Trusteer Rapport is het wat?

Ik zou zeggen dat het niets is. Zie hier dit filmpje gemaakt op 44CON (september 2011)



http://malwaretips.com/Th...ypassed-virtually-useless

De beveiliging is kinderachtig makkelijk te omzeilen zowel op Windows als Mac. De encryptie module kan door malware eenvoudig aan en uit gezet worden. Tevens is de encryptie niet echt sterk te noemen.

De implementatie bij Windows gaat er zelfs vanuit dat Rapport de eerste is (via een hook) die de imput van het toestenbord ontvangt. Zoals de man in het filmpje aangeeft zegt zelfs MS dat je hier niet vanuit mag gaan. De demonstratie liegt er dan niet om. Een keylogger kan eenvoudig de imput van het toetsenbord als eerste ontvangen en vervolgens doorgeven aan Trusteer Rapport.

Daarnaast melden veel gebruikers BSODs na het installeren van Trusteer Rapport, tragere PC's en trager internet. Het schijnt veel resources nodig te hebben. Daarnaast is het pakket zeer moeilijk te verwijderen van je PC.

Ondanks dat het pakket al sinds 2006 gemaakt wordt komt het ook niet voor in tests van AV comperatives (of vergelijkbare onderzoeken). Terwijl daar toch aardig wat AV pakketten aan meedoen.

Het pakket wordt aan de man dan gebracht nu als aanvulling, maar alle zogenaamde features van Trusteer Rapport zitten in feite al in elk mainstream AV pakket. En die werken stuk voor stuk beter.

Als ik zo kijk naar AV comparatives dan is momenteel hun top drie in realworld tests G-Data, Bitdefender en Kaspersky.
Bron: http://www.av-comparative...ocs/avc_prot_2012a_en.pdf

En van die drie doen Bitdefender en Kaspersky het erg goed als het gaat om herkenning van phising sites:
http://www.av-comparative...ocs/avc_aph_201207_en.pdf

Ik zou zelf geen moeite doen om Trusteer Rapport te downloaden. Neem gewoon een mainstream AV pakket, zorg ervoor dat al je software up-todate is en gebruik wat gezond verstand als je dingen gaat doen op het internet.

Ik deel je conclusie; maar in de context van 'de beste AV van het moment is altijd seizoensgebonden', is het filmpje uit 2011 vermoedelijk niet meer helemaal representatief voor de nieuwste versie.

Juist het gebruik van een minder bekende leverancier maakt de kans op gerichte aanvallen door malware kits kleiner dan bij de grote spelers en geeft ING mogelijk ook meer invloed. Maar bij mij komt die software er ook niet op hoor (en ik ben ook geen klant bij de ING)

SKiLLa schreef op dinsdag 09 oktober 2012 @ 16:54:
Ik deel je conclusie; maar in de context van 'de beste AV van het moment is altijd seizoensgebonden', is het filmpje uit 2011 vermoedelijk niet meer helemaal representatief voor de nieuwste versie.

Het is lastig om iets te vinden over Trusteer Rapport. Het is erg onbekend en geen bekende sites/tijdschriften hebben dit pakket beoordeeld. Je zou verwachten dat gezien dat Rapport al 6 jaar op de markt is het toch wel wat naamsbekend moet hebben. Het filmpje is de meest recente test van het product, en ook een test die duidelijk is. Andere reviews zijn korte blogjes zonder enige onderbouwing.

Overigens zie je wel bij tests dat bepaalde leveranciers altijd hoge ogen gooien.

Juist het gebruik van een minder bekende leverancier maakt de kans op gerichte aanvallen door malware kits kleiner dan bij de grote spelers en geeft ING mogelijk ook meer invloed. Maar bij mij komt die software er ook niet op hoor (en ik ben ook geen klant bij de ING)

Trusteer geeft hun software gratis weg, zelfs als je geen ING klant bent.

Toch kan een bedrijf ook een bekend (betaald) pakket aan zijn klanten geven. XS4All gaf heel lang McAfee gratis aan zijn klanten.

CMD-Snake schreef op dinsdag 09 oktober 2012 @ 18:31:
[...]
Toch kan een bedrijf ook een bekend (betaald) pakket aan zijn klanten geven. XS4All gaf heel lang McAfee gratis aan zijn klanten.

