Whitelisting kan virusscanner niet vervangen
Anti-virus software heeft het moeilijk, niet alleen verschijnt er steeds meer malware, de meeste creaties van virusschrijvers weten virusscanners zolang er geen signature updates zijn te misleiden. Sommige beveiligers zoeken daarom hun heil in whitelisting, waarbij er van tevoren wordt bepaald welke programma's er uitgevoerd mogen worden, en men de rest blokkeert. Volgens virusbestrijders is deze techniek handig, maar kan die virusscanners niet overbodig maken.
Security.NL sprak met een panel van experts, te weten: Roel Schouwenberg, Senior Anti-Virus Researcher van Kaspersky Lab, Righard Zwienenberg, Chief Research Officer bij Norman, Marius van Oers, virusdeskundige van McAfee, Frank Mulder, Technical Support Manager van Panda Security, Rik Ferguson, Solutions Architect bij Trend Micro en Tom Welling, beveiligingsspecialist bij Symantec.
Return of the Macro
Bij Kaspersky Lab staan ze positief tegenover whitelisting, vorig jaar liet de Russische beveiliger al weten dat het het gebruik van whitelisting verder zou uitbreiden. "Toch is alleen whitelisting niet voldoende om tegen malware te beschermen," zegt Schouwenberg. Hij ziet het toestaan van alleen trusted applications als een extra beveiligingslaag. Een bijkomend pluspunt is dat het ook kan helpen om false positives te voorkomen. "Zaak is dan wel dat je er 100% zeker van moet kunnen zijn dat je trusted applications repository ook daadwerkelijk uit 100% clean files bestaat." Welling is het met hem eens. "whitelisting in combinatie met andere technologieën kan zeker voor een betere beveiliging zorgen."
In de theorie klinkt het gebruik van whitelisting mooi, er is echter een fundamenteel probleem. Het is namelijk onmogelijk elk Word, Excel of PDF bestand te whitelisten. "Het is dus goed mogelijk dat zodra whitelisting populair wordt, we weer meer Macro malware gaan zien. Als de payload goed is uitgewerkt, zal de whitelisting omzeild worden," waarschuwt Schouwenberg.
Menselijke factor
Net zoals met veel beveiligingsmaatregelen hangt of valt het met de implementatie. "Het is eigenlijk een goed en een slecht idee. Het is een goed idee met de goede implentatie. Maar helaas is de mens en zijn beslissingen een onderdeel van de implementatie," zegt Zwienenberg. Zelfs whitelisted applictaties worden geupdate en zijn dan veranderd. Natuurlijk, in het meest gunstige geval weet de gebruiker dat de bestanden geupdate zijn en kan hij ze dus vrij geven voor gebruik. Dit is volgens de onderzoeker van Norman lastiger dan het lijkt. "Denk bijvoorbeeld maar eens aan een Visual Basic applicatie. De Visual Basic Runtime modules worden geupdate, de gebruiker start APPLICATE.EXE. De meeste, zo niet alle, beveiligingssoftware zal aangegeven dat APPLICATIE.EXE is gewijzigd (doordat de runtime DLL wordt geladen die gewijzigd is) en of dat klopt. In Werkelijkheid is dus de runtime DLL geupdate, maar die melding zou voor paniek kunnen zorgen bij gebruikers die daar geen verstand van hebben. Die denken dan gelijk dat er een virus aan het werk is."
Toch is dat niet uit te sluiten, bijvoorbeeld bij een gerichte aanval zou malware kunnen wachten tot een bepaalde applicatie geupdate wordt om deze te infecteren en te veranderen. De gebruiker weet dat hij deze applicatie heeft geupdate en zal dan natuurlijk toestaan dat de applicatie wordt opgestart, ondanks de ongewenste verandering.
Ook Welling ziet problemen met de implementatie, waarbij gebruikers ervoor moeten zorgen dat de gebruikte whitelisting technologie zelf niet onderhevig is aan aanvallen waardoor men deze juist kan misbruiken om de beveiliging te omzeilen. "Men moet waken voor schijnveiligheid."
Onbeheersbaar
Daarnaast brengt whitelisting ook administratieve problemen mee, om de simpele reden dat er veel meer te whitelisten dan er ooit te blacklisten zal zijn. "Zo herkent onze collectieve intelligentie 13 miljoen goodware samples tegenover 3 miljoen malware samples," zegt Mulder. In het geval van alleen een update van Windows moeten elke keer enkele honderden veranderingen op de whitelist gezet worden. "Dat is moeilijk te beheren."
Van Oers ziet daarom alleen maar nut voor whitelisting in een goed controleerbare werkomgeving. "Aangezien het aantal malware items kleiner is dan het aantal goede applicaties is het voor de meeste werkomgevingen echter beter om ook malware detectie programma’s te blijven gebruiken." Zeker in grote omgevingen kan het gebruik van de technologie onbedoelde gevolgen hebben merkt Ferguson op. Hij doelt op het gebruik van nieuwe tools en software, die door whitelisting vaak niet snel en efficient zijn uit te rollen.
Dan is dit dus een soort database voor geïdentificeerde hackers.
http://www.flickr.com/groups/ra-pil/pool/
malware; reactief gedrag op random input met uitsluitend technische
middelen kan principieel nooit werken, dus virus scanners zijn uiteindelijk
kansloos.
De beheer(s)baarheid van een in essentie sociale infrastructuur wordt niet
bepaald door rekenkracht, bandbreedte en opslagcapaciteit, maar door
spelregels, en die kunnen uitstekend met technische middelen worden
ondersteund, en nooit worden afgedwongen.
Je moet sociale interacties niet via techniek willen regelen, maar gewenst
gedrag technisch kunnen ondersteunen.
oplossing tegen malware. Probleempje echter, de anti malware
industrie is veel te lucratief en veel te machtig. De meeste
security deskundigen verdienen ook hun boterham met
security, en MS, Apple en het Linux en *BSD ontwikkel volk
etc lopen vrolijk achter een al minimaal een decenium
achterhaald identity based access control idee aan. OLPC
laat met bitfrost zien wat de richting van de oplossing kan
zijn als er geen grote belangen meespelen zoals in de
desktop OS en anti malware markt.
Virus scanners, blacklist, whitelists etc zijn op z'n hoogst
lapmiddeltjes, de anti malware industrie niet meer of minder
dan de wevers uit het welbekende sprookje.
Er zijn voorbeelden genoeg dat least authority goed kan
werken en dat het 'usable security' levert. BitFrost,
CapDesk, Polaris, MinorFs, Plash, en dan natuurlijk nog de
language based voorbeelden zoals Joe-E en E.
Maar jam het maakt virus scanners volkomen onnodig, en dan
moeten die z.g.n. experts van hierboven toch opeens nog een
vak gaan leren :o)
en dan moeten die z.g.n. experts van hierboven toch opeens nog een
vak gaan leren :o)
Jij bent een van de weinigen die hier zo over denkt.
Deze "methode" (al heb ik grote moeite iets te ontdekken dat deze kwalificatie
waard is) blinkt vooral uit in vaagheid. Vaagheid, zo is mijn ervaring, betekent
altijd dat er iets verborgen moet worden, dus zonde van mijn tijd. Je kunt net
zo goed een verhaal ophangen over een 9/11 complot, ik luister al niet meer.
en dan moeten die z.g.n. experts van hierboven toch opeens
nog een
vak gaan leren :o)
Jij bent een van de weinigen die hier zo over denkt.
Deze "methode" (al heb ik grote moeite iets te
ontdekken dat deze kwalificatie
waard is) blinkt vooral uit in vaagheid.
Als je met vaagheid bedoeld dat least authority oplossingen
kunnen bouwen op meer dan 4 decenia aan capability security
theorie die, omdat je de formele scholing ontbeert, niet
goed begrijpt, dan heb je helemaal gelijk :-)
Kijk voor de lol eens naar Capdesk of Bitfrost OLPC) en doe
eens echt je best om te begrijpen hoe die oplossingen
malware tegen gaan. Als je begrijpt hoe dit soort systemen
omgaan met rechten, en je vervolgens kijkt hoe Linux, MS ,
Apple en *BSD omgaan met rechten en hoe virusscanners
zogenaamd proberen hier iets aan te doen, dan zul je ook
moeten inzien dat virusscanners
alleen een oplossing zijn voor compliancy, maar het systeem
niet op een substantiele manier verhogen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.