Reaktive Sicherheit Teil 4

Größe: px
Ab Seite anzeigen:

Download "Reaktive Sicherheit Teil 4"

Transkript

1 Reaktive Sicherheit Teil 4 Malware Ulrich Flegel Lehrstuhl 6 Informationssysteme und Sicherheit Fachbereich Informatik Universität Dortmund 30. November 2007 c Ulrich Flegel Reaktive Sicherheit Teil 4 1 / 130

2 Grundlagen Begriffe Malware und ihre Einordnung Malware Software mit bösartiger Wirkung. sehr breite Definition es existieren diverse feinkörnigere Klassifizierungen von Malware Eine einfach Einordnung (nach Aycock): Replikation: Die Malware versucht, sich aktiv zu verbreiten, z.b. Herstellen von Kopien oder neuen Instanzen von sich selbst. Populationswachstum: Beschreibt die Veränderung der Anzahl der Malware-Instanzen aufgrund von Replikation. Parasitismus: Die Malware benötigt einen Wirt, um zu existieren, z.b. Bootblock-Code, ausführbarer Binärcode, Source-Code, Makros und Skriptsprachen. c Ulrich Flegel Reaktive Sicherheit Teil 4 5 / 130

3 Grundlagen Begriffe Malware-Typ: Logische Bombe Logische Bombe Malware bestehend aus: Nutzlast: beliebige böswillige Aktivität (logic bomb) Auslöser: Boolesche Bedingung, die entscheidet, ob die Nutzlast ausgeführt wird Eine Logische Bombe ist in idr. klein und schwer auffindbar im (Source-)Code verborgen. Replikation: Nein Populationswachstum: Keines Parasitismus: Möglich c Ulrich Flegel Reaktive Sicherheit Teil 4 6 / 130

4 Grundlagen Begriffe Malware-Typ: Trojanisches Pferd Trojanisches Pferd (trojan horse) Programm, das eine vom Nutzer gewünschte Funktionalität besitzt, sowie eine vom Nutzer nicht gewünschte Funktionalität, die verborgen und ohne Einwilligung des Nutzers ausgeführt wird. Replikation: Nein Populationswachstum: Keines Parasitismus: Ja c Ulrich Flegel Reaktive Sicherheit Teil 4 7 / 130

5 Malware-Typ: Hintertür Grundlagen Begriffe Hintertür (back door) Malware, die dediziert dafür vorgesehen ist, Sicherheitsmaßnahmen des Systems zu umgehen, auf dem sie existiert. Hintertüren können in Programme eingefügt sein (Trojanisches Pferd) oder eigenständig existieren. Replikation: Nein Populationswachstum: Keines Parasitismus: Möglich c Ulrich Flegel Reaktive Sicherheit Teil 4 8 / 130

6 Malware-Typ: Virus Grundlagen Begriffe Virus (virus) Malware, die sich beim Ausführen verbreitet, indem sie sich selbst in Wirten einnistet, diese also infiziert, z.b. Code in ausführbaren Binärcode einfügt. Die initiale Infektion wird ggf. von einem als Dropper bezeichneten Trojanischen Pferd durchgeführt. Replikation: Ja Populationswachstum: Positiv Parasitismus: Ja c Ulrich Flegel Reaktive Sicherheit Teil 4 9 / 130

7 Malware-Typ: Wurm Grundlagen Begriffe Wurm (worm) Malware, die sich beim Ausführen verbreitet, indem sie sich über ein Netzwerk in Wirtssystemen einnistet. Ein Wurm existiert eigenständig im Wirtssystem. Replikation: Ja Populationswachstum: Positiv Parasitismus: Nein c Ulrich Flegel Reaktive Sicherheit Teil 4 10 / 130

8 Grundlagen Begriffe Malware-Typ: Kaninchen bzw. Bakterium Kaninchen/Bakterium (rabbit / bacterium) Malware, die sich möglichst schnell repliziert, um Ressourcen des Wirtssystems zu erschöpfen. Replikation: Ja Populationswachstum: Positiv Parasitismus: Nein c Ulrich Flegel Reaktive Sicherheit Teil 4 11 / 130

9 Malware-Typ: Spyware Grundlagen Begriffe Spyware Malware, die ohne Einwilligung des Nutzers vertrauliche oder sensitive Daten vom Wirtssystem über das Netzwerk zu einem verborgenen Empfänger sendet. Spyware wird idr. mit gutartiger Software gebündelt. Replikation: Nein Populationswachstum: Keines Parasitismus: Nein c Ulrich Flegel Reaktive Sicherheit Teil 4 12 / 130

10 Malware-Typ: Adware Grundlagen Begriffe Adware Marketingorientierte Spyware, die gelegentlich gezielte Werbung anzeigt, das Konsumprofil des Nutzers ermittelt und idr. ohne die Einwilligung des Nutzers über ein Netzwerk versendet. Replikation: Nein Populationswachstum: Keines Parasitismus: Nein c Ulrich Flegel Reaktive Sicherheit Teil 4 13 / 130

11 Grundlagen Begriffe Malware-Typ: Zombie und Botnetz Zombie, Botnetz Malware, die einem Angreifer eine bösartige Funktionalität über das Netzwerk fernsteuerbar zur Verfügung stellt, z.b. SPAM versenden, DoS-Verkehr erzeugen. Ein Verbund von Zombies, der vom Angreifer wie eine Einheit ferngesteuert werden kann, nennt man Botnetz. Replikation: Nein Populationswachstum: Nein Parasitismus: Nein c Ulrich Flegel Reaktive Sicherheit Teil 4 14 / 130

12 Grundlagen Weitere Malware-Typen Begriffe Exploits Auto-Rooter Rootkits Dialer Massenmailer Flooder Keylogger... c Ulrich Flegel Reaktive Sicherheit Teil 4 15 / 130

13 Grundlagen Begriffe Grundlegender Aufbau von Viren Infektionsmechanismus: wie verbreitet sich ein Virus? Infektionsvektoren: verschiedene Verbreitungsansätze; Multipartite Viren nutzen mehrere Infektionsvektoren Auslöser: (optional) wie wird entschieden, ob die Nutzlast aktiv wird? Nutzlast: (optional) was tut der Virus (außer sich zu verbreiten)? z.b. Schadensfunktion def virus(): infect() if trigger() is true: payload() c Ulrich Flegel Reaktive Sicherheit Teil 4 16 / 130

14 Infektion Viren-Infektionsvektoren def infect(): repeat k times: target = select_target() if no target: return infect_code(target) Anmerkung: infect_code() vermeidet idr. eine Überinfektion c Ulrich Flegel Reaktive Sicherheit Teil 4 18 / 130

15 Viren-Infektionsvektoren Grob vereinfachter Bootvorgang Infektion des Boot-Sektors 1 Rechner anschalten 2 Primärboot: BIOS startet, Selbsttest, Geräteerkennung und -initialisierung, Bootgerät identifizieren, Bootblock lesen und ausführen 3 Sekundärboot: Bootblockprogramm lädt Code nach, der Dateisystem lesen kann und führt diesen aus 4 der Betriebssystemkern wird geladen und ausgeführt c Ulrich Flegel Reaktive Sicherheit Teil 4 20 / 130

16 Viren-Infektionsvektoren Infektion des Boot-Sektors Infektion des Boot-Sektors Virus kopiert originalen Bootblock und überschreibt den Bootblock Virus erhält Kontrolle beim Bootvorgang noch bevor Betriebssystem und Anti-Viren-SW geladen werden Gegenmaßnahme: Bootblockschutz im BIOS Abbildung: Mehrfache Infektion durch verschiedene Viren c Ulrich Flegel Reaktive Sicherheit Teil 4 21 / 130

17 Viren-Infektionsvektoren Infektion von Dateien Infektion von Dateien Zieldateien: ausführbare Dateien, Dokumente mit interpretierbarem Programmcode Virus fügt sich in Datei ein bzw. verknüpft sich mit dieser Virus erhält Kontrolle beim Ausführen der Datei bzw. des Programmcodes im Dokument c Ulrich Flegel Reaktive Sicherheit Teil 4 23 / 130

18 Viren-Infektionsvektoren Infektion von Dateien (Partielles) Überschreiben der Datei (1) Abbildung: Infektion durch (partielles) Überschreiben c Ulrich Flegel Reaktive Sicherheit Teil 4 24 / 130

19 Viren-Infektionsvektoren Infektion von Dateien (Partielles) Überschreiben der Datei (2) Überschreibender Virus idr. sehr kurz und ohne Nutzlast Dateianfang überschrieben: Dateigröße unverändert, Wirtsprogramm zerstört In der Mitte überschrieben: Dateigröße unverändert, Wirtsprogramm läuft ggf. anfangs, ist dennoch defekt Vollständig ersetzt: leicht entdeckbar durch identische Dateigrößen c Ulrich Flegel Reaktive Sicherheit Teil 4 25 / 130

20 Viren-Infektionsvektoren Überschreiben der Datei (3) Beispiel Infektion von Dateien Abbildung: Einfaches Shell-Virus, Infektion durch Überschreiben c Ulrich Flegel Reaktive Sicherheit Teil 4 26 / 130

21 Viren-Infektionsvektoren Vorhängen vor die Datei (1) Infektion von Dateien Abbildung: Infektion durch Davorhängen c Ulrich Flegel Reaktive Sicherheit Teil 4 27 / 130

22 Viren-Infektionsvektoren Vorhängen vor die Datei (2) Infektion von Dateien Bei Batch/Shell-Dateien praktikabel Bei Binärdateien idr. zu aufwendig (Relokation) Veränderte Dateigröße c Ulrich Flegel Reaktive Sicherheit Teil 4 28 / 130

23 Viren-Infektionsvektoren Vorhängen vor die Datei (3) Beispiel Infektion von Dateien c Ulrich Flegel Reaktive Sicherheit Teil 4 29 / 130

24 Viren-Infektionsvektoren Anhängen an die Datei (1) Infektion von Dateien Abbildung: Infektion durch Anhängen c Ulrich Flegel Reaktive Sicherheit Teil 4 30 / 130

25 Viren-Infektionsvektoren Anhängen an die Datei (2) Infektion von Dateien Abbildung: Infektion durch Anhängen c Ulrich Flegel Reaktive Sicherheit Teil 4 31 / 130

