Beveiligingsproducten worden zelf steeds vaker doelwit

De Yankee Group heeft een alarmerende trend gesignaleerd: steeds vaker zijn beveiligingsprogramma’s het doelwit van aanvallen. Een analyse heeft uitgewezen dat kwaadwillenden zich de laatste tijd meer richten op beveiligingsproducten van bekende fabrikanten dan op besturingssystemen. In de vijftien maanden voor maart dit jaar werden er zevenenzeventig kwetsbaarheden gemeld in beveiligingsproducten. In de laatste twaalf maanden was er een relatieve groei te zien in lekken in deze softwaresector: in verhouding werden er meer fouten ontdekt in beveiligingsproducten dan in Microsoft-producten. Als deze trend zich doorzet in 2005, dan zullen er dit jaar vijftig procent meer fouten worden ontdekt in dit soort software dan vorig jaar.

Virus / worm / veiligheidslek / security / hackers (klein) Tot nu toe is er maar een grote exploit geweest die gebruikmaakte van kwetsbare plekken in deze software. De Witty-worm infecteerde alle pc’s die hij tegenkwam waarop een bepaald programma was geïnstalleerd. De fabrikant van het aangevallen product heeft inmiddels de veiligheid van zijn producten verbeterd, andere fabrikanten hebben hier echter nog weinig van opgestoken. De Yankee Group benadrukt dat het voor de softwarefabrikanten tijd is om hun beveiligingsproducten in orde te maken, zodat consumenten geen extra risico lopen wanneer zij programma’s gebruiken die eigenlijk voor bescherming zouden moeten zorgen.

Reacties (32)

Sagi 22 juni 2005 11:30

volgens Symantec infecteerd de genoemde witty worm ISS producten en dan specifiek die producten die ICQ parsen.

meer informatie:
http://securityresponse.symantec.com/avcenter/venc/data/w32.witty.worm .html
http://www.lurhq.com/witty.html
http://xforce.iss.net/xforce/alerts/id/166

Verwijderd @Sagi • 22 juni 2005 11:42

Wat is dan beveiligingstechnisch het verschil tussen ICQ en MSN of Yahoo! ftm, want beiden maken gebruiken van specifieke poorten en pakketjes data. Kan je ISS product dan ook misbruikt worden via MSN? MSN Messenger staat nou niet bepaald bekend om zijn beveiliging, zoals eerdere nieuwsposts op Tweakers laten zien.

jesse282 22 juni 2005 11:40

Ik hoop dat er keer een super worm komt waar virus beveiliging niet tegen op kan. Dan worden de fabrikanten eindelijk gedwongen om met producten te komen die inherent veilig zijn.

Een java programma heeft bijvoorbeeld geen last van een buffer overrun. Zo zijn voor de andere type exploits ook oplossingen te vinden alleen

Het wordt tijd dat microsoft,amd,intel en anders is samen gaan zorgen dat je gewoon veilig een executable,vb,een screensaver en meer kan starten van uit een e-mail. Dan hoef je ze ook niet tegen te houden. Als mensen geen attachment nodig hadden dan waren deze al lang verdwenen. Een standaard applicatie als word,exel,inet explorer, adobe en meer hebben geen ver gaande rechten nodig om gewoon te kunnen werken.

Dreamvoid @jesse282 • 22 juni 2005 11:50

Dat is een utopie: inherent veilig bestaat niet. Alle functionaliteit is direct een veiligheidsrisico.

Edit - ter illustratie: Google maar eens even op "java security flaw" - vertrouw er alsjeblieft niet op dat Java perfect secure is.

SuperNull @jesse282 • 22 juni 2005 12:34

Java is veilig maar traag vanwege de manier waarop dat werkt (java VM). Het is daarom lang niet voor alles geschikt.

Hardware fabrikanten hebben op zich niets met veiligheid te maken (de NX flag is leuk, maar wat wel en niet mag dient in princiepe altijd door het OS bepaald te worden).

