McAfee trekt van leer tegen uitsluiting Vista-kernel

McAfee heeft vandaag een paginagrote advertentie in de Financial Times geplaatst, waarmee het bedrijf Jan Publiek tracht te attenderen op het buitensluiten van antivirusbedrijven door Microsoft met de komst van diens nieuwe besturingssysteem Windows Vista. Hoewel de softwaregigant de deur voor derden niet met zoveel woorden dichthoudt, heeft de concurrentie op veiligheidsgebied geen toegang tot de Vista-kernel, en dat is bedrijven zoals McAfee, maar ook Symantec, een doorn in het oog. Het argument van Microsoft is dat het de kernel wel dicht móet houden voor anderen dan zichzelf, omdat het juist aanvallen op de kern van het nieuwe besturingssysteem, door malware zoals rootkits en kwaadaardige drivers, wil bemoeilijken. McAfee drukt zijn ongenoegen over deze gang van zaken als volgt uit:

Microsoft lijkt zich een wereld voor te stellen waarin één gigantisch bedrijf niet alleen het systeem beheert dat de meeste computers op de wereld draaien, maar ook de veiligheid wil garanderen dat diezelfde computers moet beschermen van virussen en andere online bedreigingen. Slechts één aanpak die ons allemaal moet beschermen betekent het volgende: indien die aanpak faalt, faalt deze voor 97 procent van de computers op de wereld.

Microsoft stelt dat zijn nieuwe OS zich zal houden aan antitrustwetgevingen. 'We voeren een doorlopende constructieve dialoog met de Europese Commissie over deze zaken', zo laat een woordvoerder van de reus uit Redmond aan de BBC weten. Dat de vonken toch af en toe van deze dialoog afspatten bleek onlangs nog toen Europees Commissaris van Mededinging Neelie Kroes en Microsoft beschuldigingen uitten van gecoördineerde campagnes tegen elkaar. McAfee en Symantec zijn ondertussen niet erg onder de indruk van Microsofts argument dat het nodig is dat hen toegang tot de Vista-kernel wordt ontzegd: deze zou inmiddels al gehackt zijn.

Reacties (137)

137

129

Wijzig sortering

Verwijderd 2 oktober 2006 17:26

Ik wil mij hier niet uitspreken over de kwaliteit van virusscanner X en firewall Y, maar in de laatste zin ("Slechts één aanpak die ons allemaal moet beschermen betekent het volgende: indien die aanpak faalt, faalt deze voor 97 procent van de computers op de wereld.") hebben ze wel een ernstig punt imho.

Als MS er ooit in slaagt om (alle) concurrentie op het gebied van beveiliging uit te schakelen (zoals ze voorheen reeds deden) dan ontstaat er inderdaad een beveiligingsvacuum waarbij één enkele fout alle gebruikers van het OS kunnen beïnvloeden. Dat zou niet gezien worden als een bug, maar als een wereldwijde ramp.

My 2 cents...

PS: We hebben het hier ook altijd over de "slechte" virusscanners van McAfee en Symantec, ze zijn inderdaad niet veel zaaks. Maar ik wil jullie dit nog meegeven. Het zullen niet McAfee of Symantec zijn die door MS kapot zullen geconcurreerd worden, maar eerder de kleine (en naar mijn mening veel kwalitatievere) virusscanner fabrikant zoals bv. Kaspersky, F-prot, ... Denk daar maar eens over na...

Cheetah @Verwijderd • 2 oktober 2006 17:44

Als MS er ooit in slaagt om (alle) concurrentie op het gebied van beveiliging uit te schakelen (zoals ze voorheen reeds deden) dan ontstaat er inderdaad een beveiligingsvacuum [...]

Ik heb nergens zien staan dat Symantec, McAffee, etc geen virusscanners kunnen uitbrengen voor Vista... alleen dat deze scanners niet bij de Vista kernel kunnen/mogen komen.
Het lijkt me juist niet de bedoeling dat software van Jan en alleman bij de kernel mag, want alles dat in kernelmode kan draaien brengt juist een extra beveiligingsrisico met zich mee. McAffee stelt heel suggestief dat antivirusbedrijven van MS geen toegang tot de kernel krijgen, maar in het artikel staat aangegeven dat alle applicaties van derden (waaronder dus ook virusscanners) niet in kernelmode mogen draaien.

Dat is een heel groot verschil i.m.o, gezien er daarbij geen sprake is van "uitsluiting" van de concurrentie... als geen enkele toepassing (in ieder geval niets uit de softwarelayer) bij de kernel komt, kan in principe een worm of virus er ook niet bij. En dat is juist een behoorlijk geruststellende gedachte uit veiligheidsoogpunt, ongeacht dat McAffee ertegen loopt te ageren.

@KoeNijn:
Volgens mij ben jij de enige die het hier over broncode heeft

Verwijderd @Cheetah • 2 oktober 2006 17:57

Eu.. ze hebben het over de broncode van de kernel. Die veiligheidsbedrijven gebruiken die om te zoeken naar fouten en meld ze aan MS. Dus niet over virus scanners. Toch?

eghie @Verwijderd • 2 oktober 2006 18:47

Nee, ze bedoelen hier echt het AntiVirus programma wat geen kernel toegang mag hebben.

Kernel toegang kan bijvoorbeeld handig zijn om root-kits op te sporen of om startende programma's af te vangen en ze te killen voordat het virus opstart. Ook heb je dan alle rechten om virussen te killen, ook al vinden ze zelf van niet.

TD-er

@Cheetah • 3 oktober 2006 07:14

Dat is een heel groot verschil i.m.o, gezien er daarbij geen sprake is van "uitsluiting" van de concurrentie... als geen enkele toepassing (in ieder geval niets uit de softwarelayer) bij de kernel komt, kan in principe een worm of virus er ook niet bij. En dat is juist een behoorlijk geruststellende gedachte uit veiligheidsoogpunt, ongeacht dat McAffee ertegen loopt te ageren.

Stel dat er een virus wel weet binnen te dringen bij de kernel, dan heb je best wel een probleem als de virusscanners er niet bij kunnen.
Daarnaast heeft MS al vaker laten doorschemeren dan ze best wel eens een virusscanner op de markt zou willen brengen.

Verwijderd @Cheetah • 4 oktober 2006 14:28

Was kernel toegang niet nodig om een on-access scan te doen of zo? er wordt door de virusscanner dan een "hook" gezet in de routines die een bestand openen. als dat geblokkeerd wordt door Vista, dan gaat het inderdaad duidelijk ten koste van d ebeveiliging.

RSpliet @Verwijderd • 2 oktober 2006 18:15

Openen ze dan niet de deur naar andere besturingssystemen? Vroeg of laat zal men Microsoft zo'n enorme fout niet in dank afnemen, en ik kan het mij heel goed voorstellen dat mensen dan een Mac (of een Linux/FreeBSD/OpenBSD/Unix/HALopdestack13 machine) bovenaan hun verlanglijstje zetten, al dan niet uit angst. Ik vraag mij af of, en zo ja hoe, Microsoft hier mee weg gaat proberen te komen.

Verwijderd @RSpliet • 2 oktober 2006 19:06

Niet zo lang geleden maakte Microsoft producten die elk moment crashten: mensen bleven het gewoon gebruiken.
Hierna ging Microsoft over op producten die al virussen te pakken hadden voor je online patches kon downloaden, mensen bleven het gewoon gebruiken.
Microsoft zelf zei een jaar geleden (bron: Tweakers) dat ze verwachten niet voor 2010 veilige software te kunnen produceren, en mensen blijven het gewoon gebruiken...
De combinatie van marketing en gewenning-bij-gebruikers zorgt er voor dat mensen het gewoon blijven gebruiken, wat er ook gebeurd!
(los hiervan blijven ze natuurlijk wel mopperen op Windows

)

Verwijderd @RSpliet • 2 oktober 2006 20:34

Jammer dat je zelfs niet eens de mogelijkheid overweegt dat dit een goede beslissing kan zijn. Hoe minder code in de kernel hoe beter, want een bug in de kernel is een BSOD en een bug in usermode betekent het programma ff opnieuw opstarten.

We weten allemaal dat virus scanners ook niet gevrijwaard zijn van bugs. (F-secure en McAfee hebben tussen nu en een half jaar geleden allebei een fout moeten patchen)

Iblies 2 oktober 2006 17:26

McAfee, Symantec en consorten hebben gelijk.

De optie om software van derden te gebruiken om het OS te beschermen moet open blijven. In het verleden is talloze malen aangetoond dat MS niet onfaalbaar is,
en met Patch Tuesday laten ze bepaalde fouten (of features) gewoon enkele dagen tot weken aanrommelen totdat ze besluiten om het te dichten.

Daarbij wordt niet geschroomd om clienten in de tussentijd zelf halve maatregelen te laten nemen.

Dat ze vervolgens Defender standaard in windows inbakken belooft ook weinig goeds, er zijn maar weinig producten van MS die ingebakken een sleutel tot succes zijn geweest.

dmantione @Iblies • 2 oktober 2006 17:37

De bezwaren van M$ zijn iets fundamenteler. De vraag is of een willekeurig fabrikant code in de kernel mag draaien, waar geen beveiliging meer mogelijk is. Als Symantec het mag, dan mag fabrikant X het ook. Je moet zoiets procedureel behoorlijk goed afstemmen om geen jurisische problemen met spywaremakers te krijgen, die ook graag in de kernel willen.

Bovendien wil Microsoft ultieme controle over de kernel i.v.m. met Paladium. Als code van derde partijen in de kernel draait, dan is het mogelijk dat er code in de kernel komt die DRM te omzeilen. Het verbieden van dat soort code, zou nog kunnen met digitale handtekeningen en zo, maar indien software niet evident een kraakmiddel is, dan kom je juridisch in een moeilijk parket.

Neemt niet weg dat Microsoft ongelijk heeft. Hun eigen beveiligingssoftware dient geen privileges te hebben ten opzichte van die van derde partijen. Iedere schending daarvan is een misbruik van de machtpositie.

elevator @dmantione • 2 oktober 2006 21:41

Deze blog post geeft een heleboel informatie over waar het nu eigenlijk over gaat.

Wat feitjes:

De "uitsluiting" uit de kernel is niet meer dan een patch(!) beveiliging in te bouwen omdat teveel software heel ranzig kenel calls zat om te leiden naar hun eigen code.
Deze patchguard is al geimplementeerd in Windows XP64, jaren terug dus ondertussen.
Er zijn gewoon API's beschikbaar om op het juiste niveau in te grijpen in het OS.
Microsofts' eigen producten heeft geen speciale toegang tot de kernel.

Het probleem met dit hele verhaal is eigenlijk dat McAfee gewoon slechte code schrijft die op een niet fatsoenlijke manier ingrijpt in het OS (ze gebruiken feitelijk een methode om kernel API calls om te leiden naar hun eigen code welke ook veelal door rootkits wordt gebruikt). Door de "nieuwe" features van XP64 (en dus Vista) is het niet meer mogelijk en moet ook McAfee zich netjes aan de daarvoor geldende APIs houden, maarja.. daarmee kan je je marktaandeel niet verhogen denk ik

astute @elevator • 3 oktober 2006 14:53

Daarom draai ik Avast virusscanner op X64. Deze hebben ook al een vista versie in ontwikkeling en trekken zich niks aan van het gejammer van McAfee en consorten.

jvalks @elevator • 3 oktober 2006 15:11

Het probleem met dit hele verhaal is eigenlijk dat McAfee gewoon slechte code schrijft die op een niet fatsoenlijke manier ingrijpt in het OS (ze gebruiken feitelijk een methode om kernel API calls om te leiden naar hun eigen code welke ook veelal door rootkits wordt gebruikt).

Klopt, wat McAfee en Symantec helaas ook aan het handje hebben: resources gebruiken, en niet meer vrijgeven

SirBlade @dmantione • 2 oktober 2006 17:45

Neemt niet weg dat Microsoft ongelijk heeft. Hun eigen beveiligingssoftware dient geen privileges te hebben ten opzichte van die van derde partijen. Iedere schending daarvan is een misbruik van de machtpositie.

Wie weet heeft Microsoft eigen oplossing ook geen toegang tot de kernel. Als ze de kernel echt hebben afgeschermd kan malware niets met de kernel aanvangen en hoeven anti-malware programma's er dus ook niet bij. Waarom zou je dan voor je eigen programma een uitzondering maken wat vervolgens een extra veiligheidsrisico word.

Ik vind dit heel wat weg krijgen van airbag-fabrikanten die protesteren tegen een systeem wat botsingen kan voorkomen.

Verwijderd @Verwijderd • 2 oktober 2006 20:50

MS *WEET* dat ze nog steeds brakke rommel maken en proberen dit nu te verstoppen door derden simpelweg geen toegang meer te geven...

Een beetje genuanceerd beeld mag toch wel verwacht worden op tweakers.net?

Ten eerste wordt de "brakke rommel" niet verstopt, als je het systeem debugt met windbg kan je gewoon de machine code zien etc. Niet uitmakende of daar code van derden tussenzit of niet.

Ten tweede is meestal de brakke rommel van derden het probleem. (BSOD) Waar ze inderdaad geen toegang meer aan geven.

Verder is het natuurlijk ook een soort van rommeltje, maar geenszins in de mate die jij probeert af te schilderen.

Verwijderd @Verwijderd • 2 oktober 2006 19:34

Wat men niet ziet is er niet

En die tactiek heeft al bewezen niet te werken

Thrillseeka @Iblies • 2 oktober 2006 17:35

als het risico te groot is brengen ze het voor tijdig uit.

En eik zou mcaffee en symantec precies het zelfde gedaan hebben.

Verwijderd @Iblies • 3 oktober 2006 12:11

die consoorten hebben volgens jouw gelijk ?
Wel die consoorten zou ik voor geen zier vertrouwen, ze hebben in het verleden al genoeg virussen gelanceerd om hun producten toch maar verkocht te krijgen.
M.A.W. , ze zitten nu MS te beschuldigen dat MS zijn producten beter wil beschermen terwijl zij daar op een halfslachtige manier altijd geld aan verdiend hebben.
Dat ze a.u.b met hun fikken van de kernel blijven.
Moeten ze zelf maar een os maken als ze totale controle willen.

DropjesLover 2 oktober 2006 17:24

Microsoft lijkt zich een wereld voor te stellen waarin één gigantisch bedrijf niet alleen het systeem beheert dat de meeste computers op de wereld draaien, maar ook de veiligheid wil garanderen dat diezelfde computers moet beschermen van virussen en andere online bedreigingen.

is dat zo raar, dat ze hun eigen product voor zichzelf houden, en er zelf voor zorgen dat dat veilig is?

WC-eend wil niet dat WC-eend gemengd wordt met product X voor een nog schoner toilet

offtopic
WC-eend rulez voor het maken van vergelijkingen de laatste tijd

Niemand_Anders @DropjesLover • 2 oktober 2006 17:56

Wat Microsoft probeert te doen is het aantal processen wat op kernel niveau draait te beperken. En dat is een GOED iets! Microsoft Defender zal net als de pakketten van Symantec en McAfee op user-level niveau gaan draaien. Ook Internet explorer draait niet meer op kernel niveau. Da's een van de redenen van Vista zoveel veiliger is geworden.

Doordat er geen 'vreemde' processen op kernel meer kunnen draaien zijn de gevolge van een virus ook een stuk kleiner.

Heeft dus niets met een eenden of zo te maken. Waar ik mij meer zorgen om maak is dat microsoft op een gegeven moment toch gedwongen gaat worden om uitzonderingen te maken. En als het pakket van Symantec op kernel-level niveau kan draaien, waarom kan een spyware tool dat dan niet.

Je kunt het ook omdraaien: McAfee en Symantec verhinderen Microsoft om hun product veiliger te maken. Want als Windows virus vrij is, waarom zou je dan nog pakketten zoals die van McAfee gebruiken. Zij hebben een business gebouwt op het feit dat Microsoft tot nu toe erg onveilig is.

metaal @Niemand_Anders • 3 oktober 2006 09:24

Ook Internet explorer draait niet meer op kernel niveau.

Ik denk dat je niet goed begrijpt wat kernel mode is. Internet Explorer heeft zoals FrankL al zei, nooit in kernel mode gedraaid. Dat zou absurd zijn. Internet explorer heeft echter wel altijd al met admin rechten gedraaid (wat mijns inziens niet minder absurd is, maargoed, wie ben ik..) Gelukkig wordt dat in Vista anders.

Zoals je zei is het goed om de kernel zo klein en simpel mogelijk te houden. Alleen is het voor virusscanners erg handig om met de kernel samen te werken om virussen op te sporen.

Het punt is dus dat MS die interface daarvoor nu dicht heeft gegooid. Bovendien heeft MS een eigen virusscanner ingebouwd, die niet uit te schakelen is. Zeg nou zelf... is dit nou echt om de veiligheid van Windows te verhogen.... of de veiligheid van het marktaandeel van de heren in Redmond???

Frank-L @Niemand_Anders • 2 oktober 2006 18:46

Voor zover ik weet heeft IE nog nooit in kernel-mode gedraaid.

i-chat @Niemand_Anders • 2 oktober 2006 18:30

omdat symantec dat op een hele speciale manier gaat doen,
(welke dat is, laat ik aan de ontwikkelaars over)
maar je moet wel onthouden dat ook al draait IE niet meer op kernel nivo er zijn genoeg (onderhuidse processen en services die dat wel doen, 't is iig echt niet zo dat er geen enkel proces meer op kernel-nivo draait - sterker nog dat KAN niet een.

die uitzonderings regels onder stricte licentie zijn echt zo bijzonder niet.

PiepPiep @i-chat • 2 oktober 2006 18:39

Waarom zou de kernel niet de enige kunnen zijn op kernel nivo?
De x86 architectuur kent sinds de 386 als 4 ringen om nivo's mee in te stellen.
Hoe windows nu werkt worden alleen ring0 en ring3 gebruikt.
Waarom niet kernel ring0, drivers van microsoft zelf die echt voor de werking van het os zijn ring1, drivers en dergelijke van andere dingen ring2 en applicaties ring3.

Verwijderd @i-chat • 2 oktober 2006 20:37

Daar zijn ze ook mee bezig in Vista en de daaropvolgende release, het wordt ze niet in dank afgenomen te zien aan de reacties.

En het antwoord op je vraag was in ~1996 bij het designen van windows NT (de basis van w2k, xp en Vista) dat het te veel performance kostte.

Verwijderd @DropjesLover • 2 oktober 2006 19:35

Quote:
"is dat zo raar, dat ze hun eigen product voor zichzelf houden, en er zelf voor zorgen dat dat veilig is?"

Neen, maar dat is niet wat het gevolg is.
Het gevolg van deze beslissing is dat malware schrijvers toch toegang hebben (zie bericht) en dat software ontwikkelaars die wel op een legale goede dingen kunnen doen met de kernel, uitgesloten worden.

napel25 @Verwijderd • 3 oktober 2006 10:22

Daar op aanvullend heeft McAfee ook een punt. Wanneer die virusscanner van Microsoft fundamenteel faalt, hebben de betreffende virussen lange tijd vrij spel.
Het is in ons belang dat er meerdere soorten virusscanners te krijgen zijn. Voor Microsoft is er alleen een commercieel risico om de samenwerking met McAfee en andere virusscannerproducenten aan te gaan. M.a.w. voor Microsoft gaat hun commercieel belang voor het belang van de consument om keuze vrijheid te hebben. Commercieel logisch, maar niet sympathiek.

Verwijderd @DropjesLover • 2 oktober 2006 17:53

Maar de inspectie dienst mag wel kijken of er geen schadelijke stoffen in WC-eend zijn gebruikt. Bij MS mag dat dus niet meer.

Tijger @Verwijderd • 3 oktober 2006 16:38

Onzin, overheden hebben toegang tot de source code, zelfs McAfee kan daar toegang toe krijgen, wat ze niet krijgen is het recht om in kernelspace te opereren en daar hebben ze ook helemaal niets te zoeken.

PS: WC Eend adviseert dat ook terecht omdat bij het mengen van schoonmaakmiddelen gevaarlijke stoffen kunnen vrijkomen. Perfecte redenering dus om de kernel gesloten te houden.

Galactic @DropjesLover • 2 oktober 2006 18:29

Hou nou in godsnaam toch eens op met die WC-eend !!!

forum: WC-Eend

Verwijderd @DropjesLover • 2 oktober 2006 20:19

Wij van WC-eend (de echte) zijn dankbaar voor de gratis reclame op tweakers.net

Conzales @Verwijderd • 3 oktober 2006 01:55

Dan kan de reclameafdeling vast wat geld terugstoppen in de pot, want deze zin blijft hier nog wel een paar weken hangen...

Verwijderd 2 oktober 2006 17:44

Dat juist mcafee spreekt over uitsluiting. Zelf sluiten ze andere fabrikanten uit, zoals bij de laatste update, waarna DaemonTools niet meer kon werken.

Officieel ontkenden ze natuurlijk dat het hun schuld was, maar mcafee nederland wist te melden dat het probleem expres niet werd verholpen omdat daemontools in een groot deel van de gevallen wordt gebruikt voor kopieren van games. Mcafee had belang er bij dat dat niet meer kon.

Soort van de pot verwijt de ketel dus.

Pietervs @Verwijderd • 2 oktober 2006 18:20

maar mcafee nederland wist te melden dat het probleem expres niet werd verholpen omdat daemontools in een groot deel van de gevallen wordt gebruikt voor kopieren van games. Mcafee had belang er bij dat dat niet meer kon.
Heb je hier een link van, want dit verhaal is ZO onwaarschijnlijk dat het imo niet waar kan zijn. McAfee is geen games-producent, dus kunnen zij er alleen belang bij hebben als ze betaald zijn door de gamesindustrie om een dergelijke stunt uit te halen. Aangezien de imagoschade voor zowel McAfee als de gamesfabrikant(en) enorm zou zijn als dat uit zou komen, kan ik me niet voorstellen dat dit gebeurd is...

Verwijderd @Pietervs • 2 oktober 2006 19:52

daar heb ik uiteraard geen link van, dat was een telefoongesprek

en dat mcafee geen game producent is, zegt niets. microsoft is ook geen muziek- en/of film-producent, en toch hebben ze er belang bij.

humbug @Verwijderd • 3 oktober 2006 01:05

Laat me raden: Een telefoongesprek met de helpdesk waarbij de helpdeskmedewerker ook nog de nodige woorden in de mond gelegd zijn.

Een willekeurige medewerker van McAfee Nederland heeft namelijk totaal geen kennis van de prioriteiten en doelstellingen van de afdeling die de software ontwikkeld.

Verwijderd @Verwijderd • 3 oktober 2006 10:22

Opnieuw de helpdesk bellen en klagen dan. Ik draai VScan 10 (zat by xs4all abbo) en Deamon tools doet het nog bij mij.

Conzales @Pietervs • 3 oktober 2006 01:57

imo = in my opinion >> en dat betekent weer; naar mijn mening.

zeg dat dan gewoon!

Ik heb geen zin om straks deze lijst telkens erop na te slaan.

http://www.computerhope.com/jargon/chat.htm

astute @Conzales • 3 oktober 2006 14:56

Beetje computer gebruiker weet wel wat imo betekent imho.
Of tik jij ook nog Laughing Out Loud? en Rolling On The Floor Laughing?

2cents

@Verwijderd • 2 oktober 2006 19:25

Hmm, vreemd dan dat VSE 8.0i patch 13 op mijn laptop draait als een zonnetje naast daemontools 4.03HE...

Verwijderd @2cents • 2 oktober 2006 19:53

een zakelijke versie. toen nog mcafee ASaP, nu mcafee "tops". niet de consumenteneditie die je thuis draait.

Verwijderd 2 oktober 2006 17:59

Laten we voor de grap het verhaal eens omdraaien, wat als er een fout in anti virus programma X zit dat op kernel niveau draait, dan kan een virus een anti-virus programma gebruiken om bij de kernel te komen (hoe ironisch).

Wie kan mij vertellen of het trouwens echt noodzakelijk is voor een anti-virus scanner om op kernel niveau te draaien?

