Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
[Verwijderd]
23-11-2014, 17:06 door [Account Verwijderd], 9 reacties
Laatst bijgewerkt: 23-11-2014, 17:26
[Verwijderd]
Reacties (9)
Het blijft een kat-en-muisspel.
Als je echt direct wilt weten of een bestand besmet is moet je Threat Emulation van Check Point gebruiken:
http://www.checkpoint.com/threatcloud-central/articles/2013-11-14-defeating-cryptocker.html
http://www.checkpoint.com/press/2014/media-alert-check-point-software-technologies-hacks-hackers-cracking-dircrypt-ransomware-2.html
Als je echt direct wilt weten of een bestand besmet is moet je Threat Emulation van Check Point gebruiken:
http://www.checkpoint.com/threatcloud-central/articles/2013-11-14-defeating-cryptocker.html
http://www.checkpoint.com/press/2014/media-alert-check-point-software-technologies-hacks-hackers-cracking-dircrypt-ransomware-2.html
Let Wel dat virustotal niet de standaardconfiguratie aanhoud.
Sommige scanners zijn mogelijk veel beter met bijvoorbeeld hueristics aan.
Sommige scanners zijn mogelijk veel beter met bijvoorbeeld hueristics aan.
Door Picasa3: Ik ben daarom van plan om eens een proef te nemen op de snelheid waarop deze fabrikanten hun producten op orde hebben. Dat betekent dat we (helaas) op een nieuw incident moeten wachten.
Ik weet ook dat mijn test geen wetenschappelijke waarde heeft, maar slechts een indicatie hoe snel de AV-fabrikanten hun producten updaten. De reden waarom ligt in het feit dat ik niet echt tevreden ben over deze snelheid van updaten. Dat kan bij categorie 1 malware (als je het zo mag noemen) wel wat beter.
Prachtig verhaal, leuk initiatief, paar puntjes van kritiek:Ik weet ook dat mijn test geen wetenschappelijke waarde heeft, maar slechts een indicatie hoe snel de AV-fabrikanten hun producten updaten. De reden waarom ligt in het feit dat ik niet echt tevreden ben over deze snelheid van updaten. Dat kan bij categorie 1 malware (als je het zo mag noemen) wel wat beter.
1 - Definieer "product op orde" ? Is dat het opnemen van een sample op de zwarte lijst? Of iets herkennen als malware? Of het uitvoeren ervan voorkomen?
2 - Nieuw incident? Dit is aan de orde van de dag.
3 - "Updaten" is héél wat anders dan "herkennen."
4 - Categorie 1 malware? Cryptware is kiddie-werk, niets geavanceerd aan. Wipen, backup terugzetten, klaar. Geen cent gestolen, geen keystroke onderschept, geen mail gelezen, geen account gehackt, geen bitcoin berekend. Niets behalve overlast voor het slachtoffer.
5 - Maar het allerbelangrijkste is nog wel het feit dat je methodiek niet klopt. VT gebruikt alléén de command-line scanner, waarschijnlijk op standaard instellingen. Om te testen hoe goed een individuele AV werkt, zul je die op een test-systeem moeten installeren. Dus niet in een VM. En dat voor iedere AV apart.
Kortom:
https://www.security.nl/posting/409250/48+virusscanners+voor+Windows+8_1+getest
Maar als jij denkt dat je dat beter kunt...?
"De reden waarom ligt in het feit dat ik niet echt tevreden ben over deze snelheid van updaten. Dat kan bij categorie 1 malware (als je het zo mag noemen) wel wat beter."
Dat viel mij (leek!) ook al op. Detectieverhouding: 24 / 55 [scanners] op dit moment. Nog niet eens de helft, na meerdere dagen.
Dat bestand gaat toch naar de "cloud"? Is het dan zo enorm lastig om het daar vandaan te plukken? Nieuwe upload > "pluk" > als vermoedelijk virus (w/e) markeren? Zeg maar een oranje vlag meegeven en na controle (evt.) een rode geven?
