Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 97 reacties
Submitter: t-town

Softwareontwikkelaars bij Microsoft Research zijn bezig met de ontwikkeling van nieuwe technieken om de verspreiding van wormen effectiever te laten verlopen. Hiermee zou de verspreiding van updates versneld kunnen worden.

Microsoft ResearchComputerwormen infecteren een machine en gaan vervolgens op zoek naar een volgende computer die ook geÔnfecteerd kan worden. De meeste wormen zoeken willekeurig naar een computer die besmet kan worden en dat is een inefficiŽnte manier, vertelt Microsoft Research-medewerker Milan Vojnović. Er wordt namelijk veel tijd besteed aan het besmetten van computers die reeds geÔnfecteerd zijn.

Vojnović en zijn team hebben daarom een slimmere strategie ontwikkeld. Bij de meest ideale aanpak wordt gebruikgemaakt van kennis over de manier waarop niet-geÔnfecteerde systemen verspreid zijn over een groep computers. Op deze manier kan een worm zich richten op het besmetten van de meest vruchtbare groepen computers.

Worm met bazooka (Worms Armageddon)In het geval dat voorkennis niet ontwikkeld is, kan de worm terugvallen op een andere door Microsoft Research ontwikkelde strategie. De worm begint willekeurig contact te zoeken met computers om zichzelf te verspreiden, maar beperkt zich tot ťťn subnet. Als blijkt dat er daar relatief veel besmette pc's aanwezig zijn, dan gaat de worm zich richten op een ander subnet.

Deze technieken zouden bijvoorbeeld ingezet kunnen worden voor de verspreiding van software-updates. Dit heeft als voordeel dat er geen gebruikgemaakt hoeft te worden van een centrale server die een grote load te verdragen krijgt. Daarnaast kan de hoeveelheid dataverkeer ingeperkt worden. Daarnaast kan het onderzoek leiden tot manieren om wormen in de toekomst beter te kunnen opmerken en tegen te houden.

Moderatie-faq Wijzig weergave

Reacties (97)

Het idee is op zich wel interessant, maar helemaal nieuw is het niet. De Nachi/Welchi-worm uit 2003 deed dit ook al, die installeerde een patch tegen wat RPC-bugs die o.a. weer door de Lovsan-worm werden misbruikt.

Alleen vermoed ik dat het nooit letterlijk zo geimplenteerd zal gaan worden. Voor persoonlijk gebruik niet omdat veel ISP's dit niet zullen toestaan en zelfs tot blokkade zullen overgaan, en voor zakelijk gebruik niet omdat daar reeds andere (en beter) technieken als Windows Server Update Services (WSUS) voor bestaan.
WSUS is niet beter dan deze techniek, aangezien daar nogsteeds de clients ALTIJD naar 1 pc moeten connecten om de update op te halen..
Nee hoor. Middels GPO's op de OU's kan je je clients zo configueren dat ze een aantal verschillende WSUS-servers gebruiken.

Is ook logisch, want bij bijvoorbeeld multinationals is het niet handig als allerlei patches over een vaak vrij dunne (want dure) datalijn naar allerlei vestigingen getransporteerd zouden worden. Die zou dan relatief snel dichtslibben, en met deze 'worm-techniek' heb je dat probleem dus ook.

In zo'n omgeving ga je dus met downstream-WSUS servers werken. En dan heb je het door jou genoemde nadeel meteen grotendeels opgeheven. Dan word er nog maar ťťn keer alles getransporteerd (naar die downstream-server dus), ipv zoveel keren als er clients zijn.

Zo creeer je dus ťn fault tolerance ťn load balancing.

[Reactie gewijzigd door wildhagen op 16 februari 2008 12:22]

Deze technieken zouden bijvoorbeeld ingezet kunnen worden voor de verspreiding van software-updates.

Dus.. Deze onderzoeker bij Microsoft pleit ervoor gebruik te maken van bewuste gaatjes in de beveiliging van het OS om zo software te updaten?

Iets zegt me dat elke onverlaat naarstig exploits zal gaan schrijven voor deze officiŽle achterdeurtjes voor wormen.

