"In 2010 gebruiken alle computers whitelisting"
Binnen twee jaar zullen bijna alle computers een of andere vorm van whitelisting gebruiken om het systeem te beschermen, zo voorspelt een aanbieder van whitelisting oplossingen. Steeds meer virusbestrijders zien whitelisting als een aanvulling op hun beveiligingsmodel. Inmiddels zijn Symantec, McAfee en Microsoft allemaal van plan het te gebruiken en kondigde laatst Kaspersky Lab aan dat het de Global Software Registry database van gewhiteliste applicaties gebruikt.
De keuze voor whitelisting wordt veroorzaakt door steeds complexere malware, de uitbreiding van botnets en het grote aantal data-incidenten waardoor het standaard blacklisten van dreigingen niet meer voldoende is. Met whitelisting, waarvan het concept uit het mainframe-tijdperk dateert, mogen alleen goedgekeurde en geautoriseerde applicaties op het systeem draaien. Volgens Tom Murphy van Bit9 zal het nut van blacklisting steeds verder afnemen nu meer en meer machines whitelisting toepassen.
Critici hebben grote bezwaren als het om whitelisting gaat. "Het werkt zolang de machine niet op het internet is aangesloten en als je een gold CD erop geïnstalleerd hebt," zegt Greg Hoglund, CEO van HBGary, een bedrijf dat een alternatief voor black- en whitelisting aanbiedt. Hoglund laat weten dat desktops via bijlagen en browser exploits besmet raken. "Malware voor browser plug-ins is bijvoorbeeld niet eenvoudig te detecteren en verbergt z'n processen vaak in het geheugen. Als een aanvaller de computer aanvalt kan hij het proces kiezen dat is gewhitelist en dan een thread of DLL injecteren. Dan zit de malware in het proces dat op de whitelist staat."
Veel expert verwachten dan ook niet dat whitelisting blacklisting zal vervangen, ook niet in de ouderwetse vorm waarbij kantoorpersoneel helemaal niets mag installeren of uitvoeren. "Geen browser-plugins, gadgets etc. Dat is voor de meeste ondernemingen onrealistisch, omdat die hun gebruikers allemaal wel iets laten installeren," merkt Gartner analist John Pescatore op.
in 2004 al er geen spam meer bestaan ????
wat zij Bill Gates nog eens??
in 2004 al er geen spam meer bestaan ????
Knap hoor.
Volgens mij hebben sommige bedrijven niet door hoe
belachelijk hun marketing afdeling bezig is.
eenvoudig te detecteren en verbergt z'n processen vaak in
het geheugen. Als een aanvaller de computer aanvalt kan hij
het proces kiezen dat is gewhitelist en dan een thread of
DLL injecteren. Dan zit de malware in het proces dat op de
whitelist staat."
Beetje kort door de bocht natuurlijk. Je kunt het voor
injecteren al beoordelen of het een known good/bad is. En
anders kun je van elk proces de geladen modules en handles
opvragen en dan komt het ook gewoon terug; dan kun je de
hash aanvragen en kijken of het op de black/whitelist voorkomt.
En anders kun je de schijf via de MFT (of buiten de Windows
APIs om) raadplegen en zo snel een bestand beoordelen. Maar
voor andere doeleinden is het niet geschikt. Want er is ook
malware dat de hash van een ander (whitelisted) bestand
teruggeeft om zo detectie te voorkomen (rootkit-achtig
behavior).
Je kunt beter bestanden beoordelen op gedrag. Malware
kopieert zich vaak naar een systeemgebied, injecteert zich
in andere toepassingen, verstopt zich, is vaak expres
ontoegankelijk of niet te kopieren, is vaak gecomprimeerd of
versleuteld, is niet of moeilijk te verwijderen en vaak is
het onbekend hoe het op 't systeem is gekomen. Er is ook
vaak geen uninstaller voor (de gebruiker kan het niet
eenvoudig verwijderen), er is geen interactie met de
gebruiker of het loopt excessief met onbekende smtp servers
te communiceren die niet in de mailprogramma's van de
gebruiker zijn geconfigureerd. Naja, om maar een paar
voorbeelden te noemen. Er zijn nog legio andere zaken waarop
je een bestand kunt beoordelen.
wat zij Bill Gates nog eens??
in 2004 al er geen spam meer bestaan ????
drie in 14 woorden.
Knap hoor.
Ondanks de spelfouten, is zijn bericht interessanter dan dat
van jou!
schoolmeester wellicht?
denkt dat hij alles beter weet.
een site kan zomaar gehackt zijn en malware proberen te
verspreiden, terwijl de site nog in de wittelijst staat. En
dan kan je er onterecht wel of niet op.
Of je komt via een link opeens op een nieuwe site die nog
niet op
een lijst staat. Wat dan? Wat een onzin zeg! Het kenmerk van
de hele antivirus-industrie is symptoombestrijding. Men
bedenkt allerlei moeilijke maatregelen om het eigenlijke
probleem heen. Er is veel verschil in de mate waarin
verschillende systemen vatbaar zijn voor malware. De
antivirus-industrie wil draconische maatregelen nemen, die
er op gericht zijn ook met een zeer onveilig systeem te
kunnen internetten. Maar zoals je met een mazda 121 geen
Paris-Dakar moet willen rijden, moet je met een
uit-de-doos-windoos niet het internet op willen. Dat weet
zelfs elke middelbare scholier met puisten inmiddels.
Nomen, misschien kan je je beter beperken tot (opbouwende)
taalkritiek want inhoudelijk heb je nog weinig interessants
laten zien.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
