'Morpho-hackersgroep viel jarenlang grote bedrijven aan uit financieel gewin'

Een groep die de naam Morpho heeft gekregen valt al sinds 2012 grote bedrijven waaronder Facebook, Microsoft en Apple aan met geavanceerde methoden, waarschijnlijk om geld te verdienen met gestolen gevoelige informatie. Dat claimt beveiligingsbedrijf Symantec na onderzoek.

Symantec noemt Morpho een groepering die bekwaam, vasthoudend en effectief opereert, sinds in ieder geval maart 2012. Na onderzoek komt het beveiligingsbedrijf tot de conclusie dat het om een kleine groep gaat, die zijn aanvallen ofwel in opdracht van klanten uitvoert of zelf zijn gestolen data verhandelt. Ook sluit het bedrijf niet uit dat het om economische spionage van een staatsorganisatie gaat.

Morpho richtte zich in de afgelopen jaren onder andere op bedrijven uit de farmaceutische industrie, technologiesector en de juridische hoek. Daarnaast waren internetbedrijven doelwit, waaronder Facebook, Twitter, Microsoft en Apple. De criminelen zochten gevoelige bedrijfsinformatie als intellectueel eigendom. De meeste bedrijven waren Amerikaans, maar Symantec claimt dat ook een Nederlands bedrijf werd aangevallen, al is niet bekend om welk bedrijf het gaat. Ook een overheidsorganisatie uit het Midden-Oosten en een Amerikaanse universiteit werden aangevallen, maar Symantec denkt dat het hierbij om collateral damage ging.

Dat het om een groepering met geavanceerde skills gaat, leidt Symantec af uit het gebruik van tenminste een zero-day exploit, een lek dat nog niet bekend was en waar nog geen pleister voor was ten tijde van de ontdekking. Het ging hierbij om Java-exploit CVE-2013-0422, die via de website iphonedevsdk.com verspreid werd om in 2013 de netwerken van Apple binnen te dringen.

Ook vermoedt Symantec dat een zero-day exploit voor Internet Explorer ingezet werd. In juni 2014 wisten de aanvallers een bestand met de aanduiding bda9.tmp via de browser op een systeem van een gedupeerde te zetten. Via dat bestand werd een variant van Backdoor.Jiripbot met de bestandsnaam LiveUpdate.exe gecreëerd. IE 10 was volledig bijgewerkt op dat moment, al kan het mogelijk om een lek in een plug-in gaan.

Morpho maakte gebruik van eigen malwaregereedschap met namen als Hacktool.Multipurpose, Hacktool.Bannerjack en Hacktool.Eventlog. De groepering wiste sporen secuur uit en kon op tal van manieren detectie voorkomen, onder andere door Virtual Box-virtuele machines uit een TrueCrypt-bestand te ontsleutelen en te draaien op command & control-servers.

Symantec Morpho

Lees meer

IT-banen

Reacties (59)

necessaryevil @Grimm • 8 juli 2015 21:57

Dat is geen bewijs dat virusscanners nutteloos zijn, het is uitsluitend een bewijs dat virusscanners niet 100% onfeilbaar zijn.

Wat je zegt is net zoiets als zeggen dat het op slot doen van de deur nutteloos is omdat er ook ingebroken/ wordt in huizen waar de deur wel op slot zit.

Grimm @necessaryevil • 9 juli 2015 08:34

"Wat je zegt is net zoiets als zeggen dat het op slot doen van de deur nutteloos is omdat er ook ingebroken/ wordt in huizen waar de deur wel op slot zit. "

Verkeerde vergelijking. Voor een woninginbraak kan ik me voorstellen dat 1 inbraak per jaar minder erg is dan 10 woninginbraken per jaar.

Voor een computer maakt het niet uit of er 1 of 10 keyloggers geinstalleerd zijn, in beide gevallen zou zo'n computer niet voor kritieke taken gebruikt moeten worden.

Dekar @Grimm • 9 juli 2015 09:14

Desalniettemin is de schade bij beide scenario's groter wanneer er vaker wordt ingebroken. Gaat wel op. Daarnaast kost een beetje fatsoenlijke virusscanner niet al te veel resources en kan die makkelijk op een systeem draaien.

The Zep Man

Netwerk en systeembeheer

@Dekar • 9 juli 2015 10:28

Desalniettemin is de schade bij beide scenario's groter wanneer er vaker wordt ingebroken.

Als er vaak wordt ingebroken dan zal de schade mogelijk bij opvolgende inbraken minder zijn omdat er minder te halen valt.

Gaat wel op. Daarnaast kost een beetje fatsoenlijke virusscanner niet al te veel resources en kan die makkelijk op een systeem draaien.

Dat ligt eraan of de hoeveelheid energie voor je systeem oneindig is. Dit gaat niet op voor alles dat geen constante verbinding heeft met het lichtnet.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 19:50]

KiDoNL @Grimm • 9 juli 2015 13:33

Nvm.

[Reactie gewijzigd door KiDoNL op 22 juli 2024 19:50]

SetsunaKaede @Grimm • 8 juli 2015 20:06

Bepaald niet, Grimm. Zonder virusscanners zouden PC's onderhand niet meer bruikbaar zijn van alle malware die er op staat.
Ik geef grif toe dat virusscanners niet alles kunnen tegenhouden en dat dat de aard van het beestje is, maar de hoeveelheid rotzooi die over het net zou zwerven ZONDER scanners is echt vele malen groter.

Blijft staan dat voorzichtigheid op het net geboden blijft, en laat dat nou net zijn waar de meeste gebruikers steken laten vallen.

Grimm @SetsunaKaede • 8 juli 2015 20:21

Een computer in het kantoor van bondskanselier Angela Merkel in de Bondsdag is besmet geweest met een virus dat tijdens een cyberaanval is geïnstalleerd.

Het hele computersysteem in het Duitse parlement is getroffen door de cyberaanval.

http://www.nu.nl/internet...getroffen-grote-hack.html

AV stopt maar 45 procent van aanvallen

http://webwereld.nl/bevei...us-is-dood--zegt-symantec

"Haasje over" malware blijft antivirus voor.

