ESET blokkeerde per ongeluk .co.uk-domeinen

De antivirussoftware van ESET blokkeerde donderdag de toegang tot veel websites met een .co.uk-domein. De softwaremaker heeft een update uitgebracht die de false positive oplost en raadt aan gebruikers die nog problemen ondervinden hun systeem te herstarten.

Onder andere Amazon.co.uk, de websites van de BBC en The Register waren niet meer te bezoeken door gebruikers van de ESET-software. Zij kregen een melding te zien dat de toegang tot de website was geblokkeerd. Mogelijk werden alle .co.uk-domeinen door de fout aangemerkt als onveilig.

ESET erkende de problemen rond 13 uur donderdagmiddag en begon vervolgens met het terugdraaien van de virusdefinities die de valse melding veroorzaakten. Een uur later zouden de problemen zijn opgelost, maar het is mogelijk dat sommige klanten er nog last van ondervinden. Een herstart van het systeem zou dat op moeten lossen, schrijft ESET op zijn supportwebsite.

Het is de tweede keer in korte tijd dat ESET te kampen heeft met een false positive die veel gebruikers treft. Eind februari werden bepaalde veelgebruikte javascripts ten onrechte aangemerkt als een trojan.

Door Julian Huijbregts

Nieuwsredacteur

07-04-2016 • 14:08

36

Submitter: Sv3n

Reacties (36)

36
32
21
1
0
3
Wijzig sortering
De laatste paar maanden lijkt het schering en inslag met false positives bij ESET. Wij gebruiken deze scanner op werk, en die JS melding van twee maanden geleden was echt vervelend. Deze hebben we hier in Nederland dan misschien iets minder last van, maar het blokkeren van een heel (bekend) domein lijkt mij een vreemde maatregel. Nu begrijp ik heel goed dat een software pakket een complex geheel is en foutjes zo zijn gemaakt (werk zelf in de industrie), maar dit soort foutjes horen natuurlijk niet voor te komen en zijn m.i. redelijk makkelijk te voorkomen met automatische unit/integratie tests.
Het kan altijd erger !

Herinnerd iemand zich het akkefietje bij mcafee van een paar jaar terug nog ?
Foute update verspreiden waardoor pc's niet meer wilden starten.

Waar gehakt wordt, vallen spaanders in mijn beleving.
Maak al jaren bij verschillende klanten (zakelijk) gebruik van deze software, naar volle tevredenheid.

Deze scanner heeft de hoogste detectiegraad in de markt, laat ze ook eens een keer een foutje maken. Vervelend is het natuurlijk wel, maar absoluut geen grote ramp !
Het ongemak hiervan is maar tijdelijk (afhankelijk van de update frequentie) en ze zitten er wel bovenop.

Heb er zelf deze keer niet eens wat van gemerkt.

Bovendien heb ik liever 10x een false-positive dan 1x malware wat niet wordt opgemerkt !

[Reactie gewijzigd door pbuytels op 5 augustus 2024 12:12]

Bor Coördinator Frontpage Admins / FP Powermod @pbuytels7 april 2016 15:04
Deze scanner heeft de hoogste detectiegraad in de markt
Deze scanner heeft helemaal niet de hoogste detectiegraad in de markt maar moet vrijwel bij elke test andere producten voor zich laten. Dat wil niet zeggen dat het een slecht product is overigens maar top #1 is absoluut niet waar. Je kunt de bekendere anti-virus testen er op naslaan. Voor meer informatie kun je ook o.a. hier kijken; [Virusscanners] Discussietopic deel 4
en kan iemand me dan eventje uitleggen waarom juist eset in de meeste antivirus testen niet meegenomen wordt ?

en in hoeverre zijn de partijen die die tests uitvoeren geheel onpartijdig ?

Maargoed, die discussie wil ik hier helemaal niet voeren.

Ik ben van mening dat ESET over het algemeen een van de betere antivirus producten is zowel voor persoonlijk als zakelijk gebruik.Heb bij mijn klanten aanzienlijk minder problemen dan met de concurrentie.

Ook het uitrollen is een fluitje van een cent al moet ik aan de nieuwe versie van Remote Administrator nog wel een beetje wennen.

Maargoed,
Bor Coördinator Frontpage Admins / FP Powermod @pbuytels7 april 2016 15:24
Zakelijke producttesten worden helaas niet zo vaak en uitgebreid getest lijkt het. Als je naar de meer geteste consumenten versie kijkt zie je een duidelijker beeld. Wat betreft persoonlijk gebruik vind ik ESET prima maar zijn er, zoals opgemerkt, beter presterende producten op de markt. Ik adviseer vaak een product uit de top 5 te nemen en hierbij te kijken naar de zaken die voor jezelf belangrijk zijn wat betreft security features maar ook beheermogelijkheden etc.
Klopt helemaal.

Maar vandaag staat pietje op 1 en volgend kwartaal nr 8.
en zo wordt er nogal eens stuivertje gewisseld waardoor het beeld op lange termijn dus nogal vertekend kan zijn, waardoor je door de bomen het bos niet meer ziet.

Maargoed iedereen heeft natuurlijk ook zijn voorkeuren en eisen aan een pakket.
Om budget nog maar niet te vergeten.

Persoonlijk vind ik dat eset op zakelijk gebied een compleet security program heeft.
(Endpoint security, mailsecurity, gateway security en Secure Authentication).

Bovendien is de prijs/kwaliteit gewoon dik in orde.

Maar ben dan wel benieuwd welke producten jij in een zakelijke omgeving zou aanraden.

(Mcafee hoef ik niet te horen, want die vind ik qua management en deployment wel het meest baggere pakket wat ik ken.)
(Mcafee hoef ik niet te horen, want die vind ik qua management en deployment wel het meest baggere pakket wat ik ken.)
Pardon? Ik heb er probleemloos 1200+ PC's en 150+ servers mee beheerd, jarenlang. Kan het beter? Misschien wel. Maar baggerproduct? Nee. Je moet alleen wel weten wat je doet, waarom en wanneer... ;)
(Om nog maar te zwijgen over de enorme penetratie-graad die McAfee heeft: veel bedrijven met meer dan 1000 werkplekken gebruiken McAfee, en dat is niet omdat ze zo goedkoop zijn...)
Om nog maar te zwijgen over de enorme penetratie-graad die McAfee heeft: veel bedrijven met meer dan 1000 werkplekken gebruiken McAfee, en dat is niet omdat ze zo goedkoop zijn...
Klopt, dat is niet omdat ze zo goedkoop zijn, dat is omdat McAfee gratis is bij veel laptops/pc's/programmas/zooi.

McAfee doet gewoon het trucje wat Norton tot een paar jaar geleden deed, geef zo veel mogelijk licenties weg zodat iedereen je naam kent en er tijdens discussies altijd wel iemand is die je product gebruikt, dan verkoop je vervolgens meer licenties aan 'leken' die gewoon vaak je product naam hebben gehoord.

En, net als Norton, McAfee is gewoon een zwaar systeem (als je het vergelijkt met andere AV/FW pakketten, zoals bijv de genoemde ESET) en dat hoeft verder niet erg te zijn, het werkt immers ook gewoon goed, maar er is vervolgens een belangrijk verschil tussen gebruik op kantoor/universiteit vs gebruik thuis, in grote netwerken doe je updates en scans lekker snachts of als de pc toch de hele dag niet gebruikt gaat worden, in thuis gebruik wil je gewoon je pc kunnen gebruiken en dat ding niet snachts aan laten staan.
Gratis...
Indirect wordt daar gewoon voor betaald.
Maar McAfee is overgenomen door Intel Security.
Door de propositie van Intel hebben ze inderdaad slimme deal met onder andere HP gesloten.

