Microsoft verstrekt API's voor omzeilen Vista PatchGuard
Microsoft heeft gisteren het voorlopig ontwerp van de application programming interfaces (API) uitgebracht, die ervoor moeten zorgen dat andere beveiligingsaanbieders de kernelbeveiliging in Windows Vista, PatchGuard, kunnen omzeilen. Aanbieders kunnen deze versie tot het einde van januari testen, waarna een uiteindelijke versie ergens halverwege 2007 met de release van Vista Service Pack 1 beschikbaar zal zijn.
Naast de API's heeft de softwaregigant ook een "Criteria Evaluation" document ter beschikking gesteld, waarin Microsoft de processen beschrijft die het voor het verwerken van verzoeken van andere aanbieders gebruikt. "We hebben dit gepubliceerd zodat het voor iedereen duidelijk is welke processen we gebruiken voor het opstellen van nieuwe API's die we aan de kernel toevoegen. We willen feedback van partners en de rest van de industrie om te horen of dit goede criteria zijn" zegt Microsoft topman Ben Fathi.
Microsoft heeft de API's en document verstrekt omdat veel beveiligingsonderzoekers en de Europese Unie zich zorgden maakten over oneerlijke concurrentie die de softwaregigant via haar PatchGuard zou verkrijgen. De API's van dinsdag zijn gebaseerd op de feedback van 26 aanbieders en behandelen vier belangrijke gebieden, waaronder geheugen-gebaseerde controls, laden van afbeeldingen en "tamper protection".
Wat betreft het toegang geven van vendors tot de Vista 64-bit kernel houdt Microsoft haar poot stijf en laat weten dat toegang alleen via ondersteunde API's verkregen kan worden.
dit niet door malware gebruikt kunnen worden?
willen niet, maar de EU en andere anti-trust rechtzaken
staan al in de stijgers. Alle leuke en veilige features die
MS wilde inbouwen zijn voor 80% niet aanwezig door dit soort
dingen...kortom: Wat MS ook doet, het is toch nooit goed.
zijn, dan hadden overige malware-bestrijders hun software eerder klaar
kunnen hebben. De aanklacht tegen machtsmisbruik zal er dus - denk ik -
toch wel gaan komen. De meeste malware-bestrijders zijn dan al een stuk
markt kwijt, M$ betaalt een fooitje en iedereen kan weer verder! :)
Wat koekblik zegt vroeg ik me dus ook al af...
Omdat je dan je admin-wachtwoord moet inkloppen.
Handig, zo'n API om de beveiliging te omzeilen. Waarom zou
dit niet door malware gebruikt kunnen worden?
non-Microsoft programmeurs gebruik kunnen maken van reeds
aanwezige functionaliteit. Ervaren hackers (zoals Andrew
Schulman, auteur van klassiekers als Undocumented DOS en
Undocumented Windows) en gedreven crackers weten verborgen
functionaliteit ook zonder API's wel te vinden.
Dat vastleggen is nodig om te voorkomen dat code van third
party security software fabrikanten niet goed meer werkt of
geheel faalt na de eerste de beste Windows update (want met
reverse engineeren hebben die fabrikanten heus geen moeite,
het is vaak hun brood).
Een groter punt van zorg zou het vastleggen zelf
kunnen zijn. Als op een gegeven moment een kwetsbaarheid in
de onderliggende code gevonden wordt, dan zullen fixes
daarin zo gemaakt moeten worden dat dit de
afgesproken API's niet verstoort. Microsoft zou dit zelfs
als excuus kunnen gebruiken indien ze gerelateerde patches
later uitbrengt dan gebruikelijk (het betekent in elk geval
meer testen), of ze geheel niet uitbrengt omdat het "te veel
werk is" (dergelijke situaties kan ik me vooral voorstellen
zodra de opvolger van Vista op de markt is).
Het publiceren van API's betekent overigens ook dat
goedbedoelende mensen (inclusief security ICT-ers) die niet
de hele dag aan het reverse-engineeren zijn, zich een beter
beeld kunnen vormen van hoe de beveiliging "onder de
motorkap" werkt. Dit niet alleen door zelf die APIs te
bestuderen maar ook doordat dit soort informatie vervolgens
een stuk leesbaarder via boeken van bijv. Mark Russinovich,
David Solomon, Mark Minasi etc. op de markt komt.
Om op je vraag terug te komen: in eerste instantie moet je
je uiterste best doen om te voorkomen dat er ooit malware
draait op je systeem. Als dat niet voorkomen kan worden zorg
dan dat deze in elk geval niet met admin (of system) rechten
kan draaien, c.q. die rechten eenvoudig kan verkrijgen. Een
systeem waarop malware met system rechten heeft gedraaid zal
nooit meer zo betrouwbaar zijn als daarvoor. De
beschikbaarheid van kernel API's maakt daarbij nauwelijks
verschil.
non-Microsoft programmeurs gebruik kunnen maken van
reeds aanwezige functionaliteit. Ervaren hackers [...] en
gedreven crackers weten verborgen functionaliteit ook
zonder API's wel te vinden.
Goed punt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
