Microsoft koopt rootkitbestrijder

Microsoft gaat technologie voor de detectie van rootkits aan zijn beveiligingssoftware toevoegen nu het de ontwikkelaar van anti-rootkitproducten Komoku in handen heeft gekregen.

Komoku logo Komoku is een door de overheid van de VS gesubsidieerde ontwikkelaar van hardware- en softwarematige rootkitspeurders. Bij zijn oprichting in 2006 ontving het bedrijf 2,5 miljoen dollar van de onderzoeksorganisatie van de Amerikaanse defensie Darpa, het Department of Homeland Security en de marine om anti-rootkitoplossingen te bouwen. Deze overheidsinstanties mag het bedrijf sindsdien tot zijn klanten rekenen.

Komoku heeft inmiddels de Copilot, een pci-kaart die het geheugen en het bestandsysteem van een host in de gaten houdt, en de Gamma-software, die mogelijke rootkit-activiteiten op een systeem kan waarnemen, op de markt gezet. Microsoft gaat in elk geval Gamma in zijn zakelijke Forefront-lijn en in Windows Live Onecare integreren .

Tot dusverre gaf Symantec de mogelijkheid zijn Livestate-productlijn te combineren met Komoku's applicatie, zodat dit bedrijf een compleet pakket voor de detectie, verwijdering en restauratie van besmette systemen kon aanbieden. Deze concurrent zal, net als andere producenten van beveiligingsoplossingen, waarschijnlijk niet blij zijn dat Microsoft nu toegang krijgt tot de overheidsklanten en de vruchten plukt van technologie die tot stand is gekomen met overheidsgeld, schrijft Microsoft Watch.

IT-banen

Reacties (29)

Verwijderd 21 maart 2008 17:50

Microsoft die de kennis van een ander bedrijf moet overnemen om de problemen in zijn eigen software beter aan te pakken.

Doet me denken aan een uitspraak waarin 'wereld' en 'op zijn kop' voorkomen...

Bundin @Verwijderd • 21 maart 2008 18:28

Of hetzelfde beschouwd vanuit een compleet ander gezichtspunt:

Microsoft dat haar tekortkomingen inziet, bereid is om haar kennis uit te breiden en daarvoor wil/kan betalen. Allemaal ten gunste van haar (toekomstige) produkten en dus de gebruikers daarvan.

Wat wil je precies zeggen met je statement? Ik zie MS kennis in huis halen die nuttig blijkt voor haar produkten. Lijkt me heel verstandig van ze.

De bron voor deze nieuwspost is ook al duidelijk anti-MS. Er wordt gezegd dat MS gaat profiteren van uit belastingen gefinancierd onderzoek. Daarbij wordt wel handig voorbijgegaan aan het feit dat die kennis eerst in bezit was van een andere commerciele organisatie. De eigenaren van die organisatie verkopen hun bedrijf nu voor een (voor hun) aantrekkelijke prijs en verdienen eraan. Zij zijn in mijn ogen degenen die binnenlopen door uit belastingen betaald onderzoek. MS koopt simpelweg kennis voor een marktconforme prijs.

Verwijderd @Bundin • 21 maart 2008 21:37

Wat wil je precies zeggen met je statement? Ik zie MS kennis in huis halen die nuttig blijkt voor haar produkten. Lijkt me heel verstandig van ze.

Jij ziet MS kennis in huis halen die nuttig blijkt voor haar produkten...

Dus jij vindt het normaal dat een bedrijf informatie gaat halen over zijn eigen closed-source produkten omdat dat 3th party bedrijf blijkbaar beter begrijpt waar de fouten dan de maker, Microsoft in dit geval, zelf ?

En dat durf jij normaal noemen ?

Bundin @Verwijderd • 22 maart 2008 00:19

Ja hoor

Het komt vaker voor dat een externe partij in detail kennis heeft van een closed-source systeem.

Vergelijk het met (kopieer)beveiligingen. Closed source , maar zijn er mensen die ze weten te kraken, vaak op manieren die niet voorzien waren. Die kwetsbaarheden worden dan gepatched middels updates of compleet nieuwe versies, maar de expert-hackers weten de nieuwe beveiligingen steeds weer te omzeilen/doorbreken (bijvoorbeeld bij firmwares van psp/iPhone, kopieerbeveiligingen van dvds, of zelfs ordinaire computervirussen).

Ook hier heb je dus externe partijen die een closed-source systeem in meer of mindere mate weten te doorgronden (firmware hacks), of in ieder geval gebruik weten te maken van bepaalde zwakheden (computervirussen).

Komolu is blijkbaar goed in het opsporen van rootkit-achtige activiteit, haar producten houden memory/filesystem in de gaten (vergelijk met een heuristic virusscanner). De sterkte ligt niet direct in het precies weten waar Windows kwetsbaar is maar in het herkennen van mogelijk schadelijke processen die binnen een systeem aan de gang zijn.

MS ziet het nut van die specialistische kennis en koopt deze. Niks abnormaals aan.

[Reactie gewijzigd door Bundin op 22 juli 2024 22:22]

Verwijderd @Verwijderd • 22 maart 2008 00:19

Ja, dat is normaal. En 't gebeurt vaak genoeg en niet alleen met MS.

Verwijderd @Verwijderd • 21 maart 2008 19:35

Dat is outsourcing of insourcing en is op zich helemaal niet zo vreemd, je huurt experts voor een specifieke taak. Zelfs al is die taak een deel van jouw eigen werk.

Verwijderd @Verwijderd • 21 maart 2008 21:40

Mij lijkt het wel vreemd. Ze halen reeds bestaande externe kennis naar binnen. En dit over hun eigen, closed source produkt.

Ik durf te zeggen dat je dit niet normaal kan noemen.

Verwijderd @Verwijderd • 22 maart 2008 05:05

Dat is toch een beetje hetzelfde als zeggen dat een voetbalclub geen coach mag huren omdat ze immers Zelf de voetbalclub zijn; Nokia geen experts mag huren om de software voor hun phones te schrijven omdat Zij die phones maken; er geen externe experts zouden horen te zijn om motors te tunen aangezien Harley Davidson dat zelf hoort te doen; de NASA geen experts zou mogen huren om het maanlandertje te ontwerpen omdat zij Zelf de NASA zijn, etc. etc.?

Btw vergeet niet dat MSFT software deels "open" is via het shared source programma, en dus zouden er zeker bedrijven kunnen zijn die zich specialiseren op een bepaald Windows onderdeel, sterker nog dat is toch precies wat bedrijven zoals Symantec doen?

IMHO is MSFT altijd een bedrijf geweest dat software schreef om software voor (en mee) te schrijven, en de software zelf was nooit full-featured. Dat was vanaf dag 1 toen Bill Gates basic schreef. Bijv. Exchange server is er 1 waar heel mooi voor geprogrammeerd kan worden door externe partijen, maar waarbij MSFT zelf geeneens een spam-filter standaard leverde. Ook de defragmentatie van Windows is erg minimaal, maar kan wel heel mooi door externe partijen geprogrameerd worden.

(de truuk is natuurlijk om een goede tool te schrijven en jezelf voor miljoenen aan MSFT te verkopen

)

feuniks 21 maart 2008 15:55

Een goeie zaak. Alleen moeten dit soort pakketten gratis zijn. Het zijn immers vaak oplossingen voor problemen, die "by design" in het OS zitten.

Edit:
Ik schijn een leuke discussie op gang gebracht te hebben. Waar het mij om gaat is het volgende: Ik koop een OS. Dat OS moet af zijn. Ik bedoel daar onder meer mee, dat het bestand moet zijn tegen hacks. Nu is dat nooit het geval. Als beveiliger loop je altijd achter de feiten aan. Daarom heeft Microsoft in Windows 98 al besloten om WIndows Update in het leven te roepen.

Veiligheid heb je alleen op verschillende niveaus: Aan de ene kant moet je ervoor zorgen dat de rommel niet op je systeem komt en aan de andere kant moet je er voor zorgen dat rommel wat op het systeem terecht gekomen is, er weer af gaat.

We hebben het hier over root-kits. Dit draait inderdaad los van het OS en je zou dus kunnen zeggen dat het niet de taak van het OS of haar maker is, om dit soort zooi van het systeem af te krijgen. Echter: je hebt het OS wel nodig om dit soort spul op je systeem te krijgen. Het komt niet vanzelf. Het is in veel gevallen een hack, die mogelijk is, omdat het OS dit niet onmogelijk heeft gemaakt en voor een aantal van deze root-kits zijn patches, zodat ze niet meer op het systeem kunnen komen. Dus moet de maker van het OS er ook voor kunnen zorgen dat root-kits die al op het systeem staan, voordat een mogelijkheid is gevonden om het installeren ervan onmogelijk te maken, er weer af gaan.

[Reactie gewijzigd door feuniks op 22 juli 2024 22:22]

Verwijderd @feuniks • 21 maart 2008 16:12

Het zijn immers vaak oplossingen voor problemen, die "by design" in het OS zitten.

Een rootkit-bestrijder is geen oplossing voor een veiligheidsprobleem in een OS. Het is symptomen-bestrijding, een rootkit-bestrijder (of virusscanner of andere malware-bestrijding) helpt je alleen gevolgen van het probleem op te lossen, niet om de oorzaak van het probleem weg te nemen.

Verwijderd @Verwijderd • 21 maart 2008 19:11

En wat is volgens jouw dan de oorzaak?

edit: okee dan ook maar wat bijdragen.

Punt 1 hoort een goed OS verschillende authorisatie nivo's te hebben, zodat een rootkit uberhaupt niet zomaar als root binnenkomt. In Windows is dat in principe goed voor elkaar, wat jammer alleen dat veel mensen als Admin werken.

Punt 2 zou een goed OS zichzelf ook in de gaten moeten kunnen houden en oplossingen voor problemen zoeken en/of de gebruiker waarschuwen. Als MSFT de komoku software op de achtergrond kan laten draaien, en het OS zichzelf zou kunnen monitoren op verdachte (rootkit) installaties is dat een mooie verbetering. Je zou bv een waarschuwing krijgen "dit programma wortelt zich in de windows folder om ongelimiteerd togang tot uw systeem te krijgen."

Punt 3 zou een OS de gebruiker moeten onderwijzen en beschermen, bijvoorbeeld met UAC en filters zoals in IE7.

Q: En wat is volgens jouw dan de oorzaak?
A: De gebruiker. Het moet gemakkelijk zijn, maar dat impliceert ook dat Alles makkelijker wordt, bv programma's installeren, en dus ook rootkits krijgen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 22:22]

Verwijderd @Verwijderd • 21 maart 2008 21:21

En wat is volgens jouw dan de oorzaak?

Er zijn 2 oorzaken:
- lekken in het OS
- gebruikers die zelf malware installeren.

Ik had het in dit geval over de eerste.

Punt 1 hoort een goed OS verschillende authorisatie nivo's te hebben, zodat een rootkit uberhaupt niet zomaar als root binnenkomt. In Windows is dat in principe goed voor elkaar, wat jammer alleen dat veel mensen als Admin werken.

Zelfs als je als admin werkt, zou een rootkit niet zomaar geinstalleerd mogen raken.

Het feit dat veel mensen als admin werken is trouwens wel het gevolg van eerdere fouten van MS, gevolgd door fouten van ontwikkelaars: volgens mij zijn er nog steeds programma's die niet goed draaien als je geen admin bent...

Ik vraag me trouwens af: is de definitie van een rootkit op Windows hetzelfde als die op een Unix-systeem? Op een Unix-systeem is een rootkit een programma dat handmatig geinstalleerd wordt door een cracker, nadat hij op een andere manier binnengekomen is en root geworden, de rootkit dient er dan voor om zijn sporen uit te wissen en om zelfs nadat het oorspronkelijke beveiligingsprobleem is opgelost binnen te kunnen blijven komen.

Trouwens, ik reageerde op:

Het zijn immers vaak oplossingen voor problemen, die "by design" in het OS zitten.

Waarin dus de suggestie wordt gewekt dat het om een programma gaat, dat ondanks dat er nog steeds gaten in het OS zitten, steeds de troep opruimt die door dat gat binnenkomt. Dat is geen oplossing, dat is dweilen met de kraan open. Ik deed expres geen uitspraken over dit programma verder, want ik weet helemaal niet wat een rootkit onder Windows is - ik vermoed niet helemaal hetzelfde als onder Unix en ik weet ook niet wat dit programma doet en wat MS ermee van plan is. Ik reageerde alleen op dat ene zinnetje.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 22:22]

Verwijderd @Verwijderd • 22 maart 2008 04:47

Er zijn 2 oorzaken:
- lekken in het OS
- gebruikers die zelf malware installeren.

OK, mee eens. Ik vroeg het even, ik verwachtte namelijk dat er een "structurele fout" in Windows werd gesuggereerd (dat wordt het namelijk vaak op forums, maar altijd zonder uitleg.)

Onder lekken in het OS versta ik dan nog bijvoorbeeld de RPC exploit toendertijd, wat overduidelijk een zwakte van Windows was, maar behalve dat denk ik dat security in Windows alleszins redelijk is als je bedenkt dat het zeer gemakkelijk te gebruiken is.

Echter, het feit dat mensen altijd maar op OK, Volgende en Ja klikken, MSFT kan er weinig aan doen behalve:
- UAC, duidelijke keuzes laten zien, veilige defaults suggereren, visuele middelen gebruiken (kom op MSFT, gebruik nu eens wat kleur in je UIs!!)
- het Admin account zoveel mogelijk terzijde, zijn ze al sinds WinXP mee bezig
- detectie/preventie en reparatie middelen inbouwen, zijn ze al mee bezig sinds Windows Defender, error reporting en nu ook komoku
- onderwijs van de gebruiker

In theorie zou het mogelijk kunnen zijn om je OS op te delen in meerdere lagen, bijv. een core laag waar niemand bij kan, een systeem laag waar alleen Administrators bij kunnen en een user laag waar elke user bij kan. Echter, ik denk dat het weinig praktisch nut heeft, het betekent alleen maar dat je gebruiksgemak inlevert voor veiligheid, en die trade-off heb je nu ook al.

tuXzero @Verwijderd • 22 maart 2008 19:50

Jeroenr ik ben het helemaal met je eens, vooral die 2 bovengenoemde punten. Wat ik me afvroeg toen ik dit las:

In theorie zou het mogelijk kunnen zijn om je OS op te delen in meerdere lagen, bijv. een core laag waar niemand bij kan, een systeem laag waar alleen Administrators bij kunnen en een user laag waar elke user bij kan. Echter, ik denk dat het weinig praktisch nut heeft, het betekent alleen maar dat je gebruiksgemak inlevert voor veiligheid, en die trade-off heb je nu ook al.

Q. Zit dit niet al in Unix / GNU Linux?

En ik wilde nog toevoegen dat nog een beveiligingsrisico homogeniteit is. Wat wil zeggen dat je overal het zelfde gebruikt. (Wat veel mensen als tegenargument gebruiken als wordt beweerd dat Windows niet veilig is. En wat nog steeds niet wegneemt dat buiten beschouwing dit aspect Windows nog steeds onveilig beschouwen wordt door - onder andere - ik zelf.) Dit wordt overigens in Linux opgelost met Linux Security Modules.

Alhoewel homogeen zijn betekent niet dat je gelijk een veiligheidsrisico loopt. Maar het betekent dat het makkelijker is voor de aanvaller. Omdat die zich nog maar op één security model hoeft te specialiseren om meerdere doelen te treffen. Want stel dat je security model perfect is, dan mag je homogeen zijn als de ...?!? Ach je weet wel wat ik bedoel!

g4wx3 @feuniks • 21 maart 2008 16:55

ALLE OS-en zijn volgens mij vatbaar voor een rootkit.
de eerste werd zelfs ontwikkelt voor unix (hence the name)
Het is niet de fout van MSFT.
Je zou IBM kunnen blamen, want zij hebben de "PC" "ontworpen" (gestandaardiseerd)

Verwijderd @g4wx3 • 21 maart 2008 21:12

ALLE OS-en zijn volgens mij vatbaar voor een rootkit.
de eerste werd zelfs ontwikkelt voor unix (hence the name)

De meeste rootkits komen uit de unixwereld, echter, voor zover ik weet is er geen 1 daarbij die zich automatisch installeert, alle rootkits worden handmatig geinstalleerd door de cracker die eerst op een andere manier is binnengekomen en root geworden. Het is, in ieder geval in de unixwereld, niet zo dat een "OS vatbaar is" voor een rootkit.

Je zou IBM kunnen blamen, want zij hebben de "PC" "ontworpen" (gestandaardiseerd)

De hardware ja, maar wat heeft de hardware met rootkits te maken???

g4wx3 @Verwijderd • 21 maart 2008 21:42

Dat hardware zichzelf zou moeten controleren, bv iets in de bios, het bedrijf levert PCI kaarten (ik was kort door de bocht)

Verwijderd @feuniks • 21 maart 2008 16:29

Dus dat er op de zijkant van m'n huis grafitie gespoten wordt ligt dat aan de aannemer?
Virus en rootkit schrijvers zijn gewoon vandalen en moeten op die manier aangepakt worden. Als je wordt gepakt dan kun je strontluiers van bejaarden gaan verschonen.

Verwijderd @Verwijderd • 21 maart 2008 16:35

Dus dat er op de zijkant van m'n huis grafitie gespoten wordt ligt dat aan de aannemer?

In het geval van computers/OS'en wel. Een OS hoort niet gevoelig te zijn voor dit soort aanvallen.
(Even los van de ook veelvuldig voorkomende malware waar de gebruiker zelf de malware installeert. Dit wordt vaak onterecht "virus" genoemd, maar in feite is het een Trojan horse)

Crakie @Verwijderd • 21 maart 2008 17:36

Als koper mag je eisen aan de prestaties van een product stellen, dus ook aan hoe goed een OS allerlei narigheid buiten de deur houdt. Maar eisen dat het 99 procent waterdicht is (laat staan 100), lijkt me wat veel gevraagd. Dat kost zoveel extra ontwikkelwerk, dan schiet de prijs omhoog. Ik vind het daarom redelijk om gebruikers die hogere eisen stellen ook voor de extra kosten te laten opdraaien - bijvoorbeeld door een softwarepakket erbij aan te schaffen.

Dat wil natuurlijk niet zeggen dat de eigenaars van iedere huis-tuin-en-keuken pc zonder belangrijke gegevens maar genoegen moeten nemen met baggerbeveiliging op hun OS van honderden euro's. 'Normaal' gebruik moet volstaan om rotzooi in het systeem te voorkomen.

Het is wel ironisch trouwens dat de veiligste OSsen juist niks kosten in de aanschaf

Verwijderd @Crakie • 21 maart 2008 21:15

Als koper mag je eisen aan de prestaties van een product stellen, dus ook aan hoe goed een OS allerlei narigheid buiten de deur houdt. Maar eisen dat het 99 procent waterdicht is (laat staan 100), lijkt me wat veel gevraagd. Dat kost zoveel extra ontwikkelwerk, dan schiet de prijs omhoog. Ik vind het daarom redelijk om gebruikers die hogere eisen stellen ook voor de extra kosten te laten opdraaien - bijvoorbeeld door een softwarepakket erbij aan te schaffen.

Een OS is nooit 100% dicht, maar het zou wel zo moeten zijn dat alle bekende problemen opgelost moeten worden. Malware maakt gebruik van bekende problemen (behalve zero-day-exploits) en dus als alle bekende problemen opgelost zijn zou je tegen vrijwel alle exploits beveiligd moeten zijn.

tuXzero @Crakie • 22 maart 2008 20:06

Het is wel ironisch trouwens dat de veiligste OSsen juist niks kosten in de aanschaf

Dat komt omdat een beveiligingslek dat gedicht wordt door bijvoorbeeld Redhat ook doorgegeven wordt aan Novel, Canonical, enz. Dankzij de GPL! Niemand van die partijen heeft baat bij het verborgen houden van lekken.

Maar Microsoft loopt gezichtsverlies als hun systeem onveilig in de boeken staat. Dus het kan best dat de gruwelijkheden stiekem gefixed worden. Of (ik heb het wel vaker gehoord, dan wel niet ongeargumenteerd) Microsoft zet het even in de wacht (ja ook Microsoft kan het druk hebben!). Want daar heb je overigens virus scanners en dergelijke voor.

Edit: Spelling

[Reactie gewijzigd door tuXzero op 22 juli 2024 22:22]

Verwijderd @feuniks • 21 maart 2008 16:05

Het is ook "by design" mogelijk dat er afluisterapparatuur in je huis word geplaatst. Als je jezelf extra wilt beveiligen mag je daar best voor betalen hoor.

Verwijderd @Verwijderd • 21 maart 2008 16:15

Het is ook "by design" mogelijk dat er afluisterapparatuur in je huis word geplaatst. Als je jezelf extra wilt beveiligen mag je daar best voor betalen hoor.

Dus als de aannemer die jouw huis gebouwd heeft een kartonnen voordeur geplaatst heeft, en er dan om de haverklap allerlei mensen bij jou door de woonkamer lopen, vind jij het geen enkel probleem dat je die aannemer vervolgens nog eens gaat betalen om die mensen uit je huis te laten verwijderen?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 22:22]

Cybergamer @Verwijderd • 21 maart 2008 17:42

ehh. Het lijk mij dat je dat van te voren weet dat je huis een kartonnen deur heeft. Waarom koop je em dan toch?

Verwijderd 21 maart 2008 16:27

Als MS dit niet mocht kopen van de overheid omtrent hun machtspositie in de markt, dan was er denk ik wel ingegrepen door de overheid. Dan was de overname van Komoku tegen gehouden.

@feuniks 15:55
Dat zou betekenen, dat de bugs in een OS dus niet gerepareerd worden maar een of andere afhandeling krijgen. Dat is een fout doel, en ik denk dat het daar dan ook niet voor bedoeld is.

HoeZoWie 22 maart 2008 14:05

Hele goeie zet, en nu nog inbouwen in Windows XP, Vista en Windows Server 2003 / 2008 met een KB-Hotfix of Service Pack. Heel goed! Echt klasse vind ik dit, vooruitgang! Yes!

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (29)

Sorteer op:

Weergave: