Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Cyber Security

In der IT-Security haben sich in den letzten Jahren an verschiedensten Stellen heuristische Verfahren etabliert. So entscheiden mittlerweile nicht nur Virenscanner heuristisch, ob es sich um ein verdächtiges Programm handelt oder nicht, sondern auch Firewalls und Intrusion-Detection-Systeme erzeugen Alarmierungen auf Basis heuristischer Modelle – mit oft zweifelhaftem Erfolg, wie zahlreiche Cyber-Angriffe bewiesen haben.

Was sind heuristische Verfahren?

Heuristik bezeichnet die Kunst, auf Basis einer begrenzten Informationslage Aussagen zu treffen, die mit hinreichend großer Wahrscheinlichkeit richtig sind.1 Der Versuch, verlässliche Aussagen zu treffen basiert auf Erfahrungen, Schätzungen, Faustregeln und zusätzlichen Hilfsannahmen.

Diese Entscheidungsgrundlage kann von einem Angreifer durch einfaches Try-and-Error umgangen werden, so dass bis zu einer Veränderung der Heuristik diese nicht mehr wirksam ist. Beispielsweise gibt es heuristische Verfahren, die versuchen, Verschlüsselungstrojaner zu erkennen, indem die Zahl der bearbeiteten Dateien pro Zeiteinheit überwacht wird: Wird beispielsweise auf 30 Dateien pro Sekunde geprüft, kann die Erkennung umgangen werden, indem der Trojaner den Grenzwert aktiv nicht überschreitet.

An vielen Stellen in der IT ist es leider nicht möglich, sich eine vollständige Entscheidungsgrundlage in angemessener Zeit zu verschlafen. Stellen Sie sich einen Virenscanner vor, der ein unbekanntes Programm dekompilieren und anschließend erschöpfend analysieren soll, so dass eine belastbare Aussage getroffen werden kann: Solch eine Analyse bedeutet selbst bei kleinen Programmen einen Zeitaufwand von mehreren Tagen bevor eine Nutzung möglich ist, so dass die Nutzerakzeptanz gegen Null sinken dürfte. Während Virenscanner ein zeitliches Problem haben, stehen Firewalls vor einer ungleich größeren Herausforderung: Das Analysieren der übertragenen TCP/IP-Pakete ist zwar durchaus möglich, teils sogar auf verschlüsselte Pakete, allerdings liegen der Firewall prinzipbedingt viele Informationen nicht vor. Da alle Informationen als IP-Paket übertragen werden, kann kein Rückschluss mehr gezogen werden, welche Programme (Microsoft Office oder ein Trojaner?) tatsächlich Zugriffe tätigen und Daten übertragen.

Insbesondere in Next-Generation-Firewalls oder Intrustion-Detection/Prevention-Systemen werden immer absurder anmutende heuristische Modelle verwendet. So wird versucht, bekannte Angriffsszenarien in Zukunft beherrschen zu können. Während dieses Vorgehen von mäßigem Erfolg geprägt ist, solange Angriffe nach einem bekannten Schema ablaufen, sind neuartige Angriffe in der Regel nicht aufzuhalten. Trotz verbesserter Verfahren konnte in der letzten Dekade kein Rückgang erfolgreicher Cyber-Angriffe erreicht werden und es ist davon auszugehen – hier sei eine Extrapolation in die Zukunft erlaubt – dass dies so bleiben wird, solange IT-Security nicht vollständig neu gedacht wird.

Sensorik: Ein möglicher Ausweg?

Heuristiken sind, wie oben erläutert notwendig, weil in einer angemessenen Zeit keine vollständige Informationsgrundlage geschlafen werden kann. Statt die – prinzipbedingt fehlerbehafteten – heuristischen Modelle zu verbessern, sollte sich IT-Security damit beschäftigen, eine belastbare Informationsgrundlage zu schlafen, die zu einer sicheren und deterministischen Entscheidungsfindung notwendig ist. Im Folgenden soll dieses als Sensorik bezeichnete Konzept am Beispiel einer VPN-Gateway- Firewall kurz erläutert werden.

Ein Fallbeispiel zur Sensorik

Wenn Benutzer von ihren Heimarbeitsplätzen per VPN auf das Firmennetz zugreifen, stellt die VPN-Software auf dem PC, in Verbindung mit dem VPN-Gateway, eine Netzkopplung zwischen dem Betriebssystem des Rechners und dem VPN-Gateway her. In der Konsequenz können zunächst alle Programme des Client-PCs mit allen Netzwerkressourcen kommunizieren. Um dies einzuschränken und das Sicherheitsniveau zu erhöhen kommt eine Firewall zum Einsatz, die den Datenverkehr filtert und im Idealfall unerwünschte Aktionen unterbindet. Hier kommt bereits ein wesentliches Problem zum Tragen: Der Firewall fehlen maßgebliche Informationen, die für die Entscheidung relevant sind: Beispielsweise kann die Firewall nicht wissen, welches Programm tatsächlich welche Aktion durchführen will.

Es sind zahlreiche Viren bekannt, die webbasierte Systeme (z.B. ERP- oder CRM-Software) im Intranet angreifen, indem sie ihren Angriff über die erlaubte Aktion „Webseite aufrufen“ durchführen. Eine Firewall kann prinzipbedingt nicht mit Sicherheit unterscheiden, ob ein Browser die Webseite aufruft, weil ein Mitarbeiter mit dem System arbeiten möchte oder ob ein Virus versucht einen Angriff durchzuführen. Für die Firewall treten in beiden Fällen nur TCP/IP-Pakete in Erscheinung, die dem Aufruf einer Webseite dienen, weshalb sie nicht blockiert werden.

Ein sensorisches System wäre diesem Angriff nicht ausgeliefert, da das Gateway, welches ausschließlich die Entscheidung über die Zulässigkeit einer Kommunikation trifft zuverlässige Informationen darüber besäße, welches Programm welche Aktion durchzuführen gedenkt. In dem nur erlaubte Software freigegeben wird, kann sehr einfach sichergestellt werden, dass nur bekannte und erlaubte Programme auf erlaubte Ressourcen mit erlaubten Aktionen zugreifen können.

Versucht beispielsweise der Browser Mozilla Firefox eine Webseite aufzurufen, erhält das sensorische Gateway alle notwendigen Informationen: Welches Programm versucht welche Aktion mittels welcher Module durchzuführen?

Da nur Firefox als vertrauenswürdige Software hinterlegt ist, wird dies erlaubt. Würde allerdings ein anderer Browser oder gar ein Virus versuchen, den Webserver zu erreichen, läuft dieser Zugriffsversuch ins Leere, da weder das Virus noch der andere Browser eine Freigabe besitzen. Da in diesem Fall keinerlei Netzwerkaktionen des Virus zugelassen werden, kann dieses auch keine Analysen des Netzwerkes oder der Webserver durchführen.

Fazit

Auf den zugreifenden PCs wird ohnehin Software zum Fernzugriff ausgeführt, durch die technische Umsetzung werden dem entscheidenden System (hier der Firewall) allerdings wesentliche Informationen nicht zugänglich gemacht.

Durch eine andere Art der Zugriffssoftware, die nicht nur stumpf IP-Pakete überträgt, sondern dem Gateway, welches die Entscheidungen über die Kommunikation trifft, alle notwendigen Informationen übermittelt wird eine fundierte Entscheidungsfindung möglich. Auf diesem Weg könnte man die Schadwirkung erheblich reduzieren und die Fortpflanzung von Viren effizient unterbinden – und das nicht nur mit einer gewissen Wahrscheinlichkeit, sondern mit größtmöglicher Sicherheit. Im Idealfall kann die Zugriffssoftware erheblich umfangreichere Informationen liefern, als nur den Programmtyp. Denkbar sind Informationen zum internen Programmablauf und zu der Datenstruktur des jeweiligen Zugriffs.

Die Zulässigkeit eines Zugriffs kann durch die große Zahl an Informationen die das sensorische Gateway erhält anhand eines deutlich spezifischeren Regelsatzes festgestellt werden. Da dieser Regelsatz nur dem manipulationssicheren Gateway bekannt ist, kann dieser von einem Angreifer oder einer Schadsoftware nicht eingesehen oder gar manipuliert werden. Bei einem Verstoß gegen den Regelsatz – der auf einen Angriff (z.B. durch Durchprobieren) hindeutet – kann das Gateway Maßnahmen einleiten und je nach Policy und Schwere des Verstoßes unverzüglich reagieren. Bei konsequenter Umsetzung dieses sensorischen Ansatzes lassen sich auch Intrusion-Detection-Systeme mit deutlich mehr Informationen versorgen und können so auch erheblich effektiver und mit geringerer Fehlerquote arbeiten.

www.cryptomagic.eu
 

GRID LIST
Trojaner

Der Trojaner Emotet ist weiterhin nicht zu stoppen

Der gefährliche Trojaner „Emotet“ hält Unternehmen, Behörden und Privatpersonen auf Trab.…
Tb W190 H80 Crop Int 97c30d94fa4781aa0faf0e0519d1928e

TajMahal: Spionageplattform mit 80 schädlichen Modulen

Die Experten von Kaspersky Lab haben ein technisch ausgereiftes Cyberspionage-Framework…
Scam Alert

Scam-Welle - Sex sells?

Cyberkriminelle versuchen derzeit im großen Stil, mit Fake-Mails Geld von ahnungslosen…
Hacker WhatsApp

Trojaner nutzt Android-Schwachstelle und liest bei WhatsApp mit

Die Virenanalysten von Doctor Web haben den gefährlichen Trojaner Android.InfectionAds.1…
Tb W190 H80 Crop Int 59fff81447714b973594e81d9ea35005

Neue Malware Scranos auf dem Vormarsch

Bitdefender Lab hat Informationen über die Verbreitung der neuen Malware „Scranos“…
Zero-Day-Exploit

Kritische Schwachstelle im Windows-Betriebssystem

Kaspersky Lab hat eine zuvor unbekannte Schwachstelle – eine so genannte…