"Minder rechten is niet meer veiligheid"
Met Vista kreeg het grote publiek voor het eerst te maken hoe het is om met minder rechten te opereren. Het grootste voordeel is dat software niet de onderliggende kernel en systeembestanden kan aanpassen, wat schade door malware beperkt. Ontwikkelaars worden daarom gedwongen om applicaties te ontwikkelen die zonder administrator rechten werken, zoals bijvoorbeeld Google Chrome dat door gebruikers met verminderde rechten (Limited User Account) is te installeren. Dit betekent dat dit soort LUA-gebruikers steeds meer, mogelijk ongeautoriseerde programma's, waaronder malware, kunnen installeren.
Voor malware maakt het niet uit of het alleen de sessie van de gebruiker of het hele systeem infecteert, met name bij mensen die de enige gebruiker op het systeem zijn. LUA-malware kan bijna alles doen wat normale malware kan, zoals het stelen van wachtwoorden en andere vertrouwelijke informatie. Het is dan ook de vraag of LUA daadwerkelijk voor minder malware zal zorgen en of het voor systeembeheerders lastiger wordt om installatie van ongewenste applicaties op het bedrijfsnetwerk te voorkomen. Volgens Robert Grimes zal het in ieder geval geen invloed op malware hebben. En dan kun je je natuurlijk afvragen waarom velen LUA als wondermiddel blijven zien.
Iedereen weet dat 1 schil niet voldoende is.
Het is een gegeven dat elke + weer een - heeft.
Maakt het werk voor anti-virus een stuk gemakkelijker en betrouwbaarder. Malware is gemakkelijker te verwijderen...
Maar ter voorkoming dat schadelijke code wordt uitgevoerd is natuurlijk nooit geen doelstelling. Daarom ook een beetje een raar zeggen '... voor minder malware zal zorgen ...' - wie heeft er ooit gesuggeert dat dit voor minder malware zal zorgen?
Iedereen die het basis idee begrijpt weet dat het hier alleen de mogelijkheden voor malware om het besturingssysteem te infecteren, beperkt, en de integriteit van het systeem beter waarborgt.
Bijv. als er twee gebruikers zitten op het systeem, kan de enige gebruiker malware-infected zijn, maar de ander hoeft daar geen last van te hebben :)...
Dus blijft de vraag, wat is het *nieuws* in dit artikel?
Voor mijn ouders is het wel zeer praktisch (ook XP). Ze hoeven maar een paar programma's te kunnen gebruiken en het updaten doe ik voor ze als ik er ben. Ook daar heb ik een admin account (maar ik doe verder niets op die computer dan updaten, scannen, schijfcontrole e.d.).
Ik moet zeggen dat er nog nooit iets mis is gegaan bij hun en het systeem draait daar al jaren. Geen infecties die ik heb kunnen detecteren.
En of Vista beter is.. Internet Explorer draait nog steeds met root rechten neem ik aan? Vraag beantwoord.
Voor mijn ouders is het wel zeer praktisch (ook XP). Ze hoeven maar een paar programma's te kunnen gebruiken en het updaten doe ik voor ze als ik er ben. Ook daar heb ik een admin account (maar ik doe verder niets op die computer dan updaten, scannen, schijfcontrole e.d.).
Ik moet zeggen dat er nog nooit iets mis is gegaan bij hun en het systeem draait daar al jaren. Geen infecties die ik heb kunnen detecteren.
En of Vista beter is.. Internet Explorer draait nog steeds met root rechten neem ik aan? Vraag beantwoord.
of dit komt van een betere beveiliging, puur marktaandeel, of minder interessant voor hackers weet ik niet, het marktaandeel xp is nog steeds overduidelijk de meerderheid, wat ook vast meetelt...
http://www.computable.nl/artikel/ict_topics/besturingssystemen/2554072/1277048/programmeurs-bannen-vista.html
Malware schrijvers zijn immers ook een soort programmeurs, hoewel niemand echt beter wordt van hun code :-(
Behalve dan door het gebruik van local-user exploits wat kan leiden tot privilege escalation. Het punt dat je maakt m.b.t. de integriteit van het besturingssysteem komt overigens ook in het artikel naar voren: "The biggest security benefit of LUA is that software installing and running in a LUA context has a harder time modifying or corrupting the underlying OS's kernel and system files."
De waarde van dit artikel zie ik in het starten van een discussie over de toegevoegde waarde van het achterliggende concept en de implementatie van LUA. Het is een stap in de goede richting, maar als ik het goed begrijp (zo is het i.i.g. standaard onder GNU/Linux) blijft het zo dat een vijandig proces (e.g. malware) draait met de volledige rechten van de desbetreffende gebruiker en daardoor allerlei niet gewenste handelingen kan uitvoeren.
Dus de integriteit van het besturingssysteem is (waarschijnlijk) niet aangetast, maar ondertussen heeft dit proces wel toegang tot al je persoonlijke bestanden (zelfs om te verwijderen), kan het verbindingen naar buiten toe opzetten (a la botnet) en wat niet.
Waar ik zelf op uit kijk is sandboxing van individuele processen en gemakkelijk te configureren mandatory access control (e.g. SELinux). Least-Privileged Processes so to speak. Zo zou ik standaard graag willen configureren dat Firefox standaard geen enkel toegang heeft tot bestanden in mijn /home directory buiten de .mozilla/firefox folder (uitgesloten systeem libraries e.d.).
- Anonymous Coward
De malware draait met dezelfde rechten als de gebruiker. Maakt het voor de beveiliging verschil of de malware met deze rechten ook de firewall en/of virus-scanner mag uitschakelen? Draagt het scheiden van taken en rechten dan bij aan beveiliging? Het gaat niet alleen om het overschrijven van systeembestanden, maar ook om toegang tot draaiende processen.
(P.S. Ik heb dit nog niet met Process Explorer van sysinternals geprobeerd maar ik neem aan dat die het ook niet lukt Avast uit te schakelen, dit kon vroeger wel!)
Alles na Windows NT is gewoon slecht doordacht en ontworpen door Microsoft. Maar voor de problemen die dat nog steeds veroorzaakt worden steeds meer oplossingen gevonden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Consultant
Als je het leuk vindt om klanten tot nieuwe en verbeterde inzichten te leiden om de veiligheid van informatie te waarborgen. Dan is dit de baan voor jou! Ga aan de slag als Security Consultant bij ilionx Amsterdam.
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?
Ransomware voorkomen? Begrijpen waarom je niet overal hetzelfde wachtwoord moet gebruiken? Met eigen ogen zien waarom updaten zo belangrijk is? Ontwaak je Hacker Mindset met de Certified Secure Security Awareness Experience - LIVE Online!