image

Whitelisting maakt virusscanners overbodig

donderdag 18 januari 2007, 11:46 door Redactie, 16 reacties

Veel experts zijn van mening dat virusscanners niet zinvol zijn omdat ze alleen bekende malware kunnen stoppen. Aangezien er zoveel varianten van een virus verschijnen, en het uren duurt voordat er een nieuwe signature beschikbaar is, die ook niet eens voor alle varianten verschijnt, laat de virusscanner de nieuwe malware ongestoord het systeem infecteren.

Nu is er wel anti-virus software die via "heuristiek" het gedrag van het systeem monitort, maar zelfs heuristieke beveiliging kan niet alle varianten stoppen. Tegen de tijd dat heuristieke functie van een scanner zijn bijgewerkt, is de uitbraak van een bepaalde variant al gestopt en een nieuwe begonnen, zo blijkt uit onderzoek.

Een mogelijke oplossing voor het probleem is white listing, waarbij er van tevoren wordt bepaald welke programma's er uitgevoerd mogen worden, en men de rest blokkeert. "White listing legt de verantwoordelijkheid bij de systeembeheerder op te weten wat er op het bedrijfsnetwerk mag draaien. Dankzij white listing bestaan er geen zero-day aanvallen" aldus een aanbieder van dit soort oplossingen. Microsoft is in ieder geval onder de indruk van de aanpak en heeft de software in haar "Windows Embedded for Point-of-Service" catalogus opgenomen.

Het grote nadeel van white listing is de "administratieve overhead", omdat van elke applicatie bepaald moet worden of het toegang krijgt of niet. Ook als er patches of updates zijn moet de systeembeheerder de lijst bijwerken. Een Amerikaanse bank is zeer te spreken over het concept en heeft de virusscanner van al haar desktops verwijderd, hoewel die op de gateway nog wel gebruikt wordt. "Ik hou niet van het bestaande anti-virus model, omdat het wachten is totdat de bad guys op je schieten" laat vice-president Brent Rickels weten.

Reacties (16)
18-01-2007, 13:15 door Anoniem
Who cares about administrative overhead. De savings die je
kunt behalen omdat je geen virus- en malware infecties
krijgt zijn vele malen groter.
En ik voorspel dat er over een tijdje gewoon kant en klare
profiles voor dingen als Office te downloaden zijn...
18-01-2007, 13:24 door jeed
Zo zouden MS Word virussen nog een aardige kans hebben,
evenals scripts die in andere tools draaien.
18-01-2007, 14:29 door koekblik
Hmmm... maar hoe werkt dat dan tegen buffer overflow
exploits? Als MS Word mag draaien, en daar kan je eigen code
in injecteren, dan mag die code toch ook draaien? Het is dan
immers een onderdeel van Word geworden. Of gaat er voor elke
uit te voeren instructie een MD5-sum van de in-RAM
executable gemaakt worden? Dat is ook weer niet te doen,
omdat hetzelfde geheugen zowel voor data als voor code
gebruikt kan worden, en data natuurlijk wel mag veranderen.

Misschien moeten we naar een
[url=http://en.wikipedia.org/wiki/Harvard_architecture]Harvard-
architectuur[/url] (wikipedia). Daarmee is via data
injecteren van code onmogelijk geworden.
18-01-2007, 14:32 door http___www.sjaaklaan.nl
Tja, dat klinkt leuker dan het is. Het probleem is natuurlijk hoe je als
gewone gebruiker kunt bepalen of je software kunt vertrouwen of niet. Met
Office zal het wel lukken, maar met allerlei andere zaken, zoals spelletjes,
Flash animaties, Word documenten, patches en updates, enzovoort is dat
heel lastig.
Er zullen dan ook wel weer 'fake' profiles opduiken: U kunt deze software
echt vertrouwen hoor! Kijk maar naar mijn blauwe ogen!
18-01-2007, 15:13 door Anoniem
tzal er wel op neerkomen dat beide gedaan worden. zowel white als
blacklisting.
18-01-2007, 16:13 door Anoniem
Whitelisting heeft nog nooit gewerkt, en het zal nooit werken. Er is
ontelbaar meer legitieme software dan malware.

Wat Microsoft uiteraard wil is big brother spelen, illegaal softwaregebruik
monitoren en gebruik van kleine en gratis software ontmoedigen.
18-01-2007, 20:25 door Larsie
Door jeed
Zo zouden MS Word virussen nog een aardige kans hebben,
evenals scripts die in andere tools draaien.

Ja, je hebt gelijk. De er zijn virussen als een extern
programma, zoals bv. wormen, maar scripts in word of een
ander bekend programma dan? En wat dacht je van trojaanse
paarden?
19-01-2007, 02:52 door ctrlaltdelete
Prevx1 maakt al tijden gebruik van een whitelist, in combinatie met andere
beveiligingsmethoden.
Een bestand op de whitelist hoeft verder niet gecontroleerd te worden,
bestand op de blacklist mag niet starten, en gaat de gevangenis in :-)

En Prevx1 beschermt ook tegen buffer overflows en andere dingen die je
niet wilt meemaken.

Dus zo nieuw is het idee niet....
19-01-2007, 10:00 door Anoniem
Door Larsie
Door jeed
Zo zouden MS Word virussen nog een aardige kans hebben,
evenals scripts die in andere tools draaien.

Ja, je hebt gelijk. De er zijn virussen als een extern
programma, zoals bv. wormen, maar scripts in word of een
ander bekend programma dan? En wat dacht je van trojaanse
paarden?
Dat is een ander probleem. De Microsoft operating systems en
Office systemen bieden op veel te veel plekken de
mogelijkheid om code uit te voeren. Dat maakt het heel
lastig om te controleren wat er wel en wat er niet mag, maar
zeker niet onmogelijk.

Wat het aantal legale programma's betreft, er is wellicht
een groter aantal legitieme programma's dan malware hoewel
ik dat betwijfel), maar jij hebt niet al die programma's op
jouw computer staan. Ik heb een zeer uitgebreid
geinstalleerd systeem en ik kom maar aan een stuk of 30
applicaties die ik nodig heb. Ik hoef dus maar 30
applicaties het recht te geven wel te draaien.
19-01-2007, 11:52 door SirDice
Hmpf.. Is dit nieuw? Dat kon (standaard) al met NT4...

Grote probleem was alleen als je bijv. word.exe toestond, je een andere niet-toegestane executable kon hernoemen naar word.exe waardoor het ineens wel weer toegestaan was. Een MD5/SHA256 o.i.d. berekenen, om dit tegen te gaan, geeft nog meer overhead (denk aan patches, nieuwe versies van software etc.).

Verder beschermd dit je inderdaad niet tegen buffer overflows of documenten met aktieve content (doc, pdf etc.).
19-01-2007, 12:17 door SirDice
Door Anoniem
Who cares about administrative overhead. De savings die je kunt behalen omdat je geen virus- en malware infecties krijgt zijn vele malen groter.
Als je regelmatig infecties hebt, is toch iets grondig niet goed aan je security architectuur.
19-01-2007, 16:41 door Anoniem
Ben daar gek zeg. Ik ga niet voor ieder programma dat mijn
ouders willen uitproberen eerst op mijn eigen systeem kijken
of het wel veilig is.

Ik heb een image liggen van hun systeem. Als ze er weer een
zooitje van gemaakt hebben, lart ik ze eerst en daarna zet
ik het image terug en klaar is klara.
20-01-2007, 10:14 door Anoniem
Als het programma wat in de whitelist staat een trojan bevat
dan wat heb je aan whitelisting ?
20-01-2007, 16:49 door ctrlaltdelete
Door Anoniem
Als het programma wat in de whitelist staat een trojan bevat
dan wat heb je aan whitelisting ?

Een goede whitelist bestaat niet alleen uit een lijst met bestandsnamen
maar ook een hashcode van het programma, vergelijkbaar met MD5 of
SHA-1
22-01-2007, 13:40 door Anoniem
Door SirDice
Hmpf.. Is dit nieuw? Dat kon (standaard) al met NT4...

Grote probleem was alleen als je bijv. word.exe toestond, je een andere
niet-toegestane executable kon hernoemen naar word.exe waardoor het
ineens wel weer toegestaan was. Een MD5/SHA256 o.i.d. berekenen, om
dit tegen te gaan, geeft nog meer overhead (denk aan patches, nieuwe
versies van software etc.).

Verder beschermd dit je inderdaad niet tegen buffer overflows of
documenten met aktieve content (doc, pdf etc.).


Je moet dan gaan werken met producten die hun whitelist baseren op
trusted ownership in combinatie met een MD5 / SHA256 hash
Weinig administrative overhead en toch de zero day protection
23-01-2007, 16:44 door Anoniem
Het berekenen van die hashes is een kwelling. Ik heb het op kleine schaal
doorgevoerd bij een bank voor een Citrix omgeving in Windows 2003 met
de Software Restriction Policy GPO instellingen. Er is van afgezien doordat
er steeds nieuwe hashes gemaakt moesten worden. Wil je deze methode
hanteren, dan zul je er rekening mee moeten houden dat er absoluut geen
software meer ontwikkeld mag worden voor het systeem, want anders is
de beheerder de hele dag hashes aan het bijwerken. Ook zul je
executables en scripts tegenkomen waarvan je niet wist dat ze ook
draaiden op het systeem. Wat Word allemaal aanroept wil je ook niet
weten. Maar dat moet wel allemaal gehashed worden als je 100% veilig
wilt zijn. Kortom: de "niks mag, behalve"-benadering is voor grote
omgevingen niet te doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.