Archiv für den Tag: 14/10/2009

Mythen und Missverständnisse rund um webbasierte Sicherheit

Hinterlassen Sie eine Antwort

Original Artikel von Wei Yan (Senior Threat Researcher, Trend Micro)

Auf der aktuellen Virus Bulletin 2009 Konferenz stellten Andreas Marx und Maik Morgenstern ihren Artikel „Why in-the-cloud scanning is not a solution“ (Warum die webbasierte Virensuche keine Lösung ist) vor, in dem sie die Mängel der webbasierten Sicherheit erläutern. Im Laufe des letzten Jahres gab es bereits diverse Diskussionen zu diesem Thema, und Marx und Morgenstern haben die Probleme gut dargestellt. Trotzdem möchte ich Ihnen auch meine Gedanken zu einigen der von Marx und Morgenstern genannten Probleme vorstellen:

Problem 1: Die Implementierungen sind von Natur aus reaktiv – trotz verbesserter Reaktionszeiten bei neuen Bedrohungen.

Realität: Durch Ersetzen der Hash-Signaturen durch intelligente statische Signaturen kann sowohl die Code-Verschleierung bekämpft als auch polymorphe Malware entdeckt werden. Außerdem werden weit weniger Ressourcen verbraucht als bei der emulationsbasierten Verhaltensanalyse. Das intelligente Pattern-Projekt von Trend Micro – ein System zur automatischen Pattern-Erzeugung – beweist, dass ein intelligentes, statisches Pattern hunderte von Malware-Typen ähnlicher Familien proaktiv erkennen kann, und zwar innerhalb von Millisekunden und ohne Fehlalarme bei über 20 Millionen gutartiger Exemplare.

Problem 2: Während die Erkennungsraten maximiert werden (was in den Testergebnissen immer gut aussieht), erhöht sich das Risiko von Fehlalarmen.

Realität: Vor einigen Jahren entwickelte sich das Security Information Management (SIM) als ein Lösungsansatz im Kampf gegen das übermäßige Log-Aufkommen von Intrusion Detection Systems (IDS). SIM umfasst eine Reihe von Sensoren, die sicherstellen, dass IDS-Ereignisse gesammelt, analysiert und angegangen werden – und zwar in der kürzest möglichen Zeit. Durch das Zentralisieren dieser Daten können Ereignisse von verteilten IDS-Sensoren abgeglichen und kategorisiert werden. Der Vorteil dieses Abgleichs ist der enorme Rückgang von Fehlalarmen.

Das Trend Micro™ Smart Protection Network™ arbeitet ähnlich wie das reputationsbasierte SIM-System: Datenzentren sammeln URLs, E-Mails, Skripte und Dateien aus heterogenen Datenkollektoren. Während des Korrelationsprozesses wertet das Smart Protection Network die Beziehung von Sicherheitsereignissen aus, um deren Bedrohungspotenzial zu bestimmen. Dabei werden Fehlalarme auf ein Mindestmaß reduziert.

Problem 3: Die Ergebnisse der webbasierten Virensuche können auf einer Vielzahl von Daten zu gutartigen und bösartigen Dateien beruhen; diese Daten aber bringen eine zusätzliche Leistungsbeeinträchtigung auf Seiten des Kunden, des Netzwerks und des Servers mit sich.

Realität: Um eine ausgewogene Arbeitslast zwischen Desktop und Internet zu gewährleisten, benötigt der Agent eine leichte und intelligente Signaturdatenbank, die kleiner als herkömmliche Signaturdatenbanken ist. Wenn eine verdächtige Datei nicht bestimmt werden kann, sendet der Agent die Datei oder deren „Fingerabdruck“ zu weiteren Verifizierungsmaßnahmen an den lokalen Server. Dadurch wird Bandbreite eingespart, da nicht übermäßig viele Pakete in das Internet verschickt werden. Durch Einbetten des Emulators in den Desktop und lokalen Server kann der Agent die verborgenen Schadteile von verschleierten Programmen untersuchen. Auch hier wird Bandbreite eingespart, da der Hash-Wert der ausgegebenen Daten – und nicht die Datei selbst – in das Internet versendet wird.

Problem 4: Aufgrund der Zeit, die zur Beantwortung einer Anfrage notwendig ist, werden nur die ausgeführten On-Demand Scanner und Dateien überprüft, und nicht alle Dateien, auf die zugegriffen wurde (wie es ein herkömmliches zugriffsgesteuertes Sicherheitssystem tun würde).

Realität: „Webbasiert“ bedeutet nicht, dass alle Hash-Werte in das Internet verschoben werden. Normalerweise kann „webbasiert“ in drei Bereiche unterteilt werden: in einen leichten, webbasierten Agenten, einen lokalen Server und ein Datenzentrum. Wie bereits erwähnt, umfasst der webbasierte Agent eine leichte und intelligente Signaturdatenbank. Jedes Pattern in dieser Datenbank kann polymorphe Malware erkennen, die zur selben Familie gehört. Außerdem kann der Emulator in den Desktop-Agent oder lokalen Server eingebettet werden. Mithilfe von Verhaltens-Pattern werden die vom Emulator ausgegebenen Verhaltensdaten untersucht. Der lokale Suchserver enthält immer die aktuellen lokalen Pattern-Dateien aus dem Datenzentrum. Daher kann die webbasierte Virensuche nach wie vor zugriffsbasierte Suchmodule unterstützen.

Auch die Cleversten machen mal Fehler

Hinterlassen Sie eine Antwort

Original Artikel von Robert McArdle (Advanced Threats Researcher, Trend Micro)

Würden Sie gerne etwas über den streng geheimen internen Strategieplan zu den neuen Trend Micro Projekten erfahren? Oder über unsere Gewinnaussichten für das nächste Quartal?

Tja, tut mir leid, aber das kann ich Ihnen wirklich nicht verraten – wir wären ja verrückt, wenn wir derartige Informationen öffentlich machen würden …

Andererseits: falls Sie etwas über die neuen Windows 8 und Windows 9 Betriebssysteme (allem Anschein nach 128-Bit-Systeme) von Microsoft erfahren möchten, dann wechseln Sie einfach mal zur Social Networking Website LinkedIn:

Dort informiert PC Pro in einem Kurzbericht darüber, wie ein führender Microsoft Angestellter in seinem LinkedIn Profil seine beruflichen Tätigkeiten beschreibt:

Tätig in der Hochsicherheitsabteilung für Forschung und Entwicklung, darunter strategische Planung von mittel- und langfristigen Projekten. Forschungs- und Entwicklungsprojekte umfassen Kompatibilität der 128-Bit-Architektur mit dem Windows 8 Kernel und Windows 9 Projektplan. Aufbau von Geschäftsbeziehungen mit wichtigen Industriepartnern: Intel, AMD, HP und IBM.

Autsch.

Ein weiteres Beispiel dafür, wie äußerst vertrauliche Unternehmensdaten versehentlich auf einer Social-Networking-Website veröffentlicht werden – und das kommt gar nicht mal so selten vor. Social-Networking-Sites sind auch für Hacker, die ein bestimmtes Unternehmen im Visier haben und ausspionieren möchten, eine Informationsquelle von unschätzbarem Wert: egal, ob es um einen IT-Administrator geht, der bei LinkedIn als Tätigkeitsbeschreibung die Verwaltung von Check Point Firewalls angibt, oder einen Mitarbeiter, der herausposaunt, dass er gemeinsam mit Kollegen auf dem Weg zu einem Fusionsgespräch mit Unternehmen X ist – oftmals sind sich Mitarbeiter gar nicht dessen bewusst, dass sie vertrauliche Informationen enthüllen.

Verstehen Sie mich nicht falsch – ich mag Social Networking. Ich habe selbst auch ein LinkedIn Profil, aber ich veröffentliche dort keine Daten, die nicht eh schon weithin bekannt sind.

Wenn Sie sich Sorgen machen, dass solche Datenlecks auch in Ihrem Unternehmen auftreten können, empfehle ich Ihnen einen Artikel meines Kollegen David Sancho: “A Security Guide to Social Networks“.

Und vielleicht möchte ja auch Microsoft eine Kopie des Dokuments an seine Angestellten verteilen …

Abenteuer Internet – Vorsicht vor DDoS-Angriffen

Hinterlassen Sie eine Antwort

Original Artikel von Todd Thiemann (Senior Director, Data Protection, Trend Micro)

Benutzer von Amazon EC2 sind kürzlich einem gezielten DDoS-Angriff (Distributed Denial of Service) zum Opfer gefallen, der beim webbasierten Code-Hosting-Service Bitbucket für Fassungslosigkeit sorgte (Nachricht mit freundlicher Genehmigung meiner Lieblings-IT-Zeitschrift The Register). Eine der Schattenseiten des Lebens ist, dass es bei massiven DDoS-Angriffen, wie Bitbucket ihn erlebte, nur eine Schutzmaßnahme gibt, wenn die eingehenden Netzwerkkanäle erst einmal überfüllt sind: das Abschotten des DDoS.

Trend Micro hat mit DDoS-Angriffen gleich an zwei Fronten zu kämpfen: im Antiviren-Geschäft und im Hosted-Security-Geschäft (schamlose Verkaufswerbung von meiner Seite: schauen Sie sich InterScan Messaging Hosted Security an, um mehr über unsere Angebote rund um gehostete/SaaS-Mail-Sicherheit zu erfahren). Ich habe einige unserer CTOs und Sicherheitsarchitekten nach ihrer Sicht der Dinge zur Bitbucket-Geschichte gefragt und dabei viel über das schwerwiegende Problem, das DDos-Angriffe darstellen, gelernt.

Anbieter und SaaS-/IaaS (Infrastructure as a Service)-Provider können zwar die Presse täuschen, um sich vor negativen Schlagzeilen zu schützen, vom technologischen Standpunkt aus aber gibt es kein Entkommen, wenn eingehende Netzwerkkanäle erst einmal aufgrund eines DDoS-Angriffs überfüllt ist. Es gibt zwar keine Architektur, die vor DDoS-Angriffen schützt, aber Sie können eine Netzwerkarchitektur implementieren, die diese Angriffe zumindest abschwächt. Mit der Haltung “Einmal konfigurieren und fertig” kommen Sie hier allerdings nicht weit – Sie müssen eine gute Zusammenarbeit mit vorgelagerten Providern entwickeln und Informationen in Echtzeit austauschen, um Angriffe zu mildern.

Die wenigsten netzwerkbasierten Maßnahmen können Sie vor DDoS-Angriffen schützen, da sie weder den zunehmenden Verkehr aufhalten noch zwischen guten und bösen Inhalten unterscheiden können. Intrusion-Prevention-Systeme (IPS) sind wirksam, wenn die Angriffe bereits identifiziert wurden und bekannte Signaturen aufweisen. Geht es allerdings um rechtmäßige Inhalte mit bösartigen Absichten, sind auch diese Systeme unwirksam. Ähnlich ist es um Firewalls bestellt: Sie verwenden üblicherweise einfache Regeln, die Protokolle, Ports oder IP-Adressen zulassen oder verweigern. Für DDoS-Angriffe ist es ein Kinderspiel, Firewalls und IPS-Geräte zu umgehen, da sie so konzipiert sind, dass sie rechtmäßigen Verkehr wie HTTP-Anfragen an einen Webserver versenden. Angriffe generieren so viel Verkehr von so vielen unterschiedlichen Hosts, dass ein Server – bzw. meistens dessen Internet-Verbindung – den Verkehr nicht bewältigen kann.

Ich vermute zwar, dass diese Art von Angriffen recht selten bleiben wird, da die meisten Angriffe heutzutage auf unrechtmäßige Gewinne abzielen und DDoS-Angriffe im Allgemeinen “Ruhm” oder “Rache” zum Motiv haben; dennoch bleiben sie ein Grund zur Sorge für Kunden, IaaS-Anbieter und ISPs. Egal, welcher böse Hacker die bei diesem DDoS-Angriff benutzten Rechner infiziert hat – er hat sie natürlich auch identifiziert. Für ISPs hat das die unangenehme Aufgabe zur Folge, ihre Kunden über den Angriff zu informieren oder die betroffenen Rechner abzuschalten. Tausende von Kunden sind weder schnell noch einfach zu benachrichtigen.

All das ist irrelevant, wenn Sie eine nicht systemkritische Anwendung im Internet verteilen. Lehnen Sie sich entspannt bei einer Tasse Kaffee zurück, bis der DDoS-Angriff vorüber und Ihre Anwendung wieder zugänglich ist.

Anders verhält es sich jedoch, wenn Sie eine systemkritische Anwendung im Internet bereitstellen: Sie müssen die Anwendung so konzipieren, dass sie bereits ab dem 1. Tag des Angriffs ausfallsicher ist. Im Klartext: Sie müssen die Anwendung auf mehrere IaaS-Anbieter verteilen und die Daten zwischen diesen Anbietern replizieren. Und das bedeutet außerdem, dass Sie die Latenzzeiten zwischen den unterschiedlichen IaaS-Anbietern in den Griff bekommen müssen. Internet-Computing und SaaS/IaaS sind ohne Frage großartig, aber Unternehmens- und Anwendungsarchitekten müssen die Sicherheit sorgfältig überdenken, ehe sie sich in das Abenteuer Internet stürzen.