Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties
Bron: ZDNet

Analistenbureau Gartner heeft weer van zich laten horen met wat stellingen over Windows Vista. Analist Neil MacDonald adviseert bedrijven die gebruikmaken van HIPS-technologie nog te wachten met de aanschaf van Windows Vista 64bit, waarbij hij erop wijst dat deze technologie vaak gebruikt wordt in ge´ntegreerde veiligheidspakketten. Veel van deze toepassingen zullen volgens MacDonald niet volledig functioneel zijn in Windows Vista. Hij schrijft dit toe aan de kernelafscherming 'PatchGuard' die Microsoft inbouwde om programma's uit de Windows-kernel te houden. Dat Microsoft onlangs bekendmaakte dat kerneltoegang wel mogelijk zal zijn via API's, is volgens de analist een te verwaarlozen feit omdat de communicatie-interfaces - die overigens al in het in 2005 gelanceerde Windows XP64 aanwezig waren - nog ontwikkeld moeten worden. Deze 'veiligheidsaanpassingen' die bij ons weten al sinds Windows XP64 ge´mplementeerd zijn, zullen volgens de analist nog jaren in beslag nemen.

AnalistDonderdag reageerde Microsofts vice president security technology Ben Fathi op McAfee's beschuldigingen over het gesloten houden van de Vista-kernel. Fathi bood de pers zelfs een overzicht aan van documenten met informatie en voorbeeldcode die aan McAfee overhandigd waren met de data waarop die overhandiging gebeurd was. Daarwij werd duidelijk dat de eerste klachten van McAfee enkele weken voor de eerste informatieoverdracht plaatsvonden. Fathi benadrukte bovendien dat het Microsofts doelstelling is om een gamma gedocumenteerde en ondersteunde kernel interfaces te bieden in het 'Windows Vista SP1 timeframe', zonder te specificeren wanneer dat eerste service pack verwacht mag worden. De softwareontwikkelaar uit Redmond blijft echter overtuigd van het feit dat het afschermen van de Vista-kernel middels PatchGuard een onmisbaar wapen is in de strijd tegen malware.

Moderatie-faq Wijzig weergave

Reacties (53)

Ik moet zeggen: Microsoft doet het niet snel goed ... Doen ze eens wat aan beveiliging, begint iedereen te klagen. Het steeds maar backwards compatible moeten zijn is niet gemakkelijk voor ze.
MS doet niets aan beveiliging, ze doen aan het plakken van pleisters...

Bij de fietsenmaker een nieuwe fietsband kopen en daar een bandplaksetje bij krijgen(/bij moeten kopen), want hij is lek bij aanschaf...

Als ze ervoor gezorgd hadden dat je (bijna)geen virusscanner meer nodig hebt, dßt is iets aan beveiliging doen...

@Brupje:
Zelfs het bezoeken van een website met Internet Explorer kan al een infectie veroorzaken en dat heeft niets met een gebruiker te maken...
Je vergelijkt appels met peren.

Een bandeplak setje bij een nieuwe band krijgen zou ook logisch zijn als er steeds mensen zijn die spijkers op de weg gooien.

Microsoft doet er goed aan om mensen te willen helpen. Het nadeel is echter altijd. Als microsoft ergens aan begint doen ze het zelden half. De concurent weet dat natuurlijk ook en vreest gewoon dat zijn product straks minder tot niet meer verkocht wordt.
"Als microsoft ergens aan begint doen ze het zelden half."

Je boedoelt: "Als microsoft ergens aan begint maken ze het meestal half af."

MickeySoft heeft 1 probleem: een slecht securitymodel in de software. Dat ligt aan het feit dat Microsoft ooit zonder een degelijk securitynmodel is begonnen (het was een single-user standalone systeem). Daarnaast werd allerlei software ingekocht die via houtje-touwtje methodes in Windows moest worden toegevoegd. Bovendien moet op dezelfde houtje-touwtje manier de backwards compatibiliteit gegarandeerd worden (klanten upgraden hun systeem niet wanneer de 3rd party software niet werkt op de nieuwe Windows, en de upgrades zijn de bron van inkomsten voor MickeySoft).

Dit alles leidt tot een systeem dat wat beveiliging aan alle kanten rammelt, en alleen een beetje veilig kan worden gehouden door 'neutralisatiesoftware (anti-virus- en anti-spyware tools). En dat is het paard achter de wagen spannen.

Je wilt een beveiligingssysteem dat de boeven buiten de deur houdt, geen bewakingsdienst die ten koste van resources continu op je systeem achter de feiten aan loopt.

Als je dak lek is, repareer je toch ook het dak in plaats van emmers te kopen om het doorlekkend regenwater op te vangen?
Het is misschien verrassend maar ook MS heeft in de jaren 90 ingezien dat windows 95 een houtje touwtje product werd. Uiteindelijk heeft men toen Windows NT ontwikkeld, een product met goed securitymodel. Hier is uiteindelijk windows XP uit voort gekomen. Fundamenteel is er dan ook weinig mis met windows XP. Het grootste probleem is dat MS om performanceredenen een hoop troep in de (van oorsprong) microkernel van NT heeft ingebouwd. Nu veiligheid steeds belangrijker wordt en computers sneller zie je dan ook weer de omgekeerde beweging. Een hoop code wordt uit de kernel gegooid en de code die mag blijven moet gecertificeerd zijn.

Wat betreft security maakt MS dus een hele goede ontwikkeling door.Ja,er zijn fouten gemaakt (zoals de integratie van IE in de shell en de late introductie van een standaard firewall) maar in de basis is Windows niet minder als Unix of BSD en beter dan Linux waar in mijn ogen toch wat vermijdbare basisfouten in het ontwerp zitten (zoals de monolitische kernel)
Spijkers liggen er altijd op de weg, maar als iemand met microsoft-banden er overheen rijdt gaat z'n band lek, en met banden van een ander merk, merkt diegene er niets van. Dus bij MS-banden heb je het plaksetje nodig, bij de concurrentie niet. Aan wie ligt het dan, de spijkers of de band?
@ kozue - Welke "firewall" houdt die iemand tegen om die andere banden te nemen? :7
@ kozue:
Je weet zelf ook vast donders goed dat je nu onzin verkoopt, en je de vergelijking te ver doordrijft. Aangezien in het softwaregeval 'spijkers' niet werken op andere 'banden' vanwege ontwerpverschillen (programmeer-technisch), terwijl in het echte banden en spijkers model, alle spijkers op alle banden werken.

Voor het software-geval zou de volgende vergelijking eerder opgaan, hoewel dat in de echter spijker-wereld natuurlijk non-sense is:
De ene band gaat lek van spitse spijkers, de andere band gaat lek van minder spitse maar dubbel uitgevoerde spijkers.
Met andere woorden: De Microsoft-spijkers werken niet op Linux-banden, en de Linux-spijkers niet op Microsoft-banden. Dat er meer Microsoft-spijkers zijn, komt simpelweg omdat er meer Microsoft-banden zijn.

Of een andere vergelijking: Er zijn tegenwoordig systemen die afstandsbedieningen van auto's nadoen, en daarmee het autoslot kunnen openen. Deze werken op Opels en Peugots. Wil dit direct zeggen dat Ferrari's beveiliging beter is? Nee, er zijn gewoon veel minder Ferrari's, waardoor het minder rendabel is om daar een afstandsbediening voor te ontwikkelen.
Juist.. en als microsoft dan na verloop van tijd een geheel nieuwe band ontwikkeld die van binnen zo hard is dat er niets meer doorheen komt, beginnen de bandenplak-setjesfabrikanten te zeuren dat dat niet mag omdat ze dan niets meer verkopen
ik draai al jaren zonder scanner

enige oplossing zou dan dus zijn de gebruikers te vervangen, probleem opgelost.
@jhead22: Wanneer je een virusscanner nodig hebt om de veiligheid van je systeem (en dat van anderen) te garanderen zit je ergens met een probleem. Een virusscanner zoekt namelijk in zaken die al op een of andere manier op je pc staan (in je mailarchief, in je tijdelijke internet bestanden,...). Met andere woorden, eer een virusscanner in actie kan treden moet er een virus op je pc staan (let wel, dat virus hoeft niet actief te zijn). Maar als de virusscanner iets te laat is met updates om nieuwe virussen te herkennen kan het al te laat zijn.

