Toon posts:

Wel of geen AV nodig?

Pagina: 1
Acties:

dinsdag 19 juli 2016 23:31

Acties:
  • 0 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
Modbreak:Let op : Dit topic is afgesplitst van Action McAfee Antivirus

Thanks, TheVMaster
F_J_K schreef op dinsdag 19 juli 2016 @ 22:26:
OTOH, geen goede AV hebben zuigt nog meer: dan met wat pech helemaal geen mosterd, en geen privacy :+
Mijn persoonlijke ervaring (en dan zowel met betrekking tot mijzelf, als wat ik heb zien gebeuren bij anderen) is dat wanneer je gewoon een klein beetje oplet, je helemaal geen AV nodig hebt.

- Geen email bijlagen/links openen van afzenders die je niet kent.
- Geen software uit illegale bron downloaden.

Dat is het wel zo'n beetje. Als je gewoon een legale install van Windows hebt, altijd automatisch update doet van Windows/Flash/Java (of beter gooi Java en Flash eraf), dan is de kans echt heel erg klein dat je ooit te maken krijgt met iets wat lijkt op malware op je pc. Haal je games van Steam, gebruik geen dubieuze tools met 'adware'. Zo simpel is het.

En het grappige is, ook al heb je wel een AV-pakket dan moet je eigenlijk bovenstaande zaken toch in acht nemen, want ja, het blijft mosterd na de maaltijd. Als ik nu een 'verse' malware bijlage open in mijn mail, ben ik gewoon het haasje want de kans is klein dat de definities al helemaal bijgewerkt zijn...

[ Voor 5% gewijzigd door TheVMaster op 20-07-2016 12:20 ]

dinsdag 19 juli 2016 23:36

Acties:
  • 0 Henk 'm!
  • boyette
  • Registratie: November 2009
  • Laatst online: 20:06

boyette

Nou in dit soort dingen trappen toch veel mensen

https://www.security.nl/p...ishingmail+met+ransomware

en dan ben je nergens zonder AV

dinsdag 19 juli 2016 23:54

Acties:
  • 0 Henk 'm!
  • PilatuS
  • Registratie: September 2002
  • Niet online

PilatuS

ebia schreef op dinsdag 19 juli 2016 @ 23:31:
[...]


Mijn persoonlijke ervaring (en dan zowel met betrekking tot mijzelf, als wat ik heb zien gebeuren bij anderen) is dat wanneer je gewoon een klein beetje oplet, je helemaal geen AV nodig hebt.
Eens met de dingen die aangeeft, maar zelfs dan is een AV wel zo handig. Als opzoek bent naar iets via Google kan je prima eens op een foute site komen die je probeerd te infecteren. Ik heb af en toe eens dat Norton aangeeft iets geblokkeerd te hebben op een site waar ik kom.

Zonder AV draaien is gewoon niet handig vind ik. Al is het maar 1x per jaar dat er iets geblokkeerd word vanuit welke bron dan ook, is dat wel zo prettig.

Ik heb verder ook echt totaal geen last van mijn Norton. Qua meldingen heb ik zo goed als alles uitstaan, alleen via een website wil ik het wel te horen krijgen. Qua RAM en CPU gebruik is het al helemaal super weinig, dus last heb ik er totaal niet van.

dinsdag 19 juli 2016 23:57

Acties:
  • +1 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

ebia schreef op dinsdag 19 juli 2016 @ 23:31:
Mijn persoonlijke ervaring (en dan zowel met betrekking tot mijzelf, als wat ik heb zien gebeuren bij anderen) is dat wanneer je gewoon een klein beetje oplet, je helemaal geen AV nodig hebt.

- Geen email bijlagen/links openen van afzenders die je niet kent.
- Geen software uit illegale bron downloaden.

Dat is het wel zo'n beetje. Als je gewoon een legale install van Windows hebt, altijd automatisch update doet van Windows/Flash/Java (of beter gooi Java en Flash eraf), dan is de kans echt heel erg klein dat je ooit te maken krijgt met iets wat lijkt op malware op je pc. Haal je games van Steam, gebruik geen dubieuze tools met 'adware'. Zo simpel is het.

En het grappige is, ook al heb je wel een AV-pakket dan moet je eigenlijk bovenstaande zaken toch in acht nemen, want ja, het blijft mosterd na de maaltijd. Als ik nu een 'verse' malware bijlage open in mijn mail, ben ik gewoon het haasje want de kans is klein dat de definities al helemaal bijgewerkt zijn...
Je vergeet: nooit een browser gebruiken (100% onhackbare sites bestaan niet) en nooit een bijlage openen van iemand die je wel vertrouwt (immers kan die nog steeds besmet zijn)... En natuurlijk nooit met adminrechten werken. Altijd patchen. Etc. Etc. Etc,

Een AV is als een motorhelm. Als je je motor onderhoud en altijd goed oplet en alleen met 50 km/u op landweggetjes rijdt dan bots je niet en heb je geen helm nodig. (Behalve als er toch nog iets onverwachts gebeurt). Als het echt heel erg mis gaat, ben je net zo plat met als zonder helm.

Of als een condoom. Als het goed is is je vriendin te vertrouwen, maar er is een kleine kans dat ze toch een SOA heeft opgelopen ondanks je vertrouwen. En ook met condoom kan je HIV krijgen.

In alle drie de gevallen: liever mee verlegen dan om verlegen. Ondanks dat het geen garanties geeft. Het is en-en-en-en. Natuurlijk moet je ook patchen, backuppen, opletten, etc. Dan ben je 80% veilig, dan liever tot 95% veilig gaan.

Maar dit is wel erg off topic, open ander een los topic en ik doe graag mee met welles-nietes :P

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 20 juli 2016 09:31

Acties:
  • 0 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
Let wel mensen; een gehackte site probeert de bezoeker aan te vallen met exploits, en die exploits zijn óf zero-day (dus dan herkent jouw AV ze ook niet) óf ze proberen oudere versies van je software (en dan met name plug-ins als Flash en Java) uit te buiten om zou malware te droppen op je systeem.

Als je dus gewoon je patches bijwerkt, en je browser zo instelt dat je Flash/Java content niet automatisch runt, dan is de kans nihil dat je door een drive-by wordt geïnfecteerd. En zoals ik al zei, eigenlijk moet je deze attitude en instellingen sowieso al hebben, waardoor het nut van AV nogmaals wordt verzwakt.

En laten we wel wezen, hoe vaak lees je niet in dit forum (en vele andere) "ja ik had een virusscanner maar kreeg toch een virus, en nu is mijn data voorgoed pleite want ik had geen back-up". Volgens mij moeten we dan toch echt de conclusie trekken dat je beter een goede back-up kunt regelen dan een goede AV.

Daarnaast sturen AV producten vrijwel allemaal continu data terug over de gevonden files op je systeem. Weet jij wat je AV leverancier over jouw verzameld? En hoe goed ze dat beveiligen? Het is nog niet gebeurt, maar het zou me niks verbazen als binnenkort één van die AV boeren de pineut is en zo'n database met allerlei gegevens (van NAW, tot gevonden file hashes) uiteindelijk op het internet belandt. En geloof me, dan zijn de rapen gaar... Want je kunt dan makkelijk terugzoeken wie vieze fetish plaatjes op z'n PC heeft staan en andere (staatsgeheime?) documenten bijvoorbeeld. Wie heeft bijvoorbeeld de assurance files van Assange op z'n computer, etc. Zo'n database is goud voor bepaalde partijen, als ze er al reeds niet toegang tot hebben. Brrrr...

[ Voor 5% gewijzigd door ebia op 20-07-2016 09:34 ]

woensdag 20 juli 2016 13:03

Acties:
  • 0 Henk 'm!
  • PilatuS
  • Registratie: September 2002
  • Niet online

PilatuS

ebia schreef op woensdag 20 juli 2016 @ 09:31:
Let wel mensen; een gehackte site probeert de bezoeker aan te vallen met exploits, en die exploits zijn óf zero-day (dus dan herkent jouw AV ze ook niet) óf ze proberen oudere versies van je software (en dan met name plug-ins als Flash en Java) uit te buiten om zou malware te droppen op je systeem.
Ik heb anders vaak genoeg gehad dat Norton aangeeft een webattack aanval geblokkeerd te hebben. Via de browser is dan ook gelijk de enige plek waarbij ik dat zie. Al mijn software is legaal en buiten de browser om heb ik de afgelopen jaren dan ook geen meldingen van de scanner gehad.

Hoe dan ook, wat je aangeeft is allemaal heel leuk, maar het is gewoon een feit dat zonder AV draaien niet verstandig is. Ik vind het dan ook geen goed advies om zonder te gaan draaien als je maar oplet, zo simpel is het helaas niet.

woensdag 20 juli 2016 13:11

Acties:
  • +1 Henk 'm!
  • DonJunior
  • Registratie: Februari 2008
  • Laatst online: 22:40

DonJunior

Eerlijk is eerlijk ben ik het wel met de topic starter eens. Ik gebruik echt al jaren geen Antivirus meer. Nooit problemen gehad eigenlijk. Daarvoor kocht ik elk jaar trouw een nieuwe licentie van McAfee maar die prijzen werden ook steeds hoger en hoger.
Sinds dat ik Netflix en Spotify gebruik download ik ook geen films, series of muziek meer en kom ik dus ook niet meer op vreemde torrent sites.
Zeker moet je blijven opletten met het gebruik van je PC maar met een beetje nadenken kom je een heel eind.

*sowieso

woensdag 20 juli 2016 13:12

Acties:
  • 0 Henk 'm!
  • EdjeCageman
  • Registratie: Maart 2012
  • Laatst online: 12-09 15:25

EdjeCageman

Naast bovenstaande reactie. Tegenwoordig zit Windows defender toch ingebaken? Dan heb je nog altijd een basisbescherming.

woensdag 20 juli 2016 13:13

Acties:
  • 0 Henk 'm!
  • PilatuS
  • Registratie: September 2002
  • Niet online

PilatuS

DonJunior schreef op woensdag 20 juli 2016 @ 13:11:
Eerlijk is eerlijk ben ik het wel met de topic starter eens. Ik gebruik echt al jaren geen Antivirus meer. Nooit problemen gehad eigenlijk. Daarvoor kocht ik elk jaar trouw een nieuwe licentie van McAfee maar die prijzen werden ook steeds hoger en hoger.
Sinds dat ik Netflix en Spotify gebruik download ik ook geen films, series of muziek meer en kom ik dus ook niet meer op vreemde torrent sites.
Zeker moet je blijven opletten met het gebruik van je PC maar met een beetje nadenken kom je een heel eind.
Dan kan je nog eens een USB stick hebben van iemand waar iets op terecht gekomen is. Afgezien van dat kom je met verstandig zijn een heel eind. Dat heb ik zelf ook wel gemerkt door geen illegale games meer te downloaden en gewoon te betalen. Maar dan blijft browsen nog wel over. Zelfs met adblocker en ghostery kom ik soms nog wel eens wat tegen wat geblokkeerd word, dan ben ik toch erg blij een AV te draaien.

woensdag 20 juli 2016 13:22

Acties:
  • 0 Henk 'm!
  • DonJunior
  • Registratie: Februari 2008
  • Laatst online: 22:40

DonJunior

PilatuS schreef op woensdag 20 juli 2016 @ 13:13:
[...]


Dan kan je nog eens een USB stick hebben van iemand waar iets op terecht gekomen is. Afgezien van dat kom je met verstandig zijn een heel eind. Dat heb ik zelf ook wel gemerkt door geen illegale games meer te downloaden en gewoon te betalen. Maar dan blijft browsen nog wel over. Zelfs met adblocker en ghostery kom ik soms nog wel eens wat tegen wat geblokkeerd word, dan ben ik toch erg blij een AV te draaien.
Mja, als.. als.. Dat blijf je toch houden. Als ik nu naar buiten loop kan ik ook aangereden worden door een Bugatti Veyron die net te hard de bocht door komt. Zelfs al heb je een Antivirus. met een zero-day ben je ook dan de sjaak zeg maar.
En ach.. mocht er iets fout gaan dan herinstalleren we de boel weer en hebben we weer een goede reden om een frisse install te doen. Het belangrijkste devies is denk ik.. 'Maak backups.. en backups van backups'

*sowieso

woensdag 20 juli 2016 13:50

Acties:
  • +2 Henk 'm!
  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Ik heb bij dit soort topics altijd een beetje het idee dat het vooral een show-off is voor koorddansers zonder net...
Knap hoor, dat je het kan, en leuk dat je het wilt laten zien, maar... zet als-je-blieft een "Don't try this at home" waarschuwing neer.
Als ik kijk naar het aantal topics dat in B&V wordt geopend over allerhande zut die op een PC wordt binnengehengeld door sommige mensen, dan denk ik dat je een verkeerd voorbeeld zet om zonder waarschuwing dit soort topics te plaatsen. Vergeet niet... wij, Tweakers, zijn de experts. Wij weten hoe het moet ;)

Ik geef toe dat je met gezond verstand een heleboel kunt voorkomen, maar ik denk dat die helm/valnet/condoom/virusscanner net iets meer veiligheid geeft dan zonder... ;)

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

woensdag 20 juli 2016 18:23

Acties:
  • 0 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
PilatuS schreef op woensdag 20 juli 2016 @ 13:03:
[...]
Ik heb anders vaak genoeg gehad dat Norton aangeeft een webattack aanval geblokkeerd te hebben. Via de browser is dan ook gelijk de enige plek waarbij ik dat zie. Al mijn software is legaal en buiten de browser om heb ik de afgelopen jaren dan ook geen meldingen van de scanner gehad.
Dat ligt er maar net aan waarvoor Norton precies waarschuwt in dergelijke gevallen. 9 van de 10 keer apen ze elkaar allemaal na, en gebruiken ze bijvoorbeeld informatie van publieke IP-ban lijsten, of bijvoorbeeld lijsten als deze http://malc0de.com/database/. Zal ik je een geintje vertellen? Zet je Norton eens uit en kijk wat je browser (lees Firefox of Chrome) doet? Dan zul je zien dat die ook nog zo'n security scherm ervoor plakken. Daar zie ik niet de toegevoegde waarde van AV.

Sterker nog, de meeste AV scanners met 'web scan' functionaliteit voegen een local Root CA toe aan je systeem. Daarmee kunnen ze SSL verkeer breken en dus op inhoud scannen. Je kunt je voorstellen dat dat een kritisch stuk component is, kijk bijvoorbeeld naar de lading kritiek Lenovo over zich heen kreeg met zo'n toolbar die dat ook deed. In feite is de functionaliteit niet veel anders, want vrijwel elke AV boer stuurt die bezochte url's linea recta terug naar the mother ship. Wederom, als die database ooit buit wordt gemaakt, dan kan dat hele vervelende gevolgen hebben voor de betrokkenen gedurende een hele lange tijd.

Echt waar, als je je browser en je plug-ins (liefst geen) altijd bijwerkt, en je stelt het iets strakker in dan default, heb je echt geen AV nodig ook niet op het web.
Hoe dan ook, wat je aangeeft is allemaal heel leuk, maar het is gewoon een feit dat zonder AV draaien niet verstandig is. Ik vind het dan ook geen goed advies om zonder te gaan draaien als je maar oplet, zo simpel is het helaas niet.
Tsja, het is maar net hoe je zelf in elkaar zit. Als je inderdaad achteloos doet, ja dan is het wellicht een geschikt product. Als je te maken heb met je goedgelovige mensen die overal intrappen, prima moet je doen.

Ik zit hier op een techneuten forum van/voor tweakers, en dan ga ik er toch een beetje vanuit dat hier mensen zijn die 'bewust' met hun computer omgaan. Opgegroeid zijn en bekend zijn met de gevaren van het internet, etc.

woensdag 20 juli 2016 22:15

Acties:
  • 0 Henk 'm!
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

Het is allemaal leuk geredeneerd, maar ik blijf erbij dat AV een noodzaak is zeker bij de gemiddelde gebruiker.

Het internet is gevaarlijker dan ooit en dankzij malvertising kan elke site een infectiehaard worden. AV pakketten zijn ook jaren geleden meer geworden dan alleen zoeken via definities. Heuristiek is standaard en als ik naar diverse tests kijk behoorlijk effectief.

Ik gebruik zelf Kaspersky Endpoint Protection. Het kan inderdaad twee dingen doen die jij noemt. Middels een eigen SSL certificaat kan het SSL verkeer scannen. Je kan ook deelnemen aan de cloud oplossing van Kaspersky waarmee het pakket ook zaken op basis van een reputatiescore kan aanpakken. Indien je geen trek hebt in beiden kan je ze zo uitzetten. Het SSL deel ben ik ook niet happig op. Verder ben ik zeer tevreden met het pakket. Ik zou niet graag zonder willen.

donderdag 21 juli 2016 01:19

Acties:
  • 0 Henk 'm!
  • ongekend41
  • Registratie: September 2007
  • Laatst online: 07-09 20:40

ongekend41

Division Brabant

Ik draai Windows Defender, Adblock en Ghostery en dat lijkt de boel voorlopig schoon te houden. Geen exotische ja, da's een x sites bezoeken helpt waarschijnlijk ook mee. Nu is het wel zo dat Windows niet mijn hoofd-OS is maar ik gebruik het toch regelmatig.
Ik investeer liever in back-ups. Voorkomen is beter dan genezen, alleen is het niet altijd te voorkomen (0-days), maar wél te genezen mits voorbereid (back-up strategie). AV-bakkers lopen per definitie achter de feiten aan, en ik kan mijn geld maar 1 keer uitgeven. Dan is de keuze snel gemaakt, zeker als je bedenkt wat Ransome-ware voor prijzen vraagt.
Voor een bepaalde (min-of-meer digibete) groep zou een betaalde AV een betere beveiliging kunnen bieden, maar zeker is dat niet.
Ik ga er van uit dat ik een keer besmet wordt (kan ook via een ander OS, incl AV) en handel vanuit die gedachte. Soort van gezond alu-hoedje.

nope

donderdag 21 juli 2016 09:45

Acties:
  • +1 Henk 'm!

Verwijderd

Ik gebruik zelf geen AV, maar ik gebruik alleen Debian zonder GUI. Windows gebruik ik uitsluitend voor schoolwerk en ik gebruik mijn smartphone om wat op internet te browsen.

donderdag 21 juli 2016 14:06

Acties:
  • 0 Henk 'm!
  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Even een aanvulling (ingegeven door wb9688):
Waar je in heel veel gevallen mee te maken hebt (en waar een gebruiker met een GUI-lozeDebian, of een compleet flash-loze windows met noscript en nog zo het een ander vaak aan voorbij gaat) is familie-gebruik.
Ik doe mijn uiterste best om mijn zoontje van 6 wegwijs te maken op de PC en het internet. Maarre... er zijn meer dan voldoende sites die op zijn belevingswereld zijn gericht waar je zonder flash gewoon tegen een wit scherm aan zit te kijken. En nee... ik kan (en mag) nog niet verwachten van Jester-JR dat 'ie al kan filteren waar wel en niet op te klikken.
En dan ben ik allang blij dat hij nog niet aan het mailen is ;)

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

donderdag 21 juli 2016 14:27

Acties:
  • 0 Henk 'm!
  • marquis
  • Registratie: Januari 2003
  • Laatst online: 27-08 21:28

marquis

Ik snap dat je heel goed oplet met welke sites je opent en wat je doet, bewust doet met je computer om te voorkomen dat je ook maar iets als virus of iets dergelijks op je systeem krijgt. Maar soms dan ben je net niet even wakker of wordt je aandacht door iets anders opgesnoept en dan heb je zomaar iets op je systeem... Net zoals een helm, de meeste tijd heb je hem niet nodig maar je zag net die auto van rechts over het hoofd omdat je op iets anders zat te letten. En waarom zou je hem niet gebruiken? Bij Windows zit ie gratis bij......

Adem in...... adem uit. Poeh, weer gered :-)

donderdag 21 juli 2016 14:36

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:29

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

ebia schreef op dinsdag 19 juli 2016 @ 23:31:

Mijn persoonlijke ervaring (en dan zowel met betrekking tot mijzelf, als wat ik heb zien gebeuren bij anderen) is dat wanneer je gewoon een klein beetje oplet, je helemaal geen AV nodig hebt.
Deze discussie is al heel vaak gevoerd hier op het forum en elke keer komen dezelfde argumenten boven om geen AV te gebruiken die vervolgens weer worden ontkracht.

Bottomline; drive by downloads, geinfecteerde advertentienetwerken, in de fabriek geinfecteerde hardware (ook hier zijn voorbeelden van), zero day exploits aangevuld met het feit dat je handmatig nooit dezelfde controle kunt uitoefenen als je met een goede AV suite continu kunt laten doen, meten is weten en andere argumenten. Met de search is er genoeg leesvoer te vinden.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

donderdag 21 juli 2016 19:39

Acties:
  • +1 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
Bor schreef op donderdag 21 juli 2016 @ 14:36:
[...]


Deze discussie is al heel vaak gevoerd hier op het forum en elke keer komen dezelfde argumenten boven om geen AV te gebruiken die vervolgens weer worden ontkracht.
Mijn argumenten ontkracht gezien heb ik nog nergens, sterker nog, ik zal wat bronnen toevoegen om ze meer waarde te geven:Zowel privé als zakelijk ben ik al jaren bezig in het security wereldje, en heb ik dus diverse AV pakketten gezien, beheerd, en ingegrepen bij incidenten. Ik heb ze allemaal wel eens zien falen, van niet detecteren, wel detecteren maar niet kunnen verwijderen, of pas detectie toen het al veel en veel te laat was (recent nog met ransomware). En dan heb ik het nog niet over de functionele kant; soms resource problemen, memleaks, bugs, centrale management GUI's die niet goed werken, etc.

Velen maken de vergelijking met een helm/gordel/condoom, maar helaas gaat die vergelijking echt niet op. AV is een product wat vaak meerdere keren per dag updates krijgt. En dat is omdat het eigenlijk altijd reactief is. Krijg jij net een 'vers' virus binnen, dan zal je AV zelden aanslaan (heuristics my ass, heb dat nog nooit goed zien werken, zeker met die ransomware die wordt gedropt dmv Office macro's van de laatste tijd). Vanwege dat reactieve karakter, en het feit dat vrijwel altijd achter de feiten aanloopt, is het dus bij lange na niet zo betrouwbaar als een goedgekeurde helm (waarvan je weet dat als je die op hebt, hij zal werken tijdens een val). Het is meer te vergelijken met elke dag een nieuwe helm, niet gekeurd volgens enkele norm, soms schiet het bandje half los, soms valt ie af maar heb je het zelf niet door. Alleen door geluk blijft ie op je hoofd zitten tijdens een val en doet het schokabsorberend materiaal z'n ding.

Ik laat mijn pc's liever niet over aan toeval en reactieve producten, die daarbij ook nog eens kwetsbaarheden introduceren en onnodig mijn privacy schenden...

donderdag 21 juli 2016 20:13

Acties:
  • 0 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
Bor schreef op donderdag 21 juli 2016 @ 14:36:
[...]
Bottomline; drive by downloads, geinfecteerde advertentienetwerken, in de fabriek geinfecteerde hardware (ook hier zijn voorbeelden van), zero day exploits aangevuld met het feit dat je handmatig nooit dezelfde controle kunt uitoefenen als je met een goede AV suite continu kunt laten doen, meten is weten en andere argumenten. Met de search is er genoeg leesvoer te vinden.
Drive-by downloads (al dan niet via malvertising), is vrij eenvoudig te voorkomen door je browser en plug-ins altijd te updaten, en een adblocker te gebruiken. Een stap strenger zou zijn die browser altijd in een sandbox te draaien, met iets van no-script zodat er geen kwaadaardige code afgetrapt kan worden.

Geïnfecteerde hardware uit de fabriek: bijzonder scenario maar inderdaad mogelijk. Helaas vrijwel niet te detecteren, omdat (ook al zou je zelf firmware kunnen flashen in de betreffende hardware), de malware dusdanig ingrijpt dat ook een nieuwe firmware de daadwerkelijke infectie niet zal weghalen. Echter: dergelijke malware is beperkt bruikbaar en houdbaar, daardoor zou het 'af fabriek' scenario niet zo waarschijnlijk zijn. Eerder naderhand geïnfecteerd dus.
Vergeet niet dat dergelijke malware tonnen/miljoenen kost om te ontwikkelen, dus je moet wel bij een heel select gezelschap behoren om interessant genoeg te zijn om via dergelijke wijze te worden bespioneerd.
Daarnaast zal geen enkele AV zo'n aanval detecteren, het is allemaal custom en ze laten het succes van zo'n aanval echt niet afhangen van detectie door een lullig virusscannertje. Dat zal uitvoerig worden getest met alle populaire scanners. Zodra zoiets wordt gedetecteerd kun je je zorgvuldig ontwikkelde en geïnfiltreerde stukje software namelijk weggooien. Daarvoor is het iets te duur.

Eigenlijk alle 0day exploits kun je dus sowieso vergeten met je AV-tje, daarvoor zijn het immers 0day exploits.

donderdag 21 juli 2016 20:35

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:29

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

ebia schreef op donderdag 21 juli 2016 @ 20:13:
[...]
Drive-by downloads (al dan niet via malvertising), is vrij eenvoudig te voorkomen door je browser en plug-ins altijd te updaten, en een adblocker te gebruiken.
Daarmee beperk je hooguit de bedreiging in beperkte mate maar voorkom je hem absoluut niet.
Geïnfecteerde hardware uit de fabriek: bijzonder scenario maar inderdaad mogelijk.
Helaas vrijwel niet te detecteren, omdat (ook al zou je zelf firmware kunnen flashen in de betreffende hardware), de malware dusdanig ingrijpt dat ook een nieuwe firmware de daadwerkelijke infectie niet zal weghalen. Echter: dergelijke malware is beperkt bruikbaar en houdbaar, daardoor zou het 'af fabriek' scenario niet zo waarschijnlijk zijn. Eerder naderhand geïnfecteerd dus.
Een bijzonder maar helaas reeel scenario. Zo zijn er in het verleden al geinfecteerde mp3 spelers uit de fabriek gerold, usb sticks voorzien van malware en officieel geperste software wat ook niet schoon bleek. Het hoeft dus lang niet altijd op een laag niveau zoals firmware te zitten.
Vergeet niet dat dergelijke malware tonnen/miljoenen kost om te ontwikkelen, dus je moet wel bij een heel select gezelschap behoren om interessant genoeg te zijn om via dergelijke wijze te worden bespioneerd.
Daar overschat je de kosten en onderschat je de dreiging.
Daarnaast zal geen enkele AV zo'n aanval detecteren, het is allemaal custom en ze laten het succes van zo'n aanval echt niet afhangen van detectie door een lullig virusscannertje.
Dergelijke malware wordt juist vaak gesnapt omdat een antimalware product de lading wel herkend. Het hoeft echt niet altijd heel exotisch te zijn.
Eigenlijk alle 0day exploits kun je dus sowieso vergeten met je AV-tje, daarvoor zijn het immers 0day exploits.
Ook dat valt gedeeltelijk mee in de praktijk. Er wordt veelal gebruik gemaakt van een 0 day om malware achter te laten. De malware zelf is meer dan eens echter een bekend exemplaar of een variant hierop. Bovendien zal een anti malware product middels een update detectie kunnen toevoegen. Zonder anti malware product heb je die kans niet maar mag je hopen op een patch. Niet alleen is het dan al vaak te laat maar bovendien heb je daarmee ook binnen redelijke termijn geen detectie.

Ik heb nu helaas geen tijd om op je andere links te reageren, dat komt wellicht binnenkort. Het zijn voor het grootste deel al eerder aangehaalde zaken en / of erg eenzijdige berichtgeving.

[ Voor 3% gewijzigd door Bor op 21-07-2016 20:38 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

donderdag 21 juli 2016 21:03

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ook hier nog geen tijd voor uitgebreider, aanvulling:

0 days misbruiken is inderdaad slechts een deeltje vd dreiging.

Nou ja zero 'day'. Wachten op patches duurt dagen, weken of maanden. Nieuwe malwareherkenning gaat (meestal) sneller. Juist (ook, een beetje) omdat besmettingen naar AV-boeren gaan.

Naar huis bellen moet soms; immers komen zo de verdachte files bij de AV, en is er zicht op de variëteit in gebruik zodat juist false positives kunnen worden verminderd. En dus moet dat worden gemeld in de alg.voorwaarden. Deels is het fatsoenlijk instellen (webscan uit / eigen certificaat weg; 'customer experience' etc uit; etc.). En inderdaad deels idd iets waar ik niet blij mee ben. Maar zoals gezegd, de privacy impact van een besmetting is enorm veel groter.

Phone home geldt niet alleen ook voor je OS, maar ook voor vele gratis en niet gratis apps. Zeker als ze een auto-update feature hebben (zeker in jouw geval een must) hebben ze een keurig gaatje in de firewall. En pak-em-beet Notepad++ kan evengoed onder druk van %overheid% een patch uitbrengen en je zo gaan afluisteren. Zeker als je geen AV hebt die patronen zou kunnen herkennen. Men drukt de UAC-melding toch wel weg, want verwacht die update.

Belangrijkste: je gaat voorbij aan de 99+% van de mensen die niet opletten. Er is altijd wel iemand waar het prima zonder gaat. Adviseer je je Flash-games spelende grootouder / ouders / kinderen / kroegvrienden ook af te zien van AV? Wetende dat ze een keer wel de attachment in de mail van "KPN" of "Ziggo" gaan openen. En het schoolwerk de afgelopen weken hebben opgeslagen in \Temp. Adviseren op te letten gaat niet werken, ze alleen guest rechten geven ook niet als je niet dagelijks langs wilt fietsen.

Bedenk ook: als je AV's moet beheren dan zie je niet de dingen die goed gaan, dan bellen ze je niet. Wel de dingen die fout gaan. Dat en ik proef wat confirmation bias.

Ik heb IRL best wat false positives en een paar echte positives gehad. Ondanks redelijk opletten. En bij familie etc. meer. Zolang http://www.av-comparative.../07/avc_prot_2016a_en.pdf etc. 99,x% zeggen te zien worden tegengehouden ben ik liever mee te verlegen dan om verlegen. Ondanks dat geen AV perfect is.

Eerlijk gezegd zie ik het nog steeds een beetje als een discussie a la vaccinatie. Er zijn veel te veel mensen die vinden dat die eng zijn. En er zijn prima mensen te vinden met een goed leven zonder vaccinaties. En ook mensen te vinden die enge ziektes kregen na vaccinatie. Maar toch zie ik kinderen liever wel worden ingeënt.

Edit: hmmm. Dit laatste komt bij nader inzien flamerig over. Niet zo bedoeld, excuses.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 21 juli 2016 21:09

Acties:
  • 0 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
Bor schreef op donderdag 21 juli 2016 @ 20:35:
[...]


Daarmee beperk je hooguit de bedreiging in beperkte mate maar voorkom je hem absoluut niet.
Dit zijn juist allemaal maatregelen om te voorkomen dat dergelijke exploits überhaupt kans maken: Ten eerste, browserexploits vallen eigenlijk altijd 'bekende' exploits aan in verouderde versies van software. Updaten helpt. Ten tweede als je een adblocker gebruikt, reduceert dat de kans van malware via het advertentie kanaal tot nihil. Dan blijft er over code op websites die je bezoekt die zelf gehackt zijn, die kun je vrij simpel tegenhouden door een plug-in als noscript toe te passen die per default geen code toestaat. Sowieso zou je Flash en Java per default nooit aan hebben moeten staan.

Juist een AV zal pas 'aanslaan' (reactief in plaats van preventief dus) als die meent dat er echt kwetsbare code wordt gedraaid. Sterker nog, hij reageert vaak daar niet eens op, maar op een daadwerkelijke dropper/trojan die op je pc komt te staan nadat zo'n exploit succesvol was! Tenzij je misschien zo'n TLS proxy aan hebt, maar dat is niet zonder risico's zoals ik al eerder aanhaalde.
[...]

Een bijzonder maar helaas reeel scenario. Zo zijn er in het verleden al geinfecteerde mp3 spelers uit de fabriek gerold, usb sticks voorzien van malware en officieel geperste software wat ook niet schoon bleek. Het hoeft dus lang niet altijd op een laag niveau zoals firmware te zitten.
Sorry, ik had hier over een ander scenario, dat van state-sponsored attacks met achterdeuren in firmware.

Maar wat jij noemt kan inderdaad ook. Ik weet dat hier voorbeelden van zijn geweest, echter zijn dat dan vaak wel inferieure producten en/of dubieuze reseller kanalen. Sowieso stop ik cd's die ik bij spullen krijg nooit in mijn computer (handleiding download ik wel van de website). Eventuele drivers ook, want je wil immers de laatste, en die gooi ik voor de zekerheid altijd even langs virustotal. Idem met USB of memorycards, wat er op staat boeit me niet ik knal er meteen een format overheen. Dat reduceert de kans op een geslaagde infectie denk ik tot nihil. Sowieso de auto-play uitzetten natuurlijk!
Ook dat valt gedeeltelijk mee in de praktijk. Er wordt veelal gebruik gemaakt van een 0 day om malware achter te laten. De malware zelf is meer dan eens echter een bekend exemplaar of een variant hierop. Bovendien zal een anti malware product middels een update detectie kunnen toevoegen. Zonder anti malware product heb je die kans niet maar mag je hopen op een patch. Niet alleen is het dan al vaak te laat maar bovendien heb je daarmee ook binnen redelijke termijn geen detectie.
Daar heb je een punt, maar voor welke 0days is je systeem in de praktijk echt vatbaar? Dat is toch echt vrijwel allemaal browser/plug-in gerelateerd. En dan blijf ik terugkomen op sandboxed browser, flash/java uit, no script. Maarja, je zou een 0day in Acrobat kunnen hebben, die geactiveerd kan worden met een speciale PDF. Maar dan moet je maar net zo'n PDF ergens vandaan hebben ontvangen, de kans is nihil. Soms werkt security through obscurity best wel in dit soort gevallen; gebruik geen MS Office maar LibreOffice (al is het maar als je default pakket), voor Acrobat heb je ook goede alternatieven. Eigenlijk allerhande client software die mogelijk in contact staat met internet, ik zet ze per definitie in mijn firewall (tenzij het echt niet anders kan), om te voorkomen dat dit soort dingen kans van slagen hebben plus het phone home gedrag van vele software tegen te gaan.

Om terug te komen op je meten is weten: Daarvoor kun je dus prima op individuele file basis virustotal of malwr gebruiken. Anders bijvoorbeeld een CrowdInspect dat weliswaar hashes verstuurd, maar alleen van lopende processen en voor zover ik weet niet te veel data over je systeem meestuurt. Een stapje verder kan bijvoorbeeld met Malwarebytes of Hitman pro, die je zo nu en dan kunt draaien als je iets niet vertrouwd. Maar continu die scanner aan? Onnodig...

donderdag 21 juli 2016 21:22

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

ebia schreef op donderdag 21 juli 2016 @ 21:09:
Maarja, je zou een 0day in Acrobat kunnen hebben
[...]
Eigenlijk allerhande client software die mogelijk in contact staat met internet, ik zet ze per definitie in mijn firewall (tenzij het echt niet anders kan), om te voorkomen dat dit soort dingen kans van slagen hebben plus het phone home gedrag van vele software tegen te gaan.
Wacht even. Je patcht je software niet? Ik neem aan dat je niet steeds hun sites F5'd. (Laat staan dat je dat doet voor familie etc.)
Daarvoor kun je dus prima op individuele file basis virustotal of malwr gebruiken.
Individueel is niet te doen voor een end user.
Anders bijvoorbeeld een CrowdInspect dat weliswaar hashes verstuurd, maar alleen van lopende processen en voor zover ik weet niet te veel data over je systeem meestuurt. Een stapje verder kan bijvoorbeeld met Malwarebytes of Hitman pro, die je zo nu en dan kunt draaien als je iets niet vertrouwd. Maar continu die scanner aan? Onnodig...
Dan ben je al lang besmet. En ook: waarom zou je de mensen achter Hitman pro wel vertrouwen? ;)

Realtime virusscanner: meestal niet nodig. Een keertje per jaar wel. Truc is weten wanneer -> dan liever altijd. Zeker voor het gros vd mensen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 21 juli 2016 22:32

Acties:
  • +1 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:29

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

ebia schreef op donderdag 21 juli 2016 @ 21:09:
[...]

Dit zijn juist allemaal maatregelen om te voorkomen dat dergelijke exploits überhaupt kans maken: Ten eerste, browserexploits vallen eigenlijk altijd 'bekende' exploits aan in verouderde versies van software.

Updaten helpt. Ten tweede als je een adblocker gebruikt, reduceert dat de kans van malware via het advertentie kanaal tot nihil. Dan blijft er over code op websites die je bezoekt die zelf gehackt zijn, die kun je vrij simpel tegenhouden door een plug-in als noscript toe te passen die per default geen code toestaat. Sowieso zou je Flash en Java per default nooit aan hebben moeten staan.
Zoals al aangegeven beperken dergelijke maatregelen het risico alleen. Ik ga er trouwens van uit dat iemand die een anti malware product draait ook soortgelijke maatregelen treft. Het is een extra laag van defense en een kwestie van "goed beheer" maar meer ook niet.
Juist een AV zal pas 'aanslaan' (reactief in plaats van preventief dus) als die meent dat er echt kwetsbare code wordt gedraaid. Sterker nog, hij reageert vaak daar niet eens op, maar op een daadwerkelijke dropper/trojan die op je pc komt te staan nadat zo'n exploit succesvol was!
Kun je dit onderbouwen met bronnen? Naast reactieve anti virus / anti malware heb je ook zaken die exploit chains breken zoals Palo Alto Traps software en preventieve software zoals Hitman.Pro Alert.
Om terug te komen op je meten is weten: Daarvoor kun je dus prima op individuele file basis virustotal of malwr gebruiken. Anders bijvoorbeeld een CrowdInspect dat weliswaar hashes verstuurd, maar alleen van lopende processen en voor zover ik weet niet te veel data over je systeem meestuurt.
Met een dergelijke aanpak ben je ook reacties bezig, immers de besmetting van het betreffende bestand is al achter de rug.Ik wil het besmette bestand helemaal niet op mijn systeem hebben.
Maar continu die scanner aan? Onnodig...
Toch haal je geen enkel argument aan waaruit blijkt dat een actieve scanner onnodig is. Ik lees goede risico beperkende maatregelen maar geen enkel alternatief voor de mate van continue controle die een actieve scanner voor je kan uitvoeren.
• Vrijwel elke AV stuurt data terug naar the Mother ship. Zie ook dit document http://www.av-comparative...c_datasending_2014_en.pdf. En 1) dat was een test uit 2014, dus wie weet is het 'probleem' intussen nog groter geworden, en 2) fabrikanten hebben gesloten vragen gehad over data-verzameling, daar zou nog meer bij kunnen zitten. Let vooral op de kolom 'File related information'. En het feit dat sommige van de vragen 'non disclosed' zijn zegt eigenlijk genoeg; fabrikanten durven het niet toe te geven, wellicht omdat ze bang zijn dat het negatieve gevolgen heeft voor hun reputatie. Waarom dan toch doen?
Je linked een rapport die hier vaker voorbij komt op GoT. Een interresant onderwerp voor onderzoek. Maar... wat staat er nu daadwerkelijk wanneer je het rapport leest? Eigenlijk bar weinig als je het mij vraagt. Welke instellingen zijn gebruikt, wat staat er in de voorwaarden, wordt de gebruiker gewaarschuwd bij het aanzetten van features of niet? Allemaal vragen waar geen antwoord op komt.

Veel van de genoemde zaken lijken te maken te hebben met het uploaden van mogelijk besmette bestanden (wat bijna altijd optioneel is), het controleren van een geldige licentie (door de vele pirated exemplaren die in omloop zijn is dit helaas nodig) en het gebruik van cloud technologie; wederom vaak optioneel. Het lijkt me evident dat er bij een cloud based technology data verstuurd moet worden. En wat wordt er nu precies verstuurd? Daar is het rapport vaag over. Enkele voorbeelden worden gegeven maar daar zie ik ook elke keer een uitleg of mogelijke uitleg bij met een reden waarom deze info verstuurd moet worden. Erg veel hangt af van de gebruikte settings.

En inderdaad, het is een oudere test, misschien is de situatie in de tussentijd erg verbeterd ;)

Het feit dat sommige van de vragen 'non disclosed' zijn zegt eigenlijk niet meer dan dat er geen informatie wordt gegeven. Redenen om dat te doen worden zelfs in het rapport al aangedragen. Het is een rapport welke je alleen kunt interpreteren met kennis van de daadwerkelijke producten en de werking hiervan. Zonder dergelijke inzichten laat het rapport zich ineens totaal anders uitleggen.
• En dat de verzamelde data interessant kan zijn c.q. in verkeerde handen kan vallen blijkt wel bijvoorbeeld uit dit bericht (nieuws: Beveiligingsbedrijf Kaspersky geïnfiltreerd met overheidsvirus - update. Goed, nu lijkt het erop dat dat met een sisser is afgelopen, maar wat als het wel was gelukt. Nu is Kaspersky zo eerlijk om erover te rapporteren, maar zie je dat andere partijen ook doen? Als ze (zich) gedwongen voelen/worden?
Dit geldt natuurlijk voor alle producenten van software, niet in de laatste plaats voor ontwikkelaars van een OS of andere low-level software. Een anti malware product is hier in basis niet veel anders.
• Gratis AV? Dan ben jij niet de klant, maar het product! Bijv. nieuws: AVG verzamelt browse- en zoekgeschiedenis klanten en verkoopt die mog... Betaalde diensten doen het trouwens ook: nieuws: Symantec wil data gebruikers delen met andere beveiligingsbedrijven
Ook hier is een anti malware product eigenlijk hetzelfde als welk product dan ook. Voor niets gaat de zon op. Bovendien zijn dit soort zaken in voorwaarden en privacy statements terug te lezen. Als je bijvoorbeeld de link rond Symantec leest gaat het om het delen van bijvoorbeeld "e-mailadressen die virussen verzenden en url's met malware". Kortom, informatie over infectiehaarden. Hé, dat kan onder bepaalde voorwaarden zelfs nog nuttig zijn ook! Het is niet allemaal zo negatief als jij het stelt.
Tot slot concludeert de professor die het onderzoek leidde mbt tot de onveilige TLS proxies dat AV 'increasingly useless' aan het worden is: http://www.cbc.ca/news/te...ivirus-software-1.3668746
Je quote selectief. Ik lees bijvoorbeeld ook "But both Sjouwerman and Haynes suggest that even a small level of protection offered by antivirus software may still be worth the price for corporations."

CBC news is nu niet echt een autoriteit op dit gebied.

Tegenover deze stelling staat een minstens zo groot leger aan professionals die het nut van anti malware producten onderstrepen.
Zowel privé als zakelijk ben ik al jaren bezig in het security wereldje, en heb ik dus diverse AV pakketten gezien, beheerd, en ingegrepen bij incidenten.
Als je in het security wereldje rondloopt zou je het voordeel van een goede actieve scanner naast andere maatregelen toch moeten inzien lijkt mij en bovendien moeten inzien dat je zelf die extra line of defense niet dermate actief kunt controleren.

[ Voor 54% gewijzigd door Bor op 21-07-2016 23:28 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

donderdag 21 juli 2016 23:43

Acties:
  • 0 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
F_J_K schreef op donderdag 21 juli 2016 @ 21:22:
[...]

Wacht even. Je patcht je software niet? Ik neem aan dat je niet steeds hun sites F5'd. (Laat staan dat je dat doet voor familie etc.)
Niet elke patch voor software betreft een security fix. Daarnaast is het vaak een redelijke methode zodat een security lek in eerste instantie ook niet misbruikt kan worden. Afhankelijk van het software-type en de omgeving waarin ik zit doe ik aan (semi-)automatische patches, of handmatig. Over die laatste laat ik me informeren via diverse wegen, wederom afhankelijk van de software. Dat kan de meuktracker zijn, een mailinglist, nieuwswebsites, etc.

Daarnaast, maar nu dwalen we een beetje af, als het gaat om client software, gebruik ik bijvoorbeeld ook sandboxes, temp VM's, EMET, om maar een paar zaken te noemen. Uiteindelijk heb je altijd wel eens software waarmee je onbekend bent/niet vertrouwd, maar die je om wat voor een reden toch wil testen/gebruiken en niet vooraf de impact op je systeem kunt bepalen.

Begrijp me niet verkeerd, omdat ik niks met AV heb, wil niet zeggen dat ik niet geloof in defense-in-depth. Ik vind alleen de 'AV-laag' weinig tot niet relevant in het geheel van maatregelen die ik thuis heb genomen...
[...]

Individueel is niet te doen voor een end user.
Waarom niet? Hoeveel executables download jij per dag? Ik doe dat zelden, dus het is een kleine moeite om even mee te nemen. Net zoals bijvoorbeeld het checken van SHA hashes en die dingen.

Je gebruikt de term 'end users'. Nee, ik heb hier natuurlijk niet over een zakelijke omgeving. Ik ben, en verplaats mij in, tweaker publiek hè... niet Arie de accountant, en Sjaantje de schoonmoeder.
Bor schreef op donderdag 21 juli 2016 @ 22:32:
[...]
Kun je dit onderbouwen met bronnen? Naast reactieve anti virus / anti malware heb je ook zaken die exploit chains breken zoals Palo Alto Traps software en preventieve software zoals Hitman.Pro Alert.
Ik heb even geen bronnen, maar de gemiddelde scanner is niet in staat om 'exploit' code direct te stoppen. Ik spreek uit eigen ervaring als ik zeg dat je prima een exploit kan afvuren op een service die lek is, bijvoorbeeld met Metasploit. Lek is lek, en ik heb nog nooit een AV scanner zo'n exploit zien tegenhouden. Dat is in feite ook niet de functie van een virusscanner, die in basis alleen zoekt op signatures in bestanden al dan niet op disk of in mem.

Pas als je bijvoorbeeld een malafide payload kan meesturen die herkent kan worden, denk bijvoorbeeld aan mimikatz of een fgdump, dan zal je AV (mogelijk) alarmeren. Echter, een remote shell op basis van cmd.exe zal de AV echt geen krimp geven omdat dat immers een legitiem proces is. Sowieso als de aanvaller een klein beetje weet wat ie doet kan ie met packers executables uniek maken waardoor signatures (en heuristics (whatever)) sowieso niet zullen aanslaan.

Beste is nog application whitelisting wellicht, maar begin daar maar eens aan, dat is nu echt bijna voor een thuistweaker niet te doen...
[...]
Met een dergelijke aanpak ben je ook reacties bezig, immers de besmetting van het betreffende bestand is al achter de rug.Ik wil het besmette bestand helemaal niet op mijn systeem hebben.
Dit volg ik even niet? Stel je hebt een file die je niet vertrouwd, je hebt hem niet ge-execute alleen opgeslagen, dan is er nog geen sprake van infectie. Dat is een prima moment om zo'n ding langs de online scanners/sandboxen te halen om te kijken of het in de haak is. Ik kan Cuckoo overigens aanraden als je zelf een malwr omgeving wilt hebben in een eigen VM.
[...]
Toch haal je geen enkel argument aan waaruit blijkt dat een actieve scanner onnodig is. Ik lees goede risico beperkende maatregelen maar geen enkel alternatief voor de mate van continue controle die een actieve scanner voor je kan uitvoeren.
Het is denk ik moeilijk met cijfers te onderbouwen, maar denk maar zo: hang een ongepatched Win 7 systeem 5 minuten aan het directe internet, en hij is gep0wned. (Je AV kan dan wellicht afgaan, maar technisch gebeurt dat altijd 'te laat', wanneer infectie al heeft plaatsgevonden).
Hang een volledig gepatched Win 7 systeem er naast, en de kans is al een stuk kleiner dat ie gep0wned wordt. Sowieso zijn remote exploitable bugs vrij zeldzaam, en vaak erg afhankelijk van user interactie.

Dat geef dus het belang aan van patchen. Dat belang is erg groot. Het maakt het gepatchede Win 7 systeem niet feilloos, maar wel een stuk weerbaarder. Voeg wat extra componenten toe aan de beveiligingslagen; netwerk + host based in-/outbound firewall, filtering proxy, sandbox, goede hardened configuratie van OS en browser, en natuurlijk een beetje oplettende (privilege limited) gebruiker die zich niet gedraagt als klikvee, en je moet een heel eind komen zonder AV. Dat is thuis prima haalbaar (pfsense + squid), en voor de enterprise helemaal bijvoorbeeld als die ook nog mooie spullenboel als IPS erbij nemen (wat je overigens ook thuis kan doen met snort).

(In de enterprise is het bijvoorbeeld een best practice om een besmet systeem gewoon als gecompromitteerd te beschouwen en sowieso te voorzien van een nieuw image. Zoveel vertrouwen heeft men nou in de kunsten van AV. Het is slecht een reactief detectiemiddel, maar vertrouwen op een goede clean up? Nee. De data is (als het goed is) niet verloren, want die staat ergens centraal en niet op de client. Dus een nieuwe image heeft weinig impact.)

Iemand haalde nog aan de potentiële privacy impact van malware/spyware. Ja, daar ben ik het mee eens. Dat geeft het belang maar weer eens aan dat je data in rest moet encrypten. Ook simpel voor elkaar te krijgen door de tweaker, zelfs voor een leek mits je het even een keer goed uitlegt. Nog beter, is natuurlijk die data dan alleen maar te benaderen via een air gapped VM ofzo, maar goed dat wordt dan al redelijk 2.0 stuff. Maar goed, het is dan ook zeker niet gegarandeerd dat AV voorkomt waar je je tegen wilt beschermen, dus dan kan je het maar beter 'goed' doen.

vrijdag 22 juli 2016 00:24

Acties:
  • 0 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
Bor schreef op donderdag 21 juli 2016 @ 22:32:

Erg veel hangt af van de gebruikte settings.
Toch kan je niet dergelijke zaken instellen op het niveau zoals deze vragen. Waarom moeten hashes geupload worden, als de definitie file lokaal staat? (Ja, ik weet het antwoord wel, maar wat als ik dit niet wil...) Het e.e.a. valt ook amper te controleren en bevat de client software mogelijk ongedocumenteerde functionaliteit zoals die silent detection.
Dit geldt natuurlijk voor alle producenten van software, niet in de laatste plaats voor ontwikkelaars van een OS of andere low-level software. Een anti malware product is hier in basis niet veel anders.
Daar kun je je software wel op uitzoeken als je het belangrijk vindt. Veel open source is eerlijker over of doet het helemaal niet, en vrijwel altijd opt-in. Bij anti-virus is zoals je dat kunt zien eigenlijk geen keuze.
Je quote selectief. Ik lees bijvoorbeeld ook "But both Sjouwerman and Haynes suggest that even a small level of protection offered by antivirus software may still be worth the price for corporations."

CBC news is nu niet echt een autoriteit op dit gebied.
Ach het was slechts een interview met de mensen achter het onderzoek. De conclusies uit dat gepubliceerde artikel, en daar ging het om, kun je toch zeker droevig noemen. Net als dat artikel over de (niet werkende) functies van de AV firewalls. En de grote hoeveelheid security bugs die in de clients zelf worden gevonden. Allemaal dingen die je (voor het gemak?) niet aanhaalt, maar voor mij persoonlijk in ieder geval zwaar meewegen in de keuze om wel of geen AV te gebruiken.
[...]
Als je in het security wereldje rondloopt zou je het voordeel van een goede actieve scanner naast andere maatregelen toch moeten inzien lijkt mij en bovendien moeten inzien dat je zelf die extra line of defense niet dermate actief kunt controleren.
Klopt, zakelijk neem ik hele andere afwegingen. Maar ik heb het nu over mijn eigen situatie thuis en het publiek hier, niet zozeer zakelijke omgevingen. Ware het niet dat als ik wel alle controls in place had, en alle security kon inbouwen zoals ik die idealiter zou zien, ik best wel zou aandurven zonder lokale AV te werken op de clients (uiteraard wel afgevangen met bijvoorbeeld een Bit9 achtige oplossing, Redsocks vind ik ook best leuk, maar even een gekke zijstraat met een goed ingeregeld SIEM en wat ingekocht intelligence kun je eigenlijk ook heel snel achter infecties komen zonder AV). Dat zijn echter allemaal technieken die zijn niet haalbaar voor kleinere organisaties, zowel niet in capex als HR.

Overigens, maar dat is een hele andere discussie, zie ik e-mail als de grote boosdoener in het geheel. Zo hup langs als je mooie maatregelen zo op de desktop van je gebruiker. Als de spam/malware filter in je mail niet aangeslagen heeft, dan is er nog maar één layer in je lijn of defense en dat is je AV. Helaas teveel incidenten meegemaakt dat die het ook niet deed, omdat het dan te nieuw was om gedetecteerd te worden. En tegen vrijwillig gestarte executables, ook met alleen user privileges, kun je eigenlijk een systeem toch prima om zeep helpen...

vrijdag 22 juli 2016 08:49

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:29

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Zou je in het vervolg de edit knop willen gebruiken?
ebia schreef op vrijdag 22 juli 2016 @ 00:24:
[...]

Toch kan je niet dergelijke zaken instellen op het niveau zoals deze vragen. Waarom moeten hashes geupload worden, als de definitie file lokaal staat?
Cloud based technology. De definitie staat daarbij niet lokaal. Een andere toepassing is het bepalen van statistieken. En nogmaals, wat zegt het rapport nou eigenlijk? Zonder de betreffende gebruikte instellingen kun je eigenlijk geen enkele conclusie trekken rond standaard gedrag van de clients. Alles staat en valt met de gebruikte technieken, de manier hoe een eindgebruiker van zaken op de hoogte wordt gesteld (of niet) en de testmethode.

Met betrekking tot het commentaar op de TLS inspectie; het alternatief is het niet scannen van via TLS aangeleverde content. Is dat wenselijk? Wat mij betreft niet. Niet in de laatste plaats omdat de hoeveelheid TLS verkeer in zeer snelle mate toeneemt en het erg makkelijk is tegenwoordig om een certificaat te verkrijgen door ontwikkelingen als "let's encrypt" en aanverwante zaken. Er is amper controle op dat gebied wat het hele idee achter certificate based trust begint te ondermijnen.

Als ik beveiligde verbindingen wil scannen met bijvoorbeeld Bitdefender krijg ik overigens netjes de melding dat er een certificaat toegevoegd moet worden.

Waar ik mij verder over verbaas is dat je geen hashes lijkt te willen uploaden maar wel complete files upload naar diensten als virustotal waarbij het al helemaal niet duidelijk is wat er met de verzamelde gegevens en files gebeurt.

[ Voor 61% gewijzigd door Bor op 22-07-2016 08:58 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 22 juli 2016 09:06

Acties:
  • 0 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
Bor schreef op vrijdag 22 juli 2016 @ 08:49:
Zou je in het vervolg de edit knop willen gebruiken?
Serieus? Jij edit jouw bericht (met 54%!) nadat ik al een reply was ingestart.
Wat als jij gewoon je toevoegingen in een nieuw bericht zit, precies er tussenin? Dan lijkt het weer ergens op...

-- toevoeging bij 61% edit van Bor--

Nu doe jij ook "selectief quoten", want daar achter schrijf ik "(Ja, ik weet het antwoord wel, maar wat als ik dit niet wil...)". Het rapport is inderdaad niet helemaal volledig, omdat je sommige 'cloud scanning achtige/dataverzamelingen' inderdaad kan uitzetten in de client. Daarmee verandert mogelijk de uitkomsten van dat onderzoek. Daarmee is overigens nog niet gezegd dat de client geen enkele hash alsnog gaat uploaden.

Je zegt "kijk naar de voorwaarden", maar die zijn zoals de meeste "voorwaarden" amper leesbaar. Het feit dat AV Compratives expliciet heeft gevraagd aan de fabrikanten wat nu wel en niet wordt meegenomen zegt eigenlijk genoeg. Zelf ben ik eens door de voorwaarden gegaan van ik geloof dat het was AVG. Daarin stond letterlijk dat ze data van je konden scannen en uploaden, zo mogelijk ook opgeslagen creditcard gegevens. Ik sprak ze daar op aan via het forum (omdat hun voorgaande voorwaarden anders waren), maar een gefundeerd antwoord bleef uit. Ja, dat had alleen te maken met de smartphone client of zoiets. Maar waarom staat dat dan niet goed omschreven? Dat zie ik overigens wel vaker als ik bedrijven aanspreek op hun (veel te ruime of vage) privacy policies.

Mijn ervaring (uit de praktijk, multinational soc's) is dat TLS scanning absoluut weinig toevoegt. Ja het zou een malware dropper kunnen herkennen, maar actief in datastreams kijken is toch niet iets wat een AV echt goed kan en wat je moet overlaten aan IDS of IPS. AV producenten proberen vaak allerhande tools in hun pakketten te douwen om zo de consument wellicht over te halen ofzo (password tools, HIDS, file encryptie, firewalls, weet ik wat voor zut), maar in de praktijk zijn AV's maar goed in één ding en dat is het herkennen van signatures.

Over dat TLS scanning gesproken; zoals je kunt lezen (wetenschappelijk onderzoek) is er dus kans dat het je computer juist onveiliger maakt. Daarnaast ben ik persoonlijk niet gecharmeerd van het principe om TLS te breken, omdat het veilige communicatie over het internet en privacy van de gebruiker ondermijnd. Wat ik in de praktijk wel goed heb zien werken, is wanneer je met goede intelligence (denk aan alienvault's otx) je vrij simpel kunt herkennen welke systemen communiceren met een botnet. Daarop neem je actie.

Tot slot over virustotal; daarmee heb je dus zelf in controle welke files je upload. De files die ik upload, zijn files die ik bijvoorbeeld download van het internet. Verdachte software of drivers, dat soort werk. Veelal files die niet 'van' mij zijn. Daarmee kun je dus voorkomen dat AV ongewenst (ongepast?) bepaalde data van je systeem gaat scannen/hashen/uploaden.

[ Voor 79% gewijzigd door ebia op 22-07-2016 09:39 ]

vrijdag 22 juli 2016 09:42

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:29

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

ebia schreef op vrijdag 22 juli 2016 @ 09:06:
[...]

Nu doe jij ook "selectief quoten", want daar achter schrijf ik "(Ja, ik weet het antwoord wel, maar wat als ik dit niet wil...)". Het rapport is inderdaad niet helemaal volledig, omdat je sommige 'cloud scanning achtige/dataverzamelingen' inderdaad kan uitzetten in de client. Daarmee verandert mogelijk de uitkomsten van dat onderzoek. Daarmee is overigens nog niet gezegd dat de client geen enkele hash alsnog gaat uploaden.
In veel clients dien je cloud based scanning zelfs aan te zetten ipv uit.
Over dat TLS scanning gesproken; zoals je kunt lezen (wetenschappelijk onderzoek) is er dus kans dat het je computer juist onveiliger maakt. Daarnaast ben ik persoonlijk niet gecharmeerd van het principe om TLS te breken, omdat de veilige communicatie over het internet en privacy van de gebruiker ondermijnd.
En toch gebeurt dat TLS scannen / termineren voor de daadwerkelijke server erg veel, zeker in het bedrijfsleven. Dit gebeurt juist omdat het de enige manier is om in de datastroom te kijken. Dergelijke zaken zijn bij IDS / IPS systemen ook nodig.

Zoals ik al aangaf zijn deze discussies al vaker gevoerd. Ik vond o.a. deze nog in mijn bladwijzers;
Wel of niet een virusscanner gebruiken?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 22 juli 2016 10:17

Acties:
  • 0 Henk 'm!
  • Ultra
  • Registratie: Maart 2000
  • Niet online

Ultra

Interessante discussie, al lijkt iedereen zijn positie al ingenomen te hebben. Zelf sta ik er dubbel in: AV houdt veel (niet alles) tegen, maar voegt ook kwetsbaarheden toe. Dat laatste stipte ebia al aan:
ebia schreef op donderdag 21 juli 2016 @ 19:39:
Symantec dropped the ball here. A quick look at the decomposer library shipped by Symantec showed that they were using code derived from open source libraries like libmspack and unrarsrc, but hadn’t updated them in at least 7 years.
Als je bovenstaande leest, dan vraag je je af of je zo'n partij kunt en wilt vertrouwen.
F_J_K schreef op donderdag 21 juli 2016 @ 21:03:
[..] en ik proef wat confirmation bias.
Flauw, daar lijkt iedereen last van te hebben ;).
Bor schreef op vrijdag 22 juli 2016 @ 09:42:
En toch gebeurt dat TLS scannen / termineren voor de daadwerkelijke server erg veel, zeker in het bedrijfsleven. Dit gebeurt juist omdat het de enige manier is om in de datastroom te kijken. Dergelijke zaken zijn bij IDS / IPS systemen ook nodig.
Jij kunt privacy misschien (absoluut) ondergeschikt vinden aan security, maar dat hoeft niet voor iedereen te gelden.
Zoals ik al aangaf zijn deze discussies al vaker gevoerd. Ik vond o.a. deze nog in mijn bladwijzers;
Wel of niet een virusscanner gebruiken?
De omstandigheden zijn wel wat veranderd sinds 2005-2009. Van zo ongeveer elk stukje software dat je gebruikt worden voortdurend kwetsbaarheden gevonden, gepubliceerd en misbruikt.

vrijdag 22 juli 2016 10:34

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:29

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Ultra schreef op vrijdag 22 juli 2016 @ 10:17:

[...]

Jij kunt privacy misschien (absoluut) ondergeschikt vinden aan security, maar dat hoeft niet voor iedereen te gelden.
Nee dat doe ik niet en dat is (deels) ook niet het punt. Dit soort technieken worden veelvuldig toegepast. Zo worden SSL regelmatig getermineerd op load balancers, reverse proxy's of worden stromen onderbroken door IDS / IPS systemen. Privacy is heel belangrijk maar dat is security ook. Je bevind je hier altijd op een dunne scheidslijn.
De omstandigheden zijn wel wat veranderd sinds 2005-2009. Van zo ongeveer elk stukje software dat je gebruikt worden voortdurend kwetsbaarheden gevonden, gepubliceerd en misbruikt.
Klopt, toch zie je dat de zelfde argumenten om geen scanner te hoeven gebruiken in veel gevallen elke keer weer terug komen. Het is keer op keer dezelfde discussie waar men meer dan eens biased in staat. De link die ik plaatste is slechts een voorbeeld. Het onderwerp zelf komt steeds weer terug.

Vaak starten dit soort discussies vanuit "ik gebruik geen scanner want ik kan zelf net zo goed / beter controle uitoefenen" maar als je doorvraagt blijkt men toch te scannen (bijvoorbeeld periodiek) of gebruik te maken van online scanners of blijkt men de risico's schromelijk te onderschatten.

Ook hameren veel mensen erop dat je met signature based scanning altijd te laat bent. Daarbij laat men achterwege dat veel anti malware pakketten ook andere mechanismen gebruiken om infectie tegen te gaan. Veel scanners zetten in een test met een grote set malware een erg goede detectiegraad neer. Men vergeet voor het gemak vaak ook dat je zonder actieve scanner nog veel meer risico loopt en dat lang niet alle malware 0-day is en dat je lang niet altijd de eerst geïnfecteerde hoeft te zijn (waarmee de kans op detectie behoorlijk toeneemt). Met de explosieve toename van ransomware wordt een actieve scanner alleen maar belangrijker.

Ook komen de linkjes naar nieuwsberichten over virusscanner die door een false positive kritieke Windows bestanden verwijderen (waaronder AVG) telkens weer naar boven. Hoewel dat inderdaad voorbeelden zijn van situaties waarin de zaken hopeloos fout gaan betreft dit ook uitzonderingen die bijna niet voorkomen en welke soms makkelijk te verhelpen zijn. AV software staat hier niet alleen. Zo zijn er bijvoorbeeld ook Windows updates geweest die meer stuk maken dan dat ze repareren (welke later weer zijn ingetrokken). Dergelijke bugs komen bij alle software voor in ergere of minder erge mate.

[ Voor 63% gewijzigd door Bor op 22-07-2016 10:48 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 22 juli 2016 10:49

Acties:
  • 0 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
Bor schreef op vrijdag 22 juli 2016 @ 09:42:
[...]
En toch gebeurt dat TLS scannen / termineren voor de daadwerkelijke server erg veel, zeker in het bedrijfsleven. Dit gebeurt juist omdat het de enige manier is om in de datastroom te kijken. Dergelijke zaken zijn bij IDS / IPS systemen ook nodig.
Dat valt reuze mee is mijn ervaring.

Je hoeft namelijk helemaal niet in de datatstroom te zitten om te weten of bepaalde clients raar verkeer genereren. Bijvoorbeeld beacon/phone home verkeer elke zoveel minuten naar dezelfde hosts verbinding maakt is verdacht. Hetzelfde geldt voor verkeer naar bekende botnet ip's. Of bijvoorbeeld TOR verkeer. Of bijvoorbeeld uitgaand verkeer naar vreemde poorten. Etc. Dat is allemaal verdacht traffic dat je prima kunt zien ook zonder TLS te breken, maar gewoon door te kijken naar NetFlow etc.

In de praktijk zie je dat (zeker in grotere omgevingen) het e.e.a. toch vaak stuk gaat door (gecentraliseerde) TLS scanning en dat je dus allerhande excepties krijgt. Sommige applicaties hebben bijvoorbeeld eigen cert stores die negeren die van je OS, succes om daar omheen te werken. Bij de eerst volgende release (van Firefox noem maar wat) wordt alles weer in ere hersteld en kan je weer opnieuw beginnen. Ik heb veel organisaties zien stoeien met deze technologie, maar vaak zien ze er uiteindelijk vanaf omdat het meer gezeik brengt dan veiligheid oplevert.

Daarnaast gaat het privacybelang voor werknemers gaat boven algemene bedrijfsbelangen. Een goede ondernemingsraad laat het bedrijf niet zomaar zo'n trukendoos opentrekken om als MitM om in TLS verkeer te grutten.
Zoals ik al aangaf zijn deze discussies al vaker gevoerd. Ik vond o.a. deze nog in mijn bladwijzers;
Wel of niet een virusscanner gebruiken?
Ik ga het eens aandachtig lezen...

vrijdag 22 juli 2016 10:50

Acties:
  • 0 Henk 'm!
  • Ultra
  • Registratie: Maart 2000
  • Niet online

Ultra

Bor schreef op vrijdag 22 juli 2016 @ 10:34:
[...]


Nee dat doe ik niet en dat is (deels) ook niet het punt. Dit soort technieken worden veelvuldig toegepast. Zo worden SSL regelmatig getermineerd op load balancers, reverse proxy's of worden stromen onderbroken door IDS / IPS systemen. Privacy is heel belangrijk maar dat is security ook. Je bevind je hier altijd op een dunne scheidslijn.
Misschien mis ik weer het punt, maar dat het veel wordt toegepast maakt het nog niet ok?
ebia schreef op vrijdag 22 juli 2016 @ 10:49:
Je hoeft namelijk helemaal niet in de datatstroom te zitten om te weten of bepaalde clients raar verkeer genereren. Bijvoorbeeld beacon/phone home verkeer elke zoveel minuten naar dezelfde hosts verbinding maakt is verdacht. Hetzelfde geldt voor verkeer naar bekende botnet ip's. Of bijvoorbeeld TOR verkeer. Of bijvoorbeeld uitgaand verkeer naar vreemde poorten. Etc. Dat is allemaal verdacht traffic dat je prima kunt zien ook zonder TLS te breken, maar gewoon door te kijken naar NetFlow etc.
Hoe borg je de privacy bij kijken naar NetFlow bijv? Ik denk aan kunnen weten wie welke sites bezoekt.

[ Voor 39% gewijzigd door Ultra op 22-07-2016 10:53 ]

vrijdag 22 juli 2016 10:54

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:29

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

ebia schreef op vrijdag 22 juli 2016 @ 10:49:
[...]

Dat valt reuze mee is mijn ervaring.
Ik kom het in het bedrijfsleven zeer veel tegen, bijvoorbeeld het termineren van een SSL tunnel voor een thuiswerkoplossing op een netscaler of andere zaken. Het termineren van SSL op een loadbalancer voor webservers en zo zijn er veel meer toepassingen.
Je hoeft namelijk helemaal niet in de datatstroom te zitten om te weten of bepaalde clients raar verkeer genereren. Bijvoorbeeld beacon/phone home verkeer elke zoveel minuten naar dezelfde hosts verbinding maakt is verdacht.
Zodra je het verkeer goed en uitputtend wilt analyseren zul je het moeten kunnen inzien. Period.
Ultra schreef op vrijdag 22 juli 2016 @ 10:50:
[...]

Misschien mis ik weer het punt, maar dat het veel wordt toegepast maakt het nog niet ok?
Het enige punt is dat SSL / TLS terminatie veel gebeurd. Niet meer en niet minder. Dat maakt het inderdaad niet automatisch "ok" maar je moet ook inzien dat je maar erg weinig (tot geen) alternatieven hebt wanneer je bepaalde security zaken wilt kunnen monitoren of handhaven. Daarin moet iedereen zijn eigen keuze maken. Zoals ik eerder al aangaf zie je dit soort oplossingen steeds meer door de explosieve toename van encrypted verbindingen.

[ Voor 30% gewijzigd door Bor op 22-07-2016 10:57 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 22 juli 2016 11:02

Acties:
  • 0 Henk 'm!
  • Baserk
  • Registratie: Februari 2007
  • Laatst online: 17:28

Baserk

Ik vraag me af of diegenen die de bevindingen van Tavis Ormandy o.a. als leidraad nemen bij de keuze voor 'wel of niet' een AV, ook de bevindingen van Pinkie Pie meenemen bij de keuze 'wel of niet' een browser te gebruiken.

Romanes eunt domus | AITMOAFU

vrijdag 22 juli 2016 11:11

Acties:
  • 0 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
Ultra schreef op vrijdag 22 juli 2016 @ 10:50:
[...]

Misschien mis ik weer het punt, maar dat het veel wordt toegepast maakt het nog niet ok?
Klopt, en in het voorbeeld van een load balancer of reverse proxy is het niet voor niets dat men het 'termineren' noemt. Het is letterlijk het eindpunt van de TLS stroom (dus je moet wel). Daarna staan eventuele achterliggende servers in je datacenter of DMZ, welke al (als het goed is) op een hele andere manier is beveiligd omdat daar immers de risico's ook anders zijn. Dat is niet te vergelijken met internetverkeer vanaf een client.
Ultra schreef op vrijdag 22 juli 2016 @ 10:50:
[...]

Hoe borg je de privacy bij kijken naar NetFlow bijv? Ik denk aan kunnen weten wie welke sites bezoekt.
Als de persoon die de analyse doet niet zomaar kan achterhalen wie welk IP adres heeft op dat moment, dan kun je privacy redelijk waarborgen. Pas als je verdacht verkeer ziet, ernstig genoeg om volgens de door de ondernemingsraad goedgekeurde end-user policy in te grijpen, wordt de mogelijkheid geboden om te kijken welke user op welke client zit te werken. Dus met een 2e persoon die de rol heeft dergelijke logs inzichtelijk te maken en daarbij ook het 4-ogen principe te hanteren zodat er niet stiekem wordt verder gekeken naar ander irrelevant verkeer vanaf die client en/of door die persoon.

[ Voor 38% gewijzigd door ebia op 22-07-2016 11:20 ]

vrijdag 22 juli 2016 11:34

Acties:
  • 0 Henk 'm!
  • Ultra
  • Registratie: Maart 2000
  • Niet online

Ultra

Baserk schreef op vrijdag 22 juli 2016 @ 11:02:
Ik vraag me af of diegenen die de bevindingen van Tavis Ormandy o.a. als leidraad nemen bij de keuze voor 'wel of niet' een AV, ook de bevindingen van Pinkie Pie meenemen bij de keuze 'wel of niet' een browser te gebruiken.
Goed punt :). Leidraad klinkt wel wat sterk. Iedereen zou er kennis van moeten nemen en als (tegen)argument wegen, welke kant de keuze ook op valt.
Probleem met AV is dat het zich per definitie heel diep in het OS moet nestelen om alles in de gaten te kunnen houden (corrigeer me als ik er naast zit). Een browser kan vrolijk in een sandbox draaien (en dan vergeet ik voor het gemak even dat die (nog) niet waterdicht hoeven te zijn).
ebia schreef op vrijdag 22 juli 2016 @ 11:11:
Als de persoon die de analyse doet niet zomaar kan achterhalen wie welk IP adres heeft op dat moment, dan kun je privacy redelijk waarborgen. Pas als je verdacht verkeer ziet, ernstig genoeg om volgens de door de ondernemingsraad goedgekeurde end-user policy in te grijpen, wordt de mogelijkheid geboden om te kijken welke user op welke client zit te werken. Dus met een 2e persoon die de rol heeft dergelijke logs inzichtelijk te maken en daarbij ook het 4-ogen principe te hanteren zodat er niet stiekem wordt verder gekeken naar ander irrelevant verkeer vanaf die client en/of door die persoon.
Dank voor de toelichting. Een voorwaarde is dus dat de relatie client-user zeer variabel is, of dat je zoveel clients beheert dat je het niet kunt onthouden.

vrijdag 22 juli 2016 11:55

Acties:
  • 0 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
Bor schreef op vrijdag 22 juli 2016 @ 10:54:
[...]


Ik kom het in het bedrijfsleven zeer veel tegen, bijvoorbeeld het termineren van een SSL tunnel voor een thuiswerkoplossing op een netscaler of andere zaken. Het termineren van SSL op een loadbalancer voor webservers en zo zijn er veel meer toepassingen.
Zoals gezegd is dit een compleet andere case. Termineren van SSL verkeer (wat jij dus zelf ïnitieerd/aanbied, als server) is heel iets anders dan een man in the middle in end-point internet verkeer.
[...]


Zodra je het verkeer goed en uitputtend wilt analyseren zul je het moeten kunnen inzien. Period.
Ja, klopt. Maar ik geef alleen een aantal voorbeelden (en ik kan er nog wel wat meer noemen) dat die 'uitputtende analyse' vaak helemaal niet nodig is om verdacht verkeer te herkennen.
[...]

Het enige punt is dat SSL / TLS terminatie veel gebeurd. Niet meer en niet minder. Dat maakt het inderdaad niet automatisch "ok" maar je moet ook inzien dat je maar erg weinig (tot geen) alternatieven hebt wanneer je bepaalde security zaken wilt kunnen monitoren of handhaven. Daarin moet iedereen zijn eigen keuze maken. Zoals ik eerder al aangaf zie je dit soort oplossingen steeds meer door de explosieve toename van encrypted verbindingen.
We hadden het sowieso over TLS inspectie op de client (door middel van AV), en niet over gecentraliseerde oplossingen veelal geïntegreerd met een content filtering proxy. Die laatste worden inderdaad vaker toegepast, maar zoals ik al aangaf is dat ook zeker niet zonder problemen/risico's, want velen vereisen nog steeds lokaal geïnstalleerd root CA's op de client.

Hoe dan ook TLS inspectie is in feite een heel ander ding dan AV (ook al wordt het samen geïnstalleerd), en we dwalen denk ik dan ook af van de originele discussie of AV wel of niet iets toevoegt?

vrijdag 22 juli 2016 12:05

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ultra schreef op vrijdag 22 juli 2016 @ 10:17:
Flauw, daar lijkt iedereen last van te hebben ;).
AV's hebben fouten. Sommige AV-vendors wil ik niet in huis. Maar je hebt gelijk. We zijn allemaal mens +
Jij kunt privacy misschien (absoluut) ondergeschikt vinden aan security, maar dat hoeft niet voor iedereen te gelden.
Ik beweer dat een vermindering van beveiliging = een vermindering van privacy. Als gekke henkie je systeem heeft overgenomen dat kan die meenemen wat 'ie wil. (Al zal dat voor reguliere mensen wel meevallen, dan worden hooguit wachtwoorden gejat oid)
ebia schreef op donderdag 21 juli 2016 @ 23:43:
Je gebruikt de term 'end users'. Nee, ik heb hier natuurlijk niet over een zakelijke omgeving. Ik ben, en verplaats mij in, tweaker publiek hè... niet Arie de accountant, en Sjaantje de schoonmoeder.
FWIW: ik maak me meer zorgen over juist die Arie en Sjaantje. In het algemeen, of het nu Arie en Sjaantje zijn of een Tweaker die competent maar geen expert is (en wel stiekem eens een film heeft getorrent), zou ik het advies nooit durven geven de AV weg te laten.

Dat er mensen/systemen zijn die dusdanig vergaande technische en organisatorische maatregelen nemen dat een AV weinig meer toevoegt of misschien zelfs de beveiliging verzwakt: eens. Maar dat is de grote uitzondering.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 22 juli 2016 12:23

Acties:
  • 0 Henk 'm!
  • Ultra
  • Registratie: Maart 2000
  • Niet online

Ultra

F_J_K schreef op vrijdag 22 juli 2016 @ 12:05:
Ik beweer dat een vermindering van beveiliging = een vermindering van privacy. Als gekke henkie je systeem heeft overgenomen dat kan die meenemen wat 'ie wil. (Al zal dat voor reguliere mensen wel meevallen, dan worden hooguit wachtwoorden gejat oid)
Dan kom je terug bij dezelfde afweging als voor AV in het algemeen. Je implementeert een oplossing die zijn eigen zwakheden heeft, waardoor je niet kunt stellen dat beveiliging uitsluitend beter wordt.
Sommige AV-vendors wil ik niet in huis.
Welke niet eigenlijk?

[ Voor 6% gewijzigd door Ultra op 22-07-2016 12:38 . Reden: +AV-vendors ]

vrijdag 22 juli 2016 15:13

Acties:
  • 0 Henk 'm!
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

ebia schreef op vrijdag 22 juli 2016 @ 11:55:
Ja, klopt. Maar ik geef alleen een aantal voorbeelden (en ik kan er nog wel wat meer noemen) dat die 'uitputtende analyse' vaak helemaal niet nodig is om verdacht verkeer te herkennen.
Hoe monitor jij dan je netwerk verkeer? Hele dag WireShark open staan? En hoe bepaal je dan dat de connectie malafide is? Malware makers doen hun uiterste best om zo onopgemerkt als mogelijk aan het werk te gaan. Je zal echt geen virus.exe vinden die een verbinding opzet naar botnet.ru. ;)

De discussie gaat al twee pagina's rond in dezelfde cirkeltjes.

Let ook dat mocht het een keer misgaan je bijvoorbeeld wat moeite kan hebben om je geld terug te krijgen van de bank. Alle banken stellen ook in hun voorwaarden dat je up-to-date software en AV moet draaien. Doe je beide niet dan willen ze wel moeilijk doen als je internetbankieren gehackt is.
Ultra schreef op vrijdag 22 juli 2016 @ 12:23:
Dan kom je terug bij dezelfde afweging als voor AV in het algemeen. Je implementeert een oplossing die zijn eigen zwakheden heeft, waardoor je niet kunt stellen dat beveiliging uitsluitend beter wordt.
Een autogordel kan breken door bijvoorbeeld een productiefout. Dan maar geen gordels dragen? Volgens bovenstaande redenatie kom je daar dan op uit.

vrijdag 22 juli 2016 15:19

Acties:
  • 0 Henk 'm!
  • Ultra
  • Registratie: Maart 2000
  • Niet online

Ultra

CMD-Snake schreef op vrijdag 22 juli 2016 @ 15:13:
Een autogordel kan breken door bijvoorbeeld een productiefout. Dan maar geen gordels dragen? Volgens bovenstaande redenatie kom je daar dan op uit.
Nee hoor, dat maak jij ervan. Ik ben alleen niet blind voor de nadelen. Die neem je mee in je keuze, meer niet.

[ Voor 12% gewijzigd door Ultra op 22-07-2016 15:23 ]

vrijdag 22 juli 2016 16:37

Acties:
  • 0 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
CMD-Snake schreef op vrijdag 22 juli 2016 @ 15:13:
[...]
Hoe monitor jij dan je netwerk verkeer? Hele dag WireShark open staan? En hoe bepaal je dan dat de connectie malafide is? Malware makers doen hun uiterste best om zo onopgemerkt als mogelijk aan het werk te gaan. Je zal echt geen virus.exe vinden die een verbinding opzet naar botnet.ru. ;)
Dat voorbeeld wat ik noemde was in de discussie over TLS inspectie door een AV vs NetFlow al genoeg zegt. In een zakelijke / SOC omgeving zeker een afweging tegen elkaar...

Thuis (net als op kantoor) kun je dat doen met Snort of Suricata. Met de juiste intelligence (die ook voor arme stakkers bereikbaar is) kun je prima dingen correleren. Dan praat je pas echt over monitoring. Een AV draaien en hopen dat het werkt noem ik geen monitoring.

Wat jij zegt gebeurt in de praktijk wel. Goed je ziet in een netwerkcap natuurlijk niet de naam van het process, maar je ziet wel de IP adressen van de botnets. Die botnets zijn veelal bekend, worden gedeeld met de community. Kijk bijvoorbeeld eens naar AlienVault OTX.
De discussie gaat al twee pagina's rond in dezelfde cirkeltjes.
Ja, omdat ik maar weinig steekhoudende argumenten hoor die mij bewijzen dat AV echt iets toevoegt in het scenario die ik schets. De discussie dijt uit over 'bijproducten' van AV pakketten, en AV en aanverwante in zakelijke omgevingen. Dat is echt niet aan mij...

Overigens wilde ik in het andere topic mensen gewoon waarschuwen tegen het gebruik van AV, en niet zozeer hier in een nieuwe thread een discussie starten, dat is de keuze van een mod geweest.
Let ook dat mocht het een keer misgaan je bijvoorbeeld wat moeite kan hebben om je geld terug te krijgen van de bank. Alle banken stellen ook in hun voorwaarden dat je up-to-date software en AV moet draaien. Doe je beide niet dan willen ze wel moeilijk doen als je internetbankieren gehackt is.
Bron?

Als het goed is houden de meeste banken nu deze voorwaarde aan:
Zorg dat de geïnstalleerde software op de apparatuur die je voor je bankzaken gebruikt, is voorzien
van actuele (beveiligings)updates. Bijvoorbeeld op een computer, tablet en smartphone. Geïnstalleerde
software is bijvoorbeeld het besturingssysteem en beveiligingsprogramma’s, zoals virusscanner
en firewall.
Dus goed lezen. Alleen als je een beveiligingsprogramma hebt geïnstalleerd, dan wordt er verwacht dat je hem update. Er staat nergens in dat AV verplicht is. (In feite is het dus makkelijker aan deze voorwaarden te voldoen zonder dan met een AV scanner, want dan heb je juist een extra inspanningsverplichting).

Zou ook mooi zijn, want stel ik heb de meest crappy scanner die er is, maar hij is verder wel up to date (het 'goede' en vaak aangeraden product van Microsoft bijvoorbeeld: http://chart.av-comparatives.org/chart1.php) dan zou het oké zijn, maar als ik thuis EMET, Snort, Firewall, Filtering proxy, HIDS, etc gebruik maar ik heb geen AV dan zou ik het bokje zijn? Sure...

Sowieso zijn deze voorwaarden een wassen neus, want als ze dat echt willen bewijzen zullen ze een forensische image van mijn machine moeten hebben om dat aan te tonen. Succes.

vrijdag 22 juli 2016 21:31

Acties:
  • 0 Henk 'm!
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

ebia schreef op vrijdag 22 juli 2016 @ 16:37:
[...]
Die botnets zijn veelal bekend, worden gedeeld met de community. Kijk bijvoorbeeld eens naar AlienVault OTX.
Oftewel je hebt een automatische phone-home vervangen door een manuele phone-home gefeliciteerd.
[...]
Ja, omdat ik maar weinig steekhoudende argumenten hoor die mij bewijzen dat AV echt iets toevoegt in het scenario die ik schets.
Dat klopt, maar dat is dan ook omdat in de situatie die jij schetst ook gewoon een AV zit (ik meen dat virustotal er zelfs 27 gebruikt, dus eigenlijk zitten er 27 AV's in jouw scenario)

Het enige waar jij tegen ageert is dat jij het liever manueel doet dan dat het automatisch gebeurt. Dat kan, als het echt 100% alleen jouw computer is en niemand anders hem mag aanraken zodat je 100% zeker weet dat jouw manuele handelingen elk nieuw bestand raken. Heb je die zekerheid niet (bijv vriendin die er wel eens iets op moet doen, of kinderen of ... of... ) dan is het gewoon handiger om het automatisch te laten doen dan de illusie te hebben dat iedereen het zo doet als jij.

Eerlijk gezegd snap ik jouw bezwaren tegen een AV eigenlijk niet, want het eerdere lijstje dat betreft enkel de "dummy" instellingen die sowieso al niet zegt te gebruiken, phone-home heb jij al dichtbezet in je FW dus dat kan ook geen probleem zijn.
Een beetje AV kan je gewoon zo instellen dat die elke nacht om 02:00 enkel een file-scan doet en voor de rest niets en dan heb jij er geen enkele last van, je kan je bestaande methodiek hanteren en mocht er iemand anders onverhoopt op jouw computer gaan werken dan is dat ook gelijk afgevangen

vrijdag 22 juli 2016 21:33

Acties:
  • 0 Henk 'm!
  • boyette
  • Registratie: November 2009
  • Laatst online: 20:06

boyette

is er ook een gratis virusscanner voor ubuntu?
helaas maakt avast die niet.. alleen voor servers.
of is dat niet nodig?

vrijdag 22 juli 2016 21:39

Acties:
  • 0 Henk 'm!
  • jan99999
  • Registratie: Augustus 2005
  • Laatst online: 06-09 20:46

jan99999

boyette schreef op vrijdag 22 juli 2016 @ 21:33:
is er ook een gratis virusscanner voor ubuntu?
helaas maakt avast die niet.. alleen voor servers.
of is dat niet nodig?
Op linux is nog geen virusscanner nodig.
Je kunt de virusscanner installeren die mee geleverd wordt om windows spul te scannen.
Dus eigenlijk niet nodig, en het is mooi dat niet meeloopt op de achtergrond.

vrijdag 22 juli 2016 21:49

Acties:
  • 0 Henk 'm!
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

boyette schreef op vrijdag 22 juli 2016 @ 21:33:
is er ook een gratis virusscanner voor ubuntu?
helaas maakt avast die niet.. alleen voor servers.
of is dat niet nodig?
Die van Avast werkt ook op de desktop versies van Linux dacht ik. Maar Sophos maakt ook een gratis AV voor Linux: https://www.sophos.com/en...-antivirus-for-linux.aspx

Deze thread zal je dan ook interessant vinden: Antivirus linux

In die thread wordt ook dit artikel gelinkt: https://www.av-test.org/e...-malware-put-to-the-test/ door Kzin. Daar worden enkele AV suites voor Linux getest. Beste betaalde is Kaspersky, beste gratis is Sophos.

Linux is natuurlijk niet gevoelig voor Win32 malware, althans, de payload kan wel aankomen maar niet actief worden. Er is ook malware voor Linux, daar vormt dit dan wel een beveiliging tegen. Het artikel is een aanrader om te lezen hierover.
ebia schreef op vrijdag 22 juli 2016 @ 16:37:
maar als ik thuis EMET, Snort, Firewall, Filtering proxy, HIDS, etc gebruik maar ik heb geen AV dan zou ik het bokje zijn?
Klinkt uiterst omslachtig als je het ook kan oplossen met slechts een agent op je computer die al die functies combineert. Al die firewalls en netwerk tools moet je constant beheren, controleren en bijwerken om nieuwe malware domeinen te blokkeren. Je moet ook hopen dat die lijsten die gedeeld worden compleet zijn.

Eerder genoemde Arie de Account en Sjaantje de Schoonmoeder zie ik niet zo snel alles hiervan inrichten noch het onderhouden op een regelmatige basis.
jan99999 schreef op vrijdag 22 juli 2016 @ 21:39:
Dus eigenlijk niet nodig, en het is mooi dat niet meeloopt op de achtergrond.
Merk je het dan? Op moderne hardware merk ik niets van de AV die aanwezig is. Een full scan is enkel merkbaar omdat de schijven het drukker hebben, maar buiten dat om zal de negatieve impact op prestaties verwaarloosbaar klein zijn.

vrijdag 22 juli 2016 21:57

Acties:
  • 0 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Wel of geen AV nodig komt neer op wel of niet met de buitenwereld willen praten. Malware kan ook prima binnen komen zonder gebruikersinteractie, zonder dat je het door hebt en zonder dat je andere maatregelen het opmerken. Dat kan online, maar ook offline via gegevensdragers. Welke AV je dan zou kunnen gebruiken en in welke mate is een ander verhaal.

vrijdag 22 juli 2016 22:05

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

johnkeates schreef op vrijdag 22 juli 2016 @ 21:57:
Wel of geen AV nodig komt neer op wel of niet met de buitenwereld willen praten. Malware kan ook prima binnen komen zonder gebruikersinteractie, zonder dat je het door hebt en zonder dat je andere maatregelen het opmerken. Dat kan online, maar ook offline via gegevensdragers. Welke AV je dan zou kunnen gebruiken en in welke mate is een ander verhaal.
Tenzij je OpenVMS als OS draait.

Maak je niet druk, dat doet de compressor maar

vrijdag 22 juli 2016 22:08

Acties:
  • 0 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

DJMaze schreef op vrijdag 22 juli 2016 @ 22:05:
[...]

Tenzij je OpenVMS als OS draait.
Niet echt... OpenVMS heeft TCP/IP support, en er is malware bekend die nog steeds beschikbaar is en nog steeds draait. Daarnaast is er standaard ook een groot aantal commerciële versies met bash met shellshock vuln meegeleverd met drop-in replacements voor legacy systemen.

vrijdag 22 juli 2016 22:26

Acties:
  • 0 Henk 'm!
  • boyette
  • Registratie: November 2009
  • Laatst online: 20:06

boyette

waar kan ik die avast voor linux desktop vinden dan?

vrijdag 22 juli 2016 22:37

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:29

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

ebia schreef op vrijdag 22 juli 2016 @ 16:37:
[...]
Ja, omdat ik maar weinig steekhoudende argumenten hoor die mij bewijzen dat AV echt iets toevoegt in het scenario die ik schets.
En zo werkt dat ook andersom. No offense maar goede argumenten tegen het gebruik van een actief anti malware product zie ik hier ook niet anders dan een paar biassed links en onderbuikgevoelens. De voordelen van een actieve scanner lijken mij inmiddels evident, ook in jouw scenario's.

[ Voor 9% gewijzigd door Bor op 22-07-2016 22:41 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 23 juli 2016 00:30

Acties:
  • 0 Henk 'm!
  • GerardVanAfoort
  • Registratie: April 2010
  • Niet online

GerardVanAfoort

kalm aan

jan99999 schreef op vrijdag 22 juli 2016 @ 21:39:
[...]
Op linux is nog geen virusscanner nodig.
Je kunt de virusscanner installeren die mee geleverd wordt om windows spul te scannen.
Dus eigenlijk niet nodig, en het is mooi dat niet meeloopt op de achtergrond.
Op OS X is ook nog geen virusscanner nodig.. Zeggen ze, maar toch heb ik ESET Cyber Security draaien. Laat mij maar 'eigenwijs' zijn dan :)

Op elk platform zou ik een security pakket willen. Ondanks dat ik in mijn werkgebied praktish elk virus verwijderd krijg en niet heel bang ben, maar 1 keer gegevens op straat en ik ben de pineut en stom geweest.

NRG

zaterdag 23 juli 2016 11:49

Acties:
  • +1 Henk 'm!
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

GerardVanAfoort schreef op zaterdag 23 juli 2016 @ 00:30:
Op OS X is ook nog geen virusscanner nodig..
Je ziet eigenlijk dat OS X steeds meer in trek raakt bij malware makers. OS X beschikt inmiddels ook over cryptolockers, trojans en er zijn al botnets geweest van Macs.

maandag 25 juli 2016 22:09

Acties:
  • 0 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
Bor schreef op vrijdag 22 juli 2016 @ 22:37:
[...]


En zo werkt dat ook andersom. No offense maar goede argumenten tegen het gebruik van een actief anti malware product zie ik hier ook niet anders dan een paar biassed links en onderbuikgevoelens. De voordelen van een actieve scanner lijken mij inmiddels evident, ook in jouw scenario's.
Ieder z'n eigen afweging. Voor mij is het duidelijk dat je met een paar simpele handelingen c.q. zaken in acht te nemen, de kans nihil is dat je ooit een virus op je pc krijgt. Valt het je ook niet op dat het altijd dezelfde mensen zijn in de vriendenkring of op het werk die trammelant hebben met hun PC? Het ligt meer aan gedrag en houding dan aan iets anders.

Daarnaast zijn veel mensen bang voor de eventuele gevolgen van een virusbesmetting, en uit voorzorg installeren ze dan maar AV. Maar helaas, tegen de gevolgen van malware, en al helemaal malware die niet of te laat wordt gezien door een scanner, is geen enkel systeem opgewassen. Dat is het échte risico, en je maatregelen zouden er dan ook op gericht moeten zijn om die te verminderen.

AV brengt mijn inziens dan ook een groot vals gevoel van veiligheid, en dat zie je ook terug aan de vele topics hier in de trant van; er was AV aanwezig, maar greep niet in bij een ransomware besmetting, en alle data is kwijt want er was geen back-up. En daar bovenop is het gebruik van AV niet zonder risico's of privacyimpact...

dinsdag 26 juli 2016 15:02

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:29

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

ebia schreef op maandag 25 juli 2016 @ 22:09:
[...]


Ieder z'n eigen afweging. Voor mij is het duidelijk dat je met een paar simpele handelingen c.q. zaken in acht te nemen, de kans nihil is dat je ooit een virus op je pc krijgt.
Daar verschillen we duidelijk van mening. De praktijk wijst wat mij betreft uit dat je hier de plank misslaat.
Maar helaas, tegen de gevolgen van malware, en al helemaal malware die niet of te laat wordt gezien door een scanner, is geen enkel systeem opgewassen. Dat is het échte risico, en je maatregelen zouden er dan ook op gericht moeten zijn om die te verminderen.
Je hamert erg op niet te detecteren malware maar het gros wordt gewoon herkend. Is er nieuwe malware dan zal detectie niet lang op zich laten wachten. De kans dat je malware met een actieve scanner detecteert is vele malen groter dan dat je malware tijdig detecteert zonder scanner. Daarbij is een anti malware product een van de risico beperkende maatregelen, naast andere zaken zoals goed beheer van het systeem.
AV brengt mijn inziens dan ook een groot vals gevoel van veiligheid, en dat zie je ook terug aan de vele topics hier in de trant van; er was AV aanwezig, maar greep niet in bij een ransomware besmetting, en alle data is kwijt want er was geen back-up.
Het een hoeft niet direct het andere te betekenen. Een malware scanner is geen onfeilbare oplossing maar een effectief hulpmiddel. De installatie van een actieve malware scanner beperkt de besmettingskans maar neemt deze nooit voor 100% weg.
ebia schreef op vrijdag 22 juli 2016 @ 16:37:
[...]

Als het goed is houden de meeste banken nu deze voorwaarde aan:


[...]

Dus goed lezen. Alleen als je een beveiligingsprogramma hebt geïnstalleerd, dan wordt er verwacht dat je hem update. Er staat nergens in dat AV verplicht is. (In feite is het dus makkelijker aan deze voorwaarden te voldoen zonder dan met een AV scanner, want dan heb je juist een extra inspanningsverplichting).
Dat zijn de voorwaarden van de Rabobank zo te zien. Als het goed is staat bij de "tips" ook virusscanners en een firewall genoemd. Het geheel gaat om goed beheer en goede beveiliging van het systeem. Ik kan mij voorstellen dat het als nalatig wordt gezien als je problemen hebt met de bank vanwege een malware besmetting terwijl je geen antivirus product draait. De bank heeft je hier immers op gewezen en het nut hiervan wordt min of meer als common sense gezien.

[ Voor 23% gewijzigd door Bor op 26-07-2016 15:11 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 26 juli 2016 15:28

Acties:
  • 0 Henk 'm!
  • netvista
  • Registratie: September 2005
  • Laatst online: 08-08 23:12

netvista

Via mijn werkgever kon ik een bitdefender licentie verkrijgen voor thuisgebruik, dus ik besloot hem voor de grap eens te installeren op mijn 2012 MacBook air om te kijken welke eventuele dreigingen / virussen / andere malicious zooi er eventueel op stond na 4 jaar AV-loos gebruik.

Resultaat = 0 ;)

Mijn bevindingen dus voor wat betreft AV meuk op je Mac: totaal overbodig.

Tenzij je echt op bizarre / dubieuze sites rond hangt misschien.

dinsdag 26 juli 2016 16:26

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:29

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

In hoeverre zeggen resultaten uit het verleden iets over de huidige situatie of de toekomst? Wat mij betreft bar weinig als ik eerlijk ben. Vergeet ook niet dat de Apple platformen lange tijd door veel malware makers min of meer zijn genegeerd.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 26 juli 2016 16:33

Acties:
  • 0 Henk 'm!

Verwijderd

Jester-NL schreef op donderdag 21 juli 2016 @ 14:06:
Even een aanvulling (ingegeven door wb9688):
Waar je in heel veel gevallen mee te maken hebt (en waar een gebruiker met een GUI-lozeDebian, of een compleet flash-loze windows met noscript en nog zo het een ander vaak aan voorbij gaat) is familie-gebruik.
Ik doe mijn uiterste best om mijn zoontje van 6 wegwijs te maken op de PC en het internet. Maarre... er zijn meer dan voldoende sites die op zijn belevingswereld zijn gericht waar je zonder flash gewoon tegen een wit scherm aan zit te kijken. En nee... ik kan (en mag) nog niet verwachten van Jester-JR dat 'ie al kan filteren waar wel en niet op te klikken.
En dan ben ik allang blij dat hij nog niet aan het mailen is ;)
Router kopen met internetfiltering (ik heb een Synology) of gebruik Open DNS. Dan kan je ook sites blokken. Werkte ook perfect met mijn oude Netgear. Ik heb 2 kinderen, gebruik al 20 jaar een pc en heb nog nooit een virus gehad en heb ook helemaal geen virusscanner.

dinsdag 26 juli 2016 16:35

Acties:
  • 0 Henk 'm!
  • Viper®
  • Registratie: Februari 2001
  • Niet online

Viper®

Ik dacht dat het over Algemene Voorwaarden ging, ook omdat het onder forum BV stond.
Open ik het topic, toen had ik het pas door. niet helemaal wakker :F

[ Voor 17% gewijzigd door Viper® op 26-07-2016 16:35 ]

dinsdag 26 juli 2016 17:13

Acties:
  • 0 Henk 'm!
  • GerardVanAfoort
  • Registratie: April 2010
  • Niet online

GerardVanAfoort

kalm aan

netvista schreef op dinsdag 26 juli 2016 @ 15:28:
Via mijn werkgever kon ik een bitdefender licentie verkrijgen voor thuisgebruik, dus ik besloot hem voor de grap eens te installeren op mijn 2012 MacBook air om te kijken welke eventuele dreigingen / virussen / andere malicious zooi er eventueel op stond na 4 jaar AV-loos gebruik.

Resultaat = 0 ;)

Mijn bevindingen dus voor wat betreft AV meuk op je Mac: totaal overbodig.

Tenzij je echt op bizarre / dubieuze sites rond hangt misschien.
Voor de grap..? Ik zou zeggen: een Mac zonder security pakket is nooit grappig..

nieuws: Beveiligingsbedrijf: malware voor OS X maakt grote groei door

nieuws: Onderzoekers vinden OS X-malware die gegevens uit keychain steelt

nieuws: Apple fixt bug die aanvallers kwaadaardige code via tiff-bestand laat...

NRG

dinsdag 26 juli 2016 17:15

Acties:
  • +1 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

GerardVanAfoort schreef op dinsdag 26 juli 2016 @ 17:13:
[...]

Voor de grap..? Ik zou zeggen: een Mac zonder security pakket is nooit grappig..

nieuws: Beveiligingsbedrijf: malware voor OS X maakt grote groei door

nieuws: Onderzoekers vinden OS X-malware die gegevens uit keychain steelt

nieuws: Apple fixt bug die aanvallers kwaadaardige code via tiff-bestand laat...
Geen van die zaken had BitDefender tegen kunnen houden voor dat Apple er een patch voor had. Daarna wel, maar dat is natuurlijk vissen achter het net.

dinsdag 26 juli 2016 18:00

Acties:
  • 0 Henk 'm!
  • netvista
  • Registratie: September 2005
  • Laatst online: 08-08 23:12

netvista

GerardVanAfoort schreef op dinsdag 26 juli 2016 @ 17:13:
[...]

Voor de grap..? Ik zou zeggen: een Mac zonder security pakket is nooit grappig..

nieuws: Beveiligingsbedrijf: malware voor OS X maakt grote groei door

nieuws: Onderzoekers vinden OS X-malware die gegevens uit keychain steelt

nieuws: Apple fixt bug die aanvallers kwaadaardige code via tiff-bestand laat...
Ik wissel hier alleen mijn ervaring uit en vind het persoonlijk redelijk indrukwekkend dat na 4 jaar dagelijks gebruik, schijnbaar niks van malicious software is aangetroffen.

Daarmee wil ik niet zeggen dat OSX misschien niet 100 % ongevoelig is voor wat virus ellende, maar het staat vooralsnog in geen verhouding tot de meeste andere veel gebruikte OS's.

Dus vwb de Mac zou ik zeggen, AV software voor OSX kan weliswaar geen kwaad, maar nodig.... Nee, voor normaal gebruik op dit moment niet in ieder geval.

maandag 8 augustus 2016 18:09

Acties:
  • +1 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:29

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

johnkeates schreef op dinsdag 26 juli 2016 @ 17:15:
[...]


Geen van die zaken had BitDefender tegen kunnen houden voor dat Apple er een patch voor had. Daarna wel, maar dat is natuurlijk vissen achter het net.
Waarom precies niet? Detectie staat los van een eventuele patch van de fabrikant natuurlijk.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 9 augustus 2016 06:49

Acties:
  • 0 Henk 'm!
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

ebia schreef op maandag 25 juli 2016 @ 22:09:
Daarnaast zijn veel mensen bang voor de eventuele gevolgen van een virusbesmetting, en uit voorzorg installeren ze dan maar AV. Maar helaas, tegen de gevolgen van malware, en al helemaal malware die niet of te laat wordt gezien door een scanner, is geen enkel systeem opgewassen.
Dat is wel een heel defaitistische houding. Zo kan je ook vele andere voorzorgsmaatregelen terzijde met dezelfde motivering.

Bij veel veiligheidsoplossingen is er niet een systeem wat al je problemen oplost. Een gordel dragen zal je niet automatisch immuun maken voor botsingen, maar kan wel bepaalde gevolgen van een botsing beperken. Je moet dus nog steeds zaken doen als anticiperen, voldoende afstand houden etc. etc.. Hetzelfde geld voor AV. Je moet dan ook je gezonde verstand blijven toepassen.
netvista schreef op dinsdag 26 juli 2016 @ 18:00:
Daarmee wil ik niet zeggen dat OSX misschien niet 100 % ongevoelig is voor wat virus ellende, maar het staat vooralsnog in geen verhouding tot de meeste andere veel gebruikte OS's.

Dus vwb de Mac zou ik zeggen, AV software voor OSX kan weliswaar geen kwaad, maar nodig.... Nee, voor normaal gebruik op dit moment niet in ieder geval.
Apple adverteerde er zelfs een tijd mee dat je geen AV nodig had voor OS X. De waarheid is echter anders. OS X maakt inmiddels een opmars mee van malware. Het OS blijft ook kwetsbaarheden te hebben die misbruikt kunnen worden. Gezien dat de grootste groep OS X gebruikers vertrouwd om de immuniteit van het OS zonder extra maatregelen is daar een groep waar dankbaar misbruik van gemaakt kan worden.

vrijdag 23 september 2016 17:21

Acties:
  • 0 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
https://www.av-test.org/e...tion-or-virus-protection/

Wat conclusies:
"In almost every privacy policy examined, the manufacturers presume a vast number of access rights to data that should not be necessary for using a security software application"

"Many providers, however, overshoot the mark by far: In examinations conducted by AV-TEST, manufacturers even allowed themselves access to biometric data stored on the user computer."

"Also in terms of recording user behavior, manufacturers tend to generously help themselves to data: 15 out of 24 manufacturers require access to the browser history of their users. Six want access to their search queries. Five providers reserve the right to sift through emails. No less than two reserve the right to full access to the personal address book."

"In 10 out of 24 privacy policies, manufacturers reserve the right to compile "user statistics". It is not clearly defined, however, which data is collected here, i.e. whether it involves the use of the security program itself, use of the device or the collection of entirely different data. In this area, as well as in many other points, the specifications of privacy policies of all manufacturers are extremely vague."

zaterdag 24 september 2016 22:18

Acties:
  • 0 Henk 'm!
  • LucaDeTweaker
  • Registratie: Juli 2016
  • Laatst online: 02-04-2020

LucaDeTweaker

Maar als je scanner aangeeft dat je geïnfecteerd bent, en het is geen false positive. Weet je dat je bijv. moet herinstalleren, en niet moet internetbankieren. Weet je dit niet, kun je zo heel veel geld kwijt zijn, want ja waarom zou je niet internetbankieren je bent namelijk toch 'niet' geïnfecteerd.

vrijdag 30 september 2016 09:31

Acties:
  • 0 Henk 'm!
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 02-06 15:21

ebia

Topicstarter
LucaDeTweaker schreef op zaterdag 24 september 2016 @ 22:18:
Maar als je scanner aangeeft dat je geïnfecteerd bent, en het is geen false positive. Weet je dat je bijv. moet herinstalleren, en niet moet internetbankieren. Weet je dit niet, kun je zo heel veel geld kwijt zijn, want ja waarom zou je niet internetbankieren je bent namelijk toch 'niet' geïnfecteerd.
Ik zou niet weten hoe je met de moderne 2FA faciliteiten van je online bankieren, slachtoffer zou kunnen worden van 'internetrovers' als je een virus op je computer hebt. Zoals Rabobank dat nu doet met het moeten scannen van een speciale code op je monitor, ben je in feite beschermd tegen elke vorm van MITM of MITB.

Dus iedereen die op die wijze geld verliest, is waarschijnlijk slachtoffer van een babbeltruc. Een AV gaat een babbeltruc niet voorkomen.

Sowieso, en dat is hier ook al aan bod gekomen, ben ik nog geen enkele AV van een bank tegengekomen dat er expliciet wordt aangegeven dat het gebruik van een AV pakket verplicht is.

vrijdag 30 september 2016 10:05

Acties:
  • +1 Henk 'm!
  • WCA
  • Registratie: September 2010
  • Laatst online: 18:09

WCA

ebia schreef op vrijdag 30 september 2016 @ 09:31:
[...]


Ik zou niet weten hoe je met de moderne 2FA faciliteiten van je online bankieren, slachtoffer zou kunnen worden van 'internetrovers' als je een virus op je computer hebt. Zoals Rabobank dat nu doet met het moeten scannen van een speciale code op je monitor, ben je in feite beschermd tegen elke vorm van MITM of MITB.

Dus iedereen die op die wijze geld verliest, is waarschijnlijk slachtoffer van een babbeltruc. Een AV gaat een babbeltruc niet voorkomen.

Sowieso, en dat is hier ook al aan bod gekomen, ben ik nog geen enkele AV van een bank tegengekomen dat er expliciet wordt aangegeven dat het gebruik van een AV pakket verplicht is.
Bij de rabobank kan je inderdaad alleen maar op de computer inloggen als je fysiek de pas, raboscanner en computer in dezelfde ruimte hebt.

Probleem is dat bij andere banken het een stuk makkelijker is voor phishers
- ING: Je kan TAN codes, gebruikersnamen en wachtwoorden van een goedgelovige gebruiker loskrijgen via de telefoon
- ABN: Responscodes van de E-Dentifier kan je makkelijk opvragen
- SNS/ASN: Responscodes van de digipas zijn niet moeilijk om op te vragen

en zo kan ik nog wel even doorgaan.

Share and Enjoy!

vrijdag 30 september 2016 12:25

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 12-09 14:11

Thralas

- ING: Je kan TAN codes, gebruikersnamen en wachtwoorden van een goedgelovige gebruiker loskrijgen via de telefoon
Dat is allang niet zo beroerd meer als het vroeger was (enkel TAN met volgnummer). Tegenwoordig staat er een naam en bedrag bij.

Natuurlijk is het niet uit te sluiten dat men zich nog laat ompraten, maar het is niet voor niets dat de huidige 'hippe' modus operandi is om mensen hun pinpas op te laten sturen na de pincode te hebben gephished. 2FA hebben de banken inmddels redelijk voor elkaar..

vrijdag 30 september 2016 15:53

Acties:
  • 0 Henk 'm!
  • LucaDeTweaker
  • Registratie: Juli 2016
  • Laatst online: 02-04-2020

LucaDeTweaker

Hou wel in je achterhoofd dat dit slechts een voorbeeld was...

vrijdag 30 september 2016 16:26

Acties:
  • 0 Henk 'm!
  • WCA
  • Registratie: September 2010
  • Laatst online: 18:09

WCA

Thralas schreef op vrijdag 30 september 2016 @ 12:25:
[...]


Dat is allang niet zo beroerd meer als het vroeger was (enkel TAN met volgnummer). Tegenwoordig staat er een naam en bedrag bij.

Natuurlijk is het niet uit te sluiten dat men zich nog laat ompraten, maar het is niet voor niets dat de huidige 'hippe' modus operandi is om mensen hun pinpas op te laten sturen na de pincode te hebben gephished. 2FA hebben de banken inmddels redelijk voor elkaar..
Het is nog steeds mogelijk om gewoon volgnummer lijsten te hebben, daarnaast moet je mensen niet onderschatten, ze verzinnen echt wel een manier om die sms'jes met bedragen er in te verklaren.

Share and Enjoy!

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq