Nieuws

Meeste virusscanners negeren Windows beveiliging

dinsdag 3 augustus 2010, 11:46 door Redactie, 9 reacties

Virusscanners en andere beveiligingssoftware maken nauwelijks gebruik van de beveiligingsmaatregelen die Windows biedt om aanvallen door hackers te voorkomen. Vorige maand kwam het Deense Secunia met een onderzoek waaruit bleek dat veel populaire programma's, zoals QuickTime, Foxit Reader en OpenOffice, geen DEP (Data Execution Prevention) en ASLR (Address Space Layout Randomization) toepassen. Daardoor wordt het eenvoudiger voor aanvallers om kwetsbaarheden in deze software te misbruiken.

Opmerkelijk genoeg blijken ook beveiligingsbedrijven de technologie in hun software nauwelijks toe te passen. IT-journalist Brian Krebs nam een virtual machine en Microsoft's Process Explorer tool om te controleren welke producten DEP en ASLR implementeren. AVAST Home Edition, AVG Internet Security 9.0, BitDefender Internet Security 2010, ESET Smart Security, F-Secure Internet Security, Norton Internet Security 2010 , Panda Internet Security 2010 en Trend Micro Internet Security 2010 passen zowel geen DEP als ASLR toe.

Alleen Microsoft's eigen Security Essentials gebruikte beide beveiligingsmaatregelen. In het geval van McAfee gebruikten sommige processen alleen DEP, andere weer alleen ASLR en sommige beide maatregelen. In het geval van Avira draaide alleen het belangrijkste onderdeel met ASLR, terwijl bij Kaspersky alleen DEP voor de browser plugin was ingeschakeld.

Waarde
DEP en ASLR zijn geen magische oplossing die aanvallen altijd weten te voorkomen. In het verleden zijn er meerdere onderzoekers geweest die de beveiligingsmaatregelen wisten te omzeilen. Sommige anti-virusbedrijven zoals F-Secure, Symantec en BitDefender laten weten dat ze de maatregelen wel in de toekomst willen gaan gebruiken. Volgens het Slowaakse anti-virusbedrijf ESET, bieden ASLR en DEP geen toegevoegde waarde in het beschermen van beveiligingssoftware. Toch overweegt de virusbestrijder om DEP en ASLR te gaan gebruiken.

Wapenarsenaal hackertool Metasploit verder uitgebreid

"Microsoft verknalde online privacy met IE8"

Reacties (9)

03-08-2010, 15:09 door Night

Ik ben geen expert maar dit is toch een giller. Begrijp ik het goed dat software de keus heeft om DEP of ASLR in of uit te schakelen?
Wat is dan überhaupt het nut van die technologie?

Misschien een specialist in de buurt die dat kan uitleggen?

03-08-2010, 15:37 door wizzkizz

Door Night: Ik ben geen expert maar dit is toch een giller. Begrijp ik het goed dat software de keus heeft om DEP of ASLR in of uit te schakelen?
Wat is dan überhaupt het nut van die technologie?

Misschien een specialist in de buurt die dat kan uitleggen?

Nou, áls de software er gebruik van maakt, dan zijn sommig lekken veel moeilijker uit te buiten.

Zie het als bijvoorbeeld een airbag in de auto: je hoeft er geen gebruik van te maken (ze zijn uit te schakelen), maar als je ze wel gebruikt, is de impact op bijvoorbeeld je hoofd bij een botsing kleiner.

03-08-2010, 15:59 door Anoniem

MS heeft er voor gekozen om DEP & ASLR niet standaard aan te zetten voor alle applicaties. De reden hiervoor is dat sommige applicaties daarna niet meer werken. Softwarebouwers zijn zelf verantwoordelijk voor het aanzetten van deze beveiligingsmaatregelen. Je mag van een leverancier eigenlijk wel verwachten dat ze dit doen, maar blijkbaar niet dus......

