Beheerders kunnen via Windows Events-logs checken of tijdens een malware-aanval gevoelige data lekken uit Windows-browsers die op Chromium zijn gebaseerd. Google geeft hiervoor een methode voor logging van events van de Data Protection API (DPAPI).
Volgens Google, dat de methode beschrijft in zijn Security-blog, kunnen beheerders via Windows Events makkelijker achterhalen of bij een malware-aanval gevoelige data is gestolen vanuit op Chromium gebaseerde webbrowsers voor het Windows-besturingssysteem. Denk hierbij niet alleen uit de Chrome-browser, maar bijvoorbeeld ook uit Microsoft Edge, FireFox, Opera, Brave of Vivaldi.
Functie DPAPI
Meer specifiek gaat het hierbij om mogelijk gestolen gegevens als wachtwoorden, cookies en andere data, geeft de techgigant aan. Dit alles via de zogenoemde Data Protection API (DPAPI).
De DPAPI zorgt voor de bescherming van lokale secrets, zoals wachtwoorden en cookies. De API werkt met een key die wordt afgeleid van de inloggegevens van een gebruiker. Dit moet voorkomen dat andere gebruikers op het systeem de data van de betreffende gebruikers kunnen stelen. Ook worden de secrets hiermee beschermd wanneer een systeem uitstaat.
Een nadeel is wel dat de DPAPI die aan secrets is gekoppeld, alleen werkt als gebruikers zijn ingelogd. Het biedt geen bescherming tegen lokale malware-aanvallen. Op een systeem aanwezige malware kan namelijk dezelfde API’s aanroepen als de browser om de specifieke DPAPI secrets te verkrijgen.
Logging van Windows-events
Volgens Google is nu toch meer DPAPI-eventinzicht mogelijk voor mogelijke datadiefstal. Het gebruik van DPAPI kan op meerdere plekken in Windows worden gelogd en is het dus mogelijk hieruit vast te stellen of data is ontvreemd.
De techgigant beschrijft in de blog daarom een methode hoe deze specifieke logging moet worden ingesteld. Google geeft hierbij aan dat diefstal van wachtwoorden en cookies door malware niet valt te voorkomen, maar dat het loggen van events in Windows toch inzicht biedt aan antivirus- en endpointdetectie-agents en beheerders, die daar vervolgens naar kunnen handelen.
Vandaar dat Google dan ook ten zeerste aanraadt deze logging-instellingen voor de DPAPI-events voor Chromium-gebaseerde browsers in Windows in te stellen.
Belangrijk is verder wel dat deze methode alleen geldt voor Windows. Voor op Chromium gebaseerde browsers voor andere besturingssystemen heeft Google nog geen logging-advies gegeven.
Lees ook: Chrome Enterprise Premium verbetert browser-security, tegen betaling