Microsoft levert nieuw api-ontwerp aan antivirusbedrijven

Microsoft heeft een ontwerp-api voor kerneltoegang in de 64bits-editie van Windows Vista aan antivirusbedrijven beschikbaar gesteld. De softwaregigant had dat twee maanden geleden beloofd na druk van de Europese Unie.

Computervirus Door de gepubliceerde software moeten de antivirusbedrijven beter met av-software van Microsoft kunnen concurreren. Eerder hadden onder andere McAfee en Symantec aangegeven dat ze voor de bouw van hun software absoluut kerneltoegang nodig hadden, maar Microsoft was van mening dat de veiligheid van het nieuwe besturingssysteem daarmee in het geding zou komen. Het bedrijf wilde met name geen details publiceren over de PatchGuard-beveiliging, die met de 64bits-versie van Windows XP werd geïntroduceerd en die in alle versies van Vista zal worden gebruikt. Zowel de druk van antitrustorganisaties uit Europa en Zuid-Korea als de geclaimde kraak van PatchGuard zorgden er daarop voor dat de softwaregigant toch overstag ging. Volgens Microsoft zorgt het nieuwe programmeerinterface ervoor dat antivirus- en andere bedrijven op een veilige manier de kernelfunctionaliteit kunnen gebruiken.

De api's bevinden zich nog wel in het bètastadium. Op de definitieve versie hoeft niet te worden gerekend voor begin 2008, meent onderzoeksbureau Gartner, als het eerste Service Pack voor Windows Vista verschijnt. Tot die tijd raden de analisten de aanschaf van Vista af voor alle gebruikers van 'security technologies such as host intrusion-prevention systems' - zeg maar: iedereen die een firewall gebruikt. McAfee toonde zich wel tevreden met het materiaal dat Microsoft heeft aangeleverd. 'Een eerste review van het materiaal toont dat ze goed naar onze suggesties hebben geluisterd', zei een deskundige van het bedrijf. Symantec daarentegen weigerde vooralsnog commentaar te leveren; dat bedrijf wil eerst 'aanvullende informatie' hebben alvorens tot een oordeel te komen.

Reacties (31)

ultimasnake 21 december 2006 12:37

Ondanks dat ik de bovengenoemde merken niet gebruik zal ik deze dus ook nooit meer kopen.

MS levert een veilig vriendelijke goed werkende manier af om een virus scanner te laten werken. Dit is in meerdere pakketen al bewezen dat het werkt.

Daar en tegen moeten ze specifiek directe kernelaccess hebebn om hun ding te doen. Wat me puur lijkt op luiheid van het porten van hun bestaande software. Deze api kan dan weer ge-exploit worden en vervolgens misbruikt worden door directe kernellaccess voor een virus.

En bedankt symantyc....

Evil_Ed @ultimasnake • 21 december 2006 12:57

<quote>
MS levert een veilig vriendelijke goed werkende manier af om een virus scanner te laten werken. Dit is in meerdere pakketen al bewezen dat het werkt.

Daar en tegen moeten ze specifiek directe kernelaccess hebebn om hun ding te doen. Wat me puur lijkt op luiheid van het porten van hun bestaande software.
</quote>

Je slaat de plank een beetje mis :

MS heeft de zaak verder dichtgespijkerd zodat de kernel beter beschermd is := goed.
Ms gebruikt hun kennis om zichzelf wel toegang te geven tot de kernel om virussen en trojans te bevechten :=goed
MS laat andere Antivirusbedrijven niet toe in de kernel zodat ze zelf de 'beste' Antivirus software hebben := fout

Ze moeten ook anderen de kans geven hun software aan te passen aan de nieuwe specs en functie eisen van Vista.
En geloof me die API als die er al is of komt , komt uiteindelijk toch wel op straat te liggen , geld is uiteindelijk de drijfveer die altijd wel bereidheid genereert.

Verwijderd @Evil_Ed • 21 december 2006 13:08

Ms gebruikt hun kennis om zichzelf wel toegang te geven tot de kernel om virussen en trojans te bevechten :=goed
MS laat andere Antivirusbedrijven niet toe in de kernel zodat ze zelf de 'beste' Antivirus software hebben := fout

Helaas, ook MS zelf kan niet bij de kernel als je die met PatchGuard dichtgooit. Dat verhaal van 'zelf de beste antivirus software hebben' gaat dus niet op.

http://blogs.msdn.com/win...ve/2006/08/11/695993.aspx

It's important to note that Kernel Patch Protection applies uniformly to Microsoft products as well as third party products. No code is allowed to modify the kernel using unsupported patching techniques. Security products developed by Microsoft only have access to the same supported interfaces that any other vendor would use.

Verwijderd @Evil_Ed • 21 december 2006 13:03

Ze moeten ook anderen de kans geven hun software aan te passen aan de nieuwe specs en functie eisen van Vista.

Dat doen ze ook, maar andere fabrikanten gaan eisen dat Microsoft HUN product aanpast zodat het product van de andere fabrikanten onder Vista draait. En dat terwijl verschillende bedrijven hebben bewezen dat deze API helemaal niet nodig is.

lzandman @Verwijderd • 21 december 2006 23:52

Die API is dan misschien niet nodig, maar door zo'n API beschikbaar te stellen heeft Microsoft nog enigszins controle over de manier waarop McAfee en consorten hun oplossingen implementeren.

Als McAfee zelf gaat zitten hacken, dan kun je de meest rare problemen verwachten (naar mijn ervaring zijn de McAfee-produkten de laatste jaren sowieso steeds slechter geworden: regelmatige crashes enz.). Bovendien kun je dan problemen krijgen als Microsoft besluit onder de motorkap wat te gaan veranderen. Dan werken die McAfee hacks niet meer en worden ze alsnog boos. Door zo'n API is er een gedefinieerde interface, die in principe gelijk zal blijven, wat Microsoft ook onder de motorkap zal gaan veranderen.

Verwijderd @ultimasnake • 21 december 2006 12:49

Oftewel: uit concurrentiebelang mag Microsoft haar product niet zo veilig maken als zou kunnen. Bedankt EU!

Verwijderd @Verwijderd • 21 december 2006 18:06

Waar heeft de EU ooit bepaald dat Microsoft geen bullet-proof OS mag leveren ?

MS brengt geen secure OS, nee, ze brengen een OS uit met allerhande tools om het veiliger te maken.

Zeer belangrijk verschil...

Nekje64 @ultimasnake • 21 december 2006 12:45

Ze houden zichzelf aan het werk, begrijpelijk toch?

kdekker 21 december 2006 13:46

Virusbeveiligings software moet zich zelf als hook ergens in het OS kunnen plaatsen (voor on-access scanners). Het scannen van een bestand gebeurd bijv. als een applicatie een bestand opent (maar de applicatie zelf heeft geen kennis van de aan/afwezigheid van een virusscanner). De virusscanner hookt in ergens tussen applicatie niveau en de low-level I/O operaties. Daarvoor heb je wel degelijk een API voor nodig, of je moet de OS specifieke runtime library waar de IO functies in zitten en vervangen door een eigen variant (om eerst te kunnen scannen op virussen, en daarna de IO call door te sluizen naar de oorspronkelijk OS IO call). De virusscanner kan zo de file scannen voordat er daadwerkelijk gelezen/geschreven wordt van een I/O device (bijv. disk). Voor on-access scan heb je dus een hook nodig die door de OS vendor via een API aangeboden wordt.

Verwijderd @kdekker • 21 december 2006 13:58

Hoe doet AVG dat op dit moment dan, zonder die API?

