Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 50 reacties
Bron: Betanews

Antivirusvendor Sophos is het met Microsoft eens dat makers van antivirussoftware geen rechstreekse kerneltoegang nodig hebben om hun werk te doen. 'Door ons niet te concentreren op manieren om toch maar toegang te krijgen tot de kernel, maar door de reeds door Microsoft beschikbaar gestelde API's te gebruiken, hebben wij nog geen problemen ondervonden met onze veiligheidsproducten', aldus Ron O'Brien van Sophos. Bovendien merkt O'Brien op dat Sophos AntiVirus probleemloos voorzien is van HIPS-technologie, waarvan Gartner gisteren nog wist mee te delen dat het zeker jaren zou duren voor Microsoft de noodzakelijke aanpassingen had doorgevoerd om deze technologie compatibel te maken met Vista. HIPS-software gebruikt analyseert het effect van een applicatie op het besturingssysteem om zo malware die nog niet door signatures gedetecteerd kan worden alsnog tijdig te stoppen. McAfee's stelling dat HIPS-technologie rechtstreekse kerneltoegang nodig heeft, strookt dus niet met de recente uitlatingen van Sophos-medewerker O'Brien. Die stelt namelijk dat softwareontwikkelaars veeleer moeten leren samenwerken met Microsoft om hun producten in Vista te integreren, in plaats van die integratie via de media af te dwingen:

Sophos Anti-Rootkit logo (41 pix)I would encourage enterprise-level customers to ask whether or not their security vendor is prepared to offer a security solution that is compatible with Windows Vista 64-bit. And if the answer is no, then I, as a customer, would ask why. And if the reason is because, 'We haven't worked with Microsoft in order to achieve that goal,' then my next question would be, 'Why not?'

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (50)

Ik gebruik momenteel een handige opensource tool tegen malware.
Als een programma een driver probeert te installeren krijg ik een popup met informatie over die driver en of ik dat nu echt wil of niet. Dit wordt gedaan door een hook op zwLoadDriver in the SDT van windows.

Door de kernel op slot te zetten kan deze tool zwLoadDriver dus niet meer hooken, en usermode hooks om dat eruit te filteren zijn waardeloos want een applicatie can gewoon zelf gewoon een syscall doen zonder tussenkomst van de usermode windows api, dus roept hij direct de kernelversie.
Dit betekent dus dat elke malware die op een of andere manier zijn driver gesigned heeft (de driver sign check gebeurt in de kernel, dus dat is te reversen, dus kan iedereen zijn driver signen over een tijdje) gewoon kan laden en dan kan hij dus nog steeds anti virussen uitschakelen via de kernel en andere rotzooi trappen. (welliswaar kan die ook geen kernelfuncties aanpassen, maar een filtesystem filter driver voor malware is meestal al goed genoeg om zichzelf te verbergen)
(de driver sign check gebeurt in de kernel, dus dat is te reversen, dus kan iedereen zijn driver signen over een tijdje)
Dat is natuurlijk een onzinredenering. Zo ken ik er nog wel een: "het SSL certificaat sign check gebeurt in de browser, dus dat is te reversen, dus kan iedereen zijn certiciaat signen over een tijdje". Lees eens iets over asymmetrische encryptie.
maar zou omdat de kernel dicht zit die driver die zichzelf wilt gaan installeren ook geen toegang krijgen tot de kernel en dus jou hele tool niet nodig is omdat vista dit all standaard blokkeerd ?
Wat in deze context bedoelt word met een gesloten kernel is dat zodra je ook maar 1 byte wijzigt in de kernel je binnen 10 minuten een BSOD krijgt dat je systeem niet correct is (ook handig als je slecht geheugen hebt maar goed...)
Dit betekend niet dat drivers niet geladen worden. Een driver moet een juiste signature hebben om door de kernel geladen te worden. (op zich geen probleem, een signature kun je kopen of jatten)
Bij default ,dus uit te zetten, vraagt windows vista wel of je in admin mode wilt gaan werken, maar die vraagstelling is vaak onduidelijk, geeft niet genoeg informatie over wat er aan de hand is, en dan druk je normaal toch op ja.
Ja ja, het is de fout van Microsoft als je geheugen slecht is, je OS moet zich niets aantrekken van het feit dat iemand je kernel probeert te hacken en signatures zijn zo te kopieren. |:(
met anderen woorden ze zitten gewoon te zeuren om iets wat ze niet nodig hebben.
en wij als gebruikers lijden hiervan omdat ze.
in feite liever lopen te zeuren om erin te komen dan dat ze via de API's gaan werken, en dus ook een goeie virus scanner kunnen leveren..
Het is niet nodig voor de werking (kan sophos daadwerkelijk alles detecteren wat de concurrentie kan?), maar hoe zit het met de performance? Dat is ook belangrijk.
jij wil performance ipv security? installeer dan toch gewoon geen virusscanner
Lekker kort door de bocht dasiro..:)

Natuurlijk wil je een virusscanner die geen enorme claim legt op je systeem performance en de één presteert beter dan de andere. Best wel een legitieme vraag hoe het zit met de performance als je alles netjes via de Windows API's doet of dat je direct iets met de kernel wilt doen zoals McAfee. Als jij zou moeten kiezen tussen iedere keer je machine opnieuw installeren (b.v. op je werk) of een virusscanner, dan lijkt me wel duidelijk wat op de lange termijn minder kost he..
McAfee zit gewoon alleen maar te zeuren omdat hun huidige applicatie 1 grote hack is die alleen maar werkt door in de kernel te kloten, in plaats van dingen op de normale manier te doen (API gebruiken). Als ze kunnen kiezen tussen hun applicatie op een nette manier herschrijven (wat wss veel tijd kost), of MS aanklagen als hun hacks niet meer werken, dan kiezen ze liever voor het laatste...
McAfee zit gewoon alleen maar te zeuren omdat hun huidige applicatie 1 grote hack is die alleen maar werkt door in de kernel te kloten, in plaats van dingen op de normale manier te doen (API gebruiken).
opzich is dit aan de andere kant ook weer logisch, omdat viri, trojans, en ander digitaal gespuis dat ook doen. Die gebruiken niet netjes MS API's, maar kloten ook direct wat aan.

Het is in theorie mogelijk dat het gebruik van de API's het security product minder effectief maakt, omdat het niet direct alles te zien krijgt. Let wel, in theorie.
Het is niet zo gek dat Sophos steun geeft aan Microsoft, aangezien de Sophos engine ook gebruikt wordt in Microsoft's Forefront.
Dat neemt niet weg dat Kaspersky ook al heeft gezegd dat ze het gezeur van McAfee maar onzin vinden. McAfee laat zich wel erg kennen en maakt zichzelf daarmee ten schande. Ik hoop dat de consument dat ook inziet en overschakelt op een concurrent.

Dit is vergelijkbaar met spelletjes die adminrechten nodig hebben om te kunnen draaien. Die zijn gewoon slecht geprogrammeerd en daar is eigenlijk gewoon geen excuus voor. Het is goed dat er bedrijven zijn als Sophos die aangeven hoe het wel moet.
Ik begrijp ook wel vanuit McAfee dat ze de wijzigingen niet leuk vinden. Immers, hun hele security platform is kennelijk gebaseerd op die rechtstreekse kernel toegang en zonder die mogelijkheden moeten ze de hele boel technisch gezien gaan omgooien. Echter, als de wijzigingen in Windows Vista ook daadwerkelijk wijzigingen t.b.v. de veiligheid zijn, dan kun je als McAfee toch nooit gaan vragen om de kernel ook open te stellen voor willekeurige programma's?
Mcafee & Symantec voelen de bui al hangen, ze lopen grote achterstand op met het ontwikkelen van het nieuwe pakket, dat is gewoon de reden waarom ze toegang willen hebben. Als je geld wilt verdienen zal je er ook moeite voor moeten doen, en niet zomaar microsoft beschuldigen terwijl het op een andere manier ook kan.
Goede actie van Sophos.
McAfee moet eens kappen met het huilen als een klein kind wat z'n zin niet krijgt.
Ms heeft er geen geheim van gemaakt dat veiligheid nr1 was bij Vista, dus wanneer Sophos het kan, moet McAfee het al helemaal kunnen.

Vind het trouwens super dat die beveiliging er in zit bij Vista, kwam er spontaan achter dat er in TrackMania Nations Starforce zit verwerkt.
En laat die nou net kernel access willen... }>
Twee opmerkingen bij dit bericht:

1) Als Sophos zelf geen toegang nodig heeft tot de kernel dan is het meer dan logisch dat ze dit uitbuiten voor zowel publiciteit te krijgen als hun concurrent te bespotten. Dit heeft dan weinig met voorstander zijn van microsofts vernieuwing maar meer met voor hun eigen broodwinning spreken.

