Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties
Bron: McAfee (pdf)

In het nieuwe magazine over veiligheidszaken Sage meldt McAfee dat malwareschrijvers in toenemende mate ontwikkelingsmethoden baseren op opensourcemodellen. Meer en meer auteurs van programmeercode met snode bedoelingen zouden hun materiaal en ideeŽn delen met de rest van de malwaregemeenschap. Het gaat daarbij om broncodes, gebruikershandleidingen en aantekeningen om het materiaal optimaal te benutten. Als voorbeeld wordt het W32/Mydoom-virus aangehaald, dat vanwege de beschikbaarheid van zijn broncode inmiddels honderden varianten kent. McAfee meldt vooral huiverig te zijn voor virusschrijvers die betrokken zijn bij de georganiseerde misdaad, aangezien financieel gewin nog steeds de belangrijkste motivatiebron zou zijn voor de doorontwikkeling van malware.

Via online communities als Hacker Defender en irc-netwerken zouden de malwareschrijvers informatie uitwisselen met gelijkgestemde geesten. Zo zouden bŤta's van nieuwe malware in groepsverband getest worden en zou er onderling gerapporteerd worden over bugs. Wanneer de kwaadaardige code eenmaal is losgelaten op de wereld, dan zouden de verantwoordelijke auteurs zich opwerpen als betaalde consultants om bijvoorbeeld getroffen bedrijven bij te staan. Volgens McAfee bewijst het succes van deze aanpak dat de opensourcemethodiek zeker effectief is, maar dat het eveneens aantoont dat goede ideeŽn ook gebruikt kunnen worden voor slechte doeleinden.

'MyDoom-logo'
Moderatie-faq Wijzig weergave

Reacties (48)

Dus omdat een aantal mensen / groepen samen werken en sourcecode en informatie uitwisselen is dat gelijk een "open-source" mechanisme :?

Zo gaat het in een bedrijf ook. Dit is gewoon bedrijfsmatig georganiseerde criminaliteit en heeft weinig met het idee van "open-source" van doen.

"Volgens Locke bewijst het succes van deze aanpak dat commercieel denken zeker effectief is, maar dat het eveneens aantoont dat goede ideeŽn ook gebruikt kunnen worden voor slechte doeleinden."
Inderdaad, en bij het verspreiden van de 'software' krijg je de broncode er niet bij! ;)
Hier wordt code geshared tussen personen/bedrijven. Het lijkt dus inderdaad wel op opensource.

Eigenlijk bewijst dit gewoon dat open source software ontwikkeling een heel goed model is. Iedereen draagt een steentje bij en iedereen profiteert van de bijdrage van de anderen. Ze zijn daar gewoon slim genoeg om dat door te hebben.
"Sharing is Caring."

Maar goed het kan dus ook positief werken voor anti-virus makers, want zo worden die virussen beter begrepen en kunnen ze makkelijker onschadelijk gemaakt worden ipv disassembleren en/of reverse engineren..
op zich heb je gelijk. Het zal wel helpen bij het maken van signatures, maar ik vermoed dat het voor de virusschrijvers toch een groter voordeel biedt:
-ze hoeven wielen niet tweemaal uit te vinden; code hergebruiken!
-ze kunnen principes gebruiken zonder letterlijk te gaan copy-pasten, juist om antivirusmakers te slim af te zijn
-ze worden bijgestaan in hun strijd door x aantal scriptkiddies; zij baseren zich al helemaal op "gevonden" code. Daardoor krijgen AV*bedrijven meer werk, en worden de "echte" aanvallen misschien minder snel opgemerkt of verholpen

btw in een of andere c't waren ze AV's 'n keer aan het testen met Melissa was het geloof ik. Toen waren heel wat Av's van slag te brengen door andere namen te keizen voor de variabelen, comments te wijzigen en statements anders te formuleren (constanten vervangen door variabelen bijv). Dus dat belooft ;)
Mooi man, GPL virussen. Wordt de maker verplicht de broncode mee te leveren aan zn slachtoffer :)
Als een virus onder GPL word uitgebracht, en iemand maakt er een antivirus-product voor, dan moet dat product toch ook GPL worden? Dat zou leuk gaan worden, mcafee en dergelijken die of hun inkomstenbron moeten gaan weggeven (theoretisch niet maar in de praktijk wel) of een incompleet product moeten gaan leveren met alle gevolgen van dien.
Nee, de anti virus hoeft geen GPL te worden,

De antivir hoeft alleen toch alleen de bestanden te vinden en te verwijderen? zolang er geen code uit het virus in het programma opgenomen worden, Of er dll's van het virus in de antivir worden gekoppeld staan ze volledig los van elkaar.

Als de virus maker wil dat de anti virus bedrijfen zich aan de GPL houden, dan kan hij toch ook gewoon een licentie bij z'n virus leveren waarin hij zegt dat je het niet mag verwijderen?

Besides that, bijna alle virussen worden geverse engineered, wat eigenlijk ook niet legaal is.
Besides that, bijna alle virussen worden geverse engineered, wat eigenlijk ook niet legaal is.
Mag in NL om compatibiliteitsredenen, virusscanner moet alleen maar ff compatibel worden met het virus...
net of er een risico is dat ze aangeklaagd gaan worden door de auteur ;)
En wie zou er dan moeten gaan klagen over de GPL als McAfee dan niet die source zou meeleveren? Niet de virusschrijvers want het is nog steeds verboden om virussen te schrijven, dus die riskeren een gevangenisstraf als ze naar voren komen. En verder kan er niemand anders over klagen want die zijn niet de orginele makers..
Nu alleen nog documentatie vande viri ;)
als het een gpl virus is zou het even gemakkelijk de sourcecode moeten bieden. Ik denk dat men dit natuurlijk laat
En de licentievoorwaarden met zo'n checkbox dat je op CANCEL kan drukken als je er niet mee eens bent om hem te installeren.
als mensen eens wat meer zouden nadenken in plaats van alles klakkeloos bevestigen. (firewall b.v.)

en als microsoft nou eens mensen streng aanraad om het installeren op een admin account te doen en standaard te werken met een beperkte account. (en dat standaard aanzet)

als mensen hun beveiliging eens goed bijhielden (regelmatig updaten en scannen)

als mensen nou NOOIT meer op spam reageren

dan is het gauw afgelopen, de hele wereld zit met die ellende opgescheept omdat voornamelijk n00b gebruikers er slecht mee omgaan.
Tja, als iedereen nou es goeie sloten op z'n deuren zet en inbraakbeveiliging op z'n ramen, dan zou niemand meer inbreken.

Maw: Dit verschijnsels kun je hooguit proberen te voorkomen, maar helaas gaan ze nooit weg...
Maar 95% van de computergebruikers laat of ze ramen gewoon open staan of doet de knip er niet eens op.
maar in het internet-dorp zijn zulke dingen toch helemaal niet nodig ? :P
Ach ja over dat streng afraden heb ik al eens een idee gepost. Laat admin alleen met localhost communiceren en pas met veel pijn en moeite naar inet / netwerk kunnen gaan. Als mensen zien dat ze internet veel makkelijker als user aan de praat kunnen krijgen, dan denk ik dat veel mensen gewoon standaard user worden...
Binnen een paar dagen is daar dan een hack voor, die het merendeel wel weet te installeren (of laat installeren).

Beter is om te laten zien dat als beperkte gebruiker je gewoon bijna alles normaal kan doen zonder allerlei rare truuks uit te moeten halen om gedownloade software te laten werken (Launchy, IrfanView, en de lijst is vrees ik erg lang). De bal ligt dus bij de software ontwikkelaars.
"en als microsoft nou eens mensen streng aanraad om het installeren op een admin account te doen en standaard te werken met een beperkte account. (en dat standaard aanzet)"

Ja, en als nu eens de software bakkers maken dat de software ook werkt met LUA?

Recent zag ik hier Launchy voorbijkomen. Even naar gekeken. Zit dus mooi ook een LUA bug in [1]. Ik weet hoe daar omheen te werken, maar de meute zal gewoon terugvallen op Administrator account. Triest is ook de reply van de ontwikkelaar: "Ja, nu werkt het mooi wel van een USB stick". Tuurlijk joh.

Ditto voor IrfanView [2], en ook Xara Xtreme [3] zeurt als ik het opstart als beperkte gebruiker. Het is ongeloofelijk dat er programmeurs zijn die als Administrator knoeien eh programmeren.

[1] http://johnbokma.com/mexit/2006/07/14/launchy-lua-bug.html
[2] http://johnbokma.com/mexi...09/irfanview-ini-fix.html
[3] http://johnbokma.com/mexit/2005/12/02/
Irfanview maakt aanpassingen in de koppelingen tussen bestands-extensies en aplicaties, lijkt me niet meer dan logisch dat daar admin rechten voor nodig zijn.
lees:
http://johnbokma.com/mexi...09/irfanview-ini-fix.html

IrfanView krast standaard alle settings in hetzelfde ini bestand voor elke gebruiker (lekker slim). Uiteraard kan een LUA daar niet bij als het programma als admin geinstalleerd is. En zelfs als dat kan, zou Pietje blij zijn met de instellingen van Jantje?

Irfan's reaktie: dat kan je oplossen, zie de FAQ (handig toch, dat je dingen die bij andere programma's gewoon werken in een FAQ moet opzoeken). Met daarin tenenkrommende oplossingen als: zet de INI in de gedeelde TEMP directory...

Verder kan je koppelingen tussen bestandsextensies en applicaties gewoon zelf als LUA bepalen. Logisch natuurlijk, zou een beetje gek zijn als je eerst Admin rechten nodig hebt om te bepalen dat een txt bestand in TextPad opent ipv Notepad (of dat dat centraal geregeld zou zijn).
@ J.J.J. Bokma - dinsdag 18 juli 2006 04:34

Had ik al gelezen, vandaar mijn opmerking.
IrfanView krast standaard alle settings in hetzelfde ini bestand voor elke gebruiker (lekker slim).
Zeker slim want nu hoef je dit niet meer voor iedere gebruiker afzonderlijk in te stellen en kan iedereen direct gebruik maken van de applicatie (in dit geval irfanview)
Als je de link volgt, zul je zien dat de schrijver geen registry wil gebruiken om de settings op te slaan en dat je het gebruik van %APPDATA% zelf moet gaan bewerkstelligen.
Ik heb zelf ook al een fout in IrfanView doorgegeven, maar is met die gozer geen discussie te voeren, dus werd het niet gefixt |:(
Hij luistert niet naar je argumentatie, maar zegt alleen wat hij vindt en wat ie niet gaat doen |:(
Bovendien zit er al een hele tijd een irritante bug in die autoresizing niet mogelijk maakt.
Ik hou het nu lekker bij FastStone Image Viewer
"zul je zien dat de schrijver geen registry wil gebruiken om de settings op te slaan" (IrfanView).

Yup, omdat ie in een antiek computerblaadje gelezen heeft dat het register slecht ontworpen is. Leeft nog in 1995 of zo.

Ik heb ook gemailed met 'm en precies dezelfde ervaring. Valt niet mee te praten. Het is "M$ suckz", "je bent de eerste die zeurt", "en iedereen die het register gebruikt laat na deinstallatie zooi achter". Mbt dat laatste schreef ik: "maar dat *hoef* jij niet te doen als je beter weet?".

Ik ga eens kijken naar FastStone, thanks.
Ik snap nooit de beweegredenen of motieven van hackers? Is het alleen de zogenaamde 'eer' voor je werk...?
Geld, wraak, politiek, macht(s-gevoel), status. De klassieke eer van 'het kunnen' lijkt me niet van toepassing op malware-makers, daarvoor zijn ze te 'ervaren'.

Meestal zijn het toch geen domme jongens, maarja, geld/macht corrumpeert & maakt blind. :r Ga met die kennis liever de wereld helpen (is ook goed aan te vedienen) ipv slopen denk ik dan. |:(
motieven van hackers
Dat ligt er aan binnen welke category ze vallen. Een white-hat zal het motief hebben "kijken waar ik binnen kom, en dan de beheerder proberen te waarschuwen". Een gray-hat zal het zelfde doen, echter kan hij er iets mee verdienen, dan zal hij dit proberen. Een black-hat zal altijd op zoek zijn naar methoden om geld te verdienen op andermans computers/servers.

Liever 10 white-hatters in de hand, dan 1 black-hatter in de computer. :Y)

De term "hacker" is wel wat breder dan alleen inbreken in andermans computers. Ik hack bijvoorbeeld veel hardware, om die weer beter te maken (nieuwe software / features). Zo word ook het WiFi Mashing systeem in elkaar gehacked.

Zonder hackers is de wereld nergens, geen innovatie/nieuwe features op computergebied. Maar dat zorgt ook voor blackhat aanvallen op andere vlakken.
Die mensen op die 'online communities als Hacker Defender en irc-netwerken' zullen elkaar echt niet kennen. Wat let McAfee of een opsporingsinstantie zelf deel te nemen aan die netwerken?
Lijkt mij dus, dat zij hier al lang mee bezig zijn. Hoe weet je anders, logischerwijs, zulke achtergrond informatie?
Als er geld gemoeid is met malware door een bepaalde exploit, dan wil je dat als malwareontwikkelaar toch voor jezelf houden? Hangt een beetje van de situatie af, maar meestal wil je niet dat een concurrent jouw werk overneemt om vervolgens met je te concurreren.

Van virussen kan ik me wel begrijpen dat een virusmaker zijn code wil delen met anderen om zoveel mogelijk chaos te zaaien.
Goede ideŽn die voor slechte doeleinden gebruikt worden. Zo oud als de wereld? Een vliegtuig als bom (2001) Dynamiet om rotsen op te blazen als springstof om mensen op te blazen (Nobel - prijs) Soms slechte ideŽn voor slechte dingen goed gebruiken Kernbom wordt kernenergie (vraag maar aan de ayathola's --- of was kernergie nou ook slecht
:? ) etc. etc. De strijd tussen goed en kwaad. GPL moet wel blijven malware of niet.
goh dat mcafee daar een commentaar als:"..als betaalde consultants..." geeft.Hebben ze ervaring met zulke praktijken? Schrijven ze zelf....?
kunnen de anti virus bedrijfen dan niet gewoon "undercover" gaan op die sites en daarmee direct de flaws in hun software verbeteren?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True