Microsoft 'Mako' kan verdacht of gevaarlijk gedrag blokkeren

Ongeveer een jaar geleden, tijdens de RSA Security-conferentie, heeft Microsoft zijn plannen op het gebied van security gepresenteerd. Algemeen wordt ervan uitgegaan dat het softwarebedrijf volgende week tijdens RSA Conference 2005 een statusupdate zal geven van zijn inspanningen tot nog toe. Verder meent men dat Microsoft meer informatie zal onthullen over een nieuwe technologie, Mako genaamd. Deze technologie is bedoeld om bepaald verdacht of gevaarlijk gedrag te blokkeren. Een jaar geleden vertelden medewerkers van Microsoft dat het bedrijf bezig was met de ontwikkeling van drie complementaire Active Protection-technologieën. Deze technologieën zullen op den duur aan Windows, zowel de desktop- als de serveredities, toegevoegd worden. De technologieën zijn de volgende:

dynamic-systems-protection-technologie: ontwikkeld om een computersysteem actief te laten reageren op veranderingen in zijn (netwerk)omgeving;
behavioral-blocking-technologie, bedoeld om verdacht of mogelijk gevaarlijk gedrag van de gebruiker, zoals het zomaar openen van executables bij e-mails, tegen te houden;
application-aware firewall en intrusion-prevention-technologie, ontwikkeld om de huidige veiligheidsinstellingen van de Windows Firewall verder te verbeteren.

Oorspronkelijk was het Microsofts bedoeling om deze technologieën aan Windows Longhorn toe te voegen. Een paar maanden na de RSA-conferentie van vorig jaar werd echter bekend dat deze veiligheidstechnologieën al eerder uitgerold zullen worden. De eerste Active Protection-technologie die 'live' zal gaan, is behavioral blocking. Over de wijze van releasen wordt behoorlijk gespeculeerd. Zo is het mogelijk dat Microsoft deze technologie als losse download zal aanbieden, om het later onderdeel van Windows XP Service Pack 3 te maken. Over een derde SP heeft Microsoft nog niets vrijgelaten. Verder is het mogelijk dat de behavioral-blocking-technologie aan Microsoft AntiSpyware of aan 'Titan' wordt toegevoegd. Ten slotte bestaat de mogelijkheid dat Mako onderdeel zal worden van de A1-securitydienst.

Reacties (36)

DriesA 12 februari 2005 17:27

We moeten het toegeven: Microsoft is serieus bezig met veiligheid. Men is begonnen met SP2 voor Windows XP (nieuwe firewall, popupblokker, beheren van BHO's, securitycenter...), Microsoft Antispyware is in bèta-fase en volgens critici is dit toch een van de betere op de markt (uiteraard dankzij het goede werk van GIANT-programmeurs), het bedrijf koopt antivirus- en antispambedrijven over, maandelijks wordt je systeem gescand dankzij Titan, Microsoft gaat waarschijnlijk een soort veiligheidsabonnement A1 beschikbaar stellen, en Microsoft spant diverse rechtszaken aan tegen spammers.

Ik zou zeggen: Proficiat! Dankzij deze diverse maatregelen slaag ik er in om pc's van de 'noobs' in mijn buurt een pak veiliger in te stellen. Updates worden vanzelf geïnstalleerd en de gebruikers worden tot vervelens toe gewaarschuwd dat hun virusscanner niet up-to-date is.

Zo staat men toch al stil bij het aspect veiligheid (meestal is dat pas nadat een virus onherstelbare schade heeft aangericht).

Het is een hele uitdaging om veiligheid te combineren met gebruiksvriendelijkheid. Bijlagen in e-mailprogramma's standaard blokkeren is natuurlijk veiliger (voor noobs), maar er wordt wel ingeboet aan gebruiksvriendelijkheid als ik het aantal telefoontjes tel die ik krijg en beginnen met "Ik kan geen bijlagen meer openen." Ik ben benieuwd hoe Microsoft hier in de toekomst op inspeelt met zijn behavioral-blocking-technologie.

[edit]
@Morrar: Je hebt gelijk. Maar ik zei dat MS bezig was met veiligheid, niet dat ze er al waren.