Als je een veilig systeem wil, wil je dat programma's vooral niet te veel met elkaar geintergreerd zijn en vooral niet meer mogen dan nodig.
Een email programma dient alleen mail te kunnen verzenden, ontvangen en wegschrijven. Het moet niet naar andere programma's kunnen schrijven (ook niet naar zichzelf, dus je zult em handmatig moeten updaten).
Dingen kunnen doen die niets met mail te maken hebben zoals programma's of screensavers starten is uit den boze.

Je kan kiezen uit geintergeerde, gebruiksvriendelijke, multimedia escapade, die inherent onveilig is, of een robuust minder gebruiksvriedelijk systeem, waarbij de gebruiker zelf moet snappen wat hij doet.

Als je dat laatste wil, raad ik Linux aan.
Als je alles vanuit je email met 1 klik wil kunnen starten, en boos bent over virussen, kan je net zo goed klagen dat je ziek bent geworden na het eten uit een vuilcontainer.

mjtdevries @SuperNull • 22 juni 2005 13:04

Java kun je ook snel maken, door het niet door geen just in time compiler te maken, maar de zaak gewoon van tevoren de compileren, net zoals bij C code.

IBM heeft zo'n compiler ooit gemaakt. Het idee was dan "write once, compile anywhyere".

Ik weet niet wat er van is geworden (en de executables werden wel erg groot) maar het was zeer snel. EN nog steeds veilig!

Jesse draagt een heel goed punt aan. Buffer overruns zijn een gigantisch groot probleem en prima te voorkomen.
Ze hebben echter geen zak te maken met programma's die wel of niet geintegreerd zijn, of een multimedia escapade etc.

Alleen de bijkomstigheid van al die geintegreerde programma's is dat het gevolg van een lek gebaseerd op een buffer overrun veel groter is dan bij bv linux.

Maar als je dat gevolg echt wilt aanpakken dan moet je dus bij de bron beginnen en dat zijn dus de buffer overruns.
Anders ben je met symptoon bestrijding bezig.

SuperNull @mjtdevries • 23 juni 2005 03:24

In mijn ogen is het juist symtoombestrijding als je er afhankelijk van bent of je userapps lekker hebben of niet.
Ook al is een programma exploiteerbaar, als de OS rights magement goed staat, is er alsnog weinig aan de hand.
Grappig dat jij dat andersom ziet.

Hoe meer dingen geintergeerd zijn, hoe meer kans dat een lek grotere gevolgen heeft.
Hoe meer onnodige multimedia hoe meer kans op fouten en lekken.

Verwijderd @jesse282 • 22 juni 2005 13:40

Dat kan natuurlijk nooit. Er bestaande tenslotte heel veel executables die GEWENST bestanden verwijderen of wijzigen of gegevens versturen. Wat jij eist van microsoft,amd,intel is een computer die de gedachten van de gebruiker kan lezen. Je eist zelfs nog meer. Want de gebruiker heeft vaak geen idee of bestand X wel gewijzigd moet worden.

Conzales 23 juni 2005 00:16

Tja, je kan tegewoordig niet meer zonder allerlei beschermende software (wel mogelijk maar nauwelijks, tenzij je met een fluwelen handschoen je computer gebruikt aan het net).

Je kan je afvragen in hoeverre die aanvallen op beveiligingssoftware; antivirus, anti-spyware etc. wordt geschreven door mensen die dat voor de lol doen. Er moet echt een reden voor zijn om zoiets te doen, omdat er toch behoorlijke straffen op staan. Zeker in Amerika. Als je daar een grote bedrijfsketen lamlegt moet je zeker 10 tot 20 zitten. Daarmee wil ik zeggen dat het soms lijkt alsof de bedrijven die deze software ontwikkelen zelf meehelpen aan het ontwikkelen van de bedreigingen en het opsporen van de gaten in systemen. Deze wereld is nou eenmaal big business! Ook vind ik soms wel dat de updates erg snel komen. Oh er is een nieuwe worm of ander virus. En hoppa een halve week of een week later is er een update tegen het lek. Ik bedoel, beetje toevallig en snel dan... Tis natuurlijk speculatie, maar ga zelf maar na.