Zwaar product klopt tot vorig jaar zeker.
Maar met de nieuwe endpoint 10.x die ze nu hebben zijn de prestaties flink verbeterd dus veel lichter voor node waar het op staat. Het leuke is dat deze eerst een jaar getest is op miljoenen PC's van consumenten(intern hebben ze daarvoor ook flink getest) Maar dat ze het sinds januari ook op de zakelijke markt hebben geïntegreerd.

Ten op zicht van VSE 8.8 gaat door deze ontwikkeling alles een stuk sneller en beter.
Nee. Je moet alleen wel weten wat je doet, waarom en wanneer... ;)
Exact. En dat is dan ook de reden dat ik eerder AVG aanbeveel bij klanten. McAfee heeft het bij ook een keer aardig verknalt, door licenties eerder te laten verlopen (bepaalde update was niet "compatible" en verloor daardoor 1,5 jaar aan licenties). Daarnaast is het gehalte vervelende pop-ups behoorlijk hoog doordat het in quarantaine plaatsen van trainers en cracks niet terug gedraaid kan worden.
Bor Coördinator Frontpage Admins / FP Powermod @pbuytels7 april 2016 16:10
Maar vandaag staat pietje op 1 en volgend kwartaal nr 8.
en zo wordt er nogal eens stuivertje gewisseld waardoor het beeld op lange termijn dus nogal vertekend kan zijn, waardoor je door de bomen het bos niet meer ziet.
Leg de testen er maar eens naast. Hetgeen jij stelt blijkt in de praktijk helemaal niet zo vaak aan de orde. Er is een redelijk gevestigde top 5 aan leveranciers die onderling wel eens stuivertje wisselen maar de gevestigde orde lijkt tot nu toe weinig last te hebben van de concurrentie (anders dan onderling of op prijs). Dat is op zich jammer want ik juich nieuwe producten toe. Dat is alleen maar goed voor innovatie en marktwerking.
Ik upload meestal nieuwe malafide e-mail attachments naar virustotal.com
Meestal herkent op dat moment 0 tot 4 scanners hem en daar zit tot nu toe nooit de "test winnaar" tussen.
Hoe weet jij dan dat het een malafide mail betreft?
dat is redelijk simpel, als je een invoice.pdf.exe krijgt als bijlage dan kan ik je garanderen dat dat een virus bevat. vooral als het in een spam email zit.
Dat is niet echt representatief, zoals gezegd word ESET uberhaupt te weinig in anti virus testen/test-sites gebruikt, ten tweede zijn er helaas genoeg verhalen over AV pakketten die via dat soort sites adverteren (betalen om mee te gaan in tests)
Bor Coördinator Frontpage Admins / FP Powermod @4343657 april 2016 16:31
ESET gaat vrijwel altijd mee in de tests van consumenten versies. Dat lijkt me geen issue dus. De verhalen die je aanhaalt heb ik vaker gehoord maar niet bevestigd of onderbouwt zien worden.Zonder onderbouwing hebben dit soort stellingen niet zo veel waarde als je het mij vraagt. Het blijven dan onderbuikgevoelens of roddels.

[Reactie gewijzigd door Bor op 5 augustus 2024 12:12]

Anoniem: 80487 @pbuytels7 april 2016 19:22
Bovendien heb ik liever 10x een false-positive dan 1x malware wat niet wordt opgemerkt !
Als die false positive zich beperkt tot het niet openen van een bestandje ben ik het met je eens, maar als het een false positive is die mijn systeem om zeep help wordt het een tikkeltje anders.
denk dat die stage loper nu wel echt weg kan, na dat "foutje" van de vorige keer
Anoniem: 463321 @bd-casemod7 april 2016 15:26
Alsof senior developers geen blunders maken. |:(
voor zoiets hebben ze test omgevingen bedacht..
Waarmee je dus niet alles afvangt. Je kunt niet op alles testen.
2e keer in korte tijd dat een lullig voutje hun volledig klantenbestand treft [...]
Heb een redelijke installbase (800+) bij verschillende klanten maar heb van dit probleem geen meldingen van klanten gehad. Bij het vorige akkefietje met JS heb ik welgeteld 1 persoon gehad die tegen dit probleem aanliep. Centrale updateserver nieuwe definities laten downloaden en het probleem was opgelost.

Dus wat dat betreft vind het "hun volledige klantenbestand" nogal misplaatst
Anoniem: 463321 @pbuytels7 april 2016 15:25
Als jouw klanten niet op co.uk domeinen komen dan merken ze er niets van. Dat wil niet zeggen dat ze er geen last van hebben.
Als jouw klanten niet op co.uk domeinen komen dan merken ze er niets van. Dat wil niet zeggen dat ze er geen last van hebben.
??

Als ze daar niet komen hebben ze er toch juist geen last van ?
Bor Coördinator Frontpage Admins / FP Powermod @pbuytels7 april 2016 15:06
Dat iemand een issue niet opmerkt of er geen direct last van heeft wil niet zeggen dat het punt bij hem of haar niet aan de orde is. Himlims_ maakt een terechte opmerking; het issue treed op bij het totale klantenbestand die op de betreffende versie zit. In dit geval is het misschien een iets onschuldig puntje maar voor hetzelfde geld was het ongemak vele malen groter. We zijn in deze tijd gewoon erg (mede) afhankelijk van dit soort diep in een systeem ingrijpende software voor de beveiliging van systemen waardoor fouten in een applicatie als dit verregaande gevolgen kan hebben.

[Reactie gewijzigd door Bor op 5 augustus 2024 12:12]

Ik wilde alleen maar duidelijk maken dat de meeste mensen hier niets van merken omdat na een nieuwe definitieupdate niets meer aan de hand is.

Bovendien zou eset ook als een "emergency update" kunnen uitbrengen waardoor alle clients een seintje krijgen om accuut te updaten.

Al zullen ze dit niet snel doen bij een false-positive omdat dit nogal een "load" op hun updateservers kan veroorzaken. Echter bij een grootschalige uitbraak van uiterst gevaarlijke malware die mogelijk nog niet herkend zou worden is dit een prettige optie.

[Reactie gewijzigd door pbuytels op 5 augustus 2024 12:12]

Hier ben ik het helemaal mee eens.
Liever 100 False positives dan dat er 1 keer wel ransomware doorheen sluipt.
Vorig jaar was er slechts +/- 600 miljard schade door ransomware etc etc(in B2B)
Dus liever dat ze zo scherp zijn en dit hebben dan andersom,
Bor Coördinator Frontpage Admins / FP Powermod @Koenwel7 april 2016 16:35
Het hangt er natuurlijk vanaf wat een false positive precies teweeg brengt. Zo had een bekende leverancier een tijd terug ook last van false positives waardoor belangrijke systeembestanden werden verwijderd. Als resultaat startten de getroffen systemen niet meer op. Dat is niet alleen slecht voor jezelf als getroffen gebruiker maar ook voor de leverancier zelf. Dergelijke zaken hoef je als leverancier niet te vaak te doen; de imageschade is behoorlijk.
Dat is inderdaad een kwalijke zaak. En hierin moet ik je zeker gelijk geven.
Zal proberen in het vervolg wat specifieker te zijn. Doelde dus op false positives van externe zijde(alles behalve dat zorgt dat je OS draait). Het mag natuurlijk nooit voorkomen dat er een false positive is die het OS aanvalt waar de besturing op draait.

Daarnaast kunnen er altijd fouten gemaakt worden, dit is niet erg. Als er maar snel een oplossing is. Dus dat de impact nihil is en de kosten flink dalen. Helaas is de trend dat de 600 miljard dit jaar weer overtroffen gaat worden. (is in $)
Dan moet je vaker je definities pushen :+
Dat is nog eens een vooruitziende blik... een digitale Brexit... :P

Op dit item kan niet meer gereageerd worden.