Antivirus geeft uiteindelijk enkel protectie tegen, van het reeds bekende.
Dat viel mij (leek!) ook al op. Detectieverhouding: 24 / 55 [scanners] op dit moment. Nog niet eens de helft, na meerdere dagen.
Dat bestand gaat toch naar de "cloud"? Is het dan zo enorm lastig om het daar vandaan te plukken? Nieuwe upload > "pluk" > als vermoedelijk virus (w/e) markeren? Zeg maar een oranje vlag meegeven en na controle (evt.) een rode geven?
Antivirus geeft uiteindelijk enkel protectie tegen, van het reeds bekende.
24-11-2014, 08:05 door
sjonniev
Jammer genoeg kun je Virustotal ook niet gebruiken om te "meten" hoe snel AV producten geüpdate worden. Dat een product op VirusTotal iets niet detecteert wil helemaal niet zeggen dat een leverancier zijn zaakjes niet op orde heeft.
https://www.virustotal.com/nl/about/
"BAD IDEA: VirusTotal for antivirus/URL scannertesting
At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being:
VirusTotal's antivirus engines are commandline versions, so depending on the product, they will not behave exactly the same as the desktop versions: for instance, desktop solutions may use techniques based on behavioural analysis and count with personal firewalls that may decrease entry points and mitigate propagation, etc.
In VirusTotal desktop-oriented solutions coexist with perimeter-oriented solutions; heuristics in this latter group may be more aggressive and paranoid, since the impact of false positives is less visible in the perimeter. It is simply not fair to compare both groups.
Some of the solutions included in VirusTotal are parametrized (in coherence with the developer company's desire) with a different heuristic/agressiveness level than the official end-user default configuration.
These are just three examples illustrating why using VirusTotal for antivirus testing is a bad idea."
https://www.virustotal.com/nl/about/
"BAD IDEA: VirusTotal for antivirus/URL scannertesting
At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being:
VirusTotal's antivirus engines are commandline versions, so depending on the product, they will not behave exactly the same as the desktop versions: for instance, desktop solutions may use techniques based on behavioural analysis and count with personal firewalls that may decrease entry points and mitigate propagation, etc.
In VirusTotal desktop-oriented solutions coexist with perimeter-oriented solutions; heuristics in this latter group may be more aggressive and paranoid, since the impact of false positives is less visible in the perimeter. It is simply not fair to compare both groups.
Some of the solutions included in VirusTotal are parametrized (in coherence with the developer company's desire) with a different heuristic/agressiveness level than the official end-user default configuration.
These are just three examples illustrating why using VirusTotal for antivirus testing is a bad idea."
24-11-2014, 12:56 door
[Account Verwijderd]
-
Bijgewerkt: 24-11-2014, 12:57
[Verwijderd]
24-11-2014, 12:59 door
[Account Verwijderd]
[Verwijderd]
25-11-2014, 00:50 door
Eric-Jan H te D
Het is mij een raadsel hoe jij sneller de hand weet te leggen op een bewust virus,
dan dat de AV-bedrijven een oplossing gereed hebben.
Is er een loket waar iedereen actuele virussen kan verkrijgen?
dan dat de AV-bedrijven een oplossing gereed hebben.
Is er een loket waar iedereen actuele virussen kan verkrijgen?
Door Eric-Jan H te A: Het is mij een raadsel hoe jij sneller de hand weet te leggen op een bewust virus,
dan dat de AV-bedrijven een oplossing gereed hebben.
Is er een loket waar iedereen actuele virussen kan verkrijgen?
Jazeker, voor iedere kleur hoed is er minimaal één apart loket. Bij mijn weten is het alleen gratis voor witte caps...dan dat de AV-bedrijven een oplossing gereed hebben.
Is er een loket waar iedereen actuele virussen kan verkrijgen?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