Een goede hacker/cracker (wat je wilt) gaat niet op z'n zolderkamertje een lek opsporen, hier een virus voor maken en dan grote bedrijven lastig vallen. Deze mensen, zeker goede hackers, zijn daar te intelligent voor en zullen nooit in het wildeweg schade gaan toebrengen. Daar heb je dus gestoorde mensen voor nodig. Gezien het groeiende aantal online bedrijgingen zet ik dus mijn vraagtekens bij dit soort software...

Verwijderd 22 juni 2005 11:41

Je zou zeggen dat het dan beter is geen AV software te hebben...
Tenminste als je 'met' de software meer kans hebt op een virus.

3dfx @Verwijderd • 22 juni 2005 12:01

Zeker als je continu ingelogd moet zijn als administrator omdat je anders geen updates voor je antivirusprog kunt installeren, loop je idd nog meer risico.

Zie bijv. Norton AV,

Een gebruiker kan vanwege de beveiligingsbeperkingen in Windows NT/2000/XP LiveUpdate niet uitvoeren. Om LiveUpdate uit te kunnen voeren moet u ingelogd zijn als Beheerder of onderdeel zijn van de groep Beheerders.

bron: http://service1.symantec.com/SUPPORT/INTER/sharedtechintl.nsf/8afb95bd e732827a852567350055c8fd/70c54d00bf97d1cfc1256a150054f3ed?OpenDocument

Sfynx @3dfx • 22 juni 2005 14:59

Ik vraag me af of ze dat nou expres doen, want bij hun bedrijvenversie (Symantec Corporate AntiVirus) kan dat wel gewoon... vanaf iedere gebruiker inloggen op de AV server om een LiveUpdate te doen is dan gewoon mogelijk (deze AV server draait dan alleen als admin).

Mastakilla @Sfynx • 22 juni 2005 18:50

snelkoppelingetje maken met runas?

locke960 @Verwijderd • 22 juni 2005 20:52

In het geval van Mcafee Antivirus is dat dus ook zo.

Die software werkt alleen als je Internet Explorer beveiligings instellingen, voor zowel je internet zone als je lokale zone, op medium of lager hebt staan. Vooral in verband met allerlei Active-X zooi.
Misschien dat er nog wat te tweaken valt, maar de details van de vereisten verteld Mcafee je niet..
Ook wordt je niet verteld welke servers op het internet gebruikt worden, zodat je die in je trusted sites zou kunnen zetten.

Dit is gewoon belachelijk voor een produkt dat je PC dient te beveiligen.

Als je je Pc beveiligen namelijk echt belangrijk vind, zet je al je IE security settings op maximaal, behalve voor Trusted sites, die zet je op medium. Dan voeg je de windowsupdate sites toe aan de trusted site list en vervolgens ga je mozilla gebruiken

SirBlade 22 juni 2005 11:31

Voor meer info de Witty-worm:

http://securityresponse.symantec.com/avcenter/venc/data/w32.witty.worm .html

/edit:dubbelpost

Verwijderd 22 juni 2005 11:36

Het is een slechte zaak ja, maar aan de andere kant ook een goede kant.

Op deze manier blijven er updates uitkomen voor producten. Zo blijft dat proces in werking. Niet dat beveiligingsbedrijven dan zeggen: Het werkt al goed, dus waarom regelmatig updaten?

Zie het als ons imuunsysteem. We hebben anti-stoffen in ons lichaam. Het is juist beter voor iemand als ie om de zoveel tijd een keertje ziek wordt dan dat ie NOOIT ziek wordt. Op die manier worden er meer anti stoffen aangemaakt, wat je kunt zien als updaten.

