Defender en malwarebytes, attack surface anti malware

Ik heb laatst een niewe computer gekocht (met windows 10 erop). En ik wilde er een goede anti virus opzetten. Ik heb aardig wat research gedaan en ik ben voornamelijk tegen gekomen dat de meeste mensen aanraden om defender samen met een anti malware programma te gebruiken. Zij raden met name malwarebytes aan.
Verder was ik ook tegen gekomen dat wanneer je een anti virus programma gebruikt je je attack surface vergroot en wanneer je dat niet doet je op die manier niet gehacked kan worden. Ik snap daar niet zo veel van, daarom vraag ik het nog maar even na op het forum.
Is het zo dat je door een anti malware programma te nemen je je attack surface vergroot (net als met een anti virus programma) en de kans om gehackt te worden en virussen/malware vergroot doordat de attack surface dan groter is?
Totdat ik de informatie over het vergroten van de 'attack surface' was tegengekomen zat ik er over te denken om defender en malwarebytes te gebruiken(omdat ik tegen was gekomen dat zo veel mensen dat aanraden). Lijkt jullie dat een goed idee? Zorgt een anti malware programma zoals malwarebytes niet voor een grotere attack surface?

Als het jullie een goed idee lijkt om toch voor malwarebytes te gaan, zouden jullie mij dan de gratis of de betaalde versie aanraden?
 

philpend

Senior Member
Heb je een link naar het artikel waar je gelezen hebt dat het gebruik van antivirusprogramma’s de attack surface zou vergroten en het niet gebruiken van een antivirus zou voorkomen dat je gehacked kan worden? Lijkt mij erg onlogisch/baarlijke nonsens, maar je weet het nooit.

Ik gebruik zelf windows defender + mijn gezonde verstand en dat voldoet.
 

joz

Senior Member
Het is niet enkel antivirus, het is elk programma dat draait dat potentieel de attack surface vergroot.
Als er een vulnerability in een tool zit kan die ge-exploit worden. De mate/ernstigheid hiervan is sterk afhankelijk van wat de tool doet, welke rechten het heeft en of het bijvoorbeeld communiceert via internet om maar wat dingen te noemen. Bij antivirus is dit extra gevaarlijk omdat het dicht op de kernel draait en veel rechten op je systeem heeft.
Er is idd een grote beweging die dit als argument neerzet om geen additionele AV (naast de standaard van Windows) te installeren. Ik sta daar zelf achter, maar het is wel afhankelijk van de gebruiker in kwestie (zoals hierboven "gezond verstand", maar dat is een rekbaar/subjectief begrip).
zie bv;
https://arstechnica.com/information-technology/2017/01/antivirus-is-bad/
https://encyclopedia.kaspersky.com/knowledge/antivirus-programs-their-quality-and-issues/
https://www.wired.com/2012/03/antivirus/
https://www.technologyreview.com/s/428166/the-antivirus-era-is-over/

zelfs laatst nog in het nieuws dat de driver van nVidia de attack surface vergroot omdat er een vuln zat in de performance counters.
Elk stuk software is mensen werk en kan fouten bevatten die je systeem openzetten voor misbruik.
Lijkt mij erg onlogisch/baarlijke nonsens
Het is een mogelijkheid. Hoe minder software je draait hoe veiliger je zal zijn. In het verleden zoveel in het nieuws geweest dat er vulns zaten in antivirus tools, of gewoon je systeem omzeep helpen omdat ze "per ongeluk" een kritieke DLL van Windows false positive flaggen als malicious.
Dit is ook 1 van de redenen dat Docker tegenwoordig enorm populair is. Sandboxed in zijn eigen container, vergelijkbaar met een VM. Daarmee perk je zaken in, ook al heeft de tool in kwestie enorm veel rechten binnen de box/vm waar het in draait.

Lees maar is wat over weird machines of ROP (Return Oriented Programming). Als je daar wat dieper in duikt, begrijp je dat per definitie alles potentieel onveilig kan zijn.
Dit is een goeie (relatief makkelijke instap) video daarover;
En dit is een geweldige talk met zelfde onderwerp;
 
Laatst bewerkt:

philpend

Senior Member
Je vergroot de attack surface als je software draait met een fout er in waar het virus gebruik van kan maken. Lijkt mij niet specifiek iets voor enkel antivirus software, maar elk stukje software met een fout kan dat veroorzaken.

Maar de stelling dat je per definitie niet gehacked kan worden als je geen antivirus gebruikt lijkt mij toch te behoren bij de categorie “baarlijke nonsens”; zodra je een ander stukje software op je systeem draait waar een fout in zit gaat het gewoon mis.
 

joz

Senior Member
Maar de stelling dat je per definitie niet gehacked kan worden als je geen antivirus gebruikt lijkt mij toch te behoren bij de categorie “baarlijke nonsens”; zodra je een ander stukje software op je systeem draait waar een fout in zit gaat het gewoon mis.
Verder was ik ook tegen gekomen dat wanneer je een anti virus programma gebruikt je je attack surface vergroot en wanneer je dat niet doet je op die manier niet gehacked kan worden.
Dat is ook niet de stelling. De stelling is dat als je geen AV draait je niet via de AV gehacked kan worden, wat klopt uiteraard. Er staat niets over "per definitie niet gehacked kunnen worden".
De rest is herkauwen van wat ik hierboven al zei.

De AV van windows uitzetten heeft weinig zin omdat Windows de neiging heeft met zulk soort diep gebakken dingen, het enkel soort van te verwijderen in de UI en allerlei onderdelen achter te laten (de reden is vaak dat dit gedeeld word met andere tools van het OS, hetzelfde geld bv voor verwijderen van IE, dat verwijderd IE niet echt, een hele boel libraries van IE blijven daarbij achter). Vandaar dat aangeraden word dat wel aan te laten en dat te gebruiken, omdat je er soort van aanvast zit als je Windows gebruikt.
 

philpend

Senior Member
Uiteraard kun je niet gehacked worden via software die niet op je systeem aanwezig is, dat is wel een heel erg open deur. Wellicht interpreteer ik de vraag van TS dan verkeerd, maar het leek er voor mij toch vrij veel op dat hij overweegt om in het geheel geen antivirus te gebruiken omdat hij denkt dan niet gehacked te kunnen worden.
 

joz

Senior Member
Dat zijn aannames (assumption is the mother of all f-ups) die niet terug te lezen zijn in de post.
Maar goed, wellicht heb je gelijk. Dat zal wel een wat rare gedachten kronkel zijn, maar je kan niets uitsluiten zonder dat de TS het 1 en ander opheldert.
 

jurrian120

Senior Member
TL;DR: hoe meer lijnen code hoe groter de kans op een fout. Dus hoe minder je draait hoe minder er te exploiten valt.
 
  • Like
Waarderingen: joz
De dingen die joz zegt komen erg overeen met wat ik tegen was gekomen over de attack surface. Om nog even te verhelderen, mijn vraag is of het goed zou zijn om naast defender ook malwarebytes te nemen? Of zouden de nadelen van een grotere attack surface (door malwarebytes erbij te hebben) meer zijn dan de voordelen?
 

philpend

Senior Member
Dat is natuurlijk de grote vraag, zeker als het over anti-virus software gaat. Stel dat het antivirus programma zelf je atack surface verhoogt met 10, maar door de beschermende werking ook weer verlaagt met 30. Dan is in totaal je attack surface min 20. Dan lijkt het mij wel nuttig. Maar als de antivirussoftware je attack surface verhoogt met 40 is het totaal weer plus 10 en is het weer niet nuttig. Wie het weet mag het zeggen.
 

joz

Senior Member
Om nog even te verhelderen, mijn vraag is of het goed zou zijn om naast defender ook malwarebytes te nemen
Ik gebruik zelf de gratis variant daarvan, maar enkel om af en toe te scannen. Draai het dus niet op de achtergrond waardoor het issue van de TS minder speelt.
Iets wat af en toe draait is moeilijker te exploiten dan iets wat altijd draait (een service), omdat je dan de exploit precies op het moment moet doen dat het draait.
 
Bedankt voor het antwoord. Ik ben er dan uit dat ik de gratis variant van malwarebytes samen met defender ga gebruiken. Ik kwam verschillende sites tegen(met malwarebytes in de naam) waar je malwarebytes kan downloaden. Hoe weet ik dat ik hem van de juiste site download? Zijn er verschillende versies van de gratis malwarebytes? Van welke website heb jij hem gedownload? Zou je een link kunnen sturen?
 
Bovenaan