Reaktive Sicherheit Teil 4

Größe: px
Ab Seite anzeigen:

Download "Reaktive Sicherheit Teil 4"

Transkript

1 Reaktive Sicherheit Teil 4 Malware Ulrich Flegel Lehrstuhl 6 Informationssysteme und Sicherheit Fachbereich Informatik Universität Dortmund 30. November 2007 c Ulrich Flegel Reaktive Sicherheit Teil 4 1 / 130

2 Grundlagen Begriffe Malware und ihre Einordnung Malware Software mit bösartiger Wirkung. sehr breite Definition es existieren diverse feinkörnigere Klassifizierungen von Malware Eine einfach Einordnung (nach Aycock): Replikation: Die Malware versucht, sich aktiv zu verbreiten, z.b. Herstellen von Kopien oder neuen Instanzen von sich selbst. Populationswachstum: Beschreibt die Veränderung der Anzahl der Malware-Instanzen aufgrund von Replikation. Parasitismus: Die Malware benötigt einen Wirt, um zu existieren, z.b. Bootblock-Code, ausführbarer Binärcode, Source-Code, Makros und Skriptsprachen. c Ulrich Flegel Reaktive Sicherheit Teil 4 5 / 130

3 Grundlagen Begriffe Malware-Typ: Logische Bombe Logische Bombe Malware bestehend aus: Nutzlast: beliebige böswillige Aktivität (logic bomb) Auslöser: Boolesche Bedingung, die entscheidet, ob die Nutzlast ausgeführt wird Eine Logische Bombe ist in idr. klein und schwer auffindbar im (Source-)Code verborgen. Replikation: Nein Populationswachstum: Keines Parasitismus: Möglich c Ulrich Flegel Reaktive Sicherheit Teil 4 6 / 130

4 Grundlagen Begriffe Malware-Typ: Trojanisches Pferd Trojanisches Pferd (trojan horse) Programm, das eine vom Nutzer gewünschte Funktionalität besitzt, sowie eine vom Nutzer nicht gewünschte Funktionalität, die verborgen und ohne Einwilligung des Nutzers ausgeführt wird. Replikation: Nein Populationswachstum: Keines Parasitismus: Ja c Ulrich Flegel Reaktive Sicherheit Teil 4 7 / 130

5 Malware-Typ: Hintertür Grundlagen Begriffe Hintertür (back door) Malware, die dediziert dafür vorgesehen ist, Sicherheitsmaßnahmen des Systems zu umgehen, auf dem sie existiert. Hintertüren können in Programme eingefügt sein (Trojanisches Pferd) oder eigenständig existieren. Replikation: Nein Populationswachstum: Keines Parasitismus: Möglich c Ulrich Flegel Reaktive Sicherheit Teil 4 8 / 130

6 Malware-Typ: Virus Grundlagen Begriffe Virus (virus) Malware, die sich beim Ausführen verbreitet, indem sie sich selbst in Wirten einnistet, diese also infiziert, z.b. Code in ausführbaren Binärcode einfügt. Die initiale Infektion wird ggf. von einem als Dropper bezeichneten Trojanischen Pferd durchgeführt. Replikation: Ja Populationswachstum: Positiv Parasitismus: Ja c Ulrich Flegel Reaktive Sicherheit Teil 4 9 / 130

7 Malware-Typ: Wurm Grundlagen Begriffe Wurm (worm) Malware, die sich beim Ausführen verbreitet, indem sie sich über ein Netzwerk in Wirtssystemen einnistet. Ein Wurm existiert eigenständig im Wirtssystem. Replikation: Ja Populationswachstum: Positiv Parasitismus: Nein c Ulrich Flegel Reaktive Sicherheit Teil 4 10 / 130

8 Grundlagen Begriffe Malware-Typ: Kaninchen bzw. Bakterium Kaninchen/Bakterium (rabbit / bacterium) Malware, die sich möglichst schnell repliziert, um Ressourcen des Wirtssystems zu erschöpfen. Replikation: Ja Populationswachstum: Positiv Parasitismus: Nein c Ulrich Flegel Reaktive Sicherheit Teil 4 11 / 130

9 Malware-Typ: Spyware Grundlagen Begriffe Spyware Malware, die ohne Einwilligung des Nutzers vertrauliche oder sensitive Daten vom Wirtssystem über das Netzwerk zu einem verborgenen Empfänger sendet. Spyware wird idr. mit gutartiger Software gebündelt. Replikation: Nein Populationswachstum: Keines Parasitismus: Nein c Ulrich Flegel Reaktive Sicherheit Teil 4 12 / 130

10 Malware-Typ: Adware Grundlagen Begriffe Adware Marketingorientierte Spyware, die gelegentlich gezielte Werbung anzeigt, das Konsumprofil des Nutzers ermittelt und idr. ohne die Einwilligung des Nutzers über ein Netzwerk versendet. Replikation: Nein Populationswachstum: Keines Parasitismus: Nein c Ulrich Flegel Reaktive Sicherheit Teil 4 13 / 130

11 Grundlagen Begriffe Malware-Typ: Zombie und Botnetz Zombie, Botnetz Malware, die einem Angreifer eine bösartige Funktionalität über das Netzwerk fernsteuerbar zur Verfügung stellt, z.b. SPAM versenden, DoS-Verkehr erzeugen. Ein Verbund von Zombies, der vom Angreifer wie eine Einheit ferngesteuert werden kann, nennt man Botnetz. Replikation: Nein Populationswachstum: Nein Parasitismus: Nein c Ulrich Flegel Reaktive Sicherheit Teil 4 14 / 130

12 Grundlagen Weitere Malware-Typen Begriffe Exploits Auto-Rooter Rootkits Dialer Massenmailer Flooder Keylogger... c Ulrich Flegel Reaktive Sicherheit Teil 4 15 / 130

13 Grundlagen Begriffe Grundlegender Aufbau von Viren Infektionsmechanismus: wie verbreitet sich ein Virus? Infektionsvektoren: verschiedene Verbreitungsansätze; Multipartite Viren nutzen mehrere Infektionsvektoren Auslöser: (optional) wie wird entschieden, ob die Nutzlast aktiv wird? Nutzlast: (optional) was tut der Virus (außer sich zu verbreiten)? z.b. Schadensfunktion def virus(): infect() if trigger() is true: payload() c Ulrich Flegel Reaktive Sicherheit Teil 4 16 / 130

14 Infektion Viren-Infektionsvektoren def infect(): repeat k times: target = select_target() if no target: return infect_code(target) Anmerkung: infect_code() vermeidet idr. eine Überinfektion c Ulrich Flegel Reaktive Sicherheit Teil 4 18 / 130

15 Viren-Infektionsvektoren Grob vereinfachter Bootvorgang Infektion des Boot-Sektors 1 Rechner anschalten 2 Primärboot: BIOS startet, Selbsttest, Geräteerkennung und -initialisierung, Bootgerät identifizieren, Bootblock lesen und ausführen 3 Sekundärboot: Bootblockprogramm lädt Code nach, der Dateisystem lesen kann und führt diesen aus 4 der Betriebssystemkern wird geladen und ausgeführt c Ulrich Flegel Reaktive Sicherheit Teil 4 20 / 130

16 Viren-Infektionsvektoren Infektion des Boot-Sektors Infektion des Boot-Sektors Virus kopiert originalen Bootblock und überschreibt den Bootblock Virus erhält Kontrolle beim Bootvorgang noch bevor Betriebssystem und Anti-Viren-SW geladen werden Gegenmaßnahme: Bootblockschutz im BIOS Abbildung: Mehrfache Infektion durch verschiedene Viren c Ulrich Flegel Reaktive Sicherheit Teil 4 21 / 130

17 Viren-Infektionsvektoren Infektion von Dateien Infektion von Dateien Zieldateien: ausführbare Dateien, Dokumente mit interpretierbarem Programmcode Virus fügt sich in Datei ein bzw. verknüpft sich mit dieser Virus erhält Kontrolle beim Ausführen der Datei bzw. des Programmcodes im Dokument c Ulrich Flegel Reaktive Sicherheit Teil 4 23 / 130

18 Viren-Infektionsvektoren Infektion von Dateien (Partielles) Überschreiben der Datei (1) Abbildung: Infektion durch (partielles) Überschreiben c Ulrich Flegel Reaktive Sicherheit Teil 4 24 / 130

19 Viren-Infektionsvektoren Infektion von Dateien (Partielles) Überschreiben der Datei (2) Überschreibender Virus idr. sehr kurz und ohne Nutzlast Dateianfang überschrieben: Dateigröße unverändert, Wirtsprogramm zerstört In der Mitte überschrieben: Dateigröße unverändert, Wirtsprogramm läuft ggf. anfangs, ist dennoch defekt Vollständig ersetzt: leicht entdeckbar durch identische Dateigrößen c Ulrich Flegel Reaktive Sicherheit Teil 4 25 / 130

20 Viren-Infektionsvektoren Überschreiben der Datei (3) Beispiel Infektion von Dateien Abbildung: Einfaches Shell-Virus, Infektion durch Überschreiben c Ulrich Flegel Reaktive Sicherheit Teil 4 26 / 130

21 Viren-Infektionsvektoren Vorhängen vor die Datei (1) Infektion von Dateien Abbildung: Infektion durch Davorhängen c Ulrich Flegel Reaktive Sicherheit Teil 4 27 / 130

22 Viren-Infektionsvektoren Vorhängen vor die Datei (2) Infektion von Dateien Bei Batch/Shell-Dateien praktikabel Bei Binärdateien idr. zu aufwendig (Relokation) Veränderte Dateigröße c Ulrich Flegel Reaktive Sicherheit Teil 4 28 / 130

23 Viren-Infektionsvektoren Vorhängen vor die Datei (3) Beispiel Infektion von Dateien c Ulrich Flegel Reaktive Sicherheit Teil 4 29 / 130

24 Viren-Infektionsvektoren Anhängen an die Datei (1) Infektion von Dateien Abbildung: Infektion durch Anhängen c Ulrich Flegel Reaktive Sicherheit Teil 4 30 / 130

25 Viren-Infektionsvektoren Anhängen an die Datei (2) Infektion von Dateien Abbildung: Infektion durch Anhängen c Ulrich Flegel Reaktive Sicherheit Teil 4 31 / 130

