[Discussie] Policy voor beschikbaar stellen van samples - Privacy en beveiliging

donderdag 17 juni 2004 20:31

Acties:

Verwijderd

Topicstarter

Inleiding
De laatste tijd is er - vooral achter de schermen - veel discussie over hóe we als crew en forum omgaan met samples van virussen, spy- en malware en andere ongeinigheden. We zien dat er ten eerste grote behoefte aan is om deze samples te verkrijgen en ten tweede dat het draagvlak om deze samples te leveren (van topicstartende users, over het algemeen) zeker aanwezig is. Echter, als forum kan je bepaalde dingen wél en bepaalde dingen níet maken. Net zoals we strenge anti-warez policies hebben om te zorgen dat het hier geen warezboard wordt moeten we een strak beleid hebben voor wat betreft het uitwisselen van virussen en andere rommel. Een strak beleid waar wél iets onder gedaan kan worden. Dáárover gaat deze discussie.

Het dilemma
Het grote probleem is dus een evenwicht te vinden tussen enerzijds het niet willen verworden tot een tradersboard en anderzijds users de kans geven andere users te helpen door virussen/malafide bestanden te analyseren. In het korte bestaan van Beveiliging & Virussen hebben we twee policies gehad;

Vrij vragen naar samples door alle users
Compleet verbod op vragen naar samples

Zoals je wel zult begrijpen zijn we hard op zoek naar een middenweg tussen deze twee uitersten. Als moderators hebben we nog geen definitief idee over hoe we dit op gaan lossen. Om een goede policy te krijgen; moeten we rekening houden met twee punten:

Wie heeft er toegang tot samples?
Wat wordt er mee gedaan?

Door toegang tot samples te beperken en dus niet jan-en-alleman toegang te geven tot de samples beperk je het risico dat samples in slechte handen vallen en dat GoT uitgroeit tot een tradersboard van samples. Het is dus zaak een gecontroleerde sample-uitwisseldienst op te zetten.

Daarnaast is er het punt wat wordt er met de samples gedaan. We willen de mogelijkheid creeëren medeusers te helpen met onverwijderbare of onidentificeerbare software. De uitwisseldienst zou dus beschikbaar moeten zijn voor gebruikers die niet enkel een verzameling van virussen en mal- en spyware willen aanleggen maar er daadwerkelijk mensen mee willen helpen en ze uiteindelijk ook submitten bij AV-vendors teneinde iets te betekenen voor de AV-scene.

User-input
Omdat wij zelf niet zo 1-2-3 een goede oplossing voor dit probleem hebben willen we graag van jullie als Beveiliging & Virussen-bezoekers weten welke ideeën jullie hierover hebben.

Input van jullie kant kan uiteraard varieëren van losse ideeën tot compleet uitgewerkte policies.

Hoe zorg je ervoor dat samples beschikbaar zijn voor user die willen helpen zónder dat er misbruik gemaakt kan worden en zónder dat GoT tot een tradersboard verwordt?

donderdag 17 juni 2004 20:36

Acties:

wildhagen

Blablabla

Waarom niet een soort database opzetten (op een aparte site, los van GoT, lijkt me het beste), waar vervolgens de crew (van dit forum dus) mensen toegang kan geven uit wiens reactie blijkt dat er meer dan gemiddeld verstand c.q. kennis van hebben? Dat kan je dan afschermen met usercode/password.

Hoe zorg je ervoor dat je er geen misbruik van gemaakt word? Ja, da's een goeie... ik denk dat dat bijna niet mogelijk is. Je moet natuurlijk sowieso loggen wie wat download (evt met IP etc erbij), maar je blijft imho toch afhankelijk van de goede wil van users. Hoe bepaal je of iemand idd alleen een sample naar een AV-bedrijf stuurt, of dat-ie het daadwerkelijk gaat verspreiden. Lijkt me redelijk onmogelijk eerlijk gezegd.

Wel zou je kunnen overwegen om een soort van NDA op te nemen, waarbij de toegang vervalt tot de database als er misbruik gemaakt word. Is misschien toch weer een extra stap om misbruik te voorkomen (denk ik...).

Nog een idee: je zou files in die database automatisch kunnen submitten naar de diverse AV-bedrijven. Ik weet alleen niet wat de policy van die bedrijven is ten aanzien van deze mogelijkheid, want ik kan me voorstellen dat er 1) veel doublures tussen zullen zitten, 2) veel niet-virussen en 3) veel allang bekende malware.

[ Voor 30% gewijzigd door wildhagen op 17-06-2004 20:44 ]

Virussen? Scan ze hier!

donderdag 17 juni 2004 22:10

Acties:

Miki

Ik vind het opzich een goed plan om een database op te zetten die dan deels los staat van GoT. Ik vind namelijk wel dat iemand die tot de crew van tweakers.net b.v. behoort toezicht moet houden, omdat sampels uit topics van BV in die database terecht komen.

