Microsoft heeft in Windows 8 verschillende maatregelen toegevoegd die malware moeten voorkomen, maar sommige maatregelen maken gebruikers niet veiliger, terwijl ze anti-virusbedrijven hinderen. Dat laat het Russische anti-virusbedrijf Kaspersky Lab tegenover Security.nl weten. Windows 8 beschikt over Early launch antimalware (ELAM) en Measured Boot.

Beide maatregelen moeten diep genestelde rootkits voorkomen. "Het detecteren van malware die in het begin van de opstartcyclus wordt geladen is een uitdaging voor de meeste anti-virusfabrikanten", stelt Microsoft. In de meeste gevallen grijpen de virusbestrijder terug naar "systeemhacks" die niet door Windows worden ondersteund. "En ervoor kunnen zorgen dat de computer in een instabiele staat terechtkomt", aldus Microsoft.

Virusscanner
Windows zou anti-virusbedrijven nooit een goede manier hebben geboden om de rootkits die tijdens het opstarten worden geladen te detecteren. In Windows 8 laadt het besturingssysteem de Early Launch Anti-malware (ELAM) driver. Deze driver start voor andere 'boot-start' drivers en zorgt ervoor dat deze drivers zijn te analyseren, waarna de Windows-kernel bepaalt of ze ook daadwerkelijk gestart worden. In het geval van een driver waar door malware mee geknoeid is, kan Windows die overslaan of aanpassen.

De Measured Boot feature biedt anti-virusbedrijven een betrouwbare log van alle bootonderdelen die voor het starten van de virusscanner zijn geladen. Deze log zou niet zijn te vervalsen of te manipuleren, stelt Microsoft. Vervolgens kan de virusscanner met de loggegevens bepalen of de onderdelen die eerder werden gestart wel zijn te vertrouwen of dat ze besmet zijn met malware. Zo kan de virusscanner het logbestand naar een remote server sturen om te laten controleren en aan de hand van deze controle verdere stappen nemen.

PatchGuard
"Measured boot is effecienter wat betreft veiligheid", laat Kaspersky weten. "Aan de andere kant beperkt het de vrijheid van gebruikers om applicaties te installeren." De virusbestrijder weet nog niet hoe lang de nieuwe maatregelen het zullen uithouden. "Er is en zal altijd een gevecht tussen cybercriminelen en beveiligingsbedrijven zijn. Het is een wapenwedloop wat betreft beveiligingstechnologie en het omzeilen ervan."

De virusbestrijder is zeer te spreken over nieuwe technologieën van Microsoft zoals ELAM. "Daardoor kunnen wij onze gebruikers beter beschermen." Toch zijn er ook minpunten, die ook bij voorgaande Windows-versies de kop opstaken. Het gaat dan onder andere om PatchGuard, de kernelbeveiliging van Microsoft die het voor het eerst in de 64-bit versie van Windows XP introduceerde en destijds op grote weerstand van anti-virusbedrijven stuitte.

PatchGuard voorkomt dat software de kernel aanpast, omdat dit de stabiliteit en betrouwbaarheid van het systeem zou ondermijnen. Anti-virusbedrijven willen dit juist doen om het systeem tegen malware te beschermen.

Uiteindelijk verstrekte Microsoft, mede onder druk van de Europese Unie die zich over oneerlijke concurrentie zorgen maakte, de API's en documenten waarmee beveiligingsbedrijven PatchGuard konden omzeilen.

Kritiek
Eerder dit jaar klaagden verschillende beveiligingsleveranciers dat de nieuwe PatchGuard van Windows 8 bepaalde maatregelen blokkeerde, waardoor de beveiligingssoftware niet efficient kan werken. Daarnaast publiceerde McAfee ook onderzoek waarin het liet zien hoe het PatchGuard, onder andere in Windows 8, had gekraakt.

Kaspersky herkent de kritiek. "Soms doen zich bij de samenwerking met Microsoft ook problemen voor, zoals met de nieuwe PatchGuard technologie. In Windows 8 introduceert die bepaalde beperkingen voor legitieme softwareontwikkelaars, maar biedt geen grote voordelen in het beschermen van gebruikers tegen kwaadaardige programma's."

Hoewel Windows 8 op 26 oktober verschijnt lijken sommige anti-virusbedrijven hun zaakjes nog niet op orde te hebben. Het Oostenrijkse AV-Comparatives testte verschillende anti-virusproducten op stabiliteit, werking en functionaliteit op het nieuwe besturingssysteem. Verschillenden bekenden namen als AVIRA, Norman, PC Tools, Symantec en Sophos ontbreken op de lijst van gecertificeerde producten.