Malware uit 2009 weet antivirussoftware voor te blijven door om en om varianten van zichzelf te downloaden. Hardnekkige herbesmetting, weet Microsoft te melden na onderzoek.
De Vobfus- en de daaraan gerelateerde Beebone-malware helpen elkaar om computers besmet te houden. Het ene kwaadaardige programma downloadt het andere, waarna die weer een bijgewerkte versie binnenhaalt, enzovoorts. Zo weet deze malware detectie door securitysoftware telkens voor te blijven.

http://webwereld.nl/bevei...are-blijft-antivirus-voor

18 procent malware glipt langs Microsoft-antivirus

http://webwereld.nl/nieuw...-microsoft-antivirus.html

Cyberspionage 'Red October' vijf jaar onder de radar

Beveiligingsbedrijf Kaspersky beschrijft een zeer geavanceerd cyberspionagenetwerk, Rocra of Red October gedoopt, dat maar liefst vijf jaar lang onder de radar is gebleven.

Slachtoffer van de langdurige campagne zijn ministeries, ambassades, legeronderdelen, de petrochemische industrie, kerncentrales, onderzoeksinstituten en luchtvaartbedrijven.

http://webwereld.nl/nieuw...-jaar-onder-de-radar.html

Antivirussoftware belabberd in herkennen van malware

Beveiligingsfirma Imperva onderzocht de effectiviteit van antivirusprogramma's en concludeert dat malware nauwelijks wordt opgemerkt. En vervolgens pas laat aan de antivirusdatabase wordt toegevoegd.

http://webwereld.nl/nieuw...erkennen-van-malware.html

Eén Citadel-botnet bevat 143.000 Nederlandse pc's

Het Citadel-botnet dat deze zomer waarschijnlijk het virus Dorifel verspreidde, richtte zich voornamelijk op Nederlandse en Duitse computers. Het botnet bevatte zo'n 143.000 zombies.

http://webwereld.nl/nieuw...000-nederlandse-pc-s.html

Windows 8 laat 16 procent van oude malware door.
De ingebouwde antimalware van Windows 8 presteert onder de maat, concludeert BitDefender. Microsofts standaardbeveiliging herkent slechts 84 procent van malware uit het afgelopen halve jaar.

Securityleverancier BitDefender heeft Windows 8 bestookt met de top 100 van malware die het de afgelopen zes maanden heeft gedetecteerd. In totaal is dat met alle varianten van die top 100 uitgekomen op 385 stuks malware. Die kwaadaardige software is vorige week getest op een verse installatie van het net uitgekomen Windows 8. Daarvan is 15,84 procent erin geslaagd Microsofts nieuwste besturingssysteem te besmetten.

http://webwereld.nl/nieuw...an-oude-malware-door.html

De verspreiders van het Dorifelvirus spelen een kat-en-muisspelletje met de bestrijders ervan. Door steeds de encryptie te veranderen glipt Dorifel telkens door de netten van de antivirusprogramma's. "De nieuwe variant, de zesde dus, was dinsdagavond slechts te herkennen door drie van de 42 securitypakketten"

http://webwereld.nl/analy...-met-antivirusmakers.html

http://webwereld.nl/nieuw...t-door-virusscanners.html Nieuwe Dorifel glipt door virusscanners

nieuws: Virusscanners blijken 'ING-virus' vaak niet te herkennen Virusscanners blijken ING-virus vaak niet te herkennen

Wat eigenlijk vooral opvalt is dat dit soort dreigingen recht door firewalls, antivirus-pakketten en intrusion detection technologieën heen gaat, zelfs als ze goed bijgehouden worden.

http://webwereld.nl/nieuw...ymbiotische--malware.html

Het Gumblar virus dat FTP gegevens steelt en exploits op websites plaatst om bezoekers te infecteren, was de meest actieve malware van het tweede kwartaal, toch faalde 88% van de traditionele virusscanners in de detectie ervan.

http://www.scansafe.com/c...s-miss-88-gumblar-attacks

http://www.security.nl/ar...25_Gumblar-aanvallen.html

Het feit dat de gevaarlijkste dreiging van het jaar niet door de meeste standaard anti-virus signatures wordt gedetecteerd, is weer een alarm voor de security gemeenschap

SetsunaKaede @Grimm • 8 juli 2015 20:38

Ja je kan hier leuk voorbeelden aanhalen waar het fout gaat, maar in al die artikelen staat "x% virussen wordt doorgelaten". Vaak tussen de 0 en 20%. Dat betekent dus dat die antivirussoftware nog altijd 80+% tegenhoudt.

Begrijp me niet verkeerd; AV is bepaald niet zaligmakend en dat zal ik ook nooit zeggen. AV nutteloos noemen is alleen wel direct het compleet andere uiteinde van het spectrum, en ik denk dat je daar de plank nogal mis slaat. AV is best nuttig, als aanvulling op een gedegen firewall en andere edge-beveiliging, alerte en bewuste gebruikers, een goede backup en goede encryptie. En natuurlijk alerte, bewuste en voorzichtige gebruikers. Had ik al gezegd dat de gebruikers toch altijd voorzichtig dienen te blijven?

Om even de parallel te trekken met auto's: Airbags leveren ook een zekere mate van schijnveiligheid op. Je kan nog steeds komen te overlijden in een auto ongeluk. Is een airbag dan gelijk compleet nutteloos? Nee... Maar je dient als gebruiker wél netjes je gordel te dragen (anders schiet je over de airbag heen door de voorruit) en je normaal te blijven gedragen in het verkeer, net zoals dat je deed toen je in een auto zónder airbag reed.

Bottom line van mijn betoog: AV is niet waterdicht, maar zeker wél nuttig.

Armin

Netwerk en systeembeheer

@SetsunaKaede • 8 juli 2015 20:51

Een groot verschil is ook het aantal soorten malware dat tegengehouden wordt vs het percentage malware.

Die cijfers die vaak genoemd worden zijn soorten malware. Moderne anti-virus scoort dikwijls ver boven de 90% betreft effectiviteit bij voorkomen van malware. (Bij verwijderen is het minder helaas.) Dit omdat de meeste malware besmettingen slechts door een handjevol bekende gedaan wordt.

Echter er is vaak een permanente explosie van varianten, en nieuwe varianten worden vaak niet goed tegengehouden. Totdat ze ergens de kop op duiken ... en dan is het binnen een paar uur in de meeste anti-virus databases ingebracht.

