als PDF
Transcrição
als PDF
ix.0305.x.01-04 01.02.2005 15:46 Uhr ©Seite Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG IT-Security extra IT-Security Immunitätsstrategien Schädlingsarten und Infektionswege Schwerpunkt Antivirenlösungen Ein Satz wie „Ein Computer ist auch nur ein Mensch“ klingt so banal, als käme er direkt von der Humorseite einer Yellow-Press-Gazette. Doch dahinter steckt ein Fünkchen Wahrheit, zumindest was Viren angeht. Immunitätsstrategien: E Schädlingsarten und Infektionswege Seite I Um die Ecke gedacht: Elaborierte Sicherheitstechniken Seite V Vorschau: Storage Informationen Lifecycle Management Seite VIII Veranstaltungen 15. Februar, Frankfurt/Main, Identity Management Day www.uspmarcom.de/itverlag/idm05/index.html 17. – 18. Februar, Hamburg, Hamburger IT-Strategietage www.hamburg-media.net 21. – 22. Februar, Köln, First European Conference on Identity, Trust and Privacy www.computas.de/net-id.html 10. – 16. März, Hannover, Cebit www.cebit.de 5. – 8. April, Regensburg, Sicherheit 2005 www.sicherheit2005.de © Copyright s gibt in der Tat Analogien zwischen dem Immunsystem des Menschen und einer Antivirenlösung. Beide Systeme können nur reagieren, wenn ein neuer Eindringling identifiziert ist. Der menschliche Körper zeigt bei Befall die bekannten Krankheitserscheinungen, während der befallene PC, je nach Virus, instabil oder gar unbrauchbar wird. Es kann zu Datenverlusten kommen oder „nur“ zu unerwünschtem Verhalten. Das Immunsystem des Menschen kann eigenständig die Eindringlinge bekämpfen, indem es seine Antikörper entsprechend anpasst, die Antivirenlösung benötigt die Aktualisierung des Herstellers. Dabei herrscht ein permanentes Wettrennen zwischen Virenprogrammierern und Herstellern von Antivirenlösungen. Per Definition ist der Virenprogrammierer vorn – er denkt sich schließlich neue Methoden und Algorithmen aus, um Schaden anzurichten. Anschließend ist der Hersteller der Antivirenlösung gefordert: Er muss möglichst schnell aktualisierte Virendefinitionen erstellen und verbreiten. Durch das Internet ist die Ausbreitungsgeschwindigkeit der Viren enorm. Die Frage ist dann, wie schnell der neue Virus bemerkt wird – nicht alle Schädlinge schlagen sofort zu. Um im Bild zu bleiben, könnte man die Zeit zwischen dem ersten befallenen Rechner und dem Bekanntwerden eines entsprechenden Symptoms als Inkubationszeit bezeichnen. Die Entdeckung der passenden Signatur käme der eines Medikaments gleich. Viren, Würmer, Trojaner, Exploits In der Zwischenzeit ist kein Rechner sicher vor dem neuen Virus. Es gibt zwar Ansätze mit heuristischer Erkennung, doch zeigte sich in der Vergangenheit, dass diese entweder nicht treffsicher genug sind oder zu viele „falsch positive“ Meldungen generieren. Es ist immer eine Frage der Zeit, wann eine neue Technik alle bekannten Mechanismen umgeht und zuschlägt. Hinzu kommt, dass viele Rechner mit nur rudimentärem oder ganz ohne Schutz mit dem Internet verbunden sind. Das beschleunigt I by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. ix.0305.x.01-04 01.02.2005 15:46 Uhr ©Seite IT-Security —— die Verbreitung ungemein, selbst nachdem aktuelle Virendefinitionen verfügbar sind. Viren sind Programme, deren primäres Ziel es ist, irgendwelche Schäden an Computersystemen anzurichten. Darüber hinaus haben viele Viren integrierte Mechanismen zu ihrer Verbreitung. Die Schadwirkung kann sehr unterschiedlich ausfallen: vom simplen Löschen beliebiger Dateien über Beschädigungen des Wirtsbetriebssystems bis zum Versuch, das BIOS zu beschädigen. Viren verbreiten sich über E-Mails, Tauschbörsen, direkt über Netzwerke und Datenträger aller Art. Aktuell kommen zunehmend Memory Sticks