"Generische" Verteidigungsprodukte

Von den Teilnehmern der Newsgroup alt.comp.virus.
(Diese Sicherheitsseiten sind das Ergebnis einer andauernden Kooperation.)

Anti-Virus Main Menu
Main Menu
Generische Verteidigungsprodukte - Wie sie funktionieren / Vor- und Nachteile
von Nick FitzGerald
Computer Virus Consulting Ltd.

Ohne spezifische Produkte zu nennen, ist die Hauptidee hinter "generischen" (oder "nicht-virus-spezifischen") Antivirenprodukten, daß sie nach Zeichen suchen, die auf Viren hindeuten können, statt nach Code zu suchen von dem sie wissen, daß er ein bekanntes Virus (oder ein Teil davon) ist. Der einfachste Ansatz, der eigentlich überhaupt keine Antivirenmethode ist, ist die Dateiintegritätsprüfung "vorher und nachher" und basiert auf der Tatsache, daß ein Virus, wenn es Sie infizieren will, etwas auf Ihrem System verändern muß und daß ein entsprechendes Programm etwas bemerken müsste. Die Vorteile sind, daß keine zusätzliche Belastung durch Zugriffsüberwachung entsteht und daß diese Methode niemals einschreiten wird wenn etwas seltsames passiert, das aber durchaus von Ihnen gewollt ist. Die Nachteile sind die Mühen der "vorher-und-nachher" Methode (es gibt eine gewisse Neigung dazu, daß die Häufigkeit der "nachher" Überprüfungen, die feststellen sollen ob etwas verändert wurde, abnimmt), und die Belastung die durch den Zwang entsteht von Diskette starten zu müssen (oder sich eine andere Methode anzueignen, mit der ein sauberer Bootvorgang garantiert werden kann) um sicherzustellen, daß Sie nicht heimlich von einem Virus hinters Licht geführt werden.

Andere "aggressivere" Formen generischer Antivirenansätze sind "sandboxing nach dem Ereignis" (wie beispielsweise im Produkt eSafe) und verschiedene Formen von Verhaltenswächtern und/oder Blockern (im Grunde ist dieser Teil von eSafe nur ein sehr ausgefallener und einstellbarer Verhaltensblocker). Die Theorie dahinter ist, daß man aktiv einige Bösartigkeiten verhindern kann indem man entsprechende Funktionen des Betriebssystems abfängt (und/oder die Anwendung zur Laufzeit emuliert) und einfach unter all den verschiedenen Verhaltensweisen die das System an den Tag legt die Bösartigkeiten daran hindert sich zu ereignen. Um genauer zu sein, können Sie die Formatierung der Festplatte verhindern indem Sie (zum Beispiel) alle Funktionen auf niedrigem Niveau abfangen die genutzt werden können um eine Formatierung durchzuführen, und dann jegliche Aufrufe an diese Schnittstelle daran hindern an den Code weitergegeben zu werden, der diese Aufrufe normalerweise behandelt (oder Sie können selektiv sein und nur einigen Benutzern und/oder Anwendungen erlauben diese Aufrufe erfolgreich durchzuführen, wobei jegliche Aufrufe von unberechtigten Anwendungen blockiert werden). Im Allgemeinen bringen diese Ansätze, obwohl sie viele, viele "Bösartigkeiten" erfassen/stoppen können bevor diese von (aktualisierten) Virenscanner erkannt werden, recht viele Ärgernisse mit sich und verlangen oft vom Benutzer, daß er Entscheidungen über komplexe technische Sachverhalte trifft, wobei er meistens nicht ausreichend dafür qualifiziert ist.

Das Hauptargument zugunsten generischer Methoden ist, daß sie es ermöglichen, viele neue, vorher unbekannte Viren abzufangen. Die Nachteile sind, daß sie dazu neigen viele Fehlalarme zu produzieren und implizit voraussetzen, daß ein Virus ausgeführt werden können muß (oder zumindest ein Teil von ihm) um entdeckt werden zu können. Ein großes Problem, das eine hohe Zahl von Fehlalarmen mit sich bringt, ist daß die Benutzer abgestumpft werden und das Produkt ignorieren (und oft letztendlich deaktivieren/deinstallieren). Das offensichtliche Problem, das dadurch entsteht, daß bösartiger Code (zumindest teilweise) ausgeführt werden muß, ist daß er er die Möglichkeit bekommen wird dem System zumindest einen Teilschaden zuzufügen. Eine Teillösung für dieses Problem ist, speicherresidente (sog. "on-acess") Verhaltensblocker als Teil des generischen Produkts einzusetzen.

Es gab Leute, die aus vielen Gründen streng "anti-Scanner" orientiert waren, aufgrund der fürchterlichen Zusatzbelastung der speicherresidenten Komponente, die man in den Mittneunzigern eigentlich aktiviert haben musste und den Stabilitätsproblemen die diese speicherresidenten Scanner mit sich führten (aus langer Erfahrung mit den meisten Antivirenprodukten -- besonders bei großen Geschäftskunden -- ist letzteres fast immer auf das Ausführen von anderer sich schlecht verhaltender Software oder das Ausführen dieser Software auf schlechter Hardware zurückzuführen, wobei der Scanner der Tropfen ist, der das Faß zum Überlaufen bringt). Jedenfalls hat sich diese Einstellung vor nun schon langer Zeit geändert, und es wurde "beschlossen", daß der Einsatz speicherresidenter Komponenenten entscheidend ist wenn Sie sich für einen generischen Ansatz wie Verhaltenskontrolle oder Integritätskontrolle entschließen.

Ein wiederum anderer Ansatz -- der manchmal als der Integritätsverwaltungsansatz bezeichnet wird -- ist nicht wirklich "generisch" obwohl er auch nicht "virus-spezifisch" ist. Diesem Ansatz (es gibt noch keine Produkte mit einer ausreichend fortgeschrittenen Implementation um einen Hinweis wie "wie etwa in Produkt X" zu rechtfertigen) liegt zugrunde, daß der Administrator wissen sollte welche Software ausgeführt werden darf, von wem, und wo, und einem Mechanismus zur Verfügung stellen wird um diese Regeln bei den Benutzern durchzusetzen. Dies ist, mehr oder weniger, Fred Cohens Idee von der "Integritätsschale", und obwohl sie vor 15 Jahren keine Befürwortung fand als er sie zum ersten Mal erwähnte, denke ich, daß der kommerzielle IT-Bereich so weit fortgeschritten ist, daß er solch eine Fähigkeit benötigt. Beachten Sie, daß dies nicht bloß ein generischer Antivirenansatz ist, da er, abgesehen vom Blockieren von Viren auch trojanische Pferde, unabhängige ausführbare Würmer (im Gegensatz zu "echten Würmern" wie dem ursprünglichen Morris Wurm), zeitvergeudende Spiele, unlizensierte Software sowie Software die nicht zu Ihrer Arbeit passt, stoppt. Solch ein Integritätsverwaltungsansatz kann auch verwendet werden um ein firmenübergreifendes Verbot von MP3-Dateien durchzusetzen. Das liegt daran, daß Systemintegritätsverwaltung nicht nur festlegt wer welchen Zugriff auf welche Teile des Dateisystems (und anderer "Geräte") hat, was traditionell den Mittelpunkt von Sicherheitsstrategien darstellte. Systemintegritätsverwaltung betrifft auch was für Code sich auf dem System befindet und wer was damit machen kann, und kann dahingehend erweitert werden, welche Inhalte sich auf einem System befinden wenn dem so gewünscht wird.

© Claymania Creations 2001 - 2008. Alle Rechte vorbehalten.