Das Internet Storm Center (ISC) hat sich die Mühe gemacht, Hash-Werte von rund 40 Millionen Programmen der National Software Reference Library (NSRL) in einer Datenbank so zusammenzustellen, dass man sie über ein Web-Frontend anfragen kann. Damit rückt eine Abkehr vom reinen Suchen nach allen möglichen Bösartigkeiten in greifbare Nähe.
Das US-amerikanische NIST pflegt eine umfangreiche Sammlung bekannter Programme und erstellt die Hash-Werte der enthaltenen Dateien. Über die lassen sich die Dateien eindeutig identifizieren. Dies wird derzeit vor allem dazu genutzt, um bei forensischen Untersuchungen Standarddateien ausblenden zu können. Genau so gut könnte man sie aber einsetzen, um etwa Fehlalarme für Standarddateien zu vermeiden.
Hätten Avira, Kaspersky, F-Secure & Co am Montag eine derartige Datenbank befragt, bevor sie Alarm schlugen, dann hätten sie gewusst, dass die Datei AcSignApply.exe mit dem MD5-Hash 5A3DA649CBBB4502559AA24972E0F302 vom NIST als bekannte AutoCAD-Datei geführt wird. Das heißt zwar noch nicht zwangsläufig, dass die Datei nicht doch eine Hintertür enthält. Aber zumindest einen Fehlalarm auf Grund sehr schwacher Verdachtsmomente, wie er offenbar vorlag, hätte man damit ohne weiteres vermeiden können.
Darüber hinaus sieht Johannes B. Ullrich vom ISC auch durchaus Potenzial, dass ein solches "Whitelisting" insbesondere im kontrollierten Firmenumfeld traditionelle Antiviren-Konzepte ablösen könnte. Aktuelle AV-Konzepte beruhen darauf, alle Eventualitäten einer möglichen Schädigung ("enumerating badness") abzudecken, was aber immer schwieriger wird. Da erscheint ein Whitelisting-Ansatz, der nur erlaubte Applikationen zulässt, natürlich attraktiv.
Allerdings hat er mit dem Problem zu kämpfen, dass selbst Administratoren meist nicht so genau wissen, welche Software auf einem System laufen sollte und welche nicht. Sich durch Updates ändernde Programme kommen als weitere Erschwernis hinzu, ergänzt Ullrich. Ein abgeschwächtes Whitelisting etwa auf Basis der NSRL-Datenbank, ergänzt um eigene Hashes, könnte jedoch den Pfad zu wirklich praktikablen Lösungen ebnen.
Die Datenbank des ISC erlaubt Anfragen zu Hash-Werten oder Dateinamen. Allerdings sind derzeit noch keine Dateien aus Windows 7 enthalten. Im Laufe der Zeit sollen zusätzliche Informationen aus weiteren vertrauenswürdigen Quellen hinzukommen, die dann klar als solche gekennzeichnet werden. Schon jetzt liefert das ISC auch eventuelle Treffer in der Malware Hash Registry von Team Cymru. Eine Abfrage via DNS-Lookup wird bereits diskutiert.
News-Meldung vom 16.02.2010 19:20