Kategorie-Archiv: Tests

Überblick über die Sicherheit in Windows 8

Hinterlassen Sie eine Antwort

Originalartikel von Rik Ferguson, Director Security Research & Communications EMEA

Microsoft hat in Windows 8 wichtige Schritte hin zu mehr Sicherheit unternommen und die Schlüsselbereiche Datensicherheit, Anti-Malware und Benutzerauthentifizierung ergänzt.

Das Betriebssystem unterstützt nun nativ Trusted Platform Module (TPM) und Self-Encrypting Drives (SED), das aber wird der Beliebtheit bei Anwendern und Herstellern sicherlich förderlich sein. Mit TPM steht ein wichtiges hardware-basiertes Mittel bereit, um einen gewissen Grad an Sicherheit für die Systemintegrität zu gewährleisten und die Verschlüsselungs-Keys außerhalb des Betriebssystems sicher zu managen. SEDs lagern einen guten Teil der Ver- und Entschlüsselung von Daten auf die Hardware aus, wo sie effektiver und schneller ausgeführt werden kann.

Das neue Unified Extensible Firmware Interface (UEFI) bewirkt zusammen mit dem TPM, dass beim Hochfahren eines PCs die Firmware und Betriebssystem-Prozedur nur autorisierten Code mit einer gültigen Signatur ausführt. Der Zweck dieser Vorgehensweise liegt darin zu verhindern, dass Schadsoftware hochgeladen wird und dabei das Betriebssystem umgeht oder gar wichtige Sicherheitsfunktionalität außer Kraft setzt und sich danach versteckt (Bootkits, Rootkits). Zusätzlich stellt Early Launch Anti-Malware (ELAM) sicher, dass als erster Software-Treiber der des Sicherheitsanbieters der Wahl geladen wird, ein weiteres Mittel, das Umgehen des Anti-Malware-Schutzes zu verhindern.

Die SmartScreen-Technik, aus dem Internet Explorer bekannt, ist auf das gesamte Betriebssystem erweitert worden. Das bedeutet, dass auch beim Zugriff auf Internet-Ressourcen über andere Mittel als den Browser ein gewisser Grad an Filterung vorhanden ist. Es bleibt zu hoffen, dass dies weniger „geräuschvoll“ ist, als es User Access Control (UAC) war.

Bei den ergänzenden Funktionen für die Nutzerauthentifizierung hatte Microsoft offenbar die zu erwartenden Touchscreen-Geräte im Hinterkopf. Bild- oder PIN-basierte Anmeldung lässt sich als Abkürzung verwenden, sobald ein Benutzerkennwort gesetzt ist. Diese Art der Anmeldung ist sehr bequem, doch zeigten Betatests, dass ein Angreifer mit lokalen Admin-Rechten auf die Kennwörter zugreifen und sie entschlüsseln kann.

Es gibt noch weitere Funktionen wie Dynamic Access Control, die die Unternehmenssicherheit in Windows 8 steigern. Es ist erfreulich zu sehen, dass Microsoft die Sicherheit auch weiterhin sehr ernst nimmt und den Security-Spezialisten die Möglichkeit gibt, ihre Sicherheitslösungen tiefer in das Betriebssystem zu integrieren.

Windows 8 ist „Out-of-the-Box“ sicherer als alle Vorgänger, dennoch sollten Anwender nicht vergessen, dass integrierte Anti-Malware-Funktionalität nur die Basissicherheit liefert!

Aktueller Test von Sicherheitsprodukten: Gegenargumente von Stiftung Warentest lassen viele Fragen offen

1 Antwort

Von Raimund Genes, Chief Technology Officer bei Trend Micro

 

Als Antwort auf den Offenen Brief von acht IT-Sicherheitsherstellern sowie AV-Test hat Stiftung Warentest nun auf test.de eine Entgegnung veröffentlicht. Statt wie in dem von Trend Micro initiierten Schreiben angeregt, vermeidet Stiftung Warentest – zumindest im Augenblick – eine offene und direkte Diskussion mit allen Sicherheitsherstellern und -Experten und reagiert nicht nur auf unsere Kritikpunkte, sondern auch auf zahlreiche kritische Kommentare der Leser.

