image

Kaspersky: .NET is wapenarsenaal voor cybercrimineel

maandag 12 oktober 2015, 15:44 door Redactie, 16 reacties
Laatst bijgewerkt: 13-10-2015, 09:48

Microsoft heeft met de lancering van het .NET framework in 2002 cybercriminelen onbewust van een onvoorstelbaar wapenarsenaal voorzien, zo stellen twee experts van het Russische anti-virusbedrijf Kaspersky Lab. Volgens Santiago Pontiroli en Roberto Martinez heeft Microsoft met .NET de softwareontwikkeling radicaal veranderd, maar niet alleen voor goedwillende programmeurs.

Scriptkiddies konden ineens hun eigen malware bij elkaar klikken en ervaren malwaremakers hadden nu toegang tot allerlei fora met uitleg over het schrijven van nieuwe kwaadaardige code. Allemaal met het doel om detectie door anti-virussoftware zolang als mogelijk te voorkomen. Het .NET frameworks bood niet alleen een uitgebreide bibliotheek van ingebouwde functies, maar ook een ontwikkelomgeving die allerlei programmeertalen ondersteunde, waaronder C# en VisualBasic .NET.

Het .NET framework is inmiddels de de-facto standaard voor softwareontwikkeling op Windows geworden, aldus Pontiroli en Martinez. Daarnaast werd in 2006 het krachtige PowerShell scripting-framework toegevoegd. Door de interactie tussen de programmeertalen die .NET ondersteunt en scriptingmogelijkheden van PowerShell biedt het systeembeheerders en programmeurs een eenvoudige manier om niet alleen met Windows, maar met bijna alle Microsoft-software te communiceren.

Volgens de twee experts zorgen de kant-en-klare functionaliteit ervoor dat .NET en PowerShell een dodelijke combinatie in de handen van cybercriminelen is. Iets dat ook blijkt uit de hoeveelheid .NET-malware die de afgelopen jaren sterk is gestegen. Volgens Kaspersky Lab gaat het tussen 2009 tot en met 2015 om een stijging van 7000% en tientallen miljoenen exemplaren. Als er naar het soort malware wordt gekeken dan blijkt het om voornamelijk toolbars en Trojaanse paarden te gaan.

Toekomst

Hoewel de malware zich nu alleen op Windows richt kan dit in de toekomst veranderen. De experts sluiten namelijk niet uit dat er op korte termijn een "cross-platform" infectie zal verschijnen, bijvoorbeeld via alternatieve frameworks zoals het Mono Project, een opensource-implementatie van .NET waardoor bijvoorbeeld ook Androidgebruikers kunnen worden aangevallen.

Reacties (16)
12-10-2015, 16:33 door Anoniem
De onmogelijkheid om onder windows controle uit te oefenen over installaties van applicaties maakt dit probleem alleen maar groter. Voor de meeste gebruikers betekent het toekennen van admin rechten aan een installatieprogramma dat ze de controle over hun PC volledig kwijt zijn.
Idem voor alle applicaties die je toestemming geeft om automatisch te updaten (!!!!!)

Met al die nieuwe bedreigingen wordt je een beetje terug gedwongen naar de goeie-oude-DOS-tijd.

In windows jasje wordt het dan "portable applicaties in sandbox mode draaien"
12-10-2015, 16:43 door Anoniem
Maar laten we de onbewaakte gaten in hun software dan vergeten:
http://www.theinquirer.net/inquirer/news/2414415/nsa-and-gchq-worked-together-to-hack-into-kaspersky-lab-software

Iets met banja feestjes e.d.
12-10-2015, 18:31 door Rarsus
Tja, ik vind dat de uitvinders van internet onbewust een manier voor cybercriminelen hebben gelanceerd om ongelofelijk snel grote groepen mensen te benaderen.

Verder heb ik onderzocht dat het aantal snelheidsovertredingen exponentieel is toegenomen na uitvinding van de auto.

Ten spotte is het welbekend dat nadat vuur is ontdekt de brandweer veel vaker moet uitrukken om een brandje te blussen.
12-10-2015, 18:57 door karma4
Netjes gedocumenteerd wat je met framework kan. Bijna open source.
Met open source moet je zelf nog op zoek welke functies anders en beter kunnen. Exploits zijn een lucratieve handel.
12-10-2015, 19:01 door Anoniem
Eigenlijk vinden ze dat alle ontwikkeltools van de markt gehaald moeten worden en dat we alleen nog mogen ontwikkelen
in assembler? Want met C is die ellende van portable systeemsoftware natuurlijk al ingezet...

