System- und Problemsoftware zur Informationssicherheit Kammerjäger dringend gesucht

Transkript

1 System- und Problemsoftware zur Informationssicherheit Kammerjäger dringend gesucht Betriebssystem-Umgebungen Lizenz- und Kopierschutz Problemorientierte Software Virenschutz Security-Suiten Software-Methoden Realisierung im Betriebssystem - in Anwender Software - in spezieller Sicherheitssoftware. Möglich sind ganzheitliche oder spezielle Lösungen. Betriebssystem-Umgebungen Sicheres BS ist Grundlage der Informationssicherheit! BS als Ebene der Sicherheitsdefinition und als Sicherheitsdienstleister Erste Beispiele für zertifizierte Betriebssysteme: TMach (Trusted Mach) B3 UNIX V/MLS (multi level security, AT&T u. a.) B1 UNIX V.4.1 ES (enhanced security) >B2 SCO UNIX Secure B2 AIX 4.2/3 (1998) C2 / E3 SINIX C1-C2 IRIX 6.5 C2 Trusted Irix 6.5 B1 Novell NetWare C1-C2 OS-SVS C2 VMS C2 Chipkarten-BS B2 (E4) TMach: Vertrauensschicht 0 ist der Micro Kernel, Schichten 1-4 TMach, 5-7 TMach/OS [ca. 1990] Grundlegende Methoden (heute BS-Standard): Benutzerverwaltung in 3 Stufen: 1) Zugangskontrolle login-prozedur und Kennwort: evtl. Lebenszeit (Aging) und Mindestlänge installieren Beisp.: Solaris mit Kerberos, dynamische Kennwörter; Administrator-Kennwort schützen z. B. durch Verhindern von Disketten-Boots (im BIOS, besser Hardware-Schlösser) 2) Zugriffsrechte: Unterschiede in Granularität (3-8) und Zugriffszeitpunkt (login/open/zugriff); Administrator muß so wenig Rechte wie möglich als Standard festlegen; Zugriffsrechte für Verzeichnisse beachten! 3) Berechtigungen, z. B. eingeschränkte Shells Weitere Möglichkeiten: + bootfähige Notfall-CD + remote boot vom sicheren Server aus (umgeht evtl. verseuchte lokale BS) + Dateien physisch löschen (nicht nur im Directory, wiping): Schredder-Software US-DoD(Pentagon)-Direktive M (E) (NISPROM): alle adressierbaren Bereiche 3 x überschreiben (mit festem Wert mit Zufallszahl mit Komplement des Festwerts) oder M (ECE) (DoD II): 7 Durchläufe: 3 nach (E) - Zufallszahl - 3 nach (E) Deutschland: Richtlinien zum Geheimschutz... des BSI: 7 x überschreiben (je 3 x abwechselnd mit 0x00 und 0xFF, zuletzt mit 0xAA) Schneier: 1 x mit 0 (0x00), 1 x mit 1 (0xFF), 5 x mit kryptographisch erzeugten Zufallszahlen Gutmann: 35 x überschreiben (alle möglichen Bitmuster, beim 1. und den letzten 4 Malen mit Zufallszahlen) Russland: GOST-Norm PS0739 (1995): überschreiben mit 0x00 oder mit Zufallszahl je nach Sicherheitseinstufung Destruktive Verfahren (Hardware): physisch zerstören (zerquetschen, einschmelzen, in Säure lösen, Degausser = starkes Magnetfeld), z. B. Bestimmung NTSC-TG-025 des DoD Gute Schredder müssen auch versteckte und nicht unter Dateinamen abgespeicherte Daten sowie Daten im Dateikopf aufspüren und vernichten + Rekonstruktion durch Spezialfirmen mit viel manueller Arbeit: 1) Image der noch vorhandenen Daten, 2) Rekonstruktion des Filesystems, 3) Rekonstruktion der Dateien aus den verfügbaren Bitmustern + Sicherheitsarchitekturen, z. B. BMFT-Projekt REMO (Referenzmodell für sichere IT-Systeme) + Zusatzsoftware: security audit reports

2 + file- und record-locking + Prozeßkapselung + Speicherschutz mittels Grenzregister/Schutzschlüsseln (z. T. Hardware) + BIOS-Kennwort (kann aber durch Batterieabklemmen gelöscht werden!) + Verschlüsselte Datei-Systeme bzw. Festplatten: EFS und Microsoft-BitLocker (Vista) bei Windows, TrueCrypt bei Linux (also Open Source), File Vault bei Mac. Aber: Schlüssel im Klartext im RAM (im Stand-By-Betrieb kann evtl. der Computer von einer externen Festplatte aus neu gestartet und der RAM ausgelesen werden). + automatisches Backup von Dateien auf externen Datenträgern UNIX: C1 für Standard-UNIX (benutzerbestimmbare Zugriffsrechte, trusted computing base: Kern in geschütztem Speicherbereich, nur durch SVC (supervisor-calls) zugänglich C2 durch Zugriffsrechte