26 Viren-Infektionsvektoren Anhängen an die Datei (3) Infektion von Dateien Bei Binärdateien häufigster Fall Veränderte Dateigröße c Ulrich Flegel Reaktive Sicherheit Teil 4 32 / 130

27 Viren-Infektionsvektoren Anhängen an die Datei (4) Beispiel Infektion von Dateien Abbildung: Einfaches Shell-Virus, Infektion durch Anhängen c Ulrich Flegel Reaktive Sicherheit Teil 4 33 / 130

28 Viren-Infektionsvektoren Infektion von Dateien Einstreuen in ungenutzte Füllbereiche (1) Code Interlacing Infection bzw. Cavity Hole Infection Abbildung: Infektion durch Einstreuen in ungenutzte Dateibereiche c Ulrich Flegel Reaktive Sicherheit Teil 4 34 / 130

29 Viren-Infektionsvektoren Infektion von Dateien Einstreuen in ungenutzte Füllbereiche (2) Dateigröße unverändert Wirtsprogramm läuft korrekt c Ulrich Flegel Reaktive Sicherheit Teil 4 35 / 130

30 Begleit-Viren (1) Companion Viruses Viren-Infektionsvektoren Infektion von Dateien Abbildung: Infektion durch früheren Aufruf des Begleit-Virus c Ulrich Flegel Reaktive Sicherheit Teil 4 36 / 130

31 Begleit-Viren (2) Viren-Infektionsvektoren Infektion von Dateien Virus trägt denselben Namen wie der ursprüngliche Wirt Virus wird vor Wirtsprogramm aufgerufen: liegt in früher durchsuchtem Pfad Wirt umbenannt Aufrufreihenfolge bei MSDOS: foo.com, foo.exe, foo.bat Registry-Manipulation unter Windows Linker ersetzt unter Unix Overlay-Icon auf graphischer Oberfläche Virus ruft Wirtsprogramm auf Wirtsprogramm bleibt unverändert c Ulrich Flegel Reaktive Sicherheit Teil 4 37 / 130

32 Quellcode-Viren (1) Viren-Infektionsvektoren Infektion von Dateien Abbildung: Infektion auf Quellcode-Ebene c Ulrich Flegel Reaktive Sicherheit Teil 4 38 / 130

33 Quellcode-Viren (2) Viren-Infektionsvektoren Infektion von Dateien Virus infiziert Quellcodes des Wirtsprogramms Infektionsstelle des Quellcodes ist nicht offensichtlich Wirtsprogramm muß erst kompiliert werden, bevor der Virus wirksam wird Virus ist unabhängig von Hardware-Plattform c Ulrich Flegel Reaktive Sicherheit Teil 4 39 / 130

34 Viren-Infektionsvektoren Dokumenten-Viren (1) Macro Viruses Infektion von Dateien Virus infiziert spezifische, nicht-ausführbare Dokumente das Dokumentenformat umfaßt eine interpretiertbare Programmiersprache (Makrosprache) Applikationen, die das Dokumentenformat verstehen, interpretieren den enthaltenen Programmcode diverse Applikationen führen bestimmte Makros bei spezifischen Funktionen aus (Dokument neu, öffnen, schließen, speichern,... ) der Virus infiziert diese Makros c Ulrich Flegel Reaktive Sicherheit Teil 4 40 / 130

35 Viren-Infektionsvektoren Infektion von Dateien Dokumenten-Viren (2) Formate, die Dokument-Viren enthalten können (Filiol) 1 immer Code, direkt ausgeführt 2 Code optional, direkt ausgeführt 3 Code optional, Nutzerabfrage 4 Code optional, Nutzeraktion c Ulrich Flegel Reaktive Sicherheit Teil 4 41 / 130

36 Viren-Infektionsvektoren Dokumenten-Viren (3) Macro Viruses Infektion von Dateien Abbildung: Beispiel: Concept Virus infiziert Microsoft-Word-Dateien c Ulrich Flegel Reaktive Sicherheit Teil 4 42 / 130

37 Viren-Tarnmechanismen Spuren verwischen (1) Spuren verwischen Statisch: Dateimerkmale anpassen: Dateigröße, Zeitstempel, nicht-kryptographische Checksumme,... Blöcke des Sekundär-Bootloaders ersetzen. Die Dateisystemsicht des Betriebssystems bleibt unverändert (nicht aber der Inhalt). Dynamisch: ursprüngliche Datei-/Bootblockmerkmale und -inhalte zur Laufzeit im Speicher resident vorhalten und bei I/O-Anfragen einspielen (vgl. Kern-Rootkits) c Ulrich Flegel Reaktive Sicherheit Teil 4 45 / 130

38 Viren-Tarnmechanismen Spuren verwischen (2) Spuren verwischen Abbildung: Beispiel: Einspielen ursprünglicher Merkmale und Inhalte unter DOS und Windows c Ulrich Flegel Reaktive Sicherheit Teil 4 46 / 130

39 Verschlüsselung (1) Polymorphie Viren-Tarnmechanismen Verändern der Erscheinungsform (encryption) Abbildung: Verschlüsselter Virus-Body c Ulrich Flegel Reaktive Sicherheit Teil 4 48 / 130

40 Verschlüsselung (2) Viren-Tarnmechanismen Verändern der Erscheinungsform Einfache: kein Schlüssel, unparametrisierte umkehrbare Operationen, z.b. inkrementieren, dekrementieren, rotieren, arithmetisch/logisch negieren Statischer Schlüssel: kurzer Schlüssel (1 Byte/Wort), parametrisierte umkehrbare Operationen, z.b. addieren, subtrahieren, exklusiv-oder Variabler Schlüssel: kurzer Schlüssel (1 Byte/Wort) wird in jeder Iteration deterministisch verändert, Operationen wie bei statischem Schlüssel Substitution: jedes mögliche Klartextwort wird auf n 1 verschiedene Chiffreworte abgebildet (Tabelle) Starke: langer Schlüssel, sicheres Kryptosystem, z.b. AES Suche nach Schlüssel wird durch zufällige Schlüssel und Anpassung des neuen Dekryptors vermieden. c Ulrich Flegel Reaktive Sicherheit Teil 4 49 / 130

41 Oligomorphie Viren-Tarnmechanismen Verändern der Erscheinungsform Verschlüsselter Teil stets verschieden Dekryptor statisch, also erkennbar verschlüsselter Pool statischer Dekryptoren (Anzahl ca ) Zufällige Auswahl eines statischen Dekryptors Dekryptoren einzeln weiterhin statisch erkennbar c Ulrich Flegel Reaktive Sicherheit Teil 4 50 / 130

42 Polymorphie Viren-Tarnmechanismen Verändern der Erscheinungsform statische Dekryptoren sind erkennbar Mutation des Dekryptor-Codes erlaubt große Zahl an Varianten (Größenordnung Milliarden) Selbsterkennung zur Verhinderung von Überinfektion: muß unabhängig vom Viruscode funktionieren verdeckte Kanäle nutzen: Manipulation von Zeitstempelquersumme, Dateigröße, ungenutzte Dateibereiche kryptographische Einwegfunktion auf Dateinamen anwenden und Wert geschickt im Sekundärspeicher ablegen c Ulrich Flegel Reaktive Sicherheit Teil 4 51 / 130

43 Metamorphie Viren-Tarnmechanismen Verändern der Erscheinungsform Chriffrate leicht unterscheidbar von lauffähigem Code Mutation des gesamten Viren-Codes (inkl. Mutations-Engine) im Quellcode (ggf. Assembler) einfacher als im Binärcode Virus disassembliert, mutiert und assembliert sich selbst Implementierung nicht trivial Erkennung anhand von Mustern praktisch unmöglich Kontrollflußgraphen, Verhalten beobachten c Ulrich Flegel Reaktive Sicherheit Teil 4 52 / 130

44 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (1) Verändern der Erscheinungsform Idee der Code-Mutation/-Obfuscation randomisierte Ersetzung von Code-Sequenz durch andere, äquivalente Code-Sequenz legitime Einsatzfelder: Erschweren bzw. Verhindern von Reverse-Engineering Superoptimierung durch Compiler c Ulrich Flegel Reaktive Sicherheit Teil 4 53 / 130

45 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (2) Verändern der Erscheinungsform 12 Beispiel-Transformationen: Äquivalente Befehle: Einzelbefehle mit demselben Effekt, eher CPU-spezifisch, Beispiel Register r1 löschen: Äquivalente Befehlssequenzen: Befehlssequenzen mit demselben Effekt, weniger CPU-gebunden, Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 54 / 130

46 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (3) Beispiel-Transformationen Verändern der Erscheinungsform Befehlsumordnung: Umordnung der Reihenfolge unabhängiger Berechnungen, wohluntersucht bei optimierenden Compilern, Beispiel: Umbenennung: Umbenennung von Registern/Variablen, führt auf Assemblerebene zu verschiedenen Opcodes, Beispiel: Datenumordnung: Umordnen des Speicherorts von Daten hat Auswirkungen auf Zeiger in Befehlsoperanden c Ulrich Flegel Reaktive Sicherheit Teil 4 55 / 130

47 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (4) Beispiel-Transformationen Verändern der Erscheinungsform Spaghettifizierung: Umordnen von Befehlen unter Beibehaltung der Ausführungsreihenfolge Beispiel: Unnötige Befehle: Einfügen unnötiger Befehle (junk code), Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 56 / 130

48 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (5) Beispiel-Transformationen Verändern der Erscheinungsform Code-Erzeugung zur Laufzeit: Erzeugen oder modifizieren von Code während der Laufzeit, Beispiel: Nebenläufigkeit: Separieren des Codes in mehrere ggf. nebenläufige, aber synchronisierte Threads, Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 57 / 130

49 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (6) Beispiel-Transformationen Verändern der Erscheinungsform Code-Interpretation: Einführen von virtuellem Maschinencode, der zur Laufzeit interpretiert wird, Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 58 / 130

50 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (7) Beispiel-Transformationen Verändern der Erscheinungsform Inlining: Einfügen von Subroutinencode an der Aufrufstelle, Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 59 / 130

51 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (8) Beispiel-Transformationen Verändern der Erscheinungsform Outlining: Auslagern von Code in Subroutinen, Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 60 / 130

52 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (9) Beispiel-Transformationen Verändern der Erscheinungsform Threaded Outlining: Auslagern von Code in Subroutinen ohne Rücksprung, stattdessen Verwendung von Direktsprüngen Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 61 / 130

53 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (10) Beispiel-Transformationen Verändern der Erscheinungsform Interleaving: Verschränktes Zusammenführen von Subroutinen, Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 62 / 130

54 Virus-Baukasten (1) Viren-Tarnmechanismen Verändern der Erscheinungsform Abbildung: Malware-Erzeugung auf Knopfdruck c Ulrich Flegel Reaktive Sicherheit Teil 4 63 / 130

55 Virus-Baukasten (2) Viren-Tarnmechanismen Verändern der Erscheinungsform Abbildung: Malware-Erzeugung auf Knopfdruck c Ulrich Flegel Reaktive Sicherheit Teil 4 64 / 130

56 Viren-Bekämpfung Viren-Bekämpfung Erkennung: Erkennen, ob gegebene Daten einen Virus enthalten, Voraussetzung für Identifikation und Desinfektion, beweisbar allgemein unentscheidbares Problem (Cohen/Adleman) ewiges Wettrüsten Identifikation: Identifizieren des vorliegenden Virus; kann Ergebnis der Erkennung sein oder separates Verfahren, notwendig für die Desinfektion Desinfektion: Entfernen des erkannten und identifizierten Virus; der Desinfektionsprozeß ist idr. Virus-spezifisch c Ulrich Flegel Reaktive Sicherheit Teil 4 66 / 130

57 Viren-Bekämpfung Statische Erkennung Statische Virus-Erkennung durch Scanner Statische Erkennung: erfordert nicht, daß der Virus-Code ausgeführt wird Viren-Scanner sucht in einem Datenstrom (Bootblock, Datei, Netzwerk-Paket) nach einfachen Byte-Mustern (Strings, die ggf. Wildcards enthalten), den sog. Signaturen. Der Datenstrom wird simultan nach allen dem Scanner bekannten Signaturen durchsucht, und zwar auf Anfrage: Der Nutzer startet den Suchvorgang explizit, z.b. bei vorliegen neuer Signaturen oder bei Verdacht auf Infektion. bei Zugriff: Der Scanner läuft kontinuierlich im Hintergrund und durchsucht Daten beim Zugriff auf die Daten. c Ulrich Flegel Reaktive Sicherheit Teil 4 68 / 130

58 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Aho-Corasick (1) Repräsentation der Signaturen Endlicher Automat: Zustände stellen partielle Matches dar, Transitionen werden ausgelöst wenn das aktuell verarbeitete Byte im Datenstrom dem Transitions-Label entspricht. Endzustände kennzeichnen vollständige Matches. Fehlerfunktion: gibt den Folgezustand an (früheste Stelle an der ein Match weitergeführt werden kann), falls das aktuelle Byte im aktuellen Zustand keine Transition auslösen kann c Ulrich Flegel Reaktive Sicherheit Teil 4 69 / 130

59 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Aho-Corasick (2) Suchalgorithmus Abbildung: Pseudocode des Suchalgorithmus Aho-Corasick Abbildung: Beispiel für die Signaturen hi, hips, hip, hit, chip c Ulrich Flegel Reaktive Sicherheit Teil 4 70 / 130

60 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Aho-Corasick (3) Konstruktion des Automaten (1) 1 Signaturen als Trie darstellen: jede Signatur hat einen eindeutigen Pfad von der Wurzel zum Blatt, Signaturen mit gemeinsamem Präfix teilen sich so weit wie möglich einen Pfad Wurzel: Startzustand mit Kante zu sich selbst Signatur hinzufügen: von der Wurzel dem Pfad so weit wie möglich folgen, fehlende Kanten und Knoten anfügen, Signaturende erhält Endzustand c Ulrich Flegel Reaktive Sicherheit Teil 4 71 / 130

61 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Aho-Corasick (4) Konstruktion des Automaten (2) Abbildung: Beispiel: Trie für die Signaturen hi, hips, hip, hit, chip c Ulrich Flegel Reaktive Sicherheit Teil 4 72 / 130

62 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Aho-Corasick (5) Konstruktion des Automaten (3) 2 Zustände beginnend bei Wurzel in einer Breitensuche numerieren Abbildung: Beispiel: Numerierung der Trie-Zustände c Ulrich Flegel Reaktive Sicherheit Teil 4 73 / 130

63 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Aho-Corasick (6) Konstruktion der Fehlerfunktion (1) 3 Fehlerfunktion beginnend bei Wurzel in einer Breitensuche konstruieren Abbildung: Pseudocode des Algorithmus zur Konstruktion der Fehlerfunktion c Ulrich Flegel Reaktive Sicherheit Teil 4 74 / 130

64 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Aho-Corasick (6) Konstruktion der Fehlerfunktion (2) Abbildung: Beispiel: Konstruierte Fehlerfunktion für den Beispielautomaten c Ulrich Flegel Reaktive Sicherheit Teil 4 75 / 130

65 Viren-Bekämpfung Suchalgorithmus Veldman (1) Statische Erkennung Problem: Implementierung von Aho-Corasick ggf. nicht effizient (Zeit/Speicher) Idee: effizientes Fokussieren auf mögliche Signaturmatches, dann kurze lineare Suche Abbildung: Beispiel: Auswahl von 2/4-Zeichen-Substrings für Hashtabelle verwende je 2 Zeichen des Substrings als 2-stufigen Zugriff in Hash-Tabelle c Ulrich Flegel Reaktive Sicherheit Teil 4 76 / 130

66 Viren-Bekämpfung Suchalgorithmus Veldman (2) Statische Erkennung Abbildung: Beispiel: Hash-Tabellen zum fokussieren und kurz lineare Suchlisten c Ulrich Flegel Reaktive Sicherheit Teil 4 77 / 130

67 Viren-Bekämpfung Suchalgorithmus Veldman (3) Statische Erkennung Abbildung: Pseudocode des Suchalgorithmus Veldman c Ulrich Flegel Reaktive Sicherheit Teil 4 78 / 130

68 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Wu-Manber (1) vereinfachte Darstellung Problem: Aho-Corasick und Veldman betrachten jedes Eingabebyte Idee: Bytes überspringen, die zu keinem Match führen können Bezeichnungen: MINLEN: minimale Anzahl benachbarter nicht-wildcard-zeichen in allen Signaturen, hier: 3 (foo) b 1,... b n : n Eingabebytes Abbildung: Beispiel: Bestimmung von MINLEN=3 (foo) c Ulrich Flegel Reaktive Sicherheit Teil 4 79 / 130

69 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Wu-Manber (2) vereinfachte Darstellung für gegebene 2 Eingabebytes: Hashtabelle SHIFT: Anzahl zu überspringender Eingabebytes Hashtabelle HASH: lineare Suchliste möglicher Signaturmatches c Ulrich Flegel Reaktive Sicherheit Teil 4 80 / 130

70 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Wu-Manber (3) vereinfachte Darstellung Abbildung: Pseudocode des Algorithmus Wu-Manber und Beispiel c Ulrich Flegel Reaktive Sicherheit Teil 4 81 / 130

71 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Wu-Manber (4) Konstruktion der Hashtabelle SHIFT aus jeder Signatur einen Substring der Länge MINLEN extrahieren, hier: bla, foo, gre, agr extrahiere alle 2-Byte Substrings aus den MINLEN-Substrings, hier: ag, bl, fo, gr, la, oo, re sei q xy die Endposition von Substring xy mit dem höchsten Positionsindex in den MINLEN-Substrings, dann SHIFT[xy]=MINLEN q xy für alle anderen 2-Byte Substrings: SHIFT[xy]=MINLEN 1 bei MINLEN q xy = 0: das Ende eines MINLEN-Substrings wurde gefunden (xy), ein Match kann linear in der Liste zu HASH[xy] gesucht werden c Ulrich Flegel Reaktive Sicherheit Teil 4 82 / 130

72 Viren-Bekämpfung Statische Erkennung Statische Virus-Erkennung durch Heuristiken (1) Statische Heuristik sucht statisch nach Code, der sich virusähnlich verhält (sucht nicht nach spezifischen Byte-Mustern) Datensammlung: sucht (gewichtete) Anzeichen, die die Hypothese Code ist ein Virus unterstützen (oder entkräften). Einfache Heuristiken kann der Scanner-Suchalgorithmus finden: Unnötige Befehle (junk code) Dechiffrier-Schleifen Selbstmodifizierender Code Nutzung undokumentierter API-Aufrufe Manipulation von Interrupt-Vektoren Ungewöhnliche Maschineninstruktionen c Ulrich Flegel Reaktive Sicherheit Teil 4 83 / 130

73 Viren-Bekämpfung Statische Erkennung Statische Virus-Erkennung durch Heuristiken (2) Datensammlung (2): Komplexere Heuristiken: ungewöhnlich kleine Differenz zwischen Einsprung zum Programmstart und Dateiende Histogramm verwendeter Bytes: Code unterscheidbar von Code-Chiffrat Gewinnung von Heuristiken: idr. Expertenwissen, Forschungsansatz: Data-Mining Entscheidung: aus den gewichteten Anzeichen ein Entscheidung berechnen, z.b. Schwellenwertüberschreitung bei Summenbildung Vorteil: Erkennt bekannte und unbekannte Viren Nachteile: viele falsche Alarme, keine Identifikation entdeckter Viren Desinfektion wird nicht unterstützt c Ulrich Flegel Reaktive Sicherheit Teil 4 84 / 130

74 Viren-Bekämpfung Verifikation der Datenintegrität Statische Erkennung Idee der Integritätsprüfung Viren verändern Daten, um sich zu verbreiten. Unautorisierte Datenänderungen geben Hinweis auf den Virus. Die Datenbasis für den späteren Vergleich muß auf einem virusfreien System erzeugt werden. Ansätze: 1 Periodische Prüfung 2 Selbstprüfung vor Programmstart, insbesondere Anti-Viren-SW 3 Prüfung vor Ausführung, z.b. durch Betriebssystem Vorteile: hohe Performanz, erkennt bekannte und unbekannte Viren Nachteile: aufwendige Wartung, insbesondere in großen Rechnerverbünden; falsche Alarme, keine Identifikation entdeckter Viren Desinfektion nicht unterstützt c Ulrich Flegel Reaktive Sicherheit Teil 4 85 / 130