26 Viren-Infektionsvektoren Anhängen an die Datei (3) Infektion von Dateien Bei Binärdateien häufigster Fall Veränderte Dateigröße c Ulrich Flegel Reaktive Sicherheit Teil 4 32 / 130

27 Viren-Infektionsvektoren Anhängen an die Datei (4) Beispiel Infektion von Dateien Abbildung: Einfaches Shell-Virus, Infektion durch Anhängen c Ulrich Flegel Reaktive Sicherheit Teil 4 33 / 130

28 Viren-Infektionsvektoren Infektion von Dateien Einstreuen in ungenutzte Füllbereiche (1) Code Interlacing Infection bzw. Cavity Hole Infection Abbildung: Infektion durch Einstreuen in ungenutzte Dateibereiche c Ulrich Flegel Reaktive Sicherheit Teil 4 34 / 130

29 Viren-Infektionsvektoren Infektion von Dateien Einstreuen in ungenutzte Füllbereiche (2) Dateigröße unverändert Wirtsprogramm läuft korrekt c Ulrich Flegel Reaktive Sicherheit Teil 4 35 / 130

30 Begleit-Viren (1) Companion Viruses Viren-Infektionsvektoren Infektion von Dateien Abbildung: Infektion durch früheren Aufruf des Begleit-Virus c Ulrich Flegel Reaktive Sicherheit Teil 4 36 / 130

31 Begleit-Viren (2) Viren-Infektionsvektoren Infektion von Dateien Virus trägt denselben Namen wie der ursprüngliche Wirt Virus wird vor Wirtsprogramm aufgerufen: liegt in früher durchsuchtem Pfad Wirt umbenannt Aufrufreihenfolge bei MSDOS: foo.com, foo.exe, foo.bat Registry-Manipulation unter Windows Linker ersetzt unter Unix Overlay-Icon auf graphischer Oberfläche Virus ruft Wirtsprogramm auf Wirtsprogramm bleibt unverändert c Ulrich Flegel Reaktive Sicherheit Teil 4 37 / 130

32 Quellcode-Viren (1) Viren-Infektionsvektoren Infektion von Dateien Abbildung: Infektion auf Quellcode-Ebene c Ulrich Flegel Reaktive Sicherheit Teil 4 38 / 130

33 Quellcode-Viren (2) Viren-Infektionsvektoren Infektion von Dateien Virus infiziert Quellcodes des Wirtsprogramms Infektionsstelle des Quellcodes ist nicht offensichtlich Wirtsprogramm muß erst kompiliert werden, bevor der Virus wirksam wird Virus ist unabhängig von Hardware-Plattform c Ulrich Flegel Reaktive Sicherheit Teil 4 39 / 130

34 Viren-Infektionsvektoren Dokumenten-Viren (1) Macro Viruses Infektion von Dateien Virus infiziert spezifische, nicht-ausführbare Dokumente das Dokumentenformat umfaßt eine interpretiertbare Programmiersprache (Makrosprache) Applikationen, die das Dokumentenformat verstehen, interpretieren den enthaltenen Programmcode diverse Applikationen führen bestimmte Makros bei spezifischen Funktionen aus (Dokument neu, öffnen, schließen, speichern,... ) der Virus infiziert diese Makros c Ulrich Flegel Reaktive Sicherheit Teil 4 40 / 130

35 Viren-Infektionsvektoren Infektion von Dateien Dokumenten-Viren (2) Formate, die Dokument-Viren enthalten können (Filiol) 1 immer Code, direkt ausgeführt 2 Code optional, direkt ausgeführt 3 Code optional, Nutzerabfrage 4 Code optional, Nutzeraktion c Ulrich Flegel Reaktive Sicherheit Teil 4 41 / 130

36 Viren-Infektionsvektoren Dokumenten-Viren (3) Macro Viruses Infektion von Dateien Abbildung: Beispiel: Concept Virus infiziert Microsoft-Word-Dateien c Ulrich Flegel Reaktive Sicherheit Teil 4 42 / 130

37 Viren-Tarnmechanismen Spuren verwischen (1) Spuren verwischen Statisch: Dateimerkmale anpassen: Dateigröße, Zeitstempel, nicht-kryptographische Checksumme,... Blöcke des Sekundär-Bootloaders ersetzen. Die Dateisystemsicht des Betriebssystems bleibt unverändert (nicht aber der Inhalt). Dynamisch: ursprüngliche Datei-/Bootblockmerkmale und -inhalte zur Laufzeit im Speicher resident vorhalten und bei I/O-Anfragen einspielen (vgl. Kern-Rootkits) c Ulrich Flegel Reaktive Sicherheit Teil 4 45 / 130

38 Viren-Tarnmechanismen Spuren verwischen (2) Spuren verwischen Abbildung: Beispiel: Einspielen ursprünglicher Merkmale und Inhalte unter DOS und Windows c Ulrich Flegel Reaktive Sicherheit Teil 4 46 / 130

39 Verschlüsselung (1) Polymorphie Viren-Tarnmechanismen Verändern der Erscheinungsform (encryption) Abbildung: Verschlüsselter Virus-Body c Ulrich Flegel Reaktive Sicherheit Teil 4 48 / 130

40 Verschlüsselung (2) Viren-Tarnmechanismen Verändern der Erscheinungsform Einfache: kein Schlüssel, unparametrisierte umkehrbare Operationen, z.b. inkrementieren, dekrementieren, rotieren, arithmetisch/logisch negieren Statischer Schlüssel: kurzer Schlüssel (1 Byte/Wort), parametrisierte umkehrbare Operationen, z.b. addieren, subtrahieren, exklusiv-oder Variabler Schlüssel: kurzer Schlüssel (1 Byte/Wort) wird in jeder Iteration deterministisch verändert, Operationen wie bei statischem Schlüssel Substitution: jedes mögliche Klartextwort wird auf n 1 verschiedene Chiffreworte abgebildet (Tabelle) Starke: langer Schlüssel, sicheres Kryptosystem, z.b. AES Suche nach Schlüssel wird durch zufällige Schlüssel und Anpassung des neuen Dekryptors vermieden. c Ulrich Flegel Reaktive Sicherheit Teil 4 49 / 130

41 Oligomorphie Viren-Tarnmechanismen Verändern der Erscheinungsform Verschlüsselter Teil stets verschieden Dekryptor statisch, also erkennbar verschlüsselter Pool statischer Dekryptoren (Anzahl ca ) Zufällige Auswahl eines statischen Dekryptors Dekryptoren einzeln weiterhin statisch erkennbar c Ulrich Flegel Reaktive Sicherheit Teil 4 50 / 130

42 Polymorphie Viren-Tarnmechanismen Verändern der Erscheinungsform statische Dekryptoren sind erkennbar Mutation des Dekryptor-Codes erlaubt große Zahl an Varianten (Größenordnung Milliarden) Selbsterkennung zur Verhinderung von Überinfektion: muß unabhängig vom Viruscode funktionieren verdeckte Kanäle nutzen: Manipulation von Zeitstempelquersumme, Dateigröße, ungenutzte Dateibereiche kryptographische Einwegfunktion auf Dateinamen anwenden und Wert geschickt im Sekundärspeicher ablegen c Ulrich Flegel Reaktive Sicherheit Teil 4 51 / 130

43 Metamorphie Viren-Tarnmechanismen Verändern der Erscheinungsform Chriffrate leicht unterscheidbar von lauffähigem Code Mutation des gesamten Viren-Codes (inkl. Mutations-Engine) im Quellcode (ggf. Assembler) einfacher als im Binärcode Virus disassembliert, mutiert und assembliert sich selbst Implementierung nicht trivial Erkennung anhand von Mustern praktisch unmöglich Kontrollflußgraphen, Verhalten beobachten c Ulrich Flegel Reaktive Sicherheit Teil 4 52 / 130

44 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (1) Verändern der Erscheinungsform Idee der Code-Mutation/-Obfuscation randomisierte Ersetzung von Code-Sequenz durch andere, äquivalente Code-Sequenz legitime Einsatzfelder: Erschweren bzw. Verhindern von Reverse-Engineering Superoptimierung durch Compiler c Ulrich Flegel Reaktive Sicherheit Teil 4 53 / 130

45 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (2) Verändern der Erscheinungsform 12 Beispiel-Transformationen: Äquivalente Befehle: Einzelbefehle mit demselben Effekt, eher CPU-spezifisch, Beispiel Register r1 löschen: Äquivalente Befehlssequenzen: Befehlssequenzen mit demselben Effekt, weniger CPU-gebunden, Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 54 / 130

46 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (3) Beispiel-Transformationen Verändern der Erscheinungsform Befehlsumordnung: Umordnung der Reihenfolge unabhängiger Berechnungen, wohluntersucht bei optimierenden Compilern, Beispiel: Umbenennung: Umbenennung von Registern/Variablen, führt auf Assemblerebene zu verschiedenen Opcodes, Beispiel: Datenumordnung: Umordnen des Speicherorts von Daten hat Auswirkungen auf Zeiger in Befehlsoperanden c Ulrich Flegel Reaktive Sicherheit Teil 4 55 / 130

47 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (4) Beispiel-Transformationen Verändern der Erscheinungsform Spaghettifizierung: Umordnen von Befehlen unter Beibehaltung der Ausführungsreihenfolge Beispiel: Unnötige Befehle: Einfügen unnötiger Befehle (junk code), Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 56 / 130

48 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (5) Beispiel-Transformationen Verändern der Erscheinungsform Code-Erzeugung zur Laufzeit: Erzeugen oder modifizieren von Code während der Laufzeit, Beispiel: Nebenläufigkeit: Separieren des Codes in mehrere ggf. nebenläufige, aber synchronisierte Threads, Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 57 / 130

49 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (6) Beispiel-Transformationen Verändern der Erscheinungsform Code-Interpretation: Einführen von virtuellem Maschinencode, der zur Laufzeit interpretiert wird, Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 58 / 130

50 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (7) Beispiel-Transformationen Verändern der Erscheinungsform Inlining: Einfügen von Subroutinencode an der Aufrufstelle, Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 59 / 130

51 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (8) Beispiel-Transformationen Verändern der Erscheinungsform Outlining: Auslagern von Code in Subroutinen, Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 60 / 130

