InSpectre-tool checkt Windows-pc's op Spectre en Meltdown
De bekende beveiligingsonderzoeker Steve Gibson heeft een gratis tool ontwikkeld die Windows-computers uitgebreid test of ze kwetsbaar voor de Spectre en Meltdown-aanvallen zijn. De tool heet InSpectre en kijkt niet alleen of systemen kwetsbaar zijn, maar ook of de prestaties zijn verlaagd.
Om volledig tegen beide aanvallen beschermd te zijn moeten gebruikers zowel bios- als besturingssysteem-updates installeren. Dit kan een invloed op de systeemprestaties hebben, afhankelijk van waar het systeem precies voor wordt gebruikt. InSpectre laat weten welke updates geïnstalleerd zijn en wat er nog moet worden gedaan om het systeem te beschermen. Ook biedt de tool een optie om de bescherming tegen Spectre en Meltdown uit te schakelen.
Reacties (26)
Ik ben een fan van de man, dit is niet de eerste keer dat hij in een paar dagen iets in elkaar knutselt waar we wat aan hebben. K8jk ook eens een keer zijn vlogs.
Krijg een melding als ik dit download:
File "C:\Users\xxx\Downloads\InSpectre.exe" belongs to virus/spyware 'Mal/Dorf-A'.
File "C:\Users\xxx\Downloads\InSpectre.exe" belongs to virus/spyware 'Mal/Dorf-A'.
Krijg een Artemis virus melding (McAfee Endpoint) op de website bij het downloaden... (false positive ?)
Antivirus zet em in quarantaine...... Security risk detected: WS.Reputation.1
https://www.virustotal.com/nl/file/f263a23494d22a05f707faf4d0f4cc147b276f255309007d5f27d000a54b5372/analysis/1516090054/
Mijn virusscanner (Sophos) geeft aan dat er malware is aangetroffen. False positive of niet?
"Mal/Dorf-A detected in InSpectre.exe"
"Mal/Dorf-A detected in InSpectre.exe"
16-01-2018, 10:14 door
MrRight
Binnen een VM van VirtualBox geeft hij aan (Win10)
Meltdown: NO
Spectre: YES
Slower: YES
Wat is wijsheid voor Virtual Machines?
Meltdown: NO
Spectre: YES
Slower: YES
Wat is wijsheid voor Virtual Machines?
Gibson schrijft vaak in assembler en de tool gebruikt systemcalls (via LoadLibrary). Daarnaast is het met PECompact kleiner gemaakt. Onder andere dat, in combinatie met een check voor vulnerabilities maakt het verdacht. De signing zou wel een reden moeten zijn voor nader onderzoek.
Dit is het lot van security tools: ze zien er verdacht uit.
Righard, als je dit leest, misschien zou je kunnen aangeven of het om een fp gaat.
Dit is het lot van security tools: ze zien er verdacht uit.
Righard, als je dit leest, misschien zou je kunnen aangeven of het om een fp gaat.
16-01-2018, 10:34 door
adbc
Kaspersky Internet Security : HEUR : Trojan.Win32.Generic
Ondanks dat ik een patch heb geinstalleerd via windows update blijft mijn pc kwetsbaar voor meltdown.
16-01-2018, 12:05 door
Bitwiper
Door Anoniem: Ondanks dat ik een patch heb geinstalleerd via windows update blijft mijn pc kwetsbaar voor meltdown.
Heb je misschien de 32bit versie van Windows op je PC? Volgens (Duitstalig) https://m.heise.de/security/meldung/Meltdown-Patches-32-Bit-Systeme-stehen-hinten-an-3940207.html heeft Microsoft tot nu toe uitsluitend patches voor 64bit versies van Windows uitgebracht.Voor Linux is er ook iets beschikbaar:
https://github.com/speed47/spectre-meltdown-checker
https://github.com/speed47/spectre-meltdown-checker
Door Anoniem: Ik ben een fan van de man, dit is niet de eerste keer dat hij in een paar dagen iets in elkaar knutselt waar we wat aan hebben. K8jk ook eens een keer zijn vlogs.
Ik vind hem nogal een drama queen, eigenlijk, hij maakt nogal een circus van zijn presentatie. Hij kan basale dingen enorm breed uitmeten, doorspekken met kadertjes en kleurtjes en uitroeptekens en vaak zegt hij met dat alles niet eens zo heel veel. Vaak genoeg zijn het bekende zaken waar je helemaal niet zo dramatisch over hoeft te doen. Ik zeg niet dat zo'n tooltje, of andere dingen die hij doet, daarmee meteen helemaal nutteloos zijn, maar ik ben nou ook weer niet heel diep onder de indruk van hem.
