IT-Sicherheit
Blick ins Microsoft-Labor: Von »Ghostbuster« bis »Shield«
Die Kollegen der US-Ausgabe von »Information Week« konnten einen Blick in das Labor werfen, in dem Fachleute von Microsoft an neuen IT-Sicherheitsprodukten arbeiten.
Eines der Interessantesten Projekte, so Rich Draves, Area Manager von Microsoft Research, ist »Ghostbuster«. Das Ergebnis soll ein Verfahren sein, mit dem sich Rootkits aufspüren lassen.
Ghostbuster vergleicht dazu Systeminformationen unterschiedlicher Art. Es registriert Aktivitäten auf der »oberen Ebene«, etwa der von Win32-APIs. Gleichzeitig führt die Software eine Low-Level-Analyse durch, beispielsweise ob eine dazugehörige Datei auf der Festplatte vorhanden ist.
Sind beide Informationen nicht miteinander zu vereinbaren, liegt der Verdacht nahe, dass ein Rootkit aktiv ist. Das ist etwa dann der Fall, wenn zwar ein File physikalisch auf einem Rechner platziert wird, Windows aber keinen anzeigt. Dieses Verhalten legen normalerweise Rootkits an den Tag, um nicht entdeckt zu werden.
Nach Angaben von Microsoft wird Ghostbuster vermutlich zu einem eigenständigen Produkt weiterentwickelt. Es sei nicht geplant, die Technik in eine Windows-Version zu integrieren.
Helen Wang von Microsoft arbeitet an »Shield«. Diese Software läuft auf einer Firewall oder einem PC, der als solche konfiguriert ist. Mithilfe eines Content-Filters identifiziert und blockiert Shield Netzwerkdaten, die sich eine identifizierte Schwachstelle in einem Programm zunutze machen möchten.
Damit will Microsoft das Problem lösen, dass Angreifer ein Sicherheitsloch in einem Betriebssystem oder einer Anwendung ausnutzen können, bevor der Hersteller einen Patch parat hat. Laut Helen Wang hätten sich mithilfe von Shield 98 Prozent der Angriffe auf Microsoft-Produkte abwehren lassen, die in den vergangenen Jahren stattfanden.
In eine ähnliche Richtung geht »Vigilante«, an dem Fachleute im Microsofts Labor in Cambridge (Großbritannien) arbeiten. Das Programm soll Wurm-Attacken entdecken und abwehren. Das gilt vor allem für Zero-Day-Angriffe, die noch nicht geschlossene Sicherheitslücken ausnutzen.
Vigilante wird auf einem »Honey Pot« im Netzwerk installiert. Solche Systeme dienen dazu, Angriffe frühzeitig zu erkennen. Sie werten dazu Zugriffe aus dem Internet oder dem internen Netzwerk aus.
Vigilante analysiert den Datenverkehr auf merkwürdige Verkehrsmuster hin. Sobald diese Hinweise auf eine Wurm-Attacke geben, werden die Rechner im Corporate Network gewarnt.
»XFI« beschäftigt sich mit einem Phänomen, mit dem sich fast jeder Internet-Nutzer auseinandersetzen muss: wie sich Software, die der User heruntergeladen hat, auf sichere Weise ausführen lässt. Dazu gehören beispielsweise Video-Codecs oder Hardware-Treiber.
Das Programm ermittelt dazu die Größe des Arbeitsspeichers, die eine Applikation normalerweise zum Ausführen benötigt. Solange das heruntergeladene Programm diesen Schwellwert nicht überschreitet, ist alles in Ordnung.
Legt es jedoch ungewöhnliche Aktivitäten an den Tag, die sich in einem erhöhten Speicherbedarf niederschlagen, liegt der Verdacht nahe, dass es sich um Malware handelt. In diesem Fall warnt XFI den Benutzer oder blockiert die Software.
Dem »Abgreifen« von Account-Informationen durch Phisher will Microsoft mit einem »Anti-Phishing Security-System« begegnen. Ein Bestandteil ist der Web-Browser: Er registriert, ob ein User Benutzerdaten und Passwörter in ein Web-Formular eingibt, etwa auf der Seite eines Online-Shops.
Ist das der Fall, meldet der Browser die Adresse der Web-Seite an einen Server. Sobald dieser feststellt, dass auf der entsprechenden Seite ungewöhnlich viele vergebliche Log-in-Versuche verzeichnet wurden, sendet er eine Warnung.
Denn dies ist ein Indikator dafür, dass die Seite nur dazu aufgesetzt wurde, um verwertbare Daten von Nutzern einzusammeln.
