23 september 2008

Een van de grote voorgangers in de IT gelooft dat het toepassen van 'white lists' een grote rol zal spelen in informatiebeveiliging. Ik zelf wordt daar niet enthousiast over. Zeker voor Windows is de naam van Dr. Mark Russinovich, nu een 'technical fellow' bij Microsoft, en zijn minder beroemde partner Bryce Cogswell, een bekend gegeven. Russinovich is beroemd als schrijver, waardoor hij de techische details van Windows toegankelijk heeft gemaakt voor de niet-technici, en als programmeur, door de utilities die hij heeft geschreven die tegelijkertijd Windows beter beheersen maar ook educatief werken. Russinovich en Cogswell richten het bedrijf Winternals op en ontwikkelden de gratis Windows Sysinternals tools. Microsoft kocht het bedrijf twee jaar geleden. Sommige van de producten van Winternals zijn als Microsoftproducten werder ontwikkeld, een aantal andere niet. De Sysinternals-site is er echter nog steeds, al is het nu in het Microsoft-domein, en Russinovich en Cogswell houden die site nog steeds bij. Een recent video interview met Russinovich besteedde ruime aandacht aan beveiliging. Het interview duurt ongeveer drie kwartier en we gaan hier wat nader in op de beveiligingsaspecten. Het is echter de moeite waard om het interview te beluisteren (dat is genoeg, want echt veel te zien is er niet).

Russinovich heeft veel te zeggen over Vista's UAC (User Access Control), daarbij wijzend op het feit dat het geen 'security barrier' is. UAC is informatief. Russinovich stelt dat 'UAC is merely informative. It is really meant for ISVs, not users: It's a way to get ISVs to write their software correctly, to save their users from having to deal with UAC'. Maar wat is dan de motivatie achter UAC als het geen beveiligingsfunctionaliteit is ? 'Users run things they shouldn't and it would be good if you could protect the system from the consequences of that. In the end, any effort to enforce such protection will lead to confusing interventions that users won't understand and won't appreciate. You can't just wall off apps from the rest of the system, at least not in the current Windows architecture'. Op langere termijn kijkt Russinovich is een andere richting voor beveiliging. Hij gaf daar jaren geleden al blijk van met het Winternals product Protection Manager, dat Microsoft niet opnieuw heeft uitgegeven. Protection Manager was een tool waarmee bedrijfs 'white lists' werden afgedwongen op netwerken. eWEEK heeft daar een hele positieve recensie over geschreven, maar mijn sinziens is het de vraag of dat succesvol kan zijn. Er zijn niet veel argumenten tegen, maar 'white lists' vereisen enorm veel werk. En er zijn beperkingen: 'vulnerabilities in software that lead to arbitrary code execution, such as the typical buffer overflow, would lead to malicious code running despite a whitelist. The way overflows work, the system thinks that it's the vulnerable program running the code, not some outside program, even though the code came in on an HTTP request or inside a word processing document or some other uninvited channel', zo stelt een van de critici. Russinovich benadrukt dat 'white lists need to be bolstered by other technologies Microsoft is pushing … which limit the damage software vulnerabilities can do'. Maar wat betreft de klanten ? Dat is denk ik het grootste probleem. Russinovich speculeert dat 'for a consumer the whitelist could consist of only getting their applications from one trusted source'. Ik twijfel eraan of de gebruikers het uiteindelijke geduld hebben om voortdurend er op gewezen te worden dat datgene wat ze willen downloaden niet uit een 'trusted source' komt. Russinovich stelt (en daarmee ben ik het eens) dat 'the only way to win against malware is to prevent it from running on the system. Once it runs, you have to presume that you've lost, and that nothing on the system is trustworthy anymore. If that's the case, and if tricks such as UAC can't do the job, then whitelisting is the only answer'. Maar ik blijf pessimistisch…