Computerbeveiliging - Hoe je bad guys buiten de deur houdt

"Minder rechten is niet meer veiligheid"

12-09-2008, 12:28 door Redactie, 11 reacties

Met Vista kreeg het grote publiek voor het eerst te maken hoe het is om met minder rechten te opereren. Het grootste voordeel is dat software niet de onderliggende kernel en systeembestanden kan aanpassen, wat schade door malware beperkt. Ontwikkelaars worden daarom gedwongen om applicaties te ontwikkelen die zonder administrator rechten werken, zoals bijvoorbeeld Google Chrome dat door gebruikers met verminderde rechten (Limited User Account) is te installeren. Dit betekent dat dit soort LUA-gebruikers steeds meer, mogelijk ongeautoriseerde programma's, waaronder malware, kunnen installeren.

Voor malware maakt het niet uit of het alleen de sessie van de gebruiker of het hele systeem infecteert, met name bij mensen die de enige gebruiker op het systeem zijn. LUA-malware kan bijna alles doen wat normale malware kan, zoals het stelen van wachtwoorden en andere vertrouwelijke informatie. Het is dan ook de vraag of LUA daadwerkelijk voor minder malware zal zorgen en of het voor systeembeheerders lastiger wordt om installatie van ongewenste applicaties op het bedrijfsnetwerk te voorkomen. Volgens Robert Grimes zal het in ieder geval geen invloed op malware hebben. En dan kun je je natuurlijk afvragen waarom velen LUA als wondermiddel blijven zien.

Reacties (11)
12-09-2008, 13:08 door SirDice
Tegen sommige malware helpt het (BHO's en rootkits bijv.) maar wormen als NetSky en MyDoom werken nog net zo goed (met 2 triviale aanpassingen).
12-09-2008, 14:09 door spatieman
Mijn idee..
12-09-2008, 14:58 door Anoniem
Minder rechten is geen totaal oplossing maar een maatregel naast de andere.

Iedereen weet dat 1 schil niet voldoende is.

Het is een gegeven dat elke + weer een - heeft.
12-09-2008, 15:49 door rob
Het gaat om de integriteit van het operating system.. Als een gewone gebruiker malware binnenkrijgt, kan deze in principe geen enge kernel wijzigingen maken. Oftewel tools om processen mee te bekijken enzo zijn dan nog integer.
Maakt het werk voor anti-virus een stuk gemakkelijker en betrouwbaarder. Malware is gemakkelijker te verwijderen...
Maar ter voorkoming dat schadelijke code wordt uitgevoerd is natuurlijk nooit geen doelstelling. Daarom ook een beetje een raar zeggen '... voor minder malware zal zorgen ...' - wie heeft er ooit gesuggeert dat dit voor minder malware zal zorgen?
Iedereen die het basis idee begrijpt weet dat het hier alleen de mogelijkheden voor malware om het besturingssysteem te infecteren, beperkt, en de integriteit van het systeem beter waarborgt.
Bijv. als er twee gebruikers zitten op het systeem, kan de enige gebruiker malware-infected zijn, maar de ander hoeft daar geen last van te hebben :)...

Dus blijft de vraag, wat is het *nieuws* in dit artikel?
12-09-2008, 16:44 door SirDice
Door robwat is het *nieuws* in dit artikel?
Het is een forum item ;)
12-09-2008, 19:34 door Anoniem
Voor mijzelf als XP gebruiker is een beperkt account geen optie. Ik moet te vaak software updaten, instellingen wijzigen om het praktisch te maken.

Voor mijn ouders is het wel zeer praktisch (ook XP). Ze hoeven maar een paar programma's te kunnen gebruiken en het updaten doe ik voor ze als ik er ben. Ook daar heb ik een admin account (maar ik doe verder niets op die computer dan updaten, scannen, schijfcontrole e.d.).

Ik moet zeggen dat er nog nooit iets mis is gegaan bij hun en het systeem draait daar al jaren. Geen infecties die ik heb kunnen detecteren.

En of Vista beter is.. Internet Explorer draait nog steeds met root rechten neem ik aan? Vraag beantwoord.
13-09-2008, 20:20 door Anoniem
Door AnoniemVoor mijzelf als XP gebruiker is een beperkt account geen optie. Ik moet te vaak software updaten, instellingen wijzigen om het praktisch te maken.

Voor mijn ouders is het wel zeer praktisch (ook XP). Ze hoeven maar een paar programma's te kunnen gebruiken en het updaten doe ik voor ze als ik er ben. Ook daar heb ik een admin account (maar ik doe verder niets op die computer dan updaten, scannen, schijfcontrole e.d.).

Ik moet zeggen dat er nog nooit iets mis is gegaan bij hun en het systeem draait daar al jaren. Geen infecties die ik heb kunnen detecteren.

En of Vista beter is.. Internet Explorer draait nog steeds met root rechten neem ik aan? Vraag beantwoord.
of vista beter is weet ik niet, maar ik kan wel zeggen dat ik niet veel vista computers zie met virussen, ze zijn er wel maar momenteel zie ik toch de meeste en meest agressieve troep voornamelijk XP te grazen nemen...

of dit komt van een betere beveiliging, puur marktaandeel, of minder interessant voor hackers weet ik niet, het marktaandeel xp is nog steeds overduidelijk de meerderheid, wat ook vast meetelt...
13-09-2008, 23:44 door Anoniem
Een pessimist zou zeggen dat dat komt omdat er nog weinig programmeurs zijn voor Vista.
http://www.computable.nl/artikel/ict_topics/besturingssystemen/2554072/1277048/programmeurs-bannen-vista.html
Malware schrijvers zijn immers ook een soort programmeurs, hoewel niemand echt beter wordt van hun code :-(
14-09-2008, 08:52 door Anoniem
Disclaimer: ik heb geen ervaring met Vista, toen ik nog wel Windows XP draaide was dit altijd onder een gewone user account. Tegenwoordig werk ik alleen nog onder GNU/Linux, dus mijn ervaring komt vooral uit die kant.

Door robHet gaat om de integriteit van het operating system.. Als een gewone gebruiker malware binnenkrijgt, kan deze in principe geen enge kernel wijzigingen maken.[/i]

Behalve dan door het gebruik van local-user exploits wat kan leiden tot privilege escalation. Het punt dat je maakt m.b.t. de integriteit van het besturingssysteem komt overigens ook in het artikel naar voren: "The biggest security benefit of LUA is that software installing and running in a LUA context has a harder time modifying or corrupting the underlying OS's kernel and system files."

Door robDus blijft de vraag, wat is het *nieuws* in dit artikel?

De waarde van dit artikel zie ik in het starten van een discussie over de toegevoegde waarde van het achterliggende concept en de implementatie van LUA. Het is een stap in de goede richting, maar als ik het goed begrijp (zo is het i.i.g. standaard onder GNU/Linux) blijft het zo dat een vijandig proces (e.g. malware) draait met de volledige rechten van de desbetreffende gebruiker en daardoor allerlei niet gewenste handelingen kan uitvoeren.

Dus de integriteit van het besturingssysteem is (waarschijnlijk) niet aangetast, maar ondertussen heeft dit proces wel toegang tot al je persoonlijke bestanden (zelfs om te verwijderen), kan het verbindingen naar buiten toe opzetten (a la botnet) en wat niet.

Waar ik zelf op uit kijk is sandboxing van individuele processen en gemakkelijk te configureren mandatory access control (e.g. SELinux). Least-Privileged Processes so to speak. Zo zou ik standaard graag willen configureren dat Firefox standaard geen enkel toegang heeft tot bestanden in mijn /home directory buiten de .mozilla/firefox folder (uitgesloten systeem libraries e.d.).

- Anonymous Coward
14-09-2008, 19:23 door Anoniem
Een 'domme' gebruiker heeft een handig programma gedownload dat onbekende malware bevat. Bij het starten probeert de malware middels een eigen engine spam te versturen naar alle adressen in het adresboek van de gebruiker. De firewall ziet dat een onbekend programma een netwerkverbinding wil openen, en vraagt de gebruiker om toestemming.
De malware draait met dezelfde rechten als de gebruiker. Maakt het voor de beveiliging verschil of de malware met deze rechten ook de firewall en/of virus-scanner mag uitschakelen? Draagt het scheiden van taken en rechten dan bij aan beveiliging? Het gaat niet alleen om het overschrijven van systeembestanden, maar ook om toegang tot draaiende processen.
15-09-2008, 13:12 door Anoniem
Een virusscanner als Avast is niet uit te schakelen door wat dan ook op een Windows XP/Vista computer (probeer maar met versie 4.8). Dat ze daarbij technieken gebruiken die ook in rootkits en trojans e.d. gevonden kunnen worden is licht zorgwekkend.

(P.S. Ik heb dit nog niet met Process Explorer van sysinternals geprobeerd maar ik neem aan dat die het ook niet lukt Avast uit te schakelen, dit kon vroeger wel!)

Alles na Windows NT is gewoon slecht doordacht en ontworpen door Microsoft. Maar voor de problemen die dat nog steeds veroorzaakt worden steeds meer oplossingen gevonden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.