Het probleem wat jij aanhaalt sleept Microsoft mee uit het verleden. Ze zouden hun volgende OS op die manier kunnen opbouwen, maar als de leken merken dat ze daardoor de helft van hun programma's niet kunnen draaien, zullen ze dat MS niet in dank afnemen. En leken gaan zich niet bezighouden met toestanden als "run as admin...". Je haalt zelf een goede oplossing aan. Als programmeurs hun programma's laten werken zonder admin-rechten zijn we alweer een stap verder.
Zoals ik al zei: MS moet een goed compromis zoeken tussen veiligheid en gebruiksvriendelijkheid.

Enne... gebruikers die hun veiligheidsinstellingen zelf terugschroeven, zoals je aanhaalt, die moeten daar dan ook maar zelf de gevolgen van dragen. Ik heb daar weinig medelijden mee.

Morrar @DriesA • 12 februari 2005 17:45

Tuurlijk ze pakken van alles en nog wat aan, maar het grootste probleem blijft vooralsnog bestaan. En dat is dat veel progjes (ook van MS zelf) Admin rechten vereisen. Dat feit maakt dat *als* iets eenmaal langs alle nieuwe veiligheidsmaatregelen (of de gebruiker die deze niet optimaal heeft ingesteld) geslopen is, het vrij spel heeft op het systeem.

Microsoft zou iets als een campagne o.i.d. moeten voeren om programmeurs (met name van andere partijen) aan te moedigen om hun programma's zo te schrijven dat ze geen Admin rechten nodig hebben. Of liever nog: dat ze weigeren te draaien onder Admin rechten. Een mooi voorbeeld hiervan is de PostgreSQL-versie die laatst uitkwam.

Het probleem met alle huidige beveiligingen vind ik ook dat ze te vaak door gebruikers uitgezet worden. Automatische updates: "Te lastig dat gezeur steeds waar ik niks van begrijp". Firewall: "Hmmz mijn IM kan geen filetransfer / mijn game werkt niet... Ow het kan aan de firewall liggen, wacht die zet ik dan uit". En ook nieuwe software om "verdacht gedrag" te detecteren zal ongetwijfeld weer vaak uitgezet worden. Dat is slecht maar niet de schuld van Microsoft natuurlijk. Ook betekent het niet dat je de veiligheidsopties niet in moet bouwen. Maar het betekent wel dat het niet het enige paard is waar je op moet wedden: weg met de Admin-rechten

@reacties:
Ik weet het, ik trap een enorm open deur in met die admin rechten

Maar ik heb gewoon het gevoel dat we steeds meer "pleisters op de wonden" zien van MS, maar dat de structurele oplossing een beetje uit het zicht blijft. Runnen onder een account zonder Admin rechten geeft nl. best vaak moeilijkheden en ik zie bv. mijn ouders daar niet ff omheen werken... Het moet dus vooral *makkelijk* gaan. En alle campagnes die hieronder aangehaald worden ten spijt (lang niet allemaal van MS afkomstig btw), makkelijk is het nog steeds niet.

Daarnaast is het ook wel erg makkelijk om "domme" gebruikers de schuld te geven. MS heeft jaren gebruiksgemak boven alles gesteld en daarmee ook de "domme" gebruikers naar zich toe gelokt. Dan moet je er ook de verantwoordelijkheid voor nemen imho.

Dat je geen medelijden met die gebruikers hebt is dus niet alleen een beetje flauw; het levert ook schade op. Denk aan DDOS aanvallen door wormen. De strategie van MS richt dus indirect ook een boel schade aan bij derden.

elevator @Morrar • 12 februari 2005 22:20

http://www.microsoft.com/technet/security/secnews/articles/lpuseacc.ms px
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnet sec/html/HTWorkStat.asp
http://www.dotnetdevs.com/articles/RunningAsNonAdmin.aspx
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dv_vs techart/html/tchDevelopingSoftwareInVisualStudioNETWithNon-Administrat ivePrivileges.asp
http://cyberforge.com/weblog/aniltj/articles/254.aspx
http://weblogs.asp.net/gad/archive/2003/05/06/6571.aspx
http://weblogs.asp.net/rhurlbut/archive/0001/01/01/251164.aspx
http://weblogs.asp.net/hernandl/archive/0001/01/01/runasadmin.aspx
http://nonadmin.editme.com/

Ik hoop idd dat Microsoft snel begint met zo'n campagne ja

neh @Morrar • 12 februari 2005 18:37

weg met de Admin-rechten

wat een revolutionair idee

ik denk dat gebruikers er wel even aan zullen moeten wennen dat ze niet meer de volledige macht over hun pc hebben, maar het gaat vast aanslaan

Riiight

Sfynx @neh • 13 februari 2005 01:39

Mensen moeten natuurlijk wel als admin mogen inloggen, maar men moet veel bewuster met hun computer omgaan en inzien dat dagelijkse dingen als admin uitvoeren gevaarlijk kan zijn. Omdat dit bewuste gebruik bij Linux en UNIX wel gebeurt, zijn daar veel minder problemen.