Dennoch bleiben trotz der ausführlichen Entgegnung, die wir prinzipiell begrüßen, zahlreiche Fragen offen:

  1. Es liegt immer noch keine hinreichende Begründung vor, warum die Stichprobengröße von 1.800 verwendeten Beispielen von Schadsoftware repräsentativ sein soll.
  2. Stiftung Warentest spricht in diesem Zusammenhang von relevanter Schadsoftware. Allerdings wird nicht klar, welche Kriterien diese Relevanz begründen.
  3. Stiftung Warentest hat den Herstellern gegenüber, deren Produkte getestet wurden, keine Informationen geliefert, welche Schadsoftware genau dem Test zugrunde gelegt wurde. Ferner wurde den Herstellern kein Testprotokoll zugesandt.
  4. Zwar ist es richtig, dass den Herstellern eine Beschreibung zum geplanten Testverfahren im Vorfeld zugestellt wurde. Allerdings besteht in dem zwölfseitigen Dokument der Abschnitt zum Thema „Antimalware“ gerade mal aus zwei Unterpunkten mit insgesamt fünf Sätzen, die rund 100 Wörter enthalten. Dies kann aus unserer Sicht nicht als Beleg für die von Stiftung Warentest immer wieder betonte Transparenz gegenüber den Herstellern gewertet werden. Außerdem deckt sich das verwendete Vokabular nicht exakt mit den allgemein unter Sicherheitsexperten anerkannten Begrifflichkeiten. Ob dies auf mangelnde Genauigkeit oder Wissenslücken zurückzuführen ist, muss hier dahingestellt bleiben. Wir zitieren im Übrigen diese Begrifflichkeiten nur deshalb nicht, weil das Schreiben der Vertraulichkeit unterliegt.
  5. In der Gegendarstellung von Stiftung Warentest heißt es: „Insgesamt 1.800 aktuelle Schädlinge mussten die Antivirenprogramme im Test finden und löschen.“ Auf ZDNet finden sich hingegen Aussagen eines Vertreters von Stiftung Warentest, in denen davon die Rede ist, dass die meisten Schädlinge zwei bis drei Monate, teilweise sogar bis zu sechs Monate alt seien. Je älter aber Schädlinge sind, desto geringer ist die Infektionsgefahr und desto weniger aussagekräftig sind darauf bezogene Erkennungsraten.
  6. Es wird außerdem nicht klar, wie die Gewichtung der verschiedenen Testkategorien zustande kommt. Wenn also Trend Micro in zwei Kategorien die Note „Gut“ und nur in der Kategorie Signatur-basierendes Scannen im Offline-Modus ein „Ausreichend“ erhält, stellt sich die Frage, wie es dann zu einer Gesamtnote „Ausreichend“ kommt. Es drängt sich der Eindruck auf, dass der Test im Online-Modus dann eher als Feigenblatt dient, weil dessen Ergebnis die Gesamtwertung gar nicht beeinflussen kann.
  7. Das mehr angedeutete als beschriebene Testverfahren legt zudem den Schluss nahe, dass Hersteller mit Schutzmechanismen in der Cloud systematisch benachteiligt werden. Denn hier werden die Pattern-Dateien zu einem bestimmten Zeitpunkt eingefroren und dann in diesem Zustand dem Test zugrunde gelegt, während die Signaturaktualisierungen in der Cloud unberücksichtigt bleiben. Diese Aktualisierungen sind aber entscheidend, wenn es darum geht, Schädlinge schon auf dem Infektionsweg, nämlich dem Internet, zu entdecken und abzuwehren.
  8. Die unterproportionale Berücksichtigung des Internet als Infektionsweg wird unter anderem damit begründet, dass man nicht unterstellen könne, die Anwender seien primär oder fast ununterbrochen online. Doch auch wenn man – sicherlich nicht zu Unrecht – davon ausgeht, dass die Anwender sowohl online als auch offline ihre Rechner nutzen, wird das Signatur-basierende Scannen überbewertet. Ein Beispiel mag dies verdeutlichen: Ein Anwender geht selten online, die letzte Aktualisierung der Signaturdatei fand vor zwei Wochen statt. Um E-Mails abzurufen, geht der Anwender nun online. Eine der empfangenen E-Mails enthält einen Link, der zu einer verseuchten Website führt, und lädt von dort ohne sein Wissen einen Schädling herunter, der sofort installiert wird. Auch wenn ein Sicherheitsprodukt bei bestehender Internetverbindung unverzüglich die Aktualisierung startet, was meistens nur bei den kostenpflichtigen der Fall ist, dauert es eine Weile, bis der aktualisierte Schutz aktiviert wird. Die Infektionsgefahr ist deshalb bei Produkten ohne Cloud-Mechanismen in diesem Fall sehr hoch. Ein Produkt hingegen, das auf aktuelle Cloud-Datenbanken setzt, erkennt auch ohne lokale Aktualisierung die bösartige E-Mail, so dass entweder diese sofort geblockt oder das Herunterladen des Schädlings verhindert wird. Mit anderen Worten: Das von der Stiftung Warentest ins Feld geführte Offline-Szenario einer Infektion über USB-Stick ist nicht das einzige, das es zu berücksichtigen gilt, und reicht deshalb als Argument gegen eine stärkere Gewichtung von Cloud-Mechanismen in der Bewertung nicht aus.
  9. Dies führt zu einer weiteren Frage: Hat Stiftung Warentest die verschiedenen Schutzschichten einer modernen Sicherheitslösung im Zusammenspiel getestet oder doch eher isoliert voneinander betrachtet? Nur wenn Ersteres der Fall ist, lassen sich fundierte Aussagen über die Schutzwirkung eines Produktes treffen, auch wenn eine solche Teststellung sehr zeit- und kostenaufwändig ist. Auch hier würden wir uns mehr Informationen wünschen.
  10. Schließlich ist der Verzicht auf die Messung von Fehlalarmen nicht nachvollziehbar. Denn diese sind aus Sicht der Anwender sehr lästig. Umso mehr verwundert die Begründung für den Verzicht, man habe in dieser Hinsicht bei Tests in den vergangenen Jahren kaum Unterschiede zwischen den Sicherheitsprodukten festgestellt. Gegen diese Begründung sprechen zwei Argumente. Zum einen ist es unzulässig, von der Vergangenheit auf die Zukunft zu schließen, weil damit implizit unterstellt wird, in diesem Bereich finde keine Weiterentwicklung statt. Zum anderen aber betont Stiftung Warentest, dass man sich im Test vor allem daran orientiert hat, wie typische Anwender Sicherheitsprodukte installieren und nutzen. Will man diesen Grundsatz wirklich ernst nehmen, dann ließe man Fehlalarme bei der Bewertung nicht außer Acht. Denn wie gesagt, diese sind aus Sicht der Anwender sehr lästig.

Die zahlreichen Reaktionen auf test.de und heise.de zeigen aus unserer Sicht, dass die Stiftung Warentest gegenüber ihren Leserinnen und Lesern, aber auch gegenüber den betroffenen Herstellern weiter in der Pflicht steht, Aufklärung zu leisten. Mit den bisher gegebenen Antworten genügt Stiftung Warentest wohl noch nicht den eigenen Ansprüchen in Sachen Transparenz. Daher erneuern wir unsere Bitte aus dem Offenen Brief, doch mit uns in einen direkten Dialog zu treten. Hilfreich für alle Seiten wäre es, wenn uns und den anderen getesteten Herstellern die Prüfprotokolle zugestellt würden.

Wie erkennt man gefälschte Antivirus-Programme

1 Antwort

Originalartikel von Roland Dela Paz (Threat Response Engineer bei Trend Micro)

Gefälschte Antivirus-Tools, auch FAKEAV genannt, sind zu einer erheblichen Gefahr geworden und immer mehr Nutzer fallen dieser profitablen Betrügerei zum Opfer. Zwar arbeiten die Sicherheitsanbieter hart daran, Anwender vor dieser Gefahr zu schützen, doch gehört das Wissen über diesen Betrug ebenso zu einem effektiven Schutz wie die technischen Lösungen. Nachfolgend ein paar Tipps, wie man ein gefälschtes Antivirusprogramm oder ähnliche Internet-Betrugsversuche erkennen kann.

Ein Antivirusprogramm, das sich selbst installiert und dann den PC „scannt“, ohne der Zustimmung des Nutzers, ist höchstwahrscheinlich ein Betrug.