Natuurlijk is het heel zuur als jij net naar een site surft waar men net zo'n zero-day gebruikt en nieuwe malware varianten, maar gelukkig zijn dat soort incidenten minderheden op het totale surfgedrag. Immers de meesten van ons lopen ook niet elke dag een root-kit op

the_stickie @Armin • 8 juli 2015 22:33

Het grootste probleem is dan ook niet de computer van jan met de pet die geïnfecteerd wordt, maar de targeted attacks.
Daar blijkt een AV bijna waardeloos, net zoals signature based intrusion detection ed, net omwille van de gericht ingezette zero days of omdat deze variant alleen voor deze aanval gebruikt wordt.
Jammer genoeg zijn er veel te weinig bedrijven die een dergelijk aanval makkelijk detecteren (particulieren zijn wellicht een vogel voor de kat), al was het maar omdat het ze aan de tools of kennis ontbreekt om allerhande logs en audit settings te configureren en vervolgens massas logs te analyseren en ook nog eens verdachte zaken op te merken.
Heel typisch zijn het ontbreken van auditsettings, geen log centralisatie, firewalls die toegelaten trafiek niet loggen, vertrouwen op mogelijk verouderde of slecht geconfigureerde commerciële IPS en IDS, slecht beheer van user/admin rechten en accounts, ontbrekende best practice hardening, ...
In mijn ervaring zijn er echt massa's bedrijven, groot en klein, die falen op één of meer van deze punten. Dat is echt ongepast vertrouwen in AV.

dupy @the_stickie • 9 juli 2015 13:41

Tja, het is ook de vraag waar je je tijd in gaat steken. De meeste professionals hebben wel wat anders te doen dan zich constant te moeten beschermen tegen dit soort zaken. Je mag alleen maar hopen dat de 'goeden' het van de 'kwaden' gaan winnen. Wat dat betreft zou een vak als ethiek niet misplaatst zijn bij een IT opleiding.

bbob

Netwerk en systeembeheer

@Armin • 8 juli 2015 23:03

Denk dat je ook moet kijken naar wie men wil besmetten en waarvoor.

Industriële spionage gebeurt vaak met malware die gebruik maakt van zero day die pas na jaren aan het licht komen. Ze worden vaak gebruikt om specifieke bedrijven te benaderen voor spionage.

De algemene malware wil jou wachtwoorden eventueel nog bankgegevens en dat soort zaken.

De industriële malware zal door een scanner moeilijk op te sporen zijn maar is niet bedoeld om de massa te benaderen, de anderen juist wel en daat is AV een goed middel om de massa te stoppen.

Grimm @SetsunaKaede • 8 juli 2015 21:00

"Ja je kan hier leuk voorbeelden aanhalen waar het fout gaat, maar in al die artikelen staat "x% virussen wordt doorgelaten". Vaak tussen de 0 en 20%. Dat betekent dus dat die antivirussoftware nog altijd 80+% tegenhoudt."

Er zijn duizenden, zo niet meer, active virussen/trojans/mallware in het wild.
Lekker idee om te gaan internet bankieren of creditcard transacties uit te voeren met een pc die is blootgesteld aan de overige 20%...

Besmet is besmet. Het maakt daarbij niet uit of er 1, 10 of 100 stuks malware op je pc zit. In alle gevallen wil je zo'n pc niet gebruiken voor kritieke taken.
Het feit dat dit toch gebeurt geeft te denken. Blijkbaar is de schade aangericht door malware en IT-criminelen niet groot genoeg om een bewustwordings effect te veroorzaken.

Bottom line van mijn betoog: AV is noch waterdicht, noch nuttig.

Jorgen Moderator Beeld & Geluid @Grimm • 8 juli 2015 22:16

En daarmee sluit je je betoog net zo kort door de bocht af, als hoe je het begon. Dat vind ik jammer, want er zit zeker een kern van waarheid in je verhaal.

Dat een x percentage niet wordt tegengehouden en de overgrote meerderheid wel, betekent in elk geval dat je dus al een stuk beter beveiligd bent. Even heel zwart-wit: De keuze tussen 100 % onveilig (geen scanners, overal op klikken) of 80 % veilig lijkt me snel gemaakt.

Tel daarbij op dat je naast een goede virusscanner ook andere dingen goed aanpakt, zoals:

een goede malwarescanner installeren
software tijdig patchen
veilige internetinstellingen
bijv. EMET of Sandboxie gebruiken
reclame blokkeren
sterke en unieke wachtwoorden gebruiken

..., dan gaat het al om een nog veel kleiner percentage rotzooi dat binnen kan komen. Bedenk je dan ook nog eens of je werkelijk al je bestanden van buitenaf wilt kunnen benaderen, of dat dit een overbodige luxe is en je bent wederom een nog lastiger doelwit.

Als je vervolgens ook nog eens je grootste wapen gebruikt: je gezond verstand; dan sluit je dus al heel veel problemen uit.

Helemaal voorkomen kan je het bijna niet. Je kan het de internetcriminelen wel lastig maken, waardoor je minder interessant wordt.

i-chat @Grimm • 9 juli 2015 08:47

als je te gierig bent om 10 tot 20 euro uit te geven voor een veiliger internet voor jezelf en voor anderen, kun je dat ook gewoon zeggen hoor in plaats van nutteloze weetjes en artiekeltjes aan te halen die 'statisisch zouden bewijzen ' dat je nog steeds 100 virussen op je pc zou moeten hebben...

maar het simpele feit is, als een av 80% van de virussen al tegen houd, heb je dus 5x minder tijd nodig om veilig bezig te zijn dan wanneer je geen av zou draaien, een 5x kleinere kans om besmet te raken, stel dat je door goed opletten het aantal besmettingen kunt verkleinen tot 5% kunt reduceren heb je dan jaar jaarlijks liever 10tallen besmettingen of 1tje.

het leuke van je statistieken is dat je appels met peren vergelijks en uitkomt met een statement dat bananen

Sugocy @Grimm • 8 juli 2015 20:35

Ben het niet met u eens. Allereerst somt u nu alleen punten op welke een een virus omschrijven; het evolueert/past zich aan.

Een griepvirus doet dit ook, elk jaar weer, elk jaar een nieuwe inenting. Voorblijven is onmogelijk. Naast de disucssie of die inenting zinvol is, deze analogie durf ik door te trekken naar het computervirus probleem.

Ofwel; een anti-virus van elk bekend virus om je PC schoon te houden. Nieuw virus gevonden en begrepen? -->Inenting voor je PC om het daarvoor te beschermen. Kunnen we je met een inenting beschermen voor alle ziekten? NEE....

Maar om nu inentingen schijnveiligheid te noemen? Dat gaat echt niet op.

Niets is perfect, gelukkig;)

Grimm @Sugocy • 8 juli 2015 21:05

Slechts 37,5 procent van alle gescande PC's bleek over een bijgewerkt antivirusprogramma te beschikken. Van deze groep was maar liefst 23 procent desondanks besmet met malware.

http://webwereld.nl/nieuw...sscanner-toch-besmet.html Veel pc's met virusscanner toch besmet

Verder blijken enkele van de gezakte antimalwarepakketten niet in staat complexe polymorfe virussen te herkennen. Dergelijke malware kan de eigen code veranderen, waarbij het malafide functioneren intact blijft, zodat detectie moeilijker is. Voor sommige security-pakketten is detectie dan dus onmogelijk, blijkt uit de test van Virus Bulletin.

http://webwereld.nl/nieuw...-bij-antimalwaretest.html Kaspersky, Microsoft falen bij antimalwaretest

De beruchte Zeus trojan blijkt aanwezig op pc's van 88 procent van de grootste Amerikaanse bedrijven. Het botnet steelt nog altijd veel gevoelige data.

http://webwereld.nl/nieuw...dig-op-bedrijfs-pc-s.html Zeus-botnet alomtegenwoordig op bedrijfs-pc's

Virusscanners laten toch al een groot deel van de virussen ongemoeid, stelt hij.

http://webwereld.nl/nieuw...oor-schrappen-clamav.html

With zero-day exploits and a constant flow of malware, the latest and greatest commercial anti-virus software packages are only able to flag, at best, half of the viruses live on the net; at least 50% go undetected.

http://www.circleid.com/p...case_of_the_missing_mail/

Businesses may even consider using an alternative operating system for workstations accessing sensitive or financial accounts.

http://www.secureworks.co...threats/zeus/"threat=zeus How to Protect Yourself from ZeuS

http://webwereld.nl/nieuw...zeilt-alle-antivirus.html Nieuwe aanval omzeilt alle antivirus

Traditionele beveiligingsbedrijven verliezen de strijd tegen "black hat" hackers en schrijvers van malware. Dat schrijft beveiliger Symantec in een evaluatie
van eerder gedane voorspellingen voor dit jaar. Traditionele geautomatiseerde beveiligingssystemen blijken niet opgewassen tegen de vormen van cyberterreur.

http://webwereld.nl/nieuw...an-de-winnende-hand-.html Cybercriminelen aan de winnende hand

http://webwereld.nl/nieuw...teeds-minder-malware.html Antivirus vangt steeds minder malware

http://webwereld.nl/nieuw...n-voor-antivirustest.html Microsoft en McAfee zakken voor antivirustest

http://webwereld.nl/nieuw...ensie-64-bit-windows.html Überrootkit passeert defensie 64-bit Windows

http://webwereld.nl/nieuw...onderdeel-van-botnet.html 10 procent pc's in Nederland is onderdeel van botnet

Hoewel de Nederlanders zich dus het beste beschermd mogen wanen, is toch 23 procent in het afgelopen jaar getroffen door een virus, worm of trojan.

http://webwereld.nl/nieuw...hermd-tegen-virussen.html Wel beschermd, toch een virus

Het botnet Rustock blijft hardnekkig populair doordat de ontwikkelaars van de malware steeds nieuwe manieren inbouwen om de standaardtechnieken die gebruikt worden om de software te verwijderen te omzeilen, zegt malware-onderzoeker Joe Stewart.
"Je kunt niet langer zomaar een tool downloaden om je te ontdoen van infecties, dat werkt niet meer", zegt Stewart. "Het komt steeds vaker voor dat je meerdere infecties tegelijkertijd oploopt."
"De grootste, gemeenste botnets zijn nog geavanceerder geworden en hebben hun marktaandeel vergroot", zegt onderzoeker Gunter Ollmann van Damballa.

http://computerworld.nl/a...tnets-steeds-gemener.html

Duizenden computers bij de overheid maken deel uit van een botnet. Dat botnet kan opnieuw de dienstverlening van veel gemeenten elk moment weer platleggen. Gemeenten zoeken naarstig naar oplossingen.
http://webwereld.nl/nieuw...s-in-botnet---update.html

nieuws: 'Microsoft verspreidde trojan via Windows Update' Microsoft verspreidde trojan via Windows Update
Microsoft blijkt een trojaans paard te hebben verspreid via Windows Update. De malware zat verstopt in een driver voor een usb-acculader. De trojan werd vanaf 2007 via de fabrikant verspreid en is toen blijkbaar door Microsoft opgenomen.

Wegener-kranten offline na virus in adserver
http://webwereld.nl/nieuw...na-virus-in-adserver.html

Taghorn @Grimm • 8 juli 2015 22:47

Volgens mij is er al 3x gezegd dat 80% tegenhouden beter is dan 0%. Je kunt telkens weer een hele lap tekst neer gooien met voorbeelden dat het mis gaat, moeten we een 4x zo grote lap tekst neer gooien dat het wel werkt? Het heeft bij mij al meer dan genoeg ellende buiten gehouden (100+ gevallen) en helaas 1x iets doorgelaten. Best aardige score.

Om de anticonceptie pil als voorbeeld te gebruiken:
100 artikelen vinden dat de Pil NIET werkte is niet zo moeilijk (namelijk +/- 0,01%). De 1.000.000.000 gevallen dat het wel werkt staan niet in de krant.

Grimm @Taghorn • 9 juli 2015 08:39

"Volgens mij is er al 3x gezegd dat 80% tegenhouden beter is dan 0%."
En dat maakt het automatisch waar? Truth by democracy?

Voor een computer maakt het niet uit of er 20 of 100 stuks mallware geinstalleerd zijn, in beide gevallen zou zo'n computer niet voor kritieke taken gebruikt moeten worden.

Vexxon @Grimm • 9 juli 2015 20:10

Voor een computer maakt het niet uit of er 20 of 100 stuks mallware geinstalleerd zijn,

Tuurlijk wel, het duurt immer 5x langer om alles te verwijderen.

Rob Coops @Grimm • 9 juli 2015 09:36

Dus omdat niet 100% van de meuk die jouw computer onveilig maakt gestopt kan worden simpel weg omdat er altijd wel ergens een fout te vinden in in de miljarden regels code die op een gemiddelde computer uitgevoerd worden tijdens een werk dag is antivirus dus zinloos?

Autogordels, airbags en remmen zijn ook totaal nutteloos natuurlijk want ze voorkomen niet 100% van alle dodelijke ongelukken of wel?

Dat je nooit 100% veilig kunt zijn is 100% zeker.
Een OS bestaat uit een ongelofelijk groot aantal libraries die veel al door zeer veel verschillende mensen geschreven zijn. Mensen maken fouten zeker als het op computer code aan komt simpel weg omdat men lang niet altijd op de hoogte is van hoe een aanval werkt. Zelfs als men dat wel is en echt uit alle macht probeert een probleem in de code te voorkomen dan nog zijn er dingen die op dit moment in de huidige compiler misschien geen probleem op leveren maar over een jaar of tien als er een nieuwe compiler is die de code net even anders genereert dan toch nog weer een te misbruiken stukje code op levert.
Daar boven op draaien alle andere onderdelen zo als de window manager, de input handlers de drivers voor alle verschillende hardware, daar weer boven op draaien de applicaties al dan niet in een virtuele machine die allerlei dingen voor de programmeur regelt om het leven wat aangenamer te maken. Dan heb je nog de verschillende micro controllers in de hardware zelf die ook allemaal eigen code draaien om bijvoorbeeld een toetsenbord van een muis te onderscheiden. Dit alles wordt gedurende tientallen jaren geschreven door miljoenen mensen die allemaal onder tijdsdruk werken om hun kleine onderdeel af te krijgen.
En jij vind het raar dat een virus scanner niet 100% van de problemen tegen kan houden?

Kijk naar windows en zoek voor de grap eens de presentatie op van een van de core windows engineers die helemaal trots laat zien dat ze eindelijk de windows kernel terug hebben gebracht naar een paar honderd MB. Omdat ze al sinds de eerste NT versie de core onderdelen uit het oog verloren waren en alle daar opvolgende OS'en simpel weg een laag boven op de vorige waren.
Linux is zo veel beter roept men dan... nou nee eigenlijk niet. Als je bedenkt dat voro veel van de libraries er maar een handje vol mensen en soms zelfs maar 1 persoon is die echt begrijpt hoe de verschillende libraries werken. Immers het idee is jouw library moet vertrouwen op de libraries van anderen en niet steeds dat wiel op nieuw uitvinden toch?

Een virus scanner kan nooit alles voorkomen simpel weg omdat de complexiteit van een huidig systeem zo extreem is dat de meeste mensen nauwelijks kunnen bevatten hoe ongelofelijk veel onderdelen samen moeten werken om jouw de mogelijkheid te geven youtube filmpjes te bekijken dan wel een simpel tekst documentje te laten bewerken.
Op zijn best kan een virus scanner alle bekende problemen voorkomen en een goed percentage van de onbekende situaties als verdachte handelingen markeren voor de gebruiker met de vraag of dit acceptabel is en doorgeven aan de antivirus makers voor verdere analyse.
Nutteloos zijn ze zeker niet; 100% alles tegen houden is een utopie die nooit, ongeacht welk systeem je dan ook gebruikt, mogelijk zal zijn.

btw. Er is iets te zeggen voor het gebruik van een OS over duizend verschillende OS'en. Immers een OS maakt het makkelijker om problemen op te lossen. Waar duizend OS'en duizend keer meer mogelijkheden bieden om een aanval op te zetten. Ook zijn de kosten voor beheer, training en onderhoud duizend keer hoger dan bij het gebruik van een OS.

Armin

Netwerk en systeembeheer

@Grimm • 8 juli 2015 20:05

Virusscanners zijn juist heel waardevol, maar ook niet bedoeld om zero-days tegen te gaan.
Virusscanners hebben algemene uitbraken van malware die in uren/dagen de hele wereld rondgingen geheel doen verdwijnen. Zodra ergens een nieuwe malware opduikt, is die binnen een paar uur wereldwijd gefixd. Talloze statistieken laten zien dat er een enorm verschil is tussen computers die wel en geen anti-virus draaien betreft besmettingsprocentages.

Besef namelijk dat de aanvallen zoals hier besproken professioneel hackersteams zijn die miljoenenbudgetten hebben. Daar helpt een consumenten-antivirus pakket inderdaad niet tegen. Daar zijn die pakketten dan ook niet voor gemaakt. Deze speciale teams maken custom software per doel en worden dus per definitie niet herkent door de meeste anti-viruspakketten daar die op wat simpele heuristics na, vrijwel nooit nieuwe malware herkent.

EDIT: typos

[Reactie gewijzigd door Armin op 22 juli 2024 19:50]

Grimm @Armin • 8 juli 2015 20:20

Slaap lekker verder. Je bent wel heel naief wanneer je nog op virusscanners vertrouwt. Er bestaat al een poosje malware wat niet door scanners gedetecteerd wordt. En tegen de tijd dat je scanner het eindelijk wel detecteert is het al geëvolueerd en wordt het weer niet herkend of er is alweer een nieuwere versie van de betreffende malware aanwezig.
Scanners lopen altijd achter de feiten aan en herkennen de nieuwste malware niet, ook niet d.m.v. heuristische technieken.

Een voorbeeld:
Rootkit detection is difficult because a rootkit may be able to subvert the software that is intended to find it. Detection methods include using an alternative and trusted operating system, behavioral-based methods, signature scanning, difference scanning, and memory dump analysis. Removal can be complicated or practically impossible, especially in cases where the rootkit resides in the kernel; reinstallation of the operating system may be the only available solution to the problem.

Virusscanners bestaan niet om jouw pc schoon te houden maar om:

a. de zakken van de anti-virusboeren te vullen

b. (windows)pc-gebruikers de illusie van veiligheid te geven

the_stickie @Grimm • 8 juli 2015 22:41

Zelfs al heb je gelijk dat AV suites lang niet alles stoppen, toch stoppen ze het merendeel.
Iemand adviseren geen AV te gebruiken om de redenen die je noemt (winstbejag in de sector en illusie van veiligheid) is vergelijkbaar met iemand adviseren om geen vaccin te nemen tegen X. Je kan nog steeds met wat anders geïnfecteerd worden, maar die initiële bescherming kan je er toch echt van weerhouden ziek te worden en blijft dus een goed idee.

Grimm @the_stickie • 9 juli 2015 08:42

"Zelfs al heb je gelijk dat AV suites lang niet alles stoppen, toch stoppen ze het merendeel."

Nee, voor een computer maakt het niet uit of er 20 of 100 stuks mallware geinstalleerd zijn, in beide gevallen zou zo'n computer niet voor kritieke taken gebruikt moeten worden.

FreqAmsterdam @Grimm • 9 juli 2015 10:52

Jezelf de hele tijd herhalen is niet discussiëren. Je punt is duidelijk, je bent het er niet mee eens.
We leven nu een een wereld waar malware en virussen een feit zijn. Ook een feit is dat je zonder beschermende software snel problemen zal ervaren, eerder dan MET. Je stelling dat het gebruik van beschermende software nutteloos is, gaat dus niet op. Dat is geen mening, maar een feit.

jaapzb @Grimm • 9 juli 2015 11:23

in beide gevallen zou zo'n computer niet voor kritieke taken gebruikt moeten worden.

Dat is een heel ander punt dan zeggen dat antivirus nutteloos is.

Sorcerer8472 @Grimm • 9 juli 2015 14:16

Je hebt gelijk natuurlijk, maar er zijn wel degelijk virussen/malware die wel opgepikt worden, en wellicht is dat ook de enige malware waarmee je te maken krijgt. In dat geval ben je wel goed beschermd.

Ook is er wel degelijk malware die na een virusupdate ineens gedetecteerd wordt waardoor je weet dat je machine geïnfecteerd is. Dan weet je dat, zelfs al is removal wellicht niet goed mogelijk of niet met 100% zekerheid.

Maar, nee, het is geen wondermiddel, verre van.

Stoney3K @Grimm • 9 juli 2015 14:47

Slaap lekker verder. Je bent wel heel naief wanneer je nog op virusscanners vertrouwt. Er bestaat al een poosje malware wat niet door scanners gedetecteerd wordt.

Dat ontkent hij ook niet. Het enige wat hij hier probeert te zeggen is dat de PC van Jan en alleman niet het target is van die malware.

Daarvoor is de malware namelijk te complex, ingewikkeld en dus te duur verkocht, dat gaan die 4 computers die ze daarmee ransomwaren en de gebruikers dom genoeg zijn om te betalen, niet goed maken.

Die payoff wordt een stuk groter als je het voor elkaar krijgt om een serverpark van een groot bedrijf te besmetten en de hele R&D server kaal te plukken, waarna je de buit gemaakte data aan de concurrent of aan een geheime dienst kan verkopen.

Daar verdienen ze veel meer mee dan zielige gebruikertjes treiteren met valse politie-popups.

Jorgen Moderator Beeld & Geluid @Grimm • 8 juli 2015 22:27

[cynische modus]Jij raadt mensen ook aan om Apple en Linux te gebruiken omdat daar geen virussen voor zijn? En daar zijn natuurlijk dus ook geen virusscanners voor nodig?[/cynische modus]

Je hebt wel gelijk dat het een gebed zonder eind is. De boeven proberen de politie altijd voor te blijven. De politie probeert te anticiperen en het vangnet steeds beter te maken. Zo gaat het altijd en overal. Ook bij virus- en malwarescanners. Dat betekent echter niet dat we het maar zomaar gaan opgeven.

Dat je blijft beweren dat je vindt dat die dingen volkomen nutteloos en onnodig zijn, mag je doen. Je hebt recht op jouw mening, maar dring andere mensen deze niet op, want hij strookt toch echt niet met de feiten. Als straks iedereen in jouw omgeving zonder virusscanner zit en bij jou aanklopt omdat ze hulp nodig hebben met ransomware, geloof je dan nog steeds wat je zegt?

Jorgen Moderator Beeld & Geluid @Grimm • 9 juli 2015 00:24

Niet iedereen hoeft over te stappen. Linux en andere OS'en worden langzamerhand toch wat populairder. Of het nu een versie is van iOS, Android, Openelec, Linux of wat anders, natuurlijk is Windows niet meteen verstoten van de eerste plek. Daarmee is het inderdaad de grootste bliksemafleider en daardoor zal inderdaad de meeste aandacht daarnaartoe gaan omdat dit het rendabelst is. Daar heb je helemaal gelijk in

Tot het moment dat het omslagpunt komt en dat kan zomaar ineens zijn. Op mobiel gebied is het iOS en Android die ver boven Windows staan, dus daar is het al rendabeler om iets anders te kiezen. Ook kunnen malware- en virusmakers ervoor kiezen om een multiplatform aanpak te kiezen door bijv. python of Java te misbruiken die op alle OS'en kunnen draaien. Je ziet ook steeds vaker dat grote instellingen en regeringen ervoor kiezen om niet meer van Microsoft afhankelijk te zijn. Er komt dan een grijze-wijze-mannen-commissie die besluit dat het OS, of de office suit open source moet zijn. Dan wordt het ineens heel interessant om zich ook op andere platformen te concentreren.

EpicEraser @Jorgen • 9 juli 2015 09:36

Stellen dat software in een bepaalde taal geschreven moet zijn om multiplatform te zijn is in bijna alle gevallen onzin. Zolang ik mijn software op een cross-platform manier schrijf kan ik het eenvoudig compileren voor de grote operating systems. En ik kan in Python net zo makkelijk software schrijven die alleen maar op Windows werkt als in C++.

En malware die geschreven is in Python of Java lijkt me wel heel makkelijk te detecteren (door de interpreter / JVM die vrolijk als procesje op je systeem draait).

Daarnaast is het schrijven van (goede) malware geen makkelijk proces. Doordat malware normaal gesproken gebruik maakt van zwakheden in het execution environment (o.a. het besturingssysteem), is de code van malware zwaar afhankelijk van de omgeving waarin het draait. Een exploit voor Windows is zo goed als nooit te porten naar Linux. Natuurlijk is een exploit voor Firefox op Windows wel vaak ook te misbruiken op Linux.

SmokingCrop @Grimm • 9 juli 2015 01:16

"De kudde blijft gewoon gedwee windows gebruiken."

Waarom denk je, het kost gewoon te veel om over te stappen voor de business (opleidingen, nieuwe programma's en dergelijke). Voor de gewone consument is linux/Mac OS vaak geen optie doordat veel dingen enkel op Windows werken (daarnaast was Windows 8 al een mooi voorbeeld wat verandering met de mens doet..).

Daarom zijn Anti-virussen net wel goed dat ze er zijn.. Beter een gesloten deur, waar slechts bepaalde geadvanceerde dieven binnengeraken dan gewoon een opening ipv een deur

Niet iedereen zal immers getroffen worden door die geadvanceerde virussen. Het is een beveiliging voor de massa waar de mensen zonder enig AV direct getroffen worden.
Als ze in je systeem willen en moeten geraken dan zullen ze er ooit ook wel eens op geraken..

Zo is bv. 2-Factor Authentication ook goed. Het werkt tegen de massa, maar als geadvanceerde dieven aan je smartphone komen, is het ook niet meer veilig.

[Reactie gewijzigd door SmokingCrop op 22 juli 2024 19:50]

Grimm @SmokingCrop • 9 juli 2015 08:41

"Daarom zijn Anti-virussen net wel goed dat ze er zijn.. Beter een gesloten deur, waar slechts bepaalde geadvanceerde dieven binnengeraken dan gewoon een opening ipv een deur"

Verkeerde vergelijking. Voor een woninginbraak kan ik me voorstellen dat 1 inbraak per jaar minder erg is dan 10 woninginbraken per jaar.

Voor een computer maakt het niet uit of er 1 of 10 keyloggers geinstalleerd zijn, in beide gevallen zou zo'n computer niet voor kritieke taken gebruikt moeten worden.

SmokingCrop @Grimm • 9 juli 2015 10:41

Waarom je uberhaubt nog op het internet durft te komen

Je bent dan net zo kwetsbaar op Linux of Mac OS..

Maar goed, je wilt het gewoon niet begrijpen. Je hebt wellicht al 10 keer exact hetzelfde gezegd op deze thread. We begrepen je punt al bij de eerste comment dat je een computer niet voor kritieke taken mag gebruiken, ookal staat er een AV op..

Waarom is er dan nog nooit iets "ergs" gebeurd in tal van jaren qua accounts die gehacked waren of bankaccounts waar zomaar geld van afging etc?
Persoonlijk vind ik je erg paranoïde op dit punt. Een AV houdt tenminste de gekende virussen tegen zodat je de PC zonder performance issues kan gebruiken..
Voor Kritieke taken zijn er vaak extra beschermende features in AV's zoals bv. Safepay van Bitdefender. Wat eigenlijk een zo goed als mogelijk dichtgetimmerde sandbox browser is.

Zelf ook nog niets gehoord dat er geld van een bank account genomen werd door betaling met browser via internet (zonder phising) met een up-to-date AV.

[Reactie gewijzigd door SmokingCrop op 22 juli 2024 19:50]

Verwijderd @Grimm • 9 juli 2015 10:28

Even verondersteld, dat je volkomen gelijk hebt en Antivirus hartstikke dood is, Grimm, heb je dan ook een goed, betaalbaar alternatief voor de 'kudde' computergebruikers?
Realiseer je daarbij wel dat je daarbij niet alleen een oplossing moet hebben voor bedrijven, maar ook voor consumenten?
En dan liefst een die, zoals jij dan stelt, meer dan 80% en liefst bijna 100% tegenhoud?
Als je daar een oplossing voor hebt, dan heb je een utopie opgelost. Als je dat niet kunt, zullen we dan deze discussie stoppen en met zijn allen voorlopig nog maar even antivirus blijven gebruiken om in ieder geval 80% van de ellende buiten de deur te houden?

SamD 8 juli 2015 19:12

Ik denk toch dat we vanuit de overheid hier zwaar op moeten gaan inzetten. Desnoods een overheids "hacking" team gaan vormen om eigen software compleet uit te wonen om de veiligheid te garanderen.

Persoonlijk krijg ik rillingen over mijn lijf als ik de laatste dagen van al die 0-days lees (Team Hacking), sta is even stil bij wat er tegenwoordig van ons als burger gedigitaliseerd is.

Ik heb gister ook even snel de 500GB data doorgespit van de jongens, en moet eerlijk zeggen, ben behoorlijk onder de indruk hiervan. Zie link

edit: links
Dump van die gasten
http://ht.transparencytoolkit.org/

Tweakers artikel naar ze
http://tweakers.net/nieuw...lek-van-hacking-team.html
http://tweakers.net/nieuw...bedrijf-hacking-team.html

[Reactie gewijzigd door SamD op 22 juli 2024 19:50]

NLKornolio @SamD • 8 juli 2015 19:18

Als je ziet om welke salarissen het gaat voor cyberexperts bij overheids vacatures denk ik niet dat ze dit voor elkaar gaan krijgen.

Darkstriker @NLKornolio • 8 juli 2015 20:47

Meer belasting op hogere inkomens en vermogens, en conpetitieve salarissen voor high-skill banen. Wat denk je waarom er zulke randdebielen in de regering zitten. De balkenendenorm is gewoon veel te laag

CivLord

@Darkstriker • 9 juli 2015 09:42

Nee, wanneer je een stel op geld beluste patsers in de regering zet zal het vast een stuk beter gaan.

Darkstriker @CivLord • 9 juli 2015 09:49

Als je de mensen die slim zijn telkens de keuze geef: Of je kan voor het land werken of voor een bedrijf waar je 5x meer verdient. Wat denk je dat ze dan kiezen? Die mensen hoeven niet 5 miljoen per jaar te verdienen, maar 200k aan het einde van de carriereladder is voor de elite van de hogeropgeleiden nou eenmaal vrij weinig. Veiligheidsspecialisten van dat niveau kunnen gewoon een eigen bedrijf oprichten en zonder moeite meer verdienen dan die norm.

mashell @Darkstriker • 9 juli 2015 17:38

Of je kan voor het land werken of voor een bedrijf waar je 5x meer verdient. Wat denk je dat ze dan kiezen

Dat hangt van het karakter af. Er zijn er best wat die voor het land gaan. Dat levert je namelijk bekendheid en status op. Bestuurder bij een grote onderneming is een onzeker bestaan omdat er niet 1 is die het goed genoeg doet. Ze vliegen er allemaal naar een paar jaar weer uit.

Alex3 @Darkstriker • 9 juli 2015 10:20

Als jouw redenering zou kloppen hadden we nu betere leraren.

Darkstriker @Alex3 • 9 juli 2015 10:42

Hoezo? Leraren verdienen echt geen kut. Zeker die, die ingewikkelde studies hebben gedaan kunnen elders makkelijk een veelvoud verdienen met veel minder stress dann als leraar.

Alex3 @Darkstriker • 9 juli 2015 11:38

Dat bedoel ik. Dan werken ze niet voor het land.

Pyrone89 @NLKornolio • 9 juli 2015 00:26

Er is geld genoeg. Alleen de afgelopen 2 dagen maken dat al duidelijk:

Paul Rossemuller en die Van Boxtel faalhazen krijgen weer een riant betaald baantje waar ze totaal geen achtergrond in hebben en de boel weer mooi kunnen verpesten, de achterlijke declaraties van de ziekenhuisbobo's die ook nog het lef hebben om het 'normaal' en 'passend' te noemen. Etc etc.

Als je teruggaat naar, laten we zeggen 2007, dan kun je zo'n gigantische waslijst maken van alles wat is uitgekomen dat de tientallen miljarden je om de oren vliegen. Om nog maar niet te spreken van al hetgeen dat nooit onthuld is. Als we dat geld nou eens besteden aan nuttige zaken en het passend belonen van goede mensen ipv het weer te geven aan zo'n ex-politieke bobo, dan zouden we een stuk beter af zijn en ook nog eens een begrotingsoverschot hebben

Iblies @SamD • 8 juli 2015 19:42

Denk dat de cirkel compleet moet zijn.

Adobe flash is een voorbeeld dat allang niet meer gebruikt zou mogen worden in een zakelijke en/of overheidsomgeving.
Java zou heel beperkt moeten worden gebruikt.
Voor mobieltjes moet je ook strikte regels hebben.

En die regels moeten gewoon veel strikter worden.

Zo zie je bij verschillende bedrijven dat ze het fysiek terrein beveiligen met allerlei middelen waaronder pasjes, maar waarbij je vervolgens wel een eigen laptop kunt gebruiken waar privé en zakelijk langs elkaar heen lopen.

Taghorn @SamD • 8 juli 2015 22:52

Als iemand die dagelijks software test, geef mij een stuk software, de specs en 24 uur.
Ik vind altijd een bug.

En elke ander die zijn geld waard is ook. Software is NOOIT 100% feilloos als je 30.000 regels code hebt, business met continue veranderende eisen en deadlines dan sluipen er bugs in.
Dus mijn mening, veiligheid garanderen is een mythe. Het gaat je met reeele software niet lukken.

Een hack team belangrijke zaken een keer laten doorlichten, DAAR ben ik het wel helemaal mee eens. Je kunt de ergste zaken eruit halen en alle script kiddies buiten houden.

PS: zelfs al krijg je de software dicht, dan bel ik een secretaresse en ontfutsel zijn/haar password. Dat is soms makkelijker dan de software kraken.

demonic 8 juli 2015 18:57

de criminelen zochten gevoelige bedrijfsinformatie als intellectueel eigendom. De meeste bedrijven waren Amerikaans, maar Symantec claimt dat ook een Nederlands bedrijf werd aangevallen, al is niet bekend om welk bedrijf het gaat.

ASML?

emnich @demonic • 8 juli 2015 19:05

Lijkt me niet, Symantec vermoed dat het westerlingen zijn en in de aangehaalde link van je wordt het sterke vermoede geuit dat het om Chinezen gaat.

Symantec:

There are some indications that this group may be made up of
native English speakers, are familiar with Western culture, and
may operate from an Eastern Standard Time (EST) time zone.

Verwijderd @demonic • 8 juli 2015 19:08

But unlike most cyber espionage groups, this is no nation state-sponsored hacking operation. According to researchers at Symantec who have been investigating the so-called Morpho organization for the past two years, this cyberspying operation appears to be run by an organized crime ring with possible US ties.

nieuws: Chipmachinefabrikant ASML is gehackt 'door Chinese overheid'

Waarschijnlijk niet hetzelfde dus.

demonic @Verwijderd • 8 juli 2015 19:09

mmm... het een sluit het ander natuurlijk niet uit, maar het lijkt inderdaad niet om ASML te draaien..

Verwijderd 8 juli 2015 18:56

Als je dit soort verhalen hoort, en ook die van de beveiligingskeuzes die 'gehackde' bedrijven en organisaties vaak maken denk iknog altijd dat de risico's, in zowel de kans op, als de impact van bedrijfsspionage in het bedrijfsleven.

Zeker in Nederland met een grote financiële sector, internationale instituties, technologische bedrijven, int. opererende infra bedrijven, medecijnfabrikanten, hedgefunds lopen bedrijven extra veel risico's.

BitJager 9 juli 2015 15:00

Een computer kan wel degelijk voor kritieke taken gebruikt worden. De vraag die je dan wel aan jezelf moet stellen is hoe en met welke netwerken dat device moet verbonden zijn en of je buiten die kritieke taken dat device ook nog wenst te gebruiken voor andere zaken.

Security bekom je door het totaal plaatje sommige zaken isoleer je beter.

FlyEragon 8 juli 2015 19:28

Kan ook in opdracht van een land geweest zijn dus. Tja.. De hele wereld is onderhand een gang bang van elkaar bespioneren, stelen, naaien, uitbuiten etc.

What else is new, of zijn dit weer alu hoedjes dingen om nog meer verregaande maatregelen te treffen? Duw dat ttip er ook maar versneld erdoorheen...

Expander @FlyEragon • 8 juli 2015 20:54

Landen en grote bedrijven hebben inderdaad het meeste geld, zou ik denken. (Niet de terrorristen en pedofielen.)

Men wil encryptie en veiligheid zelfs verzwakken. Tegenwoordig zet ik inderdaad steeds vaker even mijn aluhoedje op en denk ik dat er een plot is om alle kennis en macht ter wereld in handen te laten komen van een klein groepje mensen.

Pyrone89 @Expander • 9 juli 2015 00:29

Te laten komen? Lol, die is al lang in de handen van een klein groepje mensen. Met klein dan niet een groepje van 20 mensen ofzo, maar een groep van ongeveer 10.000 mensen op een wereldbevolking van meer dan 7 miljard.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (59)

Sorteer op:

Weergave: