Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 80 reacties

Symantec heeft twee updates uitgebracht van Norton Security en Norton Antivirus. De fabrikant claimt dat zijn producten beter presteren tijdens het scannen op malware dan die van de concurrentie.

De voornaamste vernieuwing in de 2009-serie is volgens Symantec te vinden in de scanengine. In plaats van het scannen op een immer uitdijende zwarte lijst van malware-signatures, kiest de scanner uit de Norton-stal voor het hanteren van een white list. Daarmee worden handtekeningen van bestanden die als veilig worden geacht en op vrijwel alle Windows-installaties zijn terug te vinden, binnen de gebruikersgroep van Norton-producten gedeeld. Bestanden die onbekend zijn binnen de centraal beheerde database worden wel direct aan een controle onderworpen. Updates voor de 'veilige' lijst worden door middel van een continue stream aangeboden, iets dat door Symantec wordt omschreven als 'pulse updates'.

Symantec-logo Symantec claimt dat dankzij deze 'nieuwe' methode de virusscanner zijn werk sneller doet dan de concurrentie die onder andere met zwarte lijsten werken, mede omdat de veel compactere whitelist in ram wordt opgeslagen. Bovendien zou de whitelist-methode aanmerkelijk minder cpu-cycles en geheugenverbruik opslokken dan bij vorige versies het geval was. Hoewel nog moet blijken hoe goed de scanner in de praktijk werkt, gaven diverse medewerkers van Symantec tijdens de lancering van de nieuwe productlijn aan dat het bedrijf voorlopig niet van plan is om de whitelist met anderen te delen, ondanks de potentie om er binnen de industrie een mogelijk efficientere aanpak mee te realiseren of zelfs tot een openbare whitelist te komen.

Behalve een aangepaste scanengine heeft Symantec ook gesleuteld aan de installatieprocedure van Norton Security en Antivirus. Deze zou slechts met enkele muisklikken bedrijfsklaar zijn. Ook de gui is aangepakt, terwijl de scanner ook geen dialogen zou tonen tijdens full screen activities, zoals gaming of het bekijken van een film. Norton Security 2009 en Norton Antivirus 2009 hebben een adviesprijs van respectievelijk 59,99 en 39,99 euro.

Moderatie-faq Wijzig weergave

Reacties (80)

Wat een onzin.
De white-list zal, naar ik mag aannemen, bestaan uit de standaardsoftware die op veel pc's geinstalleerd is (Windows en Office etc.)
De personen die eigenlijk alleen dat maar op hun pc hebben staan zullen dan dus een snellere scan hebben maar dat zijn tevens de personen die een zeer laag risico lopen op virusbesmetting.
De personen die van alles en nog wat van internet af plukken hebben een hoger risico en voor hen zal het ook vrijwel geen voordeel opleveren.
Voor zover ik uit het artikel begrijp wordt eerst de whitelist erbij gepakt, staat het te scannen object niet in die lijst, dan wordt de ouderwetse blacklist methode alsnog gebruikt. Hierdoor duurt het scannen van een onbekend object dus iets langer inderdaad, maar naarmate de whitelist completer wordt zal dit steeds verder afnemen.

Ik vind whitelisten een betere methode dan blacklisten, maar jammer dat ze de lijst niet openbaar maken. Maar goed, nu kunnen ze natuurlijk concurreren op whitelist compleetheid, wellicht is deze marktwerking ook gunstig. Het kabinet zal er waarschijnlijk wel achter staan ;)
Het voordeel van een whitelist tegenover een blacklist is in dit geval een kwestie van welke is groter - zijn er meer 'veilige' bestanden dan 'onveilige' bestanden, in dit geval. De kleinste lijst is het snelst.
Hoeveel miljarden propere programma's bestaan er wel niet ? die white list zal dus ook lang worden.
Verder zal ook de white list "gescand" moeten worden want het is niet omdat ik office gebruik, dat er geen virus in mijn office kan zitten !

dus moeten ze dat ook controleren, dus ook mijn versie en patch level bekijken.
Kijken welke update er geïnstalleerd zijn, ...
de office gebruikers zijn ook meestal de mensen met een tragere pc, op zich vind ik het een zeer goed idee, het zal wel niet lang duren voor anderen het overnemen
als ze hun white list goed bijwerken zal er heel snel een uitgebreide lijst zijn, daarbij, als ze het slim aanpakken, kan hij ook "leren" (ik vind het raar dat dit nu pas "uitgevonden" is): elke dag scant de meeste scanners dezelfde bestanden bij het opstarten, als je dit 1x doet en dan een unieke sleutel bewaard, kan je bij de volgende keer gewoon kijken of het nog hetzelfde bestand is, zoja => next, zonee even grondig scannen
Stel dat er een stukje software is met een virus dat nog niet is bekend. Norton scant het, ziet dat het in orde is en zet het op de whilte list. Stel dat het virus na twee maanden actief wordt, dan ziet Norton hem toch niet meer?

Met andere woorden, moet Norton die whitelist ook niet steeds bijhouden? En dus uiteindelijk alles opnieuw scannen?
De whitelist wordt steeds bijgewerkt, ook via updates van Norton. Als dan blijkt dat er een programma op de whitelist staat, dat er niet zou moeten staan (als het er überhaupt al op word gezet), dan zal het er vast wel van verwijderd worden.
In plaats van het scannen op een immer uitdijende zwarte lijst van malware-signatures, kiest de scanner uit de Norton-stal voor het hanteren van een white list.
Wow... respect als ze dit voor elkaar krijgen. Er komen continu nieuwe programma's uit die moeten ze dan wel allemaal binnen een acceptabele tijd toevoegen aan die white list.

En hoe doen ze dat precies eigenlijk? Ik bedoel stel app x versie 1.0 staat op de white list. Die app draaid na een maand automatisch een update naar 2.0 werkt daan door norton meteen die applicatie niet meer? En zo wel waar controleren ze dan op.. de naam? dan zou als de applicatieX.exe en applicatieX.exe (met een virus) als veilig bestempeld moeten worden anders zou het updaten van applicaties niet mogelijk zijn tot dat Symantec eens zin krijgt om de update toe te voegen want die applicatieX.exe zou net zo goed een update kunnen zijn dat kan die applicatie white list niet ruiken.

En ik zie zo ook al meteen een stapel aanklachten binnen komen van bedrijven waarvan de applicatie wordt bestempeld als een virus terwijl deze toch een gewone, goede applicatie is die toevallig niet in de lijst staat.

Hoewel het wel meer cpu/memory zal kosten lijkt het mij beter / veiliger om te scannen op het gedrag van een applicatie. En het is nu niet echt dat mensen zich al te druk zullen maken over cpu/memory gebruikt elke beetje moderne pc heeft minimaal een 2core cpu en minimaal 2gig geheugen of meer.
Als de app niet op de whitelist staat wordt ie gescanned en vergeleken met de blacklist. Dat is zoals alle virusscanners het nu doen. Dus je krijgt in princiepe niet meer false positives dan nu.

Snelheidsvoordeel zal er bij veel home users zeker zijn. Als de standaard office + internet + media apps in die whitelist zitten, en er goede afspraken zijn met de fabrikanten daarvan wat betreft de updates lijkt het me voor 80% van de mensen een goed iets.

Dit werkt natuurlijk niet voor veel tweakers die vage / onbekende of zelfgeschreven apps gebruiken en deze ook nog eens veel installeren en/of verwijderen. Maar goed, dat is dan ook in eerste instantie niet de doelgroep :)
Ik vraag me af of die whitelist ook niet explodeert: er is niet zoiets als Office 2003. Er zijn vele smaken afhankelijk van de patches die je geinstalleerd hebt (en dat zijn er nogal wat!).
Maar er zijn nog altijd meer virussen die een bestand infecteren dan er versies van een bestand zijn. Enkel bij enkele zeer drukke bestanden in de windows map die reeds van in het begin bestaan zal het omgekeerd zijn.
[...]


Wow... respect als ze dit voor elkaar krijgen. Er komen continu nieuwe programma's uit die moeten ze dan wel allemaal binnen een acceptabele tijd toevoegen aan die white list.
Da's nu toch ook zo met virussen? Er zit niet zoveel verschil tussen het bijhouden van virussen of veilige programma's hoor, tenminste niet in dit geval. Als er een onbekend bestand binnenkomt gaat Norton het gewoon doorsturen naar het hoofdkwartier, waar het nagekeken wordt en op de witten danwel zwarte lijst gezet wordt.
Bestanden die onbekend zijn binnen de centraal beheerde database worden wel direct aan een controle onderworpen.
Wel even lezen ;)
Vraag me niet mijn mening over het hele idee, maar als ze echt snelheidswinst er mee boeken..

[Reactie gewijzigd door Svennetjee op 16 september 2008 20:52]

hmm.. een whitelist voor bestanden.. Is het niet heel makkelijk om gewoon een .exe te maken van een veel gebruikt programma, van dezelfde grootte, en toch een virus erin te schrijven? Ik bedoel, de .exe hoeft dan niet meer te werken, zolang het z'n virus verspreid. of andere extensions. Of word er ook nog heuristisch gekeken naar die bestanden? Kan zoveel manieren om een whitelist te bedenken, dat het me moeilijk lijkt om het betrouwbaar te houden
Een whitelist. Als de exe er op staat wordt een hash berekend over de exe, en die moet dan overeenkomen.
Hierbij moet het hele bestand gelezen worden, maar dat is niet zo erg want dat moet toch gebeuren om het uit te kunnen voeren.
Het is in ieder geval veel sneller dan het tegen 100k+ virussen te testen, laat staan er heuristic tests op los te laten.

In theorie is het mogelijk een exe te maken met dezelfde grootte en hash waarde als een bekend programma, maar dat valt niet bepaald mee. Zeker niet wanneer de exe wel gewoon moet doen wat de bedoeling is.
Een Winword die de harde schijf wist is niet zo interessant tegenwoordig.
Een patched exe die een backdoor opent en dan gewoon doet wat verwacht wordt is wel interessant, want dan heeft de gebruiker niks door.

Maar een exe patchen zodat 1) het formaat niet wijzigd, en 2) de hash niet wijzigd en 3) nog de oorspronkelijke functionaliteit heeft en 4) ook nog iets extra's doet is eigenlijk niet mogelijk.
.exe hoeft niet helemaal geladen te worden voor het uitvoeren: hiervoor heb je http://en.wikipedia.org/wiki/Memory-mapped_file. De meeste exe files worden dan ook nooit helemaal in het geheugen geladen.
Ik ben het ermee eens dat het lastig wordt, maar een hoop programma's hebben zoveel bloated features erin die niemand ooit gebruikt dat het best mogelijk is een of andere zelden gebruikte feature te overschrijven met kwaadaardige programmacode. Het wordt een heel gepruts natuurlijk, ten opzichte van een e-mail worm of script exploits is het haast een levenswerk. Met de code die je krijgt moet je dan ook nog een hash collision weten te bouwen, van SHA-1 of SHA-2 uitgaand bijna onmogelijk.

Op zich zou het wel mooi zijn de mail-merge functionaliteit uit Word te halen en daar een virusje in te stoppen dat automatisch geactiveerd wordt bij het starten, maar mits Symanctec zijn huiswerk netjes heeft gedaan is het teveel moeite voor iets wat te weinig oplevert. Ik bedoel, als je die exe op andermans pc kunt wijzigen ben je al redelijk klaar natuurlijk, kun je ook gewoon de automatische updates van Norton en de notificaties daarover uitschakelen :)
deze techniek is echt niet nieuw hoor, kaspersky was er volgens mij als een van de eerste mee begonnen, symantec zegt elk jaar dat het weer sneller is en beter, maar daar merk ik keer op keer helemaal niets van.. ik kan me ook niet voorstellen dat ze zelf een database van enige kwaliteit kunnen samenstellen en onderhouden..
Kaspersky voegde metadatatoe aan bestanden(met behulp van speciale functies van het NTFS bestandssysteem) die al een keer gescanned waren en toen als 'clean' werden beoordeeld. Inmiddels is deze functie er al weer uitgehaald. Ik geloof dat het de prestaties juist omlaag haalde in plaats van omhoog. Het was in ieder geval wel vergelijkbaar, maar zeker niet hetzelfde als de techniek van Symantec. Symantec houdt zelf een whitelist-database bij, terwijl Kaspersky dat min-of-meer lokaal deed op je eigen pc.
Of de funtionaliteit er uit is gehaald weet ik niet, ik draai al tijden geen KAV meer, maar ik weet wel dat de methode van opslag omstreden was gezien het een techniek gebruikte die rootkits ook vaak hanteren om zichzelf te verbergen voor het OS / de normale gebruiker.
Als die lijst nou openbaar zou worden, zou het ook leuk zijn.

Ik neem aan dat die bestanden door middel van MD5 hashes worden herkend?
Is dit niet te "hacken"?
Ja, want MD5 is allang gekraakt, zie http://en.wikipedia.org/wiki/Md5. Ik hoop dat als ze hashen ze een wat veiligere methode gebruiken, zoals SHA1. Hashen is trouwens behoorlijk intensief, dus of dat dat de gebruikte methode is betwijfel ik.
MD5 is helemaal niet gekraakt!

Het probleem dat MD5 heeft is dat je van één bestand twee dezelfde hashes kan krijgen. MAAR dit kan je alleen voor elkaar krijgen als je zelf van te voren kan bepalen hoe de data er precies uit ziet. Je kan dus niet zomaar iets aanpassen in een willekeurig bestand zonder dat de hash veranderd.

Maar als je op rainbow tables in je reactie mikt daar heeft natuurlijk elke hash last van (ook SHA), maar dit kan je weer grotendeels oplossen door salt te gebruiken.
MD5 is niet gekraakt. Dat het te bruteforcen valt is een heel ander verhaal dan dat MD5 officieel gekraakt zou zijn.
Het is niet gekraakt in de zin van dat je van de hash terug kan gaan naar de oorspronkelijke input.
Er zijn echter wel onderzoekers die een aantal files kon maken met dezelfde MD5-hash. In dat opzicht zou je het dus wel als gekraakt kunnen beschouwen.

offtopic:
Daar hadden ze een leuk geintje mee uitgehaald :) Ze zeiden dat ze wisten wie de winnaar was van de verkiezingen, en zetten alleen de hash van het bestand online, zogenaamd om de stemming niet te beïnvloeden. Ze hadden voor alle kandidaten een bestand gemaakt en alle bestanden leverden dezelfde hash op. Zo hadden ze dus altijd gelijk!
Het is niet gekraakt in de zin van dat je van de hash terug kan gaan naar de oorspronkelijke input
En dat zal ook nooit gebeuren...

Het is immers een hash
Inderdaad, maar het zou theoretisch nog wel zo kunnen zijn dat het mogelijk wordt om, gegeven een hash, alle plaintexts van lengte <= n te berekenen die aan die hash voldoen.

Dan zou het pas ECHT gekraakt zijn, maar ook dat zit er voorlopig nog niet in.
Een hash hoeft echter niet uniek te zijn.

Het zou in theorie mogelijk zijn om voor 2 bestanden boven een bepaalde size dezelfde hash te krijgen. Hoewel die kans wel 1 op veel is. Daarom moet ook altijd de bestands grootte worden bekeken icm de hash waarde.

Als je een hash terug zou kunnen rekenen, zou je een text bestand van 10 MB kunnen comprimeren in een klein stringetje. Lijkt me niet realistisch :)
Realistisch niet, maar wel handig :). Maar ja, met een hash zou je dus twee compleet verschillende bestanden terug kunnen krijgen.
Maar dat kan je doen Blade.

1. Maak een lijst met alle strings van bijvoorbeeld acht tekens
2. Bereken hier een hash bij

Nu kun je bij elke hash alle plaintext van lengte <= 8 vinden.

Je kan zelfs zeggen of de hash bestaat voor een string van <= 8 tekens.

Goal driven search noemen ze dat.
De oorlog in Irak is ook nog niet verloren. Toch doet de volgende president er goed aan een exit strategie te bedenken.

Wie nu nog MD5 voor nieuwe software gebruikt is gewoon dom bezig. Zelfs microsoft is overgestapt op SHA-256 voor serieuze toepassingen.

Zoals Bruce Scheier zegt: "Cryptographic attacks always get better, but they never get worse"
Het werd eens tijd dat ze eens iets gingen doen aan hun veel te zwaar anti-virus pakket. Het heeft altijd enorm traag gedraaid. Bovendien vond ik Norton een van de slechtste pakketen die je kon krijgen. Bij een echt zware aanval ligt Norton er onmiddelijk uit terwijl andere zich wel staande kunnen houden. Dat is natuurlijk persoonlijkke ervaring maar ik heb altijd wel al gemerkt dat veel mensen mij daar gewoon in volgden.
Norton voor consumenten is inderdaad log, traag & bloated ... Echter moet je eens op zoek gaan naar hun corporate producten. Supersnel & nooit problemen mee. Verder heb je gelijk dat Norton niet altijd doet wat het moet doen, als pc-technieker van de 'familie' heb ik de zelfde ervaring. Zoals virussen waarvan Norton zegt dat ze weg zijn die blijven terugkomen etc. Hopelijk is er met de 2009 versie verbetering.

@ Arfman, ik heb het nog niet getest met 6500 clients :) , maar in ons klein netwerk doet het wat het moet doen.

[Reactie gewijzigd door KimG op 16 september 2008 21:52]

Ook geen goede ervaring met hun corporate versies.
de 7, viel nog mee van snelheid, maar viel teveel door de mand op herkenning.
Toegegeven dat de 7 mijn laatste poging was.
om goed te zijn zou je voor elke scannen en sandbox-pc op je netwerk moeten zetten.
en kijken wie er alarm slaat.
dat is niet echt praktisch.


Heb het statement "nooit problemen mee, nooit geklaagd over virussen" al veel gehoord.
Wil niet zeggen dat er geen virussen op hun systemen staan.
Helaas, altijd het afwegen tussen info geven en verzwijgen is niet gemakkelijk.
Norton zwijgt soms nogal en maakt het de gebruiker zogezegd gemakkelijk. Wat zeker niet garant staat voor veilige systemen.

[Reactie gewijzigd door bigbadbull op 17 september 2008 11:06]

Nooit problemen mee?
Ze hadden een paar jaar geleden een leuke managementinterface, maar de scansnelheden, logheid en de enorme gaten die ze laten vallen in de verdediging van je PC maakt dat wij met 6500 clients overstappen op een ander product.
@KimG: ik weet zeker dat het niet doet wat het moet doen. Nieuwe virussen en spyware komen zonder problemen langs jullie Symantec software, probeer het maar eens op een testwerkstation :)
Wacht maar totdat je schijven wat voller raken. Ohja en begin al helemaal niet aan te komen met software als sourcesafe/svn etc (sourcecode bewaarsoftware) want daar heeft symantec echt ruzie mee.

Feit is als bij ons een sweep wordt gedaan is mijn computer de hele ochtend niet vooruit te branden. En nee ik heb geen trage computer.
Wij gaan binnenkort dus ook overstappen op de concurentie.
Het zal mij benieuwen, Norton staat bij mij nou niet echt bekend om zijn snelle software. Het idee van een whitelist is (als het echt werkt) wel geniaal.
Ik kan me nog een virusscanner van nederlandse bodem herinneren in het dostijdperk die iedere file scande en als deze geen virus bevatte een checksum van het gecontroleerde bestand opsloeg. Als het bestand weer gescand moest worden dan hoefde alleen de checksum opnieuw berekend te worden in plaats van een complete (echte) analyse van het bestand. Dat is zo mogelijk nog slimmer dan wat Norton hier doet. Ben de naam van het programma even kwijt (wordt ook niet meer gemaakt), maar het concept heb ik nooit meer teruggezien.
klopt, heb die ook lang gebruikt.
Was ook een van de eerst die met heuristisch scannen af kwam.
Maar dit was wegens het gezaag zoals door OsOltalo beschreven, niet echt weggelegd voor de gemiddelde leek, je moest dat wel goed interpreteren.
Volgens mij was dat Thunderbyte Antivirus (TBAV). Gebruikten ze waar ik toen systeempjes (Win 3.11) onderhield. Erg irritant want elke keer nadat je software geinstalleerd had ging TBAV je daar vragen over stellen. Deden wij bij systeembeheer dat niet dan kregen we gegarandeerd constant vragen van gebruikers.
Maar het werkte overigens wel!
da's omdat je over het verleden praat en geen norton 360 hebt gebruikt
Ik verbaas me er echt over wat een onzin veel mensen hier posten, Norton 2009 is zeker geen bloatware. Iedereen die in deze thread zegt dat Norton 2009 een slecht pakket is met veel bloatware weten duidelijk niet waar ze over praten, net een stel schapen, 1 zegt dat het bloatware is en de rest volgt wel...

Toegegeven, Symantec heeft in de afgelopen jaren inderdaad een slechte reputatie opgelopen, maar met Norton 2009 hebben ze het roer echt compleet omgegooid. Het is spijtig dat zoveel mensen blijven hangen in het verleden.

Ik zou zeggen lees eerst eens een aantal reviews voordat men een overduidelijke verkeerde mening post.
Andere kant, schade is al gedaan. Iedereen die bv een HP computer kocht kreeg het oude pakket van Norton erop (internet security?), dat werd bijna standaard bij start al verwijderd, zo enorm traag kon dat zijn.

De 'concurrenten' mogen nu nog langzamer zijn (ja, meetbaar?) maar moeten mogelijk hun nieuwste versie nog uitbrengen die mogelijk gelijke dingen kan.

Dus ik zal niet de enige zijn die wacht tot versie 2011 voordat ik Norton weer voordeel van de twijfel geef. (Zeker omdat ik a. diverse freeware scanners hebt, b. van mijn provider ook een scanner krijg).
Je zal inderdaad niet de enige persoon zijn dat na al die jaren slim gaat afwachten tot je zelf kan proberen ipv enkel reviewsites vol met reclame te geloven.
Voor software als dit is er maar één betrouwbare reviewer en das persoonlijke ervaring.
Norton 2009 is zeker een goed pakket! Ze hebben hun producten echt in alle opzichten beter gemaakt.

Zie de volgende links voor recensies en reviews

AV-Comparatives.org review
AV-test.org review
http://www.pcmag.com/article2/0,2704,2330018,00.asp preview
Cnet review
Wilderssecurity thread 1
Wilderssecurity thread 2

[Reactie gewijzigd door maspro op 16 september 2008 22:38]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True