Früherkennung von Schadsoftware - nicht ohne Nebenwirkungen
Früherkennung von Schadsoftware - nicht ohne Nebenwirkungen Schadsoftware-Erkennung muss heute an allen Fronten stattfinden. Die Verwendung von Signaturen ist nach wie vor wichtig, reicht allein aber nicht aus. Früherkennungsmechanismen haben indes alle ihre Vor- und Nachteile.
Spätestens seit den Rootkit-Angriffen wissen wir es: Moderne Schadsoftware tut alles, um nicht entdeckt zu werden. Sie verrichtet lieber heimlich still und leise im Hintergrund ihr zerstörerisches Werk, stiehlt Informationen oder fungiert als Spamschleuder. Signaturbasierte Verfahren der Erkennung sind bei weitem nicht ausreichend, denn »Schadsoftware kommt heute ohne Vorwarnzeit und nahezu flächendeckend mit Hilfe von Botnetzen in Umlauf«, stellt Stefan Schiffert, der technische Vordenker beim Tettnanger Virenschutzspezialisten Avira, fest. Und für Oliver Braekow vom Paderborner Secure-Computing-Ableger Webwasher ist es »ohne verhaltensbasierte Analysemethoden nahezu unmöglich, auf Erkennungsraten von 90 Prozent und mehr zu kommen«. Einer der Gründe: »Die neuesten Viren sind so konzipiert, dass sie sich täglich oder bei jedem Weiterversenden ändern, sodass sie von Virenschutzprogrammen nicht erkannt werden.«
Virtuelle Patches Angesichts dieser Bedrohungslage sind die Gegenmittel sehr zahlreich und in ihrer Art durchaus sehr heterogen. Man kann einerseits versuchen, durch rechtzeitiges Entdecken von Verhaltensauffälligkeiten bestimmter Programme (ungewöhnliche Systemaufrufe, Veränderungen in der Registrierungsdatei etc.) diese zu sperren oder man kann von vornherein darauf abzielen, die Lücke, durch die Schadsoftware eingeschleust werden kann, so eng wie möglich zu halten. Letzteres läuft dann beispielsweise auf die Erstellung von Positivlisten hinaus, welche Anwendungen auf einem bestimmten Client überhaupt benutzt werden dürfen oder aber auf Verfahren, die Schwachstellenanalyse mit gleichzeitigen Reparaturmaßnahmen verbinden. Positivlisten-Verfahren bieten beispielsweise Firmen wie Appsense an, Schwachstellenanalyse plus Reparatur geht in die Richtung »virtueller Patch«. Eine derartige Vorgehensweise ist zum Beispiel in die »Proventia«-Lösung von IBM ISS eingebaut. Laut Christian Emmerich von IBM Global Services kombiniert IBM den Virtual-Patch-Ansatz normalerweise »mit verhaltensbasierten Methoden und Signaturerkennung«. Ähnlich wie Virtual-Patch-Verfahren gehören auch heuristische Verfahren in den Bereich der Früherkennung. Noch am einfachsten zu entdecken sind dabei Mutanten von existierenden Schadsoftware-Signaturen. Auch Regeln für den Zugriffsschutz oder gegen Buffer-Overflow-Angriffe gehören schon lange zum Inventar verhaltensbasierter Systeme. Schwieriger bis sehr schwierig wird es bei Schadsoftware, die sich aktiv versteckt (Rootkit-Mechanismen). Hier helfen nur noch sehr aggressiv eingestellte Heuristiken (mit der daraus resultierenden Fehlalarm-Problematik, siehe unten). Durchaus unterschiedliche Gewichtungen lassen sich bei den Anbietern in der Frage erkennen, an welchen Punkten die Schadsoftware bekämpft werden muss. Während Oliver Braekow von Webwasher hier besonders auf das Internet-Gateway verweist, betont Stefan Angerer, Deutschland-Chef des norwegischen Herstellers Norman Data Defense, die Vielfalt der möglichen Einfallstore. Für ihn ist eigentlich jeder Rechner, der im Netz hängt, eine potenzielle Schadsoftware-Schleuder. Das neue Schutzgateway »Norman Network Protection« kann deshalb an beliebigen Netzstellen angebracht werden (unter anderem natürlich auch im Grenznetz vor dem Internet-Gateway), um dann bestimmte Netzabschnitte zu sichern. Laut Angerer arbeitet der Scanner »echtzeitorientiert«, sei also keine »proxy-basierte Lösung mit Zwischenspeicherung«.
Sandbox hat viele Schwächen Das Netz-Gateway ist neben Signaturmechanismen und Heuristiken zusätzlich mit einem Sandbox-Mechanismus ausgestattet. Dabei handelt es sich um eine virtuelle Ablaufumgebung, in der verdächtige Programme analysiert werden können, ohne dass sie weiteren Schaden anrichten. Bei Norman kommt jede ausführbare Datei in die Sandbox. Freilich kann diese generell vom Anwender auch ausgeschaltet werden. Inwieweit Simulationsverfahren wie die Sandbox die Leistung unzumutbar drücken, darüber gehen die Meinungen bei den Protagonisten auseinander. »Wir haben die Norman Network Protection zwischen unseren Produktionssystemen und dem Admin-Netzwerk installiert. Das Gateway schützt unsere Produktion zuverlässig und ohne spürbare Zeitverzögerung durch den Scanprozess«, sagt beispielsweise Jens Roed Andersen, Chief Information Security Officer beim schwedisch-dänischen Molkerei-Konzern Arla Foods. Markus Kalkuhl, Virenexperte bei Kaspersky in Ingolstadt meint zum Sandbox-Verfahren: »Dieses Verfahren führt zu deutlich längeren Scanzeiten, im Durchschnitt zu einer Verdoppelung, oft auch zu einer Verdreifachung.« Und Toralv Dirro, Security Strategist bei McAfee sagt: »Von den heutzutage in Scannern verwendeten Verfahren ist eine Sandbox mit Abstand das langsamste.« Definitiv schließt Oliver Braekow von Secure Computing den Einsatz einer Sandbox in Internet-Gateways aus: »Die Erstellung einer Laufzeitumgebung, die Ausführung des Codes, die Aufzeichnung der Aktionen und die Auswertung dauern unserer Erfahrung nach zirka tausend Mal länger als signaturbasiertes Scannen und immer noch Hunderte Male länger als eine proaktive Verhaltensanalyse. Auch für Stefan Schiffert von Avira ist eine Sandbox allenfalls etwas für Client-Systeme. Schiffert sieht allerdings die Leistungsfähigkeit dieser Technik deutlich weniger rosig als die Norman-Leute: »Da eine Sandbox nur einen Teil der Funktionen eines echten Betriebssystems zur Verfügung stellt, ist es möglich, der Erkennung durch den Scanner zu entgehen, und zwar einfach durch die Verwendung von Funktionen, die in der Sandbox nicht vorhanden sind.«
Fehlalarme möglichst vermeiden Im Grunde ist auch die Sandbox nur eine Spielart der Verhaltensanalyse. »Schließlich muss am Ende der Simulation eine Heuristik entscheiden, wie die festgestellten Aktionen zu bewerten sind«, sagt Markus Kalkuhl von Kaspersky. Heuristiken selbst haben wie fast alle IT-Sicherheitsmechanismen zwei Gesichter. Wenn sie zu scharf eingestellt sind, steigt das Risiko der Fehlalarme (und das kann vor allem bei Client-Systemen sehr teuer werden), sind sie zu vorsichtig eingestellt, dann kann man sie gleich weglassen. Für Toralv Dirro von McAfee ist dennoch die Marschrichtung hier klar: »Für uns ist es wichtig, die Fehlalarmrate nahe Null zu halten, denn Fehlalarme kosten Zeit und Geld und senken zudem die Aufmerksamkeit gegenüber tatsächlichen Angriffen.«
