ook uitstekend. Stelligheid dat oplossing X of Y de problemen definitief zouden elimineren lijkt me echter enigzins glad ijs.
Overall zou naar mijn bescheiden optiek een regelmatige system backup op een externe en vervolgens afgekoppelde informatiedrager (externe hard disk etc.) middels daarvoor bestemde software van Paragon, Acronis etc. tenminste algemeen goed en gebruik dienen te worden. Dat zou in de praktijk al een slok op een borrel schelen.
Paul Wilders
http://www.wilderssecurity.com
Paul Wilders
http://www.wilderssecurity.com
Ook helemaal mee eens ;)
Zelf heb ik in zowel mijn hoofd systeem als in een externe behuizing 2 identieke schijven zitten.
Op de schijf in mijn systeem heb ik al mijn belangrijke files/data staan (het merendeel ook nog eens encrypted).
En 1x in de maand (of bij een toevoeging van veel data zoals foto's) maak ik een backup naar de 2e identieke externe schijf.
Welke alleen tijdens de backup dus aan staat en gekoppeld is.
Een backup van het OS vind ik persoonlijk zinloos omdat dat vaak toch met een paar uur weer geinstalleerd is en je beter met een "clean install" kunt beginnen dan met een eventuele backup waar een "dormant" virus of mallware in kan zitten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
