image

IBM stopt virussen zonder virusscanner

dinsdag 1 november 2005, 11:25 door Redactie, 5 reacties

Onderzoekers van IBM hebben een manier gevonden om wormen en virussen zonder het gebruik van anti-virus software te stoppen. De Assured Execution Environment (AXE) software wordt in de kernel van het besturingssysteem verwerkt en controleert elk programma dat op de machine draait, om er zo zeker van te zijn dat alleen geautoriseerde code wordt uitgevoerd.

Er worden verschillende technieken, waaronder encryptie, gebruikt zodat programma's niet zonder toestemming draaien. AXE zorgt er ook voor dat bepaalde programma's alleen op bepaalde machines draaien en kan gegevens onleesbaar maken.

Het programma maakt een soort "whitelist" van geautoriseerde programma's die de gebruiker mag draaien. Een aanpak die volgens een analist van de Yankee Group vaker toegepast zal worden, aangezien de huidige anti-virus technologie niet toereikend is.

IBM zal AXE begin 2006 door haar klanten laten testen. (TechWorld)

Reacties (5)
01-11-2005, 11:29 door Anoniem
Heel slim.
Zal vooral op server's goed werken. Maar of het voor thuis gebruikers zou
makelijk is dat je jezelf zo enorm limiteerd.
01-11-2005, 13:02 door Anoniem
Door Redactie
Het programma maakt een soort "whitelist" van geautoriseerde
programma's die de gebruiker mag draaien. Een aanpak die volgens een
analist van de Yankee Group vaker toegepast zal worden, aangezien de
huidige anti-virus technologie niet toereikend is./quote]

Huidige antivirus technologie die gebruik maakt van een soort "blacklist"
van NIET-geautoriseerde programma's die de gebruiker ehh.. NIET mag
draaien... Kijk nu is 'ie weer wit !
Heel slim? Ach, valt wel mee hoor. Same sh*t allover! Kijk, zo'n AXE is een
heel ander verhaaltje... ; )
01-11-2005, 13:41 door awesselius
Ehm.... Lijkt een beetje op sandboxen zoals SE Linux het
doet.....

Op zich is whitelisten natuurlijk veel effectiever (dan blacklisten, niet dan sandboxen). Je hebt
toch ook geen huis van kippegaas en wacht net zo lang tot er
regendruppels vallen en gaat dan als een retard alle gaten
dichten waar water doorheen sijpelt. Je timmert gewoon de
boel dicht. Wat nou limiteren? Ja, je hebt minder zonlicht.

Weet je wat limiterend is? Als je enkel maar bezig bent met
malware te verwijderen, analyses te doen van je porten en
alles maar iedere keer moeten updaten. Dan heb je geen tijd
om lekker te genieten van waar je je software eigenlijk voor
hebt, of dat nu werk is of gewoon spelen.

Dat vind ik heel limiterend.

Als je je systeem zo inricht dat alles wat je regelmatig
gebruikt binnen handbereik is en direct werkt (zonder te
hoeven ontgrendelen enz.) en al het andere dat je zo nu en
dan gebruikt wegzet onder authenticatie en authorisatie (als
je het risico in kan schatten tenminste). Al het andere dat
je nooit zult gebruiken hoort gewoon niet in je software te
zitten. Dat moet uitgeschakeld kunnen worden, zo niet
verwijderd te kunnen worden uit je hele systeem zonder extra
gaten achter te laten.

Ja opzetten van zo'n systeem kost even tijd. Maar dat win je
terug door geruster gebruik te kunnen maken van je setup
zonder al te vaak te moeten updaten, checken, malware
verwijderen enz.

NSA's SE Linux is een taaie om op te zetten, maar voor
degene die het wil biedt het wel veel. OpenBSD daarentegen
biedt vrij zekere software omdat het continue gecheckt wordt
op lekken en exploits.

Zo'n AXE zal niet voor de werkvloer of voor thuis zijn, daar
waar het qua toepassing misschien wel zou slagen.

- Unomi -
01-11-2005, 13:59 door SirDice
Door Unomi
NSA's SE Linux is een taaie om op te zetten, maar voor
degene die het wil biedt het wel veel. OpenBSD daarentegen
biedt vrij zekere software omdat het continue gecheckt wordt
op lekken en exploits.
Voor zover mij bekend wordt bij OpenBSD alleen het base OS
regelmatig geaudit. OpenBSD beschermt je dus niet tegen een
lekke apache bijvoorbeeld. SELinux kan je daar wel, tot op
zekere hoogte, tegen beschermen (althans, de gevolgen van
een lekke applicatie).

Overigens zit iets dergelijks (niet AXE maar MAC) ook in FreeBSD, overgenomen uit het TrustedBSD project.
01-11-2005, 20:25 door Anoniem
Door SirDice

Voor zover mij bekend wordt bij OpenBSD alleen het base OS
regelmatig geaudit. OpenBSD beschermt je dus niet tegen een
lekke apache bijvoorbeeld. SELinux kan je daar wel, tot op
zekere hoogte, tegen beschermen (althans, de gevolgen van
een lekke applicatie).

Dan ben je niet goed bekend met OpenBSD. Juist Apache zit
ook in de core installatie. De OpenBSD versie van Apache
althans. De packages/ports hebben een minder rigoreuze check
gehad, maar worden tegenwoordig ook gewoon bijgehouden op
security updates.

SE linux raakt nog niet aan wat OpenBSD tegenwoordig doet
(zie de vandaag gereleaste versie 3.8 van OpenBSD). SE linux
doet aan MAC (mandatory access control), wat door de core
OpenBSD developers als volkomen nutteloos wordt gezien.
Meningen kunnen verschillen. :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.