Grens­ge­val­len

C’t Magazine - - Praktijk | Windows: Software Restriction Policies -

der­ge­lij­ke pro­gram­ma's ech­ter weer ver­wij­de­ren.

Als je een be­stand door Vi­rus­to­tal laat ana­ly­se­ren en slechts een minderheid van de ge­bruik­te scan­ners alarm slaat, loont het te kij­ken naar de ko­lom 'Re­sul­taat': als daar 'gen' of 'heur' op­dui­ken, dan gaat het niet om een een­dui­di­ge mal­wa­re, maar is er al­leen een ver­moe­den. Met na­me de min­der be­ken­de scan­ners slaan eer­der alarm, ter­wijl er mis­schien geen ge­vaar is. Komt het be­stand van een se­ri­eu­ze bron, die die si­tu­a­tie wel­licht zelfs ge­do­cu­men­teerd heeft, dan is er niet met­een re­den tot pa­niek.

Een na­der on­der­zoek is las­tig. Er zijn wel dien­sten waar je der­ge­lij­ke be­stan­den naar­toe kunt stu­ren waar ze in een sand­box aan een ana­ly­se on­der­wor­pen wor­den, maar 100 pro­cent ga­ran­tie le­vert dat niet op. De mal­wa­re zou zo'n sand­box kun­nen her­ken­nen en ver­dach­te ac­ties die hem zou­den kun­nen ver­ra­den dan ach­ter­we­ge la­ten, zo­als toe­gang zoe­ken tot het net­werk. Zon­der ge­de­tail­leer­de ana­ly­se van de co­de krijg je geen de­fi­ni­tie­ve ze­ker­heid – ook soft­wa­re die door al­le tests heen komt en uit be­trouw­ba­re bron lijkt te ko­men, kan voor ver­ras­sin­gen zor­gen. Er­va­ren ge­brui­kers heb­ben soms goe­de re­de­nen om de in­schat­ting te ne­ge­ren dat een pro­gram­ma als ge­vaar­lijk wordt be­schouwd – dat moet ech­ter per ge­val apart be­ke­ken en ge­wo­gen wor­den. Daar­bij helpt wat in­zicht in de ma­nier waar­op an­ti­vi­rus­soft­wa­re te werk gaat: die con­tro­leert op sig­na­tu­res die mal­wa­re een­dui­dig iden­ti­fi­ce­ren. Er wordt ge­zocht naar pa­tro­nen die uit er­va­ring ty­pisch zijn voor mal­wa­re (heu­ris­tiek). Bij de cloud­dienst van de ma­ker wordt na­ge­vraagd of daar even­tu­eel al wat over be­kend is of er wor­den stuk­ken co­de van on­be­ken­de pro­gram­ma's naar­toe ge­stuurd om daar te wor­den on­der­zocht.

Daar­naast scha­len de pro­du­cen­ten som­mi­ge soft­wa­re in als 'po­ten­ti­al­ly un­wan­ted ap­pli­ca­ti­on' (pua): dat zijn al­ler­lei pro­gram­ma's zo­als twij­fel­ach­ti­ge brow­ser­bal­ken of tools die de wacht­woor­den van Win­dows te­rug­zet­ten, an­de­re sys­te­men via het net­werk aan de tand voe­len, pc's re­mo­te kun­nen be­he­ren of ven­sters ver­ber­gen. Als je zoi­ets op de pc van je vrien­den of ken­nis­sen te­gen­komt zon­der dat de her­komst er­van dui­de­lijk is, moet je er van­uit gaan dat er iets fout is. Met een res­cue­sys­teem zo­als on­ze des­in­fec't kun je

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.