für einzelne Nutzer (Zugriffskontrolllisten ACL, ggf. neue Filesystem-Struktur!) und Auditing sensitiver Systemcalls/Kommandos zur Beweissicherung (z. T. wählbar) mit Protokollauswertung B1 zusätzlich Einstufung der Objekte/Subjekte (MAC = mandatory access control) + Referenzmonitor + Analyse verdeckter Kanäle B2 zusätzlich trusted path z. B. durch SAK (session access key) vor login + administrative Rollenverteilung ("Privilegien"), z. B. Nutzer admin und passwd mit Datei /etc/passwd (dadurch Leistungsverlust um 5-10%) Unterschiedliche Realisierungen denkbar; obligatorisch werden sie durch Systemcalls! Weitere Gegenmaßnahmen: - Bildschirm-Time-out oder -Sperren (Kommando lock), Aufwecken erfordert neue Authentikation oder: Dämonprozeß watchdog überwacht Bildschirmaktivitäten und logt nach längerer Passivität aus. - fsck - restricted shell (rsh): nur Arbeit im Homedirectory und keine PATH-Änderung möglich - nicht allgemein zugängliche Verzeichnisse /etc/security bzw. /etc/shadow mit verschlüsseltem Kennwort und Kennwort-Optionen - SSH (secure shell): Client-Server-Programm für Arbeiten an entfernten Servern, Authentikation und Datenverkehr verschlüsselt, mit Dämon sshd, Port 22, frei verfügbar (aktuell SSH2) - unsicheres X Window nicht auf Web-Server installieren - C-Programm für eigene Shell mit noch größerer Sicherheit - CFS (cryptographic file system): Matt Blaze, Freeware UNIX-Gremien: /usr/group security subcommittee (IEEE ) X/Open-Sicherheits-Standards: Security Guide, security working group Das Jahr-2000-Problem tritt bei UNIX erst nach 2037 auf (dann wird 4-Byte-Limit überschritten) SCO UNIX: kann wahlweise als "relaxed version" (Standard) oder C2 installiert werden: Autorisierung für verschiedene Systemverwaltungsaufgaben: Authentifizierungs-Administrator für Paßwort-Kontrolle ( goodpasswd erzwingt gute Kennwörter und Kennwort-Aging, Kennwort ist Pflicht); Audit-Administrator für Protokollierungen aller sicherheitsrelevanter Ereignisse (Start/shutdown, login/logout, Änderung von Zugriffsrechten, erfolgose Zugriffsversuche u. a.); bei login werden immer letzter erfolgreicher und letzter erfolgloser login-versuch angezeigt; gelöschte Nutzernamen sind nicht wieder verwendbar u. a. Sicheres Server-Betriebssystem z. B. En Garde Secure Linux Professional von Guardian Digital: sichere (SSL-erweiterte) Mail-/Web-/File-/DNS-Server, SSH, Firewall, Netzwerk-Intrusion-Detection, VPN-Gerät Windows: 6 Integritätslevel Nutzer-Account Gast kann bis zu 90 % der Sicherheitslücken schließen, kann ggf. spezielle Sicherheitssoftware überflüssig machen Windows NT/2000: Ausgelegt für C2 (nur ohne Netz, Diskettenlaufwerk und mit Rechteeinschränkung, für Server Zusatz C2CONFIG.EXE nötig) LSA (local security authority) speziell für Nutzer-Authentikation und für Einrichten der Audits: bei Anmeldung wird Access Token erzeugt und den Subjekten hinzugefügt (enthält neben uid/gid(s) gestaffelte "Berechtigungen" / Privilegien für Objekte, z. B. für Dateien: Vollzugriff, kein Zugriff, Anzeigen, Lesen, Hinzufügen, Ändern, Hinzufügen + Lesen) SAM (security account manager): Sicherheitssubsystem für Nutzerverwaltung ("Registry": Datenbasis für Nutzer/Gruppen) und Logon-Prozesse, wird für den Nutzer nach erfolgreichem Logon erzeugt. [primary/secondary logon, password locking, Administratorenhierarchie, normale Nutzer, z. T. mit voreingestellten Rechten]

3 Kennwort-Datei \\WINNT\SYSTEM32\CONFIG\SAM (Kopie SAM.SAV) SRM (security reference monitor): jedes Subjekt muß Sicherheitssystem vor Zugriff auf Objekte passieren: Sicherheitsdeskriptor für jedes Objekt (auch für Threads, IPC-Mechanismen, Registry, root directory) mit ACL: Liste aus ACEs (Entry/Eintrag je berechtigtem Subjekt, i. allg. Nutzer/Nutzergruppe) mit detaillierten Rechten/Verweigerungen Jeder Server als geschütztes Subsystem (Speicherschutz durch virtuelle Speicherverwaltung des Kerns). Datenrekonstruktion nach Systemcrashs (durch Transaktions-logging: recovery des letzten konsistenten Zustands) challenge-response-verfahren zur Nutzerauthentikation verfügbar chkdsk zur Konsistenzprüfung (selten nötig) Audit-Tools, z. B. Anzeige aller aktiven Nutzer: NetWkstaUserEnum() Windows XP: VPN mit DES, IPsec Encrypted Filesystem EFS (Anfänge schon in 2000/NT): Aufsatz auf NTFS; automatische Verschlüsselung (quasi zusätzliches Hidden-Attribut E) von Dateien oder dem ganzen Filesystem: mit Schlüsselpaar wird Sitzungsschlüssel (file encryption key, Zufallszahl) erzeugt und mit der Datei gespeichert, Eigen-Zertifizierung nach X.509 automatisch; 3DES (Export nur 40-bit-Schlüssel?), Schlüssel-recovery durch Sicherheitsadministrator möglich; Schlüssel am besten auf USB-Stick sichern. Installations-CD kann auch als bootfähige Notfall-CD eingesetzt werden. Zertifikat-Manager mit Management-Konsole (Befehl mmc ) Es treten immer wieder Mängel zu Tage (Gegenmaßnahmen in Updates bzw. Service Packs): - Kennwort-Abfrage kann durch ESC umgangen werden (Benutzerprofile festlegen!) - es kann Registry-Überlauf provoziert werden: Rechnerabsturz - DLL (dynamic/data link library)-dateien (admin, Nutzergruppen) leicht zugänglich, Austausch gegen Trojanisches Pferd, hört Kennwörter ab, DLL-Dateien werden von WinME in \RESTORE gesichert und beim Start rekonstruiert (Antivirus-Programme haben keinen Zugriff auf diesen Ordner!) - gefährlich: Nutzer guest (Löschen!) - Diskeeper (von Scientology-naher Fa.) steht im Verdacht, die Festplatte auszuspähen - _NSAKEY - Adminstratorrechte durch Internet-Programm SECHOLE.EXE [behoben] - mit Windows-2000-CD können evtl. Windows-XP-Dateien manipuliert werden, Angriffe (z. T. mit Software aus dem Internet): Registry (z. B. red button), RPC (Port 135), - enterprise edition (Cluster, über Festplatten-Manager einzurichten); Trusted Computing: NGSCB (next generation secure computing base, Palladium, ab 2004) kann mittels TPM (trusted platform module) im Arbeitsspeicher gesicherten Bereich (Sicherheits-Kernel, Nexus ) schaffen: darin sichere Anwendungen (mittels Programm-Prüfsummen); auch remote-attestation möglich, evtl. zugleich für DRM = digital rights management (Lizenzschutz) Windows Vista: Kernel patch protection: wehrt Kernel-Zugriffe ab (aber damit auch die von Sicherheitssoftware). Software protection platform schränkt Betriebssystem bei Raubkopien ein. Windows Defender (Anti-Spyware von Giant) Windows 7: 4 Berechtigungsstufen: low - medium (Anwendungen) - high (Administrator) - system Windows 8: Stark verbesserter Schutz: Betriebssystem läuft fast nur mit online-anbindung und Cloud-Computing. Programme, die auf den kernel zugreifen, werden streng auf Integrität geprüft (wichtig für Treiber-Programmierer!). Wichtige offene Ports werden versteckt, auch nicht offene werden geschützt. Virenschutz durch WinDefender (umfasst den Microsoft Security Essentials). Secure Boot für UEFI Exploit-Abwehr: ASLR (address space layout randomization) gegen buffer overflow, Windows Heap (zufällige Zuweisung von Speicherplätzen) NOVELL NetWare: (C2/E2 für Server und Clients) SFT (system fault tolerance) I: doppelte Buchführung für Dateien und Verzeichnisse: Schutz gegen Headcrash SFT II: Festplatte spiegeln/duplexen (primary und secondary Festplatte), auch Drive-Duplex möglich (beide Festplatten an verschiedenen Controllern) SFT III: 2 Server (ab NetWare 4.1) mit Netzverwaltung, keine Umschaltzeit (downtime), Hot Fix (automatische Umlagerung aus fehlerhaften Bereichen), Transaktionsverfolgung, Auditing (Protokollierung aller Zugriffe, auch der des Supervisors! in paßwortgeschützten Dateien) für eingeschaltete Festplatten-Bereiche, Auswertung nur durch Auditor möglich; interne Checks der Verbindungen nach RSA; Kennwort wird nicht übertragen (Authentikation mittels Signaturen).