als potenzielle Virentransporter ins Gespräch. Direktzugang via Netz Als Würmer gelten Programme, die hauptsächlich zur eigenen Verbreitung programmiert wurden. Die schädliche Wirkung des Wurms besteht primär in seiner raschen Verbreitung. Die erzeugte Netzlast oder die Belastung vom Mailservern kann immense Kosten verursachen. Da viele Würmer keine weitere Beeinträchtigung des befallenen Systems nach sich ziehen, kann ein Befall lange Zeit unbemerkt bleiben. Als Trojaner (genauer: trojanische Pferde, nach dem Sasser-PC Sasser-PC Sasser-PC II Trick von Odysseus in der griechischen Mythologie) bezeichnet man Programme, die sich mit Hilfe eines anderen, scheinbar nützlichen Programms unbemerkt auf dem Wirtssystem installieren. Neben der obligatorischen Verbreitungsroutine können weitere Funktionen implementiert sein, zum Beispiel Keylogger, die Tastatureingaben überwachen und so versuchen, Passwörter herauszufinden. Trojaner können auch unbemerkt Netzdienste bereitstellen, die der Anwender sicher nicht gutheißen würde – etwa SpamMail verschicken. Ihre Verbreitung findet oft über eine Trägersoftware statt, die für eine möglichst breite Zielgruppe attraktiv erscheint, wie Bildschirmschoner mit berühmten Models, lustige Animationen, aber auch illegale Inhalte oder gar angebliche Antivirus-Lösungen. Oft verfügen sie sogar über eine Deinstallationsroutine, die jedoch den Trojaner auf dem System belässt. Von Exploits spricht man, wenn Sicherheitslücken im Wirtsystem ausgenutzt werden. Am weitesten verbreitet sind entsprechend präparierte Webseiten, die während der Darstellung unauffälliger Inhalte schädlichen Code auf den Rechner schleusen. Ebenso beliebt sind präparierte Mails, die beim Öffnen die Schadensrouti- scannt PC, schickt Code, startet Code lädt Sasser per FTP nach Opfer-PC Opfer-PC Sasser-PC Ultimativer Packer: UPX UPX steht für „Ultimate Packer for Executables“, ein besonderes Komprimierverfahren für ausführbare Dateien. Dabei wird beispielsweise aus einer exe-Datei eine gepackte exe-Datei, die wie üblich durch Doppelklick startbar ist, die Daten in den Arbeitsspeicher lädt, dort entpackt und das ursprüngliche Programm ausführt. Dadurch versprechen sich die Programmierer eine kürzere Startzeit, da das Laden der bis zu 40 % kleineren Datei inklusive Entpacken weniger Zeit braucht als das Laden der unkomprimierten Datei. UPX ist für verschiedene Plattformen erhältlich und erfreut sich steigender Beliebtheit, nicht nur bei den Virenprogrammierern. Die Software ist unter der GPL mit einigen wenigen Ausnahmen entwickelt worden und steht bei Sourceforge [2] momentan in Version 1.25 zum Download bereit. nen nachladen können. In diesem Fall stellt sich allerdings die Frage, ob Mailclients überhaupt ohne Benutzerzutun Inhalte einer Mail nachladen können sollten – für etwas weniger Bequemlichkeit könnte man sich deutlich mehr Sicherheit erkaufen. Die beschriebenen Malware-Formen sind meist nicht in Reinform anzutreffen, häufig finden sich Kombinationen aus mehreren Schadensfunktionen. Der Fantasie der Virenprogrammierer sind da kaum Grenzen gesetzt. Vor allem durch „Technologiesprünge“ kann es zu einer explosionsartigen Verbreitung kommen, weil die Antiviren-Software nicht reagiert. Gute Ideen, böse Ideen Da sich ein Großteil der Viren über Mails verbreitet, ist es nahe liegend, die elektronische Post zu prüfen, bevor sie auf dem Mailclient respektive auf dem Desktop des Anwenders landet. Dazu dienen Virenscanner auf dem zentralen Mailserver, doch deren Arbeit gestaltet sich immer schwieriger. Früher half es durchaus weiter, den Absender einer infi- Saasser funktioniert zweistufig. zierten Nachricht durch eine automatische