als PDF

ix.0305.x.01-04 01.02.2005 15:46 Uhr ©Seite
Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG
IT-Security
extra
IT-Security
Immunitätsstrategien
Schädlingsarten und Infektionswege
Schwerpunkt
Antivirenlösungen
Ein Satz wie „Ein Computer ist auch nur ein Mensch“
klingt so banal, als käme er direkt von der Humorseite
einer Yellow-Press-Gazette. Doch dahinter steckt ein
Fünkchen Wahrheit, zumindest was Viren angeht.
Immunitätsstrategien:
E
Schädlingsarten und
Infektionswege
Seite I
Um die Ecke gedacht:
Elaborierte
Sicherheitstechniken
Seite V
Vorschau:
Storage
Informationen Lifecycle
Management
Seite VIII
Veranstaltungen
15. Februar, Frankfurt/Main, Identity Management Day
www.uspmarcom.de/itverlag/idm05/index.html
17. – 18. Februar, Hamburg, Hamburger IT-Strategietage
www.hamburg-media.net
21. – 22. Februar, Köln, First European Conference
on Identity, Trust and Privacy
www.computas.de/net-id.html
10. – 16. März, Hannover, Cebit
www.cebit.de
5. – 8. April, Regensburg, Sicherheit 2005
www.sicherheit2005.de
© Copyright
s gibt in der Tat Analogien zwischen dem Immunsystem des Menschen und
einer Antivirenlösung. Beide
Systeme können nur reagieren, wenn ein neuer Eindringling identifiziert ist. Der
menschliche Körper zeigt bei
Befall die bekannten Krankheitserscheinungen, während
der befallene PC, je nach
Virus, instabil oder gar unbrauchbar wird. Es kann zu
Datenverlusten kommen oder
„nur“ zu unerwünschtem Verhalten. Das Immunsystem des
Menschen kann eigenständig
die Eindringlinge bekämpfen,
indem es seine Antikörper entsprechend anpasst, die Antivirenlösung benötigt die Aktualisierung des Herstellers.
Dabei herrscht ein permanentes Wettrennen zwischen
Virenprogrammierern und Herstellern von Antivirenlösungen.
Per Definition ist der Virenprogrammierer vorn – er denkt
sich schließlich neue Methoden
und Algorithmen aus, um
Schaden anzurichten. Anschließend ist der Hersteller
der Antivirenlösung gefordert:
Er muss möglichst schnell aktualisierte Virendefinitionen
erstellen und verbreiten. Durch
das Internet ist die Ausbreitungsgeschwindigkeit der Viren
enorm. Die Frage ist dann, wie
schnell der neue Virus bemerkt
wird – nicht alle Schädlinge
schlagen sofort zu. Um im Bild
zu bleiben, könnte man die
Zeit zwischen dem ersten
befallenen Rechner und dem
Bekanntwerden eines entsprechenden Symptoms als Inkubationszeit bezeichnen. Die
Entdeckung der passenden
Signatur käme der eines Medikaments gleich.
Viren, Würmer,
Trojaner, Exploits
In der Zwischenzeit ist kein
Rechner sicher vor dem neuen
Virus. Es gibt zwar Ansätze mit
heuristischer Erkennung, doch
zeigte sich in der Vergangenheit, dass diese entweder nicht
treffsicher genug sind oder zu
viele „falsch positive“ Meldungen generieren. Es ist immer
eine Frage der Zeit, wann eine
neue Technik alle bekannten
Mechanismen umgeht und
zuschlägt. Hinzu kommt, dass
viele Rechner mit nur rudimentärem oder ganz ohne
Schutz mit dem Internet verbunden sind. Das beschleunigt
I
by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.
ix.0305.x.01-04 01.02.2005 15:46 Uhr ©Seite
IT-Security
——
die Verbreitung ungemein,
selbst nachdem aktuelle Virendefinitionen verfügbar sind.
Viren sind Programme,
deren primäres Ziel es ist,
irgendwelche Schäden an
Computersystemen anzurichten. Darüber hinaus haben
viele Viren integrierte Mechanismen zu ihrer Verbreitung.
Die Schadwirkung kann sehr
unterschiedlich ausfallen: vom
simplen Löschen beliebiger
Dateien über Beschädigungen
des Wirtsbetriebssystems bis
zum Versuch, das BIOS zu beschädigen. Viren verbreiten
sich über E-Mails, Tauschbörsen, direkt über Netzwerke und
Datenträger aller Art. Aktuell
kommen zunehmend Memory
Sticks als potenzielle Virentransporter ins Gespräch.
Direktzugang via Netz
Als Würmer gelten Programme,
die hauptsächlich zur eigenen
Verbreitung programmiert wurden. Die schädliche Wirkung
des Wurms besteht primär in
seiner raschen Verbreitung. Die
erzeugte Netzlast oder die Belastung vom Mailservern kann
immense Kosten verursachen.
Da viele Würmer keine weitere
Beeinträchtigung des befallenen Systems nach sich ziehen,
kann ein Befall lange Zeit unbemerkt bleiben.
Als Trojaner (genauer:
trojanische Pferde, nach dem
Sasser-PC
Sasser-PC
Sasser-PC
II
Trick von Odysseus in der
griechischen Mythologie)
bezeichnet man Programme,
die sich mit Hilfe eines anderen, scheinbar nützlichen Programms unbemerkt auf dem
Wirtssystem installieren.
Neben der obligatorischen Verbreitungsroutine können weitere Funktionen implementiert
sein, zum Beispiel Keylogger,
die Tastatureingaben überwachen und so versuchen, Passwörter herauszufinden. Trojaner können auch unbemerkt
Netzdienste bereitstellen, die
der Anwender sicher nicht gutheißen würde – etwa SpamMail verschicken. Ihre Verbreitung findet oft über eine Trägersoftware statt, die für eine
möglichst breite Zielgruppe attraktiv erscheint, wie Bildschirmschoner mit berühmten
Models, lustige Animationen,
aber auch illegale Inhalte oder
gar angebliche Antivirus-Lösungen. Oft verfügen sie sogar
über eine Deinstallationsroutine, die jedoch den Trojaner auf
dem System belässt.
Von Exploits spricht man,
wenn Sicherheitslücken im
Wirtsystem ausgenutzt werden.
Am weitesten verbreitet sind
entsprechend präparierte Webseiten, die während der Darstellung unauffälliger Inhalte
schädlichen Code auf den
Rechner schleusen. Ebenso beliebt sind präparierte Mails, die
beim Öffnen die Schadensrouti-
scannt PC,
schickt Code,
startet Code
lädt Sasser
per FTP nach
Opfer-PC
Opfer-PC
Sasser-PC
Ultimativer Packer: UPX
UPX steht für „Ultimate Packer for Executables“, ein besonderes
Komprimierverfahren für ausführbare Dateien. Dabei wird beispielsweise aus einer exe-Datei eine gepackte exe-Datei, die wie
üblich durch Doppelklick startbar ist, die Daten in den Arbeitsspeicher lädt, dort entpackt und das ursprüngliche Programm
ausführt. Dadurch versprechen sich die Programmierer eine
kürzere Startzeit, da das Laden der bis zu 40 % kleineren Datei
inklusive Entpacken weniger Zeit braucht als das Laden der
unkomprimierten Datei.
UPX ist für verschiedene Plattformen erhältlich und erfreut sich
steigender Beliebtheit, nicht nur bei den Virenprogrammierern.
Die Software ist unter der GPL mit einigen wenigen Ausnahmen
entwickelt worden und steht bei Sourceforge [2] momentan in
Version 1.25 zum Download bereit.
nen nachladen können. In diesem Fall stellt sich allerdings
die Frage, ob Mailclients überhaupt ohne Benutzerzutun Inhalte einer Mail nachladen können sollten – für etwas weniger
Bequemlichkeit könnte man
sich deutlich mehr Sicherheit
erkaufen.
Die beschriebenen Malware-Formen sind meist nicht
in Reinform anzutreffen, häufig
finden sich Kombinationen
aus mehreren Schadensfunktionen. Der Fantasie der Virenprogrammierer sind da kaum
Grenzen gesetzt. Vor allem
durch „Technologiesprünge“
kann es zu einer explosionsartigen Verbreitung kommen,
weil die Antiviren-Software
nicht reagiert.
Gute Ideen, böse Ideen
Da sich ein Großteil der Viren
über Mails verbreitet, ist es
nahe liegend, die elektronische
Post zu prüfen, bevor sie auf
dem Mailclient respektive auf
dem Desktop des Anwenders
landet. Dazu dienen Virenscanner auf dem zentralen Mailserver, doch deren Arbeit gestaltet
sich immer schwieriger.
Früher half es durchaus
weiter, den Absender einer infi-
Saasser funktioniert
zweistufig.
zierten Nachricht durch eine
automatische Mail auf das
Problem hinzuweisen, und die
Chance war groß, dass er
sich um eine Aktualisierung
seiner Antivirenlösung kümmerte (oder erstmalig eine
anschaffte).
Doch da aktuelle Viren mit
einer eigenen SMTP-Engine,
quasi einem Mini-Mailprogramm, ausgestattet sind, können sie den Absender fälschen.
Sie suchen auf dem Wirtssystem nach Mailadressen, an die
sie sich selbstständig versenden, und setzen als Absender
eine beliebige andere Mailadresse aus dem Adressbuch.
Das macht die Benachrichtigung des Absenders natürlich
obsolet, denn er hat mit der
Sache meist nichts zu tun. Der
einzige Hinweis, den man daraus ableiten kann, ist der,
dass auf dem infizierten System diese Mailadresse in irgendeiner Form vorliegt. Solche automatisierten Hinweise
kann man also als MailserverBetreiber getrost abschalten.
Das schlichte Scannen des
Anhangs genügt auch nicht
mehr: Um an den eigentlichen
Inhalt zu gelangen, muss der
Scanner neben den üblichen
Kompressionsformaten von Rar
bis Zip auch UPX (siehe Kasten)
beherrschen, da Anhänge mittlerweile mit diesem unter der
GPL entwickelten Algorithmus
komprimiert sind.
iX extra 3/2005
© Copyright
by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.
ix.0000.x.dummy.EP 10.11.2004 14:29 Uhr ©Seite 1
Hier stand im Heft eine Anzeige.
© Copyright
by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.
ix.0305.x.01-04 01.02.2005 15:46 Uhr ©Seite
IT-Security
Ein weiterer Trick der Virenprogrammierer ist das passwortgeschützte Komprimieren
des Anhangs. Hier muss jeder
Virenscanner, zumindest beim
Entpacken, aufgeben, da das
dazugehörige Passwort irgendwo in der Mail stehen kann.
Leicht lassen sich so Varianten
erzeugen, die sich vom Vorgänger genug unterscheiden, um
nicht wiedererkannt zu werden.
Solche Nachrichten kann der
Mailserver nur entweder ungeprüft oder gar nicht zustellen.
Zwar muss der Benutzer selbst
aktiv werden und zum Entpacken das Passwort eingeben,
ehe der Schädling zuschlagen
kann. Aber die Dummen sterben bekanntlich nicht aus, und
dann bleibt nur die Hoffnung
auf einen Virenscanner mit
aktuellen Definitionen auf
dem Client.
Weihnachtsgruß
Wie häufig Benutzer aktiv zur
Verseuchung beitragen, zeigt
die schnelle Verbreitung von
W32.Zafi-D. Dieser Virus hat
nach Angaben des AntivirenSpezialisten Sophos im Dezember alle „etablierten“ Viren weit
hinter sich gelassen: Mit
36,8 % aller Meldungen kann
man von einem durchschlagenden Erfolg sprechen. Grund
dafür waren zwei Eigenschaften des Virus: Die Mail kam als
Weihnachtsgruß (und damit
quasi tagesaktuell) und der
Mailtext enthielt zwei Smilies.
Das genügte, um viele Anwender glauben zu lassen, es handele sich um einen Weihnachtsscherz.
Dagegen hilft nur, ausführbare Anhänge prinzipiell nicht
auszuliefern. In iX 11/2004 [1]
wurde beschrieben, wie immerhin 99 Prozent aller verseuchten Mails dadurch nicht
über das Mail-Gateway hinauskommen.
Ein vergleichbares Dilemma
taucht übrigens auf, wenn der
Anwender, ganz sicherheitsbewusst, E-Mails verschlüsselt.
IV
VIREN UND WÜRMER DER
LETZTEN JAHRE
Viren und Würmer, die in den letzten Jahren besonders großen
Schaden angerichtet haben:
Name
Verbreitungsweg
erschienen ca.
W32.Sasser
Netzwerk,
Sicherheitslücke (LSASS)
April 2004
W32.Netsky
Mail, eigene SMTP Engine
Februar 2004
W32.Blaster
Netzwerk
August 2003
W32.Sobig-F
Mail, eigene SMTP Engine
und Varianten
Januar 2003
W32.Klez
Mail
Oktober 2001
W32.Nimda
Sicherheitslücke, Mail, Exploit September 2001
W32.Sircam
Mail, Netzwerk
Oktober 2001
VBS.Kakworm Mail, Sicherheitslücke
in Mailclient
März 2000
VBS.Loveletter Mail
Mai 2000
Wie zu sehen ist, verbreiten sich „erfolgreiche“ Viren nicht nur
über E-Mail. Viele nehmen den kurzen Dienstweg, direkt über
das Netz. Dabei machen sie sich Sicherheitslücken im Wirtssystem zu Nutze: Über eine Schwachstelle im RPC-Dienst
(Remote Procedure Call) verschaffte sich im August 2003 der
berühmt gewordene Blaster Zugang zum System, kopierte sich
direkt in den Windows-Systemordner und startete sich anschließend selbst, um über das Netz wiederum andere anfällige Systeme zu suchen. Spätestens seit diesem Datum kann bereits
das Verbinden mit dem Internet zum Virusbefall führen.
