Jeg anerkender fuldt ud vigtigheden af at holde alle programmer opdaterede, og herunder specielt de mest populære, da ” Sårbarheder” kan blive udnyttet.
Herudover er der mulighed automatisk Rootkitskanning 15 min efter opstart, og derefter hver 24 time.
Bare for at nævne nogle af de væsentlige moduler.
Hvad er det helt præcist som disse “exploit kits”, m.m. kan nå at foretage sig gennem disse “sårbarheder” før det bliver opdaget og forhåbentligt stoppet ?
Jeg synes at det er svært at finde præcise beskrivelse om det på nettet, som er til at forstå.
Så hvis nogen har et forståeligt svar, eller et link hører jeg gerne om det.
En artikel på Spywarefri der uddyber emnet kunne selvfølgelig også være godt
Lad os ta’ Adobe Reader som læser pdf-dokumenter. Pdf-exploits som du nævner bruger filtre f.eks. FlateDecode / ASCIIHexDecode til at slippe uden om normale sikkerhedsprogrammer som f.eks. et antivirus.
Banditten bruger forskellige tekniker til at skjule ondsindet data, og banditten kan enten bruge egne pdf-sider eller tilføje sine data til eksisterende normalt seriøse pdf-sider. Der udvikles HELE TIDEN nye tekniker af banditterne. Disse tekniker bliver så “ødelagt” af sikkerhedsfolket ved at patche hullerne. Det sker ved opgradering af din Adobe-Reader. Det siger så sig selv at det er nødvendigt at du som bruger følger med i opgraderingen ellers har du forældede programmer liggende som ikke er patchet og så er fanden løs
Men jeg må blankt erkende at det er ” lidt langhåret” for mig at forstå
Hvis jeg forstår dig korrekt så kan data skjules så grundigt så ingen af de nævnte moduler vil opdage, at det er ondsindet, uanset ” Heuristisk analyse niveau”, og uanset at disse programmer overvåges for ændringer, og mystisk aktivitet ?
Og derudover kan “ondsindede koder”, og andre grimme data skjules så godt på seriøse websider at sikkerhedsspakken kan have mere end svært ved at opfange det.
Jeg forstår godt dette kapløb mellem banditterne og sikkerhedsfirmaerne, og at ingen sikkerhedspakke i sagens natur kan yde 100 % sikkerhed.
Men jeg må indrømme at, efter at det ikke bare er “Antivirus/Spyware” baseret på signaturdatabaser, og en Firewall, så troede jeg at de forskellige moduler i f.eks K.I.S ville være mere effektive, og kompensere for hinandens svagheder.
Selvfølgelig er der forskel på sikkerhedspakker, og computerbrugere men det ligner en svær kamp
Så budskabet herinde må jo nødvendigvis være:
En ordentlig “Sikkerhedspakke”.
Secunia PSI, eller Heimdal, eller begge for sårbarhedskanning.
Automatiske opdateringer fra Microsoft
Jævnlige skanninger af hele computeren(gerne automatiske), og Eksterne harddiske m.m., skulle noget været gået galt.
Men det er jo sådan set ikke noget nyt vi skal vel bare tydeliggøre det.
At den væsentligste sikkerhed sidder mellem ørerne på computerbrugeren er vel efterhånde en sandhed med modifikationer da sund fornuft ikke altid er nok men stadigvæk en god ting.
Men jeg må blankt erkende at det er ” lidt langhåret” for mig at forstå
Jeg forstår godt at du mener det er langhåret, for det mener jeg ærlig talt også. Jeg har brugt mange dage og uger på at prøve at forstå sammenhæng. Jeg har over 100 udprintede sider fra nettet som jeg nu prøver at komme igennem for anden gang, så jeg er stadig ikke eksperten i hvordan det hele foregår, men lidt ved jeg efterhånden. Jeg skal prøve på at besvare dine spørgsmål som jeg mener det hænger sammen. Hvis mine infos ikke hele vejen igennem er korrekte så bær over med mig. Jeg har det som sagt også svært ved at finde hoved og hale i det.
Hvis jeg forstår dig korrekt så kan data skjules så grundigt så ingen af de nævnte moduler vil opdage, at det er ondsindet, uanset ” Heuristisk analyse niveau”, og uanset at disse programmer overvåges for ændringer, og mystisk aktivitet ?
Og derudover kan “ondsindede koder”, og andre grimme data skjules så godt på seriøse websider at sikkerhedsspakken kan have mere end svært ved at opfange det.
Jeg har nu fået lidt mere information og jeg retter derfor mit tidligere svar som var her, men jeg må lige ha’ yderligere oplysninger fra en ven i US, så jeg vender tilbage når jeg ved mere. Det bliver nok først i morgen
Jeg har jo ikke den store tekniske indsigt, men jeg er da glad for at du bekræfter, at det er temmelig komplekst det her
Det er jo nok ikke realistisk, at håbe på, at Sikkerhedspakkerne” udover “Sårbarhedsskanning”, også får indbygget “Autoopdatering” af tredjepartsprogrammer i stil med P.S.I.
Jeg mener at kunne huske at emnet har været oppe at vende hos Kaspersky men det blev vist afvist tekniske, og forretningsmæssige årsager.
Det er ikke helt forkert som jeg forklarede i mit første indlæg, men jeg har nu yderligere infos. Jeg oversætter fra engelsk og lægger mine egne kommentarer ind med fed skrift.
Hi Per
Hvis du har en god sikkerhedspakke og holder dit styresystem, Adobe Reader, Java, Flash, Shockwave og QuickTime (ikke alle bruger Shockwave og QuickTime) opdateret, så kan du rent teknisk ikke gøre det bedre. Du er så også godt sikret. Også min mening
De kriminelle, som hovedsagelig kommer fra Eastern Europe og China, udnytter sikkerhedsbrist i de nævnte programmer og ældre versioner af dem, som synes glemt på computeren. Det er den letteste måde for dem at komme ind i din computer. Vi skal huske på at rigtig mange kører med dårlig sikkerhed og ikke opdaterede programmer. I 8 ud af 10 tilfælde kan de kriminelle komme ind den vej. I 2 ud af 10 kan de ikke komme ind fordi brugeren har en god pakke samt de nævnte programmer opdateret og ældre versioner fjernet. I disse tilfælde fanges malicious JavaScript af din sikkerhed. Jeg anbefaler alle gode sikkerhedspakker med behaviour blokkering og heurestic.
Jeg er enig, men det har jeg også diskuteret med Dave om adskillige gange. Hvordan man laver det han kalder malicious JavaScripts på pdf-sider fører nok for vidt her, men jeg vil se om det ikke senere vil være muligt at fortælle om hvordan de laves og hvordan banditterne hele tiden kan ændre dem næsten fuldautomatisk. Jeg læser selv meget om den slags i øjeblikket, men det er langhåret læsning. Prøv evt. at se her: http://research.zscaler.com/2010/03/in-wild-pdf-exploits-using-combination.html Det er da langhåret !!
Jeg kan ikke nok anbefale god sikkerhed, der ikke konflikter indbyrdes. Tro endelig ikke at når et sikkerhedsprogram kommer fra Microsoft så er alt i skønneste orden. Det er ikke tilfældet!! Og husk så de opdateringer. De er så uendelig vigtige. Som alle ved så tager jeg ikke parti for sikkerhedspakker (hvilke er bedst osv.), men de der er i shoppen er gode, lige som der ude på markedet findes mange der er lige så gode, og så findes der – desværre – også nogen som ikke er en pind værd. Ingen navn nævnt
Jeg har læst det et par gange, og det skal nærlæses igen men:
Som jeg læser det kan vi teoretisk set regne med, at en kvalitetssikkerhedspakke, kan beskytte mod cirka 20 % af disse angreb gennem uopdaterede programmer, OG IKKE AFINSTALLEREDE FORÆLDEDE VERSIONER.
Derudover er programmer som f.eks JavaRa anbefalelsesværdige.
Secunia P.S.I kan jo sættes til Autoopdatering, og fjerner selv en del af de forældede programmer.Men jeg har meget svært ved at finde detaljerede oplysninger om hvor mange programmer der er dækket, og hvor effektiv oprydningen er ?
Man burde måske også overveje at ” stramme Heuristikken” i diverse Moduler i sit sikkerhedsprogram ?
Men det er jo en balancegang mellem ekstra beskyttelse, og funktionel computerbrug
Mit første sikkerhedsprogram var Norman Antivirus, og min eneste konstaterede “infektion” har været ” Red Sherif” dengang, og den ordnede Perhaps hvis jeg husker rigtigt
Så er det ellers gået fra Kaspersky Antihacker/ Antivirus, og sidenhen samtlige K.I.S versioner, uden at der nogensinde er konstaret alvorligt Malware på nogle af vores computere.
Men det er en farlig sovepude tror jeg, og budskabet om, at en sikkerhedspakke slet ikke er nok længere har i mine øjne aldrig været mere relevant.
Jeg har bemærket at Supporten er begyndt at fokusere mere på det, og jeg prøvet også selv i mine indlæg at have fokus på det.
Men det bliver en meget stejl bakke der skal forceres da der jo stadig er en meget stor del af computerbrugere der ikke har nok focus på ganske elementær sikkerhed.
Der er skrevet mange gode indlæg af blandt andet Supportere herinde om forebyggelse, og jeg håber at der er ressourcer i supporten, og hos andre til at skrive endnu flere og opdaterede artikler, og indlæg.
Hver eneste “rensetråd” der bliver afsluttet burde afrundes med et link til en artikel der beskriver, værdien og nødvendigheden, af gode sikkerhedspakker, og opdaterede programmer, og hvordan det gøres
Smog, jeg tror at du har ret i dit indlæg
Dette kan blive interessant.
Tak for gode indlæg indtil nu, og jeg ser frem til at du er med igen senere Perhaps
Du kan sammenligne det med et hus - det er træls hele tiden at skulle finde alle de myg og fluer, som kommer ind gennem utætte vinduer - det er mere praktisk at holde dem ude.
De fleste exploit kits kommer i dag, færdigbyggede med en antal exploits som den forsøger sig med på computere. Det er så nemt at installere sådan et exploit kit - at jeg vil mene selv du kan gøre det Hepta. Disse exploit kits, lægger man sit stykke malware ind i - om det er en “downloader” som henter en virus eller om det er ens egentlig virus, så er det ligemeget.
Exploit kittet sørger herefter for at kryptere virussen - dvs udskifte filen “udseende” med noget som antiviruset ikke mener er farligt - altså, nu er det en ukendt virus, som først skal sendes til Kaspersky Labs før der kommer en opdatering ud til dig, som kan fange virussen - og det kan godt tage timer. En virus udseende kan skiftes programmeringsmæssig, så den udpakkes i “run-time” - dvs når du kører filen, så udpakkes den i dine ram og ligner derved virussen som antiviruset kender. Men da antivirusset ikke kan skanne rammene hele tiden, men kun skanner nye filer som åbner, så vil den ikke fange virussen mens den er i rammene.
Udover det, så er det også vigtigt at huske, at der findes “gode fyre” og “dårlige fyre”, som finder sårbarheder i programmerne. Men de “gode fyre” er ofte de værste. Som regel foregår det ved at de finder et hul, så gør de producenten opmærksom på det, hvorefter de retter fejlen. Derefter slipper “den gode fyr” koden til hullet fri, så andre kan bruge den. Dvs folk som har hentet opdateringen til programmet - Adobe, QuickTime, Internet Explorer - er nu beskyttet mod hullet. Men de brugere som ikke henter opdateringen, de er stadigvæk sårbare - og nu ligger koden til hvordan man udnytter det hul, frit tilgængelig på nettet. Dvs nu kan den “dårlige fyr” læse koden, programmere en lignende kode, som han kan tilføje sit exploit kit. Og derved er der en exploit mere i hans arsenal og da folk er dårlige til at opdatere deres programmer, så ved han at bare 10% vil exploiten virker på. Exploit kits kan så sælges for mange tusinde dollars, enten som “Software as a service” - dvs bagmanden har ansat supportere, ligesom en helt almindelig software virksomhed, som yder support, vedligeholder og hjælper kunder - eller bare som en pakke som man får og så må man købe opdateringer bagefter.
Men i bund og grund - så kan man holde sine programmer opdaterede, så er man meget godt beskyttet mod alt snask på nettet som man kunne få installeret ved et uheld - så kan ens antivirus tage sig af de filer som man selv henter ned og vil installere, som er af mere tvivlsom karakter.
Det går jo op for mig, at noget af det du skriver vidste jeg jo godt i forevejen men det er jo en Jungle, og svært at holde styr på alle disse informationer
Men i bund og grund - så kan man holde sine programmer opdaterede, så er man meget godt beskyttet mod alt snask på nettet som man kunne få installeret ved et uheld - så kan ens antivirus tage sig af de filer som man selv henter ned og vil installere, som er af mere tvivlsom karakter.
Det bliver så igen slået fast, og det kan ikke ske for tit.
Men man kan måske dele computerbrugere op i fire grupper ?:
Gruppe 1:
” De uvidende”
Almindelige computerbrugere som ikke ved ret meget om Malware, Antivirus og Firewalls m.m.
Mange af dem bruger jo nok Windows Firewall, og måske MSE, eller Windows Defender, uden at vide ret meget om hvad det er, og hvordan det skal bruges.
Og så er de de ligegyldige, som ikke tror på at Malware rammer dem, eller også er de ligeglade.
Denne gruppe må være ekstremt udsat for Malwareangreb.
Gruppe 2:
” Gratis folket”
Computerbrugere som godt forstår en del af problematikkerne omkring Malware, og beskyttelse.
Nogle er så nødt til at bruge gratis sikkerhed af økonomiske årsager, og andre har vel en tro på, at det altid er godt nok.
Beskyttelsesniveauet i denne gruppe er vel svingende.
Gruppe 3:
” De oplyste”.
Computerbrugere som har en rimelig god indsigt og forståelse for sikkerheds problematikken, og derfor anvender købte ” Sikkerheds pakker” for at opnå den bedst mulige beskyttelse, og de kombinerer eventuelt med DNS.
De mangler dog forståelse for, og indsigt i problematikken omkring uopdaterede programmer.
Denne gruppe har vel en god grundlæggende beskyttelse, men er uvidende om at de har store mangler i deres sikkerhed.
Gruppe 4:
” Eksperterne”
Computerbrugere som bruger højkvalitets sikkerhedspakker, kombineret med DNS. Og samtidig har de en god forståelse for problematikken omkring uopdaterede programmer, og forældede installationer.
Og de virkelige eksperter som bruger andre former for beskyttelse, eller eventuelt sætter deres sikkerhedsprogrammer så stramt op, at almindelige brugere ikke vil kunne bruge computeren.
Der kræves forskellige tiltag overfor hver enkelt gruppe af de tre første spændende lige fra simpel holdningsbearbejdelse, til bedre oplysning om problemerne. Kort sagt: Uddannelse
Der er hårdt brug for Fora som Spywarefri, og andre.
Det er en supergod opdeling du der har lavet hepta, og 100% korrekt.
Jeg er mest bange for de to første grupper. De er meget udsatte for snavset. Gratisfolket har den indstilling at selv om det er gratis så er det lige så godt som en god samlet sikkerhedspakke og man hører altid “Jeg har ikke råd til at købe”.
Jeg har haft nogle stykker hjemme hos mig og demonstreret trin for trin, hvor udsat de er med deres egen opstilling og derefter med en effektiv opstilling, og tro mig det hjælper. Jeg stiller blot spørgsmålet: “Hvorfor skal de hales ind i min lille stue for at bliver overbevist?”
Jeg stiller mig også spørgsmålet: “Hvorfor tror man at en bunke software (kan både være gratis og købe, men det er jo ofte gratis)vil udgøre en bedre sikkerhed end en enkelt god sikkerhedspakke? Nok fordi at sådan k u n n e det være tidligere, men i dag med de gode produkter af både gratis- og købe, så går den bare ikke mere. Softwareprogrammerne accepterer simpelthen ikke hinanden mere. Det er virkelig noget man skal være på vagt over for.
Jeg mener selv at have kørt til gruppe 3 i mange år
Vel vidende at det var vigtigt at holde de populære programmer opdaterede men samtidig med en naiv, og lidt arrogant tro på, at når bare man bruger K.I.S så er alt godt.
Jeg må mentalt se at nærme mig gruppe 4, og få overbevist mig selv om, at det er alvor med disse sårbarheder, og at historielæsning med en enkelt “Rød sherif” intet er værd. Og jeg tror jeg er ved at være der
De mangler dog forståelse for, og indsigt i problematikken omkring uopdaterede programmer.
Jeg har manglet forståelse for,at dette kan skabe store problemer. Indsigten er ved at komme,-takket være interesse (til de uvidende),- for computerens og IT’s utrolige mange facetter,som ændrer sig hver dag,-ja hver time.
Uopdaterede programmer (længere varende ubrugte desuden) og sikkerhedspakker.Ja hvis jeg lige ser det som her og nu,så må og skal disse to ting isoleres stramt hver for sig.
Softwareprogrammerne accepterer simpelthen ikke hinanden mere
Her mener Perhaps sikket bl.a.at en god og velbygget sikkerhedspakke,hvor sikkerhedsfolkene på tværs har samarbejdet over en firewall og Antivirus.Næsten som broder og søster.
Computerbrugere som bruger højkvalitets sikkerhedspakker,
Jeg tror ikke, du får nogen egentlig ekspert til at skrive under på, at det kun er “sikkerhedspakker”, der duer. Der er jo også andre muligheder - som man ikke engang behøver være egentlig ekspert for at kunne finde ud af.
I øvrigt er der vel ingen garanti for, at de enkelte dele i en sikkerhedspakke kører uproblematisk sammen - selv om de i teorien burde gøre det? (Denne indvending gælder dog selvfølgelig ikke de “højkvalitetssikkerhedspakker”, som eksperterne bruger.)
