Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
"Minder rechten is niet meer veiligheid"
Met Vista kreeg het grote publiek voor het eerst te maken hoe het is om met minder rechten te opereren. Het grootste voordeel is dat software niet de onderliggende kernel en systeembestanden kan aanpassen, wat schade door malware beperkt. Ontwikkelaars worden daarom gedwongen om applicaties te ontwikkelen die zonder administrator rechten werken, zoals bijvoorbeeld Google Chrome dat door gebruikers met verminderde rechten (Limited User Account) is te installeren. Dit betekent dat dit soort LUA-gebruikers steeds meer, mogelijk ongeautoriseerde programma's, waaronder malware, kunnen installeren.
Voor malware maakt het niet uit of het alleen de sessie van de gebruiker of het hele systeem infecteert, met name bij mensen die de enige gebruiker op het systeem zijn. LUA-malware kan bijna alles doen wat normale malware kan, zoals het stelen van wachtwoorden en andere vertrouwelijke informatie. Het is dan ook de vraag of LUA daadwerkelijk voor minder malware zal zorgen en of het voor systeembeheerders lastiger wordt om installatie van ongewenste applicaties op het bedrijfsnetwerk te voorkomen. Volgens Robert Grimes zal het in ieder geval geen invloed op malware hebben. En dan kun je je natuurlijk afvragen waarom velen LUA als wondermiddel blijven zien.
Reacties (11)
12-09-2008, 13:08 door
SirDice
Tegen sommige malware helpt het (BHO's en rootkits bijv.) maar wormen als NetSky en MyDoom werken nog net zo goed (met 2 triviale aanpassingen).
12-09-2008, 14:09 door
spatieman
Mijn idee..
Minder rechten is geen totaal oplossing maar een maatregel naast de andere.
Iedereen weet dat 1 schil niet voldoende is.
Het is een gegeven dat elke + weer een - heeft.
Iedereen weet dat 1 schil niet voldoende is.
Het is een gegeven dat elke + weer een - heeft.
12-09-2008, 15:49 door
rob
Het gaat om de integriteit van het operating system.. Als een gewone gebruiker malware binnenkrijgt, kan deze in principe geen enge kernel wijzigingen maken. Oftewel tools om processen mee te bekijken enzo zijn dan nog integer.
Maakt het werk voor anti-virus een stuk gemakkelijker en betrouwbaarder. Malware is gemakkelijker te verwijderen...
Maar ter voorkoming dat schadelijke code wordt uitgevoerd is natuurlijk nooit geen doelstelling. Daarom ook een beetje een raar zeggen '... voor minder malware zal zorgen ...' - wie heeft er ooit gesuggeert dat dit voor minder malware zal zorgen?
Iedereen die het basis idee begrijpt weet dat het hier alleen de mogelijkheden voor malware om het besturingssysteem te infecteren, beperkt, en de integriteit van het systeem beter waarborgt.
Bijv. als er twee gebruikers zitten op het systeem, kan de enige gebruiker malware-infected zijn, maar de ander hoeft daar geen last van te hebben :)...
Dus blijft de vraag, wat is het *nieuws* in dit artikel?
Maakt het werk voor anti-virus een stuk gemakkelijker en betrouwbaarder. Malware is gemakkelijker te verwijderen...
Maar ter voorkoming dat schadelijke code wordt uitgevoerd is natuurlijk nooit geen doelstelling. Daarom ook een beetje een raar zeggen '... voor minder malware zal zorgen ...' - wie heeft er ooit gesuggeert dat dit voor minder malware zal zorgen?
Iedereen die het basis idee begrijpt weet dat het hier alleen de mogelijkheden voor malware om het besturingssysteem te infecteren, beperkt, en de integriteit van het systeem beter waarborgt.
Bijv. als er twee gebruikers zitten op het systeem, kan de enige gebruiker malware-infected zijn, maar de ander hoeft daar geen last van te hebben :)...
Dus blijft de vraag, wat is het *nieuws* in dit artikel?
12-09-2008, 16:44 door
SirDice
Door robwat is het *nieuws* in dit artikel?
Het is een forum item ;)Voor mijzelf als XP gebruiker is een beperkt account geen optie. Ik moet te vaak software updaten, instellingen wijzigen om het praktisch te maken.
Voor mijn ouders is het wel zeer praktisch (ook XP). Ze hoeven maar een paar programma's te kunnen gebruiken en het updaten doe ik voor ze als ik er ben. Ook daar heb ik een admin account (maar ik doe verder niets op die computer dan updaten, scannen, schijfcontrole e.d.).
Ik moet zeggen dat er nog nooit iets mis is gegaan bij hun en het systeem draait daar al jaren. Geen infecties die ik heb kunnen detecteren.
En of Vista beter is.. Internet Explorer draait nog steeds met root rechten neem ik aan? Vraag beantwoord.
Voor mijn ouders is het wel zeer praktisch (ook XP). Ze hoeven maar een paar programma's te kunnen gebruiken en het updaten doe ik voor ze als ik er ben. Ook daar heb ik een admin account (maar ik doe verder niets op die computer dan updaten, scannen, schijfcontrole e.d.).
Ik moet zeggen dat er nog nooit iets mis is gegaan bij hun en het systeem draait daar al jaren. Geen infecties die ik heb kunnen detecteren.
En of Vista beter is.. Internet Explorer draait nog steeds met root rechten neem ik aan? Vraag beantwoord.
Door AnoniemVoor mijzelf als XP gebruiker is een beperkt account geen optie. Ik moet te vaak software updaten, instellingen wijzigen om het praktisch te maken.
Voor mijn ouders is het wel zeer praktisch (ook XP). Ze hoeven maar een paar programma's te kunnen gebruiken en het updaten doe ik voor ze als ik er ben. Ook daar heb ik een admin account (maar ik doe verder niets op die computer dan updaten, scannen, schijfcontrole e.d.).
Ik moet zeggen dat er nog nooit iets mis is gegaan bij hun en het systeem draait daar al jaren. Geen infecties die ik heb kunnen detecteren.
En of Vista beter is.. Internet Explorer draait nog steeds met root rechten neem ik aan? Vraag beantwoord.
of vista beter is weet ik niet, maar ik kan wel zeggen dat ik niet veel vista computers zie met virussen, ze zijn er wel maar momenteel zie ik toch de meeste en meest agressieve troep voornamelijk XP te grazen nemen...Voor mijn ouders is het wel zeer praktisch (ook XP). Ze hoeven maar een paar programma's te kunnen gebruiken en het updaten doe ik voor ze als ik er ben. Ook daar heb ik een admin account (maar ik doe verder niets op die computer dan updaten, scannen, schijfcontrole e.d.).
Ik moet zeggen dat er nog nooit iets mis is gegaan bij hun en het systeem draait daar al jaren. Geen infecties die ik heb kunnen detecteren.
En of Vista beter is.. Internet Explorer draait nog steeds met root rechten neem ik aan? Vraag beantwoord.
of dit komt van een betere beveiliging, puur marktaandeel, of minder interessant voor hackers weet ik niet, het marktaandeel xp is nog steeds overduidelijk de meerderheid, wat ook vast meetelt...
Een pessimist zou zeggen dat dat komt omdat er nog weinig programmeurs zijn voor Vista.
http://www.computable.nl/artikel/ict_topics/besturingssystemen/2554072/1277048/programmeurs-bannen-vista.html
Malware schrijvers zijn immers ook een soort programmeurs, hoewel niemand echt beter wordt van hun code :-(
http://www.computable.nl/artikel/ict_topics/besturingssystemen/2554072/1277048/programmeurs-bannen-vista.html
Malware schrijvers zijn immers ook een soort programmeurs, hoewel niemand echt beter wordt van hun code :-(
Disclaimer: ik heb geen ervaring met Vista, toen ik nog wel Windows XP draaide was dit altijd onder een gewone user account. Tegenwoordig werk ik alleen nog onder GNU/Linux, dus mijn ervaring komt vooral uit die kant.
Behalve dan door het gebruik van local-user exploits wat kan leiden tot privilege escalation. Het punt dat je maakt m.b.t. de integriteit van het besturingssysteem komt overigens ook in het artikel naar voren: "The biggest security benefit of LUA is that software installing and running in a LUA context has a harder time modifying or corrupting the underlying OS's kernel and system files."
De waarde van dit artikel zie ik in het starten van een discussie over de toegevoegde waarde van het achterliggende concept en de implementatie van LUA. Het is een stap in de goede richting, maar als ik het goed begrijp (zo is het i.i.g. standaard onder GNU/Linux) blijft het zo dat een vijandig proces (e.g. malware) draait met de volledige rechten van de desbetreffende gebruiker en daardoor allerlei niet gewenste handelingen kan uitvoeren.
Dus de integriteit van het besturingssysteem is (waarschijnlijk) niet aangetast, maar ondertussen heeft dit proces wel toegang tot al je persoonlijke bestanden (zelfs om te verwijderen), kan het verbindingen naar buiten toe opzetten (a la botnet) en wat niet.
Waar ik zelf op uit kijk is sandboxing van individuele processen en gemakkelijk te configureren mandatory access control (e.g. SELinux). Least-Privileged Processes so to speak. Zo zou ik standaard graag willen configureren dat Firefox standaard geen enkel toegang heeft tot bestanden in mijn /home directory buiten de .mozilla/firefox folder (uitgesloten systeem libraries e.d.).
- Anonymous Coward
Door robHet gaat om de integriteit van het operating system.. Als een gewone gebruiker malware binnenkrijgt, kan deze in principe geen enge kernel wijzigingen maken.[/i]
Behalve dan door het gebruik van local-user exploits wat kan leiden tot privilege escalation. Het punt dat je maakt m.b.t. de integriteit van het besturingssysteem komt overigens ook in het artikel naar voren: "The biggest security benefit of LUA is that software installing and running in a LUA context has a harder time modifying or corrupting the underlying OS's kernel and system files."
Door robDus blijft de vraag, wat is het *nieuws* in dit artikel?
De waarde van dit artikel zie ik in het starten van een discussie over de toegevoegde waarde van het achterliggende concept en de implementatie van LUA. Het is een stap in de goede richting, maar als ik het goed begrijp (zo is het i.i.g. standaard onder GNU/Linux) blijft het zo dat een vijandig proces (e.g. malware) draait met de volledige rechten van de desbetreffende gebruiker en daardoor allerlei niet gewenste handelingen kan uitvoeren.
Dus de integriteit van het besturingssysteem is (waarschijnlijk) niet aangetast, maar ondertussen heeft dit proces wel toegang tot al je persoonlijke bestanden (zelfs om te verwijderen), kan het verbindingen naar buiten toe opzetten (a la botnet) en wat niet.
Waar ik zelf op uit kijk is sandboxing van individuele processen en gemakkelijk te configureren mandatory access control (e.g. SELinux). Least-Privileged Processes so to speak. Zo zou ik standaard graag willen configureren dat Firefox standaard geen enkel toegang heeft tot bestanden in mijn /home directory buiten de .mozilla/firefox folder (uitgesloten systeem libraries e.d.).
- Anonymous Coward
Een 'domme' gebruiker heeft een handig programma gedownload dat onbekende malware bevat. Bij het starten probeert de malware middels een eigen engine spam te versturen naar alle adressen in het adresboek van de gebruiker. De firewall ziet dat een onbekend programma een netwerkverbinding wil openen, en vraagt de gebruiker om toestemming.
De malware draait met dezelfde rechten als de gebruiker. Maakt het voor de beveiliging verschil of de malware met deze rechten ook de firewall en/of virus-scanner mag uitschakelen? Draagt het scheiden van taken en rechten dan bij aan beveiliging? Het gaat niet alleen om het overschrijven van systeembestanden, maar ook om toegang tot draaiende processen.
De malware draait met dezelfde rechten als de gebruiker. Maakt het voor de beveiliging verschil of de malware met deze rechten ook de firewall en/of virus-scanner mag uitschakelen? Draagt het scheiden van taken en rechten dan bij aan beveiliging? Het gaat niet alleen om het overschrijven van systeembestanden, maar ook om toegang tot draaiende processen.
Een virusscanner als Avast is niet uit te schakelen door wat dan ook op een Windows XP/Vista computer (probeer maar met versie 4.8). Dat ze daarbij technieken gebruiken die ook in rootkits en trojans e.d. gevonden kunnen worden is licht zorgwekkend.
(P.S. Ik heb dit nog niet met Process Explorer van sysinternals geprobeerd maar ik neem aan dat die het ook niet lukt Avast uit te schakelen, dit kon vroeger wel!)
Alles na Windows NT is gewoon slecht doordacht en ontworpen door Microsoft. Maar voor de problemen die dat nog steeds veroorzaakt worden steeds meer oplossingen gevonden.
(P.S. Ik heb dit nog niet met Process Explorer van sysinternals geprobeerd maar ik neem aan dat die het ook niet lukt Avast uit te schakelen, dit kon vroeger wel!)
Alles na Windows NT is gewoon slecht doordacht en ontworpen door Microsoft. Maar voor de problemen die dat nog steeds veroorzaakt worden steeds meer oplossingen gevonden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technical Security Trainer
Ben je net als de rest van ons team bovenmatig geïnteresseerd in security en vind je het leuk om je hacker mindset en security-skills over te dragen? Dan ben je bij ons aan het juiste adres!
Are you ready for a challenge?