Sind auch die Attachments einbezogen, hat der Virenscanner
keine Chance.
Aber E-Mail ist nur einer der
Wege, einen Rechner zu infizieren. Für Sasser reichte allein
die Tatsache, dass ein Rechner
mit dem Internet verbunden ist,
um ihn zu befallen und sich von
dort aus weiter zu verbreiten.
Und das geht noch deutlich
schneller als über den Umweg
E-Mail. Wenn man bedenkt,
dass bei Erscheinen des Virus
alle Windows-Rechner ungepatcht waren (die Lücke war
bis dato ja nicht bekannt) und
dass es sehr viele Internetnutzer ohne Firewall gibt, lässt
sich ausrechnen, wie schnell
die Verbreitung stattfinden
konnte.
Die Infektion soll 5 Sekunden dauern (was sicher ausreicht), die Suche mit fünf IP-
Adressen pro Sekunde stattfinden und hinter jeder 50. Adresse ein ungepatchtes Opfer zu
finden sein. Zum Zeitpunkt
0:00:00 Uhr gibt es genau
einen befallenen Rechner. Nach
10 Sekunden hat er 50 Adressen abgeklappert und findet
sein erstes Opfer. Ab 0:00:15
suchen somit zwei Rechner
nach Opfern. Alle 15 Sekunden
also verdoppelt sich die Anzahl
befallener Rechner. Vernachlässigt man alle bremsenden
Effekte, sind nach fünf Minuten
über eine Million Rechner infiziert (220).
Problem Binnentäter
Gegen diese Art Eindringlinge
hilft eine gut konfigurierte Firewall – aber nur gegen Angriffe
von außen, nicht, wenn in der
Firma etwa ein verseuchter
Laptop an einer freien Buchse
angeschlossen wird. Darum
muss dafür Sorge getragen
werden, dass alle Clients mit
den nötigen Patches zum
Schließen der Sicherheitslücken versorgt sind.
Hinzu kommen wie erwähnt
die Gefahren durch das Surfen
im World Wide Web. Seit es
so genannte „aktive Inhalte“
(Javascript, ActiveX) gibt, stellen auch Webseiten, die Sicherheitslücken in Browsern ausnützen, eine permanente Bedrohung dar. Schlimmer noch:
schon das Betrachten eines Bildes kann zur Verseuchung des
PCs führen. Im Spätsommer
letzten Jahres wurde bekannt,
dass durch einen Fehler in der
JPEG-Darstellungsbibliothek
auf Windows ein Pufferüberlauf
und die Ausführung eingeschleusten Codes provoziert
werden kann.
Um auf Nummer sicher
zu gehen, müssen die Clients
ihrerseits ebenfalls mit einen
Virenscanner ausgestattet sein.
Kein Algorithmus auf dem MailGateway kann gewährleisten,
dass nicht doch ein Virus
durchschlüpft. Und nicht zu
vergessen: Die Wechselmedien,
die zugegebenermaßen aus
dem Blickwinkel der Virenprogrammierer etwas aus der
Mode gekommen sind, sind
immer noch potenzielle Virenherde.
Otto Gärtner
ist Maschinenbauingenieur
und arbeitet seit knapp 10 Jahren im Systemsupport. Derzeit
ist er bei der Firma P+Z Engineering GmbH beschäftigt.
Quellen
[1]ˇErwin Hoffmann; Exe und
Hopp: Präventive Virenfilterung auf E-Mail-Gateways;
iX 11/2004, S.140
[2]ˇhttp://upx.sourceforge.net
[3]ˇhttp://www.sophos.de/
virusinfo/topten/index.html
[4]ˇhttp://www.coqui.net/
parcho/virus/
iX extra 3/2005
© Copyright
by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.
ix.0305.x.05-08 02.02.2005 7:38 Uhr ©Seite
IT-Security
——
Um die Ecke
gedacht
Elaborierte Sicherheitstechniken
Mit der Komplexität der Bedrohungen ist die
„Intelligenz“ der Gegenmaßnahmen gewachsen.
Antiviren-Software ist darum im kommerziellen
Umfeld oft Teil einer Komplettlösung, die auch
Firewalls und Antispam-Maßnahmen integriert.
F
ür den Schutz gegen Viren,
Würmer und Co. existiert
eine Reihe von Produkten, die
sich dem Kampf gegen die
„bösen Bits“ verschrieben
haben. Eine Übersicht ist dem
Kasten „Snapshot …“ zu entnehmen. Dennoch laufen die
Entwickler von Sicherheitssoftware prinzipbedingt den Dingen
immer hinterher, da sie erst
dann einen Schutz entwickeln
können, wenn die Lücke, der
Wurm oder der Virus bekannt
ist (siehe dazu auch den Beitrag
auf Seite I in iX extra). Die Her-
iX extra 3/2005
© Copyright
steller von Antiviren-Software
benötigen bis zu 48 Stunden,
um neue Signaturen in ihre Updates zu integrieren. Das ist im
Ernstfall deutlich zu langsam.
Einige Anbieter haben darum
spezielle Techniken entwickelt,
um ihre Kunden frühzeitig vor
neuen Viren zu schützen.
Lügen und betrügen
So zeichnen sich elaboriertere
Firewalls durch bewusste Vorspiegelung falscher Tatsachen
aus. Wie so etwas funktionieren
kann, sei am Beispiel der
„Active Response Technology“
des Sicherheitsspezialisten
Forescout erklärt, die sich das
Unternehmen sogar hat patentieren lassen.
Die Software (ActiveScout)
arbeitet am Übergangspunkt
vom Internet zum Firmennetz,
also noch vor der Firewall.
Dabei sieht diese Methode
einen dreistufigen Prozess vor.
Im ersten Schritt werden die
manuellen Erkundungsangriffe
oder die von Würmern sondiert
(Probing-Aktivitäten), seien es
solche via HTTP, User-/Passwort-Scans, Port-Scans oder
wie auch immer.
Im zweiten Schritt sendet
die Software dem Angreifer
Antworten, die seiner Erwartungshaltung entsprechen, und
„merkt“ sich die Eigenschaften
des Angriffs. Sollte zum Beispiel eine netzweite Suche
nach einem FTP-Service mit
einem Adressbereich von 255
IP-Adressen starten, antwortet
eine Untermenge dieser IPAdressen, imitiert so ein echtes
Netzwerk, simuliert Ziele und
täuscht einen FTP-Service vor.
Versucht nun, im dritten Schritt,
der Angreifer die vorgegaukelten Adressen zu infizieren
respektive zu penetrieren,
erkennt die Active Response
Technology ihn wieder und
wehrt die Bedrohung ab.
Das soll laut Hersteller sogar
funktionieren, wenn die IPAdresse der Angriffsquelle
wechselt oder zwischen der
ersten Erkundung und dem
Einbruchsversuch ein längerer
Zeitraum liegt.
Annahmeverzögerung
Spam-Mails sind nicht nur lästig, sondern können auch der
Verbreitung von Viren dienen.
Eines der vielen Verfahren
dagegen ist Greylisting. Dazu
prüft ein zentrales Relay von
jeder eingehenden E-Mail drei
Informationen: die IP-Adresse
des sendenden Mailservers, die
Absender- sowie die Empfängeradresse. Taucht diese Kombination zum ersten Mal auf,
wird die Mail mit der SMTPFehlermeldung 451 (temporary
failure) abgewiesen. „Seriöse“
Mail-Server unternehmen in
diesem Fall nach kurzer Zeit
einen zweiten Zustellversuch.
Jetzt ist dem Relay die Dreierkombination bereits bekannt,
es lässt die Post zum Empfänger durch. Spammer setzen
V
by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.
ix.0305.x.05-08 02.02.2005 7:38 Uhr ©Seite
IT-Security
SNAPSHOT: ANTIVIRENLÖSUNGEN
Der folgende Snapshot gibt eine Übersicht, welcher Hersteller welche Software derzeit im Portfolio
hat. Die Produkte sind zum Teil für Privatanwender kostenlos. Dieser Snapshot erhebt wie immer
keinen Anspruch auf Vollständigkeit, er gibt lediglich eine Übersicht über die Rechercheergebnisse in
den letzten Monaten. Aus Gründen der besseren Lesbarkeit wurde sowohl die jeweilige Rechtsform
des Herstellers als auch die aktuelle Versionsnummer der Software weggelassen.
Hersteller
Software
Webseite
Aladdin
Astaro
Authentium
Borderware
Bristol Group
brs connect
Centralcommand
Computer Associates
Forescout
Frisk Software
F-Secure
G Data
Grisoft
Group Technologies
H+BEDV Datentechnik
Hauri
Ikarus Software
InSoft EDV-Systeme
Kaspersky Labs
McAfee
Norman Data Defense Systems
Panda Software
Securepoint
Softwin
SonicWall
Sophos
SurfControl
Sybari
Symantec
Trend Micro
WebWasher
eSafe Anti-Virus Engine
Virus Protection
Antivirus Software Development Kit
Mail Firewall
CP Secure Security Gateway
AV-Software-Leasing
Vexira Antivirus
etrust Antivirus
Worm Scout und Active Scout
F-Prot Antivirus
F-Secure Anti-Virus
AntiViren-Kit
AVG Anti-Virus
securiQ.Watchdog
AntiVir
ViRobot
Ikarus virus utilities
DrWeb
Kaspersky Anti-Virus
McAfee Virus Scan
Norman Virus Control
Panda Titanium Antivirus
Content/Virusscanner
Bitdefender
SonicWALL Complete Anti-Virus
Sophos Anti-Virus
SurfControl E-Mail Filter
Antigen
Norton AntiVirus
diverse Produkte
WebWasher Anti Virus
www.aladdin.de
www.astaro.de
www.command.co.uk
www.borderware.de
www.bristol.de
www.brs-connect.de
www.centralcommand.com
www.ca.com
www.forescout.com
www.f-prot.com
www.f-secure.de
www.gdata.de
www.grisoft.de
www.group-technologies.com
www.free-av.de
www.globalhauri.com
www.ikarus-software.de
www.drweb-online.com
www.kaspersky.com/de/
de.mcafee.com/
www.norman.de
www.panda-software.de
www.securepoint.de
www.bitdefender.de
www.sonicwall.de
www.sophos.de
www.surfcontrol.com/de-de/
www.sybari.de
www.symantec.com/region/de/
de.trendmicro-europe.com/
www.webwasher.de
dagegen auf Masse innerhalb
möglichst kurzer Zeit und
möchten sich nicht mit wiederholten Zustellungen aufhalten.
Sie arbeiten deshalb fast immer
nach der Methode „fire and
forget“ und scheitern damit
am Greylisting.
von einigen Minuten. Das Zeitfenster für den erfolgreichen
zweiten Versuch bleibt über
mehrere Stunden geöffnet.
Wird es nicht genutzt, muss
sich die E-Mail erneut „anmelden“. Hat ein Triple einmal
das Greylisting-Verfahren durchlaufen, bleibt es freigeschaltet
und E-Mails mit dieser SenderEmpfänger-Beziehung werden
künftig ohne Verzögerung zugestellt. Die Freischaltung gilt für
einen Zeitraum von rund einem
Nicht nur Software
Zur Sicherheit akzeptiert das
Relay die zweite Zustellung erst
nach einer Mindestwartezeit
VI
Monat, die Frist erneuert sich
mit jeder neuen E-Mail.
Zentrale Antivirenlösungen
sind aus Performance- und
Wartungsgründen oft in dedizierte Geräte, so genannte
Appliances, ausgelagert und
mit anderen Sicherheitsfunktionen kombiniert. Angeboten
werden sie von den unterschiedlichsten Herstellern, von
Bristol über Panda bis TrendMicro. Das CP Secure Content
Security Gateway (CSG) der
Bristol Group etwa sucht auf
Paketebene in den Protokollen
SMTP, HTTP, POP3, FTP und
IMAP4 nach schadhaftem Code.
Der Hersteller reklamiert für
sein System „Echtzeitfähigkeit“, konkreter: Je nach Modell wird eine sechsstellige
Anzahl von Nachrichten je
Stunde geprüft. In dem Gerät
ist außerdem ein Spamfilter
mit Verwaltung für White- und
Blacklists, URL-Blocking und
Content-Filtering enthalten.
Gern wird Microsoft für die
aktuelle IT-Sicherheitslage verantwortlich gemacht, da sich
die meisten Angriffe auf die
Redmonder Betriebssysteme
beziehen. Auch wenn der Softwareriese noch einiges tun
könnte, dürfte der Grund eher
die große Verbreitung von Windows sein. Mittlerweile sind
auch Linux, Unix und Mac OS
als Opfer entdeckt worden.
Relativ früh darauf reagiert hat
der deutsche Hersteller
H+BEDV, der seine AntivirenProdukte auch für Unix und
Linux anbietet.
Der Nicht-Virus
Eine spezielle Art von Würmern
entzieht sich grundsätzlich
jeder technischen Gegenmaßnahme: Hoaxes. Dabei handelt
es sich um vorgetäuschte
Virenwarnungen, die den Empfänger dazu auffordern, eine
bestimmte Datei zu löschen, da
es sich um einen gefährlichen
Virus handele. Dass es in
Wahrheit um eine wichtige
Systemdatei geht, merkt der
gutgläubige Anwender erst,
wenn es zu spät ist. Natürlich
fehlt die Aufforderung nicht,
diese Mail umgehend an Kollegen und Bekannte weiterzuleiten. Das problematische an
einem solchen Hoax ist, dass
kein Virenscanner hier auch nur
den Hauch einer Chance hat,
wenn sich Kollegen untereinander diese Mail zusenden.
Es sind sowohl der Absender
als auch die E-Mail Adresse
bekannt, im Text befindet sich
iX extra 3/2005
© Copyright
by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.
ix.0305.x.05-08 02.02.2005 7:38 Uhr ©Seite
IT-Security
Auch Linux im Blick
H+BEDV ist einer der wenigen deutschen Anbieter von AntivirenSoftware. iX extra sprach mit dem Geschäftsführer, Tjark Auerbach, über aktuelle Fragen der Virenbekämpfung.
iX extra: Seit wann zielt H-BEDV auch auf
den Bereich Unix/Linux?
Tjark Auerbach: Die H+BEDV Datentechnik GmbH bietet seit über
acht Jahren Schutz für Unix- und Linux-Systeme an. Wir sind der
einzige Hersteller weltweit, der einen On-Access-Scanner für eine
Vielfalt von Unix/Linux-Systemen anbietet.
iX extra: Was sind im Linux-/Unix-Umfeld typische
Viren, Würmer, Trojaner?
T. A.: Derzeit gibt es nur sehr wenige Viren, die diese Systeme
direkt angreifen. Im Jahr 1995 wurde der erste Linux-Virus entdeckt, heute, zehn Jahre später sind es über 50. Generell gibt es
vier Virentypen, die Linux angreifen: Shell-Skript-, Perl-, Makround ELF-Viren, also ausführbare Binärdateien. Letztere tauchen
am häufigsten auf.
iX extra: Wo lauern künftig die größten Gefahren?
T. A.: Aufgrund der zahlreichen verschiedenen Basispakete und
Code-Variationen war es für die Schädlinge bisher schwierig, sich
zu verbreiten. Flächendeckende Virenausbrüche konnten daher
2004 nicht festgestellt werden. 92 % der Linux-Anwender haben
nach eigenen Angaben noch nie einen Schädling auf ihrem Computer entdeckt.
Allerdings gibt es sehr viele RATs (Remote Access Toolkits) und
Root-Kits, die die Fernsteuerung der Computer oder die vollständige Übernahme der Systemkontrolle zum Ziel haben.
Zudem wurden 2004 Schwachstellen im System entdeckt und von
bösartigem Code im Proof-of-Concept-Stadium ausgenutzt und
iX extra 3/2005
© Copyright
Techniken, die bisher bei Windows-Viren eingesetzt wurden,
wurden an Linux-Umgebungen angepasst.
Durch vermehrten Einsatz von Linux auch auf Arbeitsplatzrechnern
wird es jedoch sicherlich in Zukunft mehr Schadprogramme für
Unix/Linux geben. Auch die zunehmende Zahl von unerfahrenen
Anwendern, die mit Linux arbeiten, bedeutet eine Gefahr, da deren
Bewusstsein für die Gefahren oftmals nicht stark genug ausgeprägt ist.
iX extra: Was ist die Motivation, privaten Endanwendern
die Software kostenlos zur Verfügung zu stellen
T. A.: Die Idee bei der Gründung der H+BEDV Datentechnik GmbH
im Jahr 1986 war, Freunden und Bekannten Hilfestellung bei Computerproblemen zu liefern – wobei schon vor über 15 Jahren die
Spezialisierung auf Virenschutz stattfand.
Dieser Ursprungsgedanke ist nach wie vor Bestandteil der
Firmenphilosophie: Nutzern von IT-Systemen soll größtmöglicher
Schutz geboten werden. Darum wird die Antivir Personal Edition
den Anwendern zu Hause kostenlos zur Verfügung gestellt, sie
soll Hilfestellung leisten, die für jeden erschwinglich ist.
iX extra: Geht da nicht ein gewaltiger Markt an H+BEDV vorbei?
T. A.: Die Antivir Personal Edition sehen wir auch als „zweite Verteidigungslinie“ für Firmenkunden. Oftmals bearbeiten Mitarbeiter
zu Hause dienstliche Dokumente. Sind sie dort geschützt, können
sie keine Schädlinge in das Firmennetzwerk einschleppen. Somit
ist die Personal Edition hier Dienst am zahlenden Kunden.
Die Freiversion basiert zwar auf der Technik des kommerziellen
Produktes, allerdings mit eingeschränkten Features, und sie muss
keinen gewerblich notwendigen High-End-Schutz bieten. Natürlich
freuen wir uns über jeden Nutzer der kostenlosen Version, der auf
die kommerzielle umsteigt.