52 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (9) Beispiel-Transformationen Verändern der Erscheinungsform Threaded Outlining: Auslagern von Code in Subroutinen ohne Rücksprung, stattdessen Verwendung von Direktsprüngen Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 61 / 130

53 Viren-Tarnmechanismen Code-Mutation/-Obfuscation (10) Beispiel-Transformationen Verändern der Erscheinungsform Interleaving: Verschränktes Zusammenführen von Subroutinen, Beispiel: c Ulrich Flegel Reaktive Sicherheit Teil 4 62 / 130

54 Virus-Baukasten (1) Viren-Tarnmechanismen Verändern der Erscheinungsform Abbildung: Malware-Erzeugung auf Knopfdruck c Ulrich Flegel Reaktive Sicherheit Teil 4 63 / 130

55 Virus-Baukasten (2) Viren-Tarnmechanismen Verändern der Erscheinungsform Abbildung: Malware-Erzeugung auf Knopfdruck c Ulrich Flegel Reaktive Sicherheit Teil 4 64 / 130

56 Viren-Bekämpfung Viren-Bekämpfung Erkennung: Erkennen, ob gegebene Daten einen Virus enthalten, Voraussetzung für Identifikation und Desinfektion, beweisbar allgemein unentscheidbares Problem (Cohen/Adleman) ewiges Wettrüsten Identifikation: Identifizieren des vorliegenden Virus; kann Ergebnis der Erkennung sein oder separates Verfahren, notwendig für die Desinfektion Desinfektion: Entfernen des erkannten und identifizierten Virus; der Desinfektionsprozeß ist idr. Virus-spezifisch c Ulrich Flegel Reaktive Sicherheit Teil 4 66 / 130

57 Viren-Bekämpfung Statische Erkennung Statische Virus-Erkennung durch Scanner Statische Erkennung: erfordert nicht, daß der Virus-Code ausgeführt wird Viren-Scanner sucht in einem Datenstrom (Bootblock, Datei, Netzwerk-Paket) nach einfachen Byte-Mustern (Strings, die ggf. Wildcards enthalten), den sog. Signaturen. Der Datenstrom wird simultan nach allen dem Scanner bekannten Signaturen durchsucht, und zwar auf Anfrage: Der Nutzer startet den Suchvorgang explizit, z.b. bei vorliegen neuer Signaturen oder bei Verdacht auf Infektion. bei Zugriff: Der Scanner läuft kontinuierlich im Hintergrund und durchsucht Daten beim Zugriff auf die Daten. c Ulrich Flegel Reaktive Sicherheit Teil 4 68 / 130

58 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Aho-Corasick (1) Repräsentation der Signaturen Endlicher Automat: Zustände stellen partielle Matches dar, Transitionen werden ausgelöst wenn das aktuell verarbeitete Byte im Datenstrom dem Transitions-Label entspricht. Endzustände kennzeichnen vollständige Matches. Fehlerfunktion: gibt den Folgezustand an (früheste Stelle an der ein Match weitergeführt werden kann), falls das aktuelle Byte im aktuellen Zustand keine Transition auslösen kann c Ulrich Flegel Reaktive Sicherheit Teil 4 69 / 130

59 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Aho-Corasick (2) Suchalgorithmus Abbildung: Pseudocode des Suchalgorithmus Aho-Corasick Abbildung: Beispiel für die Signaturen hi, hips, hip, hit, chip c Ulrich Flegel Reaktive Sicherheit Teil 4 70 / 130

60 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Aho-Corasick (3) Konstruktion des Automaten (1) 1 Signaturen als Trie darstellen: jede Signatur hat einen eindeutigen Pfad von der Wurzel zum Blatt, Signaturen mit gemeinsamem Präfix teilen sich so weit wie möglich einen Pfad Wurzel: Startzustand mit Kante zu sich selbst Signatur hinzufügen: von der Wurzel dem Pfad so weit wie möglich folgen, fehlende Kanten und Knoten anfügen, Signaturende erhält Endzustand c Ulrich Flegel Reaktive Sicherheit Teil 4 71 / 130

61 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Aho-Corasick (4) Konstruktion des Automaten (2) Abbildung: Beispiel: Trie für die Signaturen hi, hips, hip, hit, chip c Ulrich Flegel Reaktive Sicherheit Teil 4 72 / 130

62 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Aho-Corasick (5) Konstruktion des Automaten (3) 2 Zustände beginnend bei Wurzel in einer Breitensuche numerieren Abbildung: Beispiel: Numerierung der Trie-Zustände c Ulrich Flegel Reaktive Sicherheit Teil 4 73 / 130

63 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Aho-Corasick (6) Konstruktion der Fehlerfunktion (1) 3 Fehlerfunktion beginnend bei Wurzel in einer Breitensuche konstruieren Abbildung: Pseudocode des Algorithmus zur Konstruktion der Fehlerfunktion c Ulrich Flegel Reaktive Sicherheit Teil 4 74 / 130

64 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Aho-Corasick (6) Konstruktion der Fehlerfunktion (2) Abbildung: Beispiel: Konstruierte Fehlerfunktion für den Beispielautomaten c Ulrich Flegel Reaktive Sicherheit Teil 4 75 / 130

65 Viren-Bekämpfung Suchalgorithmus Veldman (1) Statische Erkennung Problem: Implementierung von Aho-Corasick ggf. nicht effizient (Zeit/Speicher) Idee: effizientes Fokussieren auf mögliche Signaturmatches, dann kurze lineare Suche Abbildung: Beispiel: Auswahl von 2/4-Zeichen-Substrings für Hashtabelle verwende je 2 Zeichen des Substrings als 2-stufigen Zugriff in Hash-Tabelle c Ulrich Flegel Reaktive Sicherheit Teil 4 76 / 130

66 Viren-Bekämpfung Suchalgorithmus Veldman (2) Statische Erkennung Abbildung: Beispiel: Hash-Tabellen zum fokussieren und kurz lineare Suchlisten c Ulrich Flegel Reaktive Sicherheit Teil 4 77 / 130

67 Viren-Bekämpfung Suchalgorithmus Veldman (3) Statische Erkennung Abbildung: Pseudocode des Suchalgorithmus Veldman c Ulrich Flegel Reaktive Sicherheit Teil 4 78 / 130

68 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Wu-Manber (1) vereinfachte Darstellung Problem: Aho-Corasick und Veldman betrachten jedes Eingabebyte Idee: Bytes überspringen, die zu keinem Match führen können Bezeichnungen: MINLEN: minimale Anzahl benachbarter nicht-wildcard-zeichen in allen Signaturen, hier: 3 (foo) b 1,... b n : n Eingabebytes Abbildung: Beispiel: Bestimmung von MINLEN=3 (foo) c Ulrich Flegel Reaktive Sicherheit Teil 4 79 / 130

69 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Wu-Manber (2) vereinfachte Darstellung für gegebene 2 Eingabebytes: Hashtabelle SHIFT: Anzahl zu überspringender Eingabebytes Hashtabelle HASH: lineare Suchliste möglicher Signaturmatches c Ulrich Flegel Reaktive Sicherheit Teil 4 80 / 130

70 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Wu-Manber (3) vereinfachte Darstellung Abbildung: Pseudocode des Algorithmus Wu-Manber und Beispiel c Ulrich Flegel Reaktive Sicherheit Teil 4 81 / 130

71 Viren-Bekämpfung Statische Erkennung Suchalgorithmus Wu-Manber (4) Konstruktion der Hashtabelle SHIFT aus jeder Signatur einen Substring der Länge MINLEN extrahieren, hier: bla, foo, gre, agr extrahiere alle 2-Byte Substrings aus den MINLEN-Substrings, hier: ag, bl, fo, gr, la, oo, re sei q xy die Endposition von Substring xy mit dem höchsten Positionsindex in den MINLEN-Substrings, dann SHIFT[xy]=MINLEN q xy für alle anderen 2-Byte Substrings: SHIFT[xy]=MINLEN 1 bei MINLEN q xy = 0: das Ende eines MINLEN-Substrings wurde gefunden (xy), ein Match kann linear in der Liste zu HASH[xy] gesucht werden c Ulrich Flegel Reaktive Sicherheit Teil 4 82 / 130

72 Viren-Bekämpfung Statische Erkennung Statische Virus-Erkennung durch Heuristiken (1) Statische Heuristik sucht statisch nach Code, der sich virusähnlich verhält (sucht nicht nach spezifischen Byte-Mustern) Datensammlung: sucht (gewichtete) Anzeichen, die die Hypothese Code ist ein Virus unterstützen (oder entkräften). Einfache Heuristiken kann der Scanner-Suchalgorithmus finden: Unnötige Befehle (junk code) Dechiffrier-Schleifen Selbstmodifizierender Code Nutzung undokumentierter API-Aufrufe Manipulation von Interrupt-Vektoren Ungewöhnliche Maschineninstruktionen c Ulrich Flegel Reaktive Sicherheit Teil 4 83 / 130

73 Viren-Bekämpfung Statische Erkennung Statische Virus-Erkennung durch Heuristiken (2) Datensammlung (2): Komplexere Heuristiken: ungewöhnlich kleine Differenz zwischen Einsprung zum Programmstart und Dateiende Histogramm verwendeter Bytes: Code unterscheidbar von Code-Chiffrat Gewinnung von Heuristiken: idr. Expertenwissen, Forschungsansatz: Data-Mining Entscheidung: aus den gewichteten Anzeichen ein Entscheidung berechnen, z.b. Schwellenwertüberschreitung bei Summenbildung Vorteil: Erkennt bekannte und unbekannte Viren Nachteile: viele falsche Alarme, keine Identifikation entdeckter Viren Desinfektion wird nicht unterstützt c Ulrich Flegel Reaktive Sicherheit Teil 4 84 / 130

74 Viren-Bekämpfung Verifikation der Datenintegrität Statische Erkennung Idee der Integritätsprüfung Viren verändern Daten, um sich zu verbreiten. Unautorisierte Datenänderungen geben Hinweis auf den Virus. Die Datenbasis für den späteren Vergleich muß auf einem virusfreien System erzeugt werden. Ansätze: 1 Periodische Prüfung 2 Selbstprüfung vor Programmstart, insbesondere Anti-Viren-SW 3 Prüfung vor Ausführung, z.b. durch Betriebssystem Vorteile: hohe Performanz, erkennt bekannte und unbekannte Viren Nachteile: aufwendige Wartung, insbesondere in großen Rechnerverbünden; falsche Alarme, keine Identifikation entdeckter Viren Desinfektion nicht unterstützt c Ulrich Flegel Reaktive Sicherheit Teil 4 85 / 130

75 Viren-Bekämpfung Dynamische Erkennung Dynamische Virus-Erkennung durch Monitore (1) Dynamische Erkennung: erfordert, daß der Virus-Code ausgeführt wird Monitor (behavior monitor/blocker) beobachtet in Echtzeit das Verhalten in Ausführung befindlicher Programme und versucht virusähnliches Verhalten zu erkennen. Der Monitor kann (im Idealfall) verdächtige Aktivität blockieren bzw. vom Benutzer bestätigen lassen. c Ulrich Flegel Reaktive Sicherheit Teil 4 87 / 130

76 Viren-Bekämpfung Mißbrauchserkennung (1) Vgl. Intrusion Detection Dynamische Erkennung spezifizieren unerlaubter (Virus)-Aktivität der Monitor abstrahiert von den einzelnen Maschinenbefehlen und beobachtet nur die für ein Virus charakteristischen Aktivitäten, z.b. I/O- bzw. Systemaufrufe grobkörnige Modellierung: Die relevanten Aktivitäten werden als Zeichen des Suchalphabets betrachtet Signaturen sind kurze Zeichenfolgen, die Virus-Aktivität beschreiben Ein Scanner (s.o.) kann in Echtzeit die Aktivitätsfolge nach Signaturen durchsuchen Signaturen werden aus Experten-Wissen gewonnen Nachteil: ignorieren der Parameter bzw. Merkmale der Aktivität ist zu ungenau und führt zu falschen Alarmen c Ulrich Flegel Reaktive Sicherheit Teil 4 88 / 130

77 Viren-Bekämpfung Mißbrauchserkennung (2) Dynamische Erkennung feinkörnige Modellierung: Erlaubt die Modellierung von Merkmalen bzw. Parametern der Aktivitäten Modellierte Merkmale können als Kontext gespeichert und mit Merkmalen späterer Aktivitäten korreliert werden Beispielsignatur 1 Ausführbare Datei mit Lese- und Schreib-Rechten öffnen 2 Lesen des Dateikopfes, der die Startadresse enthält 3 Schreiben desselben (wahrscheinlich modifizierten) Dateikopfes 4 Das Dateiende suchen 5 Daten an die Datei anhängen Vorteil: Präzise Identifikation des Virus Nachteil: Findet nur bekannte Viren, für die eine Signatur vorliegt c Ulrich Flegel Reaktive Sicherheit Teil 4 89 / 130

78 Viren-Bekämpfung Anomalierkennung (1) Vgl. Intrusion Detection Dynamische Erkennung Spezifizieren erlaubter Aktivität, davon abweichende Aktivität ist eine Anomalie Annahme: eine Anomalie ist ein Virus (allgemeiner: Angriff) Forschungs-Ansatz von Forrest: Training: Aktivitätsfolgen von nicht-infiziertem Programmen erheben; Berechnung von Signaturen fester Länge, die diese Aktivitätsfolgen abdecken Laufzeit: Überschreitet die beobachtete Anzahl von Aktivitätsfolgen mit der Signaturlänge, die nicht in der Signatur-Datenbank enthalten sind, eine Schwellenwert, ist eine Anomalie aufgetreten Vorteil: erkennt bekannte und unbekannte Viren/Angriffe Nachteil: Training und Einstellen des Verfahrens für jedes zu prüfende Programm notwendig (Signaturlänge, Schwellenwert), keine Identifikation erkannter Viren Desinfektion nicht unterstützt c Ulrich Flegel Reaktive Sicherheit Teil 4 90 / 130

79 Viren-Bekämpfung Anomalierkennung (2) Beispiel Aktivitätsfolge Dynamische Erkennung Abbildung: Beispiel: Aktivitätsfolge und Signaturen c Ulrich Flegel Reaktive Sicherheit Teil 4 91 / 130

80 Emulation Viren-Bekämpfung Dynamische Erkennung Dynamische Heuristiken: siehe statische Heuristiken, ausgewertet werden aber nicht aus den ausführbaren Daten, sondern vom Emulator zur Laufzeit gelieferte Beobachtungsdaten; Monitore zur Mißbrauchs- oder Anomalieerkennung können ebenfalls in den Emulator integriert werden Generische Entschlüsselung: Virus entschlüsselt sich zur Laufzeit, Erkennung der vollständigen Entschlüsselung z.b. bei Ausführen zuvor veränderter Daten, nach Entschlüsselung statisch scannen. Vorteil: Virus befällt nur emulierte Umgebung, Echtsystem bleibt sauber, erkennt bekannte und unbekannte sowie polymorphe Viren Nachteil: hoher Ressourcenaufwand, unerkennbare Emulation schwierig zu implementieren, Virus kann während Emulation inaktiv bleiben, keine Identifikation entdeckter Viren Desinfektion wird nicht unterstützt c Ulrich Flegel Reaktive Sicherheit Teil 4 92 / 130

81 Viren-Bekämpfung Aufbau von Emulatoren (1) Dynamische Erkennung CPU-Emulation Speicher-Emulation: Effiziente Emulation von 4G-Adreßraum Markieren von modifiziertem Speicher Scanner kann auf modifizierten Speicher fokussieren Betriebssystem-Emulation: nur begrenzter und ergänzter Ausschnitt des Betriebssystems, aufgrund von Lizenzbestimmungen, Umfang, Startzeit und zusätzlich benötigten Beobachtungsfähigkeiten Hardware-Emulation: von Viren benötigte Hardware, z.b. Timer, bei portablen Viren idr. wenig, da Zugriff über Betriebssystem c Ulrich Flegel Reaktive Sicherheit Teil 4 93 / 130

82 Viren-Bekämpfung Aufbau von Emulatoren (2) Dynamische Erkennung Emulationskontrolle: Bestimmung des Abbruchzeitpunkts notwendig wegen Ressourcenaufwand und Dauer der Emulation, und Unbestimmbarkeit des Programmendes (Halte-Problem) Abbruchheuristiken: Anzahl emulierter Instruktionen (bei x86 < 1000) Emulationszeitdauer, z.b. 45s kleines Verhältnis ausgeführter Instruktionsanzahl zur modifizierten Speichermenge Heuristiken die Virus-Aktivität ausschließen, z.b. Programmausgaben bevor Speicher modifiziert (/entschlüsselt) wird Zusätzliche Datensammlung: Sammeln zusätzlicher Daten während der Emulation zur Analyse nach der Emulation Beispiel: Histogramm ausgeführter Instruktionen mit Histogrammen bekannter metamorpher Viren vergleichen c Ulrich Flegel Reaktive Sicherheit Teil 4 94 / 130

83 Identifikation Viren-Bekämpfung Reaktion Seltene Ausführung, darf mehr Ressourcen nutzen als Entdeckung Reduktion von falschen Alarmen Identifikation des Virus notwendig, da Erkennungsverfahren ggf. keine Identifikation leistet Eine Signatur ein Klasse von Viren erkennt Desinfektion idr. Virus-spezifisch Virus ggf. zuerst entschlüsseln (röntgen / X-raying) Identifikationsansätze: Entdeckten Virus mit Kopie von bekannten Viren vergleichen (gefährlich! nur im Labor) Scanner verwendet (längere) Virus-spezifische Signatur Prüfsumme vom entdeckten Virus mit Prüfsumme bekannter Viren vergleichen Virus-spezifische Identifikation programmiert in domänenspezifischer Sprache (notwendig für metamorphe Viren) c Ulrich Flegel Reaktive Sicherheit Teil 4 96 / 130

84 Quarantäne Viren-Bekämpfung Reaktion Seltene Ausführung, darf mehr Ressourcen nutzen als Entdeckung Temporäre Maßnahme, solange Nutzer nicht entschieden hat, wie die infizierten Daten zu behandeln sind, z.b. Desinfektion ein Desinfektionsmethode noch nicht verfügbar ist, aber mit einem Update später verfügbar werden könnte Ansatz: Infizierte Datei in Quarantäneverzeichnis verschieben Zugriffsrechte entfernen Infizierte Datei verschlüsseln, um Kopieren und Ausführen durch Nutzer zu verhindern c Ulrich Flegel Reaktive Sicherheit Teil 4 97 / 130

85 Desinfektion (1) Viren-Bekämpfung Reaktion Seltene Ausführung, darf mehr Ressourcen nutzen als Entdeckung Ansätze: Infizierte Daten komplett löschen oder Virus überschreiben Wiedereinspielen aus Backup, Annahme: Version im Backup ist aktuell und unversehrt Virus-spezifisch parametrisierte generische Desinfektionsmethode, z.b. Wiederherstellen der relozierten Start-Adresse Parameterbestimmung: Kopien sauberer Dateien mit Virus infizieren, infizierte Kopien mit sauberen Dateien vergleichen Virus-Code nutzen: Dynamisch verborgene Viren halten Originaldaten vor (vgl. Rootkit), Originaldaten über manipulierte Systemfunktion auslesen Virus in Emulator ausführen, Virus restauriert (ggf. verschlüsselten) Originalcode im Emulator, Ausführung bei Sprung in Originalcode abbrechen, Originalcode aus Emulator extrahieren c Ulrich Flegel Reaktive Sicherheit Teil 4 98 / 130

86 Desinfektion (2) Viren-Bekämpfung Reaktion Weitere Ansätze: Generische Desinfektion, z.b. Wiederherstellen des Dateikopfes und verschieben der Dateiinhalte zur ursprünglichen Position Dateikopf, Dateilänge und Prüfsumme des Dateiinhalts vorab speichern (gut kombinierbar mit Integritätsprüfung) suchen des verschobenen Dateiinhalts in infizierter Datei durch Prüfsummenbildung in gleitendem Fenster c Ulrich Flegel Reaktive Sicherheit Teil 4 99 / 130

87 Anti-Anti-Viren-Methoden Methoden von Viren im Kampf gegen Anti-Viren-SW (Anti-Anti-Virus) Ziele: 1 Funktionsfähigkeit der Anti-Viren-SW unterbinden/herabsetzen 2 Virenanalyse des Anti-Viren-SW-Herstellers erschweren/verzögern 3 Entdeckung vermeiden, indem Wissen über Funktionweise der Anti-Viren-SW ausgenutzt wird Anmerkung: Die zuvor vorgestellten Viren-Tarnmechanismen zielen ebenfalls auf Ziele 2& 3. c Ulrich Flegel Reaktive Sicherheit Teil / 130

88 Retroviren Anti-Anti-Viren-Methoden Retroviren Aktives abschalten/behindern vorhandener Anti-Viren-SW: Beenden der Prozesse von Anti-Viren- und Sicherheits-SW, Liste bekannter Prozeßnamen Dauerhaftes Abschalten durch Modifikation im Sekundärspeicher (z.b. erste Instruktion durch ret ersetzen), Liste bekannter Dateien in Bootdateien suchen lokale IP-Adressübersetzungsdatei (hosts) manipulieren, um Aktualisierung zu verhindern Diese Methoden kann der Nutzer relativ leicht entdecken, da die Anti-Viren-SW bzw. das Update nicht ausgeführt werden. c Ulrich Flegel Reaktive Sicherheit Teil / 130

89 Anti-Anti-Viren-Methoden Einsprung verschleiern Verschleierung des Einsprungs in den Viruscode (entry point obfuscation, EPO) Anti-Viren-Heuristik erkennt geringen Abstand zwischen Dateiende und Einsprung zum Programmstart Virus wählt per Heuristik später ausgeführten Wirtscode und ersetzt durch Sprung zum Viruscode, z.b. Aufruf von ExitProcess() API-Funktion ersetzen Virus wird bei Programmende ausgeführt bekannte vom Compiler erzeugte Instruktionssequenzen ersetzen c Ulrich Flegel Reaktive Sicherheit Teil / 130

90 Anti-Anti-Viren-Methoden Emulation Emulation umgehen, erkennen oder stören (1) Ansätze: Aussitzen: Infektion erst nach Emulationsabbruch durchführen, Emulator muß irgendwann aus Praktikabilitätsgründen abbrechen falls Abbruchheuristik bekannt: unnötigen Berechnungen ausführen, bis Emulator abbricht falls Emulator Ergebnisse voriger Läufe cacht: mit geringer Wahrscheinlichkeit infizieren Einsprung in Viruscode erst tief im Wirtscode (EPO), wenn Emulator bereits abgebrochen hat Dynamische Heuristiken vermeiden: wenn dynamische Heuristiken bekannt sind, kann der Viruscode so strukturiert werden, daß die Heuristiken nicht anschlagen, z.b. Einsprung in Viruscode erst tief im Wirtscode (EPO) Verteilen des Dekryptors, so daß keine kurze Schleife sichtbar ist Mehrfaches Entschlüsseln des Virus c Ulrich Flegel Reaktive Sicherheit Teil / 130

91 Anti-Anti-Viren-Methoden Emulation Emulation umgehen, erkennen oder stören (2) Grenzen testen: aus Praktikabilitätsgründen ist die Emulation unvollständig; der Virus kann die Grenzen der Emulation austesten und damit den Emulator erkennen und ggf. zum Absturz bringen. Beispiele: Undokumentierte CPU-Befehle nicht unterstützt CPU-Fehler nicht emuliert Speicheremulation unvollständig, z.b. keine Unterstützung von Memory Mapped I/O Betriebssystemfunktionen, die stets verschiedene Rückgabewerte haben, liefern statische Werte Laden selten genutzter Bibliotheken nicht unterstützt Externe Ressourcen nicht emuliert, z.b. Inhalte auf Web-Seiten Auf bekannte Emulator-spezifische Unvollständigkeiten oder Features (Schnittstelle zur Außenwelt) testen c Ulrich Flegel Reaktive Sicherheit Teil / 130

92 Anti-Anti-Viren-Methoden Debugging erkennen (1) Reverse Engineering Virus ist bereits aufgefallen und isoliert worden letzte verbleibende Möglichkeit für Populationswachstum: Reverse Engineering verzögern spätere Entwicklung von Methoden zur Erkennung und Desinfektion Idee: Debugging-Vorgang erkennen und unverdächtigen Code ausführen Erkennung des Debuggings basiert auf Funktionsweise des Debuggers: Debugger-spezifische Eigenheiten: Laufzeitumgebung unterscheidet sich erkennbar vom Normalfall (vgl. Emulation) Breakpoints: werden durch Einfügen von Breakpoint-Instruktionen implementiert, der Virus kann sich selbst auf Modifikationen untersuchen durch Fehlererkennung und ggf. -korrektur, z.b. CRC c Ulrich Flegel Reaktive Sicherheit Teil / 130

93 Anti-Anti-Viren-Methoden Debugging erkennen (2) Reverse Engineering Einzelschritt-Modus: nach Ausführen einer Instruktion löst CPU Interrupt aus, den der Debugger behandelt. Erkennungsansätze: Ausführungszeit von Codesequenzen messen unmittelbar nächste Instruktion modifizieren und deren Ausführungsergebnis verifizieren. Interrupt löscht CPU-Prefetch-Queue modifizierte Instruktion wird bei Einzelschritt-Modus ausgeführt, sonst nicht falls normale Interrupt-Handler-Adresse bekannt: wenn verändert, Virus unbrauchbar machen, z.b. als Dechiffrier-Schlüssel verwenden Windows: API-Funktion IsDebuggerPresent() abfragen Wert auf Stack legen, von Stack holen, prüfen ob noch am alten Platz derselbe Wert vorhanden, (beliebiger) Interrupt legt Daten auf den Stack und überschreibt damit alte Stackdaten c Ulrich Flegel Reaktive Sicherheit Teil / 130

94 Anti-Anti-Viren-Methoden Debugging erkennen (3) Reverse Engineering Abbildung: Beispiel: Erkennung von Einzelschritt-Modus mittels Stackdaten c Ulrich Flegel Reaktive Sicherheit Teil / 130

95 Anti-Anti-Viren-Methoden Reverse Engineering Disassemblierung erschweren (1) Ziel: Reverse Engineering verzögern (vgl. Debugging-Erkennen) Idee: Disassemblierung erschweren, Automatisierbarkeit verhindern Ansätze: Präzise Separation von Code und Daten nicht möglich Mischen von Code und Daten Abbildung: Beispiel: Verschleierte Instruktionen mit ret-semantik c Ulrich Flegel Reaktive Sicherheit Teil / 130

96 Anti-Anti-Viren-Methoden Reverse Engineering Disassemblierung erschweren (2) Bedarfsweise Dechiffrierung von Code mithilfe von Breakpoint und Interrupt-Handlern Abbildung: Beispiel: Code-Dechiffrierung zur Laufzeit c Ulrich Flegel Reaktive Sicherheit Teil / 130

97 Anti-Anti-Viren-Methoden Monitore Umgehen von Anti-Viren-Software (Tunneling) (1) Am Beispiel von Interrupt-I/O Abbildung: Normalzustand der Interruptbehandlung c Ulrich Flegel Reaktive Sicherheit Teil / 130

98 Anti-Anti-Viren-Methoden Monitore Umgehen von Anti-Viren-Software (Tunneling) (2) Am Beispiel von Interrupt-I/O Abbildung: Anti-Viren-SW prüft I/O bei Interruptbehandlung c Ulrich Flegel Reaktive Sicherheit Teil / 130

99 Anti-Anti-Viren-Methoden Monitore Umgehen von Anti-Viren-Software (Tunneling) (3) Am Beispiel von Interrupt-I/O Abbildung: Anti-Viren-SW erkennt Virus bei I/O c Ulrich Flegel Reaktive Sicherheit Teil / 130

100 Anti-Anti-Viren-Methoden Monitore Umgehen von Anti-Viren-Software (Tunneling) (4) Am Beispiel von Interrupt-I/O Abbildung: Anti-Viren-SW kann Virus bei I/O nicht erkennen c Ulrich Flegel Reaktive Sicherheit Teil / 130

1 Trojanische Pferde (2)

1 Trojanische Pferde (2) E Angriffskonzepte, Systemschwachstellen E Angriffskonzepte, Systemschwachstellen Angriff: nicht-autorisierter Zugriff auf ein System Abwehrmaßnahmen Authentisierung von Benutzern abgesicherte Kommunikation

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

MALWARE AM BEISPIEL VON STUXNET

MALWARE AM BEISPIEL VON STUXNET MALWARE AM BEISPIEL VON STUXNET IAV10/12 24.05.2011 Jan Heimbrodt Inhalt 1. Definition Was ist Malware? 2. Kategorisierung von Malware Viren, Würmer, Trojaner, 3. Was macht Systeme unsicher? Angriffsziele,

Mehr

Dropbox Verschlüsselung mit TrueCrypt

Dropbox Verschlüsselung mit TrueCrypt 1 von 8 19.04.2013 15:17 Datenbank Dropbox Verschlüsselung mit TrueCrypt http://www.hpier.de/wb» Software» Dropbox Verschlüsselung mit TrueCrypt Daten in der Dropbox Cloud mit TrueCrypt sicher verschlüsseln

Mehr

Computerviren, Würmer, Trojaner

Computerviren, Würmer, Trojaner Computerviren, Würmer, Trojaner Computerviren, Würmer und Trojaner zählen zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Diese Programme können sich selbst verbreiten und

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

IRS in virtualisierten Umgebungen

IRS in virtualisierten Umgebungen Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan

Mehr

Malware - Viren, Würmer und Trojaner

Malware - Viren, Würmer und Trojaner Department of Computer Sciences University of Salzburg June 21, 2013 Malware-Gesamtentwicklung 1984-2012 Malware-Zuwachs 1984-2012 Malware Anteil 2/2011 Malware Viren Würmer Trojaner Malware Computerprogramme,

Mehr

Installations- und Bedienungsanleitung GigaKRYPT bessere Verschlüsselung

Installations- und Bedienungsanleitung GigaKRYPT bessere Verschlüsselung Installations- und Bedienungsanleitung GigaKRYPT bessere Verschlüsselung Inhaltsverzeichnis Einleitung... 3 System-Voraussetzungen... 3 Installation... 4 Freischaltung der Vollversion... 4 Bedienung...

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

ELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen

ELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen ELIT2012: Security Security: Potentielle Gefahren und Gegenmaßnahmen Gefahrenquellen Brute-Force-Logins Scans Exploits Malware: Viren, Würmer, Trojaner Website-Hijacking DOS, DDOS Gefahrenquellen Internet

Mehr

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen Andy Kurt Vortrag: 7.11.14 OSX - Computeria Meilen 1 von 10 Andy Kurt Vortrag: 7.11.14 Screen IT & Multimedia AG Webseite: www.screen-online.ch Link Fernwartung: http://screen-online.ch/service/fernwartung.php

Mehr

NTFS Encrypting File System

NTFS Encrypting File System NTFS Encrypting File System Markus Gerstner Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg Überblick Was genau ist EFS? Warum EFS? Das Verschlüsselungsverfahren

Mehr

4D Server v12 64-bit Version BETA VERSION

4D Server v12 64-bit Version BETA VERSION 4D Server v12 64-bit Version BETA VERSION 4D Server v12 unterstützt jetzt das Windows 64-bit Betriebssystem. Hauptvorteil der 64-bit Technologie ist die rundum verbesserte Performance der Anwendungen und

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Reaktive Sicherheit. II. Passwörter. Dr. Michael Meier. technische universität dortmund

Reaktive Sicherheit. II. Passwörter. Dr. Michael Meier. technische universität dortmund Reaktive Sicherheit II. Passwörter Dr. Michael Meier technische universität dortmund Fakultät für Informatik Lehrstuhl VI, Informationssysteme und Sicherheit 20. Oktober 2009 Grundlegendes Grundlegendes

Mehr

Zero Effort Backup (ZEB) automatische Datensicherung über das Internet

Zero Effort Backup (ZEB) automatische Datensicherung über das Internet Ralph Lehmann. Computerservice und IT-Beratung. Kochstraße 34. 04275 Leipzig Ralph Lehmann Computerservice und IT-Beratung Kochstraße 34 04275 Leipzig Ralph Lehmann Computerservice und IT-Beratung Tel.:

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

Anti-Viren-Software als integraler Bestandteil einer IT-Security-Strategie

Anti-Viren-Software als integraler Bestandteil einer IT-Security-Strategie Anti-Viren-Software als integraler Bestandteil einer IT-Security-Strategie Warum man trotzdem nicht vor Würmern sicher ist Folie Nr. 1 Marc Schneider Vorstellung Bei AV-Test.de für Server- und Groupware-Tests

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

Verbreitete Angriffe

Verbreitete Angriffe Literatur Verbreitete Angriffe Univ.-Prof. Dr. Christoph Meinel Hasso-Plattner-Institut Universität Potsdam, Deutschland DoS und DDoS Angriffe (1/2) 2 Denial-of-Service Angriff mit dem Ziel der Störung

Mehr

FlowFact Alle Versionen

FlowFact Alle Versionen Training FlowFact Alle Versionen Stand: 29.09.2005 Brief schreiben, ablegen, ändern Die FlowFact Word-Einbindung macht es möglich, direkt von FlowFact heraus Dokumente zu erzeugen, die automatisch über

Mehr

Kurzanleitung GPG Verschlüsselung Stand vom 13.11.2006

Kurzanleitung GPG Verschlüsselung Stand vom 13.11.2006 Inhaltsverzeichnis 1. Versenden des eigenen öffentlichen Schlüssels... 2 2. Empfangen eines öffentlichen Schlüssels... 3 3. Versenden einer verschlüsselten Nachricht... 6 4. Empfangen und Entschlüsseln

Mehr

Rex-Rotary 3110 mit OfficeStyler T 10 Hinweise für die Druckerinstallation unter Windows 2000 und XP

Rex-Rotary 3110 mit OfficeStyler T 10 Hinweise für die Druckerinstallation unter Windows 2000 und XP Technische Information www.rexrotary.de Technikerforum@rexrotary.de Rex-Rotary 3110 mit OfficeStyler T 10 Hinweise für die Druckerinstallation unter Windows 2000 und XP EINSCHRÄNKUNGEN zum Betrieb der

Mehr

Programmierkurs: Delphi: Einstieg

Programmierkurs: Delphi: Einstieg Seite 1 von 6 Programmierkurs: Delphi: Einstieg Aus Wikibooks Inhaltsverzeichnis 1 Einstieg Einstieg Was ist Delphi Borland Delphi ist eine RAD-Programmierumgebung von Borland. Sie basiert auf der Programmiersprache

Mehr

2. Word-Dokumente verwalten

2. Word-Dokumente verwalten 2. Word-Dokumente verwalten In dieser Lektion lernen Sie... Word-Dokumente speichern und öffnen Neue Dokumente erstellen Dateiformate Was Sie für diese Lektion wissen sollten: Die Arbeitsumgebung von Word

Mehr

Sicherheitsdienste. Schutz von Rechnern und Speichermedien vor

Sicherheitsdienste. Schutz von Rechnern und Speichermedien vor Sicherheitsdienste Schutz von Rechnern und Speichermedien vor bewusster Manipulation unbefugtem Zugriff Fehlfunktionen des Systems menschlichem Fehlverhalten # 86 Klassen von Bedrohungen der Sicherheit

Mehr

Computerviren. Institut fr Computerwissenschaften. Mihajlovic Roland rmihajlo@cosy.sbg.ac.at Reischmann Stefan sreisch@cosy.sbg.ac.

Computerviren. Institut fr Computerwissenschaften. Mihajlovic Roland rmihajlo@cosy.sbg.ac.at Reischmann Stefan sreisch@cosy.sbg.ac. Computerviren Mihajlovic Roland rmihajlo@cosy.sbg.ac.at Reischmann Stefan sreisch@cosy.sbg.ac.at Institut fr Computerwissenschaften Computerviren p.1/18 Der I LOVE YOU Virus Computerviren p.2/18 Geschichte

Mehr

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet DesktopSecurity Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet Ralf Niederhüfner PROLINK internet communications GmbH 1 Desktop Security Szenarien

Mehr

Viren, Würmer, Trojaner

Viren, Würmer, Trojaner Viren, Würmer, Trojaner Was muss ich beachten? Ralf Benzmüller G DATA Software AG Überblick Einleitung Grundlegende Begriffe Gefahrensituation Zahlen und Daten Trends Infektionsmechanismen Viren Würmer

Mehr

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1 Sicherheit Bedeutung Gefahren Mag. Friedrich Wannerer 1 Sicherheitsbegriff Unversehrtheit und Vertraulichkeit persönlicher Daten Datenschutzgesetz 2000 Bedrohungen q Dialer, Spam, Spyware, Viren, Würmer,

Mehr

Windows 2003 Server paedml Windows 2.7 für schulische Netzwerke. Update-Anleitung: Patch 2 für paedml Windows 2.7

Windows 2003 Server paedml Windows 2.7 für schulische Netzwerke. Update-Anleitung: Patch 2 für paedml Windows 2.7 Windows 2003 Server paedml Windows 2.7 für schulische Netzwerke Update-Anleitung: Patch 2 für paedml Windows 2.7 Stand: 2.11.2012 Fehler! Kein Text mit angegebener Formatvorlage im Dokument. Impressum

Mehr

Dingsda - Bedienungsanleitung unter Windows

Dingsda - Bedienungsanleitung unter Windows Dingsda - Bedienungsanleitung unter Windows Benötigte Software Um die Dateien von Dingsda zu öffnen und zu bearbeiten, benötigen Sie ein Textverarbeitungsprogramm, das doc- oder rtf-dateien lesen kann

Mehr

Smartphone-Sicherheit

Smartphone-Sicherheit Smartphone-Sicherheit Fokus: Verschlüsselung Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Peter Teufl Wien, 15.03.2012 Inhalt EGIZ Themen Smartphone

Mehr

IBM SPSS Modeler Text Analytics Installationsanweisungen (Einzelplatzlizenz)

IBM SPSS Modeler Text Analytics Installationsanweisungen (Einzelplatzlizenz) IBM SPSS Modeler Text Analytics Installationsanweisungen (inzelplatzlizenz) Die folgenden Anweisungen gelten für die Installation von IBM SPSS Modeler Text Analytics Version 15 mit einer inzelplatzlizenz.

Mehr

Leitfaden Datensicherung und Datenrücksicherung

Leitfaden Datensicherung und Datenrücksicherung Leitfaden Datensicherung und Datenrücksicherung Inhaltsverzeichnis 1. Einführung - Das Datenbankverzeichnis von Advolux... 2 2. Die Datensicherung... 2 2.1 Advolux im lokalen Modus... 2 2.1.1 Manuelles

Mehr

10.3.1.4 Übung - Datensicherung und Wiederherstellung in Windows 7

10.3.1.4 Übung - Datensicherung und Wiederherstellung in Windows 7 5.0 10.3.1.4 Übung - Datensicherung und Wiederherstellung in Windows 7 Einführung Drucken Sie diese Übung aus und führen Sie sie durch. In dieser Übung werden Sie die Daten sichern. Sie werden auch eine

Mehr

Das OpenAntivirus Projekt

Das OpenAntivirus Projekt Das OpenAntivirus Projekt http://www.openantivirus.org/ Kurt Huwig http://www.ikunetz.de/ Aufbau Motivation Bestandteile Status / Technik / Demonstration Zukunft http://www.ikunetz.de/

Mehr

4D v11 SQL Release 6 (11.6) ADDENDUM

4D v11 SQL Release 6 (11.6) ADDENDUM ADDENDUM Willkommen zu Release 6 von 4D v11 SQL. Dieses Dokument beschreibt die neuen Funktionalitäten und Änderungen der Version. Erweiterte Verschlüsselungsmöglichkeiten Release 6 von 4D v11 SQL erweitert

Mehr

Verschlüsselungstool DATUSCodierung

Verschlüsselungstool DATUSCodierung Verschlüsselungstool DATUSCodierung Benutzerhandbuch Stand: Januar 2014 Inhalt Verschlüsselungstool DATUSCodierung... 1 Inhalt... 2 Release Notes... 3 Technische Details... 3 Dateien im Lieferumfang...

Mehr

Kodierungsalgorithmen

Kodierungsalgorithmen Kodierungsalgorithmen Komprimierung Verschlüsselung Komprimierung Zielsetzung: Reduktion der Speicherkapazität Schnellere Übertragung Prinzipien: Wiederholungen in den Eingabedaten kompakter speichern

Mehr

Sichere PCs und Laptops

Sichere PCs und Laptops Sichere PCs und Laptops Sicherheitstools mit der Bürgerkarte A-SIT Zentrum für Sichere Informationstechnologie Dipl.-Ing. Martin Centner SFG, 9. Februar 2006 A-SIT Zentrum für Sichere Informationstechnologie

Mehr

Übungen zur Vorlesung. Betriebssysteme

Übungen zur Vorlesung. Betriebssysteme Übungen zur Vorlesung Betriebssysteme Wintersemester 2015 Patrick Kendzo ppkendzo@gmail.com Inhalt Virtuelle Maschine -Eine kleine Einführung Damn Small Linux (DSL) Embedded Eine Einführung Aufgabe 1:

Mehr

Filterregeln... 1. Einführung... 1. Migration der bestehenden Filterregeln...1. Alle eingehenden Nachrichten weiterleiten...2

Filterregeln... 1. Einführung... 1. Migration der bestehenden Filterregeln...1. Alle eingehenden Nachrichten weiterleiten...2 Jörg Kapelle 15:19:08 Filterregeln Inhaltsverzeichnis Filterregeln... 1 Einführung... 1 Migration der bestehenden Filterregeln...1 Alle eingehenden Nachrichten weiterleiten...2 Abwesenheitsbenachrichtigung...2

Mehr

Aufgabe 3 Storm-Worm

Aufgabe 3 Storm-Worm Aufgabe 3 Storm-Worm Bot: kompromittierte Maschine Kommunikationskanal, der dem Angreifer die Kontrolle über den Bot und somit das System gestattet Botnetz: Zusammenschluss mehrerer Bots koordinierte Distributed-Denial-Of-Service-Angriffe

Mehr

Druckanpassung von Mahnungen

Druckanpassung von Mahnungen Druckanpassung von Mahnungen Nur wenn Sie die faktura in der Einzelversion nutzen, steht Ihnen für die Druckanpassung der Mahnungen auch der Formularassistent zur Verfügung. Dort können Sie die gewünschten

Mehr

FAQ Häufig gestellte Fragen

FAQ Häufig gestellte Fragen FAQ Häufig gestellte Fragen FAQ zu HitmanPro.Kickstart Seite 1 Inhaltsverzeichnis Einführung in HitmanPro.Kickstart... 3 F-00: Wozu wird HitmanPro.Kickstart benötigt?... 4 F-01: Kann HitmanPro.Kickstart

Mehr

H. Tornsdorf М. Tornsdorf. Das große Buch zu

H. Tornsdorf М. Tornsdorf. Das große Buch zu H. Tornsdorf М. Tornsdorf Das große Buch zu DATA BECKER Inhaltsverzeichnis 1.1 Starten von MS-DOS 24 1.2 Erste Arbeiten auf der Kommandooberfläche 27 1.2.1 Dateien anzeigen 31 1.2.2 Dateien kopieren 38

Mehr

RIWA NetUpdater Tool für automatische Daten- und Softwareupdates

RIWA NetUpdater Tool für automatische Daten- und Softwareupdates RIWA NetUpdater Tool für automatische Daten- und Softwareupdates Grundlegendes... 1 Ausführbare Dateien und Betriebsmodi... 2 netupdater.exe... 2 netstart.exe... 2 netconfig.exe... 2 nethash.exe... 2 Verzeichnisse...

Mehr

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen Um die maximale Sicherheit für das Betriebssystem und Ihre persönlichen Daten zu gewährleisten, können Sie Programme von Drittherstellern

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2007: Einführung in die IT-Sicherheit 5.1 Beispiele für Bedrohungen der IT-Sicherheit (1) Bedrohungen der Verfügbarkeit: Höhere Gewalt (z.b. Unwetter)

Mehr

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement IT-Sicherheit Informationssicherheit: Schutz aller Informationen im Unternehmen elektronisch gespeicherte Daten Informationen in nichtelektronischer Form z.b. auf Papier Expertenwissen, in den Köpfen der

Mehr

TIKOS Leitfaden. TIKOS Update

TIKOS Leitfaden. TIKOS Update TIKOS Leitfaden TIKOS Update Copyright 2015, Alle Rechte vorbehalten support@socom.de 06.05.2015 Inhalt 1. Allgemeine Hinweise... 3 2. Ausführen des Updates... 3 3. Mögliche Meldungen beim Update... 9

Mehr

Coma I. Einleitung. Computer und Algorithmen. Programmiersprachen. Algorithmen versus Programmiersprachen. Literaturhinweise

Coma I. Einleitung. Computer und Algorithmen. Programmiersprachen. Algorithmen versus Programmiersprachen. Literaturhinweise Coma I Einleitung 1 Computer und Algorithmen Programmiersprachen Algorithmen versus Programmiersprachen Literaturhinweise 2 Computer und Algorithmen Programmiersprachen Algorithmen versus Programmiersprachen

Mehr

Handbuch ECDL 2003 Basic Modul 2: Computermanagement und Dateiverwaltung Grundbegriffe: Viren und Daten auf Viren prüfen

Handbuch ECDL 2003 Basic Modul 2: Computermanagement und Dateiverwaltung Grundbegriffe: Viren und Daten auf Viren prüfen Handbuch ECDL 2003 Basic Modul 2: Computermanagement und Dateiverwaltung Grundbegriffe: Viren und Daten auf Viren prüfen Dateiname: ecdl2_06_01_documentation_standard.doc Speicherdatum: 14.02.2005 ECDL

Mehr

Die Benutzung von BitDefender Home Edition

Die Benutzung von BitDefender Home Edition Virenschutz BitDefender Eines der wichtigsten Tools für einen sicheren PC ist die Antivirus-Software.Sie sorgt dafür, dass bekannte Viren, Würmer und Trojanische Pferde auf dem Rechner keinen Schaden anrichten,

Mehr

Informatik für Ökonomen II HS 09

Informatik für Ökonomen II HS 09 Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und

Mehr

IT-Sicherheit in Werbung und. von Bartosz Komander

IT-Sicherheit in Werbung und. von Bartosz Komander IT-Sicherheit in Werbung und Informatik von Bartosz Komander Gliederung Einführung Anti-viren-software Verschlüsselungssoftware Firewalls Mein Fazit Quellen 2 Einführung Was ist eigentlich IT-Sicherheit?

Mehr

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen"

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar Kommunikation in P2P-Netzen P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen" Ziele des Vortrags Sicherheit auf Konzept-Ebene Kommunikationsprotokolle Datenspeicherung Resistenz gegen Störungen, Angriffe,

Mehr

Kryptographie oder Verschlüsselungstechniken

Kryptographie oder Verschlüsselungstechniken Kryptographie oder Verschlüsselungstechniken Dortmund, Dezember 1999 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

Viren - Wie sicher ist Mobile Commerce? Patrick Heinen Systems Engineer Symantec (Deutschland) GmbH

Viren - Wie sicher ist Mobile Commerce? Patrick Heinen Systems Engineer Symantec (Deutschland) GmbH Viren - Wie sicher ist Mobile Commerce? Patrick Heinen s Engineer (Deutschland) GmbH 1 Inhalt Viren, Würmer und Trojaner Definition Funktion Typen Geschichte Virenscannern - Abwehrmechanismen Anforderungen

Mehr

Programmieren was ist das genau?

Programmieren was ist das genau? Programmieren was ist das genau? Programmieren heisst Computerprogramme herstellen (von griechisch programma für Vorschrift). Ein Computerprogramm ist Teil der Software eines Computers. Als Software bezeichnet

Mehr

Systeme 1. Kapitel 10. Virtualisierung

Systeme 1. Kapitel 10. Virtualisierung Systeme 1 Kapitel 10 Virtualisierung Virtualisierung Virtualisierung: Definition: Der Begriff Virtualisierung beschreibt eine Abstraktion von Computerhardware hin zu einer virtuellen Maschine. Tatsächlich

Mehr

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1 F-Secure Mobile Security for Nokia E51, E71 und E75 1 Installation und Aktivierung F-Secure Client 5.1 Hinweis: Die Vorgängerversion von F-Secure Mobile Security muss nicht deinstalliert werden. Die neue

Mehr

Byte-Taxi. Bedienungsanleitung. Seite 1 von 8

Byte-Taxi. Bedienungsanleitung. Seite 1 von 8 Byte-Taxi Bedienungsanleitung Seite 1 von 8 Inhaltsverzeichnis 1. Beschreibung 3 2. Systemvoraussetzungen 4 3. Installationsanleitung 5 4. Bedienung 6 5. Infos & Kontakt 8 Seite 2 von 8 1. Beschreibung

Mehr

Password Depot für Android

Password Depot für Android Password Depot für Android * erfordert Android Version 2.3 oder höher Oberfläche... 3 Action Bar... 3 Overflow-Menü... 3 Eintragsleiste... 5 Kontextleiste... 5 Einstellungen... 6 Kennwörterdatei erstellen...

Mehr

WinSCP Zugriff auf Daten des Uni-Netzwerkes

WinSCP Zugriff auf Daten des Uni-Netzwerkes WinSCP Zugriff auf Daten des Uni-Netzwerkes Robert Hillig 2013/03 1. Vorwort Das Universitätsnetzwerk ist von außen per SSH (Secure SHell) über login.tu-chemnitz.de auf Port 22 erreichbar. SSH ist ein

Mehr

Anwendertreffen 20./21. Juni

Anwendertreffen 20./21. Juni Anwendertreffen Forum Windows Vista Warum Windows Vista? Windows Vista wird in relativ kurzer Zeit Windows XP als häufigstes Betriebssystem ablösen. Neue Rechner werden (fast) nur noch mit Windows Vista

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Konfiguration von Sophos Anti-Virus für Windows

Konfiguration von Sophos Anti-Virus für Windows Konfiguration von Sophos Anti-Virus für Windows Diese Konfigurationsanleitung beschreibt die grundlegenden Einstellungen von Sophos Anti-Virus. Bei speziellen Problemen hilft oft schon die Suche in der

Mehr

Sicherheit. Anleitung zur Nutzung von TrueCrypt. Sicherheit Anleitung zur Nutzung von TrueCrypt

Sicherheit. Anleitung zur Nutzung von TrueCrypt. Sicherheit Anleitung zur Nutzung von TrueCrypt Sicherheit Vertrauliche Dokumente sollten auf dem Computer besonders geschützt werden. Mit dem Verschlüsselungsprogramm TrueCrypt kann auf jeder Festplatte ein Datentresor angelegt werden, der nur mit

Mehr

Zuverlässige Systeme Fehlertoleranz

Zuverlässige Systeme Fehlertoleranz Zuverlässige Systeme Fehlertoleranz frank@upb.de Inhalt Übersicht und Namenskonventionen Was ist Fehlertoleranz Eine Anleitung in 4 Phase Redundanz und Vielfältigkeit Hardwareseitige Fehlertoleranz Softwareseitige

Mehr

Rechnernutzung in der Physik. Betriebssysteme

Rechnernutzung in der Physik. Betriebssysteme Rechnernutzung in der Physik Betriebssysteme 1 Betriebssysteme Anwendungsprogramme Betriebssystem Treiber BIOS Direkter Zugriff von Anwenderprogrammen auf Hardware nur in Ausnahmefällen sinnvoll / möglich:

Mehr

Installationsanleitung Expertatis

Installationsanleitung Expertatis Installationsanleitung Expertatis 1. Komplettinstallation auf einem Arbeitsplatz-Rechner Downloaden Sie die Komplettinstallation - Expertatis_Komplett-Setup_x32.exe für ein Windows 32 bit-betriebssystem

Mehr

STRG + A = STRG + C = STRG + X = STRG + V = STRG + Alt + Entf = STRG + S =

STRG + A = STRG + C = STRG + X = STRG + V = STRG + Alt + Entf = STRG + S = Wie heißen die Leisten? Was bedeuten die Tastenkombinationen mit STRG? STRG + A STRG + C STRG + X STRG + V STRG + Alt + Entf STRG + S STRG + A = STRG + C = STRG + X = STRG + V = STRG + Alt + Entf = STRG

Mehr

Datenspooler Installationsanleitung Gültig ab Datenspooler-Version 2.2.20.X

Datenspooler Installationsanleitung Gültig ab Datenspooler-Version 2.2.20.X Datenspooler Installationsanleitung Gültig ab Datenspooler-Version 2.2.20.X Inhalt 1. Vorbedingungen... 4 2. Installation... 5 2.1. Umstellung von Datenspooler Version A.03.09 auf Datenspooler-Version

Mehr

Systeme I: Betriebssysteme Kapitel 4 Prozesse. Maren Bennewitz

Systeme I: Betriebssysteme Kapitel 4 Prozesse. Maren Bennewitz Systeme I: Betriebssysteme Kapitel 4 Prozesse Maren Bennewitz Version 20.11.2013 1 Begrüßung Heute ist Tag der offenen Tür Willkommen allen Schülerinnen und Schülern! 2 Wdhlg.: Attributinformationen in

Mehr

Der Parameter CLOSE bewirkt, dass sich das Sicherungsprogramm am Ende der Sicherung automatisch schliesst

Der Parameter CLOSE bewirkt, dass sich das Sicherungsprogramm am Ende der Sicherung automatisch schliesst 1 Sicherung 1.1 Einleitung Die Applikation WSCAR basiert auf der Datenbank-Engine Firebird 1.5.5 / 2.5.2. Beide Programme sind nur auf der Hauptstation(Server) installiert und dürfen nie deinstalliert

Mehr

Das OpenAntivirus Projekt. Aufbau. Das Problem. Warum?

Das OpenAntivirus Projekt. Aufbau. Das Problem. Warum? Das OpenAntivirus Projekt Aufbau Motivation Bestandteile Status / Technik / Demonstration Zukunft http://www.openantivirus.org/ Kurt Huwig Warum? Das Problem Linux Viren werden zunehmen

Mehr

Kryptographie und Fehlertoleranz für Digitale Magazine

Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Kryptographie und Fehlertoleranz für digitale Magazine 1 Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Professur für Mediensicherheit 13. März 2013 Stefan Lucks Kryptographie

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Java Einführung Programmcode

Java Einführung Programmcode Java Einführung Programmcode Inhalt dieser Einheit Programmelemente Der erste Programmcode Die Entwicklungsumgebung: Sun's Java Software Development Kit (SDK) Vom Code zum Ausführen des Programms 2 Wiederholung:

Mehr

stattdessen: geräteunabhängiges, abstraktes Format für Speicherung und Transfer von Daten Datei

stattdessen: geräteunabhängiges, abstraktes Format für Speicherung und Transfer von Daten Datei Dateiverwaltung Dateiverwaltung 2002 Prof. Dr. Rainer Manthey Informatik II 1 Dateien weitere zentrale Aufgabe des Betriebssystems: "Verbergen" der Details der Struktur von und der Zugriffe auf Sekundärspeicher-Medien

Mehr

Truecrypt. 1. Was macht das Programm Truecrypt?

Truecrypt. 1. Was macht das Programm Truecrypt? Truecrypt Johannes Mand 09/2013 1. Was macht das Programm Truecrypt? Truecrypt ist ein Programm, das Speicherträgern, also Festplatten, Sticks oder Speicherkarten in Teilen oder ganz verschlüsselt. Daten

Mehr

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security 1. Einführung Im folgenden wird die Handhabung des Programmes Norton Internet Security erklärt. NIS ist ein umfassendes Programm,

Mehr

Das beantragte persönliche Zertifikat wird standardmäßig in den Zertifikatspeicher des Browsers abgelegt, mit dem es beantragt wurde.

Das beantragte persönliche Zertifikat wird standardmäßig in den Zertifikatspeicher des Browsers abgelegt, mit dem es beantragt wurde. 1. Zertifikatsinstallation und Anbindung an das Mailkonto Das beantragte persönliche Zertifikat wird standardmäßig in den Zertifikatspeicher des Browsers abgelegt, mit dem es beantragt wurde. Hinweis:

Mehr

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS Intrusion Detection Systeme IDS 1 Definition (BSI) Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Schnellstartanleitung. Version R91. Deutsch

Schnellstartanleitung. Version R91. Deutsch Verwenden der StorageCraft-Wiederherste llungsumgebung Schnellstartanleitung Version R91 Deutsch Juni 9, 2015 Agreement The purchase and use of all Software and Services is subject to the Agreement as

Mehr

Grundlagen Programmierung

Grundlagen Programmierung 13. Aufgabe (13 Punkte) Schreiben Sie eine neue Klasse Zahlenanalyse, mit der Integer-Objekte genauer betrachtet werden können. Bei den zu entwickelnden Methoden kann es immer sinnvoll sein, sich den Ablauf

Mehr

VBA-Programmierung: Zusammenfassung

VBA-Programmierung: Zusammenfassung VBA-Programmierung: Zusammenfassung Programmiersprachen (Definition, Einordnung VBA) Softwareentwicklung-Phasen: 1. Spezifikation 2. Entwurf 3. Implementierung Datentypen (einfach, zusammengesetzt) Programmablaufsteuerung

Mehr

Schnellstartanleitung. Version R9. Deutsch

Schnellstartanleitung. Version R9. Deutsch Verwenden der StorageCraft-Wiederherste llungsumgebung Schnellstartanleitung Version R9 Deutsch März 19, 2015 Agreement The purchase and use of all Software and Services is subject to the Agreement as

Mehr

Das Handbuch zu KSnapshot

Das Handbuch zu KSnapshot Richard J. Moore Robert L. McCormick Brad Hards Korrektur: Lauri Watts Entwickler: Richard J Moore Entwickler: Matthias Ettrich Übersetzung des Handbuchs: Robert Gogolok Übersetzung des Handbuchs: Kilian

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Unterrichtseinheit 6

Unterrichtseinheit 6 Unterrichtseinheit 6 NTFS-Berechtigungen: NTFS-Berechtigungen werden verwendet, um anzugeben, welche Benutzer, Gruppen und Computer auf Dateien und Ordner zugreifen können. NTFS speichert eine Zugriffssteuerungsliste

Mehr

Vortrag zum Seminar Konzepte und Techniken virtueller Maschinen und Emulatoren. Bruno Kleinert fuddl@gmx.de. 20. Juni 2007

Vortrag zum Seminar Konzepte und Techniken virtueller Maschinen und Emulatoren. Bruno Kleinert fuddl@gmx.de. 20. Juni 2007 User Mode Linux (UML) Vortrag zum Seminar Konzepte und Techniken virtueller Maschinen und Emulatoren Friedrich-Alexander-Universität Erlangen-Nürnberg Bruno Kleinert fuddl@gmx.de 20. Juni 2007 Überblick

Mehr

Software-Schutz Server Aktivierung

Software-Schutz Server Aktivierung Software-Schutz Server Aktivierung Anstelle eines Hardlock-Server-Dongles (parallel, USB) kann Ihre moveit@iss+ Netzwerkinstallation nun auch per Software-Schutz Server lizenziert werden. Dabei wird Ihre

Mehr

Handbuch für Android 1.5

Handbuch für Android 1.5 Handbuch für Android 1.5 1 Inhaltsverzeichnis 1 Leistungsumfang... 3 1.1 Über Boxcryptor Classic... 3 1.2 Über dieses Handbuch... 3 2. Installation... 5 3. Grundfunktionen... 5 3.1 Einrichtung von Boxcryptor

Mehr

Analyse der Entwicklung von Malware

Analyse der Entwicklung von Malware TU Darmstadt schmid@vwl.tu-darmstadt.de 1. Kryptowochenende 01.07.2006 Gliederung 1 Chronologische Betrachtung Übersicht über die Eigenschaften der Viren 2 3 4 Die Motivation Definitionen Chronologische

Mehr

Mai 2011. Deutsche Übersetzung von Marion Göbel verfaßt mit epsilonwriter

Mai 2011. Deutsche Übersetzung von Marion Göbel verfaßt mit epsilonwriter Aplusix 3 - Installationshandbuch Mai 2011 Deutsche Übersetzung von Marion Göbel verfaßt mit epsilonwriter 1. Arten der Installation Eine Server-Installation wird mit einem Kauf-Code durchgeführt. Ein

Mehr