75 Viren-Bekämpfung Dynamische Erkennung Dynamische Virus-Erkennung durch Monitore (1) Dynamische Erkennung: erfordert, daß der Virus-Code ausgeführt wird Monitor (behavior monitor/blocker) beobachtet in Echtzeit das Verhalten in Ausführung befindlicher Programme und versucht virusähnliches Verhalten zu erkennen. Der Monitor kann (im Idealfall) verdächtige Aktivität blockieren bzw. vom Benutzer bestätigen lassen. c Ulrich Flegel Reaktive Sicherheit Teil 4 87 / 130

76 Viren-Bekämpfung Mißbrauchserkennung (1) Vgl. Intrusion Detection Dynamische Erkennung spezifizieren unerlaubter (Virus)-Aktivität der Monitor abstrahiert von den einzelnen Maschinenbefehlen und beobachtet nur die für ein Virus charakteristischen Aktivitäten, z.b. I/O- bzw. Systemaufrufe grobkörnige Modellierung: Die relevanten Aktivitäten werden als Zeichen des Suchalphabets betrachtet Signaturen sind kurze Zeichenfolgen, die Virus-Aktivität beschreiben Ein Scanner (s.o.) kann in Echtzeit die Aktivitätsfolge nach Signaturen durchsuchen Signaturen werden aus Experten-Wissen gewonnen Nachteil: ignorieren der Parameter bzw. Merkmale der Aktivität ist zu ungenau und führt zu falschen Alarmen c Ulrich Flegel Reaktive Sicherheit Teil 4 88 / 130

77 Viren-Bekämpfung Mißbrauchserkennung (2) Dynamische Erkennung feinkörnige Modellierung: Erlaubt die Modellierung von Merkmalen bzw. Parametern der Aktivitäten Modellierte Merkmale können als Kontext gespeichert und mit Merkmalen späterer Aktivitäten korreliert werden Beispielsignatur 1 Ausführbare Datei mit Lese- und Schreib-Rechten öffnen 2 Lesen des Dateikopfes, der die Startadresse enthält 3 Schreiben desselben (wahrscheinlich modifizierten) Dateikopfes 4 Das Dateiende suchen 5 Daten an die Datei anhängen Vorteil: Präzise Identifikation des Virus Nachteil: Findet nur bekannte Viren, für die eine Signatur vorliegt c Ulrich Flegel Reaktive Sicherheit Teil 4 89 / 130

78 Viren-Bekämpfung Anomalierkennung (1) Vgl. Intrusion Detection Dynamische Erkennung Spezifizieren erlaubter Aktivität, davon abweichende Aktivität ist eine Anomalie Annahme: eine Anomalie ist ein Virus (allgemeiner: Angriff) Forschungs-Ansatz von Forrest: Training: Aktivitätsfolgen von nicht-infiziertem Programmen erheben; Berechnung von Signaturen fester Länge, die diese Aktivitätsfolgen abdecken Laufzeit: Überschreitet die beobachtete Anzahl von Aktivitätsfolgen mit der Signaturlänge, die nicht in der Signatur-Datenbank enthalten sind, eine Schwellenwert, ist eine Anomalie aufgetreten Vorteil: erkennt bekannte und unbekannte Viren/Angriffe Nachteil: Training und Einstellen des Verfahrens für jedes zu prüfende Programm notwendig (Signaturlänge, Schwellenwert), keine Identifikation erkannter Viren Desinfektion nicht unterstützt c Ulrich Flegel Reaktive Sicherheit Teil 4 90 / 130

79 Viren-Bekämpfung Anomalierkennung (2) Beispiel Aktivitätsfolge Dynamische Erkennung Abbildung: Beispiel: Aktivitätsfolge und Signaturen c Ulrich Flegel Reaktive Sicherheit Teil 4 91 / 130

80 Emulation Viren-Bekämpfung Dynamische Erkennung Dynamische Heuristiken: siehe statische Heuristiken, ausgewertet werden aber nicht aus den ausführbaren Daten, sondern vom Emulator zur Laufzeit gelieferte Beobachtungsdaten; Monitore zur Mißbrauchs- oder Anomalieerkennung können ebenfalls in den Emulator integriert werden Generische Entschlüsselung: Virus entschlüsselt sich zur Laufzeit, Erkennung der vollständigen Entschlüsselung z.b. bei Ausführen zuvor veränderter Daten, nach Entschlüsselung statisch scannen. Vorteil: Virus befällt nur emulierte Umgebung, Echtsystem bleibt sauber, erkennt bekannte und unbekannte sowie polymorphe Viren Nachteil: hoher Ressourcenaufwand, unerkennbare Emulation schwierig zu implementieren, Virus kann während Emulation inaktiv bleiben, keine Identifikation entdeckter Viren Desinfektion wird nicht unterstützt c Ulrich Flegel Reaktive Sicherheit Teil 4 92 / 130

81 Viren-Bekämpfung Aufbau von Emulatoren (1) Dynamische Erkennung CPU-Emulation Speicher-Emulation: Effiziente Emulation von 4G-Adreßraum Markieren von modifiziertem Speicher Scanner kann auf modifizierten Speicher fokussieren Betriebssystem-Emulation: nur begrenzter und ergänzter Ausschnitt des Betriebssystems, aufgrund von Lizenzbestimmungen, Umfang, Startzeit und zusätzlich benötigten Beobachtungsfähigkeiten Hardware-Emulation: von Viren benötigte Hardware, z.b. Timer, bei portablen Viren idr. wenig, da Zugriff über Betriebssystem c Ulrich Flegel Reaktive Sicherheit Teil 4 93 / 130

82 Viren-Bekämpfung Aufbau von Emulatoren (2) Dynamische Erkennung Emulationskontrolle: Bestimmung des Abbruchzeitpunkts notwendig wegen Ressourcenaufwand und Dauer der Emulation, und Unbestimmbarkeit des Programmendes (Halte-Problem) Abbruchheuristiken: Anzahl emulierter Instruktionen (bei x86 < 1000) Emulationszeitdauer, z.b. 45s kleines Verhältnis ausgeführter Instruktionsanzahl zur modifizierten Speichermenge Heuristiken die Virus-Aktivität ausschließen, z.b. Programmausgaben bevor Speicher modifiziert (/entschlüsselt) wird Zusätzliche Datensammlung: Sammeln zusätzlicher Daten während der Emulation zur Analyse nach der Emulation Beispiel: Histogramm ausgeführter Instruktionen mit Histogrammen bekannter metamorpher Viren vergleichen c Ulrich Flegel Reaktive Sicherheit Teil 4 94 / 130

83 Identifikation Viren-Bekämpfung Reaktion Seltene Ausführung, darf mehr Ressourcen nutzen als Entdeckung Reduktion von falschen Alarmen Identifikation des Virus notwendig, da Erkennungsverfahren ggf. keine Identifikation leistet Eine Signatur ein Klasse von Viren erkennt Desinfektion idr. Virus-spezifisch Virus ggf. zuerst entschlüsseln (röntgen / X-raying) Identifikationsansätze: Entdeckten Virus mit Kopie von bekannten Viren vergleichen (gefährlich! nur im Labor) Scanner verwendet (längere) Virus-spezifische Signatur Prüfsumme vom entdeckten Virus mit Prüfsumme bekannter Viren vergleichen Virus-spezifische Identifikation programmiert in domänenspezifischer Sprache (notwendig für metamorphe Viren) c Ulrich Flegel Reaktive Sicherheit Teil 4 96 / 130

84 Quarantäne Viren-Bekämpfung Reaktion Seltene Ausführung, darf mehr Ressourcen nutzen als Entdeckung Temporäre Maßnahme, solange Nutzer nicht entschieden hat, wie die infizierten Daten zu behandeln sind, z.b. Desinfektion ein Desinfektionsmethode noch nicht verfügbar ist, aber mit einem Update später verfügbar werden könnte Ansatz: Infizierte Datei in Quarantäneverzeichnis verschieben Zugriffsrechte entfernen Infizierte Datei verschlüsseln, um Kopieren und Ausführen durch Nutzer zu verhindern c Ulrich Flegel Reaktive Sicherheit Teil 4 97 / 130

85 Desinfektion (1) Viren-Bekämpfung Reaktion Seltene Ausführung, darf mehr Ressourcen nutzen als Entdeckung Ansätze: Infizierte Daten komplett löschen oder Virus überschreiben Wiedereinspielen aus Backup, Annahme: Version im Backup ist aktuell und unversehrt Virus-spezifisch parametrisierte generische Desinfektionsmethode, z.b. Wiederherstellen der relozierten Start-Adresse Parameterbestimmung: Kopien sauberer Dateien mit Virus infizieren, infizierte Kopien mit sauberen Dateien vergleichen Virus-Code nutzen: Dynamisch verborgene Viren halten Originaldaten vor (vgl. Rootkit), Originaldaten über manipulierte Systemfunktion auslesen Virus in Emulator ausführen, Virus restauriert (ggf. verschlüsselten) Originalcode im Emulator, Ausführung bei Sprung in Originalcode abbrechen, Originalcode aus Emulator extrahieren c Ulrich Flegel Reaktive Sicherheit Teil 4 98 / 130

86 Desinfektion (2) Viren-Bekämpfung Reaktion Weitere Ansätze: Generische Desinfektion, z.b. Wiederherstellen des Dateikopfes und verschieben der Dateiinhalte zur ursprünglichen Position Dateikopf, Dateilänge und Prüfsumme des Dateiinhalts vorab speichern (gut kombinierbar mit Integritätsprüfung) suchen des verschobenen Dateiinhalts in infizierter Datei durch Prüfsummenbildung in gleitendem Fenster c Ulrich Flegel Reaktive Sicherheit Teil 4 99 / 130

87 Anti-Anti-Viren-Methoden Methoden von Viren im Kampf gegen Anti-Viren-SW (Anti-Anti-Virus) Ziele: 1 Funktionsfähigkeit der Anti-Viren-SW unterbinden/herabsetzen 2 Virenanalyse des Anti-Viren-SW-Herstellers erschweren/verzögern 3 Entdeckung vermeiden, indem Wissen über Funktionweise der Anti-Viren-SW ausgenutzt wird Anmerkung: Die zuvor vorgestellten Viren-Tarnmechanismen zielen ebenfalls auf Ziele 2& 3. c Ulrich Flegel Reaktive Sicherheit Teil / 130

88 Retroviren Anti-Anti-Viren-Methoden Retroviren Aktives abschalten/behindern vorhandener Anti-Viren-SW: Beenden der Prozesse von Anti-Viren- und Sicherheits-SW, Liste bekannter Prozeßnamen Dauerhaftes Abschalten durch Modifikation im Sekundärspeicher (z.b. erste Instruktion durch ret ersetzen), Liste bekannter Dateien in Bootdateien suchen lokale IP-Adressübersetzungsdatei (hosts) manipulieren, um Aktualisierung zu verhindern Diese Methoden kann der Nutzer relativ leicht entdecken, da die Anti-Viren-SW bzw. das Update nicht ausgeführt werden. c Ulrich Flegel Reaktive Sicherheit Teil / 130

89 Anti-Anti-Viren-Methoden Einsprung verschleiern Verschleierung des Einsprungs in den Viruscode (entry point obfuscation, EPO) Anti-Viren-Heuristik erkennt geringen Abstand zwischen Dateiende und Einsprung zum Programmstart Virus wählt per Heuristik später ausgeführten Wirtscode und ersetzt durch Sprung zum Viruscode, z.b. Aufruf von ExitProcess() API-Funktion ersetzen Virus wird bei Programmende ausgeführt bekannte vom Compiler erzeugte Instruktionssequenzen ersetzen c Ulrich Flegel Reaktive Sicherheit Teil / 130

90 Anti-Anti-Viren-Methoden Emulation Emulation umgehen, erkennen oder stören (1) Ansätze: Aussitzen: Infektion erst nach Emulationsabbruch durchführen, Emulator muß irgendwann aus Praktikabilitätsgründen abbrechen falls Abbruchheuristik bekannt: unnötigen Berechnungen ausführen, bis Emulator abbricht falls Emulator Ergebnisse voriger Läufe cacht: mit geringer Wahrscheinlichkeit infizieren Einsprung in Viruscode erst tief im Wirtscode (EPO), wenn Emulator bereits abgebrochen hat Dynamische Heuristiken vermeiden: wenn dynamische Heuristiken bekannt sind, kann der Viruscode so strukturiert werden, daß die Heuristiken nicht anschlagen, z.b. Einsprung in Viruscode erst tief im Wirtscode (EPO) Verteilen des Dekryptors, so daß keine kurze Schleife sichtbar ist Mehrfaches Entschlüsseln des Virus c Ulrich Flegel Reaktive Sicherheit Teil / 130

91 Anti-Anti-Viren-Methoden Emulation Emulation umgehen, erkennen oder stören (2) Grenzen testen: aus Praktikabilitätsgründen ist die Emulation unvollständig; der Virus kann die Grenzen der Emulation austesten und damit den Emulator erkennen und ggf. zum Absturz bringen. Beispiele: Undokumentierte CPU-Befehle nicht unterstützt CPU-Fehler nicht emuliert Speicheremulation unvollständig, z.b. keine Unterstützung von Memory Mapped I/O Betriebssystemfunktionen, die stets verschiedene Rückgabewerte haben, liefern statische Werte Laden selten genutzter Bibliotheken nicht unterstützt Externe Ressourcen nicht emuliert, z.b. Inhalte auf Web-Seiten Auf bekannte Emulator-spezifische Unvollständigkeiten oder Features (Schnittstelle zur Außenwelt) testen c Ulrich Flegel Reaktive Sicherheit Teil / 130

92 Anti-Anti-Viren-Methoden Debugging erkennen (1) Reverse Engineering Virus ist bereits aufgefallen und isoliert worden letzte verbleibende Möglichkeit für Populationswachstum: Reverse Engineering verzögern spätere Entwicklung von Methoden zur Erkennung und Desinfektion Idee: Debugging-Vorgang erkennen und unverdächtigen Code ausführen Erkennung des Debuggings basiert auf Funktionsweise des Debuggers: Debugger-spezifische Eigenheiten: Laufzeitumgebung unterscheidet sich erkennbar vom Normalfall (vgl. Emulation) Breakpoints: werden durch Einfügen von Breakpoint-Instruktionen implementiert, der Virus kann sich selbst auf Modifikationen untersuchen durch Fehlererkennung und ggf. -korrektur, z.b. CRC c Ulrich Flegel Reaktive Sicherheit Teil / 130

93 Anti-Anti-Viren-Methoden Debugging erkennen (2) Reverse Engineering Einzelschritt-Modus: nach Ausführen einer Instruktion löst CPU Interrupt aus, den der Debugger behandelt. Erkennungsansätze: Ausführungszeit von Codesequenzen messen unmittelbar nächste Instruktion modifizieren und deren Ausführungsergebnis verifizieren. Interrupt löscht CPU-Prefetch-Queue modifizierte Instruktion wird bei Einzelschritt-Modus ausgeführt, sonst nicht falls normale Interrupt-Handler-Adresse bekannt: wenn verändert, Virus unbrauchbar machen, z.b. als Dechiffrier-Schlüssel verwenden Windows: API-Funktion IsDebuggerPresent() abfragen Wert auf Stack legen, von Stack holen, prüfen ob noch am alten Platz derselbe Wert vorhanden, (beliebiger) Interrupt legt Daten auf den Stack und überschreibt damit alte Stackdaten c Ulrich Flegel Reaktive Sicherheit Teil / 130

94 Anti-Anti-Viren-Methoden Debugging erkennen (3) Reverse Engineering Abbildung: Beispiel: Erkennung von Einzelschritt-Modus mittels Stackdaten c Ulrich Flegel Reaktive Sicherheit Teil / 130

95 Anti-Anti-Viren-Methoden Reverse Engineering Disassemblierung erschweren (1) Ziel: Reverse Engineering verzögern (vgl. Debugging-Erkennen) Idee: Disassemblierung erschweren, Automatisierbarkeit verhindern Ansätze: Präzise Separation von Code und Daten nicht möglich Mischen von Code und Daten Abbildung: Beispiel: Verschleierte Instruktionen mit ret-semantik c Ulrich Flegel Reaktive Sicherheit Teil / 130

96 Anti-Anti-Viren-Methoden Reverse Engineering Disassemblierung erschweren (2) Bedarfsweise Dechiffrierung von Code mithilfe von Breakpoint und Interrupt-Handlern Abbildung: Beispiel: Code-Dechiffrierung zur Laufzeit c Ulrich Flegel Reaktive Sicherheit Teil / 130

97 Anti-Anti-Viren-Methoden Monitore Umgehen von Anti-Viren-Software (Tunneling) (1) Am Beispiel von Interrupt-I/O Abbildung: Normalzustand der Interruptbehandlung c Ulrich Flegel Reaktive Sicherheit Teil / 130

98 Anti-Anti-Viren-Methoden Monitore Umgehen von Anti-Viren-Software (Tunneling) (2) Am Beispiel von Interrupt-I/O Abbildung: Anti-Viren-SW prüft I/O bei Interruptbehandlung c Ulrich Flegel Reaktive Sicherheit Teil / 130

99 Anti-Anti-Viren-Methoden Monitore Umgehen von Anti-Viren-Software (Tunneling) (3) Am Beispiel von Interrupt-I/O Abbildung: Anti-Viren-SW erkennt Virus bei I/O c Ulrich Flegel Reaktive Sicherheit Teil / 130

100 Anti-Anti-Viren-Methoden Monitore Umgehen von Anti-Viren-Software (Tunneling) (4) Am Beispiel von Interrupt-I/O Abbildung: Anti-Viren-SW kann Virus bei I/O nicht erkennen c Ulrich Flegel Reaktive Sicherheit Teil / 130

Computerviren, Würmer, Trojaner

Computerviren, Würmer, Trojaner Computerviren, Würmer, Trojaner Computerviren, Würmer und Trojaner zählen zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Diese Programme können sich selbst verbreiten und

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

MALWARE AM BEISPIEL VON STUXNET

MALWARE AM BEISPIEL VON STUXNET MALWARE AM BEISPIEL VON STUXNET IAV10/12 24.05.2011 Jan Heimbrodt Inhalt 1. Definition Was ist Malware? 2. Kategorisierung von Malware Viren, Würmer, Trojaner, 3. Was macht Systeme unsicher? Angriffsziele,

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Das OpenAntivirus Projekt

Das OpenAntivirus Projekt Das OpenAntivirus Projekt http://www.openantivirus.org/ Kurt Huwig http://www.ikunetz.de/ Aufbau Motivation Bestandteile Status / Technik / Demonstration Zukunft http://www.ikunetz.de/

Mehr

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1 Sicherheit Bedeutung Gefahren Mag. Friedrich Wannerer 1 Sicherheitsbegriff Unversehrtheit und Vertraulichkeit persönlicher Daten Datenschutzgesetz 2000 Bedrohungen q Dialer, Spam, Spyware, Viren, Würmer,

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

Malware - Viren, Würmer und Trojaner

Malware - Viren, Würmer und Trojaner Department of Computer Sciences University of Salzburg June 21, 2013 Malware-Gesamtentwicklung 1984-2012 Malware-Zuwachs 1984-2012 Malware Anteil 2/2011 Malware Viren Würmer Trojaner Malware Computerprogramme,

Mehr

Viren, Würmer, Trojaner

Viren, Würmer, Trojaner Viren, Würmer, Trojaner Was muss ich beachten? Ralf Benzmüller G DATA Software AG Überblick Einleitung Grundlegende Begriffe Gefahrensituation Zahlen und Daten Trends Infektionsmechanismen Viren Würmer

Mehr

Viren - Wie sicher ist Mobile Commerce? Patrick Heinen Systems Engineer Symantec (Deutschland) GmbH

Viren - Wie sicher ist Mobile Commerce? Patrick Heinen Systems Engineer Symantec (Deutschland) GmbH Viren - Wie sicher ist Mobile Commerce? Patrick Heinen s Engineer (Deutschland) GmbH 1 Inhalt Viren, Würmer und Trojaner Definition Funktion Typen Geschichte Virenscannern - Abwehrmechanismen Anforderungen

Mehr

4D Server v12 64-bit Version BETA VERSION

4D Server v12 64-bit Version BETA VERSION 4D Server v12 64-bit Version BETA VERSION 4D Server v12 unterstützt jetzt das Windows 64-bit Betriebssystem. Hauptvorteil der 64-bit Technologie ist die rundum verbesserte Performance der Anwendungen und

Mehr

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen Andy Kurt Vortrag: 7.11.14 OSX - Computeria Meilen 1 von 10 Andy Kurt Vortrag: 7.11.14 Screen IT & Multimedia AG Webseite: www.screen-online.ch Link Fernwartung: http://screen-online.ch/service/fernwartung.php

Mehr

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet DesktopSecurity Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet Ralf Niederhüfner PROLINK internet communications GmbH 1 Desktop Security Szenarien

Mehr

Die Benutzung von BitDefender Home Edition

Die Benutzung von BitDefender Home Edition Virenschutz BitDefender Eines der wichtigsten Tools für einen sicheren PC ist die Antivirus-Software.Sie sorgt dafür, dass bekannte Viren, Würmer und Trojanische Pferde auf dem Rechner keinen Schaden anrichten,

Mehr

Anti-Viren-Software als integraler Bestandteil einer IT-Security-Strategie

Anti-Viren-Software als integraler Bestandteil einer IT-Security-Strategie Anti-Viren-Software als integraler Bestandteil einer IT-Security-Strategie Warum man trotzdem nicht vor Würmern sicher ist Folie Nr. 1 Marc Schneider Vorstellung Bei AV-Test.de für Server- und Groupware-Tests

Mehr

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement IT-Sicherheit Informationssicherheit: Schutz aller Informationen im Unternehmen elektronisch gespeicherte Daten Informationen in nichtelektronischer Form z.b. auf Papier Expertenwissen, in den Köpfen der

Mehr

IRS in virtualisierten Umgebungen

IRS in virtualisierten Umgebungen Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan

Mehr

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen"

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar Kommunikation in P2P-Netzen P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen" Ziele des Vortrags Sicherheit auf Konzept-Ebene Kommunikationsprotokolle Datenspeicherung Resistenz gegen Störungen, Angriffe,

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Trojaner Als Trojaner wird eine Art von Malware bezeichnet, bei der es sich um scheinbar nützliche Software handelt, die aber neben ihrer

Mehr

Das OpenAntivirus Projekt. Aufbau. Das Problem. Warum?

Das OpenAntivirus Projekt. Aufbau. Das Problem. Warum? Das OpenAntivirus Projekt Aufbau Motivation Bestandteile Status / Technik / Demonstration Zukunft http://www.openantivirus.org/ Kurt Huwig Warum? Das Problem Linux Viren werden zunehmen

Mehr

Sichere PCs und Laptops

Sichere PCs und Laptops Sichere PCs und Laptops Sicherheitstools mit der Bürgerkarte A-SIT Zentrum für Sichere Informationstechnologie Dipl.-Ing. Martin Centner SFG, 9. Februar 2006 A-SIT Zentrum für Sichere Informationstechnologie

Mehr

Exploits Wie kann das sein?

Exploits Wie kann das sein? Exploits Durch eine Schwachstelle im Programm xyz kann ein Angreifer Schadcode einschleusen. Manchmal reicht es schon irgendwo im Internet auf ein präpariertes Jpg-Bildchen zu klicken und schon holt man

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Aufgabe 3 Storm-Worm

Aufgabe 3 Storm-Worm Aufgabe 3 Storm-Worm Bot: kompromittierte Maschine Kommunikationskanal, der dem Angreifer die Kontrolle über den Bot und somit das System gestattet Botnetz: Zusammenschluss mehrerer Bots koordinierte Distributed-Denial-Of-Service-Angriffe

Mehr

Allgemeine Hintergrundinformation über Viren

Allgemeine Hintergrundinformation über Viren Allgemeine Hintergrundinformation über Viren Allgemeine Hintergrundinformation über Viren 1. Was ist ein Virus? Ein Computervirus ist ein Programm oder eine Folge von Anweisungen, mit dem Ziel sich zu

Mehr

Programmierkurs: Delphi: Einstieg

Programmierkurs: Delphi: Einstieg Seite 1 von 6 Programmierkurs: Delphi: Einstieg Aus Wikibooks Inhaltsverzeichnis 1 Einstieg Einstieg Was ist Delphi Borland Delphi ist eine RAD-Programmierumgebung von Borland. Sie basiert auf der Programmiersprache

Mehr

Computerviren. Institut fr Computerwissenschaften. Mihajlovic Roland rmihajlo@cosy.sbg.ac.at Reischmann Stefan sreisch@cosy.sbg.ac.

Computerviren. Institut fr Computerwissenschaften. Mihajlovic Roland rmihajlo@cosy.sbg.ac.at Reischmann Stefan sreisch@cosy.sbg.ac. Computerviren Mihajlovic Roland rmihajlo@cosy.sbg.ac.at Reischmann Stefan sreisch@cosy.sbg.ac.at Institut fr Computerwissenschaften Computerviren p.1/18 Der I LOVE YOU Virus Computerviren p.2/18 Geschichte

Mehr

STRG + A = STRG + C = STRG + X = STRG + V = STRG + Alt + Entf = STRG + S =

STRG + A = STRG + C = STRG + X = STRG + V = STRG + Alt + Entf = STRG + S = Wie heißen die Leisten? Was bedeuten die Tastenkombinationen mit STRG? STRG + A STRG + C STRG + X STRG + V STRG + Alt + Entf STRG + S STRG + A = STRG + C = STRG + X = STRG + V = STRG + Alt + Entf = STRG

Mehr

Desktop Personal Firewall und Virenscanner

Desktop Personal Firewall und Virenscanner Desktop Personal Firewall und Virenscanner Desktop Personal Firewall Was ist eine Firewall und wie kann diese unterschieden werden? Wie funktioniert eine Firewall? Was ist zu beachten? Virenscanner Was

Mehr

ESET Smart Security Business Edition

ESET Smart Security Business Edition ESET Smart Security Business Edition ESET Smart Security Business Edition ist eine neue, hochintegrierte Lösung für die Endpunkt-Sicherheit von Unternehmen aller Größen. ESET Smart Security bietet die

Mehr

Handbuch ECDL 2003 Basic Modul 2: Computermanagement und Dateiverwaltung Grundbegriffe: Viren und Daten auf Viren prüfen

Handbuch ECDL 2003 Basic Modul 2: Computermanagement und Dateiverwaltung Grundbegriffe: Viren und Daten auf Viren prüfen Handbuch ECDL 2003 Basic Modul 2: Computermanagement und Dateiverwaltung Grundbegriffe: Viren und Daten auf Viren prüfen Dateiname: ecdl2_06_01_documentation_standard.doc Speicherdatum: 14.02.2005 ECDL

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

E-Mail-Exploits und ihre Gefahren

E-Mail-Exploits und ihre Gefahren E-Mail-Exploits und ihre Gefahren Warum zum Erkennen von E-Mail-Exploits eine beson dere Engine benötigt wird In diesem White Paper erfahren Sie, worum es sich bei E-Mail-Exploits handelt und welche E-Mail-Exploits

Mehr

Kodierungsalgorithmen

Kodierungsalgorithmen Kodierungsalgorithmen Komprimierung Verschlüsselung Komprimierung Zielsetzung: Reduktion der Speicherkapazität Schnellere Übertragung Prinzipien: Wiederholungen in den Eingabedaten kompakter speichern

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

Smartphone-Sicherheit

Smartphone-Sicherheit Smartphone-Sicherheit Fokus: Verschlüsselung Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Peter Teufl Wien, 15.03.2012 Inhalt EGIZ Themen Smartphone

Mehr

Angriffe auf Windowssysteme

Angriffe auf Windowssysteme Angriffe auf Windowssysteme von Markus Diett Ruhr-Universität Bochum Lehrstuhl Kommunikationssicherheit Seminar: IT-Sicherheit Wintersemester 2003/2004 Fachsemster: 5 Matrikel-Nr.: 108 001 21522 6 Betreut

Mehr

Datenschutz. Schutz von Personen und Unternehmungen vor dem Missbrauch ihrer Daten. organisatorische Datenschutzmassnahmen

Datenschutz. Schutz von Personen und Unternehmungen vor dem Missbrauch ihrer Daten. organisatorische Datenschutzmassnahmen Datenschutz Schutz von Personen und Unternehmungen vor dem Missbrauch ihrer Daten. organisatorische Datenschutzmassnahmen gesetzliche Datenschutzmassnahmen www.datenschutz.ch K4.4 Datensicherheit - Datenschutz

Mehr

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren 4: Stromchiffren Zwei Grundbausteine der symmetrischen Kryptographie: Stromchiffren Verschlüsseln beliebig langer Klartexte, interner Zustand Blockchiffren Verschlüsseln von Blocks einer festen Größe,

Mehr

White Paper. Embedded Treiberframework. Einführung

White Paper. Embedded Treiberframework. Einführung Embedded Treiberframework Einführung White Paper Dieses White Paper beschreibt die Architektur einer Laufzeitumgebung für Gerätetreiber im embedded Umfeld. Dieses Treiberframework ist dabei auf jede embedded

Mehr

RIWA NetUpdater Tool für automatische Daten- und Softwareupdates

RIWA NetUpdater Tool für automatische Daten- und Softwareupdates RIWA NetUpdater Tool für automatische Daten- und Softwareupdates Grundlegendes... 1 Ausführbare Dateien und Betriebsmodi... 2 netupdater.exe... 2 netstart.exe... 2 netconfig.exe... 2 nethash.exe... 2 Verzeichnisse...

Mehr

Verschlüsselungstool DATUSCodierung

Verschlüsselungstool DATUSCodierung Verschlüsselungstool DATUSCodierung Benutzerhandbuch Stand: Januar 2014 Inhalt Verschlüsselungstool DATUSCodierung... 1 Inhalt... 2 Release Notes... 3 Technische Details... 3 Dateien im Lieferumfang...

Mehr

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1 F-Secure Mobile Security for Nokia E51, E71 und E75 1 Installation und Aktivierung F-Secure Client 5.1 Hinweis: Die Vorgängerversion von F-Secure Mobile Security muss nicht deinstalliert werden. Die neue

Mehr

4D v11 SQL Release 6 (11.6) ADDENDUM

4D v11 SQL Release 6 (11.6) ADDENDUM ADDENDUM Willkommen zu Release 6 von 4D v11 SQL. Dieses Dokument beschreibt die neuen Funktionalitäten und Änderungen der Version. Erweiterte Verschlüsselungsmöglichkeiten Release 6 von 4D v11 SQL erweitert

Mehr

Sicherer Datenaustausch mit EurOwiG AG

Sicherer Datenaustausch mit EurOwiG AG Sicherer Datenaustausch mit EurOwiG AG Inhalt AxCrypt... 2 Verschlüsselung mit Passwort... 2 Verschlüsseln mit Schlüsseldatei... 2 Entschlüsselung mit Passwort... 4 Entschlüsseln mit Schlüsseldatei...

Mehr

Übungen zur Vorlesung. Betriebssysteme

Übungen zur Vorlesung. Betriebssysteme Übungen zur Vorlesung Betriebssysteme Wintersemester 2015 Patrick Kendzo ppkendzo@gmail.com Inhalt Virtuelle Maschine -Eine kleine Einführung Damn Small Linux (DSL) Embedded Eine Einführung Aufgabe 1:

Mehr

Installation und Benutzung AD.NAV.ZipTools

Installation und Benutzung AD.NAV.ZipTools Installation und Benutzung AD.NAV.ZipTools Version 1.0.0.0 ALTENBRAND Datentechnik GmbH Am Gelicht 5 35279 Neustadt (Hessen) Tel: 06692/202 290 Fax: 06692/204 741 email: support@altenbrand.de Die Komponente

Mehr

Festplattenverschlüsselung

Festplattenverschlüsselung Festplattenverschlüsselung TrueCrypt Sebastian Berschneider sebastian.berschneider@informatik.stud.uni-erlangen.de 1 6. J u n i 2 0 1 0 Motivation Bei physischem Zugang des Angreifers können Schutzsysteme

Mehr

KURZANLEITUNG CLOUD BLOCK STORAGE

KURZANLEITUNG CLOUD BLOCK STORAGE KURZANLEITUNG CLOUD BLOCK STORAGE Version 1.12 01.07.2014 SEITE _ 2 INHALTSVERZEICHNIS 1. Einleitung......Seite 03 2. Anlegen eines dauerhaften Block Storage...Seite 04 3. Hinzufügen von Block Storage

Mehr

1.7 Assembler Programmierung

1.7 Assembler Programmierung 1.7 Assembler Programmierung Die nach außen sichtbare Programmierschnittstelle eines Prozessors ist der Befehlscode. Dies ist eine binäre Dateninformation, die vom Prozessor Byte für Byte abgearbeitet

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

E-Mail: BSCWMaster@dlz-it.de Tel.: +49 (3677) 669 2491 1. ALLGEMEINES ZU WEBDAV 1. 1.1 Vorteile 1. 1.2 Hinweise 2 2. WEBDAV MIT WINDOWS 7 3

E-Mail: BSCWMaster@dlz-it.de Tel.: +49 (3677) 669 2491 1. ALLGEMEINES ZU WEBDAV 1. 1.1 Vorteile 1. 1.2 Hinweise 2 2. WEBDAV MIT WINDOWS 7 3 WebDAV 1. ALLGEMEINES ZU WEBDAV 1 1.1 Vorteile 1 1.2 Hinweise 2 2. WEBDAV MIT WINDOWS 7 3 2.1 WebDAV Verbindung einrichten 3 2.1.1 1.Variante 3 2.1.2 2.Varainte 4 2.1.3 Netzwerkadresse hinzufügen 5 2.2

Mehr

Schutz vor Cyber-Angriffen Wunsch oder Realität?

Schutz vor Cyber-Angriffen Wunsch oder Realität? Schutz vor Cyber-Angriffen Wunsch oder Realität? Jan Gassen jan.gassen@fkie.fraunhofer.de 20.06.2012 Forschungsgruppe Cyber Defense Neue Cyber-Angriffe: Flame http://www.tagesschau.de/ausland/flame-virus100.html

Mehr

KEEPASS PLUGIN - BENUTZERHANDBUCH

KEEPASS PLUGIN - BENUTZERHANDBUCH Zentrum für sichere Informationstechnologie Austria Secure Information Technology Center Austria A-1030 Wien, Seidlgasse 22 / 9 Tel.: (+43 1) 503 19 63 0 Fax: (+43 1) 503 19 63 66 A-8010 Graz, Inffeldgasse

Mehr

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40 Intrusion Detection Einführung Kryptographie und IT-Sicherheit Intrusion Detection Alexander Auer Dominik Fakner Richard Hentschel Universität Salzburg 2012 1/40 Inhalt Inhaltsverzeichnis 1 Was ist Intrusion

Mehr

UI-Testing mit Microsoft Test Manager (MTM) Philip Gossweiler / 2013-04-18

UI-Testing mit Microsoft Test Manager (MTM) Philip Gossweiler / 2013-04-18 UI-Testing mit Microsoft Test Manager (MTM) Philip Gossweiler / 2013-04-18 Software Testing Automatisiert Manuell 100% 70% 1 Überwiegender Teil der Testing Tools fokusiert auf automatisiertes Testen Microsoft

Mehr

Mai 2011. Deutsche Übersetzung von Marion Göbel verfaßt mit epsilonwriter

Mai 2011. Deutsche Übersetzung von Marion Göbel verfaßt mit epsilonwriter Aplusix 3 - Installationshandbuch Mai 2011 Deutsche Übersetzung von Marion Göbel verfaßt mit epsilonwriter 1. Arten der Installation Eine Server-Installation wird mit einem Kauf-Code durchgeführt. Ein

Mehr

IT-Sicherheit in Werbung und. von Bartosz Komander

IT-Sicherheit in Werbung und. von Bartosz Komander IT-Sicherheit in Werbung und Informatik von Bartosz Komander Gliederung Einführung Anti-viren-software Verschlüsselungssoftware Firewalls Mein Fazit Quellen 2 Einführung Was ist eigentlich IT-Sicherheit?

Mehr

Profi cash 10. Electronic Banking. Installation und erste Schritte. Ihre Spezialisten für den elektronischen Zahlungsverkehr und moderne Bezahlsysteme

Profi cash 10. Electronic Banking. Installation und erste Schritte. Ihre Spezialisten für den elektronischen Zahlungsverkehr und moderne Bezahlsysteme Electronic Banking Ihre Spezialisten für den elektronischen Zahlungsverkehr und moderne Bezahlsysteme Profi cash 10 Installation und erste Schritte Legen Sie bitte die CD ein. Sollte die CD nicht von alleine

Mehr

Kap. 4.2: Binäre Suchbäume

Kap. 4.2: Binäre Suchbäume Kap. 4.2: Binäre Suchbäume Professor Dr. Lehrstuhl für Algorithm Engineering, LS11 Fakultät für Informatik, TU Dortmund 11. VO DAP2 SS 2009 26. Mai 2009 1 Zusätzliche Lernraumbetreuung Morteza Monemizadeh:

Mehr

Programmieren was ist das genau?

Programmieren was ist das genau? Programmieren was ist das genau? Programmieren heisst Computerprogramme herstellen (von griechisch programma für Vorschrift). Ein Computerprogramm ist Teil der Software eines Computers. Als Software bezeichnet

Mehr

Online Messe 10 Sicherheitstipps

Online Messe 10 Sicherheitstipps Online Messe 10 Sicherheitstipps Jens Rogowski und Alexander Thiele Sparkasse Celle Passwörter Ist mein Passwort sicher? je länger das Passwort, desto höher die Sicherheit Groß- und Kleinbuchstaben, Ziffern,

Mehr

Systeme 1. Kapitel 10 Sicherheit WS 2009/10 1

Systeme 1. Kapitel 10 Sicherheit WS 2009/10 1 Systeme 1 Kapitel 10 Sicherheit WS 2009/10 1 IBM System Storage-Kompendium Die IBM Speichergeschichte von 1952 bis 2010 http://www-03.ibm.com/systems/data/flash/de/resources/ ibm_storage_compendium_de.pdf

Mehr

VWA Rhein-Neckar Dipl.-Ing. Thomas Kloepfer. Kommunikation I (Internet) Übung 4 PHP

VWA Rhein-Neckar Dipl.-Ing. Thomas Kloepfer. Kommunikation I (Internet) Übung 4 PHP VWA Rhein-Neckar Dipl.-Ing. Thomas Kloepfer Kommunikation I (Internet) Übung 4 PHP SS 2004 Inhaltsverzeichnis 1. PHP die serverseitige Programmiersprache...1 1.1. PHP - Bereiche in HTML definieren...1

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Ein nationales IT-Frühwarnsystem Herausforderungen, Technologien und Architekturen

Ein nationales IT-Frühwarnsystem Herausforderungen, Technologien und Architekturen Ein nationales IT-Frühwarnsystem Herausforderungen, Technologien und Architekturen Universität Dortmund Fachbereich Informatik, LS 6 Informationssysteme und Sicherheit Alexander Burris Ulrich Flegel Johannes

Mehr

Hello World in Java. Der Weg zum ersten Java-Programm

Hello World in Java. Der Weg zum ersten Java-Programm Vorwort Hello World in Java Der Weg zum ersten Java-Programm Diese Anleitung wurde unter Windows XP verfasst. Grundsätzlich sollte sie auch unter späteren Windows Versionen wie Windows Vista oder Windows

Mehr

Password Depot für Android

Password Depot für Android Password Depot für Android * erfordert Android Version 2.3 oder höher Oberfläche... 3 Action Bar... 3 Overflow-Menü... 3 Eintragsleiste... 5 Kontextleiste... 5 Einstellungen... 6 Kennwörterdatei erstellen...

Mehr

Der linke Teilbaum von v enthält nur Schlüssel < key(v) und der rechte Teilbaum enthält nur Schlüssel > key(v)

Der linke Teilbaum von v enthält nur Schlüssel < key(v) und der rechte Teilbaum enthält nur Schlüssel > key(v) Ein Baum T mit Knotengraden 2, dessen Knoten Schlüssel aus einer total geordneten Menge speichern, ist ein binärer Suchbaum (BST), wenn für jeden inneren Knoten v von T die Suchbaumeigenschaft gilt: Der

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Avira AntiVir 10 Service Pack 2 Release-Informationen

Avira AntiVir 10 Service Pack 2 Release-Informationen Release-Informationen Erhöhte Zuverlässigkeit / Stabilität: Der AntiVir-Scanner repariert die Registrierungsschlüssel, die von Malware verändert wurden MailGuard verhindert einen Absturz während des Scans

Mehr

PARAGON Encrypted Disk

PARAGON Encrypted Disk PARAGON Encrypted Disk Anwenderhandbuch Paragon Technologie, Systemprogrammierung GmbH Copyright Paragon Technologie GmbH Herausgegeben von Paragon Technologie GmbH, Systemprogrammierung Pearl-Str. 1 D-79426

Mehr

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr.

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY 1 Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. Bernd Borchert GLIEDERUNG 1. Motivation Gründe für die Entwicklung Ideen für

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Installationsanleitung Expertatis

Installationsanleitung Expertatis Installationsanleitung Expertatis 1. Komplettinstallation auf einem Arbeitsplatz-Rechner Downloaden Sie die Komplettinstallation - Expertatis_Komplett-Setup_x32.exe für ein Windows 32 bit-betriebssystem

Mehr

Kryptographie und Fehlertoleranz für Digitale Magazine

Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Kryptographie und Fehlertoleranz für digitale Magazine 1 Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Professur für Mediensicherheit 13. März 2013 Stefan Lucks Kryptographie

Mehr

Seminar aus Informatik

Seminar aus Informatik 2012-06-15 Intrusion Detection Systems (IDS) Ziel: Erkennung von Angriffen und Ausbrüchen Host Based IDS Läuft auf dem Host Ist tief im System verankert Hat Zugriff auf: Prozessinformationen Netzwerkverkehr

Mehr

Cyber Defense MALWARE SIGNATUREN. Dipl.-Inform. Julian Dammann Dipl.-Inform. Peter Weidenbach

Cyber Defense MALWARE SIGNATUREN. Dipl.-Inform. Julian Dammann Dipl.-Inform. Peter Weidenbach MALWARE SIGNATUREN Dipl.-Inform. Julian Dammann Dipl.-Inform. Peter Weidenbach julian.dammann@fkie.fraunhofer.de, peter.weidenbach@fkie.fraunhofer.de Cyber Defense MALWARE SIGNATUREN 1. Signaturen Allgemein

Mehr

Backup und Datensicherung von Plone-Systemen. Vortragender: Christian Becker

Backup und Datensicherung von Plone-Systemen. Vortragender: Christian Becker Backup und Datensicherung von Plone-Systemen Vortragender: Christian Becker Schwerpunkte Einleitung Arbeitsweise von repozo Konfigurationsvariante des collective.recipe.backup BLOBs Quellen Fragen Schwerpunkte

Mehr

INSTALLATION SCAN SUITE 8

INSTALLATION SCAN SUITE 8 8 8 1 UPDATEN 1. UPDATEN Die neueste Version der SCAN CT 8 Software kann von der Homepage im Memberbereich heruntergeladen werden. Der Memberbereich wird über Support Members erreicht. In diesem Bereich

Mehr

Programmieren. Wie entsteht ein Programm

Programmieren. Wie entsteht ein Programm Wie entsteht ein Programm 1/9 1. Schritt: Programmentwurf Der wichtigste Teil beim Erstellen eines Programms ist der Programmentwurf. Dabei wird das vorgegebene Problem analysiert, es wird ermittelt, welche

Mehr

Rootkits: Techniken und Abwehr

Rootkits: Techniken und Abwehr Rootkits: Techniken und Abwehr Von Rootkits eingesetzte Techniken und Methoden zur ihrer Entdeckung und Abwehr DFN Workshop 2003, 26. Februar 2003 Dipl. Inf. Andreas Bunten Gliederung Was sind Rootkits?

Mehr

FAQ Häufig gestellte Fragen

FAQ Häufig gestellte Fragen FAQ Häufig gestellte Fragen FAQ zu HitmanPro.Kickstart Seite 1 Inhaltsverzeichnis Einführung in HitmanPro.Kickstart... 3 F-00: Wozu wird HitmanPro.Kickstart benötigt?... 4 F-01: Kann HitmanPro.Kickstart

Mehr

Objektorientiertes Programmieren für Ingenieure

Objektorientiertes Programmieren für Ingenieure Uwe Probst Objektorientiertes Programmieren für Ingenieure Anwendungen und Beispiele in C++ 18 2 Von C zu C++ 2.2.2 Referenzen und Funktionen Referenzen als Funktionsparameter Liefert eine Funktion einen

Mehr

10.3.1.4 Übung - Datensicherung und Wiederherstellung in Windows 7

10.3.1.4 Übung - Datensicherung und Wiederherstellung in Windows 7 5.0 10.3.1.4 Übung - Datensicherung und Wiederherstellung in Windows 7 Einführung Drucken Sie diese Übung aus und führen Sie sie durch. In dieser Übung werden Sie die Daten sichern. Sie werden auch eine

Mehr

PeDaS Personal Data Safe. - Bedienungsanleitung -

PeDaS Personal Data Safe. - Bedienungsanleitung - PeDaS Personal Data Safe - Bedienungsanleitung - PeDaS Bedienungsanleitung v1.0 1/12 OWITA GmbH 2008 1 Initialisierung einer neuen SmartCard Starten Sie die PeDaS-Anwendung, nachdem Sie eine neue noch

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

Laufwerk-Verschlüsselung mit BitLocker

Laufwerk-Verschlüsselung mit BitLocker Laufwerk-Verschlüsselung mit Microsoft BitLocker 1 Allgemeine Informationen... 3 1.1 Informationen zu diesem Dokument... Fehler! Textmarke nicht definiert. 1.1.1. Version und Änderungen... Fehler! Textmarke

Mehr

Druckanpassung von Mahnungen

Druckanpassung von Mahnungen Druckanpassung von Mahnungen Nur wenn Sie die faktura in der Einzelversion nutzen, steht Ihnen für die Druckanpassung der Mahnungen auch der Formularassistent zur Verfügung. Dort können Sie die gewünschten

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

Software Engineering, SoSe 07, WSI, D. Huson, (Original Author: A. Zeller), 4. Juni 2007 45

Software Engineering, SoSe 07, WSI, D. Huson, (Original Author: A. Zeller), 4. Juni 2007 45 Software Engineering, SoSe 07, WSI, D. Huson, (Original Author: A. Zeller), 4. Juni 2007 45 7 Programmverstehen + Fehlersuche Nach einer Vorlesung von Prof. Andreas Zeller, Lehrstuhl Softwaretechnik Universität

Mehr

2. Word-Dokumente verwalten

2. Word-Dokumente verwalten 2. Word-Dokumente verwalten In dieser Lektion lernen Sie... Word-Dokumente speichern und öffnen Neue Dokumente erstellen Dateiformate Was Sie für diese Lektion wissen sollten: Die Arbeitsumgebung von Word

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Technische Informatik 1 Übung 2 Assembler (Rechenübung) Georgia Giannopoulou (ggeorgia@tik.ee.ethz.ch) 22./23. Oktober 2015

Technische Informatik 1 Übung 2 Assembler (Rechenübung) Georgia Giannopoulou (ggeorgia@tik.ee.ethz.ch) 22./23. Oktober 2015 Technische Informatik 1 Übung 2 Assembler (Rechenübung) Georgia Giannopoulou (ggeorgia@tik.ee.ethz.ch) 22./23. Oktober 2015 Ziele der Übung Aufgabe 1 Aufbau und Aufruf von Funktionen in Assembler Codeanalyse

Mehr

Sind Ihre Anwendungen auf mobilen Endgeräten sicher? Karsten Sohr Technologie-Zentrum Informatik Universität Bremen

Sind Ihre Anwendungen auf mobilen Endgeräten sicher? Karsten Sohr Technologie-Zentrum Informatik Universität Bremen Sind Ihre Anwendungen auf mobilen Endgeräten sicher? Karsten Sohr Technologie-Zentrum Informatik Universität Bremen Inhalt Motivation allgemeine Bedrohungen für mobile Endgeräte bösartige Anwendungen für

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Agenda. Spam: Zahlen und Daten. Malware & Spam per Botnetz (und was dagegen schützt) Werner Klier Virenforschung. G DATA Security Labs

Agenda. Spam: Zahlen und Daten. Malware & Spam per Botnetz (und was dagegen schützt) Werner Klier Virenforschung. G DATA Security Labs Malware & Spam per Botnetz (und was dagegen schützt) Werner Klier Virenforschung G DATA Security Labs Agenda Spam Zahlen und Daten Erkennung Image Spam OutbreakShield A1 Spam: Zahlen und Daten 86.2 % aller

Mehr

FlowFact Alle Versionen

FlowFact Alle Versionen Training FlowFact Alle Versionen Stand: 29.09.2005 Brief schreiben, ablegen, ändern Die FlowFact Word-Einbindung macht es möglich, direkt von FlowFact heraus Dokumente zu erzeugen, die automatisch über

Mehr

B1 Stapelspeicher (stack)

B1 Stapelspeicher (stack) B1 Stapelspeicher (stack) Arbeitsweise des LIFO-Stapelspeichers Im Kapitel "Unterprogramme" wurde schon erwähnt, dass Unterprogramme einen so genannten Stapelspeicher (Kellerspeicher, Stapel, stack) benötigen

Mehr

Handbuch für Android 1.5

Handbuch für Android 1.5 Handbuch für Android 1.5 1 Inhaltsverzeichnis 1 Leistungsumfang... 3 1.1 Über Boxcryptor Classic... 3 1.2 Über dieses Handbuch... 3 2. Installation... 5 3. Grundfunktionen... 5 3.1 Einrichtung von Boxcryptor

Mehr