Jump to content
Sign in to follow this  
SunBlack

negative Seite von Whitelistening

Recommended Posts

Hallo,

 

im englischen Betaforum prangert ja seit Ewigkeiten der Aufruf Programme für die weiße Liste zu sammeln (vertrauenswürdige Software). Was meint ihr: ist es wirklich durchweg positiv? Das gute daran ist sicherlich, dass der automatische Modus nicht mehr nachfragen muss - aber gibt KIs denen nicht ein bisschen zuviele Rechte? Nehmen wir jetzt irgendeinen mp3-Player. Das Teil graift aufs Internet zu und ggf aufs lokale Netz. Und natürlich ein bissl aufs Betriebssystem, wenn es eine Dateiendung auf sich biegen möchte. Die anderen Rechte benötigt es alles nicht. Nun fügt KIS das Programm zu vertrauenswürdig hinzu - es bekommt also alle Rechte. Durch Zufall entdeckt jetzt ein kleiner Mafiaboss ;) eine Sicherheitslücke dort drin, die beim Aufrufen eines bestimmten Streams auftritt, worüber sich Schadcode ausführen lassen kann (obs nun per Stream oder woanders reinkommt, spielt hier keine Rolle, geht ja nur ums Prinzip [bevor entsprechende Kommentare kommen]). Und dummerweise erkennt weder die Heuristic noch die normalen Signaturen diesen neuen Schädling - der ein so unauffälliges verhalten hat, das selbst die HIPS nicht anschlagen. Sprich KIS hat in diesem Fall versagt - und das Programm wütet eben ein bissl rum.

 

Nun zum eigentlichen Kern des Threads: Wäre es nicht besser, wenn den Programmen nur die nötigsten Rechte zugewiesen werden, so dass z.B. direkt vom Programm ausgeführter Schadcode der einen Treiber oder so installieren will, gar nicht erst die Rechte hat und KIS hier anschlägt bzw. es unterbindet, obwohl der restliche teil von KIS versagt hat? Wäre es also nicht präventivhalber besser, nur so wenig wie nötig Rechte zu verteilen - aber gleichzeitig soviel wie nötig, so dass alles funktionert?*

 

*Wäre z.B. über Feldversuche möglich. Sprich ein Programm bekommt erst einmal alle Rechte für einen Monat oder so, und sobald Kaspersky/KIS genug Rückinformationen bekommen hat, welche Rechte nun wirklich gebraucht werden, werden die restlichen gesperrt? (Zur Teilnnahme wieder nen Häckchen, wie bei Feedback)

 

Grüße

SunBlack

Edited by SunBlack

Share this post


Link to post
man kann nicht so einfach den treiber installieren, man braucht einen helper, und der helper ist ja nicht vertraut

Mal übertrieben: stell dir vor, der Java-Interpreter hat nen Leck. Sprich er öffnet gar nicht den Helper als extra programm, sondern denkt, der Code gehört zu ihm, sprich es gelang einen Zeiger umzubiegen, so dass statt eine süblichen Sprunges ein Sprung zum Schafcode ausgeführt wurde. Für KIS ist das ja immer noch das gleiche Programm und kein getrenntes. Von daher wäre ein extra Helper gar nicht nötig - und wenn das ursprungsprogramm schon genug Rechte für ein Treiberinstallation hat (beim ProcessExplorer fragt er ja auch nicht bei jedem Start wegen dem Treiber)...

 

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.