Het is inderdaad zo dat een out-of-the-box Windows die aan het Internet aangesloten wordt vrij snel ge´nfecteerd raakt zonder tussenkomst van de gebruiker. Is het dan niet interessanter om in plaats van met open kraan te dweilen met als kans dat je verzuipt, ervoor te zorgen dat de aanwezige lekken niet geŰxploiteerd kunnen worden? Dit kan door middel van een goede firewall. De kans op virussen en andere totzooi zonder tussenkomst van de gebruiker wordt zo vrijwel nihil.

Dat wil natuurlijk niet zeggen dat je applicaties waar lekken inzitten niet moet dichten, maar het punt is dat een firewall een belangrijkere beveiliging is dan een virusscanner.

Wanneer je je systeem goed up-to-date houdt, een degelijke firewall gebruikt en vooral je verstand gebruikt bij surfen en downloaden, is de kans op virussen eveneens minimaal. Er zijn dan ook genoeg ervaren computergebruikers die zonder virusscanner werken zonder dat ze een gevaar vormen.
de meeste moderne scanners kunnen on access scannen, (dus tijdens het eerste conact met je pc) die virusscanner kan wel degelijk, het verschil maken tussen een geblockte download en geinfectieerd raken....
De meeste mensen hebben al een goede hardware firewall, dit omdat de meeste mensen meer dan 2 PC's hebben en daarom een router hebben.
@jhead22, daar zeg je het al, zonder updates.
Verder zit ik, en ik denk diegene waarop je reageerde ook, achter een goede firewall.
Daar komt niets doorheen zonder dat ik dat specifiek aangeef, geen gevaar dus :)
Je kunt dingen proberen goed te praten maar het dicht houden van de kernel houdt maar een bep. soort virussen tegen.
Weet je wat nou zo leuk is? Het afschermen van de kernel (als ze het goed doen) doet precies wat jij wil, zorgen dat je minder kans hebt op virussen.
Het afschermen van de kernel is geen pleister, maar een afweermiddel. Het probleem is dat de standaard afweermiddelen (virusscanners) daardoor hun programma's moeten veranderen en ook minder te doen krijgen, en die zijn nu dus boos.
Het is dus zo dat ze doen wat jij wilt, maar omdat het Microsoft is moet er alsnog even gebashed worden, beetje jammer.
Wat hier nog vervelender is is dat het Sophos schijnbaar prima gelukt is om een virusscanner voor Vista te bakken. Volgens Sophos roept Microsoft de virusscannermakers ook al zeker 5 jaar op zich voor te bereiden op PatchGuard. Waarom dus al deze heisa? Het begint een beetje te klinken naar: ons brakke product werkt niet meer omdat het OS niet langer brakke software toestaat dus moet het OS maar kapot...

Linkjes: Sophos over Symantec/McAfee
Sophos HIPS voor Vista
Meer algemeen Sophos
[slightly off-topic]

* WiLLuMPJuH is eigenlijk best benieuwd wat Linus Torvalds of Andrew Tannenbaum ( of andere kernel-experts ) vinden van deze berichten over de veiligheid van de Vista-kernel door het obscuur te houden ....

[/slightly off-topic]
Voor zover ik het versta is het alles behalve obscuur.
Je hebt in vista gewoon geen kernel-toegang, behalve via duidelijk gedefinieerde en gedocumenteerde api's.
Voor zover ik het versta is het alles behalve obscuur.
Je hebt in vista gewoon geen kernel-toegang, behalve via duidelijk gedefinieerde en gedocumenteerde api's.


Zou je denken? Ik ben benieuwd, de Win32 API zou ook alle informatie en toegang bieden die je nodig hebt om Windows apps te maken. En toch konden MS programma's via ongedocumenteerde calls betere performance en features realiseren dan de concurrentie (zijn ze ook voor veroordeeld). Het zou me niks verbazen als dit ook geldt voor de kernel toegang. En geloof mij maar dat een klein beetje hacker dat soort kernel-hooks binnen no-time gevonden heeft...
Hooks in de kernel zijn vies. Zowel in de Windows kernel als in de Linux kernel. Het verschil is dat de Linux kernel open source is, zodat je een nieuwe kernel kan compileren met de gewenste functionaliteit. Bij de Windows kernel is dit niet mogelijk.
Grootste probleem voorzie ik voor de 'eenvoudige' thuisgebruiker die gebruik maakt van allerlei vage, goedkope randapparatuur.

Voor zover ik het goed begrepen heb moeten fabrikanten van alle apparatuur hun apparatuur en drivers tegen betaling laten testen om ze gecertificeerd te krijgen voor vista. Dat zal voor grote hardwarefabrikanten niet echt een probleem zijn, maar hoe zit het met apparatuur die mensen al jaren tevreden gebruiken en willen blijven gebruiken?

De consument wordt dus simpelweg gedwongen om nieuwe apparatuur te kopen en alleen de gecertificeerde leveranciers blijven over. Hiermee krijgt MS zelfs een vinger in de pap in het voortbestaan van fabrikanten!

Volgens de persberichten gaat de certificering gebeuren door een 'onafhankelijk' bedrijf, maar dit bedrijf is natuurlijk wel met handen en voeten gebonden aan MS, aangezien MS indirect toch de broodheer is.

Ik heb zelf de Vista-update controle gedraait, en het updaten naar Vista is veel ingrijpender dan de overstap naar XP. Diverse apparaten die ik gebruik zijn niet goedgekeurd voor Vista en de leverancier heeft nog geen driver beschikbaar.

Dat de kernel niet meer direct toegankelijk is is wel een goede zet, en om nou rekening te houden met de belangen van McAfee gaat me ook een stap te ver. Het verhaal dat antivirusbeveiligers opeens failliet zouden gaan is onzin. Zolang Windhoos het meest gebruikte OS blijft blijven er virusmakers actief die slim genoeg zijn om virussen te ontwerpen voor Windhoos, dus er blijft altijd werk voor McAfee en Symantec. Voor andere OS's zijn ook virussen, alleen in veel mindere mate.

Vista is nog geeneens uit en er wordt al gesproken over een SP1!
Vista is nog geeneens uit en er wordt al gesproken over een SP1!
Ja.
En ongeveer 2 jaar na de release komt er een R2 release.

Staat allemaal al langer op de Vista roadmap hoor ;)
Microsoft mag dan een monopoliepositie hebben, maar daar hebben ze ook veel voor moeten doen hoor. Ik vind het een beetje triest dat er veel mensen (en daarmee bedoel ik niet alleen tweakers of T.net!) zijn die microsoft afkraken om vrijwel alles.

Het is in mijn opinie niet de taak van een OS om virussen buiten te houden. Dat het erin zit is handig, en ik ben het ermee eens dat als het erin zit, het ook naar behoren moet werken. Toch vind ik dat een virusbeveiliging geen reden is om een OS of de maker daarvan de bashen.
Het gaat misschien wat om bij het schrijven van een derglijk artikel te veronderstellen dat iedereen weet wat HIPS technologie is ?!
In IE ook. Stop dus maar al met zeiken... :Z
Vertaling van StiGMaTa's post: 'OMG, Internet Explorer 4.0 zuigt en werkt niet met huidige technieken!'.

Internet Explorer 6.0 SP2 laat het stippellijntje wel zien hoor ;)
Ik zie wel een stippellijn on HIPS maar als ik er naar toe ga met de muis gebeurt er verder geen zak en is het betreffende woord niet klikbaar of zoiets.
Ja, oh wat fijn, ik vindt al die troep met die stippelijntjes dus pure onzin.. laat mij maar gewoon lekker fatsoenlijk surfen zonder die onzin... Als ik het wil weten, zoek ik het wel op..
IMHO is Vista nu teveel beveiligd. Zelfs al ben je zelf Administrator dan nog krijg je om de haverklap een of andere lullige "security alert" Dat vind ik op zich nog niet zo'n ramp, maar wel dat je geen ongecertificeerde drivers kunt installeren onder Vista 64bits.
Probeer nu maar 's 64bits drivers te vinden, zeker in 't begin als Vista 64bits officieel uit is kun je alleen nog maar de ge-integreerde drivers van M$ zelf gebruiken.

Ik heb zelf 'n zeer recent moederbord (Vista certified) maar ook daarbij herkende Vista de geintegreerde RAID-controller niet. Op zich voor mij persoonlijk geen ramp, aangezien ik die funktionaliteit (nog) niet gebruik, maar voor veel users is dit natuurlijk 'n regelrechte ramp.

Voorlopig blijf ik nog gewoon op XP 64bits draaien.
Als ik het goed heb kun je dat uitschakelen bij het opstarten van Vista, F8 en dan krijg je een keuzescherm waaronder het uitschakelen van Driver signing required of zoiets.

Ik heb Vista RC2 x64 niet geinstalleerd omdat er geen drivers zijn voor m'n Netgear Wireless.
Ja, vrij logisch aangezien vista nog niet officieel uit is. Als Vista op de markt verschijnt is dat er uitgehaald, dit is om vista te kunnen testen aangezien er natuurlijk bij een beta nog mindere drivers zijn...
Nee hoor, M$ laat bewust nu alleen maar gecertificeerde drivers toe. In oudere Beta releases kon je 't nog met 'n tooltje disabelen, maar dat gaat nu helaas ook niet meer.

Een vd. redenen waarom ze alleen maar gecertificeerde drivers toe te laten is ivm. DRM. Op die manier wil men voorkomen dat je dmv. gehackede drivers Blue-Ray oid. kunt kopieren.
Als je het uitschakelt dan worden ook andere dingen uitgeschakeld, zoals bijvoorbeeld HD video.
Je kunt geen unsigned kernel drivers meer instaleren.Maar wel user mode drivers http://en.wikipedia.org/wiki/User_Mode_Driver_Framework

Hiermee kan je wel je hardware aansturen
vraag me ook af als een microsoft applicatie bepaalde toegang nodig heeft tot de kernel, ze daar een interface voor gaan maken en via update toevoegen? Dit zou dan wel ten nadele zijn van andere producten die deze interfaces niet kunnen laten aanmaken door microsoft.
Kijk we kunnen nu wel zeggen dat elk oud programma moet blijven werken, maar backwards compatibility kan ook een blok aan een beveiligingsbeen zijn.

Als er bij elke beveiligingspatch wordt geklaagd dat er misschien programma's niet meer werken komen we ook niet vooruit in beveiliging.

Er moet natuurlijk wel goed van te voren verteld worden dat er wijzigingen komen. Dat is ook eerder gebeurd, we kennen natuurlijk allemaal SP2 en het beveiligingscentrum en programma's die niet meer werkten.

Op het moment is het probleem dat Microsoft het nooit goed doet, of ze beveiligen niet, of als ze beveiligen dan kunnen programma's opeens minder en is het ook weer niet goed.

Microsoft gaat de beveiliging aanpassen, en heeft dit van te voren netjes aangekondigd, en wie schreeuwen er nu moord en brand? De andere beveiligingsfirma's, uiteraard, die zien hun broodwinning aangetast.
je hebt volkomen gelijk, maar ik bedoel dus als microsoft ff iets extra wil in zijn "weet ik veel wat programm" die toegang tot kernel vereist, maken zei hiervoor even een interface aan, andere kunnen dit niet, weten misschien zelf niet van de custom interface af. En weeral ga je gaat een ms product net iets netter integreren. Logische als os maker de software ervoor maakt, maar met hun monopoly positie verre van mooi :(
Wel, daar gaat nu precies die rechtszaak met de EU over. API's en de documentatie die erbij hoort.
In amerika heeft MS het inderdaad iets te makkelijk, maar Neelie zet er hier wat druk op. Of MS zich er iets van aantrekt is een tweede.
wat voor programmas moet ik aan denken dan bij hips-technologie?
Host Intrusion Prevention System (HIPS): Een systeem dat programma’s die zich verdacht gedragen proactief identificeert en blokkeert voor ze worden uitgevoerd.
Dit is nou typisch een verschijnsel dat je krijgt bij een monopolistische marktpositie van een bedrijf: hele faillisementen van derden (lees: Symantec, McAfee) hangen van Microsofts OS af. Zelfs de werkgelegenheid in Europa zou schijnbaar geschaad kunnen worden door het niet tijdig lanceren van Vista in Europa (volgens Microsofts zelfbetaald onderzoek).

Eigenlijk is het van de zotte dat je je produkt moet aanpassen naar de wens van andere bedrijven (waar je eigenlijk niks mee te maken hebt) zodat die bedrijven er geld aan kunnen verdienen. Als ze er geen (add-on!) produkten voor kunnen maken, dan moeten ze maar iets anders verzinnen of voor een ander OS iets gaan maken.
Maar ja: deze situatie schijnt de prijs te zijn voor een dergelijke marktpositie van MS.
Ter vergelijk: Vergeleken met MS, kan Apple alles met zijn OS doen, zonder dat er een haan naar kraait.
Dat komt omdat we willen voorkomen dat MS via zijn monopolie op de desktop OS markt andere monopolies verovert, zoals op virusscanners. Doordat mensen via het desktop OS monopolie Windows moeten gebruiken, worden ze anders ook gedwongen de MS virusscanner te gebruiken.

Als dat legaal zou zijn, zou MS dus prima Windows zo kunnen verbouwen dat er geen office suite behalve MS Office op draait, etc etc.

Uiteraard is werkgelegenheid inderdaad niet het juiste motief: als Windows virusvrij zou worden gemaakt kunnen de Symantec programmeurs wat anders (nuttigers) gaan doen. We moeten niet Windows troep laten genereren puur om de vuilnismannen aan het werk te houden, zegmaar ;)
hele faillisementen van derden (lees: Symantec, McAfee) hangen van Microsofts OS af
Ach man, er zijn zat gratis virusscanners die werken onder Vista.
Nee, er zijn gewoon veel minder Ferrari's, waardoor het minder rendabel is om daar een afstandsbediening voor te ontwikkelen.
sinds wanneer is het jatten van een ferrari minder rendabel dan het jatten van een peugot? :P

Ikzelf heb nog nooit last gehad van virussen (draai wel een scanner) en zit toch op behoorlijke shady plekken.

maar ik word wel een beetje moe van dat gezeik dat Windows meer virussen krijgt, omdat het meer gebruikt wordt. Het is gewoon insecure by default. Extensies die verborgen worden, autorun, scripts die in een mail kunnen. Zelfs met een volwaardig bestandssysteem als NTFS gaat het mis, je kan gewoon overal bij. en uiteraard de standaard root/administrator account.
De standaard NTFS ACLs en het gebruik van een account met Local Admin rechten heeft alles te maken met backwards compatibility.

Ik kan me nog heel goed herinneren dat de eerste beta releases van XP dat niet deden waardoor 80% van de gebruikte software pakketten (waaronder die van MS zelf overigens) problemen vertoonden.
(een standaard user mag niet in %programfiles% schrijven bijvoorbeeld, ook nu nog niet).

Dan kan je wel alles dichttimmeren, maar aan al het gezeur en geklaag te horen over UAC in Vista lijkt het me vrij duidelijk dat het meerendeel van de gebruikers geen ruk geeft om dat soort dingen.
Die willen gewoon dat Het Allemaal Gewoon Werkt.

Dan moet je omwille van usability concessies doen aan veiligheid.

Overigens gebruikt een dikke 80+ % hier MS operating systems, wees dan een man van je woord en ga iets anders gebruiken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True