Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties

Twee maanden geleden is Microsoft begonnen met een project, codenaam Strider HoneyMonkey, om in een vroeg stadium veiligheidslekken en daarvoor geschreven exploits te detecteren. Hierover is nu een gedetailleerd rapport verschenen dat uitgebreid ingaat op de gebruikte technieken om de exploits te ontdekken. De onderzochte veiligheidslekken waren de lekken die uitgebuit worden om met minimale tussenkomst van de gebruiker spyware te installeren op de computers. De eerste maand dat het project on-line kwam, zijn er 752 urls gevonden die doorverwezen naar websites die spyware wisten te installeren op een ongepatchte Windows XP machine. Begin juli werd een exploit ontdekt die een volledig gepatchte machine wist te infecteren met ongewenste software.

* Projectopzet

Spyware & Adware (kleiner)Als systeemopzet werden er computers geinstalleerd met Microsoft Virtual PC en een image van verschillende Windows XP-installaties, die ten opzichte van elkaar een toenemende hoeveelheid toegepaste veiligheidspatches hadden. Om naar lekken te zoeken hebben de onderzoekers een stappenplan ontwikkeld om het vinden en volgen van de juiste websites eenvoudig en efficiŽnt te maken. Als eerste moesten de computers een startpunt hebben. Hiervoor werd binnen een zoekmachine gezocht op varianten van het hosts-bestand van Windows XP die gebruikt worden om reclame- en spywaresites te blokkeren. Dit, samen met een lijst van al bekende kwaadwillende sites, werden ingevoerd in de zogenaamde 'monkey'-software. Deze software gedraagt zich als een gewone, surfende gebruiker die de lijst met websites langsgaat en op hyperlinks binnen de sites klikt. Spywarepagina's zijn vaak zo opgebouwd dat een browser doorgestuurd wordt naar andere sites die eveneens kwaadaardige stukken code bevatten, om op die manier zo veel mogelijk verschillende lekken te proberen uit te buiten. Door de browsers mee te laten voeren met deze doorstuurtechnieken, kunnen de onderzoekers de VM's blootstellen aan zoveel mogelijk lekken.

Om de aanvallen te detecteren hebben de onderzoekers gebruik gemaakt van de 'black box'-aanpak, waarbij een monitorprogramma het register en harde schijfactiviteit in de gaten houdt. Zodra er een verandering wordt gedetecteerd, wordt dit gerapporteerd en gemarkeerd als potentiŽle exploit. De gevonden informatie wordt doorgespeeld aan een volgende virtual machine met een beter gepatchte versie van Windows XP, die dan controleert of het lek nog steeds aanwezig is. Is dit het geval, wordt de URL doorgegeven aan een nog beter systeem. De originele VM-sessie wordt vernietigd om daarna met een nieuwe, schone installatie de rest van de URLs af te gaan. Als de best beveiligde installatie ook kwetsbaar is voor de exploit, wordt het onderzoeksteam ingeschakeld.

* Resultaten

Na een maand surfen werden de resultaten geŽvalueerd. In onderstaande tabel staan deze gesorteerd per VM.

Type installatieExploit URLs
Ingevoerd752
Windows XP SP1 (Ongepatched)688
Windows XP SP2 (Ongepatched)204
Windows XP SP2 (Gedeeltelijk gepatched)17
Windows XP SP2 (Volledig gepatched)0

Volgens de onderzoekers is de meest logische conclusie die direct uit de resultaten kan worden getrokken het feit dat een computer die niet up to date is onnodig veel te duchten heeft van spyware. De volledig gepatchte SP2-installatie had in de eerste maand geen last van de aanvallen die via de webbrowser werden uitgevoerd. Analyse van de doorstuurpaden van de URLs wijst uit dat, hoewel er aardig wat grote spywarehosts zijn, deze verdeeld zijn onder enkele individuen die vaak sites over de hele wereld bezitten. Als lokkertje voor de websites wordt het meest pornografie gebruikt. Het gebeurt ook nogal eens dat ontwikkelaars van antispywaresoftware zelf exploits gebruiken om surfers te overtuigen van het nut van hun tools. Een andere methode waarmee gebruikers in contact kunnen komen is door middel van zoekmachines. Op het moment van het opstellen van het rapport, presenteerden Google en Yahoo respectievelijk 13.6% en 13.3% van de onderzochte URLs in hun zoekresultaten. MSN Search bevatte maar 6.5% van de oorspronkelijk ingevoerde lijst, maar ook deze URLs zijn uit het cache gehaald zodat MSN Search geen hits meer gaf.

* Vooruitzichten

Microsoft is van plan de machines in de lucht te houden om door te gaan met het detecteren van lekken. Op basis van de statistieken die gegenereerd worden, bepalen de ontwikkelaars hoe dringend het patchen van een bepaald lek is. Daarnaast worden de bevindingen doorgespeeld aan het juridische departement om te onderzoeken of de websites in kwestie in overtreding zijn en het aanspannen van rechtzaken gewenst is. Ook zoekmachines worden onder de loep genomen; de websites die de meeste hits krijgen worden onderzocht op spyware om te kunnen verzekeren dat de populaire sites geen schadelijke code bevatten. De lijst met exploitsites zal verder worden uitgebreid met links die met spam- en phishing-e-mails meekomen. Tot slot willen de onderzoekers het aantal netwerken met HoneyMonkeys laten toenemen en verspreiden over de wereld, zodat spywaresites de netwerken niet kunnen blokkeren.

Spyware illustratie

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (33)

Begin juli werd een exploit ontdekt die een volledig gepatchte machine wist te infecteren met ongewenste software.
En vervolgens staat er in het tabelletje een 0 bij infecties van een geheel gepachte machine. Volgens mij klopt er iets niet. :?
De tabel gaat pas over de eerste maand dat het project actief was (eind mei tot eind juni). De zero-day exploit werd aan het begin van juli ontdekt en hoefde daarom net niet in de tabel. ;)

Ik weet niet of hier wat aan geknutseld is, want het staat natuurlijk wel goed als je best gepatchte besturingsysteem geen gevaar op spyware loopt.
Misschien was die exploit op geen enkele pagina aanwezig? Ze hebben immers maar een select aantal pagina's getest.
omdat ze daar nu een patch voor hebben uitgebracht ?
Hebben ze ook een aapje dat met Firefox wekt ipv IE?
Ben wel benieuwd of er dan net zoveel doorkomt.
Toen Microsoft de antispywaretool uitbracht werd startpagina.nl ook als een schadelijke site gezien.
Het trekken van een conclusie of een site schadelijk is of niet is niet aan Microsoft te bepalen maar aan de software welke ze zelf leveren.
IPV de koe bij de horens te pakken en hun eigen spullen te beveiligen spannen ze rechtszaken aan tegen bepaalde sites waarvan ze verdenken van het infecteren van pc's met spyware.

Ik zou bijvoorbeeld onder windows graag de optie willen zien zoals in Linux.
Als er wat geinstalleerd moet worden eerst het wachtwoord invoeren alvorens je verder kan gaan.
Ongeacht of je ingelogt bent als poweruser of niet.
Hiermee word al een heel groot deel van de installatie van schadelijke software teruggedrongen.
denk je ? Het boeit mensen niet volgens mij, ze willen een tooltje of ander prulletje hebben op hun computer, installeren die evtueel met wachtwoord en het feest kan weer beginnen.
waarom zou je nog een w8woord moeten invoeren als je admin-rechten hebt? Dat lijkt mij totaal overbodig omdat je als admin geacht wordt te weten wat je doet.

dat gebruikers standaard admin worden in windows xp is volgens mij een veel groter gevaar.
dit is niet het probleem oplossen maar aan symptoombestreiding doen. Je hebt er geen kont aan want bij een nieuw expoit kan je weer van voren af aan beginnen.

Start eens met een internetbrower ZONDER activex en andere veligeheids gaten ipv constant achter de feiten aan te lopen
IE is er nou eenmaal en daar moet ook microsoft het mee doen. Ze kunnen niet zomaar een hele browser de deur uit doen, er zijn veel afhankelijken, ook met ander software. Als ze die informatie goed gebruiken dan kunnen ze op die manier snel lekken vinden in de software en deze patchen. Dat lijkt me alleen maar positief voor de kwaliteit van de browser.
Iedere mens maakt fouten en er bestaat geen bugloze software. Veiligheidslekken worden vaak pas ontdekt zodra de software actief en intensief wordt gebruikt.

Afgezien van standaard bughunten, kan een ontwikkelaar niets anders doen dan afwachten totdat gaten worden gevonde, Úf door een eigen devteam, Úf door anderen.
het gaat hier om spyware die zichzelf installeerd, activex kan dit niet meer sinds sp2...
dit project kijkt dus eigenlijk enkel of de kwaadwilligen lekken gevonden hebben zodat MS ze kan patchen
het duurde ff maar de MS-bashers zijn er weer (Vaudtje en Belial_666).

1. MS heeft nix met firefox te maken dus moeten ze ook niet op zoek gaan naar bugs of exploits die daarmee te maken hebben, dat is de taak van de makers van firefox.
2. het is niet de bedoeling om alles uit te schakelen wat een potentieel gevaar is binnen een browser, maar juist te zien wat het gevaar is en daarop te anticiperen.
3. Natuurlijk doen ze aan symptoombestrijding, maar dit is niet het enige wat ze doen. Als er een bug gevonden is wordt die onderzocht en opgelost. Het is onmogelijk om al die code na te kijken en te zien waar er theoretisch een fout kan zijn.
Ik hoop toch niet op te vallen als Microsoft basher. Volgens mij hoor ik wel vaker van clubs die kijken wat er gebeurt als je een niet of half gepatchte bak aan het internet hangt.
Ik vind het daadwerkelijk interessant om een vergelijking te maken tussen twee bekende browsers.
Zeker nu Firefox een serieus stukje van de markt in handen begint te krijgen, denk ik dat er ook wel exploits voor Firefox te voorschijn zullen komen. Dan is het leuk om te weten of dat dezelfde of andere rare dingen zijn.
Om dan nu toch maar nog even olie op het vuur te gooien: Ik verwacht inderdaad niet direct dat Microsoft een persbericht de deur uitdoet: "Onze HoneyMonkey loopt veel minder virussen en spyware op als hij met Opera surft". Maar ik hoop dat ze het intern stiekum wel uitproberen en er wat van leren.
Ik lees nergens of ze nou ook de als gevaarlijk gemarkeerde URL's doorspelen aan de genoemde zoekmachines, zodat deze ze kunnen verwijderen uit de index.
Bovendien lijkt het me ook wel een idee om hun eigen antispyware tool actief deze sites te laten blokkeren.
De techniek heeft in ieder geval nog een hoop mogelijkheden.
Nja neen ik heb het zo niet voor MS die bepaalt welke sites goed en niet goed zijn.
Het is niet zo intressant dat een commerciŽle organisatie bepaalt wat kan en wat niet kan.

Want vanaf wanneer spreek je van spyware of mallware ? Als iemand klikt op 'click here for free sex' en bereid is er massas rommel bij te nemen is dat een keuze dat MS niet moet maken.

Er zou een onafhankelijke organisatie moeten zijn die bijhoudt welke sites wat doen. Anders krijg je scenarios ŗ la Microsoft AntiSpyware die gewone portaalsites blokeert en aangeeft als spyware. (in het verleden al gebeurd)
Anders krijg je scenarios ŗ la Microsoft AntiSpyware die gewone portaalsites blokeert en aangeeft als spyware. (in het verleden al gebeurd)
Gelukkig is die software niet beta. Lekker makkelijk om over BETA software heen te vallen en te gaan zeiken?

Ben blij dat andere beta software nog nooit rare kuren heeft getoont of bepaalde (onterechte) zaken heeft uitgevoerd.
Boeiend, gewoon niet naar porno browsen dus ;)
Het zou me niets verbazen als ze wel een mailtje hebben gestuurd naar google/yahoo.

Alleen, ik vind het toch een beetje raar, het lijkt mij niet de taak van een zoekmachine websites te blokkeren, ook niet als zij verwijzingen hebben naar schadelijke code. Het is de taak van windows om die code te blokkerne en niet zo'n ontiegelijk slappe browser in elkaar te zetten.
Nog beter : De sites uit de lucht laten halen :)
Hmm,
't is een interessante manier van microsoft om het spyware probleem op te lossen.. maar ben ik de enige die dit geen volledig juiste gedachtengang vindt?
Hier wordt gespeurd naar beveiligingslekken in windows software door het web af te speuren naar programma's die een lek gebruiken dat MS zelf nog niet kent?
Het heeft wel ťťn voordeel: "outsourcing" van het vissen achter lekken, dat doen de hackertjes immers, maar het onmenselijke nadeel is dat er vele minder controle is..
Ze mogen zeker niet vergeten van ook zelf achter lekken te speuren, en hun software intrinsiek veiliger te maken.
heheh... nee hoor, je bent niet de enige.
Dit riekt overigens naar censuur, wat microsoft doet.
Maar het is in ieder geval goed dat microsoft met beveiliging bezig is.

-R-
Dit zijn handige en nuttige onderzoeken. Zo word Spyware aan gepakt EN blijft de consument zo goed als schoon van deze "kwaad willende" sites.

Micosoft is goed bezig op gebied van beveiliging.

Maar als kantteking:
Het is en blijft software dus er zullen altijd wel lekken te vinden zijn ongeacht wel OS of software pakket
Interessant als ze het eens zouden testen met andere webbrowsers.
Dit is gewoon een Honeypot voor ActiveX objecten als ik het goed begrijp.
Op het moment van het opstellen van het rapport, presenteerden Google en Yahoo respectievelijk 13.6% en 13.3% van de onderzochte URLs in hun zoekresultate
In een ander bericht stond dat Yahoo meer geindexeerde pagina's had dan Google. Google betwijfelde dat en hierbij wordt een deel van dat bewijs geleverd :)
http://www.tweakers.net/nieuws/38418
Ik denk dat eenieder die gelooft dat perfecte software bestaat (en weet wat programmeren is) zichzelf schomelijk overschat. Fouten worden gemaakt, perfecte software bestaat simpelweg niet. Het voorspelbare, immer verzuurde commentaar wat ik hier steevast aantref begint me wat dat betreft ook behoorlijk de keel uit te hangen. Please als je niets te melden hebt dan schelden op MS, reageer dan eens gewoon niet, misschien jagen jullie dan wat minder bezoekers weg.
Persoonlijk ben ik van mening dat de HoneyMonkey aanpak van Ms waarschijnlijk DE enige op termijn werkende aanpak is, onafhankelijk van wat je ermee wilt beschermen. Dat ze de gevonden sites verwijderen uit MSN is voor mij wel degelijk reden om gebruik van deze zoekmachine te overwegen en lijkt me een gepaste straf voor overtreders.
Ik las toch zeker 3x Horneymonkey....tijd voor koffie & een vriendin. :Y)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True