16-01-2018, 13:49 door
PietdeVries
Het lijkt me niet zo raar dat de virusscanners hier op triggeren...
Alhoewel Spectre en Meltdown natuurlijk met een patch moeten worden verholpen, zien de anti-virus fabrikanten het als hun taak om ook mee te helpen. Software die probeert de vulnerability te mis/gebruiken zal worden tegen gehouden.
Het lastige is dat je om dit dus echt te testen, je virusscanner uit moet zetten. Maar vertrouwen we meneer Gibson voldoende om dat ook echt te doen?
Alhoewel Spectre en Meltdown natuurlijk met een patch moeten worden verholpen, zien de anti-virus fabrikanten het als hun taak om ook mee te helpen. Software die probeert de vulnerability te mis/gebruiken zal worden tegen gehouden.
Het lastige is dat je om dit dus echt te testen, je virusscanner uit moet zetten. Maar vertrouwen we meneer Gibson voldoende om dat ook echt te doen?
Zou de eerste keer zijn dat we aan een Steve Gibsons tooltje moeten twijfelen.
Ik ben niet kwetsbaar voor Meltdown, wacht nog op de Spectre patch, zodoende.
Moest het wel toestaan met Voodooshield om het te draaien (11 uit 16 detectie, doorztten als FP).
Dat zijn excact ook de VT resultaten: https://www.virustotal.com/#/file/f263a23494d22a05f707faf4d0f4cc147b276f255309007d5f27d000a54b5372/detection
Volgens mij is het een PeCompact FP op de packer, wordt al in hardened mode direct door o.a.door trigger-happy
Emisoft gedetecteerd. Net zoals iedere nieuwe file met deze packer overigens.
Als je hem ongesigneerd zou krijgen en niet zelf hebt gedownload, zou ik zeker niet draaien,
dan is het minimaal een PUP of maximaal een malcode injectie tool.
Maar op deze manier een leuk test instrument.
Net als de andere testtooltjes van Steve handig zijn, zoals bij voorbeeld DNS Bench etc.
Check even je scope settings achteraf nog op undefined en restricted staan?
luntrus
Ik ben niet kwetsbaar voor Meltdown, wacht nog op de Spectre patch, zodoende.
Moest het wel toestaan met Voodooshield om het te draaien (11 uit 16 detectie, doorztten als FP).
Dat zijn excact ook de VT resultaten: https://www.virustotal.com/#/file/f263a23494d22a05f707faf4d0f4cc147b276f255309007d5f27d000a54b5372/detection
Volgens mij is het een PeCompact FP op de packer, wordt al in hardened mode direct door o.a.door trigger-happy
Emisoft gedetecteerd. Net zoals iedere nieuwe file met deze packer overigens.
Als je hem ongesigneerd zou krijgen en niet zelf hebt gedownload, zou ik zeker niet draaien,
dan is het minimaal een PUP of maximaal een malcode injectie tool.
Maar op deze manier een leuk test instrument.
Net als de andere testtooltjes van Steve handig zijn, zoals bij voorbeeld DNS Bench etc.
Check even je scope settings achteraf nog op undefined en restricted staan?
luntrus
16-01-2018, 15:13 door
Hyper
Allemaal false positives. Als er iemand te vertrouwen is met zijn programma's is het Steve Gibson (GRC.com) en het programmaatje heeft gewoon zijn geldige DigiCert handtekening / certificaat.
16-01-2018, 15:18 door
SPer
Smartscreen blocked hem .
@luntrus Mag ik vragen "hoe" ik mijn scope settings achteraf kan checken? Alvast bedankt!
16-01-2018, 17:59 door
Spiff has left the building
Door Anoniem, 14:15 uur:
Check even je scope settings achteraf nog op undefined en restricted staan?
luntrus
Check even je scope settings achteraf nog op undefined en restricted staan?
luntrus
Door Anoniem, 17:18 uur:
@luntrus Mag ik vragen "hoe" ik mijn scope settings achteraf kan checken? Alvast bedankt!
Zoals eerder hier beschreven:@luntrus Mag ik vragen "hoe" ik mijn scope settings achteraf kan checken? Alvast bedankt!
https://www.security.nl/posting/545583#posting545679
Door Spiff, 11-01-2018, 11:48 uur:
Om de PowerShell ExecutionPolicies te controleren en te corrigeren,
open Windows PowerShell, via rechtsklik, "Als administrator uitvoeren".