PS. JIT-compilers voor bv. Java & Flash hebben een legitieme reden om bepaalde geheugensegmenten zowel beschrijfbaar als uitvoerbaar te markeren (DEP staat dit niet toe).

03-08-2010, 16:09 door SirDice

Door Night: Ik ben geen expert maar dit is toch een giller. Begrijp ik het goed dat software de keus heeft om DEP of ASLR in of uit te schakelen?

Niet helemaal. Het is de keus van de programmeur om er wel of geen gebruik van te maken. Het is niet iets wat "on-the-fly" aan of uit gezet kan worden.

03-08-2010, 16:12 door Anoniem

Door SirDice:

Door Night: Ik ben geen expert maar dit is toch een giller. Begrijp ik het goed dat software de keus heeft om DEP of ASLR in of uit te schakelen?

Niet helemaal. Het is de keus van de programmeur om er wel of geen gebruik van te maken. Het is niet iets wat "on-the-fly" aan of uit gezet kan worden.

DEP is in sommige gevallen wel "uit te zetten" door de page permissies te wijzigen mbv VirtualProtect. Je hebt ook Permanent DEP wat niet uit te zetten is.

03-08-2010, 17:16 door SirDice

Door Anoniem:

Door SirDice:

Door Night: Ik ben geen expert maar dit is toch een giller. Begrijp ik het goed dat software de keus heeft om DEP of ASLR in of uit te schakelen?

Niet helemaal. Het is de keus van de programmeur om er wel of geen gebruik van te maken. Het is niet iets wat "on-the-fly" aan of uit gezet kan worden.

DEP is in sommige gevallen wel "uit te zetten" door de page permissies te wijzigen mbv VirtualProtect. Je hebt ook Permanent DEP wat niet uit te zetten is.

DEP uit zetten zou nog wel mogelijk zijn. DEP aanzetten ook. Echter dient een applicatie wel dusdanig geprogrammeerd te zijn dat DEP niet getriggert wordt door de applicatie zelf. Als een applicatie daar geen rekening mee houdt en DEP wordt aangezet crasht de applicatie. Met andere woorden, de programmeur moet er specifiek rekening mee houden.

04-08-2010, 11:22 door Night

Ik snap het (geloof ik).

De programmeur bepaalt tijdens het programmeren of hij de door hem gebouwde software wil beschermen met DEB en of ASLR. Hij dekt zich dan eigenlijk alleen in tegen zelfgemaakte fouten (bugs exploits).

IDD net zoiets als airbags denk ik. Je gaat er op vertrouwen en kunt dan wat slordiger worden :-)

04-08-2010, 17:33 door SirDice

Door Night: De programmeur bepaalt tijdens het programmeren of hij de door hem gebouwde software wil beschermen met DEB en of ASLR. Hij dekt zich dan eigenlijk alleen in tegen zelfgemaakte fouten (bugs exploits).

Daar komt het wel een beetje op neer inderdaad. Aangezien software bouwen mensen werk is worden er wel eens fouten gemaakt. Het meest voor de hand ligt natuurlijk betere code schrijven maar soms zijn foutjes zo subtiel dat je uren naar de code kunt kijken zonder te ontdekken waar de fout nu eigenlijk zit. Zowel DEP als ASLR voorkomen dergelijke bugs niet. Ze maken het wel moeilijker (maar niet onmogelijk) voor een aanvaller om een zo'n bug te misbruiken.

23-02-2011, 11:24 door Anoniem

Ze maken de kans juist kleiner met die technologie, daar gaat het inmiddels om, om de kans te verkleinen.
Er valt altijd een manier te vinden om het te omzeilen. Niets is 100% zeker als het om beveiliging gaat.
Je moet het vergelijken met een fietsleutel. Als je je fiets op slot zet, is de kans ook kleiner dat ie meegepikt wordt.
Maar er is altijd een kans dat ie toch nog wel gepikt wordt. Zo moet je dat vergelijken.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer