Me­cha­nis­men te­gen ransom­wa­re en an­de­re mal­wa­re

Be­scher­mings­me­cha­nis­men te­gen ransom­wa­re, vi­rus­sen en der­ge­lij­ke.

C’t Magazine - - Inhoud - Ro­nald Ei­ken­berg

Er zijn tal­lo­ze mo­ge­lijk­he­den om je sys­teem te­gen een vi­rus­in­fec­tie te be­scher­men. Er is ech­ter geen ma­nier om je te­gen al­les te be­scher­men. En als je goed­be­doeld al­les vol­le­dig dicht­tim­mert, komt er wel­licht geen vi­rus meer door, maar jij ook niet.

Soft­wa­re Re­stric­ti­on Po­li­cies

Met het soft­wa­re­restric­tie­be­leid (Soft­wa­re Re­stric­ti­on Po­li­cies, SRP) kan in Win­dows dui­de­lijk wor­den be­paald wel­ke uit­voer­ba­re be­stan­den ge­start mo­gen wor­den en wel­ke niet. Op de­ze ma­nier kun je een whi­te­list van be­trouw­ba­re pro­gram­ma's sa­men­stel­len en in het be­stu­rings­sys­teem aan­ge­ven dat het al­leen maar de pro­ces­sen mag uit­voe­ren die op de lijst staan. In­dien een tro­jan dan toch op het sys­teem te­recht­komt, ver­hin­der je op de­ze ma­nier dat hij uit­ge­voerd wordt, om­dat hij niet op de lijst staat.

De­ze werk­wij­ze is ech­ter re­de­lijk ar­beids­in­ten­sief. Een een­vou­di­ge­re aan­pak is om re­gels voor pa­den in te stel­len. Daar­mee stel je dan bij­voor­beeld voor een be­paal­de map in dat on­der­lig­gen­de map­pen en be­stan­den al­le­maal de­zelf­de mach­ti­gin­gen krij­gen, bij­voor­beeld de Pro­gram Fi­les-map. Al­le toe­pas­sin­gen wer­ken dan zon­der be­per­kin­gen, maar een tro­jan die sa­men met een besmet Of­fi­ce-be­stand in de temp­di­rec­to­ry te­recht­komt, kan dan niet wor­den uit­ge­voerd. Nor­ma­li­ter wor­den de SRP via het groeps­be­leid ge­con­fi­gu­reerd maar het is een­vou­di­ger dit hand­ma­tig te doen met de c't tool Re­stric'tor (zie c't 10/2017, pa­gi­na 51). Dit werkt ook met de Ho­me-edi­ties van Win­dows, waar­in geen groeps­be­leids­edi­tor be­schik­baar is.

De Ap­pLoc­ker die bij Win­dows 7 is in­ge­voerd, voert dit nog een stap ver­der. Hier­mee kun je bij­voor­beeld de di­gi­ta­le hand­te­ke­ning van een be­stand con­tro­le­ren en zor­gen dat het al­leen maar mag wor­den uit­ge­voerd in­dien de hand­te­ke­ning van een ver­trouw­de in­stan­tie af­komt (zo­als de le­gi­tie­me ont­wik­ke­laar van de soft­wa­re in kwes­tie).

Be­schermt te­gen

• on­ge­wens­te be­smet­ting met scha­de­lij­ke

co­de.

• het uit­voe­ren van pro­ces­sen waar je niet

ex­pli­ciet toe­stem­ming aan hebt ge­ge­ven. • zo­ge­naam­de 'down­lo­a­ders'. De­ze mal­wa­re­com­po­nen­ten down­lo­a­den aan­vul­len­de scha­de­lij­ke co­de naar de down­load- of temp-map en voe­ren de­ze ver­vol­gens uit.

Be­schermt niet te­gen

• het uit­voe­ren van tro­jans die te­recht­ko­men in een map met toe­stem­min­gen. • een aanval waar­bij de da­ders ge­ïn­fec­teer­de pro­gram­ma­ver­sies via een up­da­te­ser­ver van een ge­ïn­stal­leerd pro­gram­ma dis­tri­bu­e­ren.

Ri­si­co's en bij­wer­kin­gen

• In­dien niet cor­rect ge­con­fi­gu­reerd, kan het ver­hin­de­ren dat le­gi­tie­me pro­gram­ma's wer­ken.

• Kan up­da­te-agents van ge­ïn­fec­teer­de

pro­gram­ma's blok­ke­ren.

•Wan­neer re­gels te strin­gent wor­den in­ge­steld, wor­den sys­teem­pro­ces­sen ge­blok­keerd en werkt het be­stu­rings­sys­teem niet goed meer.

Re­stric’tor maakt de con­fi­gu­ra­tie mak­ke­lijk van be­lang­rij­ke in­stel­lin­gen voor soft­wa­re­restric­ties. Daar­mee maak je het tro­jans moei­lijk.

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.