En het geven van de kernel code aan Symantec zou beteken dat onbekend virus bedrijf X de code ook zou moeten kunnen krijgen, dan is de code zo uitgelekt.

@Pietervs:
Het was toch dat dat hun gelukt was vanwege de AMD processoren, niet door een fout in de Vista software.

(quote nieuwsartikel wat je bedoelde)

Overigens werkt de exploit die ze ontwikkeld heeft alleen op Vista-installaties op AMD-systemen, aangezien Blue Pill gebruikmaakt van de virtualisatietechnologie Pacifica die is ingebouwd in AMD-processors.

Pietervs @Verwijderd • 2 oktober 2006 18:23

Wie kan mij vertellen of het trouwens echt noodzakelijk is voor een anti-virus scanner om op kernel niveau te draaien?
Als een worm of virus de kernel bereikt, en daar draait geen virusscanner, dan kun je zwaaien naar je OS. En zoals het artikel al aangaf: de kernel is (blijkbaar) al een keer gehackt geweest...

YaPP @Pietervs • 2 oktober 2006 23:42

Als een worm of virus de kernel bereikt, en daar draait geen virusscanner, dan kun je zwaaien naar je OS.

Je kernel heeft geen virusscanner om zichzelf te beveiligen, maar om meer te kunnen op het systeem. Een "kernel virusscanner" zou inhouden dat iedere byte die in het geheugen aangepast wordt gescand moet worden.

De kernel is een compleet ander "wereldje" waarin geen DLL's, user rechten, virtual memory, toegewezen geheugen of threads bestaan. Dat zijn juist zaken die de kernel naar buiten aanbied. De kernel is ook het enige proces wat het geheugen ziet zoals het echt is, iedere ander proces werkt in zijn eigen toegewezen/virtueel geheugen. Het heeft de volledige macht over het systeem, en daarom is het goed dat Microsoft dit nu dichter zet, al is het maar om het rootkits minder makkelijk te maken.

DataGhost

@Verwijderd • 2 oktober 2006 20:52

Als je virusscanner daar niet draait is er geen mogelijkheid tot het afvangen van systeemcalls naar mijn weten. Je hebt dan effectief geen On-Access scanning, of je kan in elk geval het verspreiden van een virus niet direct tegengaan, maar pas wanneer het kwaad geschied is (als het virus een beetje fatsoenlijk is geschreven). In kernel-mode kan je namelijk eerst het bestand scannen alvorens het uitvoeren vrij te geven, dwz. de uitvoer van het bestand wordt geblokkeerd totdat duidelijk is dat het geen virus is. Ook het verwijderen en/of uitschakelen van de virusscanner is iets wat afgevangen kan worden, maar niet zomaar in userland.

@Pietervs:
Het was toch dat dat hun gelukt was vanwege de AMD processoren, niet door een fout in de Vista software.

Vista zou dit bijvoorbeeld niet toe mogen staan

Er wordt namelijk een proces geinstalleerd met hogere rechten dan het OS zelf, dit is volgens mij een doodzonde.

Verwijderd @DataGhost • 2 oktober 2006 22:24

@Dataghost:
Je kan wel degelijk detecteren wat er gebeurt zonder in kernel-modus te draaien.

Ik ben software-ontwikkelaar van beroep bij een groot bedrijf met 1000+ medewerkers. Ik heb wel eens software geschreven die bijhoudt welke bestanden worden benaderd, door wie dat gebeurt en of een bestand wijzigt of niet. Niks kernel-mode, enkel API-calls van MS die dat mogelijk maken.

McAffee en cornuiten willen zonder al te veel kosten hun software beschikbaar maken voor Vista. Ze eisen een soort terugwerkende compatibiliteit. Dat is ook de min of meer de reden dat Windows ME nog DOS als basis had. Nu het allemaal veiliger moet, moeten we naar een nieuw systeem, zonder de bugs van vorige versies.

SunnieNL

@DataGhost • 2 oktober 2006 21:56

Een goede virusscanner die op ring 1 of 2 draait, zou nooit een virus lager dan die ring laten komen.
Komt een virus toch bij de kernel, dan zou de virusscanner zijn werk niet goed uitgevoerd hebben.

Als een programma als een virus- of spywarescanner in de kernel moet kunnen draaien, hoe voert Windows Defender zijn werk dan uit. Of hoe voert dan Windows OneCare zijn werk uit, als microsoft beweert dat hun eigen scanner buiten de kernel draaien?

Tevens, hoe voert linux eigenlijk zijn scans uit. Draait een virusscanner in Linux in de kernel ?? Of de virusscanner van Apple. Draait die in de kernel?

En hoe doet TrendMicro beta het dan nu op Vista? Of werkt die eigenlijk niet goed en kan ik hem beter niet installeren.. ?

MneoreJ 2 oktober 2006 18:51

McAfee heeft ongelijk met het "slechts één aanpak die ons allemaal moet beschermen", want ten eerste hoeft beveiliging niet op kernelniveau te zitten en ten tweede is beveiliging op kernelniveau de laatste, niet de eerste verdedigingslinie.

Daarnaast zegt McAfee hier feitelijk dat MS de kernel open moet stellen voor programma's. Hoe MS ervoor zou moeten zorgen dat dit alleen maar goede programma's moeten zijn, zoals de geweldige produkten van McAfee, dat zeggen ze dan weer niet. Daarmee krijg je dus de situatie dat iedere afzondering van de kernel door MS als monopoliemisbruik bestempeld gaat worden, wat belachelijk is. MS is niet verplicht en kan niet verplicht worden tot het onveiliger maken van de kernel om een markt open te houden voor antivirusprogramma's.

Zou McAfee nu kunnen aantonen dat MS de architectuur van Windows misbruikt om de eigen produkten een voordeel te geven, dan hadden ze een punt, en konden ze terecht spreken van monopoliemisbruik (let wel: het misbruik van een monopolie is onwettig, niet het monopolie zelf). Kunnen ze dat niet, dan maken ze zichzelf belachelijk door te menen eisen te kunnen stellen aan de architectuur van de software van iemand anders om de eigen verkoopcijfers veilig te stellen. MS mag dan een monopolie hebben, maar dat betekent niet dat het verplicht is andere bedrijven van broodwinning te blijven voorzien.

Het is interessant de situatie met Linux te vergelijken: dat is open source, dus iedereen kan de kernel patchen met non-standaard security fixes (en dat wordt soms ook gedaan). Niemand zou het echter in zijn hoofd halen de mainstream kernel zo te patchen dat "beveiliging van derden" makkelijker op kernelniveau kan komen, of een patch tegen te houden omdat iemand anders daar al zo'n mooie aftermarket-oplossing voor heeft!

McAfee ligt nu net in de clinch met MS omdat ze aan de genade van de laatste overgeleverd zijn wat kernelinterface betreft, en dat steekt. Maar hoe vervelend ook voor McAfee, MS kan de Windows-kernel in elkaar zetten zoals ze willen, zolang ze daar zelf maar geen oneigenlijk voordeel uit trekken.

renevanh 2 oktober 2006 17:50

The Microsoft way of thinking: security through obscurity.

En laat dat nou net de enige manier van beveiliging zijn die NIET werkt.
Als een kwaadwillend iemand de kernel hackt, dan kan die er alles mee doen, want geen enkel ander programma (rootkit scanners e.d.) kunnen erbij.

Verwijderd @renevanh • 2 oktober 2006 21:01

Dat dit op geen enkele manier slaat op security trough obscurity is misschien moeilijk te begrijpen, maar daardoor niet minder waar.

Wat er gebeurd is dat een programma op een andere ring draait op de processor, dat lijkt me redelijk duidelijk. Geen sprake van 'obscurity'.

En laat dat nou net de enige manier van beveiliging zijn die NIET werkt.

Wetenschappelijk werkt het niet, maar in kleine niet van groot belang zijnde bescherming is dit de Beste manier, het kost een stuk minder geld en hoeft niet zo heel veel bescherming te bieden.

In het geval van Windows spreek ik mezelf tegen en heb je gelijk, maar je moet niet doen alsof STO altijd slechter is.

Op het moment dat kwaadaardige code eenmaal in de kernel is, is er meestal weinig tegen te doen.

Bij Unix wordt ook altijd aangeraden om een complete reinstall van het systeem te doen.

humbug @renevanh • 3 oktober 2006 01:09

Zoek eens naar het concept "microkernel" en je begrijpt dat het in principe een goed idee is om alle zaken die niet in de kernel hoeven te zitten uit de kernel te gooien. Inclusief virusscanners.

prostar 2 oktober 2006 17:56

Als er één ding is dat de tijd ons heeft geleerd (hoop ik), is dat de beveiligingsaanpak waarbij men probeert om de broncode geheim te houden ('security through obscurity') niet werkt. En Microsoft is daar het beste en grootste voorbeeld van. De hoeveelheid bugs die ontdekt werden in het besturingssysteem voordat ook maar iemand de broncode had kunnen inzien, was ook toen reeds schrikwekkend. En bovendien worden ook nu nog de meeste bugs ontdekt zonder dat men over de broncode beschikt.

Het argument van Microsoft is dan ook een regelrechte onwaarheid, met als enigste doel om de concurrentie uit te schakelen en hun eigen veiligheidsproducten aan de man te brengen. En zeker niet met als doel om de veiligheid van het systeem te verhogen.

Vinden jullie het ook niet bizar dat een fabrikant zelf software verkoopt die zijn eigen product veiliger moet maken. Nota bene een product waarvan ze zelf beweren dat het 'veiligste besturingssysteem' op de markt is. Ik zou het logischer vinden moest men bij MS zeggen: "u heeft geen antivirus meer nodig want Vista is veilig genoeg".

De enigste logica die hierin terug te vinden is, is deze van een monopolist die zijn positie gebruikt om de concurrentie buiten spel te zetten.

Sissors @prostar • 2 oktober 2006 20:27

Lees eens dat artikel. Dit heeft helemaal NIKS met het inzien van de broncode te maken. Het gaat erom dat GEEN ÉÉN programma van derden in de kernel mag komen. En als symantec het wel mag, waarom mag dat programma dat leuk in een popupje staat te knipperen dat ik virussen hebt en als ik hem installeer hij alles opruimt dan geen kernel toegang krijgen?

Verwijderd @prostar • 2 oktober 2006 21:30

Wat denk je dat er gebeurd als de broncode van Windows ineens openbaar wordt gemaakt?
Iedere snotneus beweert dat Windows zo slecht is, dus dan zullen er in no-time -tig exploits komen.
Aangezien er en miljoenen niet of nauwelijks geupdate Windows machines aan internet hangen heb je dan als virusschrijver een flinke userbase. Iedere Jan Joker heeft dan een compleet botnet tot z'n beschikking waarmee heel internet compleet dicht geDDOSt wordt.

Dus is 'security through obscurity' nog steeds zo'n slecht plan?

Fauna @Verwijderd • 2 oktober 2006 17:21

Het heeft vrij weinig met Symantec in het algemeen te maken hoor. Andere anti-virus bedrijven (noem ze allemaal maar op) krijgen dus geen kerneltoegang. Het lijkt aannemelijk dat de anti-virus producten dan minder goed af te stemmen zijn op Vista. Doordat MS dat zelf wél kan, hebben zij een grote voorsprong.

Het punt wat McAfee maakt vind ik een zeer goede: doordat MS zelf een oplossing levert die in véél gevallen niet wordt vervangen door een andere fabrikant, wordt er een onnoemelijk groot risico gelopen als er ergens een fout optreedt.

Cheetah @Fauna • 2 oktober 2006 17:54

Zoals er staat krijgt geen enkele toepassing uit de softwarelayer kerneltoegang. Een virusscanner niet, Jan-met-de-Pet's megaprogsel niet, maar een virus of worm dus ook niet. Dat lijkt me juist een zeer wenselijke situatie, en is verre preferabel boven een situatie waarin Jan en alleman een proggie kan schrijven dat in kernelmode mag draaien, en je dus juist virusscanners nodig hebt om de malware uit je kernel weg te houden.
Als niets uit de softwarelayer bij de kernel kan zijn virusscanners die malware uit de kernel weghouden ook overbodig. Alles dat kerneltoegang krijgt is een extra beveiligingsrisico, en vandaar dat MS nu stelt dat over de boot genomen niemand meer kerneltoegang krijgt.

McAffee doet het voorkomen alsof MS kerneltoegang uitsluit om virusscannerproducenten te pesten, maar het is uitstekend beredeneerbaar waarom ze het doen. De scanners zijn slechts onderdeel van "alle andere" toepassingen die niet (meer) in kernelmode mogen draaien, en niet de toepassingen waar deze specifieke maatregel tegen gericht is.

Pietervs @Cheetah • 2 oktober 2006 18:14

McAffee doet het voorkomen alsof MS kerneltoegang uitsluit om virusscannerproducenten te pesten, maar het is uitstekend beredeneerbaar waarom ze het doen.
Een andere (iets meer geloofwaardige) redenering kan zijn, dat MS *nu* de toegang tot de kernel ontzegd voor andere ant-virusbedrijven, om vervolgens hun eigen antivirusproduct er wel toegang toe te geven op het moment dat blijkt dat wormen en virussen ook tot de kernel door kunnen dringen...

ymmv @Cheetah • 2 oktober 2006 18:18

Hoezo meer geloofwaardige redenering? Dit is gewoon een stukje negatieve MS-paranoia.

catfish @Cheetah • 2 oktober 2006 19:39

op het moment dat een worm/virus dan toch bij de kernel raakt, hoop ik op een snelle kernel-patch
hoe minder rommel er meedraait hoe beter en stabieler het systeem

i-chat @Cheetah • 2 oktober 2006 18:19

en dat is dan natuurlijk enigsinds onzinnig, omdat een fatsoenlijk security bedrijf dan gewoon toegang moet kunne krijgen
er zijn vaker dergelijke situaties waarin bedrijven delen van hun broncode of libs onder 'zeer'' stricte licentie-voorwaarden, vrij geven aan andere bedrijven.
waarin 't zeker belangrijk kan zijn dat een goede anti-virus software in kernel mode zou moete draaien, juist omdat deze dan (als 't goed is) zelf ook 'veiliger' zou moete zijn. \

overigens ben ik van mening dat security (firewalls, en antivirus) van een computer een belanrijke taak is van het OS.
het simpele feit dat 't OS-componenten zijn van derden (andere ontwikkelaars dus) doet daar NIETS aan af

captain007 @Cheetah • 3 oktober 2006 08:17

Het moet toch lijkt mij mogelijk zijn om kerneltoegang te verkrijgen. En anders ontwikkelen ze maar een driver die dat voor hun regelt. Kunnen ze via die driver code injecteren in kernel mode en daar runnen.

Verwijderd @Cheetah • 3 oktober 2006 09:29

Inderdaad. Op het moment dat kernel-toegang mogelijk is zal Kroes eisen dat dat geldt voor alle bedrijven, in een open, uitstekend gedocumenteerde API. Helaas betekent dat dat ook iedere willekeurige worm toegang krijgt.

En nee, geen enkele beperking op de toegang zal vallen onder "eerlijke handelspraktijken". Als Microsoft een certificaat moet geven kan ze weigeren dat certificaat te geven, of daar expres lang over doen. Ze heeft dan natuurlijk sowieso toegang tot delen van programmatuur die bedrijven daar misschien wel helemaal niet open voor willen stellen. Als Microsoft niet ieder bedrijf toegang hoeft te geven dan is er weer sprake van oneerlijke concurrentie, omdat Microsoft geduchte concurrenten kan weigeren en alleen niche-spelers kan toelaten.

Het is en blijft een impasse.Virussen en andere rotzooi kosten jaarlijks miljarden, dus Windows moet zo veilig mogelijk. Tegelijkertijd zijn Symantec c.s. gebaat bij een zo onveilig mogelijk Windows. Ik ben blij dat ik niet in de schoenen van Kroes sta. Al is het maar omdat ik nu kan zeiken ongeacht de beslissing die ze neemt

riffey#4 @Verwijderd • 2 oktober 2006 17:35

Nutkenzz brengt z'n geld naar de bank. "Hebben jullie een goede kluis?"
-"Ja hoor, we hebben zelf geprobeerd in te breken en dat is ons niet gelukt"
- "Oh, gelukkig, nu weet ik dat mijn geld hier veilig is. Als jullie ZELF al niet in je eigen bank in kunnen breken, kan niemand het"

Patriot @riffey#4 • 2 oktober 2006 17:54

Fout.

Ze zeggen juist "Ja hoor, niemand anders dan wijzelf krijgt toegang tot deze kluis en deze is daarom zeer veilig!"

En in principe hebben ze dus gelijk

witchdoc @Patriot • 2 oktober 2006 18:19

Fout! In feite staat de kluis op 1001 plaatsen waar niemand kijkt en waar iedereen kan proberen ze te breken.
Microsoft zegt simpelweg niet hoe je je eige kluis kan beveiligen of hoe je ze kan kraken.

Patriot @Patriot • 2 oktober 2006 23:50

Leg uit, want ik volg je 1001 plaatsen vergelijking niet helemaal. Ik snap dat de kernel niet echt dicht is, er zijn manieren waarop hij te openen is, maar dat is toch het hele principe van een kluis ook (om maar even bij dat voorbeeld te blijven)?

Blokker_1999

@Verwijderd • 2 oktober 2006 17:33

Hoewel Norton IS idd dikke rommel is werkt de corporate editie van symantec enorm goed.

punica @Blokker_1999 • 2 oktober 2006 22:42

Maar waarom zou een softwaremaker toegang willen tot de kernel, als er een goed platform voor hem ter beschikking staat????

Ik ben blij, dat Ms alle belangrijke dingen nu eens een keer goed afschermd(iedere thread wordt bewaakt, zodat een aanval opgepakt kan worden).
Ontwikkelaars van anti-virus zouden meer aan productinnovatie moeten doen, een goede crc check functie op alle bestanden, zodat geverificeerd kan worden, dat wat jij gaat gaat doen, geen schade kan toebrengen aan je o.s.

Verwijderd 2 oktober 2006 17:57

Is juist dat uitsluiten van die Vista-kernel niet een extra veiligheid?

Het spijt me - maar als het om virussen gaat vertrouw ik de grote anti-virus makers voor geen meter. Er is geen branche die een groter belang bij virussen heeft dan die van de anti-virus schrijvers.

Beetje het idee van de fietsenmaker die spijkers strooit om meer lekke banden te kunnen plakken.

DataGhost

@Verwijderd • 2 oktober 2006 19:03

Nee. Als er een proces in user-mode draait die al jouw bestandjes verwijdert is er geen virusscanner die dat kan zien zonder in kernel-mode te draaien. Een andere manier is er volgens mij namelijk niet echt om in de gaten te houden wat andere programma's uitvoeren. On-access virusscanning zal dan ook op zijn eind lopen gok ik, simpelweg omdat er niet meer gezien kan worden wat er geaccessed wordt en dat al zeker niet meer op tijd geblokkeerd kan worden. Wat wel het gevolg is is dat de malware die op je computer wordt uitgevoerd wel je virusscanner kan killen, aangezien die niet op een verhoogd niveau draait of enge handelingen af kan vangen. Heb jij mooi een probleem

@ MneoreJ
Het wil ook niet noodzakelijkerwijs betekenen dat een proces dat met verhoogde rechten werkt direct alle systeemcalls kan zien en wijzigen en/of afvangen. Het kwaad kan al geschieden voordat de scanner enige kans krijgt iets te doen. Met een scanner die op kernel-niveau werkt en dus alle systeemcalls ziet (en kan blokkeren voordat er iets ergs gebeurt) heb je dit probleem niet.
Daarnaast hoeft een user maar toestemming te geven tot het draaien met verhoogde rechten aan het stuk malware wat (mogelijk) nog niet herkend wordt door de virusdefinities en dan ben je alsnog je scanner kwijt.

@edit van MneoreJ
Ja, daar ben ik het wel mee eens ja. Ik krijg alleen niet het gevoel dat Microsoft veel werk van die hooks gemaakt heeft, anders snap ik in elk geval de ophef niet direct 100%. Je kan daarmee inderdaad ook de verwijdering/uitschakeling van je virusscanner voorkomen.

elevator @DataGhost • 2 oktober 2006 21:48

n-access virusscanning zal dan ook op zijn eind lopen gok ik, simpelweg omdat er niet meer gezien kan worden wat er geaccessed wordt en dat al zeker niet meer op tijd geblokkeerd kan worden.

Dat is natuurlijk niet waar

Ten eerste is Windows gewoon een modern multi-user OS en heeft de ene user dus niet per se rechten tot een ander user zijn processen waarmee je het "virus sluit virusscanner af"-verhaal sowieso kan uitsluiten.

Daarnaast bestaan er gewoon APIs en interfaces voor om virusscanner op de juiste plek in het systeem te hangen waarbij on-access scanning alsnog heel goed mogelijk is

elevator @elevator • 3 oktober 2006 06:59

Die hooks zijn er al - hoe denk je anders dat bv. eTrust al een AV pakket heeft voor Vista?

Overigens bestaan die hooks al veel langer

DataGhost

@elevator • 3 oktober 2006 00:09

ja, zoals ik zei (en eigenlijk MneoreJ eerst), als die hooks er inderdaad komen. Dat vroeg ik me ook een beetje af namelijk, anders zie ik niet direct een reden voor al die ophef van McAfee

MneoreJ @DataGhost • 2 oktober 2006 20:36

Wat wel het gevolg is is dat de malware die op je computer wordt uitgevoerd wel je virusscanner kan killen, aangezien die niet op een verhoogd niveau draait of enge handelingen af kan vangen.

Je doet alsof er in userland maar één beveiligingsniveau is. Dat is niet (noodzakelijkerwijs) zo.

De virusscanner zou (naar ik aanneem) toestemming krijgen om met administratorprivileges te werk te gaan. Malware zou herkend moeten worden voor het zulke privileges überhaupt kan vragen, of anders zou het die privileges van de gebruiker niet moeten krijgen. Als dat toch gebeurt heb je precies hetzelfde probleem als wanneer iedereen zich toch in kernel mode mag installeren.

De enige manier om dit soort scenario's uit te sluiten is "default deny" te implementeren voor programmauitvoer, wat virussen gelijk onmogelijk zou moeten maken. IJzersterk, dat wel, maar ik zie het niet zo snel gebeuren voor consumentencomputers.

@dataghost: dat het niet noodzakelijk is wil niet zeggen dat onmogelijk is. Het is technisch geen probleem om hooks te exporteren vanuit de kernel waarmee je (met administratorprivileges) zo ongeveer het hele systeem kan monitoren en alle userland acties die kwaad kunnen kan tegenhouden (dat is nog altijd beter dan rechtstreeks in kernel mode draaien). Een scanner op kernelniveau heeft inderdaad geen problemen... Malware op kernelniveau ook niet, en daar gaat het nou net om.
Het argument dat als de malware er toch doorheen glipt, het je hele virusscanner om zeep kan helpen is helemaal waar, maar dat betekent niet dat de virusscanner maar beter op kernelniveau kan draaien -- alleen dat de scanner liefst met meer privileges zou moeten werken dan om het even welk ander userland programma dan ook. Dat is een kwestie van een uitgekiend rechtensysteem -- geen triviaal probleem, maar allicht iets doordachter dan "pleur het maar op kernelniveau". Microsoft zou een speciaal "security manager" privilegeniveau kunnen bedenken waarop alleen virusscanners e.d. mogen draaien. Hoe je dit gaat laten beheren is een tweede, maar het wordt er niet onveiliger op dan wanneer iedere admin kernelcode kan installeren.

BartOtten @Verwijderd • 2 oktober 2006 18:06

Ik denk dat er dan vast al wel ergens bij een Juustitie aanwijzigen daarvoor waren gevonden. Ze zouden het dan namelijk al jaren doen en hoe geheim je iets ook doet, het komt altijd uit.

Conzales @BartOtten • 3 oktober 2006 02:18

en hoe geheim je iets ook doet, het komt altijd uit.

Dan zou ik maar gauw aan je moeder vertellen wat je gisteren gedaan hebt, want dat komt dan wel zo eerlijk over!

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (137)

Sorteer op:

Weergave: