Evaluierung der Bedrohung durch fortschrittliche Angriffstechniken von Programmen mit Schadensfunktion

Größe: px
Ab Seite anzeigen:

Download "Evaluierung der Bedrohung durch fortschrittliche Angriffstechniken von Programmen mit Schadensfunktion"

Transkript

1 Evaluierung der Bedrohung durch fortschrittliche Angriffstechniken von Programmen mit Schadensfunktion Tobias Hoppe 1, Andreas Lang, Jana Dittmann Otto-von-Guericke Universität Magdeburg, Fakultät Informatik, Institut ITI, Arbeitsgruppe Multimedia and Security {tobias.hoppe, andreas.lang, Kurzfassung: Angriffe aus dem Internet stellen eine immer größere Bedrohung der Computersicherheit dar. Um dieser Gefährdung zu begegnen, haben sich im praktischen Einsatz von Computertechnik bereits verschiedene Schutzmaßnahmen etabliert. Angreifer versuchen daher zunehmend, die von ihnen eingesetzten Angriffsstrategien und -werkzeuge an die aktuellen Bedingungen anzupassen und zu verbessern. Wie es in jüngerer Vergangenheit auch zunehmend in der Berichterstattung der Medien anklang (insbesondere im Rahmen der durch den Kopierschutz XCP (Extended Copy Protection) ausgelösten Rootkit-Diskussion [2]), werden besonders zur Tarnung und dem Verstecken von Angriffen immer aufwendigere Mittel der Angreifer eingesetzt. Moderne Programme mit Schadensfunktion versuchen vorhandene Sicherheitslösungen zu umgehen und verbergen durch Einsatz fortschrittlicher Angriffstechniken sowohl ihre Existenz als auch ihre Kommunikation mit dem eigentlichen Angreifer. Damit eine Evaluierung der Bedrohung für die IT-Sicherheit durch moderne Programme mit Schadensfunktion durchführbar ist, haben wir zu Forschungs- und Simulationszwecken eine prototypische Implementierung eines entsprechenden Schadcodes vorgenommen, in dem fortschrittliche Angriffstechniken demonstrativ umgesetzt sind. Dieser Beitrag beschreibt den Schadcode und die Wirkungsweise, wie dieser im angegriffenen System agiert und stellt die Testergebnisse einer Versuchsreihe vor, in der verschiedene existierende Schutzmaßnahmen, welche auf dem Markt in Form von Produkten erhältlich sind, mit dieser prototypischen Implementierung konfrontiert wurden. Dabei zeigen die Testergebnisse des weiteren, welche Eigenschaften seine Erkennung und Klassifikation als Schadcode erschweren bzw. nicht ermöglichen. 1 Motivation Besonders beim produktiven Einsatz von Computersystemen ist die Anbindung an unsichere Netzwerke wie insbesondere das Internet in vielen Fällen unabdingbar: Beispielsweise benötigen Arbeitsplatzsysteme diesen Zugang, damit Mitarbeiter Recherchen im Internet durchführen können; Serversysteme benötigen ihn, wenn sie nach außen Dienste oder Ressourcen bereitstellen sollen. Dadurch werden diese Systeme jedoch gleichzeitig auch den daraus drohenden Gefahren ausgesetzt. Dies beginnt mit pauschalen Gefährdungen durch Computerviren, und -würmer, Adware und Spyware. Insbesondere Firmen sind zudem auch durch gezielte Angriffe bedroht (z.b. mit Ziel der Betriebsspionage oder Störung des Produktionsflusses), die beispielsweise mit Hilfe spezieller universeller Trojanischer Pferde [3] ausgeführt werden. Daher stellen umfangreiche Sicherheitsmaßnahmen im Rahmen einer konsequenten IT-Sicherheitspolitik eine der essentiellen Maßnahmen für Computernetzwerke dar. Entsprechend haben sich die eingesetzten Sicherheitsrichtlinien im Laufe der letzten Jahre stetig verbessert. Andererseits verbessern jedoch auch die Angreifer gleichzeitig ihre eingesetzten Angriffsstrategien und -techniken, um auch mittlerweile bewährte Schutzmaßnahmen umgehen zu können. 1 Dieser Beitrag basiert auf einer Diplomarbeit aus 2006 [1] 10. Deutscher IT-Sicherheitskongress des BSI 1

2 Evaluierung der Bedrohung durch fortschrittliche Angriffstechniken von Programmen mit Schadensfunktion Als Motivation dieser Arbeit dient ein modernes Angriffswerkzeug, das der deutsche Informatiker Tobias Klein auf der in Köln stattgefundenen Sicherheitskonferenz IT-Defense 2005 vorgestellt hat und von seinem Autor Zecke getauft wurde [4]. Indem die Nutzdaten bei einem Angriff in zulässigen Anwendungsprotokollen getunnelt werden, wird dessen Erkennung stark behindert. Da die Zecke ausschließlich im Arbeitsspeicher des befallenen Systems agiert, wird zum anderen der spätere Nachweis des Angriffs durch computerforensische Analysen erheblich erschwert. Ziel unserer Arbeit ist es, die Bedrohung durch diese neuartigen Schadprogramme zu evaluieren und die Wirksamkeit bestehender Schutzsoftware (Produkte) mit den verschiedenen Selbstschutztechniken des Schadcodes zu untersuchen. In [1] haben wir dazu diese Klasse moderner Schadprogramme (die in der Berichterstattung über Kleins Zecke generalisierend auch als (Computer-)Zecken bezeichnet werden [4,5] und als spezielle Form Trojanischer Pferde klassifiziert werden können [3]) formalisiert und zu Simulationszwecken einen eigenen Prototyp designed und entwickelt, der entsprechende fortschrittliche Angriffs- und Selbstschutztechniken umsetzt. Anhand dieser Implementierung haben wir die Wirksamkeit bestehender Sicherheitsprodukte gegen diese neuartige Schadcodeklasse in praktischen Versuchsreihen untersucht, deren Ergebnisse wir in diesem Beitrag vorstellen. Der Beitrag gliedert sich wie folgt: Zunächst wird in Abschnitt 2 die Funktionsweise der prototypischen Computerzecke beschrieben. In Kapitel 3 werden der Testaufbau, die exemplarisch gewählte Schutzsoftware sowie Ablauf und Ziel des Testangriffs vorgestellt. Die Ergebnisse dieser praktischen Versuche folgen in Kapitel 4, bevor eine abschließende Bewertung in Kapitel 5 sowie die Zusammenfassung in Kapitel 6 den Beitrag abschließen. 2 Der zur Simulation entworfene Prototyp einer Computerzecke In der prototypischen Implementierung werden gezielt verschiedene fortschrittliche Angriffstechniken umgesetzt, die dem Angriff eine möglichst gute Tarnung ermöglichen. Dieses Kapitel stellt die Eigenschaften der Zecke näher vor, die einerseits ihre Erkennbarkeit durch Virenschutzprogramme, Firewalls und weitere Schutzeinrichtungen betreffen sowie andererseits auch den nachträglichen Nachweis durch ggf. folgende computerforensische Analysen erschweren. 2.1 Überblick über den Ablauf eines charakteristischen Angriffs Den Ablauf eines charakteristischen Angriffs auf ein IT-System mit Hilfe einer Computerzecke veranschaulicht Abbildung 1. Abbildung 1: Skizzierung eines Angriffs mit einer Computerzecke Zunächst wird das Schadprogramm über eine geeignete Sicherheitslücke auf das Zielsystem eingeschleust (1). Es residiert fortan im Arbeitsspeicher der befallenen Anwendung (2) und kann darüber hinaus weitere Anwendungen befallen (3). Die Zecke agiert vollständig im Kontext ihrer Wirtsanwendung und kann durch Einsatz entsprechender Techniken auch in deren Kommunikation als Man in the Middle agieren. Dies ermöglicht ihr, ihre eigene Kommunikation mit dem Angreifer Deutscher IT-Sicherheitskongress des BSI

3 (4) in der zulässigen Kommunikation der Wirtsanwendung zu verbergen, wozu ihre Nutzdaten entsprechend formatkonform übertragen werden. Über den Einsatz reiner Tunnel-Techniken hinaus kann der Angreifer seine Kommunikation mit der eingeschleusten Zecke besonders wirksam vor Entdeckung schützen, indem er die zu übertragenen Daten zudem steganographisch in bestehenden Datenverkehr einbettet oder in Daten versteckt, die naturgemäß nicht im Klartext übertragen werden. 2.2 Funktionsweise des zu Simulationszwecken entworfenen Prototyps Die zu Simulationszwecken prototypisch implementierte Computerzecke ist in der Programmiersprache C/C++ und vereinzelt mit (Inline-) Assembler-Code für Betriebssysteme der Windows-NT-Familie implementiert. Sie ist für den Usermodus konzipiert, da eingeschleuster Schadcode in der Regel ohnehin zunächst im Usermodus zur Ausführung kommt und eine Ausbreitung in den Kernelmodus nicht in jedem Fall möglich bzw. auch notwendig ist. Als Schadfunktion stellt sie dem Angreifer einen rudimentären Befehlssatz bereit. Entwirft ein Angreifer derartigen Schadcode individuell für einen Angriff, so sind signaturbasierte Ansätze (wie sie klassischerweise von Virenschutzprogrammen eingesetzt werden) zu ihrer Erkennung prinzipbedingt nicht geeignet. Um die Erkennung durch computerforensische Analysen zu erschweren, agiert moderner Schadcode immer häufiger allein aus dem Arbeitsspeicher des befallenen Systems heraus, was daher auch im Entwurf des Prototyps berücksichtigt ist. Dadurch bedingt werden insbesondere Exploits als Einschleusungsweg betrachtet, da der eingeschleuste Code in diesem Fall in der Regel direkt in den Arbeitsspeicher des Zielsystems gelangt. Dagegen wird eingeschleuster Schadcode bei der Einschleusung über andere Wege (wie z.b. über Social Engineering per ) in vielen Fällen zumindest temporär auf den permanenten Datenträgern abgelegt, so dass der Angreifer hier eher mit zurückbleibenden Spuren des Schadcodes rechnen muss, die bei einer möglichen nachfolgenden forensischen Untersuchung erkannt werden können. Da ihr Code lediglich im flüchtigen Speicher residiert, ist die Zecke nicht resistent und überlebt folglich einen Neustart des Systems oder bereits der befallenen Anwendungen nicht. Der wie erwähnt über Exploits eingeschleuste Shellcode wird zusätzlich über Polymorphie abgesichert. Da ein Angreifer das Vorhandensein des aktiven Schadprogramms auch für die Anwender und ggf. vorhandene Schutzsoftware des befallenen Systems möglichst versteckt halten will, ist die prototypische Zecke so konzipiert, dass ihr Code stets im Kontext fremder Prozesse läuft. Durch diese Eigenschaft entfällt zudem die Notwendigkeit des zusätzlichen Einsatzes von Rootkit-Techniken, die ihre Präsenz in Prozesslisten verbergen. Der Prototyp ist weiterhin mit einer Code-Injection-Technik ausgestattet, damit er sich in der Simulation nach der Einschleusung in einen Prozess des Zielsystems auch in andere (als Wirtsprozess möglicherweise geeignetere) Prozesse ausbreiten kann. Als Grundlage hierzu dient eine bekannte DLL-Injection Technik, die für den vorliegenden Zweck so angepasst ist, dass der Kern der Zecke bei der Injektion in seinen Wirtsprozess nicht mehr als Datei im Dateisystem abgelegt zu werden braucht und auch im Zielprozess vom Betriebssystem nicht mehr als geladenes DLL-Modul registriert wird (vgl. dazu auch Abschnitt 2.3). Eines der wichtigsten Ziele des Angreifers, das Verbergen des Angriffs nach außen, erfordert, seine Kommunikation mit der eingeschleusten Zecke möglichst unauffällig abwickeln zu können. An dieser Stelle sind seitens des Angreifers neben hostbasierten Schutzprogrammen (wie z.b. Desktop-Firewalls oder hostbasierten IDS) insbesondere auch netzbasierte Schutzeinrichtungen wie Firewalls oder netzbasierte Intrusion Detection/Prevention Systeme (NIDS/NIPS) zu betrachten. Da der Angreifer seine Kommunikation in aller Regel nicht vollständig vor sämtlichen Schutzeinrichtungen verbergen kann, wird er zum Erreichen dieses Ziels versuchen, diese so abzuwickeln, dass sie von regulärem Datenverkehr möglichst nicht unterscheidbar ist. Dies ist bei der Konzeption des Prototyps für die Simulation wie folgt berücksichtigt: Als die bereits angesprochenen Wirtsprozesse für seine Zecke 10. Deutscher IT-Sicherheitskongress des BSI 3

4 Evaluierung der Bedrohung durch fortschrittliche Angriffstechniken von Programmen mit Schadensfunktion wird der Angreifer insbesondere solche Anwendungen wählen, die explizit mit dem Internet kommunizieren dürfen. Indem der eingeschleuste Schadcode deren Netzwerkschnittstellen gezielt mitnutzt, genießt er dadurch in vielen Fällen bereits auch deren anwendungsspezifische Netzzugriffsrechte. Zusätzlich hält sich die Zecke bei ihrer Kommunikation mit dem Angreifer an das jeweilige Protokoll der Wirtsanwendung, um so nicht bei Firewalls mit Inhaltsfilterung (Content- Inspection) aufzufallen. In diesem Kontext ist insbesondere noch darauf zu achten, dass die Zecke auch die Client-Server-Charakteristik ihrer Wirtsanwendung beibehält (Stateful Inspection): Nur wenn sie aus dem Speicher einer serverartigen Anwendung heraus agiert, darf der Angreifer die Zecke selbständig (in der Rolle eines entsprechenden Clients) kontaktieren; ist sie hingegen in einer clientartigen Anwendung untergebracht, muss sie den Angreifer kontaktieren. Die vom implementierten Prototyp für die Simulation unterstützen Kernmodule sind exemplarisch für Wirtsprozesse der Typen HTTP-Clients (Web-Browser, getestet mit Internet Explorer 6, Firefox 1.5 und Opera 8.5) und HTTP-Server (Web-Server, getestet mit Apache 2.0) entworfen. Um die Kommunikation zwischen Angreifer und Zecke über HTTP-Tunnel hinaus noch unscheinbarer zu gestalten, ist zusätzlich ein steganographisches Verfahren implementiert, um Nutzdaten in regulär ausgelieferte HTML-Dokumente einzubetten. Zur zusätzlichen Absicherung der Kommunikation und zur Authentifizierung des Angreifers gegenüber der Zecke wird ein hybrides Verschlüsselungsverfahren eingesetzt: Die Zecke wird dabei vom Angreifer bereits vor dem Angriff mit dessen öffentlichen Schlüssel ausgestattet. Nach der Einschleusung auf das Zielsystem nutzt die Zecke diesen, um dem Angreifer beim Beginn einer Sitzung den für die weitere Kommunikation generierten symmetrischen Session-Key verschlüsselt zu übermitteln. Erst nachdem sich das Gegenüber durch das korrekte Entschlüsseln des Session-Keys mittels seines geheimen Schlüssels als Angreifer authentifiziert hat, akzeptiert die Zecke Befehle des Angreifers (Abbildung 2). Abbildung 2: Eingesetztes Kryptographie-Schema 2.3 Eingesetzte Selbstschutz-Mechanismen der Computerzecke Ergänzend zu den Techniken, die die Grundfunktionalität der Zecke gewährleisten, ist der Prototyp mit Selbstschutz-Mechanismen ausgestattet, deren Wirkung gegen die getesteten Schutzeinrichtungen in den simulierten Angriffen untersucht wird. Diese betreffen gezielt die Tarnung vor hostbasierter Schutzsoftware und sollen die Chancen der Zecke erhöhen, einer Entdeckung zu entgehen. Die hierzu entworfenen Funktionen sind möglichst allgemein gehalten, d.h. nicht speziell auf einzelne Schutzprodukte zugeschnitten und werden im folgenden kurz vorgestellt. Versteckte DLL-Injektion Die erste Selbstschutz-Technik verbirgt sich hinter der bereits in Abschnitt 2.2 erwähnten Anpassung der eingesetzten DLL-Injection-Technik. Viele hostbasierte Schutzprodukte wie z.b. [12] oder [14] beinhalten eine so genannte Komponentenkontrolle, mit denen sie in der Lage sind, hinzugeladene DLL-Bibliotheken in bekannten Prozessen zu erkennen und darauf zu reagieren (z.b. durch Benachrichtigung des Anwenders oder Blockieren des Internetzugriffs für den betroffenen Prozess) Deutscher IT-Sicherheitskongress des BSI

5 Für die vorliegende Implementierung ist die zugrunde liegende DLL-Injection-Technik (über die Implementierung eines eigenen PE-Loaders) so abgewandelt, dass das injizierte Modul nicht mehr vom Betriebssystem als geladene DLL-Bibliothek des Wirtsprozesses registriert wird. So wird erreicht, dass das Modul nicht mehr über entsprechende Schnittstellen 2 an Schutzsoftware ausgegeben wird, ohne dass die Zecke diese Funktionen dazu über Rootkit-Techniken überwachen muss. User-Mode API-Bypassing Um aktiven Schadcode anhand seiner Verhaltensweise erkennen und abblocken zu können, fangen viele Schutzprogramme unabhängiger Hersteller die Aufrufe sicherheitskritischer Programmierschnittstellen (API, Application Programming Interface) über sog. API-Hooks ab, da die Verwendung solcher Systemfunktionen vom Betriebssystem selbst in vielen Fällen nicht restriktiv genug eingeschränkt wird. Dies ermöglicht ihnen, die Verwendung dieser kritischen Funktionen umfangreicher reglementieren zu können, als es das Betriebssystem es über reguläre Schnittstellen ermöglicht. In vielen Fällen richtet entsprechende Schutzsoftware diese Funktions-Hooks im Usermodus ein. Dazu werden insbesondere auch von Malware wie Usermode-Rootkits bekannte API- Hooking-Techniken eingesetzt wie z.b. das Ersetzen von Funktionszeigern in Import- oder Exporttabellen (IAT-/EAT-Hooking) sowie das Überschreiben von Funktionsanfängen mit Sprüngen in Abfangfunktionen (Inline Function Hooking). Da diese Techniken jedoch im virtuellen Adressraum der zu beobachtenden und möglicherweise kompromittierten Prozesse eingerichtet werden müssen, auf den der aktive Code uneingeschränkt zugreifen kann, stellt dies gerade für Sicherheitsanwendungen eine unzureichende Grundlage dar. Unter dem Namen API-Bypassing haben wir eine Technik implementiert, mit der die Zecke derartige Schutzfunktionen umgehen kann. Dazu wird beim Aufruf einzelner, sicherheitskritischer API-Funktionen zunächst eine bekannte Kopie deren erster (möglicherweise durch einen API-Hook überschriebenen) CPU-Befehle ausgeführt, bevor das Programm mit einem Sprung hinter die übersprungenen Bytes der Originalfunktion fortgesetzt wird. SDT-Restauration Andere Schutzprogramme richten Funktions-Hooks zur Reglementierung sicherheitskritischer Systemaufrufe über Kernel-Treiber direkt im Systemkern ein. Diese sind aufgrund der strikten Abschottung des Usermodus vom Systemkern zunächst deutlich besser gegen Manipulation durch (Usermode-)Schadcode geschützt. Allerdings gibt es auch auf dieser Ebene bisher noch keine offizielle Schnittstelle, die unabhängigen Herstellern von Schutzsoftware die Reglementierung von Systemfunktionen ermöglicht. In der Regel werden daher bis dato auch hier häufig Techniken eingesetzt, die ebenfalls von Malware (in diesem Fall hauptsächlich Kernelmode-Rootkits) bekannt sind. Dazu zählt insbesondere das Ersetzen von Einträgen der ServiceDescriptorTable (SDT- Hooking), die Funktionszeiger auf Kerneldienste enthält. Als Schutz gegen im Kernelmodus ansetzende Schutzsoftware haben wir eine Technik betrachtet, mit der entsprechende Schutzfunktionen aus dem Usermodus heraus unwirksam gemacht werden können. Diese unter der Bezeichnung SDT-Restauration bekannte Technik überschreibt durch direkten Schreibzugriff auf den physikalischen Speicher (wozu zuvor allerdings Administratorrechte erlangt werden müssen) manipulierte Funktionszeiger in der SDT wieder mit den Standardwerten, wogegen sich in der Vergangenheit bereits Schutzsoftware als anfällig erwiesen hat [6]. 3 Test-Szenario Anhand des implementierten Prototyps zur Simulation von potentiellen Angriffen haben wir exemplarische Tests in einer praktischen Versuchsreihe durchgeführt. Mit Hilfe dieser Tests haben 2 z.b. Toolhelp (http://msdn2.microsoft.com/en-us/library/ms aspx) oder Process Status API (http://msdn2.microsoft.com/en-us/library/ms aspx) 10. Deutscher IT-Sicherheitskongress des BSI 5

6 Evaluierung der Bedrohung durch fortschrittliche Angriffstechniken von Programmen mit Schadensfunktion wir die Wirksamkeit der verschiedenen Schutzprodukte gegen diesen Angriff mit den verschiedenen Selbstschutzmechanismen untersucht und so die praktische Bedrohung durch derartige moderne Angriffe demonstriert. In diesem Kapitel wird zunächst die Auswahl der getesteten Produkte begründet (3.1). Anschließend werden die Versuchsaufbauten und getesteten Produkte vorgestellt, was getrennt für netz- (3.2) und hostbasierte (3.3) Schutzprodukte erfolgt. In den abschließenden Abschnitten 3.4 und 3.5 werden Ablauf und Ziel des in beiden Versuchsteilen durchgeführten Testangriffs beschrieben. 3.1 Auswahl von IT-System-Schutzsoftware für die praktischen Tests Das Erkennen von Angriffen, die mit derartigem Aufwand stattfinden, stellt eine Herausforderung für die IT-Sicherheit dar. Klassische Schutzmaßnahmen wie restriktiv konfigurierte Firewalls oder aktuell gehaltene Virenschutzprogramme sind gegen derartigen, individuell entworfenen Schadcode prinzipbedingt schlecht geeignet. Eher bestimmt zur Erkennung und Abwehr derartiger Angriffe sind Intrusion Detection/Prevention-Systeme (IDS/IPS). Wie auch die simulierten Angriffe mit der prototypischen Computerzecke zeigen, stoßen jedoch auch diese gegenüber modernen Angriffstechniken schnell an ihre Grenzen. Dies betrifft besonders entsprechende Schutzprodukte, die rein netzbasiert arbeiten (z.b. NIDS/NIPS). Mit je größerem Aufwand die Kommunikation während des Angriffs getarnt wird, desto schwieriger kann diese allein durch Auswertung des abgewickelten Datenverkehrs von regulärer Kommunikation auseinander gehalten werden. Hostbasierte Schutzsoftware (z.b. HIDS/HIPS) hat systembedingt bessere Chancen zur Erkennung moderner Angriffe, da sie die Vorgänge auf dem Zielsystem selbst einsehen kann. Sie kann so das Verhalten aller aktiver Software beaufsichtigen, eingedrungenen Schadcode unter anderem anhand verdächtiger Verhaltensmuster erkennen und ggf. einschreiten. In den Tests werden entsprechend zum größten Teil hostbasierte Schutzprodukte betrachtet, da auf dieser Ebene am ehesten eine mögliche Erkennung des simulierten Angriffs zu erwarten ist. Die ausgewählten Produkte und deren getestete Versionen werden im Rahmen der Beschreibung des Versuchsaufbaus in den beiden folgenden Abschnitten genannt. 3.2 Aufbau des Versuchs mit einem netzbasierten IDS Als Vertreter für netzbasierte Schutzeinrichtungen ist exemplarisch das verbreitete, unter Linux laufende Open-Source-IDS Snort in Version [7] ausgewählt. Es stellt nach eigenen Angaben den de facto standard in intrusion detection and prevention dar. Für die Tests wird die in Abbildung 3 gezeigte Versuchsanordnung verwendet: Das IDS ist zusammen mit der benötigten Bibliothek libpcap 3 sowie dem zum Testzeitpunkt aktuellen Regelsatz auf einem eigenständigen Linux-System installiert. Dieses wird an den Monitoring-Port des eingesetzten Netzwerk-Switches angeschlossen, so dass das IDS den gesamten Datenverkehr des lokalen Netzwerks untersuchen und Auffälligkeiten in seiner Protokolldatei vermerken kann. Ausgehend von der Standardkonfiguration des IDS werden mehrere dem Versuchsaufbau angemessene Anpassungen an der Konfiguration vorgenommen. Dazu wird der Adressbereich des zu schützenden lokalen Netzwerks angegeben und ein auf Port 80 laufender und aus dem Internet erreichbarer Webserver auf dem Zielsystem eingetragen (der über eine Buffer-Overflow- Schwachstelle das Einschleusen des Test-Schadcodes ermöglicht). Um die Chancen auf eine erfolgreiche Erkennung des Angriffs zu erhöhen, werden zusätzlich die Regelsätze backdoor und Deutscher IT-Sicherheitskongress des BSI

7 shellcode aktiviert (diese sind standardmäßig deaktiviert, da sie beispielsweise häufig false positives generieren oder sehr performance-lastig arbeiten) und Port 80 zu den Ports hinzugefügt, auf denen nach Shellcode gesucht werden soll. Abbildung 3: Aufbau für Versuche mit einem exemplarischen netzbasierten IDS Nach erfolgter Konfiguration wird Snort im NIDS-Modus gestartet und der in Abschnitt 3.4 vorgestellte Testangriff durchgeführt. Auf dem für diesen Versuch als Zielsystem zur Verfügung stehenden Computer ist ein Windows 2000 Betriebssystem installiert. 3.3 Aufbau für die Versuche mit exemplarisch gewählten hostbasierten Schutzsystemen Für die Tests hostbasierter Schutzsoftware werden ausgehend von einer Windows-XP-SP2- Installation verschiedene zusätzliche Sicherheitsprodukte anderer Hersteller getestet. Um Seiteneffekte durch die wechselnden (De-)Installationen auszuschließen, ist das Testsystem für diese Versuchsreihe in einer virtuellen Maschine (unter VirtualPC 2004 SP1) aufgesetzt, deren Zustand nach jedem Versuch zurückgesetzt wird (vgl. Abbildung 4). Abbildung 4: Aufbau für Versuche mit hostbasierten Schutzsystemen Im folgenden werden die exemplarisch ausgewählten hostbasierten Schutzsysteme und deren jeweilige Versionen vorgestellt, die im simulierten Angriff mit dem Prototyp getestet wurden. Neben dem zugrunde liegenden Windows-XP-System selbst (das mit Service-Pack 2 sowie allen zum Testzeitpunkt aktuellen Sicherheitspatches und aktivierter Windows Firewall ausgestattet ist) wurde darauf aufbauend zum einen das hostbasierte Intrusion Detection System a² Personal IDS des Herstellers EMSI Software [8] betrachtet. 10. Deutscher IT-Sicherheitskongress des BSI 7

8 Evaluierung der Bedrohung durch fortschrittliche Angriffstechniken von Programmen mit Schadensfunktion Des weiteren wurden sieben verschiedene Desktop-Firewall-Systeme bzw. Internet-Security-Suiten getestet (Agnitum Outpost Firewall Pro [9], BitDefender 9 Internet Security [10], Sunbelt Kerio Personal Firewall [11], Sygate Personal Firewall 5.5 Platinum [12], Tiny Software Tiny Firewall 2005 Pro [13], Zone Labs ZoneAlarm und ZoneAlarm Internet Security [14]). Deren eigentliche Firewall-Funktionalität steht an dieser Stelle weniger im Blickpunkt der Untersuchungen. Fast jedes dieser Produkte verwendet gleichzeitig moderne integrierte Schutztechnologien gegen Schadcode, ebenfalls häufig in Form von integrierten IDS/IPS-Komponenten oder in Form von Technologien, die z.b. Heuristics in Virtual Environment, Advanced Trojan Protection, AntiSpyware oder Betriebssystem-Firewalls betitelt werden. Diese haben zumeist die Aufgabe, aktiven Schadcode anhand seiner Verhaltensweise (z.b. den Einsatz bekannter Malware-Techniken wie Schadcode-Injektionen) zu erkennen und so unter anderem auch den Aufbau ungewünschter Kommunikation verhindern zu können. Da auch die in der Simulation eingesetzte, prototypisch implementierte Zecke derartige Malware-Techniken einsetzt, fällt die Erkennung und Blockierung dieses Testangriffs ebenfalls in das Aufgabengebiet dieser Produkte. Zusätzlich wurden mit den Produkten DiamondCS ProcessGuard Free [15] und System Safety Monitor [16] zwei weitere hostbasierte Schutzprodukte getestet, die speziell die Infektion durch modernen Schadcode wie insbesondere Rootkits verhindern. Dazu überwachen sie ebenfalls die Verwendung sicherheitskritischer Betriebssystemfunktionen (die von derartigen Schadprogrammen häufig zur Infektion genutzt werden) und reglementieren deren Verwendung stärker. 3.4 Ablauf des Testangriffs Während ein Anwender unter einem eingeschränkten Benutzerkonto des Zielsystems arbeitet, ermöglicht eine Sicherheitslücke eines mit seinen Rechten laufenden Programms dem Angreifer das Einschleusen seines Schadcodes. Sobald dieser aktiv wird, macht er einen geöffneten Browser- Prozess ausfindig und injiziert das eigentliche Kern-Modul der Zecke in dessen Arbeitsspeicher. Die Zecke nutzt diesen Prozess in der Folge als Wirt, der ihr den Aufbau einer unauffälligen Kommunikation mit dem Angreifer ermöglicht. Dies erfolgt in den folgenden Schritten: Sobald die in den Browserprozess injizierte Zecke aktiviert wird, kontaktiert sie in Form einer HTTP- Anfrage den als Web-Server agierenden Angreifer. Im Zuge dieser, wie regulärer HTTP-Verkehr aussehenden, Kommunikation fordert die Zecke nach dem Schlüsselaustausch und der Authentifizierung des Angreifers ein verschlüsseltes Befehlsskript an, das sie anschließend ausführt und dessen Ergebnisse sie formatkonform und verschlüsselt an den Angreifer zurück übermittelt. Für die durchgeführte Testreihe wird ein Befehlsskript eingesetzt, das das Nachladen einer verschlüsselten Bilddatei vom Angreifer bewirkt. Diese wird nach der Entschlüsselung im Eigene Dateien -Verzeichnis des befallenen Systems abgelegt und als sichtbares Zeichen für das Gelingen des Angriffs geöffnet. Um im Rahmen der praktischen Versuchsreihen die Reaktion der einzelnen Schutzprodukte auf den Testangriff genauer zu untersuchen, werden die in Abschnitt 2.3 vorgestellten Selbstschutzmechanismen in verschiedenen Kombinationen getestet. Der Angriff wird jeweils zunächst unter Verwendung versteckter DLL-Injektion mit aktiviertem API-Bypassing durchgeführt. Während im Test netzbasierter Produkte keine abweichenden Ergebnisse zu erwarten sind, werden in den Versuchen mit hostbasierter Schutzsoftware anschließend noch drei weitere Testfälle untersucht: die ebenfalls unterstützte klassische DLL-Injektionstechnik mit weiterhin aktiviertem API-Bypassing, sowie versteckte und klassische DLL-Injektion jeweils ohne API-Bypassing. In den Fällen, in denen der Prototyp seine Erkennung durch die Schutzsoftware im Test durch keine dieser Konfigurationen verhindern kann, wird in einem zusätzlichen fünften Test versucht, einen ggf. vorhandenen Kernelmode-Schutz mittels SDT-Restauration zu deaktivieren Deutscher IT-Sicherheitskongress des BSI

9 3.5 Testziel Ziel der durchgeführten Simulation des Testangriffs ist es, zu untersuchen, ob und welche der getesteten Sicherheitseinrichtungen auch Schadcode wirksam erkennen und abwehren können, der fortschrittliche Angriffstechniken einsetzt. Anhand der prototypisch implementierten modernen Angriffstechniken der Computerzecke (welche auf bekannten Schadcode-Techniken aufbauen) soll somit untersucht werden, inwieweit verschiedene Schutzprodukte, die als Mittel gegen derartige Angriffe auf IT-Systeme eingesetzt werden, gegen entsprechende Angriffe tatsächlich einen Schutz bieten. Dabei wird insbesondere betrachtet, welche Eigenschaften der Zecke (vor allem die in 2.3 vorgestellten Selbstschutzmechanismen) eine Erkennung erschweren oder nicht ermöglichen. 4 Testergebnisse Dieses Kapitel stellt die Ergebnisse der durchgeführten Simulationsreihen des in Abschnitt 3.4 vorgestellten Testangriffs mit den exemplarisch ausgewählten Schutzprodukten vor und diskutiert diese. Dazu werden zunächst die Ergebnisse der Tests mit netz- und anschließend hostbasierter Schutzsoftware einzeln vorgestellt. Abschließend folgt eine bewertende Zusammenfassung der gesamten Testergebnisse. 4.1 Tests netzbasierter Schutzeinrichtungen Die Tests netzbasierter Schutzeinrichtungen liefern folgende Ergebnisse: Produkt N01 Der simulierte Angriff mit dem Prototyp wird von diesem Intrusion-Detection-System nicht erkannt. Zwar befindet sich in der Log-Datei anschließend ein zugehöriger IDS-Eintrag. Dieser kann bei anschließenden Untersuchungen jedoch als unbedeutend eingestuft werden, denn das IDS hat anhand des von uns zufällig gewählten Dateinamens upload.php auf eine potentielle Verwundbarkeit des für die Einschleusung des Schadcodes präparierten Webservers geschlossen. Nach dem Umbenennen dieser Datei werden keine IDS-Einträge mehr generiert, die Kommunikation zwischen der eingeschleusten Zecke und dem Angreifer bleibt unerkannt. 4.2 Tests hostbasierter Schutzeinrichtungen In den folgenden Abschnitten werden die ermittelten Testergebnisse der hostbasierten Schutzprodukte einzeln vorgestellt und anschließend zusammengefasst: Produkt H01, H02 und H03 In den Tests mit den Produkten H01, H02 und H03 kann gezeigt werden, dass der Prototyp seine Wirksamkeit in allen Fällen entfalten kann. Sowohl in der Ausgangskonfiguration (versteckte DLL- Injektion und aktiviertes API-Bypassing) als auch bei den weiteren Tests (dem selektiven Deaktivieren dieser Selbstschutztechniken der Zecke) erkennen oder verhindern die Schutzfunktionen der getesteten Produkte den Testangriff nicht. Nach der Einschleusung des Schadcodes gelingen die Code-Injektion in den Wirtsprozess und der Aufbau der verschlüsselten Kommunikation mit dem Angreifer in jedem Fall. Produkt H04 Dieses Produkt erkennt den ersten, unter Verwendung von versteckter DLL-Injektion und API- Bypassing durchgeführten Testangriff nicht. Das selektive Deaktivieren dieser Selbstschutz- Funktionen zeigt, dass das integrierte IDS von Produkt H04 den Testangriff erkennen kann, sofern die klassische DLL-Injektionstechnik angewendet wird. In diesem Fall bemerkt die integrierte (jedoch standardmäßig deaktivierte) Komponentenkontrolle das vom Browser hinzugeladene Zecken-Modul 10. Deutscher IT-Sicherheitskongress des BSI 9

10 Evaluierung der Bedrohung durch fortschrittliche Angriffstechniken von Programmen mit Schadensfunktion und meldet es dem Nutzer. Dieser muss wiederum entscheiden, ob das unbekannte DLL-Modul von nun an zugelassen oder die Browserkommunikation beendet werden soll. Im Test hat die Zecke das verschlüsselte Laden und Öffnen der Bilddatei aus dem Internet zu diesem Zeitpunkt in mehreren Fällen bereits erfolgreich abgeschlossen. Produkt H05 Dieses Produkt erkennt den anfangs durchgeführten Testangriff mit aktiviertem API-Bypassing und versteckter DLL-Injektion nicht. Die anschließende Variation der Selbstschutzmechanismen ergibt, dass dies auch im Fall der klassischen DLL-Injektionstechnik mit oder ohne aktivem API-Bypassing zutrifft. Die integrierte HIPS-Komponente erkennt den Angriff, sofern die versteckte DLL- Injektionstechnik ohne aktives API-Bypassing eingesetzt wird. In diesem Fall verhindert Produkt H05 das Starten des injizierten Schadcodes und meldet den Befall des Browsers mit der Meldung Eindringversuch blockiert. Produkt H06 Der simulierte Testangriff mit versteckter DLL-Injektion und API-Bypassing wird durch dieses Produkt nicht erkannt. Bei den weiteren Tests zeigt sich, dass Produkt H06 prinzipiell dazu in der Lage ist, den Angriff in der Phase der Injektion in den Wirtsprozess zu erkennen und mit der Meldung Injecting Code into other process abzublocken. Dabei spielt es keine Rolle, ob die klassische oder versteckte DLL-Injektionstechnik eingesetzt wird, das API-Bypassing des eingesetzten Prototyps muss jedoch inaktiv sein, um eine Erkennung durch Produkt H06 zu ermöglichen. Produkt H07 Beim Durchführen des Testangriffs unter Verwendung von versteckter DLL-Injektion und API- Bypassing erkennt das Produkt H07 die Bedrohung nicht: Der eingeschleuste Schadcode bringt das Kernmodul der Zecke problemlos in seinem Wirtsprozess unter und dieses baut die verschlüsselte Kommunikation mit dem Angreifer auf. Beim selektiven Deaktivieren dieser Selbstschutz-Techniken zeigt sich, dass Produkt H07 sowohl klassische als auch versteckte DLL-Injektion als gefährliches Verhalten erkennen und abblocken kann, sofern dabei kein API-Bypassing eingesetzt wird. In diesem Fall gibt das Produkt eine Warnmeldung über den injizierenden Prozess aus mit der Diagnose Programm versucht aktive Programme zu manipulieren oder Code einzuschleusen, wobei der Nutzer wählen kann, ob dieses Verhalten dem injizierenden Prozess genehmigt oder unterbunden werden soll. Produkt H08 Im Test mit Produkt H08 wird der getestete Angriff bei Verwendung von API Bypassing und versteckter DLL-Injektion erfolgreich erkannt und unterbunden. Dies erfolgt, indem die Manipulation des Browser-Speichers festgestellt, diesem der Netzzugriff entzogen und eine entsprechende Meldung über den Vorfall einblendet wird ( Der Netzwerkzugriff für iexplore.exe wurde blockiert, weil der entsprechende Speicher von einem anderen Prozess geändert wurde ). Dies trifft auch ohne Verwendung von API Bypassing sowie bei der Verwendung der klassischen DLL-Injektionstechnik zu, die zusätzlich auch über die integrierte Komponentenkontrolle erkannt wird. Da der Angriff bis zu diesem Punkt in keiner Kombination gelingt, wird an dieser Stelle das in 2.3 beschriebene Zurücksetzen der ServiceDescriptorTable versucht und kann erfolgreich durchgeführt werden. Anschließend sind die Schutzfunktionen des Produkts nicht mehr aktiv und der Testangriff gelingt. Produkt H09 In der Simulation erkennt und unterbindet Produkt H09 den Testangriff in allen getesteten Kombinationen der unterstützten DLL-Injektionstechniken mit und ohne API-Bypassing. In der Phase der Code-Injektion wird der benötigte Aufruf der Funktion OpenProcess() abgefangen und dem Nutzer als verdächtige Verhaltensweise gemeldet. Verweigert dieser die Weiterausführung, so kann der Angriff erfolgreich gestoppt werden. Nähere Untersuchungen zeigen, dass das Produkt die zugehörige Kernelfunktion ZwOpenProcess über einen Kerneltreiber durch einen SDT-Hook abfängt. Der abschließend unternommene Versuch des Rücksetzens der ServiceDescriptorTable mittels SDT Deutscher IT-Sicherheitskongress des BSI

11 Restauration wird ebenfalls von dem Produkt unterbunden, indem es auch den direkten Zugriff auf \device\physicalmemory verweigert. Produkt H10 Dieses Produkt erkennt und unterbindet den getesteten Angriff mit oder ohne versteckte DLL- Injektion sowie API-Bypassing. In der Phase der Injektion des Zecken-Moduls in den gewählten Wirtsprozess fängt Produkt H10 die verwendeten sicherheitskritischen API-Aufrufe ab, die aus dem Kontext der von der Sicherheitslücke betroffenen Anwendungen ausgeführt werden, und meldet diese dem Benutzer. Entscheidet dieser, dass die gemeldeten Systemaufrufe nicht ausgeführt werden dürfen, wird der Angriff erfolgreich abgewehrt und der Kern der Zecke kann nicht im gewählten Wirtsprozess untergebracht werden. Auch dieses Produkt richtet die dazu nötigen Funktionshooks im Systemkern ein und erkennt auf diese Weise zudem den Versuch der SDT-Restauration. Sofern der Nutzer des Systems nicht alle gemeldeten Systemaufrufe explizit zulässt, kann Produkt H10 den Testangriff effektiv abwehren. Produkt H11 Produkt H11 erkennt und unterbindet die vom eingeschleusten Schadcode versuchte Manipulierung des Browser-Speichers, unabhängig davon ob die klassische oder versteckte DLL-Injektionstechnik mit oder ohne API-Bypassing eingesetzt wird. Eine nähere Analyse ergibt, dass auch dieses Produkt mit Hilfe eines eigenen Kernel-Treibers über SDT-Hooks sicherheitskritische Systemfunktionen überwacht. Auch den Versuch der SDT-Restauration erkennt und unterbindet Produkt H11 zuverlässig. 4.3 Zusammenfassung der Testergebnisse Wie auch der simulierte Testangriff mit der prototypischen Zecke zeigt, sind netzbasierte Schutzmaßnahmen wie Firewalls oder NIDS/NIPS-Systeme gegen derartige moderne Angriffswerkzeuge nur sehr eingeschränkt nützlich, da ein solcher Angriff allein anhand der Kommunikation zwischen der eingedrungenen Zecke und dem Angreifer von regulärer Kommunikation formell praktisch kaum zu unterscheiden ist. Sie können in Einzelfällen jedoch in der Phase der Einschleusung des Schadprogramms durchaus sinnvoll sein, beispielsweise wenn eingehende Daten charakteristische Merkmale für (bekannte) Exploits aufweisen. Sobald ein moderner Schadcode wie eine Computerzecke (möglicherweise auch auf anderen Wegen wie z.b. Social Engineering) auf das Zielsystem gelangt ist, sind die Möglichkeiten netzbasierter Schutzeinrichtungen zur Erkennung eines solchen Angriffs jedoch sehr begrenzt. Bereits einleitend wurde angemerkt, dass hostbasierte Schutzsoftware systembedingt aussichtsreicher zum Erkennen entsprechender Angriffe ist, da sie selbst auf den zu schützenden Systemen ausgeführt wird und dadurch bessere Einblicke in die Geschehnisse hat. Gerade aus dieser Tatsache ergeben sich jedoch erhebliche Risiken für ihre Zuverlässigkeit. Eingedrungener Schadcode kann sich durch Einsatz geeigneter (Rootkit-)Techniken vor vorhandener Schutzsoftware verstecken oder diese alternativ direkt manipulieren/deaktivieren und so wirkungslos machen. Dies zeigen auch mehrere der simulierten Testangriffe mit dem Prototyp, der mit Hilfe entsprechender Selbstschutz-Mechanismen (vgl. 2.3) die Schutzfunktionen mehrerer Produkte umgehen konnte. Eine zusammenfassende Übersicht über die simulierten Angriffe mit dem Prototyp liefert Tabelle 1. Die erste Ergebnisspalte fasst die Ergebnisse der jeweils ersten Angriffskonfiguration zusammen, bei der beide den Usermode betreffenden Selbstschutztechniken versteckte DLL-Injektion und API- Bypassing eingesetzt wurden. Die drei folgenden Spalten zeigen die Ergebnisse der folgenden Versuche, in denen diese Techniken selektiv deaktiviert wurden. Die rechte Spalte betrifft die Versuche, in denen zusätzlich die im Kernelmode wirksame Selbstschutztechnik SDT-Restauration eingesetzt wurde. Dieser Versuch wurde nur durchgeführt, sofern keine der Usermode-Techniken zum Gelingen des Angriffs führte und die verantwortlichen Schutzfunktionen daher im Kernelmodus 10. Deutscher IT-Sicherheitskongress des BSI 11

12 Evaluierung der Bedrohung durch fortschrittliche Angriffstechniken von Programmen mit Schadensfunktion vermutet wurden, weswegen bei diesem Zusatztest auch auf die Kombinationen der Usermode- Selbstschutztechniken verzichtet wurde. =Angriff erfolgreich DLL-Injektion: versteckt klassisch versteckt klassisch versteckt =Angriff abgewehrt API-Bypassing: aktiv nicht aktiv aktiv Ø=nicht simuliert SDT-Restauration: nein ja Produkt N01 Ø Ø Ø Ø Produkt H01 Ø Produkt H02 Ø Produkt H03 Ø Produkt H04 Ø Produkt H05 Ø Produkt H06 Ø Produkt H07 Ø Produkt H08 Produkt H09 Produkt H10 Produkt H11 Tabelle 1: Zusammenfassende Übersicht der Testergebnisse Wie der Auflistung entnommen werden kann, zeigen sich 8 der 11 getesteten hostbasierten Schutzprodukte prinzipiell im Stande, den durchgeführten Angriff zumindest unter einer der getesteten Angriffskonfiguration erkennen zu können, während nur 3 Produkte den Angriff in keiner dieser Konfigurationen erkennen. Die getesteten Selbstschutzmechanismen des Prototyps (vgl. 2.3) wirkten sich bei 5 der 11 hostbasierten Produkte sichtbar auf die (Nicht-)Erkennung des Angriffs aus: Bei gleichzeitiger Verwendung sämtlicher Selbstschutz-Mechanismen der Zecke (dies ergibt sich durch Kombination der ersten und letzten Ergebnisspalte) erkennen lediglich noch 3 Produkte den getesteten Angriff. Neben der versteckten DLL-Injektion und der SDT-Restauration zeigte besonders der Einsatz der API-Bypassing-Technik gegen einen bemerkenswerten Teil (27%) der getesteten hostbasierten Sicherheitsprodukte Wirkung. Dies belegt, dass mehrere der getesteten Schutzprodukte zum Erkennen typischer Malware-Verhaltensweisen wie Code-Injektion sicherheitskritische Systemfunktionen mit Hilfe von API-Hooks im Usermodus überwachen. Wie in den Tests anhand der Selbstschutz-Technik Usermode-API-Bypassing demonstriert wurde, können diese durch Schadcode jedoch vergleichsweise leicht umgangen werden. Die direkt im Systemkern ansetzenden Test-Produkte konnten den simulierten Testangriff insgesamt wirksamer abwehren. Die dazu von derartiger Schutzsoftware bis dato häufig eingesetzten Manipulationen am Systemkern werden durch die Kernelschutztechnik PatchGuard [17] jedoch zunehmend unterbunden (die Technik ist in den 64-bittigen Windows-Versionen bereits aktiv). Daher sahen sich kürzlich mehrere unabhängige Hersteller von Sicherheitssoftware in ihren Möglichkeiten stark eingeschränkt und forderten eine offiziell unterstützte Schnittstelle zur Realisierung derartiger Schutzfunktionen. In Kooperation mit diesen Unternehmen wurde inzwischen der Entwurf einer entsprechenden Sicherheits-API angekündigt, die jedoch nicht vor Service-Pack 1 für Windows Vista erwartet wird [18]. 5 Abschließende Bewertung, verbleibende Schutzmaßnahmen und Ausblick Wie die praktischen Tests ergeben haben, erkennt die Mehrzahl der getesteten Schutzprodukte den simulierten Angriff mit der prototypisch implementierten Zecke bei Verwendung aller Selbstschutzmechanismen nicht. In allen Fällen, in denen der Testangriff abgewehrt wird, geschieht dies nur durch hostbasierte Produkte und nur zu dem Zeitpunkt, zu dem der eingedrungene und aktiv gewordene Schadcode den eigentlichen Kern der Zecke in den gewählten Wirtsprozess (in diesem Fall den Browserprozess) injiziert. Brisanterweise ist dieser Schritt für das Gelingen des Angriffs jedoch nicht zwingend erforderlich: Eignet sich bereits derjenige Prozess, in dem der per Exploit eingeschleuste Schadcode zur Deutscher IT-Sicherheitskongress des BSI

13 Ausführung kommt, als Wirtsprozess für die Zecke und wird seine Weiterausführung nicht durch Nebenwirkungen des Exploits gefährdet, so brauchen keine lokalen Code-Injektionen mehr durchgeführt zu werden. Damit entfiele der einzige Anhaltspunkt, anhand dessen der Angriff mit dem implementierten Prototyp in den durchgeführten Simulationen erkannt wird, denn die initiale Ausführung des eingeschleusten Schadcodes wird von keinem der getesteten Produkte unterbunden. Hinzu kommt, dass die im Prototyp verwendeten Selbstschutztechniken noch sehr allgemein gehalten sind und ein Angreifer entsprechende Techniken auch individuell auf einzelne Schutzprodukte zuschneiden könnte (z.b. über Konfigurationsänderungen oder Simulieren von Nutzerinteraktionen). Auch dadurch wird deutlich, dass selbst die in unserem Test noch stets wirksamen hostbasierten Produkte gegen entsprechend entworfenen Schadcode kaum einen sicheren Schutz bieten dürften. Die aktuelle Problematik lässt sich in den folgenden Feststellungen verdeutlichen: Einerseits können netzbasierte Schutzmaßnahmen zur Erkennung moderner Angriffe nur sehr eingeschränkt eingesetzt werden. Andererseits sind die prinzipiell aussichtsreicheren, hostbasierten Schutzmaßnahmen derzeit stark durch verschiedenste Manipulationen gefährdet, die durch eingedrungenen Schadcode vorgenommen werden können. Für moderne IT-Sicherheitstechnik werden daher dringend Lösungen benötigt, mit denen sich ein wirksamerer Schutz von hostbasierten Sicherheitsmaßnahmen realisieren lässt. Aktuelle Produkte entgegnen dies durch Einsatz verschiedener Techniken vom laufenden, zu überwachenden System aus. Dabei besteht grundsätzlich das Restrisiko, dass dieses möglicherweise gleichzeitig durch eingedrungenen Schadcode kompromittiert wird und konsequenterweise nicht mehr als vertrauenswürdig angesehen werden kann. Diese Lösung verlagert die Problematik daher allenfalls. Mit aktuellen Mitteln lässt sich ein Befall durch fortschrittlichen Schadcode am ehesten über computerforensische Live-Analysen nachweisen. Selbst diese nachträgliche Beweissicherung, in deren Zuge vom laufenden kompromittierten System die Inhalte flüchtiger Speicher gesichert werden, ist in diesem Szenario eine problematische Aufgabe. Einerseits ist für diesen Zweck aufgespielte Software ebenso von der Kompromittierung ihrer Ergebnisse durch den aktiven Schadcode bedroht. Andererseits sind dessen verbleibende Spuren im Arbeitsspeicher nach Beendigung des Angriffs nur in einem sehr kurzen Zeitfenster zu erwarten, während für forensische Analysen überhaupt erstmal ein Anfangsverdacht aufgekommen sein muss. Auch mit neuen Techniken wie Trusted Computing wird es weiterhin schwer bleiben, einen Schutz gegen das Eindringen von Schadcode in laufende IT-Systeme zu erreichen. Insbesondere betrifft dies rein speicherbasierte Angriffe wie den vorgestellten, bei denen der Schadcode über Programmierschwachstellen vertrauenswürdiger Software eingeschleust wird. Ein alternativer Lösungsansatz für diese Problematik bestünde darin, die Erkennungskomponenten sowie Forensikfunktionen zur Sicherung flüchtiger Speicherinhalte zukünftig aus dem laufenden System heraus zu verlegen. Dadurch wären diese Schutzkomponenten vom überwachten System aus nicht mehr sichtbar und direkte Übergriffe durch eingedrungenen Schadcode ausgeschlossen [19]. Dies ließe sich einerseits über hardwaregestützte Ansätze erreichen (z.b. durch Hardware-Komponenten, die wie in [20] direkt auf den Hauptspeicher zugreifen). Andererseits könnte auch die zunehmend populärer werdende Virtualisierungstechnologie genutzt werden, um ein virtuelles System von außerhalb zu beobachten und auf Hinweise für eingedrungenen Schadcode zu untersuchen. Dieser Grundansatz, der bereits 2003 für die Überwachung eines virtualisierten Gastsystems prototypisch realisiert wurde [21], könnte zukünftig deutlich an praktischer Bedeutung gewinnen: Aktuelle Desktop-Prozessoren stellen inzwischen spezielle Virtualisierungsbefehlssätze bereit, die es erlauben, parallel mehrere Betriebssysteme nativ auf derselben Hardware betreiben zu können. Insbesondere in diesem Umfeld könnte ein entsprechendes Schutzsystem effektiv und praxisnah ansetzen. Techniken, um Informationen über aktive Prozesse, Threads, Netzwerkverbindungen etc. direkt aus dem Abbild 10. Deutscher IT-Sicherheitskongress des BSI 13

14 Evaluierung der Bedrohung durch fortschrittliche Angriffstechniken von Programmen mit Schadensfunktion des Kernelspeichers zu extrahieren, sind aus der Live-Forensik bereits bekannt [22], müssten ggf. jedoch noch für den Betrieb in einer Echtzeitumgebung angepasst werden. Die vorgestellte Bedrohung durch Angriffe über speziell zugeschnittene, moderne Schadcodes beschränkt sich jedoch nicht allein auf Windows- oder Linux-Systeme im speziellen oder gar PC- Systeme im allgemeinen. Während IT zunehmend in verschiedenste Bereiche unseres alltäglichen Lebens einzieht, muss auch dort zunehmend mit gezielten Angriffen auf die geschaffenen Strukturen gerechnet werden. Als Beispiel sei angeführt, dass Automobilhersteller künftig erweiterte Softwarekomponenten in Fahrzeugen einsetzen wollen [23]. Da aktuelle Fahrzeuge bereits jetzt eine stetig wachsende Zahl komplexer, über verschiedene Bus-Systeme kommunizierender IT- Komponenten beinhalten und zukünftig auch drahtlose Kommunikation zwischen Fahrzeugen an Bedeutung gewinnen wird, müssen seitens der Hersteller besonders auch in diesen Bereichen neben reinen Safety-Aspekten zunehmend auch (IT-)Security-Gesichtspunkte berücksichtigt werden. Andernfalls könnten gezielte Angriffe (möglicherweise aus terroristischem Hintergrund heraus) neben der Verletzung der IT-Security gerade in diesem Umfeld sofort auch konkrete Gefährdungen für Leib und Leben der Kunden bedeuten. 6 Zusammenfassung Motiviert durch die Zecke von Tobias Klein haben wir zu Simulationszwecken einen eigenen Prototyp dieser Schadcodeklasse entworfen und implementiert, der in der Lage ist, allein aus dem Arbeitsspeicher des Zielsystems heraus einem Angreifer über eine verdeckte und verschlüsselte Kommunikation Zugriffe auf dieses System zu ermöglichen. Anhand dieser Implementierung haben wir die Bedrohung durch derartige moderne Angriffswerkzeuge in mehreren praktischen Simulationen untersucht. Durch Verwendung dreier allgemein gehaltener Selbstschutztechniken Verstecke DLL- Injektion, API-Bypassing und SDT-Restauration der Zecke ließen sich die Schutzfunktionen von fünf der getesteten hostbasierten Produkte umgehen. Während drei Produkte den Angriff in keiner der getesteten Konfigurationen erkannten, gelang drei anderen die Erkennung und Abwehr des Testangriffs in jedem Fall. Verallgemeinernd wurde festgestellt, dass netzbasierte Schutzeinrichtungen wie NIDS/NIPS-Systeme gegen Angriffe über modernen Schadcode wie Computerzecken als alleiniger Mechanismus bisher schwer wirksam eingesetzt werden können. Während deutliche Spuren eines entsprechenden Angriffs nur innerhalb des betroffenen Systems und nur zeitnah zum Zeitraum des Angriffs zu erwarten sind, sind dafür vorgesehene hostbasierte Schutzprodukte jedoch gegenwärtig stark durch geschickte Tarnung sowie Manipulationen des eingedrungenen Schadcodes bedroht. Als kommende Herausforderung für die IT-Sicherheit werden dringend wirksame Sicherheitskonzepte gegen derartige fortschrittliche Angriffsstrategien benötigt. Dies beschränkt sich durch den zunehmend verbreitenden Einsatz von IT-Strukturen zudem längst nicht mehr allein auf klassische Computernetzwerke. 7 Danksagung Die Arbeiten und Ergebnisse bzgl. des kryptographischen Designs und der dazugehörigen Implementierung, die in dieser Veröffentlichung beschrieben sind, werden von der Europäischen Union innerhalb des IST-Programms, Vertrag IST ECRYPT, unterstützt. Die Arbeiten und Konzepte der Bedrohungsanalyse im Automobil sind durch die Unterstützung und die Arbeiten innerhalb des Projektes Forschungsschwerpunkt Automotive (http://www.unimagdeburg.de/automotive/) entstanden Deutscher IT-Sicherheitskongress des BSI

15 8 Literaturhinweise [1] Tobias Christian Hoppe: Diplomarbeit Evaluierung der Bedrohungssituation von Computerzecken, Otto-von-Guericke Universität Magdeburg, Fakultät für Informatik, 2006 [2] Dirk Knop: Sony BMGs Kopierschutz mit Rootkit-Funktionen, Heise Security, 2005, [3] Stefan Kiltz, Andreas Lang, Jana Dittmann; Klassifizierung der Eigenschaften von Trojanischen Pferden ; In: Patrick Horster (Ed.), D-A-CH Security 2006; Bestandsaufnahme, Konzepte, Anwendungen, Perspektiven; Syssec, Duesseldorf, Germany; S , ISBN: ; 2006 [4] Dirk Wetter: Monokulturen, Zecken und Kuckuckseier, ix 03/2005, Heise Zeitschriften Verlag, 2005 [5] Arno Kral, IT Defense 2005: Hacker knackt Firewalls, THG Business 2005, [6] Chew Keong Tan, Defeating Kernel Native API Hookers by Direct Service Dispatch Table Restoration, 2004 [7] Snort - the de facto standard for intrusion detection/prevention, Oct [8] Perfekter Schutz vor Zero-Day Angriffen mit der Verhaltensanalyse-Technologie - a- squared Malware-IDS, Oct [9] Outpost Firewall PRO - Personal Firewall, Oct [10] BitDefender AntiVirus Virenscanner AntiSpam Firewall Software Data Security, Oct [11] Remove Spyware - Antispyware for Home, SMB, Enterprise, Oct [12] Sygate Personal Firewall 5.5, Oct [13] TINY Software - Tiny Software, Inc., Oct [14] Zone Labs, Oct [15] Rootkit protection, block the world's worst spyware trojans with ProcessGuard anti rootkit, Oct [16] System Safety Software, Oct [17] Windows Hardware Development Central, Patching Policy for x64-based Systems, 2006, [18] Dirk Knop, Microsoft legt Entwurf für Sicherheitsschnittstellen vor, Heise Security, 2006, [19] Tobias Klein: Computer Forensik Live Analyse (Präsentation auf der IT-Defense 2006: [20] Brian D. Carrier, Joe Grand: A Hardware-Based Memory Acquisition Procedure for Digital Investigations, Journal of Digital Investigations, 2004 (Paper: [21] Tal Garfinkel, Mendel Rosenblum: A Virtual Machine Introspection Based Architecture for Intrusion Detection, In Proceedings of the Internet Society's 2003 Symposium on Network and Distributed System Security, 2003 (Paper: [22] A. Schuster, Searching for Processes and Threads in Microsoft Windows Memory Dumps, In Proceedings of the Sixth Annual Digital Forensic Research Workshop, 2006 (Paper: [23] dpa: Vernetztes Auto von Ford und Microsoft, Heise online, 2006, 10. Deutscher IT-Sicherheitskongress des BSI 15

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

McAfee Total Protection Vereinfachen Sie Ihr Sicherheits-Management

McAfee Total Protection Vereinfachen Sie Ihr Sicherheits-Management McAfee Vereinfachen Sie Ihr Sicherheits-Management Seit der erste Computervirus vor 25 Jahren sein Unwesen trieb, hat sich die Computersicherheit dramatisch verändert. Sie ist viel komplexer und zeitaufwendiger

Mehr

Getestete Programme. Testmethode

Getestete Programme. Testmethode PDF-EXPLOIT XPLOIT V Welche Folgen hat das Öffnen einer PDF Datei, die ein Exploit enthält? Als Antwort ein kleiner Test mit sieben Programmen und einem typischen PDF-Exploit. Getestete Programme AVG Identity

Mehr

IRS in virtualisierten Umgebungen

IRS in virtualisierten Umgebungen Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

26. November 2007. Die Firewall

26. November 2007. Die Firewall Die Firewall Was ist eine Firewall! Eine Firewall kann Software oder Hardware sein. Die Windows Vista Firewall ist eine Software Lösung. Ihre Aufgabe ist es, Daten aus dem Internet (Netzwerk) zu prüfen

Mehr

McAfee Advanced Threat Defense 3.0

McAfee Advanced Threat Defense 3.0 Versionshinweise McAfee Advanced Threat Defense 3.0 Revision A Inhalt Über dieses Dokument Funktionen von McAfee Advanced Threat Defense 3.0 Gelöste Probleme Hinweise zur Installation und Aktualisierung

Mehr

IT-Sicherheit in Werbung und. von Bartosz Komander

IT-Sicherheit in Werbung und. von Bartosz Komander IT-Sicherheit in Werbung und Informatik von Bartosz Komander Gliederung Einführung Anti-viren-software Verschlüsselungssoftware Firewalls Mein Fazit Quellen 2 Einführung Was ist eigentlich IT-Sicherheit?

Mehr

DLS 7.0 Microsoft Windows XP Service Pack 2. Anleitung zur Konfiguration

DLS 7.0 Microsoft Windows XP Service Pack 2. Anleitung zur Konfiguration DLS 7.0 Microsoft Windows XP Service Pack 2 Anleitung zur Konfiguration Projekt: DLS 7.0 Thema: MS Win XP SP 2 Autor: Björn Schweitzer Aktualisiert von: Andreas Tusche am 18.08.2004 2:38 Dateiname: xpsp2.doc

Mehr

MALWARE AM BEISPIEL VON STUXNET

MALWARE AM BEISPIEL VON STUXNET MALWARE AM BEISPIEL VON STUXNET IAV10/12 24.05.2011 Jan Heimbrodt Inhalt 1. Definition Was ist Malware? 2. Kategorisierung von Malware Viren, Würmer, Trojaner, 3. Was macht Systeme unsicher? Angriffsziele,

Mehr

Cisco ProtectLink Endpoint

Cisco ProtectLink Endpoint Cisco ProtectLink Endpoint Kostengünstige Daten- und Benutzersicherheit Wenn der Geschäftsbetrieb erste Priorität hat, bleibt keine Zeit für die Lösung von Sicherheitsproblemen, ständiges Patchen und Bereinigen

Mehr

Exploits Wie kann das sein?

Exploits Wie kann das sein? Exploits Durch eine Schwachstelle im Programm xyz kann ein Angreifer Schadcode einschleusen. Manchmal reicht es schon irgendwo im Internet auf ein präpariertes Jpg-Bildchen zu klicken und schon holt man

Mehr

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert: Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal

Mehr

Aufgabe 3 Storm-Worm

Aufgabe 3 Storm-Worm Aufgabe 3 Storm-Worm Bot: kompromittierte Maschine Kommunikationskanal, der dem Angreifer die Kontrolle über den Bot und somit das System gestattet Botnetz: Zusammenschluss mehrerer Bots koordinierte Distributed-Denial-Of-Service-Angriffe

Mehr

Computerviren, Würmer, Trojaner

Computerviren, Würmer, Trojaner Computerviren, Würmer, Trojaner Computerviren, Würmer und Trojaner zählen zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Diese Programme können sich selbst verbreiten und

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

Desktop Personal Firewall und Virenscanner

Desktop Personal Firewall und Virenscanner Desktop Personal Firewall und Virenscanner Desktop Personal Firewall Was ist eine Firewall und wie kann diese unterschieden werden? Wie funktioniert eine Firewall? Was ist zu beachten? Virenscanner Was

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Seminar aus Informatik

Seminar aus Informatik 2012-06-15 Intrusion Detection Systems (IDS) Ziel: Erkennung von Angriffen und Ausbrüchen Host Based IDS Läuft auf dem Host Ist tief im System verankert Hat Zugriff auf: Prozessinformationen Netzwerkverkehr

Mehr

Avira Professional / Server Security. Date

Avira Professional / Server Security. Date Date Agenda Wozu benötige ich einen Virenschutz für Workstations/Server? Systemanforderungen der Avira Professional Security Was bietet die Avira Professional Security? Systemanforderungen der Avira Professional

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet DesktopSecurity Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet Ralf Niederhüfner PROLINK internet communications GmbH 1 Desktop Security Szenarien

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Avira AntiVir 10 Service Pack 2 Release-Informationen

Avira AntiVir 10 Service Pack 2 Release-Informationen Release-Informationen Erhöhte Zuverlässigkeit / Stabilität: Der AntiVir-Scanner repariert die Registrierungsschlüssel, die von Malware verändert wurden MailGuard verhindert einen Absturz während des Scans

Mehr

Firewalls für Lexware Info Service konfigurieren

Firewalls für Lexware Info Service konfigurieren Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. Manueller Download... 2 2. Allgemein... 2 3. Einstellungen... 2 4. Bitdefender Version 10... 3 5. GDATA Internet Security 2007...

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

Cross-View based Rootkit Detection

Cross-View based Rootkit Detection Cross-View based Rootkit Detection Neue Wege in der digitalen Forensik Wilhelm Dolle Director Information Technology interactive Systems GmbH Competence Center For Applied Security Technology (CAST) -

Mehr

KAV/KIS 2014 Global Messaging- Leitfaden

KAV/KIS 2014 Global Messaging- Leitfaden KAV/KIS 2014 Global Messaging- Leitfaden Headlines Kaspersky Internet Security 2014 Kaspersky Anti-Virus 2014 Premium-Schutz für den PC Essenzieller PC-Schutz Produktbeschreibung 15/25/50 Kaspersky Internet

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Linux Arbeitsspeicheranalyse

Linux Arbeitsspeicheranalyse Linux Arbeitsspeicheranalyse 19. DFN Cert Workshop Peter Schulik, Jan Göbel, Thomas Schreck Agenda 1. Warum ist Speicheranalyse unter Linux wichtig? 2. Speicherakquise 3. Speicheranalyse 4. Volatility

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

-------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------- Fast Facts: Der aktuelle IT-Schutzstatus vieler Unternehmen lässt zu wünschen übrig In 30 Prozent der Unternehmen fehlt es schon an den Grundlagen, denn dort ist nicht einmal der Malware-Schutz komplett

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

Paradigmenwechsel in der IT-Security Wir brauchen einen ausgeglichen Zustand

Paradigmenwechsel in der IT-Security Wir brauchen einen ausgeglichen Zustand Paradigmenwechsel in der IT-Security Wir brauchen einen ausgeglichen Zustand Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Systemsicherheit am ITMZ. 17.02.2011 UNIVERSITÄT ROSTOCK IT- und Medienzentrum Jörg Maletzky 1

Systemsicherheit am ITMZ. 17.02.2011 UNIVERSITÄT ROSTOCK IT- und Medienzentrum Jörg Maletzky 1 17.02.2011 UNIVERSITÄT ROSTOCK IT- und Medienzentrum Jörg Maletzky 1 Agenda Wie konfiguriere ich ein sicheres und robustes System? Stand der Sicherheit bei aktuellen Windows-Systemen das Positive, das

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

OutpostPro Security Suite

OutpostPro Security Suite Darf ich vorstellen: Outpost Pro Security Suite 2009 Vor mehr als einem Jahr habe ich mich zum Kauf dieser Sicherheitssoftware entschlossen und bis dato diesen Schritt nicht bereut. Warum - das versuche

Mehr

Virtual Private Networks Cisco AnyConnect VPN Client Windows / opensuse / Mac OS X

Virtual Private Networks Cisco AnyConnect VPN Client Windows / opensuse / Mac OS X FORSCHUNGSZENTRUM JÜLICH GmbH Jülich Supercomputing Centre 52425 Jülich, (02461) 61-6402 Beratung und Betrieb, (02461) 61-6400 Technische Kurzinformation FZJ-JSC-TKI-0410 W.Anrath, S.Werner, E.Grünter

Mehr

KASPERSKY SECURITY FOR VIRTUALIZATION

KASPERSKY SECURITY FOR VIRTUALIZATION KASPERSKY SECURITY FOR VIRTUALIZATION SCHUTZ FÜR SERVER, DESKTOPS & RECHENZENTREN Joachim Gay Senior Technical Sales Engineer Kaspersky Lab EXPONENTIELLER ANSTIEG VON MALWARE 200K Neue Bedrohungen pro

Mehr

Hamachi Guide. 1. Warum baut Hamachi keine Verbindung zum Server auf?

Hamachi Guide. 1. Warum baut Hamachi keine Verbindung zum Server auf? Hamachi Guide 1. Warum baut Hamachi keine Verbindung zum Server auf? 2. Korrekte Einstellungen bei Vista mit Erläuterung & Bild 3. Korrekte Einstellungen bei XP mit Erläuterung und Bildern 4. Wo finde

Mehr

eytron VMS Webanwendung Fehlersuche und -Behebung

eytron VMS Webanwendung Fehlersuche und -Behebung eytron VMS Webanwendung Fehlersuche und -Behebung 2009 ABUS Security-Center GmbH & Co. KG, Alle Rechte vorbehalten Diese Anleitung soll Ihnen Unterstützung für den Fall geben, dass die Webanwendung nach

Mehr

Konfiguration von Sophos Anti-Virus für Windows

Konfiguration von Sophos Anti-Virus für Windows Konfiguration von Sophos Anti-Virus für Windows Diese Konfigurationsanleitung beschreibt die grundlegenden Einstellungen von Sophos Anti-Virus. Bei speziellen Problemen hilft oft schon die Suche in der

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2 disk2vhd Wie sichere ich meine Daten von Windows XP? Inhalt Thema Seite Vorwort 1 Sichern der Festplatte 2 Einbinden der Sicherung als Laufwerk für Windows Vista & Windows 7 3 Einbinden der Sicherung als

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können

Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können Inhalt Was bisher geschah 2 Was passiert am 8. März 2012? 2 Wie teste ich meine Interneteinstellungen? 3 Auf dem PC 3 Auf dem Router 5 Allgemeine

Mehr

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Copyright Brainloop AG, 2004-2014. Alle Rechte vorbehalten. Dokumentenversion 2.0 Sämtliche verwendeten Markennamen und Markenzeichen

Mehr

Win7Deploy Seite 2 von 17. Was ist Win7Deploy?

Win7Deploy Seite 2 von 17. Was ist Win7Deploy? Win7Deploy Seite 1 von 17 Win7Deploy Eine einfache, passgenaue und kostengünstige Lösung um Windows 7 in Ihrem Unternehmen einzuführen [ www.win7deploy.de ] Ablauf einer Win7Deploy Installation am Beispiel

Mehr

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security 1. Einführung Im folgenden wird die Handhabung des Programmes Norton Internet Security erklärt. NIS ist ein umfassendes Programm,

Mehr

Systemvoraussetzungen Windows Server 2008 Windows Server 2008 R2

Systemvoraussetzungen Windows Server 2008 Windows Server 2008 R2 Systemvoraussetzungen Windows Server 2008 Windows Server 2008 R2 Basis: HiScout 2.5 Datum: 17.06.2015 14:05 Autor(en): HiScout GmbH Version: 1.1 Status: Freigegeben Dieses Dokument beinhaltet 13 Seiten.

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick

IT-Schwachstellenampel: Produktsicherheit auf einen Blick Fotolia Andrew Ostrovsky IHK-INFORMATIONSVERANSTALTUNG: IT-SICHERHEIT: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick 1 Aktuelle Lage 2 Bedrohungen für

Mehr

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei!

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Eine Auswertung der seit Beginn des Jahres aufgetretenen Phishingfälle, sowie unterschiedliche mediale Beiträge zum Thema Phishing, zeigen

Mehr

Neue Herausforderungen des Selbstdatenschutzes im Internet

Neue Herausforderungen des Selbstdatenschutzes im Internet Neue Herausforderungen des Selbstdatenschutzes im Internet Christian Krause Technisches Referat im ULD Windows 98 Vielleicht Windows XP. Aber dann natürlich kein Auto-Update! denn Micro$oft ist böse. Internet

Mehr

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden Der Wurm Lizenzmanager Der Wurm Lizenzmanager dient als Lizenzserver für Software der Firma Wurm. Die Installation erfolgt auf einem Rechner innerhalb des jeweiligen Intranets. Dadurch kann auf separate

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH Trend Micro Deep Security Tobias Schubert Pre-Sales Engineer DACH Trends in Datenzentren Schutz von VMs VMsafe Der Trend Micro Ansatz Roadmap Virtual Patching Trends in Datenzentren Schutz von VMs VMsafe

Mehr

Anti-Viren-Software als integraler Bestandteil einer IT-Security-Strategie

Anti-Viren-Software als integraler Bestandteil einer IT-Security-Strategie Anti-Viren-Software als integraler Bestandteil einer IT-Security-Strategie Warum man trotzdem nicht vor Würmern sicher ist Folie Nr. 1 Marc Schneider Vorstellung Bei AV-Test.de für Server- und Groupware-Tests

Mehr

Hinweise zur Verwendung von myfactory unter Windows XP mit Service Pack 2

Hinweise zur Verwendung von myfactory unter Windows XP mit Service Pack 2 Hinweise zur Verwendung von myfactory unter Windows XP mit Service Pack 2 Durch Verbesserungen der Sicherheitsstandards seitens Microsoft sind mit der Installation des Service Pack 2 für XP zum fehlerfreien

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Agentenunterstütztes IT-Sicherheitskonzept für Automatisierungssysteme

Agentenunterstütztes IT-Sicherheitskonzept für Automatisierungssysteme Universität Stuttgart Institut für Automatisierungs- und Softwaretechnik Prof. Dr.-Ing. Dr. h. c. P. Göhner Agentenunterstütztes IT-Sicherheitskonzept für Automatisierungssysteme Felix Gutbrodt GMA-Kongress

Mehr

Auf meinem PC stellen Viren nichts auf den Kopf! Benjamin Ohneseit, Privatanwender. Die Avira Sicherheitslösungen. für Privatanwender und Home-Office

Auf meinem PC stellen Viren nichts auf den Kopf! Benjamin Ohneseit, Privatanwender. Die Avira Sicherheitslösungen. für Privatanwender und Home-Office Auf meinem PC stellen Viren nichts auf den Kopf! Benjamin Ohneseit, Privatanwender Die Avira Sicherheitslösungen für Privatanwender und Home-Office Menschen möchten sicher sein. Computer auch. Mit der

Mehr

IDS: Trends und Herausforderungen 2007

IDS: Trends und Herausforderungen 2007 Zürcher Tagung für Informationssicherheit IDS: Trends und Herausforderungen 2007 Bernhard Tellenbach Überblick Gegenwärtige Sicherheitslage Herausforderungen an IDS/IPS Das EU Projekt NoAH: Ein Entwurf

Mehr

Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL

Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL Stand: 02. 02. 2009 UPC Austria GmbH Wolfganggasse 58-60, 1120 Wien 1 INHALTSVERZEICHNIS Entgeltbestimmungen:... 3 Leistungsbeschreibung:...

Mehr

Der Endnutzer benötigt kaum noch Fachwissen zum Benutzen des Internet. Die Nutzung des Internet ist fast obligatorisch; auch im privaten Umfeld.

Der Endnutzer benötigt kaum noch Fachwissen zum Benutzen des Internet. Die Nutzung des Internet ist fast obligatorisch; auch im privaten Umfeld. Die perfekte Personal Firewall, gibt es sie? Wilfried Gericke Dr.Phil(USA) Dipl.-Math IT-Sicherheitsbeauftragter Inhalt: Motivation Grundlagen Firewall Grundlagen Personal Firewall Beispiele von Personal

Mehr

Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall

Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall 1. Gebot: http://www.8com.de Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall / DSL-Router mit dem Internet. Überprüfen regelmäßig die Konfiguration Ihrer Firewall / Ihres DSL-Routers

Mehr

Kaspersky Fraud Prevention for Endpoints: Schutz von Finanztransaktionen auf Benutzergeräten

Kaspersky Fraud Prevention for Endpoints: Schutz von Finanztransaktionen auf Benutzergeräten Kaspersky Fraud Prevention for Endpoints: Schutz von Finanztransaktionen auf Benutzergeräten Elektronische Zahlungssysteme gehören mittlerweile schon zum Alltag. Gemäß einer globalen Umfrage von B2B International

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Systemanforderungen und Installationsanleitung für Internet Security. Inhalt

Systemanforderungen und Installationsanleitung für Internet Security. Inhalt Systemanforderungen und Installationsanleitung für Internet Security Inhalt 1 Systemanforderungen für Internet Security...2 2 Installationsanleitung: Internet Security für einen Test auf einem Computer

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Trojaner Als Trojaner wird eine Art von Malware bezeichnet, bei der es sich um scheinbar nützliche Software handelt, die aber neben ihrer

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

VMware Installation der bestmeetingroom TRIALVersion. PreVersion built 1.01 Stand: 21.11.2006

VMware Installation der bestmeetingroom TRIALVersion. PreVersion built 1.01 Stand: 21.11.2006 VMware Installation der bestmeetingroom TRIALVersion PreVersion built 1.01 Stand: 21.11.2006 bestmeetingroom VMware Install Seite 2 Voraussetzungen: Bitte beachten Sie, dass Sie für die Installation des

Mehr

Hinweis. Kapitel 1 Die Neuerungen im Überblick

Hinweis. Kapitel 1 Die Neuerungen im Überblick Kapitel 1 Die Neuerungen im Überblick Hinweis In meinem Blog findet sich eine kurze Übersicht über Hyper-V unter http://www.borncity.com/blog/ 2011/09/07/windows-8-offizielle-informationen-zu-hyper-v/

Mehr

SANDBOX UND SYSTEMVIRTUALISIERUNG

SANDBOX UND SYSTEMVIRTUALISIERUNG SANDBOX UND SYSTEMVIRTUALISIERUNG MIT WINDOWS 7 64-BIT UND 10 SCHADPROGRAMMEN GETESTET 1. ALLGEMEINES Der Schutz des echten Systems wurde mit einem Sandbox-Programm und zwei Programmen zur Systemvirtualisierung

Mehr

Visual VEGA Netzwerkinstallation

Visual VEGA Netzwerkinstallation Allgemeines Visual VEGA 5.30 gibt es in den Varianten "Visual VEGA LT" und "Visual VEGA Pro". Die LT-Version kann maximal 16 Messstellen anzeigen, Visual VEGA Pro kann eine unbegrenzte Anzahl von Messstellen

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Ist Angriff besser als Verteidigung? Der richtige Weg für IT-Sicherheitsausbildung

Ist Angriff besser als Verteidigung? Der richtige Weg für IT-Sicherheitsausbildung Ist Angriff besser als Verteidigung? Der richtige Weg für IT-Sicherheitsausbildung Martin Mink Universität Mannheim 10. Deutscher IT-Sicherheitskongress des BSI Bonn, 23. Mai 2007 Vorstellung Lehrstuhl

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Kurzanleitung (Standardinstallation)

Kurzanleitung (Standardinstallation) Kurzanleitung (Standardinstallation) ESET Smart Security / ESET NOD32 Antivirus Kurzanleitung Seite 2 Einführung Vielen Dank, dass Sie sich für den Einsatz eines ESET Antivirenproduktes entschieden haben.

Mehr

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch ZMI Benutzerhandbuch Sophos Sophos Virenscanner Benutzerhandbuch Version: 1.0 12.07.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

Technische Voraussetzungen Stand: 29. Juli 2014

Technische Voraussetzungen Stand: 29. Juli 2014 Technische Voraussetzungen Stand: 29. Juli 2014 FineSolutions AG Culmannstrasse 37 8006 Zürich Telefon +41 44 245 85 85 Telefax +41 44 245 85 95 support@finesolutions.ch Inhaltsverzeichnis 1 Einführung...

Mehr

Der optimale Schutz für dynamische Unternehmens-Netzwerke

Der optimale Schutz für dynamische Unternehmens-Netzwerke Der optimale Schutz für dynamische Unternehmens-Netzwerke Kaspersky Open Space Security steht für den zuverlässigen Schutz von Firmen- Netzwerken, die immer mehr zu offenen Systemen mit ständig wechselnden

Mehr

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Copyright Brainloop AG, 2004-2015. Alle Rechte vorbehalten. Dokumentenversion: 1.1 Sämtliche verwendeten Markennamen und Markenzeichen

Mehr

Malware - Viren, Würmer und Trojaner

Malware - Viren, Würmer und Trojaner Department of Computer Sciences University of Salzburg June 21, 2013 Malware-Gesamtentwicklung 1984-2012 Malware-Zuwachs 1984-2012 Malware Anteil 2/2011 Malware Viren Würmer Trojaner Malware Computerprogramme,

Mehr

1. Einführung 1. 2. Update manuell installieren 1. 3. Update wird immer wieder verlangt 2. 4. Download des Updates bricht ab (keine Meldung) 5

1. Einführung 1. 2. Update manuell installieren 1. 3. Update wird immer wieder verlangt 2. 4. Download des Updates bricht ab (keine Meldung) 5 Inhalt 1. Einführung 1 2. Update manuell installieren 1 3. Update wird immer wieder verlangt 2 4. Download des Updates bricht ab (keine Meldung) 5 5. Download des Updates bricht ab (Meldung: changes must

Mehr

OLXConvert. aus der Reihe Praxisorientierte Tools für MS-Outlook. und. MS-ExchangeServer. OLXConvert Kurzeinführung / Installation.

OLXConvert. aus der Reihe Praxisorientierte Tools für MS-Outlook. und. MS-ExchangeServer. OLXConvert Kurzeinführung / Installation. OLXConvert aus der Reihe Praxisorientierte Tools für MS-Outlook und MS-ExchangeServer Copyright by Nelkenstrasse 16 73540 Heubach-Lautern Tel: +49 (7173) 92 90 53 E-Mail: info@gangl.de Internet: http://www.gangl.de

Mehr

Schritte mit dem Windows Home Server

Schritte mit dem Windows Home Server Kapitel 3 Erste Schritte mit dem Windows Home Server Nach der Installation des Windows Home Servers und dessen erster Einrichtung zeigen wir Ihnen die ersten Schritte mit dem neuen Server. Die ausführliche

Mehr