Mail auf das Problem hinzuweisen, und die Chance war groß, dass er sich um eine Aktualisierung seiner Antivirenlösung kümmerte (oder erstmalig eine anschaffte). Doch da aktuelle Viren mit einer eigenen SMTP-Engine, quasi einem Mini-Mailprogramm, ausgestattet sind, können sie den Absender fälschen. Sie suchen auf dem Wirtssystem nach Mailadressen, an die sie sich selbstständig versenden, und setzen als Absender eine beliebige andere Mailadresse aus dem Adressbuch. Das macht die Benachrichtigung des Absenders natürlich obsolet, denn er hat mit der Sache meist nichts zu tun. Der einzige Hinweis, den man daraus ableiten kann, ist der, dass auf dem infizierten System diese Mailadresse in irgendeiner Form vorliegt. Solche automatisierten Hinweise kann man also als MailserverBetreiber getrost abschalten. Das schlichte Scannen des Anhangs genügt auch nicht mehr: Um an den eigentlichen Inhalt zu gelangen, muss der Scanner neben den üblichen Kompressionsformaten von Rar bis Zip auch UPX (siehe Kasten) beherrschen, da Anhänge mittlerweile mit diesem unter der GPL entwickelten Algorithmus komprimiert sind. iX extra 3/2005 © Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. ix.0000.x.dummy.EP 10.11.2004 14:29 Uhr ©Seite 1 Hier stand im Heft eine Anzeige. © Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. ix.0305.x.01-04 01.02.2005 15:46 Uhr ©Seite IT-Security Ein weiterer Trick der Virenprogrammierer ist das passwortgeschützte Komprimieren des Anhangs. Hier muss jeder Virenscanner, zumindest beim Entpacken, aufgeben, da das dazugehörige Passwort irgendwo in der Mail stehen kann. Leicht lassen sich so Varianten erzeugen, die sich vom Vorgänger genug unterscheiden, um nicht wiedererkannt zu werden. Solche Nachrichten kann der Mailserver nur entweder ungeprüft oder gar nicht zustellen. Zwar muss der Benutzer selbst aktiv werden und zum Entpacken das Passwort eingeben, ehe der Schädling zuschlagen kann. Aber die Dummen sterben bekanntlich nicht aus, und dann bleibt nur die Hoffnung auf einen Virenscanner mit aktuellen Definitionen auf dem Client. Weihnachtsgruß Wie häufig Benutzer aktiv zur Verseuchung beitragen, zeigt die schnelle Verbreitung von W32.Zafi-D. Dieser Virus hat nach Angaben des AntivirenSpezialisten Sophos im Dezember alle „etablierten“ Viren weit hinter sich gelassen: Mit 36,8 % aller Meldungen kann man von einem durchschlagenden Erfolg sprechen. Grund dafür waren zwei Eigenschaften des Virus: Die Mail kam als Weihnachtsgruß (und damit quasi tagesaktuell) und der Mailtext enthielt zwei Smilies. Das genügte, um viele Anwender glauben zu lassen, es handele sich um einen Weihnachtsscherz. Dagegen hilft nur, ausführbare Anhänge prinzipiell nicht auszuliefern. In iX 11/2004 [1] wurde beschrieben, wie immerhin 99 Prozent aller verseuchten Mails dadurch nicht über das Mail-Gateway hinauskommen. Ein vergleichbares Dilemma taucht übrigens auf, wenn der Anwender, ganz sicherheitsbewusst, E-Mails verschlüsselt. IV VIREN UND WÜRMER DER LETZTEN JAHRE Viren und Würmer, die in den letzten Jahren besonders großen Schaden angerichtet haben: Name Verbreitungsweg erschienen ca. W32.Sasser Netzwerk, Sicherheitslücke (LSASS) April 2004 W32.Netsky Mail, eigene SMTP Engine Februar 2004 W32.Blaster Netzwerk August 2003 W32.Sobig-F Mail, eigene SMTP Engine und Varianten Januar 2003 W32.Klez Mail Oktober 2001 W32.Nimda Sicherheitslücke, Mail, Exploit September 2001 W32.Sircam Mail, Netzwerk Oktober 2001 VBS.Kakworm Mail, Sicherheitslücke in Mailclient März 2000 VBS.Loveletter Mail Mai 2000 Wie zu sehen ist, verbreiten sich „erfolgreiche“ Viren nicht nur über E-Mail. Viele nehmen den kurzen Dienstweg, direkt über das Netz. Dabei machen sie sich Sicherheitslücken im Wirtssystem zu Nutze: Über eine Schwachstelle im RPC-Dienst (Remote Procedure Call) verschaffte sich im August 2003 der berühmt gewordene Blaster Zugang zum System, kopierte sich direkt in den Windows-Systemordner und startete sich anschließend selbst, um über das Netz wiederum andere anfällige Systeme zu suchen. Spätestens seit diesem Datum kann bereits das Verbinden mit dem Internet zum Virusbefall führen. Sind auch die Attachments einbezogen, hat der Virenscanner keine Chance. Aber E-Mail ist nur einer der Wege, einen Rechner zu infizieren. Für Sasser reichte allein die Tatsache, dass ein Rechner mit dem Internet verbunden ist, um ihn zu befallen und sich von dort aus weiter zu verbreiten. Und das geht noch deutlich schneller als über den Umweg E-Mail. Wenn man bedenkt, dass bei Erscheinen des Virus alle Windows-Rechner ungepatcht waren (die Lücke war bis dato ja nicht bekannt) und dass es sehr viele Internetnutzer ohne Firewall gibt, lässt sich ausrechnen, wie schnell die Verbreitung stattfinden konnte. Die Infektion soll 5 Sekunden dauern (was sicher ausreicht), die Suche mit fünf IP- Adressen pro Sekunde stattfinden und hinter jeder 50. Adresse ein ungepatchtes Opfer zu finden sein. Zum Zeitpunkt 0:00:00 Uhr gibt es genau einen befallenen Rechner. Nach 10 Sekunden hat er 50 Adressen abgeklappert und findet sein erstes Opfer. Ab 0:00:15 suchen somit zwei Rechner nach Opfern. Alle 15 Sekunden also verdoppelt sich die Anzahl befallener Rechner. Vernachlässigt man alle bremsenden Effekte, sind nach fünf Minuten über eine Million Rechner infiziert (220). Problem Binnentäter Gegen diese Art Eindringlinge hilft eine gut konfigurierte Firewall – aber nur gegen Angriffe von außen, nicht, wenn in der Firma etwa ein verseuchter Laptop an einer freien Buchse angeschlossen wird. Darum muss dafür Sorge getragen werden, dass alle Clients mit den nötigen Patches zum Schließen der Sicherheitslücken versorgt sind. Hinzu kommen wie erwähnt die Gefahren durch das Surfen im World Wide Web. Seit es so genannte „aktive Inhalte“ (Javascript, ActiveX) gibt, stellen auch Webseiten, die Sicherheitslücken in Browsern ausnützen, eine permanente Bedrohung dar. Schlimmer noch: schon das Betrachten eines Bildes kann zur Verseuchung des PCs führen. Im Spätsommer letzten Jahres wurde bekannt, dass durch einen Fehler in der JPEG-Darstellungsbibliothek auf Windows ein Pufferüberlauf und die Ausführung eingeschleusten Codes provoziert werden kann. Um auf Nummer sicher zu gehen, müssen die Clients ihrerseits ebenfalls mit einen Virenscanner ausgestattet sein. Kein Algorithmus auf dem MailGateway kann gewährleisten, dass nicht doch ein Virus durchschlüpft. Und nicht zu vergessen: Die Wechselmedien, die zugegebenermaßen aus dem Blickwinkel der Virenprogrammierer etwas aus der Mode gekommen sind, sind immer noch potenzielle Virenherde. Otto Gärtner ist Maschinenbauingenieur und arbeitet seit knapp 10 Jahren im Systemsupport. Derzeit ist er bei der Firma P+Z Engineering GmbH beschäftigt. Quellen [1]ˇErwin Hoffmann; Exe und Hopp: Präventive Virenfilterung auf E-Mail-Gateways; iX 11/2004, S.140 [2]ˇhttp://upx.sourceforge.net [3]ˇhttp://www.sophos.de/ virusinfo/topten/index.html [4]ˇhttp://www.coqui.net/ parcho/virus/ iX extra 3/2005 © Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. ix.0305.x.05-08 02.02.2005 7:38 Uhr ©Seite IT-Security —— Um die Ecke gedacht Elaborierte Sicherheitstechniken Mit der Komplexität der Bedrohungen ist die „Intelligenz“ der Gegenmaßnahmen gewachsen. Antiviren-Software ist darum im kommerziellen Umfeld oft Teil einer Komplettlösung, die auch Firewalls und Antispam-Maßnahmen integriert. F ür den Schutz gegen Viren, Würmer und Co. existiert eine Reihe von Produkten, die sich dem Kampf gegen die „bösen Bits“ verschrieben haben. Eine Übersicht ist dem Kasten „Snapshot …“ zu entnehmen. Dennoch laufen die Entwickler von Sicherheitssoftware prinzipbedingt den Dingen immer hinterher, da sie erst dann einen Schutz entwickeln können, wenn die Lücke, der Wurm oder der Virus bekannt ist (siehe dazu auch den Beitrag auf Seite I in iX extra). Die Her- iX extra 3/2005 © Copyright steller von Antiviren-Software benötigen bis zu 48 Stunden, um neue Signaturen in ihre Updates zu integrieren. Das ist im Ernstfall deutlich zu langsam. Einige Anbieter haben darum spezielle Techniken entwickelt, um ihre Kunden frühzeitig vor neuen Viren zu schützen. Lügen und betrügen So zeichnen sich elaboriertere Firewalls durch bewusste Vorspiegelung falscher Tatsachen aus. Wie so etwas funktionieren kann, sei am Beispiel der „Active Response Technology“ des Sicherheitsspezialisten Forescout erklärt, die sich das Unternehmen sogar hat patentieren lassen. Die Software (ActiveScout) arbeitet am Übergangspunkt vom Internet zum Firmennetz, also noch vor der Firewall. Dabei sieht diese Methode einen dreistufigen Prozess vor. Im ersten Schritt werden die manuellen Erkundungsangriffe oder die von Würmern sondiert (Probing-Aktivitäten), seien es solche via HTTP, User-/Passwort-Scans, Port-Scans oder wie auch immer. Im zweiten Schritt sendet die Software dem Angreifer Antworten, die seiner Erwartungshaltung entsprechen, und „merkt“ sich die Eigenschaften des Angriffs. Sollte zum Beispiel eine netzweite Suche nach einem FTP-Service mit einem Adressbereich von 255 IP-Adressen starten, antwortet eine Untermenge dieser IPAdressen, imitiert so ein echtes Netzwerk, simuliert Ziele und täuscht einen FTP-Service vor. Versucht nun, im dritten Schritt, der Angreifer die vorgegaukelten Adressen zu infizieren respektive zu penetrieren, erkennt die Active Response Technology ihn wieder und wehrt die Bedrohung ab. Das soll laut Hersteller sogar funktionieren, wenn die IPAdresse der Angriffsquelle wechselt oder zwischen der ersten Erkundung und dem Einbruchsversuch ein längerer Zeitraum liegt. Annahmeverzögerung Spam-Mails sind nicht nur lästig, sondern können auch der Verbreitung von Viren dienen. Eines der vielen Verfahren dagegen ist Greylisting. Dazu prüft ein zentrales Relay von jeder eingehenden E-Mail drei Informationen: die IP-Adresse des sendenden Mailservers, die Absender- sowie die Empfängeradresse. Taucht diese Kombination zum ersten Mal auf, wird die Mail mit der SMTPFehlermeldung 451 (temporary failure) abgewiesen. „Seriöse“ Mail-Server unternehmen in diesem Fall nach kurzer Zeit einen zweiten Zustellversuch. Jetzt ist dem Relay die Dreierkombination bereits bekannt, es lässt die Post zum Empfänger durch. Spammer setzen V by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. ix.0305.x.05-08 02.02.2005 7:38 Uhr ©Seite IT-Security SNAPSHOT: ANTIVIRENLÖSUNGEN Der folgende Snapshot gibt eine Übersicht, welcher Hersteller welche Software derzeit im Portfolio hat. Die Produkte sind zum Teil für Privatanwender kostenlos. Dieser Snapshot erhebt wie immer keinen Anspruch auf Vollständigkeit, er gibt lediglich eine Übersicht über die Rechercheergebnisse in den letzten Monaten. Aus Gründen der besseren Lesbarkeit wurde sowohl die jeweilige Rechtsform des Herstellers als auch die aktuelle Versionsnummer der Software weggelassen. Hersteller Software Webseite Aladdin Astaro Authentium Borderware Bristol Group brs connect Centralcommand Computer Associates Forescout Frisk Software F-Secure G Data Grisoft Group Technologies H+BEDV Datentechnik Hauri Ikarus Software InSoft EDV-Systeme Kaspersky Labs McAfee Norman Data Defense Systems Panda Software Securepoint Softwin SonicWall Sophos SurfControl Sybari Symantec Trend Micro WebWasher eSafe Anti-Virus Engine Virus Protection Antivirus Software Development Kit Mail Firewall CP Secure Security Gateway AV-Software-Leasing Vexira Antivirus etrust Antivirus Worm Scout und Active Scout F-Prot Antivirus F-Secure Anti-Virus AntiViren-Kit AVG Anti-Virus securiQ.Watchdog AntiVir ViRobot Ikarus virus utilities DrWeb Kaspersky Anti-Virus McAfee Virus Scan Norman Virus Control Panda Titanium Antivirus Content/Virusscanner Bitdefender SonicWALL Complete Anti-Virus Sophos Anti-Virus SurfControl E-Mail Filter Antigen Norton AntiVirus diverse Produkte WebWasher Anti Virus www.aladdin.de www.astaro.de www.command.co.uk www.borderware.de www.bristol.de www.brs-connect.de www.centralcommand.com www.ca.com www.forescout.com www.f-prot.com www.f-secure.de www.gdata.de www.grisoft.de www.group-technologies.com www.free-av.de www.globalhauri.com www.ikarus-software.de www.drweb-online.com www.kaspersky.com/de/ de.mcafee.com/ www.norman.de www.panda-software.de www.securepoint.de www.bitdefender.de www.sonicwall.de www.sophos.de www.surfcontrol.com/de-de/ www.sybari.de www.symantec.com/region/de/ de.trendmicro-europe.com/ www.webwasher.de dagegen auf Masse innerhalb möglichst kurzer Zeit und möchten sich nicht mit wiederholten Zustellungen aufhalten. Sie arbeiten deshalb fast immer nach der Methode „fire and forget“ und scheitern damit am Greylisting. von einigen Minuten. Das Zeitfenster für den erfolgreichen zweiten Versuch bleibt über mehrere Stunden geöffnet. Wird es nicht genutzt, muss sich die E-Mail erneut „anmelden“. Hat ein Triple einmal das Greylisting-Verfahren durchlaufen, bleibt es freigeschaltet und E-Mails mit dieser SenderEmpfänger-Beziehung werden künftig ohne Verzögerung zugestellt. Die Freischaltung gilt für einen Zeitraum von rund einem Nicht nur Software Zur Sicherheit akzeptiert das Relay die zweite Zustellung erst nach einer Mindestwartezeit VI Monat, die Frist erneuert sich mit jeder neuen E-Mail. Zentrale Antivirenlösungen sind aus Performance- und Wartungsgründen oft in dedizierte Geräte, so genannte Appliances, ausgelagert und mit anderen Sicherheitsfunktionen kombiniert. Angeboten werden sie von den unterschiedlichsten Herstellern, von Bristol über Panda bis TrendMicro. Das CP Secure Content Security Gateway (CSG) der Bristol Group etwa sucht auf Paketebene in den Protokollen SMTP, HTTP, POP3, FTP und IMAP4 nach schadhaftem Code. Der Hersteller reklamiert für sein System „Echtzeitfähigkeit“, konkreter: Je nach Modell wird eine sechsstellige Anzahl von Nachrichten je Stunde geprüft. In dem Gerät ist außerdem ein Spamfilter mit Verwaltung für White- und Blacklists, URL-Blocking und Content-Filtering enthalten. Gern wird Microsoft für die aktuelle IT-Sicherheitslage verantwortlich gemacht, da sich die meisten Angriffe auf die Redmonder Betriebssysteme beziehen. Auch wenn der Softwareriese noch einiges tun könnte, dürfte der Grund eher die große Verbreitung von Windows sein. Mittlerweile sind auch Linux, Unix und Mac OS als Opfer entdeckt worden. Relativ früh darauf reagiert hat der deutsche Hersteller H+BEDV, der seine AntivirenProdukte auch für Unix und Linux anbietet. Der Nicht-Virus Eine spezielle Art von Würmern entzieht sich grundsätzlich jeder technischen Gegenmaßnahme: Hoaxes. Dabei handelt es sich um vorgetäuschte Virenwarnungen, die den Empfänger dazu auffordern, eine bestimmte Datei zu löschen, da es sich um einen gefährlichen Virus handele. Dass es in Wahrheit um eine wichtige Systemdatei geht, merkt der gutgläubige Anwender erst, wenn es zu spät ist. Natürlich fehlt die Aufforderung nicht, diese Mail umgehend an Kollegen und Bekannte weiterzuleiten. Das problematische an einem solchen Hoax ist, dass kein Virenscanner hier auch nur den Hauch einer Chance hat, wenn sich Kollegen untereinander diese Mail zusenden. Es sind sowohl der Absender als auch die E-Mail Adresse bekannt, im Text befindet sich iX extra 3/2005 © Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. ix.0305.x.05-08 02.02.2005 7:38 Uhr ©Seite IT-Security Auch Linux im Blick H+BEDV ist einer der wenigen deutschen Anbieter von AntivirenSoftware. iX extra sprach mit dem Geschäftsführer, Tjark Auerbach, über aktuelle Fragen der Virenbekämpfung. iX extra: Seit wann zielt H-BEDV auch auf den Bereich Unix/Linux? Tjark Auerbach: Die H+BEDV Datentechnik GmbH bietet seit über acht Jahren Schutz für Unix- und Linux-Systeme an. Wir sind der einzige Hersteller weltweit, der einen On-Access-Scanner für eine Vielfalt von Unix/Linux-Systemen anbietet. iX extra: Was sind im Linux-/Unix-Umfeld typische Viren, Würmer, Trojaner? T. A.: Derzeit gibt es nur sehr wenige Viren, die diese Systeme direkt angreifen. Im Jahr 1995 wurde der erste Linux-Virus entdeckt, heute, zehn Jahre später sind es über 50. Generell gibt es vier Virentypen, die Linux angreifen: Shell-Skript-, Perl-, Makround ELF-Viren, also ausführbare Binärdateien. Letztere tauchen am häufigsten auf. iX extra: Wo lauern künftig die größten Gefahren? T. A.: Aufgrund der zahlreichen verschiedenen Basispakete und Code-Variationen war es für die Schädlinge bisher schwierig, sich zu verbreiten. Flächendeckende Virenausbrüche konnten daher 2004 nicht festgestellt werden. 92 % der Linux-Anwender haben nach eigenen Angaben noch nie einen Schädling auf ihrem Computer entdeckt. Allerdings gibt es sehr viele RATs (Remote Access Toolkits) und Root-Kits, die die Fernsteuerung der Computer oder die vollständige Übernahme der Systemkontrolle zum Ziel haben. Zudem wurden 2004 Schwachstellen im System entdeckt und von bösartigem Code im Proof-of-Concept-Stadium ausgenutzt und iX extra 3/2005 © Copyright Techniken, die bisher bei Windows-Viren eingesetzt wurden, wurden an Linux-Umgebungen angepasst. Durch vermehrten Einsatz von Linux auch auf Arbeitsplatzrechnern wird es jedoch sicherlich in Zukunft mehr Schadprogramme für Unix/Linux geben. Auch die zunehmende Zahl von unerfahrenen Anwendern, die mit Linux arbeiten, bedeutet eine Gefahr, da deren Bewusstsein für die Gefahren oftmals nicht stark genug ausgeprägt ist. iX extra: Was ist die Motivation, privaten Endanwendern die Software kostenlos zur Verfügung zu stellen T. A.: Die Idee bei der Gründung der H+BEDV Datentechnik GmbH im Jahr 1986 war, Freunden und Bekannten Hilfestellung bei Computerproblemen zu liefern – wobei schon vor über 15 Jahren die Spezialisierung auf Virenschutz stattfand. Dieser Ursprungsgedanke ist nach wie vor Bestandteil der Firmenphilosophie: Nutzern von IT-Systemen soll größtmöglicher Schutz geboten werden. Darum wird die Antivir Personal Edition den Anwendern zu Hause kostenlos zur Verfügung gestellt, sie soll Hilfestellung leisten, die für jeden erschwinglich ist. iX extra: Geht da nicht ein gewaltiger Markt an H+BEDV vorbei? T. A.: Die Antivir Personal Edition sehen wir auch als „zweite Verteidigungslinie“ für Firmenkunden. Oftmals bearbeiten Mitarbeiter zu Hause dienstliche Dokumente. Sind sie dort geschützt, können sie keine Schädlinge in das Firmennetzwerk einschleppen. Somit ist die Personal Edition hier Dienst am zahlenden Kunden. Die Freiversion basiert zwar auf der Technik des kommerziellen Produktes, allerdings mit eingeschränkten Features, und sie muss keinen gewerblich notwendigen High-End-Schutz bieten. Natürlich freuen wir uns über jeden Nutzer der kostenlosen Version, der auf die kommerzielle umsteigt. VII by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. ix.0305.x.05-08 02.02.2005 7:38 Uhr ©Seite IT-Security kein verdächtiger Link, und einen Anhang hat die Mail ebenso wenig. Abgesehen von dem Schaden, den das Löschen der Datei auf dem eigenen Rechner anrichtet, ist die Belastung durch die unnütz weitergeleiteten Nachrichten nicht zu vernachlässigen. Und wenn plötzlich das Telefon des Systemadministrators nicht mehr still steht und er ständig die gleichen Fragen beantworten muss, wäre das ein guter Zeitpunkt, um einen echten Angriff zu starten. wort etc.), damit während der Abwesenheit des Benutzers Unbefugte keine Möglichkeit haben, durch unbedachte oder gewollte Handlungen den Rechner zu gefährden. –ˇIm Microsoft Explorer die Anzeige aller Dateitypen (sprich: Endungen) aktivieren. –ˇDie Makro-Warnfunktion von Anwendungsprogrammen (Word, Excel, Powerpoint etc.) aktivieren und Warnmeldungen beachten. –ˇKeine Applikationsverknüpfung für Anwendungen mit potenziell aktivem Code (MS-Office) im Browser nutzen oder Anwendungen über Internet aktivieren. –ˇSicherheitseinstellungen (ECL) bei Lotus Notes bearbeiten und das Ausführen von „gespeicherten Masken“ per Datenbank unterbinden. –ˇSicherheitseinstellungen von Internet-Browsern auf die höchste Stufe einstellen (De- aktivieren von aktiven Inhalten wie ActiveX, Java, JavaScript und Skript-Sprachen wie Visual Basic Script). Sinnvoll ist ebenfalls, den PC zum Feierabend auszuschalten. Dadurch hat man viele Stunden gewonnen, in denen ein Angriff nicht möglich ist. Beherzigt man diese Ratschläge, wird es für Viren, Würmer und Trojaner schon erheblich schwerer, sich auf dem PC zu verbreiten. Cornelia Versteegen In iX extra 4/2005: Storage – Information Lifecycle Management Bildungsprobleme Den in der Regel schlecht ausgebildeten Endanwendern sollten Administratoren und Firmenleitung ans Herz legen, dass Misstrauen und Skepsis immer angebracht sind, wenn sie zu Handlungen aufgefordert werden, die sie sonst nicht durchführen würden, etwa Dateien löschen oder E-Mails versenden. Ein Virenscanner ist unverzichtbar, zusätzlich empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI, www.bsi.de) folgende Maßnahmen: –ˇAlle vorhandenen Sicherheitsfunktionen des Rechners aktivieren (Passwort-Schutz, Bildschirmschoner mit Pass- VIII Information Lifecycle Management (ILM) gilt im Storage-Umfeld als State of the Art der Speichertechnik. Doch was steckt hinter diesem Begriff? iX extra untersucht, wie ILM derzeit auf dem Markt von den unterschiedlichen Anbietern umgesetzt wird. So sind ILM und ECM (Enterprise Content Management) zwei von einander unabhängige Verfahren, die beginnen zusammenzuwachsen. Schließlich erfordert ein durchgängiges ILM-Konzept zum Teil erhebliche Änderungen innerhalb der Unternehmensprozesse, was sich wiederum im ECM-Konzept niederschlägt. Welche Anforderungen sind in diesem Zusammenhang an ILM-Projekte zu stellen? Ein weiteres Thema ist ILM und Speicherbewältigung – sind hier künftig nur noch GRID-Technologien, wie sie derzeit zum Beispiel von IBM und HP angeboten werden, in der Lage, den anfallenden Datenmengen Herr zu werden? Mit welchem Datenaufkommen ist hier künftig zu rechnen? Erscheinungstermin: 3. März 2005 DIE WEITEREN IX EXTRAS: Ausgabe Thema 5/05 Netzwerkhardware: Fernwartung – von KVM bis Big Brother Erscheinungstermin 7. 4. 05 6/05 Mobility: GPRS, UMTS, WLAN 12. 5. 05 7/05 Security: Virtual Private Networks 16. 6. 05 iX extra 3/2005 © Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.