VII
by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.
ix.0305.x.05-08 02.02.2005 7:38 Uhr ©Seite
IT-Security
kein verdächtiger Link, und
einen Anhang hat die Mail
ebenso wenig.
Abgesehen von dem Schaden, den das Löschen der Datei
auf dem eigenen Rechner anrichtet, ist die Belastung durch
die unnütz weitergeleiteten
Nachrichten nicht zu vernachlässigen. Und wenn plötzlich
das Telefon des Systemadministrators nicht mehr still steht
und er ständig die gleichen
Fragen beantworten muss,
wäre das ein guter Zeitpunkt,
um einen echten Angriff zu
starten.
wort etc.), damit während der
Abwesenheit des Benutzers
Unbefugte keine Möglichkeit
haben, durch unbedachte oder
gewollte Handlungen den
Rechner zu gefährden.
–ˇIm Microsoft Explorer die Anzeige aller Dateitypen (sprich:
Endungen) aktivieren.
–ˇDie Makro-Warnfunktion von
Anwendungsprogrammen
(Word, Excel, Powerpoint etc.)
aktivieren und Warnmeldungen
beachten.
–ˇKeine Applikationsverknüpfung
für Anwendungen mit potenziell aktivem Code (MS-Office)
im Browser nutzen oder Anwendungen über Internet aktivieren.
–ˇSicherheitseinstellungen (ECL)
bei Lotus Notes bearbeiten und
das Ausführen von „gespeicherten Masken“ per Datenbank unterbinden.
–ˇSicherheitseinstellungen von
Internet-Browsern auf die
höchste Stufe einstellen (De-
aktivieren von aktiven Inhalten
wie ActiveX, Java, JavaScript
und Skript-Sprachen wie Visual
Basic Script).
Sinnvoll ist ebenfalls, den PC
zum Feierabend auszuschalten.
Dadurch hat man viele Stunden
gewonnen, in denen ein Angriff
nicht möglich ist. Beherzigt
man diese Ratschläge, wird es
für Viren, Würmer und Trojaner
schon erheblich schwerer, sich
auf dem PC zu verbreiten.
Cornelia Versteegen
In iX extra 4/2005:
Storage – Information Lifecycle Management
Bildungsprobleme
Den in der Regel schlecht ausgebildeten Endanwendern sollten Administratoren und
Firmenleitung ans Herz legen,
dass Misstrauen und Skepsis
immer angebracht sind, wenn
sie zu Handlungen aufgefordert
werden, die sie sonst nicht
durchführen würden, etwa
Dateien löschen oder E-Mails
versenden.
Ein Virenscanner ist unverzichtbar, zusätzlich empfiehlt
das Bundesamt für Sicherheit
in der Informationstechnik
(BSI, www.bsi.de) folgende
Maßnahmen:
–ˇAlle vorhandenen Sicherheitsfunktionen des Rechners
aktivieren (Passwort-Schutz,
Bildschirmschoner mit Pass-
VIII
Information Lifecycle
Management (ILM) gilt im
Storage-Umfeld als State of
the Art der Speichertechnik.
Doch was steckt hinter diesem
Begriff? iX extra untersucht,
wie ILM derzeit auf dem
Markt von den unterschiedlichen Anbietern umgesetzt
wird.
So sind ILM und ECM (Enterprise Content Management)
zwei von einander unabhängige
Verfahren, die beginnen zusammenzuwachsen. Schließlich erfordert ein durchgängiges
ILM-Konzept zum Teil erhebliche Änderungen innerhalb der
Unternehmensprozesse, was
sich wiederum im ECM-Konzept niederschlägt. Welche
Anforderungen sind in diesem
Zusammenhang an ILM-Projekte zu stellen?
Ein weiteres Thema ist ILM
und Speicherbewältigung –
sind hier künftig nur noch
GRID-Technologien, wie sie
derzeit zum Beispiel von IBM
und HP angeboten werden, in
der Lage, den anfallenden Datenmengen Herr zu werden?
Mit welchem Datenaufkommen
ist hier künftig zu rechnen?
Erscheinungstermin:
3. März 2005
DIE WEITEREN IX EXTRAS:
Ausgabe
Thema
5/05 Netzwerkhardware: Fernwartung – von KVM bis Big Brother
Erscheinungstermin
7. 4. 05
6/05 Mobility:
GPRS, UMTS, WLAN
12. 5. 05
7/05 Security:
Virtual Private Networks
16. 6. 05
iX extra 3/2005
© Copyright
by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.