Hoofdcategorieën

[RSS] Index » Nieuws » Core » Software » Securitybedrijf claimt PatchGuard omzeild te hebben

Securitybedrijf claimt PatchGuard omzeild te hebben

Door Yoeri Lauwers, woensdag 25 oktober 2006 16:57
Bron: eWeek, views: 15.324

Maker van beveiligingssoftware Authentium claimt dat het een nieuwe versie van zijn ESP Enterprise-software ontwikkeld heeft, die in staat is de PatchGuard-kernelafscherming uit Windows Vista te omzeilen. Terwijl onder andere Kaspersky Microsoft steunt in het besluit om kernelhooks niet meer toe te laten, stellen Symantec en McAfee dat het werken hen hierdoor onmogelijk gemaakt wordt. Microsoft is echter vastbesloten om kerneltoegang via nauwgezet afgebakende API's te laten verlopen en dat werkt volgens Sophos uitstekend. Authentium besloot naar eigen zeggen echter om, in plaats van de media op te zoeken, de koe bij de horens te vatten en zelf aan de slag te gaan.

Vista / Beveiligd / AfgeschermdHet bedrijf zegt zelf de API's nog niet bestudeerd te hebben, maar meteen een workaround voor PatchGuard ontwikkeld te hebben om zijn software compatibel te maken met Windows Vista. Deze bescherming zorgt ervoor dat de computer volledig bevriest op het moment dat een programma aanpassingen in de kernel probeert door te voeren, maar daar zou Authentium een oplossing voor gevonden hebben. De vice-president van het bedrijf, Corey O'Donnell, is ervan overtuigd dat hackers deze omzeiling zullen kunnen nabootsen, maar of hij Microsoft ingelicht heeft over de mogelijke kwetsbaarheden van PatchGuard zodat het bedrijf hieraan kan werken, deelde hij niet mee.

Volgende 17:07
Vorige 16:29

Categorieën

Gerelateerde artikelen

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 45 reacties zichtbaar450 Neutraal: 45 reacties zichtbaar45+1 Meerwaarde: 27 reacties zichtbaar27+2 Verplicht leesvoer: 16 reacties zichtbaar16
«  1  2  »

Door Dutch2007, woensdag 25 oktober 2006 17:02

Score: 2
en toen was er hier weer een update voor van microsoft en dan werkt je programma niet meer..

of nog erger... je kan de patch niet installeren want dan pas je iets aan de kernel en dan bevriest je pc... : lekker :/

Door KoeNijn, woensdag 25 oktober 2006 18:21

Score: 0
Moeten ze de patch maar installeren met deze omzeiling :P

Door eveersel, woensdag 25 oktober 2006 17:02

Score: 2
Voila! Was wachten op dit.... Dit toont wel aan dat je zelf met de beste programmeurs ter wereld en zeeen van tijd nog steeds iets niet 100% waterdicht kunt maken: de complexiteit van een dergelijk systeem is zodanig dat een compleet overzicht van potentiele gevaren/afhankelijkheden nagenoeg onmogelijk is....

Door BramT, woensdag 25 oktober 2006 17:06

Score: 2
Ik zou nog maar even geen conlusies trekken. Voorals nog staat er iemand wat te roepen en hebben we nog niks echt 'gezien'.

Als het overigens zo zou zijn is het vrij dom om je software hiervan afhankelijk te maken. Bugs worden namelijk vroeg of laat opgelost ;)

Door 4VAlien, woensdag 25 oktober 2006 17:35

Score: 2
In root mode is alles te slopen, gewoon omdat je alle privileges hebt om dingen stuk te maken. De vraag is hoe moeilijk het is om aan die privileges te komen als je ze initieel niet hebt

Door BillGaetes, woensdag 25 oktober 2006 17:40

Score: 0
de complexiteit van een dergelijk systeem is zodanig dat een compleet overzicht van potentiele gevaren/afhankelijkheden nagenoeg onmogelijk is....
Omdat er namelijk steeds een fundamentele denkfout gemaakt wordt en dat is dat de software al op het systeem is geinstaleerd.