Als we het nou toch over gemakkelijk hebben, dan moeten ze misschien eens schrijven over hoe de wijdse verspreiding
van virusscanners op Windows PC's het wel heel gemakkelijk heeft gemaakt om hele bedrijven of zelfs de totale
infrastructuur lam te leggen door een niet goed geteste of zelfs kwaadwillende update.
Waar updates voor systeemsoftware en applicaties meestal nog wel eerst getest en geaccepteerd worden, is het in de
meeste bedrijven gebruikelijk om virusscanners ongetest meerdere malen per dag te updaten.
Lijkt me een interessant onderwepje voor Kaspersky om daar eens over te schrijven.
12-10-2015, 19:27 door Anoniem
Volgens de twee experts zorgen de kant-en-klare functionaliteit ervoor dat de .NET en PowerShell een dodelijke combinatie in de handen van cybercriminelen is.

Mooi verhaal. Dus je maakt een goed product (framework) dat met veel (MS)applicaties kan communiceren, krijg je het argument tegen dat het te makkelijk is en dat scriptkiddies er mee aan de slag kunnen. Het is ook nooit goed!

Volgens mij komt Kaspersky met deze berichten om de aandacht af te leiden van alle recente kwetsbaarheden die gevonden zijn in de Kaspersky anti-virussoftware. Een speciaal geprepareerd bestand die de kaspersky engine scant is voldoende om de Kaspersky anti-virus client code uit te laten voeren. (Uiteraard met admin-rechten)

Wellicht is het exploiten van iemand die een kaspersky anti-virus client draait eenvoudiger dan malware coden in .net
Bron: http://www.securityweek.com/kaspersky-patches-critical-vulnerability-antivirus-products

cynisch wordt ik ervan!
12-10-2015, 19:39 door Anoniem
Door Rarsus: Tja, ik vind dat .....

U vergeet nog wat: Sinds het bestaan van deze site is het aantal MS-trollen hier ook toegenomen. (Just floating..)

Bij MS is natuurlijk wel iets speciaals aan de hand:

Microsoft sabotages Windows users by showing security holes to the NSA before fixing them.

http://www.networkworld.com/article/2926215/microsoft-subnet/richard-stallman-windows-os-is-malware.html
.
12-10-2015, 22:31 door Anoniem
Door Anoniem:
Door Rarsus: Tja, ik vind dat .....

U vergeet nog wat: Sinds het bestaan van deze site is het aantal MS-trollen hier ook toegenomen. (Just floating..)

Bij MS is natuurlijk wel iets speciaals aan de hand:

Microsoft sabotages Windows users by showing security holes to the NSA before fixing them.

http://www.networkworld.com/article/2926215/microsoft-subnet/richard-stallman-windows-os-is-malware.html
.

Hmm, Richard Stallman... de zeer betrouwbare bron.
12-10-2015, 23:29 door Anoniem
Wat een flauwekul - .NET is een uitgebreid framework voor ontwikkeling van software, dergelijke frameworks zijn bedoeld om de ontwikkeling van software te versnellen, dus ook van malware.

Moeten we weer met ponskaarten gaan programmeren ofzo?
13-10-2015, 09:49 door Anoniem
Door Anoniem: Wat een flauwekul - .NET is een uitgebreid framework voor ontwikkeling van software, dergelijke frameworks zijn bedoeld om de ontwikkeling van software te versnellen, dus ook van malware.

Inderdaad lijkt het zo. Tijd dat men gaat leren functionaliteit in applicaties met veiligheid gaat integreren. Helaas gaan die niet goed samen.
13-10-2015, 11:12 door Anoniem
Door Anoniem: Wat een flauwekul - .NET is een uitgebreid framework voor ontwikkeling van software, dergelijke frameworks zijn bedoeld om de ontwikkeling van software te versnellen, dus ook van malware.

Moeten we weer met ponskaarten gaan programmeren ofzo?

Neen, je gebruikt gewoon de open source variant van .NET, genaamd Java (EE)! Of je gebruikt alleen de JVM en kiest uit een van de programmeertalen die daar tegenwoordig op draaien. JRuby, Scala, Groovy, Jython, etc. etc. etc. (https://en.wikipedia.org/wiki/List_of_JVM_languages).
13-10-2015, 11:55 door Anoniem
Door Anoniem:
Door Anoniem: Wat een flauwekul - .NET is een uitgebreid framework voor ontwikkeling van software, dergelijke frameworks zijn bedoeld om de ontwikkeling van software te versnellen, dus ook van malware.

Moeten we weer met ponskaarten gaan programmeren ofzo?

Neen, je gebruikt gewoon de open source variant van .NET, genaamd Java (EE)! Of je gebruikt alleen de JVM en kiest uit een van de programmeertalen die daar tegenwoordig op draaien. JRuby, Scala, Groovy, Jython, etc. etc. etc. (https://en.wikipedia.org/wiki/List_of_JVM_languages).

Ah, daarmee kun je niet zo vlot een applicatie uit de grond stampen als met .NET. Een heleboel ontwikkelaars wisten dat al natuurlijk, vandaar dat het zo populair is.
13-10-2015, 13:16 door dutchfish
Nu, ik ben het maar ten dele eens met de schrijver van dit artikel. Ja, open source zet je te kijken als je blundert en dat is maar goed ook. Hierdoor kunnen anderen je code verbeteren of je er op wijzen waar mogelijk iets mis gaat of kan gaan.

Hierdoor ben je als het ware verplicht om net iets verder te kijken dan je neus lang is. Dat geld voor diegene die veilige code willen schrijven zowel als diegene die hier misbruik van zouden willen maken.

Een paar wapen feitjes ter overdenking:

- Meer dan 50% in de huidige windows installaties draait of werkt samen met .NET. Het vormt dus een integraal deel en is niet meer weg te denken.
- Microsoft heeft inmiddels ook ingezien dat integratie met meer systemen noodzakelijk is. Daarom zie je steeds meer open source verschijnen. https://github.com/Microsoft
- Security by obscurity gaat het nooit redden. In dit opzicht ben ik het met de schrijver oneens.
- Verdere uitbouw is te verwachten ssh over powershell, ps scripting (slechts een enkel voorbeeld) maakt het eenvoudiger om beheer te doen. Dat moet dan wel veilig worden gehouden.
- Veel kwetsbaarheden hebben hun oorsprong in de gebruikte talen en hun compilers; buffer under runs bijvoorbeeld en de manier hoe hier slordig mee wordt omgesprongen door de devs. Tijd voor strong typed languages, als je het mij vraagt, misschien zelfs wel een geheel nieuwe taal.
- Voor het openen van .NET bestonden er meer kwetsbaarheden, die prima bekend waren bij een selecte groep. Daar zijn reeds lang in het verleden al tools voor ontwikkeld om ze op te sporen. lib-listing, auto-headers en noem maar op. Niets nieuws dus. Waar een wil is is een weg.

Ik denk dat verbetering alleen kan komen door fundamenteel .NET, de windows registry, de library functionaliteit en vooral de update sanity op de schop te nemen.

Mijn 2 centen
13-10-2015, 17:29 door Anoniem
Door Anoniem:
Door Anoniem:
Door Rarsus: Tja, ik vind dat .....

U vergeet nog wat: Sinds het bestaan van deze site is het aantal MS-trollen hier ook toegenomen. (Just floating..)

Bij MS is natuurlijk wel iets speciaals aan de hand:

Microsoft sabotages Windows users by showing security holes to the NSA before fixing them.

http://www.networkworld.com/article/2926215/microsoft-subnet/richard-stallman-windows-os-is-malware.html
.

Hmm, Richard Stallman... de zeer betrouwbare bron.

Nee, een TROL is een betrouwbare bron....

Dit is nu exact wat trollen (en andere losers) doen.

De boodschapper afkraken en vooral NIET met argumenten of bewijzen van het tegendeel komen.

BAH !

Ga eens in op het artikel.
14-10-2015, 08:37 door Anoniem
Door Anoniem:
Door Anoniem: Moeten we weer met ponskaarten gaan programmeren ofzo?

Neen, je gebruikt gewoon de open source variant van .NET, genaamd Java (EE)! Of je gebruikt alleen de JVM en kiest uit een van de programmeertalen die daar tegenwoordig op draaien. JRuby, Scala, Groovy, Jython, etc. etc. etc. (https://en.wikipedia.org/wiki/List_of_JVM_languages).

Ah, daarmee kun je niet zo vlot een applicatie uit de grond stampen als met .NET. Een heleboel ontwikkelaars wisten dat al natuurlijk, vandaar dat het zo populair is.[/quote]
Ah, onzin natuurlijk want er zijn minstens zoveel gebruikers van dit soort alternatieven dan er. Net gebruikers zijn. Je denkt waarschijnlijk alleen aan het je eigen commerciële speeltuin ('t Windows platform) en vergeet platformen als server, mobiele en embedded. En je hebt blijkbaar nooit in no time een JavaFX (of Swing) applicatie in elkaar gedraaid.
14-10-2015, 08:42 door Anoniem
Door dutchfish: Nu, ik ben het maar ten dele eens met de schrijver van dit artikel. Ja, open source zet je te kijken als je blundert en dat is maar goed ook. Hierdoor kunnen anderen je code verbeteren of je er op wijzen waar mogelijk iets mis gaat of kan gaan.

Het gebruik van open source development tools betekent niet dat je ontwikkelde product ook open source moet zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.