image

InSpectre-tool checkt Windows-pc's op Spectre en Meltdown

dinsdag 16 januari 2018, 08:54 door Redactie, 26 reacties

De bekende beveiligingsonderzoeker Steve Gibson heeft een gratis tool ontwikkeld die Windows-computers uitgebreid test of ze kwetsbaar voor de Spectre en Meltdown-aanvallen zijn. De tool heet InSpectre en kijkt niet alleen of systemen kwetsbaar zijn, maar ook of de prestaties zijn verlaagd.

Om volledig tegen beide aanvallen beschermd te zijn moeten gebruikers zowel bios- als besturingssysteem-updates installeren. Dit kan een invloed op de systeemprestaties hebben, afhankelijk van waar het systeem precies voor wordt gebruikt. InSpectre laat weten welke updates geïnstalleerd zijn en wat er nog moet worden gedaan om het systeem te beschermen. Ook biedt de tool een optie om de bescherming tegen Spectre en Meltdown uit te schakelen.

Image

Reacties (26)
16-01-2018, 09:01 door Anoniem
Ik ben een fan van de man, dit is niet de eerste keer dat hij in een paar dagen iets in elkaar knutselt waar we wat aan hebben. K8jk ook eens een keer zijn vlogs.
16-01-2018, 09:09 door Anoniem
Krijg een melding als ik dit download:

File "C:\Users\xxx\Downloads\InSpectre.exe" belongs to virus/spyware 'Mal/Dorf-A'.
16-01-2018, 09:27 door Anoniem
Krijg een Artemis virus melding (McAfee Endpoint) op de website bij het downloaden... (false positive ?)
16-01-2018, 09:32 door Anoniem
Antivirus zet em in quarantaine...... Security risk detected: WS.Reputation.1
16-01-2018, 09:46 door Anoniem
https://www.virustotal.com/nl/file/f263a23494d22a05f707faf4d0f4cc147b276f255309007d5f27d000a54b5372/analysis/1516090054/
16-01-2018, 09:48 door Anoniem
Mijn virusscanner (Sophos) geeft aan dat er malware is aangetroffen. False positive of niet?

"Mal/Dorf-A detected in InSpectre.exe"
16-01-2018, 10:14 door MrRight
Binnen een VM van VirtualBox geeft hij aan (Win10)

Meltdown: NO
Spectre: YES
Slower: YES

Wat is wijsheid voor Virtual Machines?
16-01-2018, 10:18 door Anoniem
Zelfde melding bij Kaspersky, wacht het nog even af.
16-01-2018, 10:29 door Anoniem
Gibson schrijft vaak in assembler en de tool gebruikt systemcalls (via LoadLibrary). Daarnaast is het met PECompact kleiner gemaakt. Onder andere dat, in combinatie met een check voor vulnerabilities maakt het verdacht. De signing zou wel een reden moeten zijn voor nader onderzoek.

Dit is het lot van security tools: ze zien er verdacht uit.

Righard, als je dit leest, misschien zou je kunnen aangeven of het om een fp gaat.
16-01-2018, 10:34 door adbc
Kaspersky Internet Security : HEUR : Trojan.Win32.Generic
16-01-2018, 10:39 door Anoniem
Ondanks dat ik een patch heb geinstalleerd via windows update blijft mijn pc kwetsbaar voor meltdown.
16-01-2018, 12:05 door Bitwiper
Door Anoniem: Ondanks dat ik een patch heb geinstalleerd via windows update blijft mijn pc kwetsbaar voor meltdown.
Heb je misschien de 32bit versie van Windows op je PC? Volgens (Duitstalig) https://m.heise.de/security/meldung/Meltdown-Patches-32-Bit-Systeme-stehen-hinten-an-3940207.html heeft Microsoft tot nu toe uitsluitend patches voor 64bit versies van Windows uitgebracht.
16-01-2018, 12:08 door Anoniem
Ook TrendMicro geeft virus aan
16-01-2018, 12:23 door Anoniem
ik heb idd de 32bit versie van Windows geinstalleerd.
16-01-2018, 13:33 door Anoniem
Voor Linux is er ook iets beschikbaar:
https://github.com/speed47/spectre-meltdown-checker

Door Anoniem: Ik ben een fan van de man, dit is niet de eerste keer dat hij in een paar dagen iets in elkaar knutselt waar we wat aan hebben. K8jk ook eens een keer zijn vlogs.
Ik vind hem nogal een drama queen, eigenlijk, hij maakt nogal een circus van zijn presentatie. Hij kan basale dingen enorm breed uitmeten, doorspekken met kadertjes en kleurtjes en uitroeptekens en vaak zegt hij met dat alles niet eens zo heel veel. Vaak genoeg zijn het bekende zaken waar je helemaal niet zo dramatisch over hoeft te doen. Ik zeg niet dat zo'n tooltje, of andere dingen die hij doet, daarmee meteen helemaal nutteloos zijn, maar ik ben nou ook weer niet heel diep onder de indruk van hem.
16-01-2018, 13:49 door PietdeVries
Het lijkt me niet zo raar dat de virusscanners hier op triggeren...

Alhoewel Spectre en Meltdown natuurlijk met een patch moeten worden verholpen, zien de anti-virus fabrikanten het als hun taak om ook mee te helpen. Software die probeert de vulnerability te mis/gebruiken zal worden tegen gehouden.

Het lastige is dat je om dit dus echt te testen, je virusscanner uit moet zetten. Maar vertrouwen we meneer Gibson voldoende om dat ook echt te doen?
16-01-2018, 14:15 door Anoniem
Zou de eerste keer zijn dat we aan een Steve Gibsons tooltje moeten twijfelen.

Ik ben niet kwetsbaar voor Meltdown, wacht nog op de Spectre patch, zodoende.

Moest het wel toestaan met Voodooshield om het te draaien (11 uit 16 detectie, doorztten als FP).

Dat zijn excact ook de VT resultaten: https://www.virustotal.com/#/file/f263a23494d22a05f707faf4d0f4cc147b276f255309007d5f27d000a54b5372/detection

Volgens mij is het een PeCompact FP op de packer, wordt al in hardened mode direct door o.a.door trigger-happy
Emisoft gedetecteerd. Net zoals iedere nieuwe file met deze packer overigens.

Als je hem ongesigneerd zou krijgen en niet zelf hebt gedownload, zou ik zeker niet draaien,
dan is het minimaal een PUP of maximaal een malcode injectie tool.

Maar op deze manier een leuk test instrument.

Net als de andere testtooltjes van Steve handig zijn, zoals bij voorbeeld DNS Bench etc.

Check even je scope settings achteraf nog op undefined en restricted staan?

luntrus
16-01-2018, 15:13 door Hyper
Allemaal false positives. Als er iemand te vertrouwen is met zijn programma's is het Steve Gibson (GRC.com) en het programmaatje heeft gewoon zijn geldige DigiCert handtekening / certificaat.
16-01-2018, 15:18 door SPer
Smartscreen blocked hem .
16-01-2018, 17:18 door Anoniem
@luntrus Mag ik vragen "hoe" ik mijn scope settings achteraf kan checken? Alvast bedankt!
16-01-2018, 17:59 door Spiff has left the building
Door Anoniem, 14:15 uur:
Check even je scope settings achteraf nog op undefined en restricted staan?
luntrus
Door Anoniem, 17:18 uur:
@luntrus Mag ik vragen "hoe" ik mijn scope settings achteraf kan checken? Alvast bedankt!
Zoals eerder hier beschreven:
https://www.security.nl/posting/545583#posting545679
Door Spiff, 11-01-2018, 11:48 uur:
Om de PowerShell ExecutionPolicies te controleren en te corrigeren,
open Windows PowerShell, via rechtsklik, "Als administrator uitvoeren".

In Windows PowerShell, geef het commando:
Get-ExecutionPolicy -list
Zou voor een of meer Scopes de ingestelde ExecutionPolicy niet de standaardinstelling "Undefined" of "Restricted" zijn, maar in plaats daarvan "Bypass", dan kun je de standaardinstelling herstellen:
Door Spiff, 11-01-2018, 11:48 uur:
Als voor CurrentUser weergegeven wordt dat ExecutionPolicy is ingesteld als"Bypass",
herstel dan de standaardinstelling door middel van dit commando:
Set-ExecutionPolicy -ExecutionPolicy Default -Scope CurrentUser

Of doe dit eventueel voor niet alleen CurrentUser maar tegelijk voor alle Scopes:
Set-ExecutionPolicy -ExecutionPolicy Default

Documentatie:
https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_execution_policies?view=powershell-5.1
16-01-2018, 18:02 door Anoniem
@Spiff Perfect, hartelijk dank!
16-01-2018, 22:26 door Anoniem
@ Spiff, anoniem van 17:18

Bedankt voor je snelle reactie. Ik was dus het achterliggende leermoment nog niet vergeten
en daarom reflecteerde ik er nog even aan.

Volgens het recept van Xs4all "Scan je wijs" zijn we beter bezig.
Maar altijd met een pre-check en een post-check achteraf.

Dat is nu security dot nl op zijn best, op elkaars schouders staan.

Echt toppie, mensen!

luntrus
16-01-2018, 22:53 door [Account Verwijderd]
HitmanPro blokkeert Inspectre ook al, maar plaatst het niet in quarantaine. Inspectre wordt alleen afgefloten.
Ingelogd als beheerder en dan zelfs nog rechtsklikken als Administrator gooit de rode vlag uit rechtsboven:
"Malware Blocked Mal/Dorf-A

Nou ja...HitmanPro roest niet vast ;) dat weet ik dan tenminste wèl met zekerheid.

Volgens de site van Gibson https://www.grc.com/inspectre.htm werkt hij aan oplossingen voor de False Positives:

Citaat:

High incidence of false-positive A/V warnings:
People are reporting that their 3rd-party anti-virus systems are quarantining InSpectre under the mistaken belief that it's malicious. This did not occur during early work, and is almost certainly due to the end-of-project inclusion of the protection enable/disable buttons and the presence of the registry key they use. I would rather not remove that feature. So, after today's (Tuesday Jan 16th) Security Now! podcast I will explore obscuring the use of that key to see whether false positive anti-virus warnings can be eliminated.

At that time I will clarify some of the conflicting language the app can produce and also explain why the enable/disable buttons may be disabled (there's nothing for them to enable or disable in specific circumstances.) Thanks!
17-01-2018, 17:27 door [Account Verwijderd]
Zojuist de nieuwe versie gedownload: Inspectre v.0.0.6591.2
Volgens VirusTotal veroorzaakt zij nog slechts één False Positive bij TheHacker
https://www.virustotal.com/#/file/816389bd31562f32fdfd9cbf7185cf2238181584d1fbd91928249f158cdfb5d3/detection
17-01-2018, 19:58 door [Account Verwijderd]
Ik houd de dreiging van Spectre maar voor gezien op mijn Win 8.1 computertje en denk er sterk over hem nu maar definitief off-line te gaan gebruiken.
Het is mooi geweest met Microsoft Windows, maar ook!...
Windows 8.1 ondersteunt bij mij volledig subliem èn het snelst programma's die ik het meeste gebruik: Audacity en Windows media Player voor muziek bewerken respectievelijk branden van CD's, en ik wil het risico niet aangaan dit genot misschien te verliezen door een mislukte BIOS/UEFI update.

Ik ben nu aan het onderzoeken - schiet nog niks op overigens - of de Microcode workflow als alternatief voor een BIOS update onder Linux en Xubuntu door het plaatsen van het bestand: microcode-20180108.tgz in de directory: /etc/firmware voldoet.
Dat zou dan telkens bij het booten worden geladen en een indirecte executie van noodzakelijke code zijn ter bescherming tegen Spectre i.p.v. de 'Intel Firmware Upgrade' (zo classificeer ik het maar) van de processor, Maar ja, dit alles slechts overdacht met mijn boerenklompendondercomputerverstand voorzover ik kan sublimeren uit de kennisbrij rond Spectre, ofwel..... heldere bronvermelding ter bevestiging of t.b.v. discussiestelling van deze digitale fantasieën van mijn zijde kan ik NIET geven. Excuses!

Zoals ik al aanhaalde... ik kom geen steek verder qua kennis rond deze nieuwe kwetsbaarheden in Linux.
Ik vind het daar (Linux) momenteel helemaal giswerk over wat je als gebruiker boven het hoofd hangt of al weggenomen is.
De afgelopen dagen weer vanalles geupdate in Linux en Xubuntu ( de laatste was een keer zelfs 12 minuten bezig) helemaal prima hoor; zonder enige bedenking, maar... geen snars wijzer over Meltdown en Spectre.
Subjectief gedacht:
Het lijkt wel of het bij Linux/Ubuntu helemaal doodgezwegen wordt en hier is de aandacht ook weer weggelekt...ahum naar de slimme meter ;)
https://www.security.nl/posting/533813/Slimme+meter+en+Stedin%2C+schandalig!

....Ik denk dat ik maar ga toepen :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.