Dat een centrale server een grote load te verduren kan krijgen ivm het verspreiden van updates ligt puur aan de inefficiency van de services die dit regelen. Soit, ze zouden kunnen kijken de manier waarop wormen dit regelen, waarbij ze wat goede eigenschappen overnemen, maar het lijkt me niet wenselijk dat MS met z'n eigen wormen op de proppen komt.

Daarnaast kan het onderzoek leiden tot manieren om wormen in de toekomst beter te kunnen opmerken en tegen te houden.

Laat ze het alsjeblieft hier bij houden..
over welke gaten heb jij het?
er wordt nergens ook maar 1 woord gerept over het misbruiken van een lek in de software..
houseparty bedoelt op de manier die thekip ook al zegt.

Om deze wormen Łberhaupt toegang tot je systeem te kunnen geven (naja, ze nemen toegang beter gezegd) moet er ergens een gat in je software zitten.

Kwaadaardige wormen worden er nu uitgefilterd door de anti-virus beveiliging, dat is de bedoeling dan. Als deze wormen op dezelfde manier werken.. worden deze dan ook niet door de anti-virus eruit gefilterd? Dat zou ik denken dan..

Om in Windows zijn werk te moeten doen heeft deze 'worm' dan wel een bepaalde machtiging nodig, die de programmeurs bij Microsoft vast en zeker inbouwen.
Alleen.. als dan de worm een beetje wordt verbouwd door bijvoorbeeld leuke Russische hackers (of crackers? Die haal ik altijd door elkaar) heb je een worm die 'legale' toegang (door de toegang die Microsoft ze geeft) tot je systeem hebt. Lekker gevoel..
als je op deze manier je updates kunt verspreiden zal toch in ieder geval ERGENS een gat in je software moeten zitten.

En die hoge load met servers, daar zijn perfecte oplossingen voor in de vorm van p2p dingen.
Dit voelt voor mij aan als een Paradox, we ontwikkelen een worm zodat deze efficiŽnter pc's kan 'besmetten' met een update.. Waarom kunnen ze bij alle geregistreerde (dus genuine) windows-account die aangesloten zijn op internet de keuze bieden voor een update?

Deze manier lijkt me onnodig en geforceerd.
Gevaarlijk. Klein foutje bij zo'n updateworm en het halve internet ligt plat omdat miljoenen windowspc's elkaar proberen te updaten voor weet-ik-hoe-lang.. Ook een update die problemen veroorzaakt op een systeem zelf, kun je dan niet zomaar intrekken. Systeembeheerders gaan ook niet blij zijn wanneer 1 persoon z'n geupdate pc op het bedrijfsnetwerk aansluit en daarmee vervolgens het hele bedrijf van ongecontroleerde updates voorziet. :)

Gelukkig hoeven we hier ons nu niet druk over te maken, aangezien Vista e.d. standaard niet voorzien is van een bittorrent-achtige functionaliteit.
Ik vind niet dat ze hun huidige update systeem hiermee moeten vervangen.
Wat ze wel zouden moeten doen is in het geheim die wormen releasen om de PCs te updaten van mensen die te dom waren om ze zelf te updaten. Ik heb liever dat een updater-worm mij "aanvalt" dan een kwaadwillende worm.
oh oh wat een verhalen allemaal weer ik denk wel dat het goed werkt als het een feature is en je controlle hebt over wat er gewormt wordt en wat niet. Als ik zo een dag eerder mijn critike patch binnen kan krijgen omdat de serverload is gespreid dan teken ik er wel voor. Als het door nare software schrijvers gebruikt gaat worden (wat ik wel verwacht) dan zet ik het uit.

Als mijn updaten daar sneller en vloeiender door loopt waarom zal ik het niet doen. Mijn azeureus wordt ook zo geupdate "er is een patch instrallen?" en dan van 102329 feeds de patch weghalen daarna installen en restarten. Ik vind het wel lekker eingelijk...
is het in dit geval dan niet handig om voor het verspreiden van updates een susteem a la torrents te gebruiken?

in combinatie met wsus? wsus oid zul je toch nodig hebben voor het beheer en overzicht van wat de staat van je pc's is, en om ze actief te kunnen beheren. het verlagen van de load okp het bnetwerk lijkt me een torrenty systeem toch efficient genoeg.

gewoon zorgen dat het update systeem van windows voorziet in een functie die bij andere pc's in het subnet kijkt of er ergens meer updates zijn dat dat ie zelf heeft en die vervolgens ophalen en checken bij wlke pc's ie die snel kan ophalen, zonder teveel andere subnets te hoeven lastig vallen.

dat je updates snel moet kunnen uitrollen dat werkt bijvoorbeeld ook niet met wsus
eerst komt de update uit. dan moet ie goedgekeurd worden, dan moet de client zich aanmelden en kijken of er updates zijn, en afhankelijk van de instellingen worden die dan meteen geinstalleerd, of kiest de gebruiker er weer voor dit niet et doen op dat mokment, maar pas bij het uitschakelen van de pc. daar zitten dus 3 stappen in die niet automatisch direct gebeuren en zo kan het updaten van pc wel 3 dagen duren vanaf de release van de update.

dat is nogal heel iets anders dan "binnen een half uur 3000 pc updaten"

hiervoor is wsus dan ook nie bedoeld, maar MS heeft zich verder ook nog nooit echt bezig gehouden met technieken die zorg zouden moeten dragen voor instalt on demand updates en het verbaast mij erg dat men dit wormen noemt.

er is immers slechts 1 worm nodig ( op 1 pc) die kijkt of er updates zijn, en in dat geval( wanneer een "worm" op alle clients is geinstalleerd, verspeid de worm zichzelf niet, maar de updates. is een heel ander verhaal en klinkt een stuk minder bedreigend. er is dan in het geheel geen sprake van een worm maar van een servoce, daemon of ho je het ook maar wilt noemen, net als wau
Ben hier dus echt tegen hť. Een worm die updates installeert? Je moet er toch ook zelf voor kunnen kiezen. Moeten virusscanners dit dan toestaan? Lijkt me een slecht idee. Dan gaat een kwaadaardige worm zich als een goedaardige worm gedragen en dan weet je niet waar je bent. Mag dit trouwens wel volgens de wet?
het hangt er vanaf hoe een en ander gebruikt wordt he?

Als je een groot bedrijfsnetwerk hebt en je moet heel snel security patches kunnen uitrollen zou het wellicht een effectief systeem zijn want stel je voor dat je binnen het half uur 30000 systemen moet updaten, dan kan je toch een probleem krijgen met de load.

Voor losse systemen die aan het internet hangen is dit uitsluitend veiligheidsrisico. En ook bij grote private netwerken is dit risico hoewel in mindere mate aanwezig.

Het nadeel blijft echter altijd, met security patches die komen pas nadat de problemen gekend en wellicht exploited zijn. Dit systeem is m.i. eigenlijk alleen maar goed toepasbaar als een (pardon my language) pre-emptive strike systeem.

En afgaande op het veel gehoorde gemopper omtrent het traag produceren van patches en de cultuur van het ontkennen van veiligheidsproblemen door MS vraag ik mij dus af of het op die manier ooit succesvol zou kunnen werken, maar wellicht verbaast men ons nog eens een keertje positief.

@eraser
je zou nog kunnen werken met een gecombineerd certificaten en versleutelings-systeem oid. Maar geheel veilig, ik vraag me af hoe ze dat ooit voor elkaar willen krijgen. Zoals wel vaker gezegd, iedere functie houd een potentieel riscio in.

[Reactie gewijzigd door Zamman op 16 februari 2008 13:31]

Als je een groot bedrijfsnetwerk hebt en je moet heel snel security patches kunnen uitrollen zou het wellicht een effectief systeem zijn want stel je voor dat je binnen het half uur 30000 systemen moet updaten, dan kan je toch een probleem krijgen met de load.
Daar is al iets voor uitgevonden: multicast.
Bij multicast krijg je toch geen bevestiging of het pakketje effectief aangekomen is ? bij streams met multicast is dit alleszins het geval.
Nee, maar daar is in een hogere netwerklaag wel weer een oplossing voor te vinden, bijvoorbeeld een CRC check en als die niet klopt wordt dit teruggemeld en (een deel van de) update nogmaals, maar nu geunicast verstuurd.
want stel je voor dat je binnen het half uur 30000 systemen moet updaten, dan kan je toch een probleem krijgen met de load.
Afgezien van updates voor een virusscanner heb ik eigenlijk nog geen Microsoft updates gezien die zo urgent waren dat ze binnen een half uur op alle computers *moesten* staan. Maar als je zo'n groot netwerk hebt (30.000 systemen) kun je er wel op rekenen dat er meerdere WSUS servers in het park hangen, het netwerk gesegmenteerd is en de beheerders de mogelijkheden om delen van het netwerk te updaten en/of opnieuw op te laten starten...
Als je een groot bedrijfsnetwerk hebt en je moet heel snel security patches kunnen uitrollen zou het wellicht een effectief systeem zijn want stel je voor dat je binnen het half uur 30000 systemen moet updaten, dan kan je toch een probleem krijgen met de load.
Zoals ik het begrijp, gaan clients andere clients dan updaten?
Wat houdt mij tegen om via mijn pc andere clients up te daten, maar dan met malware?
Waarschijnlijk rechten. Ik gok dat die bakken niet allemaal standaard in update modus staan.
Als een worm die runt op mijn pc, een andere pc kan update, dan kan ik 't ook :)
@era.zer
hoezo? Een proces kan onder een andere user credential draaien dat jij dat doet. Wil nog niet zeggen dat jij ineens dezelfde rechten kunt krijgen.
Ga er maar vanuit dat die updates zijn voorzien van digitale handtekeningen, en dat er niets wordt gedaan als de handtekening niet klopt :)
@ era.zer
Echt niet. Er kan zonder problemen software draaien op een PC die meer rechten heeft dan de gebruiker die op dat moment is ingelogd.
Tenzij jij domain administrator rechten hebt kun jij dat niet maar een specifieke worm die dat wel heeft wel.
Precies, wat als de update die ik stuur naar een andere pc, even verbouw naar een kwaadaardige worm? }>
geen goed id om wormen te gebruiken voor updates. Ik heb al mijn wantrouwen in updates en des te meer voor wormen. Als je dit niet kan tegenhouden ga ik voor een ander besturingssysteem.

In ieder geval eentje die zich niet bezighoud met wormen.

FF eerlijk mensen, het liefst willen ze alles weten wat we doen etc.
Dit zijn oplossingen voor bedrijfsnetwerken niet voor pietjan's consumenten pctje op zolder.
Lijkt dit eigenlijk niet heel veel op het torrent of emule netwerk?

Andere clients gebruiken om jou te supporten, een virus zal zichzelf altijd "pushen" om op een andere machine te komen.

Waarom laten ze de clients zelf niet een "pull" uitvoeren om zo de updates te aan te vragen?
Mag dit trouwens wel volgens de wet?
Welke wet? Van welk land? Er bestaat niet zoiets als "De WET"

Wat in het ene land mag is in het andere verboden.
Juist, en hoe gaat zo'n worm daar rekening mee houden? Die is zich niet bewust in welk land een bepaalde PC zich bevind en welke wetten daar gelden.

Zeker, hij kan een WHOIS-lookup doen om te kijken bij welk land een blok IP-adressen hoort en dan een lijst van 'verboden landen' hanteren, maar ook dat is niet waterdicht, denk aan multi-nationals bijvoorbeeld. Dat een blok IP-adressen aan (bijvoorbeeld) Canada is toegewezen zegt niets, want het Canadase bedrijf dat dat blok in eigendom heeft kan ook vestigingen in andere landen hebben en daar IP-adressen uit dat blok voor gebruiken.
Er bestaat inderdaad niet zoiets als "De Wet" maar heel veel verschillende wetgevingen, en ik kan me toch voorstellen dat dergelijke praktijken in de meeste landen ondertussen verboden zijn. Eigenlijk van zodra er slechts 1 land is waar het verboden is zal ms zich al serieus mogen verantwoorden, het kan imho ook echt niet dat je een worm gaat ontwikkelen en mensen updates door de strot duwt zonder da ze daarmee akkoord gaan.
Dit zal volgens mij nog veel stof doen opwaaien.
Deze technieken zouden bijvoorbeeld ingezet kunnen worden voor de verspreiding van software-updates. Dit heeft als voordeel dat er geen gebruikgemaakt hoeft te worden van een centrale server die een grote load te verdragen krijgt. Daarnaast kan de hoeveelheid dataverkeer ingeperkt worden. Daarnaast kan het onderzoek leiden tot manieren om wormen in de toekomst beter te kunnen opmerken en tegen te houden.
dus niet alleen is microsoft wormmakers aan het helpen (dit zal wel overgenomen worden door andere), zijn ze ook nog eens te gierig om hun update-server te betalen?!?!
is het rijkste bedrijf in de wereld nu te gierig voor zijn vaste kosten te betalen of zit ik hier grandioos naast?
dit heeft niks met gierig te maken maar met het dicht-timmeren van zombie-pc's en botnets, lang niet iedereen heeft zijn beveiliging op orde

de enigste manier om zombie-pc's en botnets effectief te vinden is via wormen

je kan dit vergelijken met politie die elk huis controleert of die op slot zit, zit die goed dicht dan doen ze niks en gaan ze naar het volgende huis, kunnen ze binnen komen dan zetten ze er een goed slot op

[Reactie gewijzigd door gbh op 16 februari 2008 15:59]

kunnen ze binnen komen dan zetten ze er een goed slot op
Dus ik krijg een gratis slot van de politie? Bron?

In Nederland valt dit onder computervredebreuk, je wijzigt iets op iemand zijn PC zonder zijn toestemming. Niet alle updates zijn een verbetering (leert het verleden), daarom moet je gewoon zelf kunnen kiezen wat je wel en niet installeert.

Een voorbeeld van updates die voor de grebruiker geen verbetering is de DRM op WMV waar MS steeds met updates kwam als die weer eens gekraakt was. De nieuwe DRM bleek dan net zo brak als de oude, maar je DLL's waren wel weer groter.
de bron staat in het artikel boven, de ms worm richt zich alleen op geinfecteerde computers

het doel is niet het updaten op zich maar om geinfecteerde computers te beveiligen

http://technology.newscie...pread-software-fixes.html

heb jij dan een beter idee om zombie-pc's en botnets aan te pakken?
inbreken op een computer is nog steeds inbreken op een computer, met of zonder goede bedoelingen. En software installeren zonder toestemming ook.

Maar een beter idee is de mensen gewoon inlichten hierover. Wij weten wat een botnet is, maar veel mensen weten niet eens wat dat zou zijn....
deze worm kruipt alleen in computers die niet beveiligd zijn!!!!!

http://www.pcmweb.nl/artikel.jsp?id=2266311
Jamer Virusscanners gaan hiet niets tegen doen.
Microsoft heeft al jaren een virus dat je PC langzaam maakt. (CTFMON.EXE)
Kwa installatie en in het systeem netstelen gebruikt CTFMON oude virus technieken.
Maar geen enkele viruscanner die hem herkent laat staan verwijderd.

(Ja, er zijn enkele toepassingen in office waarbij CTFMON handig kan zijn. maar geef de gebruiker een keuze tijdens de installatie met of zonder CTFMON. En voeg het niet toe als een virus)
Misschien wil ik wel helemaal geen windows updates uploaden naar andere mensen?

Straks word mijn hele uploadsnelheid ingebruik genomen door Microsoft omdat ze zonodig de traffic van de updateservers willen verminderen.. Terwijl ik (en vele anderen) al 399 dollar (of 272 euro) hebben betaald voor Vista Ultimate.. En dan gaan ze ook nog m'n uploadsnelheid gebruiken..
Inderdaad, zeker als je een pechvogel bent die op een smallband accountje zit (met 256K upload) of in BelgiŽ woont waar ze van die achterlijke datalimieten hanteren, dan wordt je niet vrolijk als je honderden MBs aan het uploaden bent, want het gaat en van je datalimiet af, en je internet wordt bagger traag. Daar zal MS niet echt geliefd van worden.
Dit is ook meer als vervanging voor WSUS, dus bedrijfsnetwerken. Controlled environments.
Maar als zodanig totaal onpraktisch. Het lijkt me lastig te beheren, hoe wil je er voor zorgen dat de worm op een gegeven moment stopt? Daarnaast veroorzaakt het veel meer verkeer dan wanneer je een WSUS-server hebt die alle patches distribueert.

Daarnaast heb je op deze manier als bedrijf geen controle over welke patches op welke machines geinstalleerd word. Met WSUS heb je die controle ten alle tijde (je kan patches voor bepaalde OU's en dus computers declinen).

Er kan best een goede reden zijn waarom je specifieke patches niet op een bepaalde machine wil hebben, zoals het feit dat externe software dan niet of niet goed meer werkt bijvoorbeeld.
Het is juist de bedoeling voor minder dataverkeer.
Of in ieder geval, minder netwerk belasting.

Voor zover ik weet ziet een beestje standaard bedrijfsnetwerk er zo uit:
-Computers aangesloten op patch
-Patch gaat naar switch (per gebouw/verdieping)
-Switch gaat naar lokale router
-Lokale router heeft verbinding met andere routers
-etc.

Het doel is om het lokale verkeer binnen het eigen netwerk te houden. Dus dat er maar 1 bestand over de router gaat en de rest binnen de switch.

Vergelijk het met providers. Verkeer binnen het eigen netwerk is praktisch kosteloos en zou hoog mogen liggen. Verkeer over de IX kost geld en proberen ze dus te vermijden. Dus er wordt 1 bestandje over de IX binnengehaald en vervolgens wordt die binnen het kostvrije netwerk gedistribueerd.

Lijkt veel op het principe van torrents. Alleen torrents gaan (veelal) niet zelf op zoek naar peer partners binnen het netwerk. Dat is hier wel het geval.
Dat kan inderdaad zo zijn, maar dat kan WSUS ook al, middels downstream-servers. Een keer downloaden van de 'master WSUS-server', en alle clients binnen het lokale net halen hem van de downstreamserver.

Daarnaast heb je met WSUS veel meer controle over welke PC's onder handen genomen worden middels declinen/approven van patches voor bepaalde groepen.

Bij die worm heb je, voor zover ik het begrijp althans, geen controle erover. Je zet hem aan de gang, en die gaat dan tot het einde der tijden door met rondrazen en hij zal iedere (of alleen de niet-beveiligde) PC behandelen die hij vind. Ook op PC's waar je dat helemaal niet wilt, omdat een bepaalde patch daar niet op mag om een of andere reden, zoals bijvoorbeeld compatibiliteit met geinstalleerde applicaties.

Wat is dan de toegevoegde waarde van deze worm nog boven WSUS, of een 3rd-party tool als PatchLink?

[Reactie gewijzigd door wildhagen op 16 februari 2008 15:36]

Het klinkt niet echt veilig en wel heel interessant voor hackers. Ik zou dit geen prettige strategie vinden. Microsoft moet maar zorgen dat hun servers krachtig genoeg zijn, ipv van ieder systeem een deel van zijn kracht afsnoepen. Ik wil niet dat mijn pc wormen rondstrooit, wat die worm ook doet.
Inderdaad, je betaald immers de hoofdprijs voor hun software, maar als ze support moeten leveren geven ze het liefst "niet thuis" of ze vragen alvorens een gesprek aan te gaan naar je creditcard nummer.

In mijn optiek proberen ze zich er hier makkelijk weg te komen over de nek van providers welke niet eens een band hebben met Microsoft.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True