Wenn die Kriminellen Suchmaschinen infizieren, sodass bestimmte Ergebnisse auf gefälschte Antivirusseiten zeigen, so sehen die Nutzer Warnungen, wie die folgende:

Klickt der Nutzer auf OK, so erlaubt er der Malware, sich selbst auf dem PC zu installieren und das System sofort zu scannen. Echte Antivirusanwendungen arbeiten nie auf diese Weise. Nutzer haben immer die Kontrolle über die Anwendung, und die Software fragt vor der Installation und dem Scannen explizit um Erlaubnis. Gibt es also ein Antivirusprogramm auf dem eigenen PC, das man nicht selbst installiert hat, so ist die Wahrscheinlichkeit hoch, dass es sich um Betrug handelt.

Antivirus-Software versucht, den Nutzer nicht zu stören.

Früher waren diese Anwendungen störend, vor allem wenn sie verdächtige Dateien gefunden hatten. Heutzutage jedoch haben die Sicherheitsanbieter die Benutzerschnittstellen ihrer Programme so verbessert, dass sie den Nutzer nicht tangieren. FAKEAV-Anwendungen aber nutzen absichtlich laute und störende Alerts, um Panik unter den Nutzern zu verbreiten.

Wird der Nutzer ständig daran erinnert, ein Produkt zu aktivieren, so ist es eine Fälschung.

Neue gefälschte Antivirus-Varianten haben sehr professionell wirkende Schnittstellen, doch sollten Nutzer gewarnt sein, wenn alles Nützliche einer Software-Aktivierung erfordert. Der Grund dafür liegt darin, dass das Hauptziel der Profit ist, und die beste Art an das Geld zu kommen, ist über Nutzer-Aktivierung. Die folgende Illustration zeigt ein Beispiel einer Aktivierungsseite für eine gefälschte Antivirus-Anwendung:

Damit im Zusammenhang steht eine weitere Möglichkeit, eine echte von einer falschen Antivirus-Anwendung zu unterscheiden: Echte Programme bieten an, jede Gefahr, die sie finden, sofort zu beseitigen, und wollen nicht erst Geld dafür haben. Beispielsweise funktionieren die Testangebote für Trend Micros Titanium 30 Tage ganz normal. FAKEAV-Anwendungen hingegen verlangen erst die Bezahlung für imaginäre Probleme, die sie angeblich gefunden haben.

Die Suchmaschine ist ein Freund.

Es gibt einen Internet-Spruch, der besagt, „alles ist nur einen Google-Suchlauf entfernt“. Scheint etwas verdächtig, so ist es dies wahrscheinlich auch, und der Nutzer sollte online Informationen dazu einholen, etwa den Produktnamen und die dazu gehörige Seite des Anbieters.

Die Produkte von Trend Micro sind alle in der Lage, gefälschte Antivirus-Software zu erkennen und zu entfernen. Auch für die Nutzer, die nicht Trend Micro-Kunden sind, gibt es kostenlose Tools, die FAKEAV-Infektionen beseitigen. Das Fake Antivirus Removal Tool ist kostenlos und wurde auf die Beseitigung der Gefahr im Zusammenhang mit FAKEAV zugeschnitten. Es scannt auf verdächtige Prozesse, Dateien, Ordner und Registry-Einträge, um gefälschte Antivirus-Software von Grund auf zu entfernen.

Zero-Day-Lücke in Firefox führt zur Infizierung der Friedensnobelpreis-Site

1 Antwort

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Die offizielle Website des Friedensnobelpreises ist infiziert worden. Das ist an sich schon schlimm genug, doch kommt hinzu, dass die Kriminellen für ihren Angriff eine Zero-Day-Schwachstelle im Mozilla Firefox-Browser ausgenützt haben. Mozilla bestätigte auf dem eigenen Blog die Sicherheitslücke  und versprach einen Patch dafür, sobald dieser ausgetestet ist. Besagte Lücke ermöglicht einen so genannten „Drive-by Download“, wobei eine bösartige Datei herunter geladen und ausgeführt wird, ohne dass der Nutzer dies mitbekommt.

Die Nobel-Site wurde mit einem bösartigen PHP-Skript kompromittiert, das die Threat Researcher als JS_NINDYA.A identifiziert haben. Aus irgendeinem Grund schränkte der Kriminelle den Wirkungsgrad des Angriffs ein. Mithilfe von Browser-Headern prüft der Exploit sowohl die Version von Firefox als auch die des genutzten Betriebssystems. Mozilla zufolge betrifft die Sicherheitslücke die Versionen Firefox 3.5 und 3.6, doch zielte der Angriff lediglich auf die neueren Version 3.6. Außerdem sind Systeme mit einer neueren Windows-Version (wie Vista, Windows 7, Server 2008 und Server 2008 R2) nicht betroffen.
Der Exploit lädt einen Backdoor (BKDR_NINDYA.A) auf das System des Nutzers, der Verbindung zu einem Command & Control-Server aufnimmt. Zu den von dort erhaltenen Befehlen gehört das Herunterfahren des Opfersystems aber auch das Löschen aller Dateien auf dem System.
Trend Micro hat sowohl das Skript als auch die Payload entdeckt, die diese Attacken nutzen, und die damit verbundenen URLs blockiert. Auch gilt die neueste Firefox-Version 4 Berta als sicher. Mozilla empfiehlt zudem, als Schutz die Noscript-Erweiterung zu nutzen, bis ein Patch verfügbar ist.

AV-Tests: Ein Schritt in die richtige Richtung

Hinterlassen Sie eine Antwort

Originalartikel von Raimund Genes (Chief Technology Officer bei Trend Micro)

Kürzlich fand in Tokio die jährliche Konferenz Direction 2010 statt, bei der Trend Micro Partner und Kunden zum Meinungsaustausch trifft. Im Rahmen einer Panel-Diskussion debattierten Vertreter von AV-Comparatives, AV-Test und NSS Labs über den Bedarf an neuen Metriken und Methodologien beim Testen von Sicherheitsprodukten gegen reale Bedrohungen. Alle Teilnehmer waren sich darüber einig, dass neue Tests erforderlich sind, die die Angriffe auf die echten Kundenumgebungen besser widerspiegeln.

Es bedarf einer Reform der Methodologien von Testverfahren für Sicherheitsprodukte, um die heutigen Bedrohungen besser in den Griff zu bekommen

Live-Angriffsszenarien, gegen die die geplante Implementierung von Sicherheitslösungen geprüft wird, liefern die beste Darstellung der Effizienz der Arbeitsweise eines Produkts. Die Tester sollten auch in der Lage sein herauszustellen, wie die schädlichen Auswirkungen von Malware vor der Ausführung an unterschiedlichen Punkten blockiert werden können. Beispielsweise können verschiedene Lösungen folgendes leisten:

  1. Sie blockieren Malware bei deren Auftauchen am Endpunkt (z.B. Web Filtering; Web Reputation Services)
  2. Sie hindern bösartige Dateien an der Ausführung am Endpunkt (z.B. signaturbasiertes Scannen der Dateien)
  3. Sie hindern Malware an der Ausführung schädlicher Aktionen (z.B. Verhaltensmonitoring) und
  4. schützen Schwachstellen vor Exploits (z.B. Deaktivieren des Zugangs zu bekannten Schwachstellen, bis diese geschlossen sind).

Die längste Zeit über hat das traditionelle Testen lediglich das Aufspüren gemessen (siehe Punkt 2). Dieser Ansatz ist zu simpel, bestraft innovative Lösungsanbieter und missachtet den Wert des Blockierens einer Bedrohung in einem frühen Stadium der Ausführung. Zudem muss noch ein weiterer Aspekt beachtet werden: die Geschwindigkeit, in der neue Bedrohungen behandelt werden (schließlich gibt es alle 1,5 Sekunden eine neue Bedrohung).

Die Kunden profitieren von diesen neuen Tests, indem sie tatsächlich beurteilen können, welches Produkt sie am besten gegen die wahren Bedrohungen schützt. Sie müssen sich nicht länger die künstlichen „Shootouts“ gegen eine Million alter Schädlingsmuster ansehen, die über einen manuellen Scan geprüft werden. Die neuen Tests zeigen nicht nur, wie effektiv ein Produkt webbasierte Bedrohungen blockiert, sondern auch wie schnell der Sicherheitshersteller den Schutz gegen eine neue Bedrohung zur Verfügung stellt – Time to Protect.

Angesichts der Tatsache, dass Malware immer aggressiver wird und eine Umstellung in der Verbreitung der Schädlinge von der Selbstreplizierung auf Spam-Kampagnen stattfindet, gewinnen diese Aspekte ernorm an Bedeutung. Malware sieht heute anders aus als vor fünf Jahren, also sollten auch die Tests anders durchgeführt werden.