Bereits im Vorfeld der diesjährigen conhIT war das Thema Application Whitelisting in vielen deutschen Krankenhäusern eines von vielen auf der Agenda, wenn es darum ging, das hauseigene Sicherheitskonzept in der Zukunft weiter zu verbessern.
Im vergangenen Jahr waren vor allem Krankenhäuser von einer bisher nie dagewesenen Welle von erpresserischer Schadsoftware erfasst worden. Anfangs unvorbereitet, später wurden trotz erhöhter Vorsichtsmaßnahmen immer noch unzählige Netzwerke infiziert. Für SecuLution als Application Whitelisting Anbieter gab es hier viel zu tun, trotzdem ist Whitelisting kein Allheilmittel oder verspricht 100% Sicherheit.
Für Unternehmen die mit der Whitelisting Lösung aus Werl arbeiten, war die Schadsoftwarewelle 2016 hingegen kein Problem. Die Angriffe werden einfach blockiert, da die Software nicht bekannt ist. Dieser effektive und simple Mechanismus begeistert Besucher auch auf der conhIT.
Jedoch warf eine Erkenntnis des Beratungsunternehmens SEC die am 20. April 2017, also noch kurz vor der Messe veröffentlicht wurde, einen Schatten auf Whitelisting als Schutzmechanismus.
Im Beitrag (Link zum Beitrag) wird beschrieben, wie der Nvidia Grafiktreiber unter Windows scheinbar einen umbenannten Node.js Server installiert, über den sich Whitelisting (hier MS AppLocker) auf unterschiedliche Arten umgehen ließe, da dieser natürlich als vertrauenswürdig definiert ist. Genauer gesagt ermöglicht es die Anwendung „Nvidia Web Helper Service“ Angreifern auf die Windows APIs zuzugreifen, Schadcode als Node.js Modul zu schreiben oder über Addons in das System zu gelangen.
Andere Artikel folgten mit teilweise reißerischen Überschriften: „Damit lassen sich Sicherungsmechanismen wie Application Whitelisting umgehen. Eingebauter Node.js-Server: Per Nvidia-Treiber lassen sich Schädlinge einschleusen.“ (Link zum Beitrag)
Natürlich führten diese und andere Artikel zu Fragen, sowohl bei Administratoren, die momentan die SecuLution Whitelisting Lösung einsetzen, als auch bei Interessenten.
Whitelisting Experte Michael Tomala von SecuLution erklärt dazu folgendes: „Der Node.js Prozess wird im Prinzip von der GeForce Experience Software gestartet, ist allerdings für die technisch einwandfreie Ausführung der Grafikkartentreiber selbst nicht notwendig, kann also im Regelsatz der Whitelist geblockt werden oder die Ausführung auf Administratoren eingeschränkt werden. So bekommen Sie weiter von Nvidia Informationen über vorhandene Updates und Ihre User sind vor Schadsoftware geschützt, die Node.js als Einfallstor nutzt. Kunden, die die Whitelisting Lösung SecuLution einsetzen, sind von dem im Blogposting beschriebenen Problem, dass über den Node.js Server eine Schadsoftware eingeschleust werden kann, nicht betroffen, da SecuLution anders als Microsofts Whitelisting Lösung AppLocker nicht auf Zertifikaten und Signaturen basiert, sondern die Hashes der Software auf der Whitelist prüft. Selbstverständlich ist der Hash einer Schadsoftware nicht auf der Whitelist, wodurch sie nicht ausgeführt werden kann. Anders als bei der Microsoft AppLocker Lösung spielt es bei SecuLution keine Rolle, wenn eine unerlaubte Software durch eine erlaubte Software (Node.js) gestartet wird.“
Wie bereits erwähnt, wird im SEC Blogpost (Link zum Beitrag) lediglich der Angriff auf das Whitelisting mit dem Microsoft AppLocker beschrieben, eine Generalisierung ist hier also nicht möglich. Whitelisting ist eine Technologie und kein Produkt.
Sowohl Besucher des SecuLution Messestands, als auch besorgte Kunden haben in diesem Zusammenhang also nichts zu befürchten, es bleibe aber natürlich „immer ein Restrisiko, man kann eben nicht in die Zukunft schauen und 100% Sicherheit gibt es nicht.“ ergänzt Torsten Valentin, Geschäftsführer und Erfinder von SecuLution.