Bestanden vermommen helpt niet meer

15 mei 2009
Systeembeheerders willen graag paal en perk stellen aan het transport van bepaalde bestanden. Grote foto’s of mp3-bestanden, die een zwaar beslag leggen op de beschikbare bandbreedte. Of bestanden met een extensie die aangeeft dat het om geheime informatie gaat. Bestanden die absoluut niet voorbij de muren van het bedrijfspand mogen.
Een mogelijkheid om het verzenden van dat soort bestanden te belemmeren of in elk geval in de gaten te houden, is het plaatsen van een filter. Zodra dat filter een bestand met de extensie .mp3 tegenkomt, wordt de transmissie direct afgeknepen. Maar die methode is niet waterdicht.

Een veel toegepaste truc om het filter te omzeilen, is het wijzigen van de extensie van het bestand in bijvoorbeeld .pdf of .ppt, zodat het versturen gewoon kan doorgaan. Beide bestandstypen zijn doorgaans ruim bemeten – een .ppt-bestand van 4 megabyte is geen uitzondering – en dat biedt kwaadwillenden de mogelijkheid om grote bestanden ongezien te versturen. Of een medewerker vermomt zijn .mp3-files als een .pdf, zodat hij of zij de data gewoon op het eigen systeem kan opslaan zonder al te veel in de gaten te lopen.

Contentdetectie moet aan deze praktijken een einde maken. Het gaat om een techniek waarmee eenduidig kan worden vastgesteld om wat voor soort bestand het gaat. De techniek maakt een analyse van de bestanden en kijkt daarbij niet naar de extensie van de bestandsnaam.

In de nieuwe versie van het programma DeviceLock wordt deze techniek toegepast. DeviceLock heeft tot doel om bepaalde bestanden tegen te houden wanneer iemand tracht om ze naar buiten te smokkelen. Te denken valt aan versturen via een netwerk, of kopiëren naar een USB-stick. DeviceLock houdt die handelingen in de gaten en trapt op de rem wanneer een verboden bestandstype wordt opgemerkt.

De techniek wordt True File Type Detection genoemd en is in staat om precies te bepalen om wat voor soort bestand het gaat. “We maken gebruik van een soort handtekening, die aangeeft van welk type een bestand is. Het maakt niet uit of het bestand vermomd is, of in­gepakt in een omhulsel”, zegt Alexei Lesnyhk van de firma DeviceLock. Het is te vergelijken met de signatures van virussen, aan de hand waarvan een anti-viruspakket de malware kan opsporen.

“Gebruikers denken wel dat met onze techniek de volledige inhoud van een bestand wordt prijsgegeven, maar dat is niet zo. Het gaat ons alleen om het bestandstype en als dat eenmaal bepaald is, wordt een vervolgactie ondernomen. De naam Content Processing Engine die we aan de techniek hebben gegeven, is misschien wat misleidend”, aldus Lesnyhk.

De software bevindt zich in het datapad, en legt geen extra beslag op het besturingssysteem. De analyse van de bestandstypen gebeurt in realtime en er wordt alleen ingegrepen wanneer een verboden bestand wordt verstuurd of gemanipuleerd.

Het is mogelijk om per gebruiker of groep gebruikers aparte regels op te stellen. Zo kan een gebruiker toestemming hebben om Word-documenten weg te schrijven naar een USB-stick, maar begint het systeem te protesteren als hetzelfde wordt geprobeerd met een Excel-bestand. Op dit moment kan DeviceLock zo’n 3800 verschillende bestandstypen onderscheiden. “Die lijst wordt doorlopend uitgebreid, naarmate nieuwe bestandstypen worden bedacht door de softwaremakers”, zegt Lesnyhk.

Het analyseren van het bestandstype wordt ook gebruikt bij systemen die de performance van websites moeten optimaliseren. Een voorbeeld daarvan is het SiteCelerate-systeem, een product van Arahe Solutions uit het Verre Oosten. De firma heeft kantoren in Kuala Lumpur en China en is bezig met het opzetten van een partnernetwerk in Indonesië, Thailand en Singapore.

De indicatie van het bestandstype wordt gebruikt om een zo efficiënt mogelijk transmissieprotocol te kiezen, waardoor het transport van het bestand zo snel mogelijk verloopt. Onder meer wordt de grootte van de IP-pakketjes aangepast op het type gegevens dat moet worden verzonden. In de praktijk is al een snelheidswinst van minimaal 30 procent gemeten. Op basis van het gevonden bestandstype wordt ook een bepaald compressiealgoritme gekozen om de snelheid nog verder te kunnen vergroten.

De software van Arahe kan worden gestuurd door een set regels, die aangeven wat er met een bepaald bestandstype moet gebeuren, eventueel in combinatie met externe parameters. Als de bandbreedte bijvoorbeeld even schaars is, kan worden besloten om de verzending van een omvangrijk bestandstype even uit te stellen.
Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.