Forklar mig lige igen...

Jeg ville have forventet at en af Microsofts regression tests bestod i at placere deres ny operativsystem på ubeskyttede ADSL linier for at se om de holdt til det ?

Failed before: Yes
Fails now: Yes
Test succeeded with no new errors.

Hvis man bruger Linux eller BSD, så er det sådan lidt kedeligt. Fordi det meste malware er skrevet til Windows-platformen. Og når man så endelig finder noget ikke til Windows, så er det normalt til Mac OS X. Man skal nærmest opsøge Linux/BSD-malware.

Det er bare ikke særlig spændende. Nej, spændingen ved Windows er at ligepludselig så kan man få malware eller en virus, selv hvis man ikke gør noget. Det er dét der gør Windows til en spændende film, fordi man ved aldrig hvad der sker om lidt.

Hvornår har der sidst været en direkte remote exploit på Windows?

Hvor mange af nuværende aktive attack vectors er i selve Windows, og hvor mange er i 3. parts programmer (specielt Java browser-plugin, Flash og Adobe Reader)? Er der sikkerhedshuller i "Linux" eller "BSD" når der er exploits til Apache, BIND, eller whatever?

Og til sidst, noget der rent faktisk er relevant i forbindelse med nyheden: er McAfee nu rent faktisk blevet tiltalt, eller skal han blot afhøres?

Jeg ville have forventet at en af Microsofts regression tests bestod i at placere deres ny operativsystem på ubeskyttede ADSL linier for at se om de holdt til det ?

Men ifht hvordan snask i dag kommer ind på maskinerne, så vil den test vel egentlig ikke vise så meget?

Uanede PC'er i offentlig, erhverv og privat kører windows med en eller anden tilfældig antivirus.

Antivirus programmer har rettigheder til at læse og skrive alle mulige steder.

Antivirus programmer henter jævnligt updates ned over nettet.

Når det værste kommer til at ske, kommer en af de populære antivirus programmer til at fungere som vektor.

Det er kun et spørgsmål om tid.

Lad os håbe MS får ryddet op inden katastrofen rammer.

Hvor blev kildekritikken af? Det ligner ikke dig at glemme den slags, PHK.

"Den seneste "success" historie er at Windows8 kan modstå "85% af gængs malware"."

Kilden til omtalte rapport var BitDefender. Et antivirus-firma. Det er næppe en undersøgelse, der kan bruges til ret meget.

Om tallet er 85%, 35% eller 98% er i den sammenhæng ikke så vigtig.

Tja, derfor er du sgu nok nødt til at gå et andet sted hen for at være sikker på "intellectual honesty".

:o)

Sjovt nok er det nøjagtigt det samme med OS X...

Who cares? Der er jo ingen der smider en Windows-maskine på nettet idag uden enten at være bag en router eller have den indbyggede firewall slået til (formentlig begge dele for de flestes vedkommende).

Dermed får man altså ikke på magisk vis virus - det største problem for den slags er Java, Adobe Reader og Flash plugins i browserne, som lader til at være mere hullede end en schweizerost.

Udover den trussel er den langt mest normale måde folk får virus på idag vedkommende der sidder 40 cm fra skærmen (som sjovt nok altid mener det er opstået på magisk vis og at de er helt uden skyld heri).

Løsningen er at lære en lille smule sund fornuft - det er ikke at kaste penge efter en korrupt antivirus-branche der blot forsøger at rippe folk på lovlig vis og ofte sløver systemet mere end det meste malware.

Det sidst annoncerede DoS hul var i Oktober (MS12-069), det sidst annoncerede remote code execution hul var i August (MS12-054).

Men det er jo Patch Tuesday i dag, så det kan hurtigt ændre sig.

Åbenbart ikke godt nok. Det ville også ligne dig dårligt at tage den slags undersøgelser for gode varer.

Der har ikke været noget svar fra MS, så vidt jeg har set, men det er vel det du mener? :)

Ikke det? Du vil da undre dig.

Jeg bliver af og til kontaktet af folk som mener jeg skal hjælpe dem med problemer af den art ( har for år tilbage væres selvstændig hvor jeg har hjulpet private med deres forskellige computer-problemer )

Den her har jeg hørt alt for mange gange: "Jeg har set en kammerat gen-installere windows, og det er jo let nok, og der er ikke noget på maskinen der skal gemmes"

Det gør selvfølgelig ikke problemet mindre.