Zelf vind ik dat er een tweeledig toegang systeem moet komen. De database moet voor geregistreerden toegankelijk zijn onder voorbehoud dat zij geen samples kunnen downloaden. Maar wel de beschrijvingen of eventuele verwijzingen naar write-ups kunnen bekijken.
Daarnaast zou ik graag willen zien dat er een beperkte groep wel toegang heeft om samples te kunnen downloaden en deze te onderzoeken. Het toewijzen van deze beperkte groep zal alleen moeten geschieden onder bekenden die regelmatig op GoT BV topics mensen op de juiste weg geholpen hebben. Hierbij denk ik aan mensen als Schouw, Wildhagen, Mike Jarod, Jotti (sta je er niet tussen, wees niet boos.. deze personen zijn als voorbeeld genoemd). Mensen die weten waar ze het over hebben en misschien als extra eis al een lange tijd geregistreerd staan bij GoT.

Het misbruik tegen gaan is zo ie zo lastig, hoe kun je nu iemand controleren. Ik delete mijn samples altijd als ze herkend worden door mijn scanners. Maar ja, wie zegt dat Pietje ze niet door stuurt naar Maxje die dan het virus aanpast en weer doorstuurd... Zo ie zo moet het gewoon echt een selecte groep blijven, zodat bij enige vermoeden snel de dader kan worden achterhaald.
Ook zou het verstandig zijn dat de gene die toegang hebben tot de database ook allemaal een andere av-vendor hebben of daarmee testen. Hiermee kan ook het onderzoek naar malware worden vergroot en het versturen van malware alleen noodzakelijk zijn als deze niet herkend wordt door een bepaalde av-vendor.

Wat opzich ook mooi zou zijn is om een soort BHO (Browser Helper Object) checker/database erbij te doen om bijvoorbeeld spyware te herkennen. Ik weet van BlackD dat hij wel zo iets in zijn hoofd had, (we hadden het er trouwens vanmiddag nog eventjes over

).

In iedergeval moedig ik het wel aan en wil ik graag meewerken aan de opzet ervan mocht het zover komen.

donderdag 17 juni 2004 22:23

Acties:

BoGhi

De oplossingsrichting van Wildhagen lijkt me goed, op details heb ik nog wat aanvullingen: het lijkt mij goed dat er een vrij beperkte lijst van 'deskundigen' komt (een stuk of 10?). Die lijst is dan denk ik het handigst te beheren door de GoT-crew, dus ik zou die database en de toegangsrechten niet loskoppelen van GoT. Een extra criterium, naast de al genoemde zou kunnen zijn dat deze deskundigen ook qua tijd een bepaalde inzet hebben (getoond), dus bv. gemiddeld zo'n 10-20 (ik noem maar wat) uur per week beschikbaar zijn om zich in te zetten, voor de database-gevallen, en GoT. Misschien hoort daar ook een bepaald beheer op het B&V-forum bij?

Automatisch submitten zou ik niet doen, het risico dat daar iets fout gaat (in de vorm van een spam-vloed richting AV vendors) lijkt me te groot. Het is niet altijd het beste om zoveel mogelijk te automatiseren.

Programmers don't die. They GOSUB without RETURN

donderdag 17 juni 2004 22:28

Acties:

lordgandalf

Yotti heeft op zich al een aardige database met samples door zijn virusscanner en heeft het geheel afgeschermd met wachtwoorden.
Mischien dat die database gebruikt kan worden als begin database met samples ???

Mij lijkt het idee van wildhagen een heel goed idee alleen idd dat auto submitten zouw ik niet doen kun je beter iemand hebben die het met afvink vakjes kan aan geven welke samples en naar welke vendors deze worden gestuurd.
En dan opslaan in de database dat deze samples al verzonden zijn naar die vendors zo voorkom je het versturen van doubles.

[ Voor 46% gewijzigd door lordgandalf op 17-06-2004 22:31 ]

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

donderdag 17 juni 2004 22:47

Acties:

Mike Jarod

Miki schreef op 17 juni 2004 @ 22:10:
Hierbij denk ik aan mensen als Schouw, Wildhagen, Mike Jarod, Jotti

Ik zou er geen toegang tot willen btw, maar ik vind je jullie ideeen goed. Het medium is er min of meer al, Jotti's online scanner.

Brainstorm (wat hierboven min of meer ook al staat) :

- User heeft probleem, maakt een topic, men vraagt bepaalde files te scannen met Jotti's online scan.
- Als de scan niks oplevert, kunnen bepaalde mensen toegang krijgen tot een stukje webspace om die files binnen te halen en verder mee te vogelen. Een voorwaarde voor toegang lijkt me wel - mocht er een nieuw virus gevonden worden - dit aan alle grote AV bedrijven gemeld wordt.

Uiteraard moet Jotti dit wel een idee vinden.

Alternatief is idd een andere server, misschien zelfs een extra service van het forum? Op die manier maakt het forum ook reclame voor bepaalde AV'ers, misschien is daar nog wel wat geld mee te verdienen. Win-win situatie? AV'ers krijgen reclame + nieuwe sample, GoT krijgt wat centjes? (commercieel blijven hè

). Mijn voorkeur gaat dan wel uit naar meerdere AV'ers tegelijk, om de detection rate omhoog te gooien.

offtopic:
Vwb die BHO scan, heeft wouterwouter2 iets in elkaar geknutseld: http://wouter.revius.nl/got/hijackthis.php . Hij vertelde me dat er oa gekeken werd bij sysinfo.org en liutilities. Ik wilde ook al zoiets bouwen maar hij heeft al een mooie start gemaakt. Dit gaat dus over startup items + BHO's.

[ Voor 17% gewijzigd door Mike Jarod op 17-06-2004 23:12 ]

donderdag 17 juni 2004 23:11

Acties:

Motrax

Profileert

/Droommodus
Je zou de AV'ers erop kunnen testen hoe snel ze zijn met het herkennen van nieuwe samples en avdefs...
/Droommodus

Bovengenoemd idee lijkt leuk, maar je moet wel weer een extra server cq ruimte hebben + een beveiliging waar elk bedrijf van kan dromen. Je zou toch niet willen dat sampledatabase onderuit ging vanwege dat iemand iets onbekends agressiefs stuurde...

Zijn er nog meer ideeën dan dit?

Edit:
<kuch kuch> ik was er bijna onmiddelijk vanuit gegaan dat het om een windowsbak zou gaan...

Och ja, Linux bestaat ook nog

[ Voor 20% gewijzigd door Motrax op 18-06-2004 17:05 . Reden: Typo ]

donderdag 17 juni 2004 23:16

Acties:

Mike Jarod

Hoezo een beveiliging waar elk bedrijf van kan dromen

Jotti doet het toch ook? Bak draait op Linux en er worden alleen maar Windows virussen ge-upload.

Tuurlijk is beveiliging van zo'n server een issue, maar ik denk dat dat best te overzien is als je capabele mensen hebt die de spullen beheren. En volgens mij is dat hier op GoT prima geregeld

donderdag 17 juni 2004 23:20

Acties:

Verwijderd

Waarom niet een soort database opzetten (op een aparte site, los van GoT, lijkt me het beste), waar vervolgens de crew (van dit forum dus) mensen toegang kan geven uit wiens reactie blijkt dat er meer dan gemiddeld verstand c.q. kennis van hebben? Dat kan je dan afschermen met usercode/password.

Precies zou die DB moeten maintainen? Een particulier?
Ik betwijfel ten zeerste of dat verstandig is.

Yotti heeft op zich al een aardige database met samples door zijn virusscanner en heeft het geheel afgeschermd met wachtwoorden.
Mischien dat die database gebruikt kan worden als begin database met samples ???

Waarom zou er al iets in die DB moeten zitten? Dat is niet nodig en klinkt traderachtig imo.

Wat opzich ook mooi zou zijn is om een soort BHO (Browser Helper Object) checker/database erbij te doen om bijvoorbeeld spyware te herkennen.

Het is afaik meer de bedoeling zodat analysten dan een file kunnen analyseren, niet zozeer een DB te bouwen met 'dit is malware' meuk zeg maar.

- User heeft probleem, maakt een topic, men vraagt bepaalde files te scannen met Jotti's online scan.

Zoals ik al eerder zei, ik betwijfel ten zeerste of men wel gebruik moet gaan maken van de diensten van een derde, zeker als diegene vreest voor de reactie van AVendors op zijn site...

Alternatief is idd een andere server, misschien zelfs een extra service van het forum? Op die manier maakt het forum ook reclame voor bepaalde AV'ers, misschien is daar nog wel wat geld mee te verdienen. Win-win situatie? AV'ers krijgen reclame + nieuwe sample, GoT krijgt wat centjes?

Mja, als T.net een 'contract' zou aangaan met een vendor dan is die server overbodig lijkt me..

Ik zou zelf graag wat alternatiefs voor(op GoT actieve)vendors willen zien.
Het liefst zou ik zien dat die wel zouden mogen mailen, en ja, momenteel gaat dat afaik alleen over mij, maar dat zal ongetwijfeld veranderen.
Daarnaast zie ik eigenlijk geen vendor op een 'particuliere' site meuk downloaden/analyzeren.

Als iemand van de GoT crew zo'n DB/site zou moeten maintainen gaat daar toch wel wat tijd .e.d inzitten, misschien dat een van m'n collega's dat ziet zitten, ik iig niet.

donderdag 17 juni 2004 23:55

Acties:

Jordi

#1#1

Ik voel me somehow geroepen om te reageren

Op zich vind ik het een heel leuk idee, maar om mijn server daar voor te 'misbruiken'... nou... nee. Liever niet. Om meerdere redenen.

Ten eerste de hardware. 't Is een ouwe, trage verkoop-maar-door (celeron, te flauw, sorry) 300Mhz. Die gaat een hele horde tweakers bovenop mijn normale bezoekers niet echt trekken.

Ten tweede het veiligheids/vertrouwens oogpunt. Ik heb geen zin om aan jan en alleman accounts uit te gaan delen (op dit moment heeft een heel select groepje toegang, mensen die ik vertrouw of van wie ik redelijkerwijs een gedegen verwachtingspatroon heb dat ze er geen misbruik van zullen maken). Ik kan niet controleren wie wat waarheen stuurt en wie daar vervolgens weer misbruik van zou kunnen maken. Samples die ik ontvang wens ik alleen gebruikt te hebben voor persoonlijk "vermaak" (tja, of je gaat postzegels sparen

) en om te submitten naar vendors (waarvan ondergetekende overigens inmiddels de broek afzakt als het gaat om reactie, of eigenlijk het veelal uitblijven daarvan, hulde aan voornamelijk kaspersky en f-prot) om daarmee producten beter te laten presteren, daar zijn wij allemaal bij gebaat.

Ten derde is mijn ding eigenlijk een uit de hand gelopen 'oefening'. Het is nooit bedoeld als distributiepunt, meer als persoonlijk verzamelpunt en ondersteuning voor anderen bij verdachte bestanden..... en voor een reputatie van virusverspreidmaniak bedankt ondergetekende feestelijk. Komt nog bij dat ik me afvraag of elke vendor wel even blij is met dit ding. Maar ja. Zie ondertitel voor commentaar.

(En eigenlijk ten vierde zou ik waarschijnlijk gek worden van het handmatig corrigeren van duidelijke false positives etc., ik moet nu al regelmatig ingrijpen)

Wel wil ik, als men daar interesse in heeft, de gebruikte scripts beschikbaar stellen (ook de nieuwste versie dan, die ik eigenlijk nog even voor mezelf wilde houden) en ondersteuning geven, waar mogelijk, bij het opzetten etc. ervan.

Zo. Vecht het maar lekker uit verder. Ik drink er nog eentje.

_{Overigens wel 'lief' dat men zich druk maakt om 'agressieve wormen' etc. op mijn linuxserver. Tuxie heeft me verzekerd dat ie nog goed gezond is en ook de hygiène laat niets te wensen over}

[ Voor 14% gewijzigd door Jordi op 18-06-2004 00:12 ]

Het zal wel niet, maar het zou maar wel.

vrijdag 18 juni 2004 09:38

Acties:

lordgandalf

Ik heb de oude versie van jotti`s script draaien op een 1 GHz alleen kan die niet altijd aanstaan (

ouders) anders had ik mijn server aangeboden.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

vrijdag 25 juni 2004 23:37

Acties:

Verwijderd

*kick*

Iemand anders hier nog over nagedacht?
Want nu hebben een aantal mensen hun mening ge-uit, maar zijn we nog niet veel verder.

vrijdag 25 juni 2004 23:50

Acties:

lordgandalf

Er zijn hier op B & V een aantal mensen die vaak met viri werken (Schouw,Jotti bv.) ik zouw zeggen geef hun het recht om om samples te vragen aan mensen en de rest gewoon verbieden zo is er nergens een server nodig en de mensen die er echt wat mee doen en betrouwbaar zijn krijgen toch hun samples en mensen die dit voor recht willen hebben kunnen bij de mods toestemming vragen en dan gewoon een sticky met alle mensen die om samples mogen vragen.

Dit is mijn alternatieve oplossing zonder extra servers enz.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

zaterdag 26 juni 2004 00:19

Acties:

Jordi

#1#1

Ik weet niet of iedere partij dergelijke "voortrekkerij" evenveel kan waarderen. Want wat zijn de criteria voor het wel of niet mogen vragen naar samples? Iemand die voor een AV vendor werkt? Dan hebben we alleen Schouw (van wie ik overigens vind dat hij te allen tijde mag vragen naar samples, maar daar heb ik feitelijk niks over te zeggen). Iemand die een simpel scanscript in elkaar schijt wat elke op redelijke ervaring gestoelde PHP'er binnen afzienbare tijd gekopieerd heeft? Dan heb je al een kwart van GoT binnen. Iedereen die belooft samples niet door te zullen sturen? Laat naar je kijken. Diegene die vorige maand op Arnhem Velperpoort trachtte mijn portemonnee te jatten verzekerde mij er ook van dat ie het nooit meer zou proberen (onder dwang doe je uitspraken die je niet na kan komen). Die marges liggen mij iets te fijn, zeg maar. Ik vind voortrekkerij geen goed iets, dat moge duidelijk zijn.

Het zal wel niet, maar het zou maar wel.

zaterdag 26 juni 2004 01:55

Acties:

Woefke

lordgandalf schreef op 25 juni 2004 @ 23:50:
Er zijn hier op B & V een aantal mensen die vaak met viri werken (Schouw,Jotti bv.) ik zouw zeggen geef hun het recht om om samples te vragen aan mensen en de rest gewoon verbieden zo is er nergens een server nodig en de mensen die er echt wat mee doen en betrouwbaar zijn krijgen toch hun samples en mensen die dit voor recht willen hebben kunnen bij de mods toestemming vragen en dan gewoon een sticky met alle mensen die om samples mogen vragen.

Dit is mijn alternatieve oplossing zonder extra servers enz.

Aan zoiets zat ik eigenlijk ook te denken.
Als die mod in het topic naar de sample vraagt, haalt hij hem na ontvangst door Jotti's online scan, post hij het resultaat in het topic en ziet iedereen die een sample wil bij wie ze moeten zijn.

Alleen blijft dan de vraag over hoe de mod bepaald of iemand genoeg te vertrouwen is en genoeg kennis van zaken heeft om de sample naar te kunnen versturen

zaterdag 26 juni 2004 02:42

Acties:

Miki

Woef64 schreef op 26 juni 2004 @ 01:55:
[...]

Aan zoiets zat ik eigenlijk ook te denken.
Als die mod in het topic naar de sample vraagt, haalt hij hem na ontvangst door Jotti's online scan, post hij het resultaat in het topic en ziet iedereen die een sample wil bij wie ze moeten zijn.

Alleen blijft dan de vraag over hoe de mod bepaald of iemand genoeg te vertrouwen is en genoeg kennis van zaken heeft om de sample naar te kunnen versturen

Um.. jotti's virusscan is vrij toegankelijk dus iedereen kan zijn bestandje laten scannen en zie ik het nut er niet van in dat alleen of speciaal een mod dit moet doen. Ik zie pas dat je 3 topics hebt gereageerd dus ik weet niet precies hoelang je hiermee draait maar het was vroeger maar een select groepje wat om samples vroeg. Naderhand liep het uit de klauwen omdat er meerdere naar samples gingen vragen en toen heeft men er een soort verbod opgezet. Wat ik liever zie is dat een kleine selecte groep met het liefst verschillende virusscanners de debetreffende malware scant en zelf onderzoekt, waarbij bij geen herkenning een sample wordt doorgestuurd naar de vendor. Hierbij moet er een database bijkomen die voor iedereen toegankelijk is waarin men alle herkende virussen neerzet. Uiteraard niet het virus zelf in binaire vorm maar alleen de beschrijving van het virus + eigenschappen + verwijder tips + overige links.

Naar mijn idee moet eigenlijk iemand die dus vermoedelijk een virus heeft, gewoon op de huidige mannier een topic openen. De betreffende malware wordt dan aan de groep overhandigd (hoe, weet ik nog niet) gaat op onderzoek uit en rapporteerd in het zelfde topic. Het eventuel herkende virus kan doormiddel van een link naar de database worden geleid. Daar kan dan de topicstarter het volledige rapport lezen en hoe je er vanaf kunt komen. Ondertussen kan het dus zijn dat onderling in de groep het virusje niet herkend wordt, dan kan bij degene die dus geen herkenning hebben deze worden toegestuurd naar de vendor.

Ik hoop dan eigenlijk met de tijd dat de GoT' er zelf in de database zoekt naar zijn mogelijke virus en zichzelf opweg kan helpen... als is dit wel een utopie vermoed ik.

zaterdag 26 juni 2004 08:14

Acties:

wildhagen

Blablabla

Woef64 schreef op 26 juni 2004 @ 01:55:
[...]

Aan zoiets zat ik eigenlijk ook te denken.
Als die mod in het topic naar de sample vraagt, haalt hij hem na ontvangst door Jotti's online scan, post hij het resultaat in het topic en ziet iedereen die een sample wil bij wie ze moeten zijn.

Denk niet dat Schouw, of één van de andere modjes in dit geval, daar op zit te wachten.... dan krijgt-ie straks 250 mailtjes per dag met "ik wil die sample ook!!!11!"...

Virussen? Scan ze hier!

zaterdag 26 juni 2004 09:00

Acties:

elevator

Officieel moto fan :)

Miki schreef op 26 juni 2004 @ 02:42:
Ik zie pas dat je 3 topics hebt gereageerd dus ik weet niet precies hoelang je hiermee draait maar het was vroeger maar een select groepje wat om samples vroeg. Naderhand liep het uit de klauwen omdat er meerdere naar samples gingen vragen en toen heeft men er een soort verbod opgezet. Wat ik liever zie is dat een kleine selecte groep met het liefst verschillende virusscanners de debetreffende malware scant en zelf onderzoekt, waarbij bij geen herkenning een sample wordt doorgestuurd naar de vendor.

En hoewel we als Beveiliging & Virussen mods daar eigenlijk wel voor open staan - heb ik hier persoonlijk twee bedenkingen bij:

Waarom geven we 'Jantje' wel de mogelijkheid om iemand beter te helpen (naar samples vragen) maar 'Pietje' niet? Hoe maak je dat onderscheid tussen wie wel en wie niet en hoe blijf je garanderen dat dat onderscheid op de juiste feiten gebaseerd is? Hoe geef je nieuwe GoTTers de kans zichzelf te kwalificeren voor een 'vertrouwens' positie ?
Welke basis heeft de T.net bv om het te faciliteren om naar willekeurige prive personen virussen te verspreiden?

Hierbij moet er een database bijkomen die voor iedereen toegankelijk is waarin men alle herkende virussen neerzet. Uiteraard niet het virus zelf in binaire vorm maar alleen de beschrijving van het virus + eigenschappen + verwijder tips + overige links.

Maar in hoeverre dupliceer je dan de F-Secure virus informatie database om maar iets te noemen ?

Naar mijn idee moet eigenlijk iemand die dus vermoedelijk een virus heeft, gewoon op de huidige mannier een topic openen. De betreffende malware wordt dan aan de groep overhandigd (hoe, weet ik nog niet) gaat op onderzoek uit en rapporteerd in het zelfde topic.

Daar zit natuurlijk een derde probleem en wel dat het 5 maal vragen om een virus in een topic feitelijk niet mee helpt aan een oplossing van een probleem of leid naar een leuke discussie en daarmee eigenlijk een klein beetje zo'n topic om zeep helpt.

Daarnaast is het voor een andere bezoeker van GoT onmogelijk om bijvoorbeeld te weten waarom 'Pietje' wel een virus sample mag vragen, maar dat als hij er om vraagt hij een push message hierover krijgt dat het niet mag.

zaterdag 26 juni 2004 10:31

Acties:

lordgandalf

Jotti schreef op 26 juni 2004 @ 00:19:
Ik weet niet of iedere partij dergelijke "voortrekkerij" evenveel kan waarderen. Want wat zijn de criteria voor het wel of niet mogen vragen naar samples? Iemand die voor een AV vendor werkt? Dan hebben we alleen Schouw (van wie ik overigens vind dat hij te allen tijde mag vragen naar samples, maar daar heb ik feitelijk niks over te zeggen). Iemand die een simpel scanscript in elkaar schijt wat elke op redelijke ervaring gestoelde PHP'er binnen afzienbare tijd gekopieerd heeft? Dan heb je al een kwart van GoT binnen. Iedereen die belooft samples niet door te zullen sturen? Laat naar je kijken. Diegene die vorige maand op Arnhem Velperpoort trachtte mijn portemonnee te jatten verzekerde mij er ook van dat ie het nooit meer zou proberen (onder dwang doe je uitspraken die je niet na kan komen). Die marges liggen mij iets te fijn, zeg maar. Ik vind voortrekkerij geen goed iets, dat moge duidelijk zijn.

Het is voor mij niet bedoeld als voortrekkerij jotti maar er zijn hier op B & V een aantal mensen die verstand hebben van virussen wat ze hebben bewezen in de diverse topics hier op tweakers.
Schouw mag vindt ik ook idd altijd om samples vragen.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

zaterdag 26 juni 2004 11:37

Acties:

Freee!!

Trotse papa van Toon en Len!

Jotti schreef op 26 juni 2004 @ 00:19:
Ik weet niet of iedere partij dergelijke "voortrekkerij" evenveel kan waarderen. Want wat zijn de criteria voor het wel of niet mogen vragen naar samples? Iemand die voor een AV vendor werkt? Dan hebben we alleen Schouw (van wie ik overigens vind dat hij te allen tijde mag vragen naar samples, maar daar heb ik feitelijk niks over te zeggen). Iemand die een simpel scanscript in elkaar schijt wat elke op redelijke ervaring gestoelde PHP'er binnen afzienbare tijd gekopieerd heeft? Dan heb je al een kwart van GoT binnen. Iedereen die belooft samples niet door te zullen sturen? Laat naar je kijken.

Wild idee:
Stel een extra groep medewerkers aan met een naam als bijvoorbeeld virus-crew of bv-crew en geef die beperkte rechten om nieuwe virussen te downloaden vanaf een apart gedeelte van de server. Lidmaatschap uitsluitend op uitnodiging en als je accepteert, ben je dus wel in één keer (onbetaald) medewerker van GoT met alle daarbij horende rechten en plichten. Een uitnodiging kan dan verstrekt worden aan mensen die zich in BV bewezen nuttig gemaakt hebben. Een (mogelijk) nadeel is nog een extra status om in de database bij te houden.

NB.:
• Dit is maar een wild idee
• Ik weet niet genoeg van malware af om in aanmerking te komen voor een dergelijke functie

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

zaterdag 26 juni 2004 11:45

Acties:

lordgandalf

Mr. Liu schreef op 26 juni 2004 @ 11:37:
[...]

Wild idee:
Stel een extra groep medewerkers aan met een naam als bijvoorbeeld virus-crew of bv-crew en geef die beperkte rechten om nieuwe virussen te downloaden vanaf een apart gedeelte van de server. Lidmaatschap uitsluitend op uitnodiging en als je accepteert, ben je dus wel in één keer (onbetaald) medewerker van GoT met alle daarbij horende rechten en plichten. Een uitnodiging kan dan verstrekt worden aan mensen die zich in BV bewezen nuttig gemaakt hebben. Een (mogelijk) nadeel is nog een extra status om in de database bij te houden.

NB.:
• Dit is maar een wild idee
• Ik weet niet genoeg van malware af om in aanmerking te komen voor een dergelijke functie

Dit is ook wel een idee maar dat moet de crew bepalen of het zo kan /mag

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

zaterdag 26 juni 2004 11:55

Acties:

elevator

Officieel moto fan :)

Mr. Liu schreef op 26 juni 2004 @ 11:37:
Stel een extra groep medewerkers aan met een naam als bijvoorbeeld virus-crew of bv-crew en geef die beperkte rechten om nieuwe virussen te downloaden vanaf een apart gedeelte van de server.

Het standpunt op dit moment is dat GoT nooit en te nimmer virussen zal verspreiden of (vrijwillig

) zal hosten op de T.net servers. Ik sta daar volledig achter.

Lidmaatschap uitsluitend op uitnodiging en als je accepteert, ben je dus wel in één keer (onbetaald) medewerker van GoT met alle daarbij horende rechten en plichten.

Hoewel het idee achter dit idee goed is - blijf met dezelfde punten zitten die ik hierboven al aangeef.

zaterdag 26 juni 2004 12:02

Acties:

Miki

elevator schreef op 26 juni 2004 @ 09:00:
[...]

En hoewel we als Beveiliging & Virussen mods daar eigenlijk wel voor open staan - heb ik hier persoonlijk twee bedenkingen bij:

Waarom geven we 'Jantje' wel de mogelijkheid om iemand beter te helpen (naar samples vragen) maar 'Pietje' niet? Hoe maak je dat onderscheid tussen wie wel en wie niet en hoe blijf je garanderen dat dat onderscheid op de juiste feiten gebaseerd is? Hoe geef je nieuwe GoTTers de kans zichzelf te kwalificeren voor een 'vertrouwens' positie ?

Ik heb hiervoor eigenlijk ook geen antwoord voor klaar liggen. In het verleden en nu nog hielpen bekenden uit b&v de mensen met infectie-problemen. De meeste topics werden vrij snel opgelost. Als ik nu zo om me heen kijk in b&v, zijn de degene die het hardst schreeuwen de foutste oplossingen aandragen (trojan infectie verwijderen met ad-aware ). Hoe je het kaf van het koren scheid, ik weet het niet... ik pas

Welke basis heeft de T.net bv om het te faciliteren om naar willekeurige prive personen virussen te verspreiden?

In iedergeval moet T.net b.v. toezicht houden op de verspreiding ervan. Bijvoorbeeld de ip's bijhouden van de personen die de virussen voor onderzoek hebben gekregen.

Maar in hoeverre dupliceer je dan de F-Secure virus informatie database om maar iets te noemen ?

Die kans is aanwezig, dus zou je ook gebruik ervan kunnen maken door deze te vertalen naar het nederlands inclusief removal instruction.

Daar zit natuurlijk een derde probleem en wel dat het 5 maal vragen om een virus in een topic feitelijk niet mee helpt aan een oplossing van een probleem of leid naar een leuke discussie en daarmee eigenlijk een klein beetje zo'n topic om zeep helpt.

De ontvangstname moet door 1 iemand geschieden, althans zo bedoelde ik het te zeggen zonder dat ik het opschreef.
Na ontvangstname moet dan eigenlijk het mini-lab aan de slag.

Daarnaast is het voor een andere bezoeker van GoT onmogelijk om bijvoorbeeld te weten waarom 'Pietje' wel een virus sample mag vragen, maar dat als hij er om vraagt hij een push message hierover krijgt dat het niet mag.

Zie hier boven, al is het antwoord niet compleet. Zelfs ik heb nog ff geen antwoord ervoor klaar liggen

[ Voor 3% gewijzigd door Miki op 26-06-2004 12:03 ]

zaterdag 26 juni 2004 21:05

Acties:

Verwijderd

Er zijn hier op B & V een aantal mensen die vaak met viri werken (Schouw,Jotti bv.)

Jotti is net zo particulier daarmee bezig als mijn buurman dat zou zijn, dus in dat opzicht zou dat niet eerlijk zijn.

Daar kan dan de topicstarter het volledige rapport lezen en hoe je er vanaf kunt komen.

Ik weet niet hoeveel tijd jij hebt op een dag, maar een compleet rapport neemt wel eventjes in beslag.

Het is voor mij niet bedoeld als voortrekkerij jotti maar er zijn hier op B & V een aantal mensen die verstand hebben van virussen wat ze hebben bewezen in de diverse topics hier op tweakers.

Tja, wat is verstand hebben van?
Virusschrijvers zelf hebben er (soms) ook verstand van, die wil je echter geen malware in de handen schuiven.

In iedergeval moet T.net b.v. toezicht houden op de verspreiding ervan. Bijvoorbeeld de ip's bijhouden van de personen die de virussen voor onderzoek hebben gekregen.

En dan? Betwijfel of dat veel nut zou hebben.
Het lijkt me zeer onwaarschijnlijk dat T.net bewust malware zou gaan verstrekken aan particulieren, het is een risico dat men gewoonweg niet kan nemen.

Die kans is aanwezig, dus zou je ook gebruik ervan kunnen maken door deze te vertalen naar het nederlands inclusief removal instruction.

Yet again: Tijd...

De ontvangstname moet door 1 iemand geschieden, althans zo bedoelde ik het te zeggen zonder dat ik het opschreef.
Na ontvangstname moet dan eigenlijk het mini-lab aan de slag.

Ik ga geen samples sharen, daar hoeft nog niet eens over gediscussieerd worden, dat doe ik gewoonweg niet.

Als we deze policy officieel willen maken - wat wel de bedoeling is geloof ik

- dan kan ernaar gelinkt worden als iemand een sample vraagt.
Als er altijd naar de FAQ/policy gelinkt wordt als er om een sample gevraagd wordt(voor mailadres oid), dan staat daar ook direct de tekst die verteld dat men verder niet om samples mag vragen.

maandag 28 juni 2004 22:37

Acties:

Verwijderd

Er zullen langzaam aan toch wat concretere dingen aangedragen moeten worden...

Ik geloof niet dat een externe (upload)server een reeële optie is.
-Die lijkt er niet te zijn
-Wie zou die moeten beheren

Een apart uploadgedeelte op GoT is ook geen optie.(Dat wil T.net niet)

Een aantal mailadressen.
-Mailadres van mensen die voor Anti-Malware vendor werken lijkt me geen probleem natuurlijk.
-Mailadres van andere mensen...Lastige situatie, dat ligt voornamelijk van T.net's standpunt af, welke ik niet weet.

Heeft iemand anders nog (liefst concrete) ideeën?
Ik zou toch redelijk binnenkort met een nieuwe policy willen kunnen beginnen nml.

Van wat er tot nu toe besproken is zijn afaik geen echte opties overgebleven.
(quote ze gerust om me op mijn ongelijk te wijzen).

dinsdag 29 juni 2004 07:42

Acties:

Mike Jarod

Volgens mij loopt dit helemaal spaak

Ik zie maar 2 opties:
1. Vragen aan de TS de malware te mailen
2. Vragen aan de TS de malware ergens te uploaden

Ik zie geen andere vorm van malware weghalen bij een TS.

1. Vragen mag niet, als dat wel zou mogen zou bv 1 persoon ze naar meerdere mensen/vendors moeten verspreiden, maar daar wil Schouw niet aan beginnen. Kortom einde oefening.

2. Externe server is er niet, interne server wil t.net niet, niemand wil zoiets opzetten, dus ook einde oefening.

Ik zie geen opties meer

dinsdag 29 juni 2004 08:07

Acties:

blackd

Mike Jarod schreef op 29 juni 2004 @ 07:42:
2. Externe server is er niet, interne server wil t.net niet, niemand wil zoiets opzetten, dus ook einde oefening.

En al zou iemand een externe server opzetten? Zou T.net dan indirect meewerken aan malwareverspreiding en zou dat toelaatbaar zijn?

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

donderdag 1 juli 2004 14:57

Acties:

cutter

Wannabe i7 fanboy

Waarom zou je hier het werk van de virusvendors over gaan doen? Om hier als huis tuin en keukenklusserd ook mee te kunnen doen met Kaspersky, NAI, Symantec, Sophos of zo... laat de TS of anderszins geinteresseerde het virus rapporteren bij één van die jongens.

Ik zie de rol van GoT veel meer in de sfeer van techneuten voorlichting. De hardcore tweakers weten inmiddels wel dat je de virusscanner moet updaten, firefox een veel veiligere browser is dan IE en dat Windows update je beste vriend is. Kennis waar ik persoonlijk naar op zoek ben is: waar kom je aan die malware, wie verdient er aan en hoeveel, wat doet het spul, wat probeert het spul te verzamelen en wat zijn goede tools om te gebruiken.

Je moet niet vergeten dat je hier op t.net aan het voorportaal van maatschappelijke ontwikkelingen op het gebied van ICT zit. 'Wij' zagen het probleem van spam al 6 jaar geleden. Ik zie nu dat virussen meer en meer om het gebruikelijke email kanaal heen worden verstuurd. Dat de strijd tegen spam vruchten begint af te werpen aan de kant van de ontvanger en dat daarom naar andere kanalen van marketing wordt gezocht (adware). De problemen die je hier nu ziet staan over een jaar wekelijks in de landelijke dagbalden.

Ergo, ik zie de toegevoegde waarde van een malware verzamelbak niet.

donderdag 1 juli 2004 20:25

Acties:

WimB

Er zou een lijst kunnen gemaakt worden met mailadressen van mensen waarnaar topicstarters hun bestand kunnen mailen. Enkel mailadressen van erkende vendors zouden daarin mogen komen: @nai.com, @symantec.nl, @kasperskylab.nl, ....

Verder kan er aangeraden worden dat de TS zijn sample eerst test met de online virusscanners van diezelfde firma's.

Wat Jotti betreft, dat is een moeilijke situatie. Ik vertrouw die website volledig, maar je kan daar nooit een lijn in trekken. Want welke particulier is te vertrouwen en welke niet? Het zou leuk zijn als de software van Jotti op een krachtigere server zou draaien, maar het is zo goed als onmogelijk te beslissen wie ervoor geschikt is en wie niet.