Startseite » Information & TK » conhIT 2017: Application Whitelisting im Gesundheitswesen – ist Malware-Injectionüber den Nvidia-Treiber und node.js eine Gefahr?

conhIT 2017: Application Whitelisting im Gesundheitswesen – ist Malware-Injectionüber den Nvidia-Treiber und node.js eine Gefahr?

Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 27.4.2017 zu Ende. Neben den klassischen Angeboten für IT-Lösungen in Krankenhäusern und Gesundheitseinrichtungen, ist nach 2016 der Bereich Netzwerksicherheit und Endpoint-Protection verstärkt in den Fokus der Unternehmen im Gesundheitssektor gerückt.
Bereits im Vorfeld der diesjährigen conhIT war das Thema Application Whitelisting in vielen deutschen Krankenhäusern eines von vielen auf der Agenda, wenn es darum ging, das hauseigene Sicherheitskonzept in der Zukunft weiter zu verbessern.
Im vergangenen Jahr waren vor allem Krankenhäuser von einer bisher nie dagewesenen Welle von erpresserischer Schadsoftware erfasst worden. Anfangs unvorbereitet, später wurden trotz erhöhter Vorsichtsmaßnahmen immer noch unzählige Netzwerke infiziert. Für SecuLution als Application Whitelisting Anbieter gab es hier viel zu tun, trotzdem ist Whitelisting kein Allheilmittel oder verspricht 100% Sicherheit.
Für Unternehmen die mit der Whitelisting Lösung aus Werl arbeiten, war die Schadsoftwarewelle 2016 hingegen kein Problem. Die Angriffe werden einfach blockiert, da die Software nicht bekannt ist. Dieser effektive und simple Mechanismus begeistert Besucher auch auf der conhIT.
Jedoch warf eine Erkenntnis des Beratungsunternehmens SEC die am 20. April 2017, also noch kurz vor der Messe veröffentlicht wurde, einen Schatten auf Whitelisting als Schutzmechanismus.
Im Beitrag (Link zum Beitrag) wird beschrieben, wie der Nvidia Grafiktreiber unter Windows scheinbar einen umbenannten Node.js Server installiert, über den sich Whitelisting (hier MS AppLocker) auf unterschiedliche Arten umgehen ließe, da dieser natürlich als vertrauenswürdig definiert ist. Genauer gesagt ermöglicht es die Anwendung ?Nvidia Web Helper Service? Angreifern auf die Windows APIs zuzugreifen, Schadcode als Node.js Modul zu schreiben oder über Addons in das System zu gelangen.
Andere Artikel folgten mit teilweise reißerischen Überschriften: ?Damit lassen sich Sicherungsmechanismen wie Application Whitelisting umgehen. Eingebauter Node.js-Server: Per Nvidia-Treiber lassen sich Schädlinge einschleusen.? (Link zum Beitrag)
Natürlich führten diese und andere Artikel zu Fragen, sowohl bei Administratoren, die momentan die SecuLution Whitelisting Lösung einsetzen, als auch bei Interessenten.
Whitelisting Experte Michael Tomala von SecuLution erklärt dazu folgendes: ?Der Node.js Prozess wird im Prinzip von der GeForce Experience Software gestartet, ist allerdings für die technisch einwandfreie Ausführung der Grafikkartentreiber selbst nicht notwendig, kann also im Regelsatz der Whitelist geblockt werden oder die Ausführung auf Administratoren eingeschränkt werden. So bekommen Sie weiter von Nvidia Informationen über vorhandene Updates und Ihre User sind vor Schadsoftware geschützt, die Node.js als Einfallstor nutzt. Kunden, die die Whitelisting Lösung SecuLution einsetzen, sind von dem im Blogposting beschriebenen Problem, dass über den Node.js Server eine Schadsoftware eingeschleust werden kann, nicht betroffen, da SecuLution anders als Microsofts Whitelisting Lösung AppLocker nicht auf Zertifikaten und Signaturen basiert, sondern die Hashes der Software auf der Whitelist prüft. Selbstverständlich ist der Hash einer Schadsoftware nicht auf der Whitelist, wodurch sie nicht ausgeführt werden kann. Anders als bei der Microsoft AppLocker Lösung spielt es bei SecuLution keine Rolle, wenn eine unerlaubte Software durch eine erlaubte Software (Node.js) gestartet wird.?
Wie bereits erwähnt, wird im SEC Blogpost (Link zum Beitrag) lediglich der Angriff auf das Whitelisting mit dem Microsoft AppLocker beschrieben, eine Generalisierung ist hier also nicht möglich. Whitelisting ist eine Technologie und kein Produkt.
Sowohl Besucher des SecuLution Messestands, als auch besorgte Kunden haben in diesem Zusammenhang also nichts zu befürchten, es bleibe aber natürlich ?immer ein Restrisiko, man kann eben nicht in die Zukunft schauen und 100% Sicherheit gibt es nicht.? ergänzt Torsten Valentin, Geschäftsführer und Erfinder von SecuLution.

SecuLution wurde 2001 von Geschäftsführer Torsten Valentin gegründet. Die Softwareschmiede entwickelt und vertreibt seine patentierte Endpoint Security Software “SecuLution” seitdem weltweit an Firmennetzwerke mit mehr als 50 Computerarbeitsplätzen und ist führend bei der Absicherung von Netzwerken durch Application-Whitelisting.
Danke des simplen Prinzips und der schnell einzurichtenden Softwarelösung sind Administratoren mit SecuLution in der Lage nur noch erwünschte Software im Unternehmen ausführen zu lassen. Schadsoftware hat keinen Chance mehr ausgeführt zu werden.
Die aktuelle Angriffswelle von Schadsoftware konnte bei keinem Kunden ? der SecuLution im Produktivalltag einsetzt ? für Ausfälle sorgen. Das Unternehmen setzt sich weltweit auf Fachmessen und Veranstaltungen für die Nutzung des Whitelisting-Prinzips in Netzwerken ein.

Posted by on 5. Mai 2017. Filed under Information & TK. You can follow any responses to this entry through the RSS 2.0. You can leave a response or trackback to this entry

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.


Blogverzeichnis - Blog Verzeichnis bloggerei.de Blog Top Liste - by TopBlogs.de Blogverzeichnis