Whitelisting maakt virusscanners overbodig
Veel experts zijn van mening dat virusscanners niet zinvol zijn omdat ze alleen bekende malware kunnen stoppen. Aangezien er zoveel varianten van een virus verschijnen, en het uren duurt voordat er een nieuwe signature beschikbaar is, die ook niet eens voor alle varianten verschijnt, laat de virusscanner de nieuwe malware ongestoord het systeem infecteren.
Nu is er wel anti-virus software die via "heuristiek" het gedrag van het systeem monitort, maar zelfs heuristieke beveiliging kan niet alle varianten stoppen. Tegen de tijd dat heuristieke functie van een scanner zijn bijgewerkt, is de uitbraak van een bepaalde variant al gestopt en een nieuwe begonnen, zo blijkt uit onderzoek.
Een mogelijke oplossing voor het probleem is white listing, waarbij er van tevoren wordt bepaald welke programma's er uitgevoerd mogen worden, en men de rest blokkeert. "White listing legt de verantwoordelijkheid bij de systeembeheerder op te weten wat er op het bedrijfsnetwerk mag draaien. Dankzij white listing bestaan er geen zero-day aanvallen" aldus een aanbieder van dit soort oplossingen. Microsoft is in ieder geval onder de indruk van de aanpak en heeft de software in haar "Windows Embedded for Point-of-Service" catalogus opgenomen.
Het grote nadeel van white listing is de "administratieve overhead", omdat van elke applicatie bepaald moet worden of het toegang krijgt of niet. Ook als er patches of updates zijn moet de systeembeheerder de lijst bijwerken. Een Amerikaanse bank is zeer te spreken over het concept en heeft de virusscanner van al haar desktops verwijderd, hoewel die op de gateway nog wel gebruikt wordt. "Ik hou niet van het bestaande anti-virus model, omdat het wachten is totdat de bad guys op je schieten" laat vice-president Brent Rickels weten.
kunt behalen omdat je geen virus- en malware infecties
krijgt zijn vele malen groter.
En ik voorspel dat er over een tijdje gewoon kant en klare
profiles voor dingen als Office te downloaden zijn...
evenals scripts die in andere tools draaien.
exploits? Als MS Word mag draaien, en daar kan je eigen code
in injecteren, dan mag die code toch ook draaien? Het is dan
immers een onderdeel van Word geworden. Of gaat er voor elke
uit te voeren instructie een MD5-sum van de in-RAM
executable gemaakt worden? Dat is ook weer niet te doen,
omdat hetzelfde geheugen zowel voor data als voor code
gebruikt kan worden, en data natuurlijk wel mag veranderen.
Misschien moeten we naar een
[url=http://en.wikipedia.org/wiki/Harvard_architecture]Harvard-
architectuur[/url] (wikipedia). Daarmee is via data
injecteren van code onmogelijk geworden.
gewone gebruiker kunt bepalen of je software kunt vertrouwen of niet. Met
Office zal het wel lukken, maar met allerlei andere zaken, zoals spelletjes,
Flash animaties, Word documenten, patches en updates, enzovoort is dat
heel lastig.
Er zullen dan ook wel weer 'fake' profiles opduiken: U kunt deze software
echt vertrouwen hoor! Kijk maar naar mijn blauwe ogen!
blacklisting.
ontelbaar meer legitieme software dan malware.
Wat Microsoft uiteraard wil is big brother spelen, illegaal softwaregebruik
monitoren en gebruik van kleine en gratis software ontmoedigen.
Zo zouden MS Word virussen nog een aardige kans hebben,
evenals scripts die in andere tools draaien.
Ja, je hebt gelijk. De er zijn virussen als een extern
programma, zoals bv. wormen, maar scripts in word of een
ander bekend programma dan? En wat dacht je van trojaanse
paarden?
beveiligingsmethoden.
Een bestand op de whitelist hoeft verder niet gecontroleerd te worden,
bestand op de blacklist mag niet starten, en gaat de gevangenis in :-)
En Prevx1 beschermt ook tegen buffer overflows en andere dingen die je
niet wilt meemaken.
Dus zo nieuw is het idee niet....
Zo zouden MS Word virussen nog een aardige kans hebben,
evenals scripts die in andere tools draaien.
Ja, je hebt gelijk. De er zijn virussen als een extern
programma, zoals bv. wormen, maar scripts in word of een
ander bekend programma dan? En wat dacht je van trojaanse
paarden?
Office systemen bieden op veel te veel plekken de
mogelijkheid om code uit te voeren. Dat maakt het heel
lastig om te controleren wat er wel en wat er niet mag, maar
zeker niet onmogelijk.
Wat het aantal legale programma's betreft, er is wellicht
een groter aantal legitieme programma's dan malware hoewel
ik dat betwijfel), maar jij hebt niet al die programma's op
jouw computer staan. Ik heb een zeer uitgebreid
geinstalleerd systeem en ik kom maar aan een stuk of 30
applicaties die ik nodig heb. Ik hoef dus maar 30
applicaties het recht te geven wel te draaien.
Grote probleem was alleen als je bijv. word.exe toestond, je een andere niet-toegestane executable kon hernoemen naar word.exe waardoor het ineens wel weer toegestaan was. Een MD5/SHA256 o.i.d. berekenen, om dit tegen te gaan, geeft nog meer overhead (denk aan patches, nieuwe versies van software etc.).
Verder beschermd dit je inderdaad niet tegen buffer overflows of documenten met aktieve content (doc, pdf etc.).
Who cares about administrative overhead. De savings die je kunt behalen omdat je geen virus- en malware infecties krijgt zijn vele malen groter.
ouders willen uitproberen eerst op mijn eigen systeem kijken
of het wel veilig is.
Ik heb een image liggen van hun systeem. Als ze er weer een
zooitje van gemaakt hebben, lart ik ze eerst en daarna zet
ik het image terug en klaar is klara.
dan wat heb je aan whitelisting ?
Als het programma wat in de whitelist staat een trojan bevat
dan wat heb je aan whitelisting ?
Een goede whitelist bestaat niet alleen uit een lijst met bestandsnamen
maar ook een hashcode van het programma, vergelijkbaar met MD5 of
SHA-1
Hmpf.. Is dit nieuw? Dat kon (standaard) al met NT4...
Grote probleem was alleen als je bijv. word.exe toestond, je een andere
niet-toegestane executable kon hernoemen naar word.exe waardoor het
ineens wel weer toegestaan was. Een MD5/SHA256 o.i.d. berekenen, om
dit tegen te gaan, geeft nog meer overhead (denk aan patches, nieuwe
versies van software etc.).
Verder beschermd dit je inderdaad niet tegen buffer overflows of
documenten met aktieve content (doc, pdf etc.).
Je moet dan gaan werken met producten die hun whitelist baseren op
trusted ownership in combinatie met een MD5 / SHA256 hash
Weinig administrative overhead en toch de zero day protection
doorgevoerd bij een bank voor een Citrix omgeving in Windows 2003 met
de Software Restriction Policy GPO instellingen. Er is van afgezien doordat
er steeds nieuwe hashes gemaakt moesten worden. Wil je deze methode
hanteren, dan zul je er rekening mee moeten houden dat er absoluut geen
software meer ontwikkeld mag worden voor het systeem, want anders is
de beheerder de hele dag hashes aan het bijwerken. Ook zul je
executables en scripts tegenkomen waarvan je niet wist dat ze ook
draaiden op het systeem. Wat Word allemaal aanroept wil je ook niet
weten. Maar dat moet wel allemaal gehashed worden als je 100% veilig
wilt zijn. Kortom: de "niks mag, behalve"-benadering is voor grote
omgevingen niet te doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