4 Weitere Möglichkeiten: Hauptproblem: Sicherheit darf nicht umgangen werden können (PC: im BIOS, auf Steckkarte). Arbeiten an sicheren Betriebssystemen, z. B. LucaOS für mobile Endgeräte in Uni München / TU Darmstadt: Zugriffskontrolle, Nutzer-Authentikation, Prozess-Isolation, Logging, Auditing, verschlüsselndes Dateisystem wird in Betriebssystem-Kern und dieser in bestehende Betriebssysteme integriert! Maßnahmen gegen Buffer-Overflow: DEP (data execution prevention) reserviert Speicherbereiche für nichtausführbaren Code, so dass dorthin kein Schadcode geschrieben werden kann, muss von Anwender-Software eingesetzt werden; ASLR (address space layout randomization) verteilt Speicherbereiche (Code und Daten) des Betriebssystems zufällig im Arbeitsspeicher, so dass die Schadsoftware keine Angriffsfläche findet (nicht gezielt Speicherbereiche nutzen kann); bei Windows ab Vista. Digitaler Radiergummi zur Datenlöschung Wachhunde (Watch/Countdogs): Programme, z. B. in.profile (Nutzer) oder crontab (root): kontrollieren, melden (unbedingt!) und beseitigen ggf. Fehler/Sicherheitsmängel: z. B. Zugriffsrechte prüfen, Protokollierungen, Prüfsummen vergleichen Computer-Forensic: digitale Spurensuche, z. B. Muster in Digitalfotos (spezifisch für jeden Kameratyp), Datei-Recovery Lizenz- und Kopierschutz: - zuerst nicht kopierbare Startdiskette (nicht sicher) - Dongle: Stecker/Boxen; Software enthält Abfragen und Verschlüsselungen, die nur Dongle kennt, d. h. keine Sicherheitskopie mehr möglich; meist mehrere Algorithmen, über Selection-Code auswählbar (z. B. Kennwörter, Verfallsdatum, Lizenzzähler); Firm- und User-Code fest in Box) - Softwarebranding ("eingebrannte" Kundennummer - nicht sicher) - alle Lizenzinfos im Objektcode (z. B. Verfallsdatum) - Schutz von Dokumenten: o durch Kennwort (bei WORD unter Extras - Dokument schützen ) o Wasserzeichen (durch spezielle Software) o Transformation in PDF - seit 2002 DRM (digital rights management): Datei in Lizenzumschlag, in Hardware integriert, geht zeitweise nur mit Windows Media Format WMA. Zusätzlich Restriktionen: nicht kopieren / brennen / auf anderem Computer abspielen / als Datei speichern / in anderes Sound-Format transformieren; Kopierschutz für CDs: Überbrennen > 650/700 MB (veraltet) Spiele: i. allg. kann die Struktur des Originals nicht gebrannt werden; C-Dilla Safe Disc (erster Block absichtlich fehlerhaft); Steam startet Spiel nur mit Internet-Verbindung zum Steam-Server (bei Modem unmöglich!) SecuRom (Signatur im CD-Master, irrige Pfade, Subchannels), Starforce (russ.) verhindert das Abspielen gebrannter CDs/DVDs Audio: oft wird legales Abspielen verhindert; Macrovision CDS 200: Musik wird 2 x gespeichert und am PC in schlechtester Qualität wiedergegeben, Alpha Audio, DocLog Key2Audio (Sony), Cactus Data Shield 100/200 (EMI/Universal): manipulierte Inhaltsverzeichnisse (TOC), zu große Tracks, illegale Startblockpositionen) XCP-Aurora (auf einigen Sony-CDs, wirkt als Rootkit) CGMS (Philips); CPRM; Discguard auch verschlüsselte Titelmarkierungen, korrupte Daten hinter Audiotracks (dann aber auszuhebeln durch Filzstiftstrich genau dazwischen!) Laser Lock / CD-Lock (versteckte nicht auslesbare Kenndatei) DPM (data position measurement: erkennt genaue Position der Daten auf CD, die bei Rohlingen i. allg. nicht eingehalten wird; aber Clone-Software speichert DPM-Infos einfach mit ab. DVD: 1996 CSS (content scrambling system), z. T. verschlüsselte Speicherung von Daten (40-bit-Schlüssel, der im DVD-Player entschlüssel wird), zusätzlich Regionalcode RPC (Dtschl./EU/Afrika/Australien haben B/2, Amerika A/1, Asien C/3) 1999 von Jon Johansen (Norwegen, 15 Jahre) geknackt, deshalb Weiterentwicklung: CPPM (content protection for prerecorded media), auch geknackt Macrovision verhindert VHS-Kopien, auch geknackt Augsburger PuppenLock : nicht lesbare Sektoren, die vom Video-Manager der DVD übersprungen werden können, aber nicht beim Kopieren RipGuard DVD (schützt vor Rippen, lässt aber Abspielen zu), für physische 1:1-Kopien wird die Master-CD benötigt SafeDisc 2.80, Securom New 4.8, ProtectCD 5, StarForce 3.0 (russ.) Geräte-Authentifizierung (z. B. des Players für Fernseher) mit HDCP (high bandwidth digital content protection):