En tegenwoordig F-Secure, omdat McAfee toch niet zo goed bleek te zijn.

Anoniem: 16328 schreef op dinsdag 09 oktober 2012 @ 19:22:
Misschien dat mensen die er echt verstand van hebben hier eens naar kunnen kijken. Uit deze test komt voort dat alleen Kaspersky en Trusteer Rapport succesvol alle 15 tests doorstaan terwijl andere bekende antivirusscanners er niet goed uitkomen.
Online Payments Threats Comparative Testing: http://www.matousec.com/i...line-Payments-Threats.pdf

Het valt me op hoe in deze test paketten falen die normaal als goed beschouwd worden. Tevens ziet het er nogal zwart-wit uit. Of een epic fail of een epic win.

Persoonlijk gebruik ik Kaspersky. Ik ben er al jaren erg tevreden over. Het is niet zo bloated als andere AV oplossingen (alhoewel het over de jaren wel gegroeid is in omvang). Het belangrijkste is nog dat KAV het consequent goed doet in tests.

CMD-Snake schreef op dinsdag 09 oktober 2012 @ 19:52:
[...]


Het valt me op hoe in deze test paketten falen die normaal als goed beschouwd worden. Tevens ziet het er nogal zwart-wit uit. Of een epic fail of een epic win.

Ik heb het bedrijf acher dat rapport (Matousec) even opgezocht, en er is nogal wat kritiek op de testmethoden welke zij gebruiken - zie o.a. dit artikel

Voor diegenen die een alternatief voor Trusteer Rapport misschien interessant vinden, hou 't nieuwe product van SurfRight in de gaten: HitmanPro Alert.

Van hun site de volgende info/marketing;
"SurfRight...maakt vandaag HitmanPro.Alert bekend, een gratis tool dat waarschuwt wanneer het niet veilig is om gevoelige informatie zoals inloggegevens voor een banksite of creditcardgegevens in te geven. De waarschuwing verschijnt voordat de vertrouwelijke informatie-uitwisseling tussen de browser en de bank of online winkel wordt onderschept door sluipende malware in de browser. ...HitmanPro.Alert detecteert deze zogenaamde Man-in-the-Browser aanvallen en informeert de gebruiker wanneer belangrijke systeemfuncties zijn omgeleid naar een niet-vertrouwd programma. " link

Nu nog in beta maar gezien de prestaties van HitmanPro zelf, een product om in de gaten te houden.
Het zal tzt gratis worden aangeboden (en adviseren om HitmanPro te kopen als een (Mitb) infectie is geconstateerd).

edit; Wat betreft de 44Con presentatie van Digit Security/D-Sec over Trusteer Rapport, is de reactie van Trusteer en het antwoord daarop van D-Sec interessant om even te lezen; link

[ Voor 3% gewijzigd door Baserk op 10-10-2012 00:07 ]

We missen eigenlijk de beweegredenen van de ING over waarom ze juist voor deze applicatie hebben gekozen. We weten namelijk nu niet waar ze precies naar op zoek waren en aan welke eisen het moest voldoen. Dan is het voor ons (gebruikers) ook lastig te beoordelen hoe zinnig het is. Wel zeggen zowel de ING als Trusteer dat het geen vervanging is voor een antivirusprogramma maar dat het bedoeld is als aanvulling.

Baserk schreef op woensdag 10 oktober 2012 @ 00:04:
Nu nog in beta maar gezien de prestaties van HitmanPro zelf, een product om in de gaten te houden.
Het zal tzt gratis worden aangeboden (en adviseren om HitmanPro te kopen als een (Mitb) infectie is geconstateerd).

Hitman Pro is een goed tooltje. Ik heb daarmee wel wat PC's kunnen schoonmaken.

edit; Wat betreft de 44Con presentatie van Digit Security/D-Sec over Trusteer Rapport, is de reactie van Trusteer en het antwoord daarop van D-Sec interessant om even te lezen; link

In feite claimt Trusteer een hoop, maar wil geen bewijs laten zien. Dat op zich al is niet goed.

Kalief schreef op woensdag 10 oktober 2012 @ 00:12:
We missen eigenlijk de beweegredenen van de ING over waarom ze juist voor deze applicatie hebben gekozen. We weten namelijk nu niet waar ze precies naar op zoek waren en aan welke eisen het moest voldoen. Dan is het voor ons (gebruikers) ook lastig te beoordelen hoe zinnig het is. Wel zeggen zowel de ING als Trusteer dat het geen vervanging is voor een antivirusprogramma maar dat het bedoeld is als aanvulling.

Als je cynisch bent zou je zeggen dat ze kiezen voor dit product omdat het gratis is.

Toch zie je dat Trusteer een soort huisleverancier is geworden bij meer banken. Vooral Engelse banken lijken het nu allemaal gratis aan te bieden aan hun klanten. Wellicht dat ING bezweek voor de marketing praat en het feit dat meer banken deze software weggeven.Echter zou wat meer research van de ING (en andere banken) wel op zijn plaats zijn. Iets zoals het filmpje van 44CON is niet moeilijk te vinden.

Trusteer mag dan niet bedoeld zijn als vervanging voor AV producten, het claimt een hoop dingen die ook horen bij een AV pakket. Commerciële AV pakketten zijn tegenwoordig meer dan alleen AV product. Neem iets als Norton 360, Kaspersky Internet Security of vergelijkbare producten. Daar zitten meer features in dan anti-virus. In feite zie ik zoveel overlap dat ik me afvraag of Trusteer dan nog iets toevoegd.

Ik mis de onderbouwing door de ING inderdaad ook. Buitenlandse banken gebruiken vaak nog geen two-factor/side-channel authenticatie en dus is het logisch dat ze daar eerder op 'browser-beschermende' software inzetten, maar het lijkt er nu inderdaad op dat ING klakkeloos de software van de buitenlandse collega's heeft overgenomen.

En als we in de praktijk al anti-AV en aparte anti-malware oplossingen hebben, dan is het vrij logisch dat er niet een super-dominante beveiligingsoplossing is, die op alle subgebieden (browser-bescherming, klassieke AV, malware, anti-spam, anti-phishing, firewalling, etc.) het beste is. En aangezien banken primair click-jacking en MitB aanvallen willen voorkomen is het vrij logisch dat ze dergelijke 'specialistische' software gebruiken. Of het kwalitatief voldoet, is inderdaad nog de vraag ...

SKiLLa schreef op woensdag 10 oktober 2012 @ 10:00:
Buitenlandse banken gebruiken vaak nog geen two-factor/side-channel authenticatie en dus is het logisch dat ze daar eerder op 'browser-beschermende' software inzetten, [...]

Het two-factor systeem is best sterk. Als we het geval van de ING nemen dan heeft een crimineel nog niets aan puur de login gegevens. Je kan dan nog geen geld overmaken.

De TAN codes zijn een one-time pad. Mits de codes echt random zijn en je ze goed geheim houdt is het vrijwel onmogelijk te kraken. En zodra een TAN code is gebruikt (succesvol of niet) dan is die waardeloos geworden.

CMD-Snake schreef op woensdag 10 oktober 2012 @ 09:50:
[...]
Als je cynisch bent zou je zeggen dat ze kiezen voor dit product omdat het gratis is.

Gratis voor ons, gebruikers. Als we ervoor zouden moeten betalen had niemand het geinstalleerd. Maar Trusteer heeft waarschijnlijk het e.e.a. moeten aanpassen om het geschikt te maken voor de ING site. Het is de vraag of dat voor de ING ook gratis was.

Kalief schreef op woensdag 10 oktober 2012 @ 14:00:
[...]


Gratis voor ons, gebruikers. Als we ervoor zouden moeten betalen had niemand het geinstalleerd. Maar Trusteer heeft waarschijnlijk het e.e.a. moeten aanpassen om het geschikt te maken voor de ING site. Het is de vraag of dat voor de ING ook gratis was.

Het is echt gratis voor iedereen:

The software is compatible with Microsoft Windows and Mac OS X and can be downloaded free of charge.

Bron: Wikipedia: Trusteer

Op hun site staat het echter niet zo expliciet. Dat moet ik wel er even bij zeggen.

Ik weet niet of Trusteer echt wat heeft moeten aanpassen voor ING. Mogelijk alle URL's van ING whitelisten, maar verder zijn de bedreigingen voor ING klanten niet anders dan die voor klanten van andere banken. Wat dat betreft maakt malware geen onderscheid, die zijn net zo blij met een ABN AMRO rekening als met een ING rekening.

Anoniem: 16328 schreef op woensdag 10 oktober 2012 @ 14:28:
Bij mij ontstaat toch wel een beeld dat Trusteer Rapport het goed doet want ook bij de Matousec tests scoort het programma goed. Overigens komt ook Kaspersky weer goed uit de test bij de BBC.

Matousec is in een eerdere post besproken:

hellknight schreef op dinsdag 09 oktober 2012 @ 21:37:
[...]
Ik heb het bedrijf acher dat rapport (Matousec) even opgezocht, en er is nogal wat kritiek op de testmethoden welke zij gebruiken - zie o.a. dit artikel

De tests van Matousec valt wel wat op aan te merken.

Om elke test acceptabel te maken moet er een zekere graad van openheid zijn over de methode waarop getest wordt. Dwz. wat is de omgeving (OS versie, patches) en hoe kies ik mijn malware uit. Zo heeft Trusteer een rapport laten schrijven over een test waarin zij de malware uitkozen. Niet echt geloofwaardig dan.

Onbekende virussen zijn altijd lastiger, een virusscanner is een reactief iets. Nou hebben vrijwel alle scanners een heuristiek functie gekregen. Daarmee wordt dan ook dat test programma gevonden.

Een virusscanner blijft imho de laatste verdedigingslinie. Als je die nodig hebt is de troep al binnengekomen.

Het patchen van al je software maakt al een enorm verschil. Virussen komen binnen vaak via bekende lekken in oudere software. Sommigen van de meest beruchte virus uitbraken hadden voorkomen kunnen worden door simpelweg te patchen. Neem bijvoorbeeld Code Red of Nimda. Alhoewel Nimda meer dingen misbruikte naast lang bekende lekken.

Anoniem: 16328 schreef op woensdag 10 oktober 2012 @ 16:04:
- Op de FP schreef iemand dit:
"Het programma stuurt ongevraagd 'anonieme' gebruikersstatistieken.
Wat sturen ze precies wordt niet duidelijk, en ik heb twijfels over hoe anoniem dit eigenlijk is."

- Trusteer Flashlight waarmee de bank op afstand kan kijken door welke malware je getroffen bent.
http://www.pcworld.com/article/191518/article.html
http://krebsonsecurity.co...at-rapport-from-trusteer/
http://www.theregister.co...k_fraud_trojan_forensics/

Meer software wil graag anonieme gebruikersstatistieken verzamelen. Bij legitieme software wordt dit aangegeven en is er (vaak) een opt-out scherm. Geen idee of Trusteer dit ook biedt.

Toch dat de bank op afstand kan kijken naar je computer lijkt me minder prettig. Potentieel kan die verbinding ook nog misbruikt worden.

- Het is een Israelisch bedrijf.
Of dat echt een probleem is weet ik niet maar ik zie wel dat mensen er over vallen. Op http://www.security.nl/ar...ig_internetbankieren.html bijvoorbeeld.

Ik weet niet zeker in welk opzicht dat dit een probleem is. Waar zijn die mensen dan bang voor of op tegen? Spionage via Trusteer? Kaspersky is Russisch, maar in al die jaren gebruik heb ik de KGB nog niet op de stoep gehad.

Zelf blijf ik niet overtuigd van Trusteer. Ik zie niet wat het toevoegd aan functionaliteiten die ik nu niet heb, en daarnaast is de beveiliging die het moet bieden nu een epic fail.

Kies gewoon een product dat een gevestigde naam heeft en via toonaangevende reviews zich bewezen heeft. Zoals eerder te lezen valt nu worden bijvoorbeeld G-Data, Kaspersky, F-Secure en Bitdefender erg goed ontvangen.

Mijn partner en ik hadden allebei sinds het installeren van Trusteer verscheidene 'bevriezingsverschijnselen'. In het Report werd blij vermeld dat er 157 keer het volgende was verricht: allempt to alter function NtProtectVirtualMemory blocked. Dit feit werd vergezeld van een tekstblok dat het wel malware kon zijn maar dat het ook wel eens door legitieme software veroorzaakt zou kunnen worden. Ik hoefde van Trusteer geen actie te ondernemen. Ik moest dus kennelijk een halve minuut (bevroren) afwachten en dan ging Win7/IE9 een oplossing zoeken. En dan kon ik weer even browsen. Dus Trusteer bij mijn partner gedéinstalleerd en ik denk er ook sterk over.

Ik zal straks ook eens even een VM aanknallen met Trusteer, en hem aanvallen met de meer bekendere tools, ben heel benieuwd wat de uitkomst word. (Trusteer vs SET, Trusteer vs random RAT crypted en uncrypted, Trusteer vs ARP attack etc) Als ik er zin in heb zal ik er een video van maken, maar ben eigenlijk bang dat Trusteer erg weinig toe zal voegen aan mijn huidige inrichting. Maar ja, in ieder geval een reden om een filmpje te maken

edit1: Ok, IE9 en Trusteer zijn geen vrienden. Dat is al duidelijk. Het voelt nu al alsof ik mallware in mijn VM draai.
edit2: Chrome + mijn.ing.nl + (Niet bij naam genoemde, unencrypted) RAT. => Remoteview valt op zwart, helaas worden inloggegevens nog steeds via de keylogger gezien.
edit3: Ook tegen een kloonwebsite van SET, doet Trusteer helemaal niets. Zonder enige problemen word de POST data van de kloon afgevangen.
edit4: Ook tegen een DNS poisen doet Trusteer niets.

Ik begin me nu echt af te vragen wat Trusteer wel doet. Ik blijf succesvol in een ARP attack, DNS poisen, clone website, en vang ook nog eens gewoon via een vrij simpele keylogger zonder enige moeite alle inlog gegevens af. Behalve dat het mijn VM enorm vertraagd, en at random al mijn toetsaanslagen naar ***** veranderd worden. (In mijn browser, niet in de keylogger). Als dit ooit door een bank als excuus tegen compensatie word gebruikt, dan mogen ze zich echt kapot schamen.

Mijn advies; Gebruik het maar niet, het maakt je systeem en stuk langzamer, het is totaal niet handig in gebruik, het kan de meest simpele aanvallen niet herkennen, meer marketing dan functionaliteit.

Ik maak morgen wel even een filmpje hiervan, maar dit is echt diep triest, het werkt gewoon niet. Ik zal nog even kijken of ik ergens een Zeus/Spybot kan vinden om tegen Trusteer te checken, maar ik ben bang dat eerder Trusteer de scam is.
Morgen verder met Zeus/Spybot, en natuurlijk hostfile aanpassing. Het vertrouwen in trusteer zit wel momenteel op een enorm dieptepunt

[ Voor 71% gewijzigd door Biersteker op 14-10-2012 00:50 ]

Ik gebruik eerder een variant van test 1. Test 2,3,4,5,6,7 zijn man in the broweser type, dus eigenlijk nutteloze tests. 8,9,10,11,12,13,14,1 zouden keylogger tests zijn, maar ik had geen probleem met een keylogger tegen trusteer. Zal waarschijnlijk liggen aan de manier van aangrijpen van de keylogger, maar het enige wat ik merkte wat trusteer deed, was het blokkeren van een remote view variant. Heb trusteer nog niet tegen ZeuS/Spybot getest, misschien dat het daartegen wel een beetje weerstand bied. Ik gooi morgen wel een filmpje online met mijn aanvallen tegen trusteer. Ik maak echt geen grap als ik zeg dat het niet werkt. Naja, niet tegen een standaard aanval in ieder geval.

Kaspersky kan ik ook wel even meepakken, als ik toch bezig ben

-edit, ik zal niet de methodes volledig uitleggen, want dan werk je de verkeerde mensen in de hand. (Als dit in Stuffi Generalis of de HK had gestaan, dan zou ik iets uitgebreider kunnen zijn)

[ Voor 11% gewijzigd door Biersteker op 17-10-2012 01:15 ]

Kleine kick van mijn kant. Gelukkig heeft trusteer een update gedaan, en word een aanval via set nu wel herkend. (gedeeltetijk dan) In de zin dat er gegevens over een unencrpypted connection gaan. (dit komt door de lompheid van de clone website, dat dit niet in eerste instantie werd afgevangen, verbaadse me dan ook enorm)

[ Voor 42% gewijzigd door Biersteker op 19-10-2012 19:39 ]

Vandaag via internetbankieren met ING (linkje) kreeg ik Trusteer actief aangeboden.