Verwijderd @kdekker • 21 december 2006 14:15

@kdekker en mooielaarzen:

Er was al een API die veel antivirusmakers zoals AVG gebruikten, alleen waren McAfee en Symantec daar niet tevreden mee vandaar dat er nu dus een nieuwe moest komen.

Stephan Oudmaijer 21 december 2006 13:15

Ik ben bij dit soort berichten wel benieuwd hoe zo`n API eruit zou zien, misschien wordt het voor de antivirus makers wel erg makkelijk nu:

if( Windows.Kernel.IsInfected() ) {
DoDisinfect();
}

Even zonder dollen. Spelen dit soort API`s juist niet de virus makers in de kaart?

Deem @Stephan Oudmaijer • 21 december 2006 16:19

Je slaat denk ik hier de spijker op zijn kop! De API die av-makers gebruiken is tevens ook de API die virussen misbruiken.... er zwerven wel vaker van die kromme geruchten over het internet...

friend @Deem • 21 december 2006 17:23

Probleem is nl. dat als een virus eenmaal zich binnen de kernel heeft genesteld (waarschijnlijk buiten de API's om of via een lek in een API), dat geen enkele virusscanner dit virus meer kan detecteren, aangezien het virus de API calls kan afvangen en daarmee doen wat ie wil.
Of kunnen we Microsoft vertrouwen dat er nooit een lek zal komen richting kernel waar een virus gebruik van zal maken?
Het toelaten van een scanner in de kernel van andere partijen geeft natuurlijk ook risico's. Beetje kip-ei prolbeem.

GigaDave56 @friend • 22 december 2006 11:11

Dat geldt alleen voor de on-access scanner. Ik denk dat als jezelf een system scan laat doen, de software hem wel in de "kernel bestanden op de hd" zal detecteren, maar misschien niet kan verwijderen omdat die in gebruik zijn. Maar daar heb je dan weer een rescue disk / cd voor.
Misschien kan de virusscanner een kernel checksum bijhouden?

sus @Snake • 21 december 2006 12:31

Een besturingssysteem is een set programma's die nodig zijn om de computer te kunnen laten functioneren en om andere programma's uit te kunnen voeren.

Naar mijn idee, en dat van velen, horen daar geen mediaplayers, antivirusscanners, internetbrowsers of tekstverwerkers bij...

SnowDude @sus • 21 december 2006 17:20

Nee we moeten weer lekker terug naar dos. Alleen een OS en verder geen rare dingen als een TCP stack, geen standaard drivers, geen directx, geen text editors meer en ga zo maar even door.

Als ik mijn OS heb geïnstalleerd wil ik gewoon kunnen werken. Een browser is tegenwoordig meer een soort framework voor remote applicaties en ik heb helemaal geen zin om eerst een browser te moeten downen. En hoe in vredes naam ik dat zou moeten doen, want ook de ftp client zal er dan niet in mogen zitten.
Ook een media player en een mail client vind ik toepassingen die ik van een modern OS verwacht. Als ik 500 euro uitgeef aan een OS wil ik niet eerst nog eens een paar honderd euro uitgeven aan software. Ik kan nog goed mijn eerste dos PC herinneren, dat was een 8088 met een DD floppy drive en een 10 MB harddisk. Hij kwam voorgeinstalleerd met dos 3.3 en toen ik hem had aangesloten en gestart, zat ik echt achter de PC te zoeken wat ik kon doen. De PC was totaal niet bruikbaar zonder extra software aan te schaffen.

En dan kan je wel weer roepen ik wil keuze, nou dat heb je, ik kan ook gewoon FF gebruiken, of iTunes of wat dan ook. Onder linux heb je net zoveel keuze, ik bedoel hoeveel van de linux beginners gebruikt een andere browser/mailclient/desktop dan dat er standaard staat ingesteld in de distro? Volgens mij doet bijna niemand dat.

Koppensneller @Snake • 21 december 2006 12:25

Verwacht je dan ook een Office suite? Of alleen een simpele tekstverwerker als notepad? Of moet het toch iets meer zijn, zoals wordpad? En verwacht je er ook wat spelletjes bij? Simpele, zoals Patience, of wil je er dan ook een mooie 3D shooter bij?

Brupje @Snake • 21 december 2006 12:23

bij een besturingssysteem verwacht ik alleen een systeem dat de hardware bestuurd, niet alle zut erbij die ik misschien wel zou willen hebben.

LaMoS @Snake • 21 december 2006 12:28

Ford heeft geen marktaandeel van ~ 95%...

en tis echt niet alsof MS zo'n brave jongen is/is geweest. (nofi, tis gewoon zo)

[edit]Wat ik bedoelde was dat als je op een markt zo'n groot marktaandeel verwerft als MS dan gelden er gewoon andere regels voor u, punt

Verwijderd @Snake • 21 december 2006 12:29

De meeste mensen zullen in het begin ook geen antivirus installeren op vista. Maar als blijkt dat de security maatregelen in Vista niet goed genoeg zijn, dan is het toch leuk als je een alternatief hebt. Daarom vind ik dit toch een goede aktie van de antivirus bedrijven.

Fridge-RaideR 21 december 2006 12:28

jou vergelijking is verkeerd...als je die zou doortrekken in deze context is het...

Windows geeft api vrij aan Suse...

ford aan alf overgeven = auto naar auto
windows naar suse = OS naar OS

t gaat hier over OS --> addon fabriekanten bv virusscanners

Als fords focus vlieg wiel standaard onder elke auto werd geleverd omdat die de snelheid van de motor beter overbrengt.. dan zou michelin wel die motoroverbreng api willen omdat michelin anders niks verkoopt....

das een correct vergelijking

j0ris57 21 december 2006 12:30

Tot die tijd raden de analisten het aan alle gebruikers van 'security technologies such as host intrusion-prevention systems' - zeg maar: iedereen die een firewall gebruikt - om Vista aan te schaffen.

Verkeerd vertaald - in het originele artikel staat dat men wordt aangeraden om de aanschaf van de 64 bits versies van Vista uit te stellen tot SP1.

Verwijderd @j0ris57 • 21 december 2006 12:52

Is het niet zo dat zowel de 32 als de 64 bit versie op de DVD staat? Dan zou je niks uit hoeven te stellen.

Verwijderd 21 december 2006 12:55

AVG werkt anders perfect onder Vista, en ze zijn niet de enige...

Verwijderd @Verwijderd • 21 december 2006 13:24

Inderdaad zelfs de gratis versie heeft er geen enkel probleem mee.
AGV gebruikt ook nog eens een stuk minder resources dan de "gerenomeerde" firma's. Dat zal ook wel de reden zijn waarom MS toenadering tot Grisoft heeft gezocht om AVG in Vista (onder eigen naam??) te integreren.

Ge Someone @Verwijderd • 22 december 2006 11:51

Ook 64 bits versie?

iKiddo @Verwijderd • 22 december 2006 16:25

Het is niet onmogelijk om een AV pakket te maken zonder deze API. Zonder deze API zal het AV pakket echter niet op kernel niveau bestand-aanvragen van andere programma's kunnen analyseren. Dit is (in Windows) een belangrijke feature.

binky_nl 21 december 2006 13:15

Ben bang dat deze twee het nooit zullen leren , dat bewijs wordt nu wel weer geleverd.
Vraag me eigelijk af waarom bijv. NOD32 of AVG het wel kunnen stellen zonder deze nieuwe api van MS

Hadden we eindelijk de kernel dicht getimmert liggen hun weer te zeuren dat het hun niet lukt en daarom omzet mislopen want daar draait het toch om JaJa de welbekende $$

Ben blij dat ik NOD32 gebruik !!!!!!!

Verwijderd 21 december 2006 15:58

Hum... Ik kan geen 64-bit AVG vinden...

-R-

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (31)

Sorteer op:

Weergave: