En wat is volgens jouw dan de oorzaak?
Er zijn 2 oorzaken:
- lekken in het OS
- gebruikers die zelf malware installeren.
Ik had het in dit geval over de eerste.
Punt 1 hoort een goed OS verschillende authorisatie nivo's te hebben, zodat een rootkit uberhaupt niet zomaar als root binnenkomt. In Windows is dat in principe goed voor elkaar, wat jammer alleen dat veel mensen als Admin werken.
Zelfs als je als admin werkt, zou een rootkit niet zomaar geinstalleerd mogen raken.
Het feit dat veel mensen als admin werken is trouwens wel het gevolg van eerdere fouten van MS, gevolgd door fouten van ontwikkelaars: volgens mij zijn er nog steeds programma's die niet goed draaien als je geen admin bent...
Ik vraag me trouwens af: is de definitie van een rootkit op Windows hetzelfde als die op een Unix-systeem? Op een Unix-systeem is een rootkit een programma dat
handmatig geinstalleerd wordt door een cracker,
nadat hij op een andere manier binnengekomen is en root geworden, de rootkit dient er dan voor om zijn sporen uit te wissen en om zelfs nadat het oorspronkelijke beveiligingsprobleem is opgelost binnen te kunnen blijven komen.
Trouwens, ik reageerde op:
Het zijn immers vaak oplossingen voor problemen, die "by design" in het OS zitten.
Waarin dus de suggestie wordt gewekt dat het om een programma gaat, dat ondanks dat er nog steeds gaten in het OS zitten, steeds de troep opruimt die door dat gat binnenkomt.
Dat is geen oplossing, dat is dweilen met de kraan open. Ik deed expres geen uitspraken over dit programma verder, want ik weet helemaal niet wat een rootkit onder Windows is - ik vermoed niet helemaal hetzelfde als onder Unix en ik weet ook niet wat dit programma doet en wat MS ermee van plan is. Ik reageerde alleen op dat ene zinnetje.
[Reactie gewijzigd door jeroenr]
Er zijn 2 oorzaken:
- lekken in het OS
- gebruikers die zelf malware installeren.
OK, mee eens. Ik vroeg het even, ik verwachtte namelijk dat er een "structurele fout" in Windows werd gesuggereerd (dat wordt het namelijk vaak op forums, maar altijd zonder uitleg.)
Onder lekken in het OS versta ik dan nog bijvoorbeeld de RPC exploit toendertijd, wat overduidelijk een zwakte van Windows was, maar behalve dat denk ik dat security in Windows alleszins redelijk is als je bedenkt dat het zeer gemakkelijk te gebruiken is.
Echter, het feit dat mensen altijd maar op OK, Volgende en Ja klikken, MSFT kan er weinig aan doen behalve:
- UAC, duidelijke keuzes laten zien, veilige defaults suggereren, visuele middelen gebruiken (kom op MSFT, gebruik nu eens wat kleur in je UIs!!)
- het Admin account zoveel mogelijk terzijde, zijn ze al sinds WinXP mee bezig
- detectie/preventie en reparatie middelen inbouwen, zijn ze al mee bezig sinds Windows Defender, error reporting en nu ook komoku
- onderwijs van de gebruiker
In theorie zou het mogelijk kunnen zijn om je OS op te delen in meerdere lagen, bijv. een core laag waar niemand bij kan, een systeem laag waar alleen Administrators bij kunnen en een user laag waar elke user bij kan. Echter, ik denk dat het weinig praktisch nut heeft, het betekent alleen maar dat je gebruiksgemak inlevert voor veiligheid, en die trade-off heb je nu ook al.
Jeroenr ik ben het helemaal met je eens, vooral die 2 bovengenoemde punten. Wat ik me afvroeg toen ik dit las:
In theorie zou het mogelijk kunnen zijn om je OS op te delen in meerdere lagen, bijv. een core laag waar niemand bij kan, een systeem laag waar alleen Administrators bij kunnen en een user laag waar elke user bij kan. Echter, ik denk dat het weinig praktisch nut heeft, het betekent alleen maar dat je gebruiksgemak inlevert voor veiligheid, en die trade-off heb je nu ook al.
Q. Zit dit niet al in Unix / GNU Linux?
En ik wilde nog toevoegen dat nog een beveiligingsrisico homogeniteit is. Wat wil zeggen dat je overal het zelfde gebruikt.
(Wat veel mensen als tegenargument gebruiken als wordt beweerd dat Windows niet veilig is. En wat nog steeds niet wegneemt dat buiten beschouwing dit aspect Windows nog steeds onveilig beschouwen wordt door - onder andere - ik zelf.) Dit wordt overigens in Linux opgelost met
Linux Security Modules.
Alhoewel homogeen zijn betekent niet dat je gelijk een veiligheidsrisico loopt. Maar het betekent dat het makkelijker is voor de aanvaller. Omdat die zich nog maar op één security model hoeft te specialiseren om meerdere doelen te treffen. Want stel dat je security model perfect is, dan mag je homogeen zijn als de ...?!? Ach je weet wel wat ik bedoel!
![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.gif){kind=icon}
Komoku is een door de overheid van de VS gesubsidieerde ontwikkelaar van hardware- en softwarematige rootkitspeurders. Bij zijn oprichting in 2006 ontving het bedrijf 2,5 miljoen dollar van de onderzoeksorganisatie van de Amerikaanse defensie Darpa, het Department of Homeland Security en de marine om anti-rootkitoplossingen te bouwen. Deze overheidsinstanties mag het bedrijf sindsdien tot zijn klanten rekenen.
16:23
15:19
Door 
![[show]](http://tweakimg.net/g/if/comments/button_down.gif "Reactie uitklappen")