5 Geräte tauschen Schlüssel aus, deren Zertifikate geprüft werden (Entschlüsselung erst im Wiedergabegerät); zusätzlich Stromchiffre des Video-Datenstroms; Bestandteil von HDMI (high definition multimedia interface) [2005 in Südkorea mit DVIHDCP-Box geknackt] BD+ auf DVD started automatisch und prüft, ob der Datenstrom bei der Wiedergabe modifiziert wird [geknackt] Zusätzlich Region-Code geplant: Broadcast-Flag in digitalen TV-Signalen enthält die gewünschten Berechtigungen, die von Wiedergabegeräten abgefragt werden müssen HD-DVD / Blue ray DVD: AACS (advanced access content system der AACS Licensing Association Hollywood): 128-bit-AES-Verschlüsselung des Laufwerks für Player [praktisch geknackt, neue Schlüssel müssen in Player integriert werden!], Entschlüsselung nach Geräte-Authentikation über device key set, der widerrufen werden kann, wenn Offenlegung passiert ist; Media Key Block auf Scheibe, Device Key Block in Player, HDCP für Übertragung vom Player zum Fernseher (mittels 40-bit-KSV [key selection vector] in beiden Geräten, 40 Schlüssel zu 56 bit); zusätzlich Regional Code; BD+ verhindert umcodieren [aber durch verbotene kommerzielle Software AnyDVD HD geknackt, jetzt Doom9.org, Quellcode im Internet]; eine schwarze Liste (global revocation list) enthält Treiber und Hardware, die nicht DRM genügen oder deren Schlüssel kompromittiert sind; die DVDs haben einen RFID-Chip mit den Rechte-Informationen; ab 2011 Sunset (nur noch digitale Schnittstellen): Auch die TV-Signale enthalten Rechte-Informationen, die von den TV- / Grafik- / Soundkarten verarbeitet werden, die Signale werden nur über DVI und HDMI weitergeleitet AACS-Version 4 (= MBKv4) XDC (Sony, ergibt Rootkit: deshalb zurückgezogen!) XCP (extended copy protection, Sony) VUK (volume unique key) von Muslix64 mittels des entschlüsselten Title-Key geknackt (Java-Programm BackupHDDVD bzw. BackupBluray) CA = conditional access (für HDTV-Sender) AnyDVD deaktiviert BD+, entfernt AACS und Regionalcode (d. h. Film kann bearbeitet werden!) Pay-TV: Verschlüsselung mit Nagravision (Schlüssel-Wechsel alle 2 sec.). Geknackt durch Card-Sharing: von einem legalen Receiver (z. B. Dreambox) mit bezahlter Smartcard und CAM (conditional access module) aus wird der Schlüssel weiterverteilt (z. B. über Linux: Mein Premiere ist hell ) Premiere: 2003 Betacrypt, später Nagravision (geknackt mittels Cerebro-Karten) Beispiele: o CSS / regional code für DVD o Cactus Data Shield 100/200 o FairPlay (Apple): von Jon Lech Johanssen (Norw.) Nov geknackt (QTFairUse speichert nur die Musikdaten) 2006 auch die Verbesserung (die entschlüsselten Daten werden aus dem RAM geholt ) o PlaysForSure (Microsoft) von viodentia geknackt (der 56-bit-key wird aus dem RAM geholt) o digitale Wasserzeichen spezielle Software, die nur lizenzierte Dateien verarbeitet (evtl. in Betriebssystem integriert) (Beispiele: WinXP, Media Player, Media-9-Serie) SCMS (serial coupled management system) erlaubt nur eine (keine Sekundär-)Kopie. Auch Hardware-Schutz durch Einbringen von Ringen in CD-Schicht (dann nicht im Computer lesbar). Problem manchmal: auch Original-CD nicht auf jedem CD-Player spielbar; schlechtere Klangqualität. Ständiger Wettlauf Kopierschutz Kopiersoftware. Umgehungssoftware oft frei im Internet, enthält oft Kopierschutzscanner; brennt z. B. raw-cd (kopiert Schutz einfach mit, Bedienung aber nicht ganz einfach). Beispiele: Clony XXL (analysiert Kopierschutz) + CloneCD, Alcohol 120% und BlindWrite emulieren (Images auf Festplatte werden in ein virtuelles Laufwerk geladen) Praxis z. T. heute: pauschale Lizenz-Zuschläge / Urheberabgabe auf Gerätepreis, z. B. 0,072 für CD-Rohling, 0,174 für DVD, 12 für PC. MS Office XP: Install ID (50 Stellen) + 42-stellige Aktivierungs-ID (muss bei jeder größeren Hardware-Änderung erneuert werden). Geplant: Verschlüsselte/versteckte Lizenzanhängsel an Datei, die bei Benutzung ausgewertet werden (evtl. mit Kto.-Nr. und automatischer Bezahlung). Standard SDMI (secure digital music initiative) für MP3-Musik-Dateien in Arbeit. Kopierschutz für Websites: Schutzserver mit Zugriffsregeln bezüglich Kopieren/Drucken vor Webserver installieren. Rechtsmissbräuchliche teure Serienabmahnungen von dubiosen Anwälten wegen Patent- / Urheberrechts- / Markenrechtsverletzungen. Ergänzung durch Orgware: 1) Richtlinien; Schulung (z. B. Kennwort-Management); Kontrollen (am härtesten: bewußt Hacker ansetzen); keine Gruppen-logins. 2) für Notfälle auf saubere Neuinstallation vorbereitet sein!

6 Problemorientierte Software Beispiel SAP: Berechtigungskonzept mit Profilgenerator, Audit-System, aber: zu wenig Kontrollen der "Notuser" (besondere Rechte), Entfernung von Protokoll-Mechanismen in Rel. 5.0 Schnittstellen: Security-API (application programming interfaces), Standards angestrebt, z. B. Java-Security-API zu Sicherheitspaketen mit Signaturen und Chiffrierverfahren für Applets und Applikationen Crypto-API im Rahmen der Internet-Sicherheits-Initiative MISF (Microsoft internet security framework) mit public-key-verschlüsselungs- und Zertifizierungs-Algorithmen auf Betriebssystem-Ebene Software-Versiegelung mit kryptographischen Mitteln - zum Nachweis der Urheberschaft (Authentizität) - zur Sicherung des zulässigen Nutzung (Autorisierung) - zur Verhinderung von Manipulationen (Integrität) Software-Zuverlässigkeit: Nachweis durch Verifikation mittels - Testdreieck Spezifikation des Benutzers - Ableitung der Annahmekriterien - Testrechnungen mit Programm (danach Vergleich) - Variieren sämtlicher Eingabewerte - analytischer Verifikation Virenschutz Verseuchungsvorsorge (contamination) 1979 erste PC-Antivirus-Software (in Israel), ab 1986 Virenscanner Erste deutsche Experten: Brunnstein (Hamburg), C. Fischer (Karlsruhe) u. a. VCT (virus core [Kern] teams) zur schnellen Behebung Virenschutz: nicht nur lokal, sondern auch auf Gateways / Servern (UNIX!) - Virenscanner (zugleich -blocker/-cleaner!) ab ca. 1985: 3 grundlegende Methoden 1) erkennen Codemuster/Signaturen; werden mit wachsender Datenbank langsamer bei polymorphen Viren wird mittels GDE (generic descryption engine) der Algorithmus analysiert, entschlüsselt oder emuliert; 2) Heuristik: suchen mittels virtueller PC im RAM (Sandbox) auch unbekannte Viren (verdächtigen, virusähnlichen Code nach Faustregeln, z. B. durch statistische Klassifikation des Codes und Vergleich mit bekannter Malware [Signatur von Codeteilen]); Dateigeometrie liefert Entropie, d. h. Informationsdichte des Codes Heuristik kann z. T. als Schwellenwert eingestellt werden, der Erkennungsgrad für unbekannte Malware liegt heute bei bis zu 60 %; 3) Verhaltensanalyse: Behavior-Blocker sucht und unterbindet typische Aktionen, am schellsten, kann aber nur aktive Software testen, Gefahr von Fehlalarmen. Benutzen teilweise auch Cloud-Datenbank. Evtl. wirkungslos bei verschlüsselten Dateien; z. T. auch Probleme mit gepackten Dateien; wichtig: ständig aktualisieren (meist online-updates möglich), z. T. stündlich. Start on demand (offline, manueller oder zeitgesteuerter Scheduler-Start) oder on access (online oder bei Backup [Virenwächter!]; beides sollte möglich sein!); arbeitet wie Dämon; auch für Mails, Webseiten und Makroviren; zusätzlicher Zeitplaner gut. Viren können gelöscht oder zuerst in Quarantäne-Bereich geschickt werden (Desinfektion, günstig bei wichtigen Dateien), löschen erst nach Auswertung (Beweismittel!); First-Time-Check (von Kaspersky) unterscheidet zwischen eigenen und fremden Dokumenten; Virenscanner natürlich auch in Rechnernetzen (z. T. automatische Verteilung vom Server auf Clients, Schwarze und Weiße Listen für URL, automatische Updates über Internet periodisch oder beim Booten, online-scanner von Websites aus zu starten). Je größer der Schutz und die Erkennungsrate, desto höher die Systembelastungen. Auf Zero-Day-Lücke achten (der Antiviren-Software noch nicht bekannte Schadsoftware). Frühe Forderungen des BSI an Virensuchprogramme: o erkennen auch polymorphe Viren o erkennen auch Trojanische Pferde o Prüfung des Arbeitsspeichers (und des Betriebssystems; bei Verseuchung Kaltstart und von unverseuchten CDs aus oder remote booten) o Einsatz wahlweise on demand und on access o zerstörungsfreie Viren-Entfernung o steuerbare Beseitigung von Viren (Standard: zur Beweissicherung keine Beseitigung! Bei Entfernung auch Inhalt löschen, sonst UNDELETE möglich) o Angabe des Datums der letzten Aktualisierung (nur Versionsnummer genügt nicht: sagt nichts über Datum aus) o Warnung bei veralteten Programmen (ggf. automatisch Verweigerung) o Selbsttest auf Veränderung (Checksumme) o verschlüsselte Speicherung der Such-Strings (sonst leicht Umgehung durch Virenerzeuger möglich)

7 o Liste der erkannten Viren mit Erläuterungen (Namen, Typ, Gefährlichkeit, Verhaltensmaßnahmen; nicht nur Anzahl); Viren-Lexikon im Lieferumfang o Prüfungsprotokoll (u. a. auch befallene Dateien nennen) o Benutzerfreundlichkeit (z.b. leichte Dateiauswahl, mehrere Datenträger) o Notfall-Diskette/CD für Suche ohne vollständiges Betriebssystem o Quarantäne-Funktion für verdächtige Dateien Möglichst zertifizierte Systeme verwenden (erkennen 100 % aller Viren der In-the-Wild - und Common-Infector -Liste) Verbreitete Virenscanner: o VirusScan (Mc Afee, Network Associates) o Norton Anti-Virus (Symantec) o F-Secure o F-Prot (Frisk Software International, Island): erkennt auch viele Trojaner und Viren im Web o Kaspersky (Russland) o Dr. Solomon's Anti-Virus-Toolkit o AntiVirenKit 11 von G Data (60 ) o AntiViral Toolkit Pro 3.5 von datsec o Panda Antivirus Titanium (30 ) o Sophos NT Sweep (sweeper = Feger) o Spybot S&D (search & destroy): ermittelt kritische Komponenten (rot) und Gebrauchsspuren (grün), fragt und legt Backup gelöschter Dateien an (Rekonstruktion möglich) o AntiVir Classic PE (personal edition) o Inoculatel T5.1.4 von Computer Associates o Live OneCare (Microsoft; Gratis-Variante Morro) o online-virenscanner von Panda ( : nano oder total scan; es wird ein ActiveX-Script installiert (danach wieder deinstallieren!) o Thunderbytes, IBM, Vybecs Vet, Data Fellows, NAI, Trend-Micro, Antiviral, Avast Home Edition, H+B Antivir, AVG Free Edition Gratis-Scanner enthalten oft nicht alle Komponenten, sind langsamer und benötigen mehr Ressourcen): Updates oft kostenlos. Gute Virenscanner enthalten auch Anti-Spyware (z. B. Norton 2009). Vorsicht vor falscher Schadsoftware (Scareware, Fake-Tools)!, z. B. SystemGuard, MSAntiSpyware, Malwaredoctor Portable Virenscanner (erforderlich, wenn Schad-Software das Betriebssystem gekapert hat und den Virenwächter blockiert. Beispiel: Backdoor.MSIL.Bot.A ): Auf Antiviren-Sticks oder Live-CDs des Betriebssystems, Software oft gratis, aber keine automatischen Updates (bei Bedarf neu downloaden!); Desinfektion oft mangelhaft. Beispiele: Kaspersky Virus Removal Tool, Microsoft Safety Scanner, Norman Malware Cleaner, Dr. webcurelt, Vipre Rescue Scanner Weitere Methoden: - Prüfsummen (CRC, sicher, aber aufwendig und hohe Disziplin nötig) Spezielle Form: Code Signing (Signatur mit geheimem Schlüssel, Prüfung der Unversehrtheit mit dem öffentlichen) - Verschlüsselung von Binärprogrammen: etwaige Viren werden beim Entschlüsseln zerstört - Impfprogramme (Vaccine): simulieren Virus-Fingerprints, um von Viren verschont zu bleiben; Verbreitung evtl. durch Antiviren-Viren (gefährlich: Nebeneffekte durch Überlagerungen, u. U. nicht unterscheidbar von echten Viren) - Virenwächter unterbinden verdächtige Operationen (z. B. Schreiben in Bootsektor oder in Programmdatei) und erkennen so auch neue Viren (vor allem in Rechnernetzen, meist in Firewalls) - Informationsflussanalyse (verfolgt Wege der Viren und Arbeit mit den Virenschutzsystemen) mit praktischen Tests (Simulationen) Komplexe Systeme Systeme mit vielen Komponenten (Sicherheitssuiten mit Virenscanner, Backup, Wurmkiller, Firewall, Spam-Filter, z. B. Spamihilator), Anti-Spyware, Anti-Dialer, Anti-Phishing, Pop-up-Blocker, Tuning, Werbe-Blocker (Komplettschutz). Zunehmend verhaltensbasierte Erkennung: Prüfen von Ähnlichkeiten mit bekannter Malware; Reputatiostechnologien auf Basis von Herkunft / Größe / Verhalten der Dateien, speziell für Cloud-Dienste. Evtl. auch Stealth-Modus (Internet-Tarnkappe). Für Privat oft kostenlos. Auch Mobile-Security-Suiten, speziell für Android nötig. Beispiele: Mc Afee Stinger (19 %), Norton-Symantec (54 % Marktanteil), F-Secure, Kaspersky (Russland), Flickr (Yahoo), Win Live One Care (50 pro Jahr). Zertifizierungssiegel. Integrierte Sicherheitslösungen, z. B. PC-cillin von Trend Micro. Vorsicht vor Fake-Antivirenprogrammen. Orgware zum Virenschutz: - Nimm nichts von Fremden! - häufiger Schreibschutz verwenden

8 - remote boot (Betriebssystem nur vom sicheren Server laden, da das lokale verseucht sein kann) - unbedingt vor Backup auf Viren scannen (sonst Wiedereinschleusung bei Rekonstruktion) - Scanner mindestens alle 14 Tage aktualisieren - Verhalten bei Befall: 1) alles schließen, Shutdown 2) DOS-Virenscanner (evtl. auf Notfall-CD) 3) wichtige Daten auf separaten Datenträgern sichern (könnten befallen sein) 4) Viren beseitigen 5) Backup auf Viren scannen 6) das vollständige System scannen (einschließlich aller Datenträger) - stark befallenen Computer säubern: 1) Sauberes Booten (saubere System-CD/Diskette oder remote) 2) Daten sichern (Backup, keine Programme sichern) 3) Betriebssystem neu installieren (FP-Partitionierung dabei nicht verändern) 4) alle Anwenderprogramme löschen 5) Applikationen neu installieren - Entfernen einzelner (Datei-)Viren nach BERT-Methode: Booten (von virusfreiem Medium) - Entfernen (der verseuchten Objekte) - Restaurieren (der gelöschten Objekte von virusfreier Datensicherung) - Testen (auf Virenfreiheit, sonst Wiederholung) - Systemsoftware ständig durch Updates (beseitigen oft Sicherheitsmängel) aktualisieren - nur signierte und zertifizierte "schadstofffreie" Programme einsetzen - WORD-Warnung vor Makro-Viren ernst nehmen (einschaltbar über Extras, wird aber z. T. vom Virus wieder abgeschaltet, rechte Maustaste zeigt Eigenschaften des Anhangs: Makro, Vorsicht auch bei Skript ) - Server-basierter Virenschutz, z. B. als Proxy im Internet-Gateway oder zentralisiert und plattformübergreifend - Dateien in Mails mit Mehrfachendungen nicht aktivieren (z. B. LOVELETTER.TXT.vbs) - Mail-Kennwort nicht speichern - Wirksamster Virenschutz im Rechnernetz: Häufigen Partnerwechsel vermeiden! Bildforensik: Überprüfung der Authentizität von digitalen Bildern. Herkunft und Echtheit sind prüfbar (das Gerät und die Bildfälschung hinterlassen Spuren, z. B. Artefakte, unerklärliche Belichtungsunterschiede u. a.). kd rieck febr. 2015