Expert ontwikkelt sandbox voor Windows Defender
Windowsexpert Andy Ying heeft een sandbox voor Windows Defender ontwikkeld, aangezien Microsoft dit nog niet heeft gedaan. Een sandbox is een zeer belangrijke beveiligingsmaatregel en voorkomt dat een aanvaller, als een applicatie wordt gehackt, meteen toegang tot het onderliggende systeem krijgt.
Windows Defender is als standaard virusscanner van Windows 8.1 en Windows 10 diep in het besturingssysteem genesteld en heeft uitgebreide toegang en rechten. In het geval van een beveiligingslek is dit een probleem, aangezien een aanvaller deze rechten kan gebruiken om vergaande controle over het systeem te krijgen. In mei van dit jaar werd er een dergelijke ernstige kwetsbaarheid ontdekt. Een aanvaller had door alleen een e-mail te versturen, zonder dat die door de gebruiker werd geopend, Windowscomputers met Windows Defender volledig kunnen overnemen. Een sandbox fungeert in dit geval als een extra beveiligingslaag.
In tegenstelling tot bijvoorbeeld Edge is Windows Defender niet door Microsoft van een sandbox voorzien. Als proof-of-concept heeft Ying nu met de Rust-programmeertaal een sandbox ontwikkeld en de code onder de naam "Flying Sandbox Monster" open source gemaakt. Ying is werkzaam voor securitybedrijf Trail of Bits. Zijn collega Dan Guido laat in de blogpost over de sandbox weten dat die door eindgebruikers en organisaties te gebruiken is. Microsofts Matt Miller meldt via Twitter dat het Windows Defender-team met de ontwikkeling van een sandbox bezig is. Wanneer die gereed zal zijn is onbekend. Volgens Miller is de ontwikkeling een 'complexe taak'.
Ze willen zelfs als een MITM internetverkeer afhandelen. Daarmee is een sandbox concept strijdig.
Je moet de gebruikersprocessen sandboxen dat die niet overal bij kunnen. Je zou internet moeten herontwerpen zodat elke bron volledige gescheiden blijft van andere stromen. Nu blijft het broddelplakwerk hoe leuk het ook gebracht wordt.
De sandbox kan niet snel genoeg komen!
Als ik het goed begrijp gaat het hier niet over de beschermingsgraad (Defender komt de laatste tijd goed uit de diverse testen) maar om het feit dat Defender zo diep in het systeem zit genesteld dat dat een groot risico oplevert wanneer er een lek in Defender zou zitten? Komt het daar simpelweg op neer?
Is dat zo'n groot verschil dan met antivirus software van derden, zoals bijvoorbeeld Eset, Avira e.d. Zijn die dan minder diep in het systeem genesteld, of zijn die simpelweg beter beveieligd?
Zou fijn zijn als iemand mij (en de andere lezers natuurlijk) dit eens duidelijk zo kunnen uitelggen. Bottomline: is Defender gevaarlijk in het gebruik dan antivirus van derden?
Bedankt!
Ze willen zelfs als een MITM internetverkeer afhandelen. Daarmee is een sandbox concept strijdig.
Je moet de gebruikersprocessen sandboxen dat die niet overal bij kunnen. Je zou internet moeten herontwerpen zodat elke bron volledige gescheiden blijft van andere stromen. Nu blijft het broddelplakwerk hoe leuk het ook gebracht wordt.
je bedoelt Qube OS
Als ik het goed begrijp gaat het hier niet over de beschermingsgraad (Defender komt de laatste tijd goed uit de diverse testen) maar om het feit dat Defender zo diep in het systeem zit genesteld dat dat een groot risico oplevert wanneer er een lek in Defender zou zitten? Komt het daar simpelweg op neer?
Is dat zo'n groot verschil dan met antivirus software van derden, zoals bijvoorbeeld Eset, Avira e.d. Zijn die dan minder diep in het systeem genesteld, of zijn die simpelweg beter beveieligd?
Zou fijn zijn als iemand mij (en de andere lezers natuurlijk) dit eens duidelijk zo kunnen uitelggen. Bottomline: is Defender gevaarlijk in het gebruik dan antivirus van derden?
Bedankt!
Alle anti-malware oplossingen moeten diep in het systeem zitten, anders kan malware te makkelijk de boel omzeilen. Serieuze anti-malware heeft bijvoorbeeld ook een module om tijdens het Secure Boot proces te kunnen draaien, veel dieper kan een proces niet draaien.
En dat is lastig, want dat maakt anti-malware moeilijk om te maken (hoe dieper in het systeem, hoe makkelijker om bijvoorbeeld de prestaties negatief te beinvloeden) en het maakt anti-malware heel aantrekkelijk als doelwit voor criminelen.
Dat is de afgelopen tijd goed te zien geweest, eerder dit jaar zijn er kwetsbaarheden in diverse anti-malware produkten gevonden (Defender, McAfee, TrendMicro, ESET, Kaspersky, etc). En daar gaan we er ongetwijfeld nog meer van zien.
Alle serieuze anti-malware oplossingen gebruiken al sandbox-technieken, ook Defender. Maar het is geen simpel schilletje dat 'even' om een enkel proces gezet wordt. Anti-malware bestaat uit een complex van samenwerkende processen, sommige delen draaien al wel in een sandbox, andere nog niet.
Zou fijn zijn als iemand mij (en de andere lezers natuurlijk) dit eens duidelijk zo kunnen uitelggen. Bottomline: is Defender gevaarlijk in het gebruik dan antivirus van derden?
Bedankt!
Als je echt iets wil weten over anti virus producten en hoe deze werken lees dan eens :
The Antivirus Hacker's Handbook... The vinden op Amazon en vast ook nog wel op andere plekken...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.