Nieuws
image

Symantec zoekt software voor whitelist

vrijdag 11 december 2009, 15:04 door Redactie, 9 reacties

Om false positives door de eigen virusscanner te voorkomen legt anti-virusbedrijf Symantec een enorme database met legitieme programma's aan en daarbij zoekt het de hulp van ontwikkelaars. "Schone data helpt ons false positives te voorkomen op dezelfde manier dat we geen antivirus signatures of antivirus technologie kunnen schrijven als we geen kwaadaardige data hebben", zegt Thomas Parsons. De afgelopen 12 maanden startte de beveiliger een proef met een "software white-listing programma", dat softwareontwikkelaars en Independent Software Vendors (ISVs) de kans geeft om proactief hun software bij Symantec te laten whitelisten.

Volgens de virusbestrijder voorkomt het programma dat software op de lijst ten onrechte als kwaadaardig wordt beschouwd en wordt gewhiteliste software door sommige Symantec producten niet gescand, wat voor betere prestaties zorgt. Ontwikkelaars kunnen programma's via deze pagina aanmelden.

Reacties (9)
11-12-2009, 16:12 door Skizmo
Symantec kan hun probleem van false positives niet oplossen, dus moet iedereen zich maar aanmelden om te laten zien dat ze legitiem zijn. moet niet gekker worden. Symantec moet gewoon hun scanner verbeteren. Als ik het voor elkaar krijg om mijn virus-infected programma op de whitelist te krijgen is het hek van de dam. Een white list zorgt in dit geval alleen maar voor verzwakking van het systeem.
11-12-2009, 16:42 door Anoniem
Hahaha en hoe worden legitieme sw ontwikkelaars dan onderscheiden van malafide....

Ook de mafie heeft bedrijven om maar wat te noemen.
11-12-2009, 16:45 door Anoniem
"Symantec kan hun probleem van false positives niet oplossen, dus moet iedereen zich maar aanmelden om te laten zien dat ze legitiem zijn. moet niet gekker worden."

Het is een uitstekend idee, en ik denk dat dit op den duur bij zal dragen aan de kwaliteit van antivirus software. Daarnaast zitten alle antivirus vendors met dit probleem, want vrijwel iedere virusscanner heeft met false positives te maken. Wel moeten ze uitkijken dat er geen creatieve manieren gevonden worden om die whitelist juist weer te misbruiken t.b.v. nieuwe malware, om zo detectie te ontlopen.
11-12-2009, 16:50 door Anoniem
Door Skizmo: Symantec kan hun probleem van false positives niet oplossen, dus moet iedereen zich maar aanmelden om te laten zien dat ze legitiem zijn. moet niet gekker worden. Symantec moet gewoon hun scanner verbeteren. Als ik het voor elkaar krijg om mijn virus-infected programma op de whitelist te krijgen is het hek van de dam. Een white list zorgt in dit geval alleen maar voor verzwakking van het systeem.
om eerlijk te zijn vind ik het goed dat ze dit doen. Blacklisting is al lang achterhaalt en er moet dringend werk gemaakt worden van het whitelisten van software en enkel die apps toe te laten ipv par default toe te laten. Je kan het vergelijken met een firewall, die par default open staat en alleen de poorten blokt die jij specifieert en je weet niet dat er 65535 poorten zijn en achter elke poort zit een applicatie. Ik hoop dat dit goed wordt uitgewerkt en dat de andere snel zullen volgen.
11-12-2009, 17:46 door Skizmo
Blacklisting is al lang achterhaalt en er moet dringend werk gemaakt worden van het whitelisten van software en enkel die apps toe te laten ipv par default toe te laten.
Blacklisting is ook redelijk achterhaald... maar wel vanwege dezelfde punten dat whitelisting ook niet gaat werken. Ik moet er toch niet aan denken (als programmeur) dat iedere keer als ik een update schijf, of een spin-off van mijn software maak dat ik het moet registreren bij een anti-virus alliantie. 'verplicht registreren' roept bij mij een andere associatie op. Al dit soort oplossingen verwijderd ons alleen maar bij de essentie vandaan... en dat is het feit dat het OS gewoon niet goed genoeg is.
11-12-2009, 21:02 door Anoniem
"Blacklisting is ook redelijk achterhaald... maar wel vanwege dezelfde punten dat whitelisting ook niet gaat werken. Ik moet er toch niet aan denken (als programmeur) dat iedere keer als ik een update schijf, of een spin-off van mijn software maak dat ik het moet registreren bij een anti-virus alliantie."

Dat hangt er dan wel vanaf of jij whitelisting wel of niet aanzet in je virusscanner. Wat dat betreft moet het gewoon een optionele mogelijkheid zijn in je scanner die je aan of uit kunt zetten op je eigen computer. Wanneer het in een bedrijfsnetwerk gebruikt wordt, dan moet de systeembeheer afdelingen wat extra werk verrichten. Big deal ;)
12-12-2009, 00:29 door Anoniem
Door Anoniem: "Symantec kan hun probleem van false positives niet oplossen, dus moet iedereen zich maar aanmelden om te laten zien dat ze legitiem zijn. moet niet gekker worden."

Het is een uitstekend idee, en ik denk dat dit op den duur bij zal dragen aan de kwaliteit van antivirus software. Daarnaast zitten alle antivirus vendors met dit probleem, want vrijwel iedere virusscanner heeft met false positives te maken. Wel moeten ze uitkijken dat er geen creatieve manieren gevonden worden om die whitelist juist weer te misbruiken t.b.v. nieuwe malware, om zo detectie te ontlopen.
Het is zeker een uitstekend idee, maar al even zeker niet nieuw: ik gebruik G Data en die passen de techniek al een half jaar toe. Met succes overigens: er was deze week een heleboel heisa rond een false positive bij Avast (een van de engines die G Data gebruikt) maar absoluut geen probleem bij G Data.
12-12-2009, 10:11 door Anoniem
Als je een white list gaat aanliggen (op zich een goede manier) krijg je het probleem van het bijhouden van die "witte lijst". Dit wordt nu ook geprobeerd bij certificaten (net zo goed een white list). Hier is een hele industrie omheen ontstaan. Als het Symantec lukt om dit van de grond te krijgen, zouden ze wel eens een monopolie-achtige positie kunnen krijgen. Daar zal het ze wel om te doen zijn.

Het legt wel het probleem bij Symantec om ook elk stuk software te valideren, voordat het op die white list komt. Daar gaat uiteindelijk veel geld in zitten, en daar moet iemand voor betalen (kan je natuurlijk ook mooi een winstgevend business model omheen verzinnen).
Maar met name bij OSS lijkt me dit een lastig issue. MicroSoft, Adobe, en andere commerciele software vendors zullen dit dus wel een goed idee gaan vinden.
17-03-2010, 03:16 door Anoniem
Door Skizmo:
Blacklisting is al lang achterhaalt en er moet dringend werk gemaakt worden van het whitelisten van software en enkel die apps toe te laten ipv par default toe te laten.
Blacklisting is ook redelijk achterhaald... maar wel vanwege dezelfde punten dat whitelisting ook niet gaat werken. Ik moet er toch niet aan denken (als programmeur) dat iedere keer als ik een update schijf, of een spin-off van mijn software maak dat ik het moet registreren bij een anti-virus alliantie. 'verplicht registreren' roept bij mij een andere associatie op. Al dit soort oplossingen verwijderd ons alleen maar bij de essentie vandaan... en dat is het feit dat het OS gewoon niet goed genoeg is.
zou verwachten dat je "als programmeur" toch meer inzicht zou hebben. 2 oplossingen hiervoor, optie om manueel software op een apparte lokale whitelist toe te voegen (nadeel gebruiker moet handeling uitvoeren) of dat er een soort validatie key kan gegenereerd worden waarmee het installatieprogramma van uw software zich op desbetreffende pc zich als legitieme software op de lokale whitelist kan plaatsen (gebruiker hoeft niks te doen)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search