Ik ben bang dat de gebruiker enigszins kennis van zaken moet hebben om een computer veilig te gebruiken.

familyman @neh • 12 februari 2005 20:52

gebruiker: ik wil dit programma niet langer automatisch opstarten
windows: u heeft admin rechten nodig
gebruiker: admin waar? adware? oeh
windows: mail uw verzoek aan gates@microsoft.com
gebruiker: ok

2 weken later logt ms via remote desktop in en verwijderd het automatisch op te starten programma. En controleert meteen even de licenties :-)

Die admin rechten zijn echt niet nodig hoor :-)

Verwijderd @DriesA • 12 februari 2005 23:39

Updates worden vanzelf geïnstalleerd en de gebruikers worden tot vervelens toe gewaarschuwd dat hun virusscanner niet up-to-date is.

Het vanzelf installeren van updates is niet de oplossing van het probleem (te snel/gemakkelijk uitleveren van software waar blijkbaar fundamentele denkfouten zitten, zoals standaard teveel opties aan laten staan)

Bovendien is het meer dan eens gebeurd dat er in een update juist een nog erger lek zit dan wat er gepatched wordt. Het gevaar is dat je een vals gevoel van veiligheid creeert: als je maar alle updates hebt is alles veilig en kan ik op alle exe's klikken die ik vind.

Het tot vervelens toe geconfronteerd worden met waarchuwingen: "weet u zeker dat u deze exe wilt opstarten, het kan gevaarlijk zijn" leidt tot gewenning, na de 1e 10 keer lezen de gebruikers dat echt niet meer en klikken altijd op ja, omdat het in 9 van de 10 gevallen echt iets is wat ze willen opstarten.

Verwijderd @Verwijderd • 13 februari 2005 13:38

Ach wat mag je ook verwachten van een beta programma.

Zlang er no zoveel patches uitkomen zal het nooit uit de beta fase komen, en als het er wel uit komt dan zetten ze weer een nieuwe beta versie in de markt.

Verwijderd @DriesA • 13 februari 2005 13:45

We moeten het toegeven: Microsoft is serieus bezig met veiligheid.
[...]
Microsoft Antispyware is in bèta-fase

Antispyware tools is GEEN security; het is symptoombestrijding van de eerste orde. Goed idee dat andere bedrijven dat doen, maar MS zelf moet niet aan symtoombestrijding doen, ze moeten het probleem (ActiveX) oplossen.

Verwijderd @DriesA • 14 februari 2005 11:06

quote: We moeten het toegeven: Microsoft is serieus bezig met veiligheid

ja, serieus bezig. laat maar. ze zijn nu echt TE veel bezig met dichttimmeren van hun software. Ik vind het prima dat ze firewall/antivirus/bla doen, maar als ze gebruikers gaan tegenhouden om dingen uit te voeren op hun eigen (!!!) pc, dan vind ik het toch wel minder prettig.
Het is mijn pc. ik accepteer niet als een of andere software producent bepaald of ik wel of niet programmas uit kan voeren. Dit is ook de reden waarom ik *NOOIT* steam of een dergelijk pakket zal gebruiken. Dan maar minder functionaliteit/spellen/watooit.

GeeBee 12 februari 2005 17:11

Vraag ik me alleen nog af wélk gevaarlijk gedrag geblokkeerd wordt... van de software of van de gebruiker.
Ik bedoel maar, nu de KPN met gratis draadloze modems adverteert verwacht ik binnenkort veel meer vertrouwelijke rapporten op straat...

Jassy @GeeBee • 12 februari 2005 22:16

Ik bedoel maar, nu de KPN met gratis draadloze modems adverteert verwacht ik binnenkort veel meer vertrouwelijke rapporten op straat...

deze modems zijn standaard gewoon van een wep key voorzien, dus ze worden in ieder geval wel veilig geleverd

eamelink @Jassy • 12 februari 2005 22:48

Sterker nog, ze worden geleverd met een WPA key, en je moet een station eerst toevoegen aan de whitelist (en dat kan alleen als jouw computer of al op de whitelist staat, of als je er met een kabel aanhangt, of als je een knop op het apparaat indrukt) voordat hij het netwerk op kan.