In Windows PowerShell, geef het commando:
Zou voor een of meer Scopes de ingestelde ExecutionPolicy niet de standaardinstelling "Undefined" of "Restricted" zijn, maar in plaats daarvan "Bypass", dan kun je de standaardinstelling herstellen:Om de PowerShell ExecutionPolicies te controleren en te corrigeren,
open Windows PowerShell, via rechtsklik, "Als administrator uitvoeren".
In Windows PowerShell, geef het commando:
Get-ExecutionPolicy -list
Door Spiff, 11-01-2018, 11:48 uur:
Als voor CurrentUser weergegeven wordt dat ExecutionPolicy is ingesteld als"Bypass",
herstel dan de standaardinstelling door middel van dit commando:
Of doe dit eventueel voor niet alleen CurrentUser maar tegelijk voor alle Scopes:
Documentatie:
https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_execution_policies?view=powershell-5.1
Als voor CurrentUser weergegeven wordt dat ExecutionPolicy is ingesteld als"Bypass",
herstel dan de standaardinstelling door middel van dit commando:
Set-ExecutionPolicy -ExecutionPolicy Default -Scope CurrentUser
Of doe dit eventueel voor niet alleen CurrentUser maar tegelijk voor alle Scopes:
Set-ExecutionPolicy -ExecutionPolicy Default
Documentatie:
https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_execution_policies?view=powershell-5.1
@ Spiff, anoniem van 17:18
Bedankt voor je snelle reactie. Ik was dus het achterliggende leermoment nog niet vergeten
en daarom reflecteerde ik er nog even aan.
Volgens het recept van Xs4all "Scan je wijs" zijn we beter bezig.
Maar altijd met een pre-check en een post-check achteraf.
Dat is nu security dot nl op zijn best, op elkaars schouders staan.
Echt toppie, mensen!
luntrus
Bedankt voor je snelle reactie. Ik was dus het achterliggende leermoment nog niet vergeten
en daarom reflecteerde ik er nog even aan.
Volgens het recept van Xs4all "Scan je wijs" zijn we beter bezig.
Maar altijd met een pre-check en een post-check achteraf.
Dat is nu security dot nl op zijn best, op elkaars schouders staan.
Echt toppie, mensen!
luntrus
HitmanPro blokkeert Inspectre ook al, maar plaatst het niet in quarantaine. Inspectre wordt alleen afgefloten.
Ingelogd als beheerder en dan zelfs nog rechtsklikken als Administrator gooit de rode vlag uit rechtsboven:
"Malware Blocked Mal/Dorf-A
Nou ja...HitmanPro roest niet vast ;) dat weet ik dan tenminste wèl met zekerheid.
Volgens de site van Gibson https://www.grc.com/inspectre.htm werkt hij aan oplossingen voor de False Positives:
Citaat:
Ingelogd als beheerder en dan zelfs nog rechtsklikken als Administrator gooit de rode vlag uit rechtsboven:
"Malware Blocked Mal/Dorf-A
Nou ja...HitmanPro roest niet vast ;) dat weet ik dan tenminste wèl met zekerheid.
Volgens de site van Gibson https://www.grc.com/inspectre.htm werkt hij aan oplossingen voor de False Positives:
Citaat:
High incidence of false-positive A/V warnings:
People are reporting that their 3rd-party anti-virus systems are quarantining InSpectre under the mistaken belief that it's malicious. This did not occur during early work, and is almost certainly due to the end-of-project inclusion of the protection enable/disable buttons and the presence of the registry key they use. I would rather not remove that feature. So, after today's (Tuesday Jan 16th) Security Now! podcast I will explore obscuring the use of that key to see whether false positive anti-virus warnings can be eliminated.
At that time I will clarify some of the conflicting language the app can produce and also explain why the enable/disable buttons may be disabled (there's nothing for them to enable or disable in specific circumstances.) Thanks!
People are reporting that their 3rd-party anti-virus systems are quarantining InSpectre under the mistaken belief that it's malicious. This did not occur during early work, and is almost certainly due to the end-of-project inclusion of the protection enable/disable buttons and the presence of the registry key they use. I would rather not remove that feature. So, after today's (Tuesday Jan 16th) Security Now! podcast I will explore obscuring the use of that key to see whether false positive anti-virus warnings can be eliminated.
At that time I will clarify some of the conflicting language the app can produce and also explain why the enable/disable buttons may be disabled (there's nothing for them to enable or disable in specific circumstances.) Thanks!
Zojuist de nieuwe versie gedownload: Inspectre v.0.0.6591.2
Volgens VirusTotal veroorzaakt zij nog slechts één False Positive bij TheHacker
https://www.virustotal.com/#/file/816389bd31562f32fdfd9cbf7185cf2238181584d1fbd91928249f158cdfb5d3/detection
Volgens VirusTotal veroorzaakt zij nog slechts één False Positive bij TheHacker
https://www.virustotal.com/#/file/816389bd31562f32fdfd9cbf7185cf2238181584d1fbd91928249f158cdfb5d3/detection
Ik houd de dreiging van Spectre maar voor gezien op mijn Win 8.1 computertje en denk er sterk over hem nu maar definitief off-line te gaan gebruiken.
Het is mooi geweest met Microsoft Windows, maar ook!...
Windows 8.1 ondersteunt bij mij volledig subliem èn het snelst programma's die ik het meeste gebruik: Audacity en Windows media Player voor muziek bewerken respectievelijk branden van CD's, en ik wil het risico niet aangaan dit genot misschien te verliezen door een mislukte BIOS/UEFI update.
Ik ben nu aan het onderzoeken - schiet nog niks op overigens - of de Microcode workflow als alternatief voor een BIOS update onder Linux en Xubuntu door het plaatsen van het bestand: microcode-20180108.tgz in de directory: /etc/firmware voldoet.
Dat zou dan telkens bij het booten worden geladen en een indirecte executie van noodzakelijke code zijn ter bescherming tegen Spectre i.p.v. de 'Intel Firmware Upgrade' (zo classificeer ik het maar) van de processor, Maar ja, dit alles slechts overdacht met mijn boerenklompendondercomputerverstand voorzover ik kan sublimeren uit de kennisbrij rond Spectre, ofwel..... heldere bronvermelding ter bevestiging of t.b.v. discussiestelling van deze digitale fantasieën van mijn zijde kan ik NIET geven. Excuses!
Zoals ik al aanhaalde... ik kom geen steek verder qua kennis rond deze nieuwe kwetsbaarheden in Linux.
Ik vind het daar (Linux) momenteel helemaal giswerk over wat je als gebruiker boven het hoofd hangt of al weggenomen is.
De afgelopen dagen weer vanalles geupdate in Linux en Xubuntu ( de laatste was een keer zelfs 12 minuten bezig) helemaal prima hoor; zonder enige bedenking, maar... geen snars wijzer over Meltdown en Spectre.
Subjectief gedacht:
Het lijkt wel of het bij Linux/Ubuntu helemaal doodgezwegen wordt en hier is de aandacht ook weer weggelekt...ahum naar de slimme meter ;)
https://www.security.nl/posting/533813/Slimme+meter+en+Stedin%2C+schandalig!
....Ik denk dat ik maar ga toepen :)
Het is mooi geweest met Microsoft Windows, maar ook!...
Windows 8.1 ondersteunt bij mij volledig subliem èn het snelst programma's die ik het meeste gebruik: Audacity en Windows media Player voor muziek bewerken respectievelijk branden van CD's, en ik wil het risico niet aangaan dit genot misschien te verliezen door een mislukte BIOS/UEFI update.
Ik ben nu aan het onderzoeken - schiet nog niks op overigens - of de Microcode workflow als alternatief voor een BIOS update onder Linux en Xubuntu door het plaatsen van het bestand: microcode-20180108.tgz in de directory: /etc/firmware voldoet.
Dat zou dan telkens bij het booten worden geladen en een indirecte executie van noodzakelijke code zijn ter bescherming tegen Spectre i.p.v. de 'Intel Firmware Upgrade' (zo classificeer ik het maar) van de processor, Maar ja, dit alles slechts overdacht met mijn boerenklompendondercomputerverstand voorzover ik kan sublimeren uit de kennisbrij rond Spectre, ofwel..... heldere bronvermelding ter bevestiging of t.b.v. discussiestelling van deze digitale fantasieën van mijn zijde kan ik NIET geven. Excuses!
Zoals ik al aanhaalde... ik kom geen steek verder qua kennis rond deze nieuwe kwetsbaarheden in Linux.
Ik vind het daar (Linux) momenteel helemaal giswerk over wat je als gebruiker boven het hoofd hangt of al weggenomen is.
De afgelopen dagen weer vanalles geupdate in Linux en Xubuntu ( de laatste was een keer zelfs 12 minuten bezig) helemaal prima hoor; zonder enige bedenking, maar... geen snars wijzer over Meltdown en Spectre.
Subjectief gedacht:
Het lijkt wel of het bij Linux/Ubuntu helemaal doodgezwegen wordt en hier is de aandacht ook weer weggelekt...ahum naar de slimme meter ;)
https://www.security.nl/posting/533813/Slimme+meter+en+Stedin%2C+schandalig!
....Ik denk dat ik maar ga toepen :)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