2) Men zou om discussie te vermijden nauwkeurig door onafhankelijke experts de broncode van windows nieuwe antivirus beveiliging moeten nagaan, en indien hun eigen beveiligingssoftware wel toegang heeft tot de kernel dan bewijst dit dat mcaffee gelijk heeft. Zolang er geen zekerheid is of dit wel of niet gebeurt zal er discussie blijven. Voor zover dit niet gebeurt heeft mcaffee het voordeel van de twijfel omdat het microsoft is die geen open kaart speelt.

Dit betekent niet dat microsoft hun broncode zomaar vrij moeten geven maar zoals bij eerdere gevallen een expert inzage zouden moeten geven in de juiste werking van hun beveiligingssoftware (liefst aan de EC) en er dan nagegaan wordt of ze wel zelf van de api's gebruik maken zonder aan de kernel te komen...
Vergeet ook niet dat het Sophos sowieso wel goed uitkomt om weer in de publiciteit te komen, gezien hun beperkte marktaandeel tov de grotere jongens. Ik vind deze actie eerder getuigen van een "Ja, vind ik ook"-mentaliteit die je ook ziet bij mensen die een zekere Kohlberg-stage nog niet hebben bereikt, en simpelweg meepraten met de dominanten in de context. Immers, wat is de waarde van dit bericht?
Ik heb dus het idee dat het motief commercieel van aard is, en misschien wel gepushed door MS, al dan niet in directe zin (goodwill kweken bij MS, MS die in Sophos een ondersteuning heeft voor haar beleid en dus via de media hiermee kan schermen tegen een McAfee en andere softwarehuizen die vinden dat er toegang tot de kernel moet zijn; al dan niet op eigen initiatief van Sophos).
Sophos is daarentegen niet de eerste die met zo'n opmerking komt.

2 weken terug waren er ook al 2 anti-virus makers (Kapersky en nog 1) die hetzelfde verhaal hadden.
Klopt, maar Kaspersky ligt toch wel wat beter in de markt dan Sophos, dermate dat Kaspersky het redelijk doet, en Sophos tot de kleinere spelers behoord. Ook wat het uitgeven van persberichten betreft, Kaspersky komt nog met enige regelmaat naar voren met tools tegen bepaalde malware, roert zich in of start discussietopics die gaande zijn in de branche (vergelijk maar eens zoekresultaten naar Sophos en Kaspersky) en scoort goed in de verschillende antivirustests. Derhalve schat ik in dat Kaspersky het eerder (immers is wat ik zeg slechts speculatie; maar wel op grond van het marktaandeel, maar vooral het verschil in toon van de beide berichtgevingen) vanuit een onafhankelijke positie zegt, dan een Sophos.
Overigens is het trouwens wel belangrijk te vermelden dat in het bericht van Kaspersky een antivirussoftwarehuis werd genoemd dat een gelijk standpunt in nam aan dat van McAfee en niet de minste, nl Symantec.
Ik vind deze actie eerder getuigen van een "Ja, vind ik ook"-mentaliteit
Het klinkt zo simpel als jij het zegt.

Waar ze microsoft in gelijk geven (virusen tegenhouden zonder de kernel in te moeten) is niet zomaar even te doen en Symantec e.a. hebben geen zin om hun anti virus programma aan te passen.

Ik vraag me af he:
Als Sophos virussen kan tegenhouden zonder kernel toegang, waarom zouden anderen dit niet kunnen?
'Vroegah' was ik een fan van McAfee, maar bij versie 5 werd het minder. Laatst nog de nieuwste versie bij een vriend geïnstalleerd, die een keer McAfee wou. Als het eenmaal werkt, werkt het, maar de installatie- en vooral updateprocedure is een ramp, het lijkt wel slechte shareware uit de vorige eeuw .
Sinsdien werk ik met Norton, maar kijk weel steeds meer naar gratis versies.
Ook Symantec zeurt, ze zien die OneCare niet zitten. Wel roepen dat je hun producten nodig hebt omdat Microsoft geen veilige software maakt, maar klagen als MS het een keer goed aanpakt.
We zullen zien hoe dit afloopt, lijkt me nog wel spannend te worden.
ben tijdje geleden overgestapt naar avast... mede omdat McAfee software gewoon simpelweg niet werkt als je iets als IE7 of firefox als standaard installeerd. Veel te veel gebruik gemaakt van specifieke kernmerken van 1 systeem zonder rekening te houden dat mensen wel eens bijvoorbeeld firefox als standaard browser zouden willen hebben.
Toch vreemd, want wij hebben de problemen helemaal niet die jij schets met McAfee.. misschien dat er een enorm verschil zit tussen de consumenten versie en de enterprise versie..
Ik had hetzelfde met Norton producten. Tot Norton 2001 vond ik het goed werken.. Alles wat daarna uitkwam is met het jaar slechter en trager geworden. Nu raad ik iedereen waar ik kom gewoon gratis virusscanners aan (AVG Free, AntiVir). Geen gekloot, geen vertraging en geen optie die niet gebruikt.
Helaas zijn enterprise customers vaak afhankelijk van de één of andere oetl*l die op heel andere gronden via een meerjaren-mantelcontract een (imho) verkeerde anti-virus boer uitkiest.... en daar zit je dan weer even 'aan vast' helaas... 8-)

(typo)
ik ken heel wat van dergelijke oetl*lllln en telkens weer valt me op dat het probleem niet zit in de keuze die ze gemaakt hebben maar in de communicatie met de werkvloer. Daar zitten altijd fanboys van een bepaald systeem die kritiek hebben op elke te maken keuze. In realiteit is de keuze dan ook beter te maken op basis van geld en functionaliteit dan op basis van een inschatting van een systeembeheerder met kennelijk een zeer beperkt blikveld.
SED, helemaal eens. De grootste ramp in een groot bedrijf is als je elke lokale sysadmin zijn eigen oplossing laat kiezen: voor je het weet zit je met duizenden applicaties die onderhouden moeten worden.
In een groot bedrijf is het steeds meer noodzakelijk de infrastructuur te standaardiseren, iemand moet dan centraal de knoop doorhakken en altijd zijn er dan lokaal wel argumenten om hier niet blij mee te zijn.
Volgens mij zijn hier gewoon procedures voor:
1. Criteria beargumenteerd vastleggen - al dan niet na overleg
2. Een aantal "gegadigden" voorleggen aan betrokkenen en een afgewogen vergelijkende mening vragen.
3. Op basis van deze gegevens kan dan centraal de knoop worden doorgehakt en is de argumentatie hiervoor altijd controleerbaar en waar nodig bij-stuurbaar voor volgende gelegenheden.

....dus zeker niet elke afdeling zijn eigen oplossing, ook niet legioenen ja- en nee-knikkers 8-)

helaas is mijn ervaring dat er vooral economisch en op mooie grafiekjes is (!) gekozen waarna technisch blijkt dat er meer beheerskosten ontstaan en een groter risico gelopen wordt..... vraag me zeer ernstig af of die mogelijke kosten (+aansprakelijkheid) in de uiteindelijke afweging zijn meegenomen. Hier is men van Sophos naar McAfee over en ik heb nog geen positieve respons gezien, zeker niet bij beheer en dan bedoel ik niet het "wennen aan-" maar de beheer(s)baarheid.
@Rasputin: zie je punt wel, maar onderschat niet de idiote verschillen in kosten van raamcontracten die soms kunnen optreden als je over 100.000+ werkstations in één keer onderhandeld.
Dat de kostenvoordelen dan wat hoger kunnen wegen dan de ultime feature set kan ik me voorstellen zolang uiteraard de gekozen oplossing niet volledig inadequaat is.
Verder spelen bij raamcontracten van dergeljke omvang niet alleen functionaliteit en kosten mee, maar zeker ook reputatie, stabiliteit en financiële positie van de leverancier.
In dat kader kan ik me de keuze voor McAfee ipv Sophos wel voorstellen.
Ook als je die procedures volgt, zijn er altijd weer lokale mensen die zeer ontstemd zijn, omdat je niet hun favoriete product hebt gekozen.

Want ook al voldeed dat product niet aan de critria, zij zijn er toch van overtuigd dat hun product gekozen had moeten worden.
Ik denk dat zoiets juist aan de systeembeheerder gevraagd moet worden. Hij is de gene die de boel moet beheren en kent het netwerk als geen ander en zal dus precies weten welk pakket wel of niet goed zal functioneren in zijn netwerk.
Pleerollenkijkers! Waar heb ik die nogmeer gezien...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True