Wie vertrouwelijke gegevens echt wil beschermen, moet ervoor zorgen dat de machine in kwestie niet aan het internet hangt. Dat zegt de Belgische beveiligingsexpert Didier Stevens. Stevens ontwikkelde een "info stealer" die inloggegevens van systemen steelt. "Info stealers vereisen geen adminrechten om hun taak uit te voeren, en zijn zo te ontwerpen dat ze virusscanners, HIPS, DLP en andere beveiligingssoftware kunnen omzeilen."

Lastig
Als proof-of-concept maakte de Belg een PDF bestand dat een bekend lek in Adobe Reader misbruikt en een DLL-bestand in het geheugen laadt. Op deze manier wordt er niets naar de harde schijf geschreven (op de PDF na), wat detectie door virusscanners bemoeilijkt. Het DLL-bestand zoekt in de Mijn Documenten map naar een bepaald bestand, om dat vervolgens naar een website te uploaden. Volgens Stevens is het lastig om info stealers te stoppen. Windows is zo ontworpen dat het processen van de gebruiker onbeperkte toegang tot de gegevens van de gebruiker geeft.

Pas sinds Windows Vista en Windows Integrity Control is het mogelijk om een proces een lager niveau dan gebruikersgegevens te geven, waardoor applicaties er geen toegang toe krijgen. Toch is deze oplossing niet waterdicht. Een voor Excel ontwikkelde info stealer die een macro of beveiligingslek gebruikt, heeft nog steeds toegang tot andere Excel-bestanden.

Praktisch
Ook het tegengaan van datalekkage is niet eenvoudig, aangezien een systeembeheerder niet alle websites kan blokkeren. "Om vertrouwelijke gegevens te beschermen, moeten systemen met internettoegang er geen toegang toe krijgen." Stevens erkent dat dit niet praktisch is, maar wel betrouwbaar. "Of gebruik sterke encryptie met sterke wachtwoorden. De info stealer heeft het dan extra lastig om de wachtwoorden te stelen." De expert weet dat het geen voor de hand liggend advies is. "Maar het is niet eenvoudig om gegevens op Windows tegen goed ontwikkelde info stealers te beschermen."