De out-of-the-box KPN netwerken zijn beter beveiligd dan mijn thuisnetwerk, maar dat komt omdat de linuxdrivers van mijn wireless kaartje geen WPA snappen

Verwijderd @GeeBee • 14 februari 2005 11:03

wat ik lees....van beide.

eerste wat ik dus ga deinstalleren en/of service van uitzetten. ik wil kunnen doen op m'n pc wat ik wil kunnen doen.

labtech 12 februari 2005 19:58

# dynamic-systems-protection-technologie: ontwikkeld om een computersysteem actief te laten reageren op veranderingen in zijn (netwerk)omgeving;
# behavioral-blocking-technologie, bedoeld om verdacht of mogelijk gevaarlijk gedrag van de gebruiker, zoals het zomaar openen van executables bij e-mails, tegen te houden;
# application-aware firewall en intrusion-prevention-technologie, ontwikkeld om de huidige veiligheidsinstellingen van de Windows Firewall verder te verbeteren.

Ik heb eigenlijk maar 1 vraag: Kan het ook uit ?

Roland684 13 februari 2005 01:41

Microsoft gaat dus bepalen wat wat goed en wat slecht is? Dat is pas gevaarlijk gedrag!

Verwijderd 12 februari 2005 17:33

Allemaal leuk en aardig, maar als dit net zo goed werkt als die waardeloze firewall van ze gaat dit alleen maar voor problemen en ergernis zorgen.

Ik werk in een ICT dienstverlenend bedrijf (NNTP dienst) en dagelijks worden wij gebeld met 'Ik kan niet op de server komen'.

9 v/d 10 gevallen komt dit doordat de firewall van SP2 ZOMAAR aanslaat.

Verwijderd @Verwijderd • 12 februari 2005 17:39

Dan zou ik je netwerk maar eens nakijken.

Als je in active directory je client's met GPO's zo configureerd dat deze niet aanstaat dan is er daar echt wat mis.

Dont blame microsoft for bad implantation.

the_stickie @Verwijderd • 12 februari 2005 18:27

Die "waardeloze firewall is echter wél een goeie verbetering aan windows. Voor "gewone" gebruikers zelfs heel waardevol: hin compuet wordt hiermee beschermd tegen leukigheden zoals Blaster ea.

Dat er betere firewall producten zijn is bekend. Maar je kan MS niet kwalijk nemen dat het geen volledig product is (dat het enkel inkomend verkeer controleert bijvorbeeld). Als ze wél een superding zouden inbouwen wordt ze dat meteen kwalijk genomen, want dan is dat misbruik van hun monopoliepositie. MS zit wat betreft in een moeilijke positie. Windows gebruikers verwachten voor de prijs die ze betalen een goed, volledig en veilig product. Maar als MS dat wil leveren komen ze in het vaarwater van allerhande softwareproducenten.
Het "zomaar aanslaan" van de windows firewall heb ik zelf nog niet waargenomen. Wel is het zo dat 1 klikje voldoende is om de firewall aan te zetten (windows vraagt het dikwijls genoeg als je geen andere hebt geïnstalleerd), en 1 klikje is voldoende een programma te blokkeren of toe te laten. Misschien ligt het probleem dan wel bij de gebruikers die onvoldoende kennis hebben om ermee om te gaan?

HaterFrame

@Verwijderd • 12 februari 2005 17:44

Ik zit zelf op de helpdesk van @home, ook wij hebben hier last van.
Maar bedenk je 1 ding, beter voorkomen dan genezen. 1 van de slechtere eigenschappen in het windows begin en nog steeds is de beveiliging pollicy: Alles open bij elke gebruiker.

Nu is het zo dat standaard veel dingen dicht gegooit worden en als je die nodig hebt je deze eerst even open moet zetten (zoals bij linux).
Zo heb je een veel veiliger systeem die niet zo makkelijk vatbaar is voor hackers en virussen. Want als je iets niet wil is dat klanten binnen een paar dagen gehacked zijn en jij via de telefoon die troep weer kunt gaan opruimen.

Cybje @HaterFrame • 12 februari 2005 19:51

Bij Linux staat alles ook gewoon open hoor. Alleen sommige distributies zetten dingen dan weer dicht ergens in de boot scripts. Maar de standaard kernel - dus zonder patches - heeft geen firewall regels met een default policy ACCEPT.

Verwijderd 12 februari 2005 18:27

We moeten het toegeven: Microsoft is serieus bezig met veiligheid. Men is begonnen met SP2 voor Windows XP (nieuwe firewall, popupblokker, beheren van BHO's, securitycenter...), Microsoft Antispyware is in bèta-fase en volgens critici is dit toch een van de betere op de markt (uiteraard dankzij het goede werk van GIANT-programmeurs), het bedrijf koopt antivirus- en antispambedrijven over, maandelijks wordt je systeem gescand dankzij Titan, Microsoft gaat waarschijnlijk een soort veiligheidsabonnement A1 beschikbaar stellen, en Microsoft spant diverse rechtszaken aan tegen spammers.

Not good enough, met al die verbeteringen zoals SP2/Firewall, Anti-spyware software en ga zo maar door komen steeds weer nieuwe security holes open te liggen.
Het is dweilen met de kraan open voor MS op dit moment.

ankhie

@Verwijderd • 12 februari 2005 19:01

Het mag dan misschien dweilen met de kraan open zijn, maar je kan niet ontkennen dat er wat aan gedaan wordt en dat is het goede eraan. Jij en ik weten over het algemeen wat we wel en niet moeten doen, maar het wordt voor jan en allemaal nu lastiger gemaakt om stomme stunts uit te halen en dat is een positieve zaak van Microsoft, dat moet je ze nageven.

De verbetering van dat de "noobPC" in plaats van 3 uur na de installatie al vol staat met spyware nu toch misschien wel een paar weken op zich laat wachten is een begin. Het is en blijft een positieve ontwikkeling dat er wat aan gedaan wordt. Pluim voor Microsoft in dit geval.

Bedenk ook "every long journey starts with a single footstep".
Genoeg wijsheden voor vandaag

WinL 13 februari 2005 13:06

Ik zie hier veel onbeargumenteerde meningen. Ik word hier ziek van.
Niemand weet wat het precies inhoud etc... Laten we een dingen voorop stellen ntoskrnl.exe (de Windows Kernel) en aanhang is super veilig.
Het probleem zit hem in de "noobs" (sorry voor die uitdrukking). Je kunt een systeem dichtimmeren, maar als je niet weet waar je mee bezig bent, is zelfs Linux onveilig.
Deze beveiligingstechinieken proberen ook wangedrag van applicaties, maar ook van gebruikers in te perken.

Het is en blijft een dilemma. En als je alles standaard gaat dichtgooien vraagt de noob zich af waarom iets niet werkt...etc....

tweakerbee @WinL • 13 februari 2005 22:53

Als mensen linux zouden gebruiken zoals ze windows nu gebruiken zou een bash scriptje met "rm -rf /" genoeg zijn om meer schade aan te richten dan je op Windows kan doen.

Verwijderd 12 februari 2005 17:29

Is die "behavioral-blocking-technologie" dan iets zoals Systrace?

Plopeye 12 februari 2005 17:59

Het grootste probleem is de gebruiker zelf die niet weet waar hij mee bezig is, daarbij het probleem dat microsoft onder andere bij de implementatie van de firewall daar niet op ingespeeld heeft. Nou moet ik zeggen dat de firewall van windows zelf ook inderdaad zeer slecht is, zelfs zo irritant dat de meesten hem uitzetten dus hij is zijn doel voorbijgeschoten... En inderdaad de software van derden zal aangepast moeten worden zodat ze met minimale rechten van de gebruiker in windows nog kunnen werken. (Net zoiets doms als Norman AV destijds, je moest een gebruiker binnen je netwerk local admin op zijn pc maken anders kreeg je geen updates op je pc binnen)

CyberArt 13 februari 2005 00:07

hoewel dit nog redelijk vredelievend klinkt, vind ik het ook al de gevaarlijke hoek induiken...

dat wat ze in longhorn gaan stoppen om illegale software (en hardware) tegen te gaan ben ik nou niet bepaald blij mee, aangezien het vertrekkende gevolgen kan hebben voor de privacy. dit systeem komt daar toch wel een beetje in de buurt, niet echt een prettig idee.

Op dit item kan niet meer gereageerd worden.

Microsoft 'Mako' kan verdacht of gevaarlijk gedrag blokkeren

Lees meer

Reacties (36)

Sorteer op:

Weergave: