Microsoft toont wormbestrijdende tools

Op de jaarlijkse TechFest-bijeenkomst hebben onderzoekers van Microsoft in Redmond een tweetal prototypes voor security tools gedemonstreerd. Het eerste project wordt 'Vigilante' genoemd en is vooral bedoeld om wormen die zichzelf snel verspreiden met behulp van onbekende exploits in software tegen te houden. Met een zogenaamde honey pot wordt een aanval als het ware uitgelokt en zodra een worm gedetecteerd wordt, wordt een waarschuwing gegenereerd met informatie over hoe de systeembeheerders verdere problemen kunnen voorkomen. Deze waarschuwingen zouden volgens de researchers ervoor moeten zorgen dat systemen elkaar niet langer moeten vertrouwen en laten toe de detectie over verschillende systemen te spreiden.

Handboeien Met behulp van Vigilante zou men in staat zijn wormverspreidingen als Slammer zeer snel te blokkeren en zou een host naar verluidt zelf filters of patches kunnen genereren om infectie te voorkomen. Het tweede project werd 'Control-Flow Integrity' genoemd en draait rond een nieuwe manier om aanvallen tegen af te slaan waarbij code van op afstand uitgevoerd wordt (bijvoorbeeld via buffer overflows of andere exploits).

Reacties (39)

Verwijderd 7 maart 2005 09:34

"met behulp van onbekende exploits in software tegen te houden"

Iets in het verhaal vind ik verwarrend; onbekende exploits tegenhouden. Voor wie onbekend? Microsoft, de systeembeheerder, de maker van de worm? Als niemand er iets van weet dan heeft tegenhouden weinig zin.

"en zou een host naar verluidt zelf filters of patches kunnen genereren om infectie te voorkomen"

Daarnaast als het besturingssysteem zelflerend is, heb je direct weer een ingang als wormmaker om te exploiten. Wellicht is de remedie dan nog erger als de kwaal.

mjtdevries @Verwijderd • 7 maart 2005 09:39

Ik kan me voorstellen dat je dat verwarrend vind.

Het punt is dat het om zichzelf snel verspreidende worms gaat.

Je kan aan het verkeer op een gegeven moment herkennen dat er iets niet in de haak is. Ook al herken je de worm niet.

Iets dergelijks is ook al in gebruik in veel antivirus scanners voor mailservers. Als er binnen een minuut door één gebruiker 1000 dezelfde mails worden gestuurd, dan is de kans groot dat dat niet in de haak is.
Als vele gebruikers op een server ineens allemaal dezelfde mails gaan versturen, dan klopt er waarschijnlijk ook iets niet.

Waarschijnlijk werken deze tools op een zelfde wijze.

Uiteraard moet je hier wel mee uitkijken, want de PR afdeling die even een nieuwsbrief aan 10.000 mensen uitstuurt zal ook in de meldingen voorkomen :-)

FvH @mjtdevries • 7 maart 2005 10:20

Niet als je als maker van het systeem er voor zorgt dat er een fatsoenlijk systeem achter ligt. Als je 50 emails stuurt, met in iedere mail een stuk of 200 mensen in de bcc dan gaat zo'n systeem het niet erg vinden.

Het mailingsysteem wat wij hier gebruiken (inhouse ontwikkeld) werkt op een soortgelijke manier. Mail wordt opgesteld, verstuurd naar speciaal emailadres. Die wordt gefetched (gelijk de 5min vertraging voor de "oops" foutjes van PR) en vervolgens stuurt die hem keuring zeg 50x door.

Dat zijn dus heel wat andere aantallen dan 10000 emails.

Dat de mailserver in beide gevallen net zoveel mail staat te versturen is logisch, maar zo'n filter moet het verschil duidelijk kunnen zien lijkt me.

catfish @mjtdevries • 7 maart 2005 11:46

daarvoor kan je zelf rules toevoegen neem ik aan

mjtdevries @catfish • 7 maart 2005 12:25

Uiteraard kun je daarvoor zelf rules toevoegen.

