{"id":1090,"date":"2010-02-20T17:32:40","date_gmt":"2010-02-20T16:32:40","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/1090-whitelisting-mit-der-nsrl"},"modified":"2018-05-22T18:59:52","modified_gmt":"2018-05-22T17:59:52","slug":"whitelisting-mit-der-nsrl","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/1090-whitelisting-mit-der-nsrl","title":{"rendered":"Whitelisting mit der NSRL"},"content":{"rendered":"<p>Ich <a href=\"\/blog\/638-mutierende-viren\">schreibe schon<\/a> <a href=\"\/blog\/412-virenscanner-werden-schlechter\">seit geraumer<\/a> <a href=\"\/blog\/206-virenscanner-auf-vista\">Zeit davon<\/a>, dass die Erkennungsraten der Virenscanner langsam aber sicher schlechter werden und wir irgendwann einen Paradigmenwechsel weg vom Blockieren von Schadsoftware hin zum Erlauben von guter Software ben\u00f6tigen. Vielleicht wird es jetzt langsam soweit. Immerhin scheinen die False Positives der diversen Virenscanner so schmerzhaft zu werden, dass das Internet Storm Center (ISC) eine <a href=\"http:\/\/www.nsrl.nist.gov\/\">National Software Reference Library<\/a> (NSRL) mit rund 40 Millionen Programmen und ihren Hash-Werten zusammengestellt hat.<\/p>\n<p>Und jetzt k\u00f6nnte Cloud-Scanning pl\u00f6tzlich Sinn machen. Vor jedem Aufruf eines Programms oder einer ausf\u00fchrbaren Datei verifiziert das Betriebssystem das Programm gegen die NSRL und wenn das Programm enthalten ist, dann wird es ausgef\u00fchrt (und das Ergebnis gecacht). Wenn nicht, pr\u00fcft eine einfache Heuristik ob das Programm m\u00f6glicherweise Schadcode enth\u00e4lt. Ich k\u00f6nnte mir vorstellen, dass damit die Abh\u00e4ngigkeit der Virenscanner von Patternupdates sinkt. Allerdings enth\u00e4lt dieser Entwurf noch viele ungel\u00f6ste Probleme, beispielsweise wie eine manipulationssichere Kommunikation mit der NSRL m\u00f6glich ist (DNS kann leicht manipuliert werden, HTTPS ist sehr aufwendig) und wie verfahren werden soll, wenn die NSRL nicht verf\u00fcgbar ist. Au\u00dferdem halte ich die teilweise <a href=\"http:\/\/isc.sans.org\/tools\/hashsearch.html\">verwendeten MD5-Hashes<\/a> f\u00fcr nicht gerade vertrauenerweckend. Und nat\u00fcrlich hilft das ganze Verfahren nicht gegen Schadprogramme die sich z.B. in Office-Dokumenten oder PDF verstecken.<\/p>\n<p>Aber mein Eindruck ist, Whitelisting kommt, wenn wohl auch erst in einigen Jahren. F\u00fcr die nahe Zukunft w\u00fcnsche ich mir jedenfalls, dass die NSRL direkt in das Betriebssystem integriert wird und von verschiedenen Virenscannern einfach genutzt werden kann. F\u00fcr Linux sollte sich sowas einfach realisieren lassen. Und wenn die NSRL (digital signiert) auf dem System vorhanden ist, kann ClamAV oder jeder andere Scanner auf diese Daten zur\u00fcckgreifen.<\/p>\n<p>(via <a href=\"http:\/\/www.heise.de\/security\/meldung\/Neue-Wege-beim-Virenschutz-932114.html\">Heise<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ich schreibe schon seit geraumer Zeit davon, dass die Erkennungsraten der Virenscanner langsam aber sicher schlechter werden und wir irgendwann einen Paradigmenwechsel weg vom Blockieren von Schadsoftware hin zum Erlauben von guter Software ben\u00f6tigen. Vielleicht wird es jetzt langsam soweit. Immerhin scheinen die False Positives der diversen Virenscanner so schmerzhaft zu werden, dass das Internet [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[5,6],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1090"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=1090"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1090\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=1090"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=1090"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=1090"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}