I et af de store antivirus-firmaer er direktøren blevet afpresset af "nogen russere" som muligvis er mafiaen, muligvis KGB eller muligvis begge dele. Nu er John McAfee tiltalt for et mord. Hvad siger det om computersikkerhed på Windows platformen, at "antivirus" opfattes som obligatorisk ?

Er der ikke en venlig sjæl, der gider forklare lidt pædagoisk, hvad de 3 overnævnte ting har med hinanden at gøre? Hvor er Hans Reiser henne i denne mord debat? Det er sidst på eftermiddagen og jeg har åbentbart ikke indtaget nok kaffe til at kunne læse mellem linierne her.

Jeg overvejede også et øjeblik om der evt. var en af de andre bloggere, der havde skaffet sig adgang til PHKs blog og trollet lidt ... eller om manden var fuld da han skrev det. Sammenhængende er det ihvertfald ikke.

En delmängde af "Det värste" ville väre at en underafdeling af CIA, GRU, PLA, Socialdemokratiet eller "Crazy.Com Billionaire" udgav antivirus programmer som er designet til at snage i brugernes filer samt indsätte sig selv som proxy og logge al gören og laden på internettet ... min antivirus gör alle disse ting undtagen rapporteringsdelen, så vidt jeg ved. Der er masser af måder at snige en hemmelig kanal tilbage til "centralen" på.

Hvis jeg skulle lave et indbruds-kit der kunne åbne en bestemt type låse. Så ville jeg vælge den type lås der var flest der havde.
Jeg tror ikke de angreb som Anonymous foretager på Sony, CPR.dk osv. er specielt rettet på Windows PC'er. Men jeg har ikke undersøgt det.

Nu har vi så lige idag fået bekræftet at FBI m.v. ikke behøver en dommerkendelse for at få adgang til din konto hos en US udbyder...
...en vis ex. chef hos CIA blev "nakket" af FBI uden dommerkendelse.

Andreas Plesner Jacobsen: Rettelse, sidste remote code execution til XP (og "server 2003") var MS12-054.. der er vel næppe nogen som føler sig sikker på et (over 10 år gammelt og) forældet system (der kommer ikke flere Service Pakker, og Mainstream Support er allerede slut for mange år siden) ubeskyttet på nettet? Og det er vel heller ikke helt fair at sammenligne alle MS forskellige produkter/programmer, med .. en 'ren' linux kernel? :-)

Jeg tvivler på at løsningen kun findes i styresystemet, hvis man gav alle Windows brugere en maskine med en Linux distro på, så ville der nok ikke gå lang tid før 50% af danskerne igen blev ramt af malware (det nye "facebook trick": su(do) hent&chmod&kør virker på alle styresystemer).
Hvis man nu i stedet valgte at lære brugerne at tænke.. og et PC kørekort ville sikkert også gøre godt :P

Jo, men jeg synes du maler et urealistisk og unyanceret sort/hvid billede. Faktum er jo, at med mindre man er RMS paranoid, så er man, sin kritiske sans til trods, nødt til at have en hvis form for tiltro til ens omverden. Dette gælder f.eks. også når du skal have mekanikeren til at reparere bremserne på din bil eller lægen til at lægge det rigtige snit.

I forhold til ¤nix verdenen, skal Windows tilgodese en helt anden historik og et anderledes kaotisk klientel i form af corporate samarbejdsværktøj, produktionssystemer og underholdning/spil. Angrebsfladen er simpelthen større, ligesom den lille fisk (¤nix) er relativ sikker iblandt en masse større fisk (Windows).

Det er meget svært og dyrt at lave fejlfrit software. Ikke al software får de nødvendige resourcer. Ergo kan vi udlede, at der kan optræde fejl i software. Hvad gør vi ved det? Vi kører med minimale rettigheder, filtrerer via firewalls og får en 3 part til at verificerer via antivirus.

Man kunne nævne en metafor som at føre bil. Man er måske relativ fortrolig med sine egne evner i trafikken, men derfor er de fleste stadig glade for at have synsgodkendelse, sikkerhedssele og airbag. Men det er klart, at der skal en hvis mængde trafik til, og en hvis hastighed, før at man begynder at sætte pris på disse - nøjagtig ligesom med software.

Morale: 1) Hvis du ikke stoler på en softwareleverandør så vælg en anden. 2) Hvis du ikke ved hvem du skal stole på, så forhør dig hos nogle der har bedre indsigt end dig. 3) Hvis du ikke ønsker at stole på nogen som helst, så hyg dig med dén minimalistiske ¤nix kerne du selv har gennemlæst og kompileret.

/Casper

PS#1: Iøvrigt, flere af seneste sikkerhedsproblemer der trackes af antivira-firmaer, er slet ikke Windows specifikke og rammer således også brugere af andre platforme (JVM, det er dig jeg kigger på).

PS#2: Microsoft har i mange år benyttet sig af honeypots til at overvåge trusselsbilledet, mon ikke det ville være naivt at tro dette ikke også var tilfældet med Windows8.

PS#3: Hvis en antivirus leverandør skulle blive eksponeret for "ufint trav", så vil dette være en øjeblikkelig dødsdom mht. forretning og rygte, på linie med hvad Lance Armstrong har oplevet.

Jeg kan se jeg skulle have været en smule mere eksplicit - troede ellers det var tydeligt nok i kontekst af PHKs FUD-TROLL sætning "operativsystem på ubeskyttede ADSL linier".

Så lad mig omformulere sætningen til "hvornår har der sidst været et RCE der kan auto-roote en Windåse der er på nettet uden NAT?". Ikke at jeg tror de ikke længere eksisterer, jeg kan blot ikke huske hvornår jeg sidst læste om et.

Hvis du læser lidt i dybden om MS12-054, vil du se at en angriber allerede skal have sat sig selv op som Browse Master på samme subnet som offeret, at det kun er XP hvor du får RCE, og at de fleste af CVE'erne slet ikke virker på >= Vista med default-konfiguration (og højst leder til DOS).

Ikke dermed sagt at det ikke er en skidt og potentielt farlig bug, men der er altså et stykke derfra og til over-the-internet autorooting. (Blokerer Windows Firewall egentligt for RAP traffik over internettet?)

Hvordan synes du det er gået Namesys og deres ReiserFS filsystem, siden Hans Reiser slog konen ihjeld?

Hvis MS kategorisk erklæres som bad-standing, vil jeg da også lige nævne Google. Jeg ved ikke hvordan man laver regresionstest på en ny Android version?
Så kan man teste nok så meget sikkerhedshuller i operativsysteme, når blot en bruger har downloaded en lille smart app der måske kan fortælle om solen står op i øst eller vest, alt efter din placering.

Allerede som spejder indprentede jeg mig at solen står i syd midt på dagen. Senere erfarede jeg så at dette kun gælder på den nordlige halvkugle, mens solen står i nord midt på dagen på den sydlige halvkugle.

Men hvor står solen op i vest ?

Og har det spørgsmål mere med debatten at gøre end ReiserFS har at gøre med antivirus-programmer?

Tjah, det er altid sundt at genlæse Reflections on Trusting Trust fra tid til anden. Men altså - ligefrem at hive John McAfee's seneste udskejelser frem, det er vist at stramme den. Han har solgte sin del af bixen for rigtig mange år siden (hvis jeg har forstået tingene korrekt), og det er sikkert endnu længere siden han havde noget med produkterne at gøre.

At han så siden er kørt helt ud i tovene og allerede i 2009 havde smidt ca. alle sine penge ud af vinduet og er blevet en del af en bande-krig i Belitze, det kan man vel ikke klandre det firma han startede for? Eller hvad?

Cirka et år siden shjv. MS11-083.

Du spurgte om et eksempel på dødsdom over forretning og rygte grundet "ufint trav". I dét henseende, er det vel knapt så relevant hvilken type software der er tale om, et plettet rygte er et plettet rygte. David Petraeus' troværdighed ville lide uanset om han sad som CIA chef, NATO chef eller NORAD chef.

Tak, den havde jeg glemt.

Kræver svjh at man kan sende 2^32 UDP pakker til en lukket port, og derefter en godt timet ICMP echo... men i hvert fald teoretisk muligt :-)

Casper, jeg kan sagtens se din pointe, men når PHK tager de intellektuelle syvmilestøvler på, smutter der nemt et par mellemregninger, og så kan man spilde en masse tid på at pille i hvad han ikke fik sagt, og måden han ikke fik det sagt på.

Så ja, Hans Reisers handlinger har smittet af på hans produkt ReiserFS. Men så er der heller ikke mere at hente i den sag.

For modsat filsystem-branchen opererer anti-malware branchen under et betændt paradigme, hvor den lever i symbiose med dem som udbreder malware (jo mere bange vi er for malware, des flere penge hælder vi efter antivirus mv.) og ligheden med opkrævning af beskyttelsespenge hos restauratører er slående.

Og herefter adderer PHK John McAfees personlighed og mulige indblanding i drab, og så er det at det bliver rigtig gustent.

Så med de briller på giver PHKs indlæg mening for mig, samtidig med at Hans Reiser er lidt irrelevant.

Man kan finde mange politiske og total-økonomiske vinkler, også på antivirus markedet. F.eks. har Kaspersky en interesse i kontrakter fra den russiske regering, selv om denne måske nok ikke just er kendt for etik og frihed. Omvendt var det selvsamme Kaspersky der blotlagde en af de mest komplekse vira til dato, nemlig Flame; malware med afsendere fra vesten mod modtagere fra østen.

Så hvorfor ikke bare acceptere, at verden ikke er sort og hvid, og at vi skal holde øjnene åbne. Der er brodne kar alle steder, men jeg kan ikke se hvordan antivirus branchen skiller sig ud.

Men du mener altså, at antivirus branchen som udgangspunkt selv skaber et behov og derfor per definition har sorte hatte på nede i kælderen? Har du noget konkret at have det i, eller er det baseret på fornemmelser og følelser?

Så med de briller på giver PHKs indlæg mening for mig, samtidig med at Hans Reiser er lidt irrelevant.

Pointen var bare, at en association med lav moral og dårlig dømmekraft, godt kan dræbe et produkt/virksomhed. Jeg tror ikke en antivirus biks ville overleve, hvis det blev alm. kendt at de selv stod bag. Tror du?

Jeg véd den gennemsnitsnaive vil sige noget i nærheden af:
La' nu vær' - det er 6 år siden.
De har lært af det
De er blevet straffet
Det gør de ikke igen.

Men alligevel; - Sony's Rootkit..

Det var meget påfaldende - både med og uden sølvpapirshat - at opleve den mangel på reaktion og handlekraft fra antivirusbranchen, - og Microsoft.

Kigger man dybt i sølvpapirshattens kaffegrums, kan man skimte en luftspejling af et operativsystem designet til at undgå lignende pinligheder, ved at indbygge ønsket funktionalitet fra start. - Man kan jo lige så godt selv tjene en skilling på at lave det 'ordentligt' fra start, og antivirusindustrien skal ikke informeres hvis 'nogen' ønsker specifik DRM-feedback. Dette er så udelukkende et mellemværende mellem OS-fabrikanten og 'nogen'.

Alt dette er brugeren af OS'et forskånet for at vide noget om, og behøver ingen ekstra udgifter til alufolie for at have ro i maven.

K.

Jeg er godt nok forvirret over dit indlæg. Det er muligt, det er min præ-frokost tilstand, der er skyld i det, men jeg har absolut ingen ide om hvad det er du skriver.

Overvej om du ville sætte ligeså stor pris på disse hvis de var eftermonteret af 3. part.
Mener klart at bremser og sikkerhedsseler er noget levenrandøren af bilen bør stå for.

Never mind..man tænker bedst med noget i maven.

Relevans kunne være, men er ikke begrænset til: prisen for "urent trav"

K

Bestemt, - men man kunne vende spørgsmålet om;
Mon antivirusfirmaerne reelt er interesseret i at gøre mere end konkurrenten ?

Hvis alle er 'cirka lige gode' er det nuancer og personlige præferencer der afgør valget af produkt, hvilket betyder at der er 'kunder nok til alle'.

K

Det synes jeg du har skåret alt for firkantet ud.

Antivirusbranchen lever af frygten for malware, og har derfor en interesse i at vedligeholde denne frygt - læs deres produktbeskrivelser med det in mente. Så branchen kan sagtens stå bag frygten for malware, uden at stå bag selve malwaren.

Og endnu værre, de har en interesse i at systemer ikke sikres generelt mod malware generelt, men derimod at kun de "betalende gæster" sikres på dørtrinnet til deres systemer. En generel løsning på problemet vil ikke komme fra "sikkerheds"-branchen - og det gør hele paradigmet bag forretningsmodellen lidt suspekt. Og hvor helhjertet vil samarbejdet på tværs af antivirus-firmaer være, hvis den enkelte virksomhed kan vinde positiv omtale ved at være den eneste med løsning på et specifikt stykke malware?

Så igen - suspekt paradigme + mulig indblanding i drab bør som minimum få os til at tænke over hvad det er for en model vi har med at gøre. Og det pinpointer PHK's indlæg guld-rigtigt, omend noget kortfattet.

Hehe over-generalisering synes at triumfere i denne tråd.

Det er da rigtigt nok, at antivirus-branchen helt sikkert ønsker at bevare sit eksistensgrundlag, ligesom jeg tror vi alle gør, hvor vi nu end sidder. Men der er nu alligevel lang vej derfra, og så til at påstå at en hel branche er pilrådden med ord som "mafia", "KGB", "afpresning", "mord" osv.

Prøv at forestil jer en verden uden sikkerhedssoftware, hvor der ville være frit slag på alle hylder hos rigtig mange alm. mennesker... for perfekt og fejlfrit software findes simpelthen ikke. Nogle antivirus-programmer er meget højtråbende, det er som regel en god indikator på at man skal finde sig noget andet, men man kan vel ikke fornægte at de rent faktisk løser et reelt problem?! Selv Microsoft producerer i dag en gratis antivirus suite.

Jeg er (efterhånden) med på hvor PHK vil hen med hans indlæg, og han er naturligvis fri til at skrive hvad han vil på hans egen blog. Jeg synes bare ikke det er synderligt gavnligt for debatten, at male fanden på væggen baseret på ensidige holdninger og formodninger - sådanne ting hører sig primært til i religiøse forsamlinger.

Hvilken verden lever du i? Er det ikke sådan verden netop ser ud? :)
Antivirusløsningerne gør ikke det helt store fra eller til, når eksempelvis 0-day exploits udnyttes - tag bare Stuxnet som formåede at sprede sig i over 1 år før nogen opdagede den.

Ja, vi kan fange nogle amatører med antivirussoftware, men dem der ved hvad de laver vil aldrig sende en virus ud der udnytter en 0-day exploit uden at have testet at den bypasser alle de mest udbredte antivirusløsninger.

Med Antivirus er du kun beskyttet imod forældet malware.

Min verden så sådan her ud søndag: Et familiemedlem ringer og spørger om jeg kan hjælpe med en langsom/underlig computer, jeg oprindeligt har sat op for 5-6 år siden (med antivirus). Jeg tøver et øjeblik, for jeg har ikke kørt Windows i flere år og synes egentlig jeg som programmør er lidt overkvalificeret til sådanne "teenage ting".

Men man vil jo gerne være hjælpsom, så jeg indvilliger og får computeren ud til et serviceeftersyn. Snart skal det vise sig, at diverse DLL'er mangler og der er uinstallerbare toolbars osv. så jeg vælger at lave en helt ren installation. Efter mange timers Windows update (Microsoft kunne godt begynde at bruge cumulative updates) lægger jeg Microsoft's antivirus ind, gør Chrome til standard browser og så ringer jeg tilbage til familiemedlemmet og siger at den er klar.

Hvad er den så klar til? Jo, den er klar til en hverdag hvor programmer ikke bliver opdaterede som de skal og hvor folk klikker på ting de ikke skal. Er den sikret perfekt mod 0-day exploits mv? Nej, men jeg er ikke et sekund i tvivl om, at jeg har forlænget dens levetid - og den periode hvor jeg får lov til at lave andre og sjovere ting end at servicere gamle torturede computer.

Yup. Antivirusproducenterne er aldrig på forkant med producenterne af malware. Det kan de aldrig blive.

Casper: Men det er snarere det faktum at du har geninstalleret deres PC der gør at du har forlænget levetiden/tiden indtil næste serviceeftersyn end det faktum at du har installeret Microsofts antivirussoftware på den.

Grundlæggende set lever vi i en verden hvor der ER frit slag på alle hylder hos alm. mennesker og hvor millioner af alm. menneskers PC'ere allerede uforvarende indgår i store bot-netværk.

Muligvis, men jeg har ikke tænkt mig at A/B teste. Præmissen er, at antivirus som sikkerhedsnet er et nødvendigt onde, også fordi at Microsoft selv anbafaler og producerer en sådan. Jeg kan tilmed forstå, at Windows 8 har antivirus bygget helt ind i kernen af OS'et. Med mindre Symantec, Kaspersky, McAfee og de andre ligefrem anlægger en monopolsag, synes forretningsmodellen efterhånden at være noget udbenet og det løser måske PHK's problem med branchen.

Vrøvl. Jeg kan ikke huske hvornår jeg sidste gang har haft antivirus på en Windows-maskine. Jeg har en fysisk og tre virtuelle Windows-maskiner og ikke en eneste har antivirus. No problem.

også fordi at Microsoft selv anbafaler og producerer en sådan.

Måske Microsoft skulle gøre deres arbejde færdigt i stedet for at hælde en del af ansvaret over på antivirus.