Ze zouden er meer inspanning in moeten steken om te zorgen dat er geen software op de computer geinstaleerd kan worden en dat die software aan bepaalde eisen moet voldoen (bijvoorbeeld een geldig certificaat van de maker). Software geencrypt met behulp van certificaten distribueren en dan alleen gecertificeerde software installeren zou al 99,999999% van de problemen voorkomen.

Op die manier heb je ook geen virus scanner meer nodig en kan je alle spyware ook wel vergeten.

Door Terracotta, woensdag 25 oktober 2006 17:50

Score: 1
Maar dan krijg je problemen, want dit is namelijk wel wat er in de linux wereld vooral gebeurd: je hebt repositories die de software bevatten. Maar dan willen mensen per se dat onguur poker spel spelen van op internet, dus dan pakken ze windows want die reclameert ni. Als ze alles toedoen dan krijgen ze ofwel veel macht als het wel aanslaat, of ze verliezen een groot marktaandeel.

Door Satolf, woensdag 25 oktober 2006 17:52

Score: 2
Wat lachwekkend optimistisch ben jij zeg... Geen spyware meer als alle software gecertificeerd moet zijn?

Ik denk dat een spyware-bouwer meer geld heeft om zo'n certificaat te kopen dan een open-source-project. Leuk man, wel gecertificeerde spyware maar geen vrije software meer.

Door tankeriv, woensdag 25 oktober 2006 19:07

Score: 0
Mja, hetgene waar ik me nog steeds het meeste aan erger is dat Microsoft meer aandacht schenkt aan het DRM gedeelte van Windows Vista dan de veiligheid ervan.

Doelend waarop?

Dat we over het algemeen veel meer horen over de DRM implementatie dan de implementatie van de veiligheids maatregelen.

Door Defspace, woensdag 25 oktober 2006 22:02

Score: 0
Sorry hoor maar Microsoft wou juist in Longhorn(vista) uitgebreide ondersteuning voor palladium (NGSCB, Next Generation Secure Computing Base) inbakken maar heeft hier vanwege druk uit de markt en van de consumenten(organisaties) van afgezien.

Door palladium soft- en hardware ondersteuning zou je absoluut van een boel veiligheidsproblemen verlost zijn alleen vinden mensen het (imo wel terecht) "eng".
Ook al riep Microsoft dat je het niet hoefde te gebruiken vonden "we" het toch beter om het niet te hebben...

Door zzzzap, donderdag 26 oktober 2006 08:30

Score: 1
Maar ondertussen wordt wel door bijna elke fabrikant de TPM chip op het moererbord gesoldeerd.
Dus ergens volgend jaar op een onbewolkte Patch-Tuesday komt er een mooie update uit Redmond en dan...

Door dr snuggles, woensdag 25 oktober 2006 17:05

Score: 0
Het bedrijf zegt zelf de API's nog niet bestudeerd te hebben, maar meteen een workaround voor PatchGuard ontwikkeld te hebben
Hoe eigenwijs kun je zijn zeg.

Microsoft ontwikkelt mooie geoptimaliseerde API's voor bedrijven om te gebruiken wat hen tijd zou moeten schelen en Windows minder crash gevoelig maakt. Wat doen zij? Zij gaan het weer omzeilen.

Door BramT, woensdag 25 oktober 2006 17:07

Score: 2
Dit heeft verder niks met de API's te maken. Het hele punt is dat als zij het zouden kunnen, hackers er vroeg of laat ook wel achterkomen.

Door humbug, woensdag 25 oktober 2006 17:31

Score: 2
Hackers komen er inderdaad toch wel achter, maar dit "bedrijf" maakt haar product "Vista compatible" door een beveiligingsfunctie van Vista te hacken. Hoe lang denk je dat het duurt voordat dit product niet meer op Vista werkt?

Logisch is om eerst de API maar eens te gaan bekijken en als die (zoals met name mcAfee beweerd) ontoerekend is bij Microsoft te gaan lobbyen voor een uitgebreidere API. Niet om precies datgene te gaan doen wat Microsoft expliciet onmogelijk wil maken.

Door RedLizard, woensdag 25 oktober 2006 22:29

Score: 2
Het erge is, dat moet ook wel. De API's zij by design ontoereikend.

De API mag nog zo mooi en volledig zijn, het probleem is dat software die PatchGuard wel omzeilt, veel meer controle heeft over het systeem dan software die netjes de API gebruikt. Een virus kan dus vrij gemakkelijk een virusscanner buitenspel zetten door zelf wel PatchGuard te omzeilen. De enige manier om dat tegen te gaan is de virusscanner ook om PatchGuard heen laten werken.

Dat is ook de reden dat dat hele PatchGuard een slecht idee is. Het is net als de brakke kopieerbeveiligingen op veel muziek en games; de gekraakte versie is van betere kwaliteit dan het origineel, zodat mensen de gekraakte versie gaan gebruiken. Hiermee schiet je jezelf natuurlijk gruwelijk in de voet.

Door ikwilhet, woensdag 25 oktober 2006 17:08

Score: 0
Als Microsoft toch een API gaat ontwikkelen waarmee je PatchGuard kunt omzeilen, wat is er dan zo shocking aan dit bericht? :?

Door BramT, woensdag 25 oktober 2006 17:11

Score: 2
Met die API omzeil je PatchGuard ook helemaal niet. Die API stelt je enkel in staat om te doen waar je 'normaal gesproken' de kernel-hooks voor nodig hebt. Die kernel-hooks mogen nu dus niet meer (want geen controle op en dus interessant voor malware). Via de API is nu wel vanalles mogelijk, maar het wordt eerst 'gecontroleerd' voordat het naar de kernel gaat als het ware.

Door AniMatrix, woensdag 25 oktober 2006 17:12

Score: 0
Niet veel, maar als jij als securitybedrijf nog 1-2 jaar wil wachten op de API's dan schiet het ook niet op.

Dat is wat Microsoft zegt dat ze aan tijd nodig hebben om het allemaal te fixxen.

Door Green.Velvet|IA, woensdag 25 oktober 2006 17:14

Score: 0
Wie verbaast dit ?

Microsoft is met Vista een extreem hoge en luxueus uitziende skyscraper aan het bouwen, alleen mag je beneden bij het binnengaan de voordeur niet te hard dichtslaan of alles zakt in elkaar... :r

Door KnetterGek, woensdag 25 oktober 2006 18:03

Score: 1
En daarmee sluiten we onze goed onderbouwde en weloverwogen meningsuiting en gaan we door met ons reguliere programma...

Door Green.Velvet|IA, woensdag 25 oktober 2006 18:18

Score: 0
Het is wat cru gesteld van me, dat klopt.

Maar the bottom line is toch juist ?

Wat voor heisa zit MS nu allemaal te maken over dat PatchGuard gedoe en alles ? Weer heel veel heisa en zever maken over iets dat binnen de korste keren omzeilt gaat worden en dat in de eerste plaats alleen problemen geeft aan third party software makers...

Door SnowDude, woensdag 25 oktober 2006 18:27

Score: 0
Het is niet Microsoft die de heisa maakt maar de Anti virus software bouwers die lopen te huilen. Zolang ik weet van Patch Guard is het hele verhaal bekend, ook is microsoft vanaf het begin duidelijk geweest dat kernel-hooks niet meer gewenst zijn, en dat alles via de API's moet gaan.

Niets nieuws, maar er zijn een aantal AV makers die het afgelopen jaar hebben zitten slapen, of ze zijn er blind vanuit gegaan dat ms er nog wel op terug zou komen, en nu puntje bij paaltje komt komen ze er achter dat ze geen tijd meer hebben om een fatsoenlijk av pakket uit te brengen. Dit hele verhaal zegt meer over de (non) kwaliteit van deze software bouwers dan over ms.

Door Green.Velvet|IA, donderdag 26 oktober 2006 15:57

Score: 1
Je mist wel heel erg the point.

Als die PatchGuard wel degelijk snel te omzeilen is dan wil dat zeggen dat er binnen de kortste keren malware verschijnt die daar misbruik van maakt en zal er geen enkele officiele 'verdedigings-applicatie' in staat zijn die malware eruit te halen omdat ze zelf niks mogen of kunnen doen op kernel-vlak...

Door Doubleday, woensdag 25 oktober 2006 17:34

Score: 0
maar of hij Microsoft ingelicht heeft over de mogelijke kwetsbaarheden van PatchGuard zodat het bedrijf hieraan kan werken, deelde hij niet mee.
NIET aan MS vertellen! Die jongens zijn véél te eigenwijs. Laat het systeem maar eens flink onderuit gaan, dan ziet de hele wereld dat het veel opgeklopte humbug is. Ik begrijp echt neit dat al die bedrijven steeds maar weer mee willen werken of zèlf lekken patcht (als MS weer eens te laat is). Ik bedoel, wat schieten ze er mee op? Wat verdienen ze er aan?

Ja dit is een MS bash, maar ik ben het zó zat dat MS bewust de kernel dichthoudt onder het mom van veiligheid (wat het dus NIET is blijkt uit it document) terwijl het gewoon ordinair concurrentie (McAfee, Symantec) wil elimineren. |:(

Door magel725, woensdag 25 oktober 2006 17:43

Score: 2
Valt dit niet onder hacken? Ze dringen een afgeschermd stuk van de pc binnen en volgens mij mag dat niet.

Ik vind het nogal wat om te vertrouwen op software die zelf al twijfelachtig bezig is, en eveneens kan die software het elk moment begeven, wanneer die afhankelijk zijn van een bug.

Door Green.Velvet|IA, woensdag 25 oktober 2006 18:20

Score: 0
Valt dit niet onder hacken? Ze dringen een afgeschermd stuk van de pc binnen en volgens mij mag dat niet.
Alsof de malware en virus schrijvers daar rekening mee houden... Feit dat het nu reeds op korte tijd kan bevestigt alleen maar dat Vista weer een Windows versie gaat zijn die binnen de korste keren een even grote kaas met gaten is als XP nu...

Door omixium, woensdag 25 oktober 2006 19:03

Score: 1
Wat een onzin.
Bij ons op de afdeling starten we jaren geleden allerlei applicaties op vanuit InternetExplorer. Dat was super handig! Maar tegenwoordig kan dat niet meer, omdat dit ook gebruikt kon worden voor installatie van malware.

userbase is gewoon de belangrijkste oorzaak van het ontstaan van exploits.
Een programma zonder users heeft nooit exploits!

Als linux net zo intensief gebruikt zou worden als Windows, zouden de exploits je ook om de oren vliegen..

Als Firefox net zo intensief gebruikt zou worden als IE zouden de exploits je ook om de oren vliegen.

Het is echt niet zo dat Windows programmeurs dommer of minder begaafd zijn als Linux programmeurs of de programmeurs van Google o.i.d.

Door mae-t.net, woensdag 25 oktober 2006 22:32

Score: 2
Het gaat niet om de begaafdheid van de programmeurs, het gaat om het basisontwerp van OS en applicatie. Zodoende zouden er in jouw scenario wel iets meer exploits verschijnen als linux een stevige userbase onder consumenten had, maar lang niet zoveel als jij verwacht.

