IBM stopt virussen zonder virusscanner
Onderzoekers van IBM hebben een manier gevonden om wormen en virussen zonder het gebruik van anti-virus software te stoppen. De Assured Execution Environment (AXE) software wordt in de kernel van het besturingssysteem verwerkt en controleert elk programma dat op de machine draait, om er zo zeker van te zijn dat alleen geautoriseerde code wordt uitgevoerd.
Er worden verschillende technieken, waaronder encryptie, gebruikt zodat programma's niet zonder toestemming draaien. AXE zorgt er ook voor dat bepaalde programma's alleen op bepaalde machines draaien en kan gegevens onleesbaar maken.
Het programma maakt een soort "whitelist" van geautoriseerde programma's die de gebruiker mag draaien. Een aanpak die volgens een analist van de Yankee Group vaker toegepast zal worden, aangezien de huidige anti-virus technologie niet toereikend is.
IBM zal AXE begin 2006 door haar klanten laten testen. (TechWorld)
Zal vooral op server's goed werken. Maar of het voor thuis gebruikers zou
makelijk is dat je jezelf zo enorm limiteerd.
Het programma maakt een soort "whitelist" van geautoriseerde
programma's die de gebruiker mag draaien. Een aanpak die volgens een
analist van de Yankee Group vaker toegepast zal worden, aangezien de
huidige anti-virus technologie niet toereikend is./quote]
Huidige antivirus technologie die gebruik maakt van een soort "blacklist"
van NIET-geautoriseerde programma's die de gebruiker ehh.. NIET mag
draaien... Kijk nu is 'ie weer wit !
Heel slim? Ach, valt wel mee hoor. Same sh*t allover! Kijk, zo'n AXE is een
heel ander verhaaltje... ; )
doet.....
Op zich is whitelisten natuurlijk veel effectiever (dan blacklisten, niet dan sandboxen). Je hebt
toch ook geen huis van kippegaas en wacht net zo lang tot er
regendruppels vallen en gaat dan als een retard alle gaten
dichten waar water doorheen sijpelt. Je timmert gewoon de
boel dicht. Wat nou limiteren? Ja, je hebt minder zonlicht.
Weet je wat limiterend is? Als je enkel maar bezig bent met
malware te verwijderen, analyses te doen van je porten en
alles maar iedere keer moeten updaten. Dan heb je geen tijd
om lekker te genieten van waar je je software eigenlijk voor
hebt, of dat nu werk is of gewoon spelen.
Dat vind ik heel limiterend.
Als je je systeem zo inricht dat alles wat je regelmatig
gebruikt binnen handbereik is en direct werkt (zonder te
hoeven ontgrendelen enz.) en al het andere dat je zo nu en
dan gebruikt wegzet onder authenticatie en authorisatie (als
je het risico in kan schatten tenminste). Al het andere dat
je nooit zult gebruiken hoort gewoon niet in je software te
zitten. Dat moet uitgeschakeld kunnen worden, zo niet
verwijderd te kunnen worden uit je hele systeem zonder extra
gaten achter te laten.
Ja opzetten van zo'n systeem kost even tijd. Maar dat win je
terug door geruster gebruik te kunnen maken van je setup
zonder al te vaak te moeten updaten, checken, malware
verwijderen enz.
NSA's SE Linux is een taaie om op te zetten, maar voor
degene die het wil biedt het wel veel. OpenBSD daarentegen
biedt vrij zekere software omdat het continue gecheckt wordt
op lekken en exploits.
Zo'n AXE zal niet voor de werkvloer of voor thuis zijn, daar
waar het qua toepassing misschien wel zou slagen.
- Unomi -
NSA's SE Linux is een taaie om op te zetten, maar voor
degene die het wil biedt het wel veel. OpenBSD daarentegen
biedt vrij zekere software omdat het continue gecheckt wordt
op lekken en exploits.
regelmatig geaudit. OpenBSD beschermt je dus niet tegen een
lekke apache bijvoorbeeld. SELinux kan je daar wel, tot op
zekere hoogte, tegen beschermen (althans, de gevolgen van
een lekke applicatie).
Overigens zit iets dergelijks (niet AXE maar MAC) ook in FreeBSD, overgenomen uit het TrustedBSD project.
Voor zover mij bekend wordt bij OpenBSD alleen het base OS
regelmatig geaudit. OpenBSD beschermt je dus niet tegen een
lekke apache bijvoorbeeld. SELinux kan je daar wel, tot op
zekere hoogte, tegen beschermen (althans, de gevolgen van
een lekke applicatie).
Dan ben je niet goed bekend met OpenBSD. Juist Apache zit
ook in de core installatie. De OpenBSD versie van Apache
althans. De packages/ports hebben een minder rigoreuze check
gehad, maar worden tegenwoordig ook gewoon bijgehouden op
security updates.
SE linux raakt nog niet aan wat OpenBSD tegenwoordig doet
(zie de vandaag gereleaste versie 3.8 van OpenBSD). SE linux
doet aan MAC (mandatory access control), wat door de core
OpenBSD developers als volkomen nutteloos wordt gezien.
Meningen kunnen verschillen. :-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
