Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 1. april 2005.
Under belejring
Bekæmpelse af virus og spam har i årevis virket som en kamp, hvor der dukkede nye fjender op hurtigere end man kunne nå at uskadeliggøre de gamle. Dette tema om spam og firewall peger imidlertid på opmuntrende udviklinger: Først og fremmest i form af en stigende erkendelse af, at problemerne skal løses i fællesskab og gennem åbenhed: Vejle Amts Informatikafdelings deler sine erfaringer med et ormeangreb. Og det danskudviklede Spamfighter-filter er baseret på, at brugerne melder ny spampost til en fælles server. Samtidig bliver bekæmpelsen af virus og spam mere offensiv, som udviklingen af løsninger, der bygger på hvidlister viser.
Antivirus-programmer sortlister virus udfra en signaturliste. Andre sikkerhedsprodukter anvender hvidlisting; kun programmer på en særlig liste får lov at blive anvendt af brugerne.
Hvidlister afløser i stigende grad sortlisterne. Antivirus-programmer har traditionelt brugt en liste over digitale kendetegn for forskellige vira til at forhindre, at computere inficeres med ondsindet kode. Står et program ikke på den sorte liste, vil anti-virus-programmet i de fleste tilfælde lukke programmet ind på computeren.
Men i stedet for blacklist-strategien, anvender en række sikkerhedsprodukter en whitelist-strategi. Her opbygges en liste med digitale kendetegn for programmer, som gerne må benyttes på computeren. Programmer som ikke står på listen er ikke velkomne. Der er således tale om en mere restriktiv sikkerhedspolitik, når man anvender whitelisting frem for blacklisting.
Ved at anvende den tættere og mere restriktive form for sikkerhed har firmaet SecureWave på få år opbygget en kundebase på mere end 300 kunder. Det Luxemburg-baserede firma startede i år 2000 med at udvikle sikkerhedsløsninger. Den første kunde var Scotland Yard, og siden da har SecureWave udbygget deres kundebase med en række institutioner med fokus på sikkerhed; eksempelvis det engelske forsvarsministerie, den amerikanske flåde og FBI.
Ved whitelist-strategien definerer en administrator, hvilke programmer, der har lov til at køre på en virksomheds pc'er.
Ud fra hvert programs eksekverbare fil beregnes en unik digital signatur, en hash-code, i SecureWaves tilfælde ved hjælp af SHA-1-algoritmen. De digitale signaturer samles i en SecureWave File Definition (SFD)-liste. Virksomhedens brugere kan enkeltvis eller i form af brugergrupper defineret i et Active Directory autoriseres til at få lov til at køre et eller flere af programmerne i SFD-listen.
Når en bruger forsøger at eksekvere et program, beregnes programmets hash-code og den sammenlignes med brugerens SFD-liste. Er der et match, kan programmet startes ellers får brugeren besked om, at han ikke er autoriseret til at starte programmet.
I begge tilfælde vil brugerens forsøg på aktivering af programmet blive logget af SecureWave.
Virus optræder ofte i form af scripts, som ikke har nogen eksekverbar fil. Ifølge Roger Wagner, VP Sales Continental Europe for Securewave, kan SecureWaves produkter også kontrollere afviklingen af VBScript, Microsoft VBA og Javascript. Det gøres blandt andet ved at definere hvilke stier, det er tilladt at udføre scripts i.
SecureWave kalder deres produkt for Sanctuary - Application Control Desktop. Produktet fungerer ved, at der installeres en klient-driver under operativsystem-niveau, så Application Control Desktop kan bestemme hvorvidt operativsystemet skal starte en applikation eller ej. Indtil videre findes produktet til alle windows-versioner samt til Citrix og Microsoft Terminal Services miljøer.
Ifølge Roger Wagner følger SecureWave med i udviklingen på Linux-desktoppen, men indtil videre er der ingen planer om en version til Linux.
Et stort udvalg af eksterne enheder, der kan tilsluttes computere er ensbetydende med en stor potentiel sikkerhedsrisiko. Når en USB-memory-stick sættes ind i en computer er der en risiko for at virus overføres til computeren. For at minimere den risiko har SecureWave et produkt, Sanctuary - Device Control, der i princippet fungerer på samme måde som Application Control Desktop. Hver enkelt enhed, der må anvendes på brugernes computere skal identificeres på en signaturliste. Derudover bliver det også defineret hvilke operationer, eksempelvis kopiering, sletning eller læs-ning, brugeren må foretage på den eksterne enhed. Brugerens tilladte operationer beskrives i en Access Control List (ACL).
Ifølge Roger Wagner er det enkelt at holde styr på de mange signaturlister og ACL. Der er mulighed for at opdatere listerne centralt og pushe dem ud til alle arbejdsstationerne. Roger Wagner nævner, at SecureWave har kunder med tyve arbejdsstationer op til 100.000 arbejdsstationer.
SecureWave er endnu ikke i de nordiske lande, men Roger Wagner forventer, at det vil ske i løbet af i år.