Door MBV, donderdag 26 oktober 2006 12:28

Score: 1
Het belangrijkste verschil tussen linux en windows was altijd dat je standaard niet als root werkt, maar als user. Dat is in vista verholpen, schijnt. Dan kom je aan bij het open source zijn van de kernel, waardoor dingen 'netter' worden gedaan. Eigenlijk geloof ik dat niet zo sterk.
Zowel in Linux als in Windows is veiligheid er achteraf aan gebouwd, waardoor je altijd exploits zal hebben.

Door daft_dutch, donderdag 26 oktober 2006 17:13

Score: 0
tuurlijk. Hacken is "iets gebruiken op een manier waar het niet voor bedoeld is"
Authentium gebruikt iets in vista waardoor dat Authentium toegang geeft tot de kernel. En dat is zeer waarschijnlijk niet door Microsoft zo bedoeld.

Door Anthor, woensdag 25 oktober 2006 20:12

Score: 2
Deze bescherming zorgt ervoor dat de computer volledig bevriest op het moment dat een programma aanpassingen in de kernel probeert door te voeren

Handig,
Als je nu een virus maakt dat zichzelf eerst verspreidt, en dan probeert de kernel aan te passen, dan heb je toch ongeveer hetzelfde effect als dat virus dat windows steeds rebootte?

Door Dennizz, donderdag 26 oktober 2006 08:02

Score: 1
mjah, punt is echter dat je de kernel niet kunt aanpassen. Na de reboot is de kernel dus weer hersteld imho. Om andere pc's te kunnen infecteren zul je dus op een programma moeten meeliften oid ? Als een geinfecteerde pc geen andere pcs kan infecteren, heb je geen virus.

Door cybergen007, woensdag 25 oktober 2006 21:07

Score: 1
Ik vind het fantastisch dat dit zo naar buiten komt. Als ze niks hadden gezegd dan hadden hackers het wel ontdekt. Nu kan microsoft er nog wat an doen.

Als ik Microsoft was zou ik deze bedrijf vragen hoe ze het gedaan hebben en ik zou er wat van leren want blijkbaar na al die jaren kan microsoft nog niks goed beveiligen. Geen flame richting Microsoft maar na al die jaren, na al die patches, zou je toch verwachten dat ze geleerd hebben van al die fouten.

Door SuperDre, donderdag 26 oktober 2006 17:26

Score: 0
Ja misschien wel, maar er zijn meer mensen die ook jaren ervaring hebben in het hacken van dit soort dingen..
Reken er maar op dat Linux en MacOS net zo lek zijn als Windows Vista, alleen zijn er meer hackers geinteresseerd in het hacken van windows omdat daar meer gewone gebruikers op zitten dan in die andere.. Als hackers net zoveel aandacht besteden aan Linux of MacOS dan zouden er minstens zoveel lekken gevonden worden..

Door killercow, woensdag 25 oktober 2006 21:21

Score: 2
Je hele pc bevriest zodra iets aan je kernel probeert te komen?

WTF?

Op linux zou dat een local ddos exploit heten, en direct gefixed worden, maar op windows is het (niet lachen) een feature!

Door darkfader, woensdag 25 oktober 2006 22:35

Score: 0
Van een bluescreen kijkt toch niemand meer op.
Het is ook om malware-ontwikkelaars te ontmoedigen denk ik. Ik vraag me af hoe Vista tegen (kernel)debuggers aankijkt. Misschien heb je daar een speciale versie voor nodig.

Door Emperor Pete, donderdag 26 oktober 2006 09:46

Score: 2
Nee, in linux heb je als root gewoon kerneltoegang en kan je de boel ook grondig slopen. Microsoft probeert hier in alle gevallen de kerneltoegang in windows te beperken. Toch wel twee verschillende gevallen lijkt me.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 17:07
Vorige 16:29
VNU Media logo Powered by True

© 1998 - 2008 Tweakers.net - Alle rechten voorbehouden

Uitgever van: