Nur eine Idee . . . ApplicationFileTypeWhitelisting |
||
---|---|---|
#0
| ||
23.02.2016, 08:32
Gesperrt
Beiträge: 2 |
||
|
||
23.02.2016, 14:21
Member
Beiträge: 1543 |
#2
Erinnert mich an meine alte Firewall im Lernmodus...
Nachdem man ne halbe Stunde immer wieder alle möglichen Aktionen "genehmigt" hatte, war größtenteils Ruhe im Karton. Bis dann die ersten Programme kamen, die iwie dran vorbei gearbeitet haben und alle für die Katz war. Was mir noch nicht einleuchtet... wir haben nun also eine Regel erstellt, dass nur Word das Dokument bearbeiten darf.. (mal als Beispiel) .. und der Virus hat nun die Kontrolle über Word übernommen und macht Ärger.. (meinetwegen über ein Makro, was weiss ich).. Was haben wir durch die Whitelist nun gewonnen? T S |
|
|
||
23.02.2016, 15:15
Gesperrt
Themenstarter Beiträge: 2 |
#3
Ja da gebe ich dir recht -
aber es würde schon: a) mehr mühe machen alle möglichen Programme zu Kaperm um deren Datei typen ändern zu dürfen. Da würden die sich dann wohl eher auf Explorer oder so konzentrieren. und b) wenn es auf betriebssystemebene implementiert wird sollte sich so schnell nichts daran vorbeimogeln Wenn das auf entsprechender ebene implementiert ist und ich z.B. lediglich 10 Dateitypen schütze sollte der Verwaltungsaufwand gering dabei aber der effektive Schutz privater Daten vor Zerstörung bei korrekter Funktionsweise gewährleistet sein . . . |
|
|
||
23.02.2016, 20:08
Member
Beiträge: 1543 |
||
|
||
23.02.2016, 21:53
Member
Beiträge: 5291 |
#5
Zitat Ich bin jetzt kein OS Entwickler aber für die hätte ich eine Idee.Ja das merkt man, daher ist es auch unnötig sich darüber gedanken zu machen - das was du aber im entferntesten beschreibst gibt es bereits. Siehe: https://en.wikipedia.org/wiki/Grsecurity https://en.wikipedia.org/wiki/Security-Enhanced_Linux __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
28.07.2016, 10:00
Gesperrt
Beiträge: 15 |
#6
Soweit ich mich erinnere bieten doch schon die kostenpflichtigen Consumer AV Produkte solche Funktionen an. Nennt sich Datenabschirmung o.ä.
Wenn dies aktiviert wird, werden bestimmte Verzeichnisse als zu schützen ausgewählt, sowie die Programme die darauf Zugriff haben dürfen. D.h. man muss dann die Anwendung (z.B. Word.exe) bzw. die ausführbare Datei für den Schreibzugriff zulassen (oder explizit verweigern). Manchmal ist es etwas kompliziert, wenn man die EXE Datei von dem Scanprogramm suchen muss, da diese normalerweise nicht automatisch in die "White List" eingetragen ist. |
|
|
||
28.07.2017, 10:41
Gesperrt
Beiträge: 6 |
#7
Stelle mir das bei einem größeren Netzwerk sehr komplex vor.
|
|
|
||
Keine Ahnung ob das wirklich funktioniert deswegen hier posten und überraschen lassen:
Zu den klassischen Dateirechten (rwxrwxrwx) kommt ein auf kernel ebene angesiedeltes Application Whitelisting. Und jetzt kommt der Witz, das whitelisting basiert auf Dateitypebene zusätzlich zu den herkömmlichen rechten also z.B. winword.exe für .doc-, LibreOffice.app für .ods-, TextWrangler.app für alle Dateien ect.
Das könnte man dann für folgende Operationen Implementieren:
- lesen
- schreiben
- löschen
- umbenennen
Welches Programm darf welchen Dateityp:
Lesen, Ändern, Schreiben, Löschen, Umbenennen
Beschränken kann man das gerne auf Nutzdaten (Dokumente Bilder Videos Quellcode) dann läuft auch der ganze rest problemlos weiter.
Schön tief im Betriebssystem verankern, direkt vom Hersteller bitte. Einen haken in der Systemsteuerung ob ich das will und fertig. Bin ich paranoid? dann auch Lesen whitelisten lassen.
Immer wenn ich eine meiner Dateien das erste mal mit einem Programm anfasse muss ich Whitelisten erlauben, der fragliche Prozess wird angehalten. Die Prozess Verifizierung muss natürlich valide sein. Der Explorer müsste mehr können und den darf man z.B. nicht per RPC oder so was kapern da liegt der Teufel dann im Detail und das ist nicht mein Fachgebiet, da ist dann vielleicht der Wurm drin.
Der Virus als neuer Prozess darf sich dann aber nicht an word Dateien vergreifen weil er halt nicht der Gewhitelistete Word Prozess ist.
Das ist jetzt sehr grob gehalten aber eine ganze Serien von unangenehmen Szenarien können hier benutzerfreundlich abgefangen werden solange das System intakt ist und sich ein übler Prozess nur durch den Userspace frisst.
Klar die viren coder werden versuchen irgendwas zu kapern, dem word ne dll unterzuschieben und es die drecksarbeit machen zu lassen oder so was, keine Ahnung ist ja nur eine Idee.
Aber ich würde das System herzlich begrüssen auf allen Plattformen.
ich bin gespannt - gerne diskutiere ich das Thema auch weiter