Expert ontwikkelt sandbox voor Windows Defender
Windowsexpert Andy Ying heeft een sandbox voor Windows Defender ontwikkeld, aangezien Microsoft dit nog niet heeft gedaan. Een sandbox is een zeer belangrijke beveiligingsmaatregel en voorkomt dat een aanvaller, als een applicatie wordt gehackt, meteen toegang tot het onderliggende systeem krijgt.
Windows Defender is als standaard virusscanner van Windows 8.1 en Windows 10 diep in het besturingssysteem genesteld en heeft uitgebreide toegang en rechten. In het geval van een beveiligingslek is dit een probleem, aangezien een aanvaller deze rechten kan gebruiken om vergaande controle over het systeem te krijgen. In mei van dit jaar werd er een dergelijke ernstige kwetsbaarheid ontdekt. Een aanvaller had door alleen een e-mail te versturen, zonder dat die door de gebruiker werd geopend, Windowscomputers met Windows Defender volledig kunnen overnemen. Een sandbox fungeert in dit geval als een extra beveiligingslaag.
In tegenstelling tot bijvoorbeeld Edge is Windows Defender niet door Microsoft van een sandbox voorzien. Als proof-of-concept heeft Ying nu met de Rust-programmeertaal een sandbox ontwikkeld en de code onder de naam "Flying Sandbox Monster" open source gemaakt. Ying is werkzaam voor securitybedrijf Trail of Bits. Zijn collega Dan Guido laat in de blogpost over de sandbox weten dat die door eindgebruikers en organisaties te gebruiken is. Microsofts Matt Miller meldt via Twitter dat het Windows Defender-team met de ontwikkeling van een sandbox bezig is. Wanneer die gereed zal zijn is onbekend. Volgens Miller is de ontwikkeling een 'complexe taak'.
Ze willen zelfs als een MITM internetverkeer afhandelen. Daarmee is een sandbox concept strijdig.
Je moet de gebruikersprocessen sandboxen dat die niet overal bij kunnen. Je zou internet moeten herontwerpen zodat elke bron volledige gescheiden blijft van andere stromen. Nu blijft het broddelplakwerk hoe leuk het ook gebracht wordt.
De sandbox kan niet snel genoeg komen!
Als ik het goed begrijp gaat het hier niet over de beschermingsgraad (Defender komt de laatste tijd goed uit de diverse testen) maar om het feit dat Defender zo diep in het systeem zit genesteld dat dat een groot risico oplevert wanneer er een lek in Defender zou zitten? Komt het daar simpelweg op neer?
Is dat zo'n groot verschil dan met antivirus software van derden, zoals bijvoorbeeld Eset, Avira e.d. Zijn die dan minder diep in het systeem genesteld, of zijn die simpelweg beter beveieligd?
Zou fijn zijn als iemand mij (en de andere lezers natuurlijk) dit eens duidelijk zo kunnen uitelggen. Bottomline: is Defender gevaarlijk in het gebruik dan antivirus van derden?
Bedankt!
Ze willen zelfs als een MITM internetverkeer afhandelen. Daarmee is een sandbox concept strijdig.
Je moet de gebruikersprocessen sandboxen dat die niet overal bij kunnen. Je zou internet moeten herontwerpen zodat elke bron volledige gescheiden blijft van andere stromen. Nu blijft het broddelplakwerk hoe leuk het ook gebracht wordt.
je bedoelt Qube OS
Als ik het goed begrijp gaat het hier niet over de beschermingsgraad (Defender komt de laatste tijd goed uit de diverse testen) maar om het feit dat Defender zo diep in het systeem zit genesteld dat dat een groot risico oplevert wanneer er een lek in Defender zou zitten? Komt het daar simpelweg op neer?
Is dat zo'n groot verschil dan met antivirus software van derden, zoals bijvoorbeeld Eset, Avira e.d. Zijn die dan minder diep in het systeem genesteld, of zijn die simpelweg beter beveieligd?
Zou fijn zijn als iemand mij (en de andere lezers natuurlijk) dit eens duidelijk zo kunnen uitelggen. Bottomline: is Defender gevaarlijk in het gebruik dan antivirus van derden?
Bedankt!
Alle anti-malware oplossingen moeten diep in het systeem zitten, anders kan malware te makkelijk de boel omzeilen. Serieuze anti-malware heeft bijvoorbeeld ook een module om tijdens het Secure Boot proces te kunnen draaien, veel dieper kan een proces niet draaien.
En dat is lastig, want dat maakt anti-malware moeilijk om te maken (hoe dieper in het systeem, hoe makkelijker om bijvoorbeeld de prestaties negatief te beinvloeden) en het maakt anti-malware heel aantrekkelijk als doelwit voor criminelen.
Dat is de afgelopen tijd goed te zien geweest, eerder dit jaar zijn er kwetsbaarheden in diverse anti-malware produkten gevonden (Defender, McAfee, TrendMicro, ESET, Kaspersky, etc). En daar gaan we er ongetwijfeld nog meer van zien.
Alle serieuze anti-malware oplossingen gebruiken al sandbox-technieken, ook Defender. Maar het is geen simpel schilletje dat 'even' om een enkel proces gezet wordt. Anti-malware bestaat uit een complex van samenwerkende processen, sommige delen draaien al wel in een sandbox, andere nog niet.
Zou fijn zijn als iemand mij (en de andere lezers natuurlijk) dit eens duidelijk zo kunnen uitelggen. Bottomline: is Defender gevaarlijk in het gebruik dan antivirus van derden?
Bedankt!
Als je echt iets wil weten over anti virus producten en hoe deze werken lees dan eens :
The Antivirus Hacker's Handbook... The vinden op Amazon en vast ook nog wel op andere plekken...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