Vyo @Verwijderd • 22 juni 2005 11:41

right. eerlijk gezegd heb ik dan liever dat m'n pc 2 dagen niet werkt met de melding ZIEK op het beeldscherm dan dat ik al m'n files etc kwijt ben en weer opnieuw mag installen

(back-ups zijn leuk maar niet met grote hoeveelheden data en kleine budgetten)

psyBSD @Vyo • 22 juni 2005 11:56

Das een idee, een build-in AI virus-scanner. Disabled de UI als hij het virus eruit probeert te halen

.

Als je x daemons hebt draaien die die taak voor hun rekening nemen heb je hetzelfde idee als de witte bloed-lichaampies die jij en ik hebben.

Verwijderd @Verwijderd • 22 juni 2005 11:45

Mij lijkt het beter om nooit ziek te worden.
Want nooit betekent namelijk nooit.

Maar je hebt gelijk. Ik ben ook altijd blij als ik in de krant lees dat er in een huis is ingebroken. Dan ontwikkelen de fabrikanten tenminste weer nieuwe sloten, zodat er dan niet meer ingebroken kan worden.
Wat dan weer jammer is, want dan stoppen de fabrikanten met nieuwe sloten ontwikkelen ...

Verwijderd @Verwijderd • 22 juni 2005 12:30

Keitosha,

Jouw redenering klopt niet. Als je nooit ziek wordt heb je geen imuumsysteem nodig.

Dus analoog, als systemen nooit gehacked worden, dan hoeven we die updates niet, geen beveiligingssoftware en de sloten met geld die we eraan moeten besteden.

Wat jij bedoeld is uiteraard (corrigeer mij indien ik het fout heb) dat het waarschijnlijk wel tenminste 1 keer voorkomt dat je ziek wordt en is het belangrijk om voorbereid te zijn.

Wat mij wel opvalt in het artikel is dat de beveiligingssoftware beter beveiligd wordt, hoe doe je dat?

beter nog geef mij dat stuk software die die beter beveiliging regelt....

Gr. Marc

Iblies 22 juni 2005 11:40

Een analyse heeft uitgewezen dat kwaadwillenden zich de laatste tijd meer richten op beveiligingsproducten van bekende fabrikanten dan op besturingssystemen.

Is toch logisch, steeds vaker is keylogging of het gebruik van andermans systeem voor dosattacks of anoniem surfen het doel om andermans systeem te infecteren,
niet zoals vroeger het systeem plat te leggen door de harde schijf te formateren. Enigste die daar iets tegen kan doen is antivirus software en ad-spyware. Dat uitschakelen is een pre, windows zelf is niet zo belangrijk, in de standaard admin account draait deze toch alles, en een programma van een paar kb heb je zo gedownload en zo geinstalleerd.

bonus 22 juni 2005 11:54

Is toch heel logische dat dat gebeurd. Zie het als een slot op je deur van je huis. Om binnen te komen zul je eerst het slot moet en openmaken. Sloten / in braak preventie worden ook steeds beter, dus wil je binnen komen is dat je eerste wat je zult moeten omzeilen. In dit geval de viruskiller / firewall . Zolang die in de weg zit kom je er niet, tenzij je een backdoor ( Of een window(s)

) hebt en die worden ook steeds beveiligd.

maxxware @bonus • 22 juni 2005 11:55

Het probleem is alleen dat de beveiliging in het OS moet zitten en niet in de programmatuur erom heen....

dmantione 22 juni 2005 12:27

De Yankee Group schrijft zwaar aangevochten rapporten. Zoek maar eens op Google hoe omstreden ze zijn.

Cartman!

@dmantione • 22 juni 2005 13:14

Zij waren ook degenen die beweren dat Windows goedkoper is dan Linux. Heb t even doorgelezen maar sorry hoor....wat een onzin stond daarin

Pater 22 juni 2005 12:34

Als ik het zo lees, gedragen deze virussen zich als AIDS-achtig virus, die het auto-immuun systeem uitschakelen, zodat de gastheer gevoellig raakt voor andere virussen.

Een redelijke enge ontwikkeling lijkt mij.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (32)

Sorteer op:

Weergave: