2 Virusbestrijding
Heeft jouw fiets of brommer een slot?
Dit is eigenlijk een retorische vraag. Natuurlijk heeft jouw fiets of brommer een slot, net als je huis een slot op de deur heeft. Het is normaal om je huis te beveiligen tegen inbraak en je fiets op slot te zetten tegen diefstal.
Waarom zou jouw computer geen slot hebben? Daar bewaar je toch al je documenten, bestanden, films, foto's etc. waarvan je niet wilt dat deze gestolen of beschadigd worden?
Iedereen heeft tegenwoordig toegang tot internet, en via dit medium is het een koud kunstje in te breken in jouw computer als deze niet de juiste bescherming heeft. Wat het nog extra moeilijk maakt is dat inbraak in jouw computer via internet in veel gevallen ongemerkt gaat...
Daar gaat het om bij virusbestrijding: zorgen dat jouw computer niet kwetsbaar is voor aanvallen via het internet door hackers, criminelen en andere 'kwaadwillenden'.
2.1 Virusscanners
In het vorige deel heb je gezien wat voor kwaadaardige software er allemaal bestaat. Als je de teksten zo leest, kun je al snel het idee hebben dat het internet een erg gevaarlijke en ongure plek is. Maar gelukkig kun je je als internetgebruiker goed beschermen tegen al die gevaren.
Hoe kun je dan virussen bestrijden? De belangrijkste maatregel is het installeren van een virusscanner.
Een tweede maatregel om virussen te bestrijden is om voorzichtig te zijn met het openen van bestanden die je van anderen hebt gekregen. Open nooit bijlagen van e-mails van personen die je niet kent.
Een derde maatregel is het goed updaten van alle software. Virusmakers maken gebruik van fouten in software. Softwaremakers lossen deze fouten weer op door middel van patches: kleine stukjes software die updates uitvoeren of fouten oplossen. Het is belangrijk om als gebruiker van deze software op tijd deze patches te installeren.
Om computervirussen te kunnen tegengaan, zijn er virusscanners beschikbaar. Virusscanners kunnen virussen opsporen en vaak kunnen ze de virussen dan ook verwijderen. Virusscanners maken gebruik van verschillende technieken om te controleren op virussen:
Techniek 1 : de scanners
Virusscanners maken gebruik van virusdefinities, waarin voor elk bekend virus de fingerprint (= vingerafdruk) wordt vastgelegd. De fingerprint van een virus is een stukje code van het virus dat altijd hetzelfde is. Aan de hand van de fingerprint kan een scanner een virus dan herkennen.
Het grootste nadeel van deze techniek is dat scanners alleen virussen kunnen ontdekken waarvan ze de fingerprint kennen. Voor ieder nieuw virus geldt dat er eerst ergens een slachtoffer moet vallen voordat de makers van de scanner een bruikbare fingerprint kunnen vaststellen. En die fingerprint moet dan aan de scanners worden doorgegeven. Daarom is het belangrijk om je virusscanner vaak te updaten, zodat je altijd de nieuwste fingerprints hebt.
Techniek 2 : de checksummers
Checksummers maken gebruik van de checksums van alle bestanden op de computer. Een checksum is een controlegetal dat uitgerekend wordt aan de hand van de inhoud van een bestand. Wanneer een programma wordt besmet, verandert het bestand en daarmee ook het controlegetal. De virusscanner controleert dus steeds of de checksum van elk bestand nog hetzelfde is als de checksum die de lijst staat.
Techniek 3 : de heuristische scanners
Een heuristische scanner controleert bestanden op eigenschappen die typisch zijn voor virussen. Voorbeelden van zulke eigenschappen zijn bijvoorbeeld: code om een datum te controleren of code die het adresboek van je e-mailprogramma raadpleegt.
Een goede virusscanner maakt gebruik van alledrie de technieken.
Reflectie
a) Noem een nadeel van de checksum-methode.
b) Noem een voordeel van de checksum-methode.
c) Een polymorf virus is een virus dat zichzelf kan veranderen als het zichzelf kopieert: hetzelfde virus komt dus voor als telkens net een ander bestandje met net wat andere inhoud/naam/bestandstype. Kan deze methode ook polymorfe virussen herkennen?
klik hier
Reflectie
a) Noem een nadeel van de heuristische methode.
b) Noem een voordeel van de heuristische methode.
c) Kan deze methode ook polymorfe virussen herkennen?
Klik hier
Reflectie
a) Noem een nadeel van de scanner methode.
b) Noem een voordeel van de scanner methode.
c) Kan deze methode ook polymorfe virussen herkennen?
Klik hier
2.2 Patches
Niet alleen de virusscanner moet geüpdate worden. Ook makers van andere programma’s brengen vaak patches uit (ze worden ook wel eens 'service packs' of 'software updates' genoemd). Een patch is een kleine wijziging in een programma om het programma te repareren of te verbeteren. Hierdoor worden ernstige beveiligingslekken in een programma gedicht. Het is aan te raden om patches altijd zo snel mogelijk te installeren.
Symantec, producent van antivirus-software, heeft het programma "Worm Simulator" ontwikkeld. Je hebt al met dit programma gewerkt. Met dit programma heb je kunnen zien hoe de bekendste wormen zich verspreiden en hoe snel patches geïnstalleerd worden door computergebruikers.
Open de Worm Simulator nog eens. Bekijk van de verschillende wormen hoe snel de eerste patches beschikbaar zijn. Bij welke worm duurt het het langst voordat er een patch is?
Screenshot van het programma:
Een computer op het internet of in een lokaal netwerk kan 5 verschillende verschijningsvormen aannemen:
- Clean : Dit betekent dat de computer nog geen worm heeft
- Patched : Dit betekent dat de computer zijn virusdefinities heeft geüpdate of een patch heeft geïnstalleerd. Als een computer gepatched is zal hij dit altijd blijven.
- Dormant : De worm bevindt zich op de computer maar is nog niet geactiveerd. De worm zit bijvoorbeeld in een nog ongeopende e-mail.
- Infected : De computer heeft de worm
- Dead : De computer heeft de worm niet overleefd en doet niets meer.
2.3 Voorzichtigheid en betrouwbaarheid
Het is normaal dat je je fiets op slot zet tegen diefstal. Ook is het normaal dat je jouw fiets niet midden op de weg op slot zet. Je zoekt een plekje in een fietsenstalling of tegen een muur.
Daar gaat het om bij voorzichtigheid, zorgen dat jouw computer niet kwetsbaar is voor aanvallen via bepaalde programma's die op jouw computer draaien. Denk b.v. aan macro's, Java en ActiceX bestanden
Een macro is een opeenvolging van handelingen die automatisch uitgevoerd worden. Macro’s zijn terug te vinden in Microsoft Word, Excel, Access, PowerPoint, Frontpage, Outlook, enz. Je kunt nuttige macro’s maken maar je kunt met macro’s ook virussen maken. Als je je wilt beschermen tegen macrovirussen dan kun je het beveiligingsniveau tegen macro’s in Word , Excel, PowerPoint en Outlook aanpassen. Kies in de menubalk [Extra] -> [Macro] -> [Beveiliging].
Opdracht
Maak zelf een macro met de opdracht "Macro's" uit het menu-onderdeel "Opdrachten en Toetsen".
Java is een programmeertaal. Java wordt gecompileerd naar bytecode voor een virtuele machine, de Java Virtual Machine (JVM). Deze JVM is beschikbaar voor allerlei verschillende soorten computers, dat wil zeggen computers die draaien onder verschillende besturingssystemen, zoals MS Windows, Linux, Mac OS X. Men gebruikt voor dergelijke talen het begrip platformonafhankelijk: ze zijn niet afhankelijk van een bepaald besturingssysteem. Java en Javascript worden als begrippen wel eens met elkaar verward, maar in feite hebben de twee talen weinig met elkaar te maken. Hoewel beide talen op het eerste gezicht qua syntaxis (de gebruikte code) op elkaar lijken, zijn er grote verschillen.
Bepaalde eigenschappen van Java en zeker JavaScript maken deze talen kwetsbaar voor insluipers die daarmee de eigenschappen kunnen beïnvloeden.
Hackers misbruiken Firefox-lek met Javascript
Door: Niels de Rijk Bron: TechWorld, okt. 2006
Twee hackers hebben zaterdag aangetoond hoe een kritiek lek in Firefox kan worden misbruikt.
Dat meldt Cnet. Tijdens een presentatie op de Toorcon-hackersconferentie demonstreerden Mischa Spiegelmock en Andrew Wbeelsoi hoe kwaadwillenden de controle over een pc kunnen overnemen door gebruik te maken van een bepaalde Javascript-code.
Het lek ontstaat door de manier waarop Firefox Javascript implementeert, aldus Spiegelmock. Diverse codes kunnen volgens de hacker een stack overflow-fout veroorzaken. Volgens Spiegelmock is de Javascript-implementatie 'een zootje'. "Het is onbegonnen werk om het te patchen", zo verklaarde Spiegelmock tegenover Cnet.
Mozilla's veiligheidschef Window Snyder kondigde aan dat het bedrijf de kwetsbaarheid zal onderzoeken. Snyder is niet blij met het feit dat de hackers tijdens de presentatie ook een deel van de code van een exploit voor het lek toonden, aldus Cnet. Tegelijkertijd meent Snyder dat de presentatie genoeg aanknopingspunten biedt voor Mozilla om het lek te dichten.
De beveiligingschef vreest echter ook dat het lek moeilijker te dichten is dan andere kwetsbaarheden, omdat het zich bevindt in de Javascript Virtual Machine. De hackers beweerden tijdens hun presentatie zo'n dertig nog niet gedichte Firefox-lekken te kennen, maar ze willen informatie hierover niet aan Mozilla verstrekken.
"Het mes snijdt aan twee kanten, maar wat wij doen is eigenlijk in het belang van Internet. We creëren communicatienetwerken voor black hats", zo verklaarde Wbeelsoi in een reactie op het verzoek van Mozilla-beveiligingsmedewerker Jesse Ruderman om de kwetsbaarheden te melden.
Soms komt het voor dat je tijdens het surfen op Internet een waarschuwing krijgt dat een ActiveX-element iets wil doen op je pc. ActiveX is een moderne variant van wat door Microsoft OLE (Object Linking and Embedding) werd genoemd. OLE zorgt voor communicatie tussen verschillende applicaties binnen Windows. Dit maakt het in de praktijk bijvoorbeeld mogelijk om in Word andere bestandstypen, zoals een plaatje in JPEG, in te voegen of als verwijzing op te nemen in het document. Een ander voorbeeld waarin OLE van pas komt, is wanneer secties in afzonderlijke documenten bewerkt worden en vervolgens als subdocumenten later gecombineerd worden in een hoofddocument. Deze toepassingen werden standaard in Windows-programma’s meegeleverd.
ActiveX werd door Microsoft ontwikkeld om applicaties via het Internet te verdelen. Deze technologie is het antwoord van Microsoft op de Java-technologie van SUN Microsystems. Net zoals Java-applets kunnen ActiveX-objecten worden opgenomen in een webpagina. In tegenstelling tot Java-applets zijn ActiveX-objecten afhankelijk van het platform waarop ze draaien, hetgeen betekent dat ze opnieuw moeten worden gecompileerd om ze op een ander platform te kunnen gebruiken.
ActiveX bestaat uit de onderdelen ActiveX Controls, ActiveX Server Pages en ActiveX Server.
- ActiveX Controls zijn kleine programma's die een specifieke taak kunnen uitvoeren en worden aangeroepen door andere programma's zoals een browser. Met zo'n Control kan men bijvoorbeeld een pop-up menu op een pagina laten openen.
- ActiveX Server Pages, beter bekend onder het letterwoord ASP, is een applicatie die is ontwikkeld met behulp van ActiveX Controls en HTML. Dergelijke applicaties worden door een moderne browser herkend en voegen bijvoorbeeld interactiviteit toe aan de statische HTML-codering van een pagina.
- Met de ActiveX Server kan men bijvoorbeeld een database koppelen aan internet. Pagina's bevatten dan zowel statische gegevens (vaste teksten) als dynamische gegevens (de variërende inhoud van de database).
ActiveX kan dus heel nuttige functies verrichten, zoals bepaalde gegevens verzamelen, die je geheel op maat geleverd wilt hebben, bepaalde bestanden bekijken en animaties vertonen. Maar dat maakt een vreemd ActiveX-element ook tot een min of meer gevaarlijke toepassing. Immers, hoe kun je er zeker van zijn dat de ActiveX die iets voor je wilt doen, ook wel de juiste dingen doet en niet ongewenste? Zou het niet gegevens kunnen opsporen in een bestand dat op je pc staat, zonder dat je dat in de gaten hebt? ActiveX-elementen hebben “hogere bevoegdheden” in het Windows-domein dan Java-applets. Zo zie je gebeuren dat ActiveX-elementen als vervoermiddel van spyware en virussen kunnen fungeren.
Opdracht
Maak nu de opdracht "Virusbestrijding " uit het menu-onderdeel "Opdrachten en Toetsen".