Maar ik heb gewoon een paar simpele voorbeelden genomen om het duidelijk te maken.

Ik had natuurlijk alle ins-en-outs en alle details kunnen vermelden, zoals sommige mensen schijnen te willen, maar dan was de post verwarrend geworden voor mensen die dat soort systemen uberhaupt niet kennen.

kimborntobewild @catfish • 15 maart 2005 00:08

Net als met de huidige spamfilters en firewalls is 't een ramp om zélf overal rules te moeten toevoegen. Da's onbeheersbaar en de zaak wordt daardoor totaal ondoorzichtig en chaotisch. De computersystemen beginnen daarmee meer op hersens te lijken... De 'mening' van een PC gaat er toe doen. Da's gewoon een ramp.
De oplossing zou gewoon moeten zijn: software zo ontwerpen dat 't alleen veilig KAN worden gebruikt (zonder -tig rules te moeten instellen (in -tig verschillende programma's) die bij ELK bedrijf weer anders moeten zijn).
Het onderwerp gaat over symptoonbestrijding. Laat men in plaats daarvan maar eens iets aan de OORZAAK doen.

Verwijderd 7 maart 2005 09:54

Ik vrees het ergste. Buffer overflows e.d zijn zo effectief te misbruiken onder Windows door 2 hoofdredenen:

Er zit nog heel veel oude / te snel geschreven code (onder druk van de markt) in Windows ondanks dat MS beweert dat het al een aantal keer opnieuw is herschreven (.....)

Microsoft alleen binaries distrubueerd met als gevolg dat EEN bufferunderun exploit op heel veel computers succsesvol is. Voor elke binairy moet appart de jump vector worden bepaald. Systeem beheerders die de Linux kernel/ services zelf hebben gecompileerd zijn NOOIT vatbaar voor een standaard expoit. Hooguit een crash van het process. De hacker zal specifiek voor die build een exploit moeten bouwen! Zelfs de mensen die binairy builds gebruiken zijn minder kwetsbaar omdat er heel veel verschillende binairy builds zijn van de kernel & services. De kans dat een aanval zo snel succesvol is als onder windows met een 100% markt penetratie van linux is heel veel kleiner.

OSS is superieur aan mono binairy distributie op dit gebied. De natuur heeft dit enkele miljarden jaren geleden al uitgevonden!!

En wat betreft die geautomatiseerde oplossingen: Microsft kiest er dus niet voor om de kern van het probleem op te lossen maar door weer een extra laag op windows to gooien. Hoe meer intelligentie in windows zit hoe meer het tegen je werkt !!

Dreamvoid @Verwijderd • 7 maart 2005 13:41

Uhhh..

..je argumenteeert hier dat user-compiled software beter is dan gedistibueerde binaries. Het al dan niet OSS zijn van die source heeft hier dan niets mee te maken.

Sfynx @Verwijderd • 7 maart 2005 16:14

Die ptrace() exploit voor de Linux kernel van zo'n 2 jaar geleden kon ik anders op iedere kernel met een vulnerable versienummer succesvol uitvoeren, of t nu een standaard Debian binary kernel package was of een zelf gebakken exemplaar op mijn Gentoo bak.

Tijger @Verwijderd • 7 maart 2005 10:12

Oh vandaar dat er bij een bug in PHP ruim 50.000 sites die een bulletin board draaide defaced waren binnen 24 uur, OSS is superieur....

Laat vooral de realiteit je fanboi geblaat niet in de weg zitten.

zenlord @Tijger • 7 maart 2005 10:21

Je hebt wel gelijk als je tegen dergelijk 'fanboy geblaat' ingaat, maar ik dacht niet dat de bug in PHP zat, maar wel in PHPbb oid... Of ben ik daarin mis?

* 786562 zenlord
ONTOPIC: als je die vigilante-software op programma-niveau laat lopen, dan is die software even kwetsbaar dan alle nu gekende AV-software, me dunkt. Het enige fundamentele dat er tegen kan gedaan worden is het OS anders inrichten zodat een extra schil bepaalde processen niet toelaat.

Verwijderd @Tijger • 7 maart 2005 11:02

lezen is moeilijk he!

mono cultuur binaires = vatbaar voor bufferunderuns
differsiteit door zelf te compileren zorgt voor een goede bescherming tegen masale bufferunderun attacks. net zo als biodiffersiteit beschermt tegen ziekte

Onder OSS heb je de keuze om zelf te compileren onder windows NIET !!. Als de systeembeheerders het niet doen is dat hun fout en heeft dat niets met OSS te maken. Microsoft schrijft een monocultuur voor en heeft als gevolg hiervan te maken met heel veel "massive cascading buffer underuns".

Microsoft kan dit niet oplossen omdat ze dan hun business model moeten aanpassen en dat willen ze niet. Als alternatief komen ze nu met dit......... Een stupidere oplossing bestaat niet (50% recources vreten, automatisch patchen zonder dat de systeembeheerder ingrijpt en de patch zet de service waar het om gaat uit) Ik denk dat geen enkel bedrijf een MS server nog will hebben. Ben ik blij dat ik dan geen systeembeheerder ben. Ja U kunt niet meer bij het CRM system omdat microsoft het heeft uitgeschakeld(...) Jammer dat we dan een order van EURO 1.0000 gaan missen(....)

Tijger @Verwijderd • 7 maart 2005 12:50

@kickbill

Lezen is voor jou ook heel moeilijk blijkbaar. Er staat niet dat servers uitgezet worden maar dat een trust relationship verbroken zal worden.
Als dat CRM systeem blijft draaien zonder patches en met een worm die zich blijft verspreiden dan is dat natuurlijk vele malen beter en dat levert uiteraard geen verlies aan productiviteit op....

Oh btw, met zelf compileren bereik je helemaal niets als de software een buffer underrun bug bevat, je hercompileert het dan alleen maar met dezelfde bug er in.

Maar goed, ben je weer blij nu jij je Linux fanboi/anti-MS geblaat weer op tweakers hebt kunnen zetten?

Verwijderd @Verwijderd • 7 maart 2005 12:04

zowel buffer overflows als buffer underruns kunnen gebruikt worden door een worm om zichzelf te installeren. een bufferunderrun bestaalt dus wel degelijk en word ook in zijn post niet op een verkeerde manier gebruikt.

edit @ primal post 2 : google is your friend

Primal @Verwijderd • 7 maart 2005 12:00

.edit

Primal @Verwijderd • 7 maart 2005 12:05

.edit

Verwijderd @Tijger • 7 maart 2005 10:34

Kijk eens hoe lang het duurde voor die bug in PHP opgelost was. En het is maar bij 1 bulletin board, als je een ander board gebruikte had je er geen last van. En die fouten kom je ook tegen in non-OSS.

Maar verder:
Ik zie liever gewone patches van Microsoft dan excuses/programma's om patches te maken uit te stellen, ze kunnen niet zeggen dat ze te weinig geld hebben om die patches te maken. Ook zou het eens mooi zijn als ze hun hele source code eens zouden doorspitten op lekken en fouten.
Maar dit programma wil ik niet eens op mijn systeem, patches wil ik. Tevens zit ik achter een hardwarematige firewall en zou ik niet vatbaar moeten zijn voor wormen, want ik draai geen services die bereikbaar zijn van buitenaf.

sopsop 7 maart 2005 09:50

Worms lokken met een honeypot lijkt mijn niet de manier. Makers van een worm testen uiteraard de functionaliteit van hun worm. Dan komen ze er vanzelf achter hoe die honeypot werkt en hoe ze die kunnen omzeilen. Worms zullen imho dus alleen maar meer stealthy worden en nog moeilijker te detecteren.

Maar ja, of dat een reden is om er maar niets aan te doen is ook weer te kort door de bocht.

Verwijderd @sopsop • 7 maart 2005 09:59

Het blijft een kat en muis spelletje inderdaad. Het honeypot idee is niet nieuw trouwens, http://www.windowsitpro.com/Article/ArticleID/22911/22911.html

GreatDictator @Verwijderd • 7 maart 2005 14:49

Natuurlijk blijft het kat en muis. Maar noem mij een zo'n techniek die dat niet is?

kimborntobewild @GreatDictator • 15 maart 2005 00:22

Hier heb je die techniek:
Je uitgangspunten over veiligheid en redundancy beter uitwerken voordat je er duizend functionaliteiten aan koppelt (die daarna onmisbaar zijn geworden waardoor de onderliggende (OS-)structuur niet meer voor verbetering in aanmerking komt).

enira @sopsop • 7 maart 2005 10:07

Quote van mezelf:

Maar als de worm dan eenmaal tegengehouden word, is het dan niet mogelijk dat er in de worm iets gebouwt word om dan vervolgens naar de locatie terug te sturen van de worm waar het nog niet tegengehouden word?? Omdat je nu dus weet waar ie geblocked word..

Of denk ik te lastig nu?

Daar ben i kdus ook bang voor, er komt echt wel een omzeiling, oid..

luckyjan 7 maart 2005 11:32

Zo MS is er deze keer wel heel snel bij om een goed idee af te kijken en zelf hiervoor software te maken. Jammer voor de jongens van http://www.quarantainenet.nl/

wica 7 maart 2005 09:56

Als MS dus al een honey pot gebruikt.
Waarom vallen ze deze systemen niet aan?
Om ze off-line te halen of te updaten.

Dat zou veel hinder op Internet verhelpen.
En de mensen met zo'n worm/virus op hun computer krijgen het op deze manier te weten.

@KoeNijn:
En systeem dat geïnfecteerd leverd al schade op bij de eigenaar van dat systeem. Dus een computer van het net leverd niet5 meer schade op voor een bedrijf.
En bedrijf moet er voor zorgen dat zijn systemen up to date zijn.

Daar naast leverd een systeem wat geïnfecteerd is, ook nog eens schade op, bij anderen.

Ok, ms is niet de beste om dit te laten doen. Maar ik vind dat dit een mogelijkheid is. Die men moet benutten.
Elk systeem wat van het net gehaalt wordt. Of schoon gemaakt wordt. Kan geen andere computer meer besmetten. Dus geen extra schade.

bartvb

@wica • 7 maart 2005 10:10

Het wordt nog veel leuker als men weet wat de honeypots zijn en dan een worm aanval gaat simuleren zodat het automatisch gegenereerde filter volautomatisch alles op poort 80 weg gaat filteren ofzo

Of alles van msn.com

Kortom, ik vind het nogal linke soep, dit soort autonoom opererende systemen.

WhiteDog @bartvb • 7 maart 2005 10:37

Voor hetzelfde geld gaat deze "intelligente" software alle remote connections blokkeren en kan je zelf niet meer aan je servers

Verwijderd @wica • 7 maart 2005 10:09

Als jij een bedrijfje hebt en een aantal systemen van jou zijn geïnfecteerd en die zou Microsoft dan laten uitzetten? Dan loopt het bedrijfje nogal wat schade op, vooral als het een servertje betreft. Ook maken ze dan misbruik, ze zullen NOOIT aan een systeem mogen komen zonder toestemming. Doen ze dat wel zijn ze hetzelfde als een kwaadaardige hacker.

Verwijderd 8 maart 2005 18:30

Op zich is dit wel goed nieuws. waar voorheen aparte systemen ingezet werden als HoneyPot/ Sandbox en beheerders actief aan de slag moesten om infecties op andere systemen te voorkomen, hebben de end-hosts met deze oplossing de mogelijkheid overige machines meteen van sigitures en filters te voorzien zodat verspreiding automitisch beperkt wordt.
Lijkt me een hele interessante ontwikkeling

kimborntobewild @Verwijderd • 15 maart 2005 00:39

Dit is op zich helemáál geen goed nieuws. Hiermee gaat nl. oorzaakwegneming ten koste van symptoonbestrijding. De energie (en 't geld) gaat zitten in syptoonbestrijding i.p.v. dat de oorzaken worden weggenomen.
Je moet je systeem niet zo bouwen dat ze veldslagen gaan uitvoeren met externe factoren als crackers, viri, exploits, wormen etc.
In plaats daarvan:
Je moet je systeem zo bouwen dat 't voeren van veldslagen niet nodig is. M.a.w: het basisontwerp moet veilig zijn.

Verwijderd 7 maart 2005 11:09

En ik maar denken dat elke Windows-computer een honey pot was. Bedoelt MS nu te zeggen dat ze een hoop lekken hebben gedicht en de belazerde kwaliteit van ooit tegen meerprijs te koop blijft

Verwijderd 7 maart 2005 11:14

Het counteren van specifieke worms/virussen/etc. betekend vaak ook achter de feiten aanlopen: zodra er een aanval gesignaleerd wordt, kan er een patch of virus definitie opgesteld worden.

Het monitoren van gedrag van software is dan ook een effectievere methode, die ook bij nog te schrijven virussen e.d. effectief kan zijn: er zijn immers patronen te herkennen welke je dynamisch tegen kunt gaan zodra daar noodzaak voor is. Zo viel de Slammer worm op door excessief dataverkeer, dit is te ontdekken door honeypots. M.i. is Microsoft op de goede weg door bedreigingen die uit een systeem komen (met bijbehorende snelheid) ook door een systeem te laten counteren: met mensen als tussenschakel is de response-tijd te hoog.

Daventry @enira • 7 maart 2005 09:48

Er is niet zoiets als bugvrije software. Trouwens, het aantal bugs in Microsoft software valt al bij al best mee - de reden waarom er zoveel exploits worden geschreven is gewoon omdat 99% van de mensen het gebruikt.

Waar jouw statement over die anti-spyware vandaan komt weet ik niet, maar zowel in mijn omgeving als op bvb GoT hoor ik niets dan lof over het programma - dus het werkt wel degelijk (en zeker voor een beta-versie).

Mooi dat Microsoft tenminste probeert iets te doen aan een van de grootste problemen die we deze dagen hebben met computers. Dergelijke wormen kosten het bedrijfsleven ettelijke miljoenen.

kimborntobewild @Daventry • 15 maart 2005 00:18

Aantal bugs in MS software valt best mee??? Hehehehe da's wel één van de meest onlogische opmerkingen die ik de laatste jaren gehoord heb.
De reden dat er zoveel exploits worden geschreven is omdat 't OS niet deugt.
Je hebt 't over symtonen (99% van de mensen die lekken gebruiken). In plaats daar van zouden de oorzaken moeten worden weggenomen.
De antispyware van MS: is natuurlijk weer een leuk tooltje om concurrenten om zeep te helpen (zoals startpagina.nl, die wordt omschreven door MS als onbetrouwbaar bedrijf (althans iets in die geest)). Onderhuids zitten er wel meer van die gemene zaken in, hoor... En ook al werkt die software prima... Het is en blijft weer onnozele symptoonbestrijding. Bij MS vergeten ze naar de oorzaken te kijken.
"Mooi dat MS...etc": Wederom... Laat ze eerst maar eens de oorzaken aanpakken ipv symtoonbestrijders opkopen en aanpassen.

enira 7 maart 2005 09:37

crap, deze mag weg

edit: mjtdevries, check reactie van mij hieronder...

mjtdevries @enira • 7 maart 2005 09:41

Ja, laat MS vooral niets meer ontwikkelen, en niet meer doen om de veiligheid te bevorderen. Want er zit wellicht wel een bug in hun software....

Je commentaar is wel erg makkelijk...
Vooral omdat je nog totaal niet weet hoe de tool werkt.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (39)

Sorteer op:

Weergave: