'Toch kerneltoegang Vista voor antivirusbedrijven' - Update - Computer - Nieuws

Microsoft heeft veiligheidsbedrijven, waaronder ook antivirusvendors, voorzien van informatie om het hen mogelijk te maken hun producten naadloos met Windows Vista samen te laten werken. Vooral McAfee had geklaagd over het feit dat software niet langer kerneltoegang kon krijgen. Microsoft achtte dat noodzakelijk om de veiligheid van het besturingssysteem te garanderen. 'Als antivirussoftware de kernel kan benaderen, kunnen rootkits dat immers ook,' zo redeneerde men in Redmond. Dat de gemaakte aanpassingen in Vista al gebruikt werden in Windows XP64, werd door McAfee over het hoofd gezien.

Heel wat software leidt namelijk zogenaamde 'kernel calls' om naar zijn eigen code, bijvoorbeeld om een opgeroepen document door de virusscanner te laten passeren, terwijl er gewoon API's beschikbaar zijn om op een formeel juiste manier in te grijpen in de werking van het besturingssysteem. Door de nieuwe features die in Windows XP64 hun intrede deden en die ook in Vista geïmplementeerd worden, wordt dit omleiden van kernel calls onmogelijk gemaakt en worden softwarebouwers gedwongen netjes API-calls te gebruiken. Informatie over deze API-calls is nu dus naar de antivirusbedrijven, waaronder McAfee, gestuurd.

Update 15u10: Symantec heeft ondertussen aangegeven niet blij te zijn met Microsofts toezeggingen. Het bedrijf is van mening dat het rechtstreekse kerneltoegang absoluut nodig heeft om zijn werk te kunnen doen. Op dit moment kunnen antivirusbedrijven bescherming bieden tegen bepaalde bedreigingen, ook als er geen API-functie voor de gewenste activiteit beschikbaar is, door rechtstreeks in te grijpen in de kernel. 'Met de introductie van PatchGuard probeert Microsoft dat onmogelijk te maken en dat is niet goed voor de veiligheid van de consument,' aldus Rowan Trollope, Vice President of Consumer Products bij Symantec.

Dat het afschermen van de kernel een inherent veiliger systeem oplevert en dat ook kwaadwilligen gebruik kunnen maken van achterpoortjes die voor antivirusvendors opengezet worden, wil men bij Symantec niet gehoord hebben. Trollope wist in één moeite door namelijk te melden dat Symantec-onderzoekers de kernelafscherming al gekraakt hebben en dat dus ook hackers daarin zullen slagen. Er lijkt Symantec er dan ook veel aan gelegen te zijn Vista in een kwaad daglicht te plaatsen. Het bedrijf klopte al bij de EU aan, begon een rechtszaak en publiceerde rapporten die de onveiligheid van bètaversies van het besturingssysteem moesten aantonen.

Reacties (57)

Murcielago 18 oktober 2006 09:47

Best wel raar dat McAfee dit niet eerder had gezien.
En dat ze dit zelf niet konden bedenken. Nu wordt alles wel op de juiste nette manier afgehandeld. Wat de beveiliging zeker ten goede komt.

Of zou McAfee hiermee indirect hebben geklaagd over het feit dat de beveiliging zoveel beter zou zijn dat ze veel minder softwarepakketten verkocht zouden hebben?
McAfee heeft er weinig belang bij dat Vista veel meer dichtgetimmerd is dan XP.

bitflusher @Murcielago • 18 oktober 2006 09:51

ik denk eerder dat het een stukje "luiheid" is, delen op een andere manier implementeren kost meer tijd en (en geld) dan gewoon forceren dat het op de oude vertrouwde manier kan

Defspace @bitflusher • 18 oktober 2006 10:45

Niet helemaal waar natuurlijk.

Door de beveiliging via API calls te doen loop je het risico dat virussen API calls/feedback onderscheppen en je geen goede beveiliging meer hebt.
Door rechtstreeks op de kernel te gaan zitten weet je zeker dat er geen I/O plaatsvind zonder dat jij(de virusengine) het weet.
Ik snap mcAfee wel alleen geef ik hierin toch Microsoft gelijk want de kernel moet dicht zitten.

4VAlien @Defspace • 18 oktober 2006 16:59

@defspace

Je maakt een denkfout: Een nieuw virus wat niet gedetecteerd wordt kan nog steeds de virusscanner uit kernel mode trappen of voor de gek houden aangezien het net zo makkelijk bij de kernel kan als de virusscanner. En als een virus dat al herkend wordt op het punt staat uitgevoerd te worden dan kan het op dat moment via de API wel gescand worden, zodat kernel toegang hooguit een lichte complicatie voor virusschrijvers wordt.

packman @Murcielago • 18 oktober 2006 11:04

Er is helemaal geen 'nette' manier om file-access te controleren... Veel andere mogelijkheden zijn er niet dan de originele OS functies te hooken, tenzij het OS gecontroleerde faciliteiten aanbiedt om bvb file-access te laten controleren door een extern (gesigneerd) programma. Dit was niet het geval, en dat was dan ook meteen de klacht van McAfee. Blijkbaar heeft Microsoft nu een aanpassing gedaan waardoor men dit wel zou kunnen.

Het probleem is dat dit soort technieken ook populair zijn in 'root-kits' of spyware om zichzelf te verbergen of om het systeem te monitoren, waarom MS ook niet echt happig was om dit wel toe te laten...

Beide bedrijven hadden een begrijpelijk standpunt, enkel denk ik dat dat van MS net iets te kortzichtig was, denkend dat ze zelf wel alles zouden kunnen oplossen.

hellbringer 18 oktober 2006 09:55

...omleiden van kernel calls onmogelijk gemaakt en worden softwarebouwers gedwongen netjes API-calls te gebruiken.

Gelukkig maar, al dat geklooi met kernel hooks e.d. kan alleen je systeem maar om zeep helpen.
Gewoon netjes een API call doen, net als alle andere software bouwers.
Software moet gewoon geen invloed kunnen hebben op de kernel, tenminste niet direct opdrachten kunnen geven, maar gewoon dingen netjes vragen.

edit:
Topictitel is inderdaad een beetje misleidend 'Geen kerneltoegang Vista voor antivirusbedrijven' was beter geweest (ze moeten immers gewoon API calls gebruiken)
Of 'Microsoft houd poot stijf, geen geklooi aan de kernel' of 'Microsoft stuurt McAffee op programmeer cursus'

catfish 18 oktober 2006 09:49

oeps, McAfee en Symantec lijken opeens toch wel heel amateuristische bedrijven (en dat doet dan beveiliging)

dit geeft nog maar eens aan dat die bedrijven hun software half aan elkaar hangt van de hacks, mooi is dat
maar hoe werkt dan hun suite voor XP64?

dr snuggles @catfish • 18 oktober 2006 10:12

maar hoe werkt dan hun suite voor XP64?

Niet. Zowel McAfee als Norton hebbennog geen officiele x64 support. Wat ze hebben voor particuliere klanten verkeerd nog in bèta fase. Norton heeft al wel een zakelijke x64 versie liggen.

Ach, ze zijn gewoon lui, aangezien Windows XP x64 al meer dan 1,5 jaar bestaat en nog langer als je de beta versies mee rekent waar ze voor konden ontwerpen.

Aan de andere kant zijn er prima vervangers voor Norton en McAfee welke wel goed onder x64 werken, zoals Nod32. Zowel Norton als McAfee staan erom bekend om trage en resource slurpende AV te hebben, dus eigenlijk mis je niets.

MC Taz Man @catfish • 18 oktober 2006 10:06

In het geval van McAfee, niet. WinXP64 wordt niet ondersteund en de software is niet compatibel.

SuperDre @MC Taz Man • 18 oktober 2006 11:08

Dan praten we misschien over de consumenten versie, want McAfee 'virusscan enterprise 8' werkt gewoon onder windows xp 64. Tja nu ik dit dus lees vraag ik me wel af of dat ding dan ook fatsoenlijk werkt, en niet alleen simpel een frontje is met ene 'nep' scanner.. Dus mogelijk zal er wel binnenkort een nieuwe update verschijnen, LOL..

Ackermans1973 @catfish • 18 oktober 2006 10:51

Symantec AntiVirus Corporate bestaat voor x64. En die werkt prima.

Waarom er dan nu zoveel moeilijkheden ontstaan met het maken van programmatuur voor Vista snap ik dan niet, als ze al een goed werkend AV hebben voor x64.

Want als ik het goed begrijp, werken x64 en Vista dus hetzelfde, via Api-calls.

Maar Norton geeft bij alle nieuwe builds van NIS2007 voor Vista en Genesis aan dat x64 niet ondersteund wordt.

Wellicht gaan ze ervan uit dat particulieren de x86 Vista zullen kopen en bedrijven de x64, en die laatste zullen dan Symantec Corporate AV nemen.

OfNoAvail 18 oktober 2006 09:54

Slechte titel van het artikel. Suggereerd namelijk dat kernel toegang wel mogelijk gemaakt zou zijn terwijl dit nogaltijd niet het geval is.

YaPP @OfNoAvail • 18 oktober 2006 10:06

Slechte titel van het artikel. Suggereerd namelijk dat kernel toegang wel mogelijk gemaakt zou zijn terwijl dit nogaltijd niet het geval is.

Ik denk eerder dat Microsoft het bericht op deze manier eruit gebracht heeft. I.p.v. een technische "nee je hebt geen toegang maar" vertellen ze vol trots dat ze wel toegang geven. EU blij, anti-virus bedrijven blij. De API's bieden min of meer ook toegang, hetzij op een gecontroleerde manier. Dus je kunt het ook niet echt een leugen noemen. Klinkt als een goede marketing truc.

Murcielago @OfNoAvail • 18 oktober 2006 09:56

Eigenlijk dekt de titel de lading niet echt.
In het artikel van enkele weken geleden doelde microsoft al op deze API-calls. Daarmee zouden ze al toegang krijgen, maar toen was het niet genoeg voor McAfee

Anoniem: 92624 @Murcielago • 18 oktober 2006 10:09

tja die titels van tweakers..

Hebben ze soms een redacteur van de stemmingmakers in dienst genomen? (de Telegraaf)

Anoniem: 80466 @Murcielago • 18 oktober 2006 12:52

Volgens mij gaat MS ook op verzoek van McAfee de kernel API uitbreiden. Ze hebben namelijk aangegevens dat de gewenste wijziingen pas in servicepack 1 in Vista zullen verschijnen.

LOTG @OfNoAvail • 18 oktober 2006 09:55

Suggereerd niet alleen, het staat er letterlijk...

Anoniem: 53573 18 oktober 2006 09:49

Dus eigenlijk snapten die klagende antivirusbedrijven er helemaal niks van.

Het lijken wel Nederlanders, klagen zonder je ergens in te verdiepen en niet eens in de gaten hebben dat de aanpassing (XP-64) al lang bestaat.

Nou ja... MCAffee kan beter toegang bieden tot haar Engine zodat een externe Software-maker een MCaffee repair tool kan maken....

Depress 18 oktober 2006 09:53

Nu weten we ook waarom Symantec niet klaagde. Zij hebben immers een Antivirus gemaakt voor XP - x64. En weten dus hoe het werkt. Dit niet vertellend aan de rest en hopend dat microsoft het ook voorzich zelf houd, maakte dat hun een van de enige die antivirus software konden maken naast microsoft.

Slim gespeeld:)

SuperDre @Depress • 18 oktober 2006 11:10

Maarja, Mcafee heeft ook een versie die werkt onder XP64...

BikkelZ 18 oktober 2006 11:47

Symantec of McAfee kunnen altijd nog een proces installeren dat op kunstmatige wijze gemiddeld 40% van je systeembronnen onderschept, per uur 1.4% meer geheugen in beslag neemt en geen virussen onderschept

dwaas 18 oktober 2006 10:19

Tip voor microsoft: breng 2 versies uit. Een versie waar kernel toegang mogelijk is. En een versie waarbij dat niet mogelijk is. Gooi de marketing op de 'gesloten' versie en klaar. Minimale kosten voor een maximaal effect. En iedereen tevreden. (volgens het papierwerk zou dan iedereen tevreden moeten zijn *grin*)

@ reactie over consument.

De consument is sowieso geen partij met inspraak in deze. Ben het met je eens dat het in hun nadeel is, maar daar ligt niemand bij MS wakker van.

FSVZ @dwaas • 18 oktober 2006 10:28

Behalve de consument:

Verkoper: Welke versie van Windows Vista wilt u?
Klant: Welke zijn er?
Verkoper: Business, Enterprise, Home Premium, Home Basic, Ultimate
Klant: [Na lang twijfelen en geen idee wat welke versie precies is] Doe maar die Home Premium, die klinkt wel leuk
Verkoper: Wilt die met of gesloten kernel
Klant:

4play @dwaas • 18 oktober 2006 10:35

dat maakt het totaal tot 45 versies van vista dan ongeveer volgens mij

Murcielago @OverSoft • 18 oktober 2006 09:48

Lees even goed, de toegang verloopt nu via API-calls. Zo hebben applicaties geen directe toegang.

Verwijderd @OverSoft • 18 oktober 2006 09:49

Volgens mij heb je alleen de titel gelezen?

Informatie over deze API-calls is nu dus naar de antivirusbedrijven, waaronder McAfee, gestuurd.

BertS @OverSoft • 18 oktober 2006 09:50

Misschien even lezen

Door de nieuwe features die in Windows XP64 hun intrede deden en die ook in Vista geïmplementeerd worden, wordt dit omleiden van kernel calls onmogelijk gemaakt en worden softwarebouwers gedwongen netjes API-calls te gebruiken

CoolHead621 18 oktober 2006 11:24

Heb het sowiezo niet op MCafee en Norton,

Hoop commercy maar vaak geen goede bescherming.
Snap ook niet dat ze zeuren, MS probeerd het OS beter te beschermen, zeik dan ook niet zo.

Ik zou het niet erg vinden als we geen anti virus software meer hoeven te draaien.
Gewoon bescherming in windows moet voldoende zijn.

Ben1985 @CoolHead621 • 18 oktober 2006 11:41

Helaas is dat niet mogelijk. Een OS is veels te complex, dit is niet lekvrij te krijgen. Bovendien, er blijft naar lekken gezocht worden door virusschrijvers omdat het OS Windows zo populair is.

Linux is echt niet veel veiliger bijvoorbeeld, er zijn gewoon niet zoveel virussen voor als voor Windows, omdat het niet massaal wordt gebruikt als OS, daarom is Linux niet interessant voor virusschrijvers.

Windows zal pas minder virussen krijgen als het minder populair is, zo werkt het nou eenmaal. Het meest populaire OS wordt het meest belaagd door virussen.

koentje115 @Ben1985 • 18 oktober 2006 13:12

Een paar procent* van 100 000 000* zijn nog steeds veel gebruikers... Daar zou ik als virusschrijver wel wat moeite voor doen...

* getallen zijn fictief. Ik ken het aantal linux/mac gebruikers niet

Mr. Freeze @koentje115 • 18 oktober 2006 15:52

Maar die paar procent linux gebruikers zijn over het algemeen zéér ervaren computergebruikers. Bij hoeveel Linuxgebruikers zal een virus zich succesvol kunnen nestelen? ik denk écht niet genoeg om een legioen zombie pc's mee te bouwen.

hackerhater @Ben1985 • 18 oktober 2006 21:10

Waarom blijft deze drogreden telkens trugkomen?

Linux (en andere *nixen) zijn COMPLEET ANDERS dan windows.

Er zijn weinig virussen omdat ze gewoon weinig kans hebben. Dat is de reden en niet de gebruikersaantallen

Op dit item kan niet meer gereageerd worden.

'Toch kerneltoegang Vista voor antivirusbedrijven' - Update

Lees meer

Reacties (57)

Sorteer op:

Weergave: