Anti-virus software heeft het moeilijk, niet alleen verschijnt er steeds meer malware, de meeste creaties van virusschrijvers weten virusscanners zolang er geen signature updates zijn te misleiden. Sommige beveiligers zoeken daarom hun heil in whitelisting, waarbij er van tevoren wordt bepaald welke programma's er uitgevoerd mogen worden, en men de rest blokkeert. Volgens virusbestrijders is deze techniek handig, maar kan die virusscanners niet overbodig maken.

Security.NL sprak met een panel van experts, te weten: Roel Schouwenberg, Senior Anti-Virus Researcher van Kaspersky Lab, Righard Zwienenberg, Chief Research Officer bij Norman, Marius van Oers, virusdeskundige van McAfee, Frank Mulder, Technical Support Manager van Panda Security, Rik Ferguson, Solutions Architect bij Trend Micro en Tom Welling, beveiligingsspecialist bij Symantec.

Return of the Macro

Bij Kaspersky Lab staan ze positief tegenover whitelisting, vorig jaar liet de Russische beveiliger al weten dat het het gebruik van whitelisting verder zou uitbreiden. "Toch is alleen whitelisting niet voldoende om tegen malware te beschermen," zegt Schouwenberg. Hij ziet het toestaan van alleen trusted applications als een extra beveiligingslaag. Een bijkomend pluspunt is dat het ook kan helpen om false positives te voorkomen. "Zaak is dan wel dat je er 100% zeker van moet kunnen zijn dat je trusted applications repository ook daadwerkelijk uit 100% clean files bestaat." Welling is het met hem eens. "whitelisting in combinatie met andere technologieën kan zeker voor een betere beveiliging zorgen."

In de theorie klinkt het gebruik van whitelisting mooi, er is echter een fundamenteel probleem. Het is namelijk onmogelijk elk Word, Excel of PDF bestand te whitelisten. "Het is dus goed mogelijk dat zodra whitelisting populair wordt, we weer meer Macro malware gaan zien. Als de payload goed is uitgewerkt, zal de whitelisting omzeild worden," waarschuwt Schouwenberg.

Menselijke factor

Net zoals met veel beveiligingsmaatregelen hangt of valt het met de implementatie. "Het is eigenlijk een goed en een slecht idee. Het is een goed idee met de goede implentatie. Maar helaas is de mens en zijn beslissingen een onderdeel van de implementatie," zegt Zwienenberg. Zelfs whitelisted applictaties worden geupdate en zijn dan veranderd. Natuurlijk, in het meest gunstige geval weet de gebruiker dat de bestanden geupdate zijn en kan hij ze dus vrij geven voor gebruik. Dit is volgens de onderzoeker van Norman lastiger dan het lijkt. "Denk bijvoorbeeld maar eens aan een Visual Basic applicatie. De Visual Basic Runtime modules worden geupdate, de gebruiker start APPLICATE.EXE. De meeste, zo niet alle, beveiligingssoftware zal aangegeven dat APPLICATIE.EXE is gewijzigd (doordat de runtime DLL wordt geladen die gewijzigd is) en of dat klopt. In Werkelijkheid is dus de runtime DLL geupdate, maar die melding zou voor paniek kunnen zorgen bij gebruikers die daar geen verstand van hebben. Die denken dan gelijk dat er een virus aan het werk is."

Toch is dat niet uit te sluiten, bijvoorbeeld bij een gerichte aanval zou malware kunnen wachten tot een bepaalde applicatie geupdate wordt om deze te infecteren en te veranderen. De gebruiker weet dat hij deze applicatie heeft geupdate en zal dan natuurlijk toestaan dat de applicatie wordt opgestart, ondanks de ongewenste verandering.

Ook Welling ziet problemen met de implementatie, waarbij gebruikers ervoor moeten zorgen dat de gebruikte whitelisting technologie zelf niet onderhevig is aan aanvallen waardoor men deze juist kan misbruiken om de beveiliging te omzeilen. "Men moet waken voor schijnveiligheid."

Onbeheersbaar

Daarnaast brengt whitelisting ook administratieve problemen mee, om de simpele reden dat er veel meer te whitelisten dan er ooit te blacklisten zal zijn. "Zo herkent onze collectieve intelligentie 13 miljoen goodware samples tegenover 3 miljoen malware samples," zegt Mulder. In het geval van alleen een update van Windows moeten elke keer enkele honderden veranderingen op de whitelist gezet worden. "Dat is moeilijk te beheren."

Van Oers ziet daarom alleen maar nut voor whitelisting in een goed controleerbare werkomgeving. "Aangezien het aantal malware items kleiner is dan het aantal goede applicaties is het voor de meeste werkomgevingen echter beter om ook malware detectie programma’s te blijven gebruiken." Zeker in grote omgevingen kan het gebruik van de technologie onbedoelde gevolgen hebben merkt Ferguson op. Hij doelt op het gebruik van nieuwe tools en software, die door whitelisting vaak niet snel en efficient zijn uit te rollen.