Come funziona esattamente la whitelist e cosa significa in termini di software antivirus?
La whitelist si ha quando la società antivirus contrassegna esplicitamente la firma di un file come sicura. A volte i programmi antivirus identificano erroneamente un file o un programma come malevolo, il che può impedire il funzionamento del programma. L'utente o lo sviluppatore del computer può quindi contattare l'azienda antivirus e chiedere che la firma del file sia contrassegnata come sicura. Il file non verrà più rilevato come dannoso e potrà essere riutilizzato.
Spesso per i programmi la firma del certificato di firma del codice del creatore è contrassegnata come attendibile. In questo modo tutti i programmi futuri firmati dalla società verranno ignorati dal software antivirus.
La whitelisting è solo una metodologia. La metodologia può essere applicata in molti modi.
Mostrerò due semplici esempi, front end e backend.
Quindi parliamo del front-end dell'utente:
Qui, la white list riguarda i file fidati o i certificati SSL, per assicurarsi che provengano da entità valide. Tuttavia, il certificato stesso può essere un punto di attacco, ad es. la firma può essere rubata e il malware può essere firmato con la firma rubata. Alla fine, potreste fidarvi di un malware prima che il certificato di root venisse scoperto (che è per lo più segnalato dalla società antivirus o da un altro esperto di sicurezza) e revocarlo.
La maggior parte dell'Antivirus utilizza il certificato per evitare falsi positivi, ma può ancora segnalare file / url con certificato valido se il motore di rilevamento ha trovato contenuti strani in un file / url.
Durante il back-end, la società di antivirus costruisce processi che controllano milioni di file importanti del software per assicurarsi che non vengano segnalati falsi positivi per rendere inutile il sistema dell'utente. In questo modo l'antivirus non contrassegna almeno la versione ~ 500 di Microsoft svchost.exe (varie correzioni e aggiornamenti di sicurezza Microsoft) come virus.
Basta controllare l'esempio precedente, si noterà che la whitelisting ha ereditato la debolezza e la complessità dell'usabilità. Non può mai essere utilizzato come unica misura di sicurezza per prevenire attacchi / exploit. Costruire un'applicazione che consente solo la whitelist di eseguire significa che si andrà a rompere le cose MOLTO VELOCI. D'altro canto, mettere milioni di file whitelist non aiuterà la tua azienda: la logistica per mantenere e spingere il file verso l'utente è costosa.
Se qualcuno è così ingenuo da credere che la sicurezza whitelist sia un business valido, gli investitori che investono su quelle attività vedranno i loro soldi vaporizzati in pochissimo tempo.
Questo è il motivo per cui gli antivirus di spicco raramente sfatano il mito delle whitelist, che è sopravvalutato da alcuni "esperti di sicurezza" e giornalisti dei media che non capiscono i problemi.
Leggi altre domande sui tag virus antivirus protection