Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

25.06.2004 - 

Firewall für den Arbeitsspeicher

Tool macht Schluss mit Buffer Overflows

MÜNCHEN (CW) - Der kalifornische Hersteller Determina hat mit "Securecore" die nach eigenen Angaben erste "Memory Firewall" vorgestellt. Diese soll Anwendungen und Daten innerhalb des Speichers von Systemen vor Angriffen schützen.

Mit Securecore will das neu gegründete Unternehmen Determina einem weit verbreiteten und gefürchteten Übel im Bereich Applikationssicherheit zu Leibe rücken, den berüchtigten Pufferüberläufen (neudeutsch Buffer Overflows). Diese können von Angreifern ausgenutzt oder sogar provoziert werden, um bösartigen Code im Speicher eines Systems zu platzieren und anschließend auszuführen.

Nach Angaben von Nand Mulchandani, dem President und Chief Executive Officer (CEO) von Determina, waren sämtliche von Microsoft in den vergangenen zwei Jahren entdeckten und als "kritisch" eingestuften Windows-Sicherheitslecks dieser Art. Mit Securecore und der darin enthaltenen, zum Patent angemeldeten Memory-Firewall-Technik sollen sich sogar auf ungepatchten Systemen Angriffe verhindern lassen, die derartige Schwachstellen auszunutzen versuchen.

Dazu bedient sich die Lösung mehrerer Komponenten. Auf den zu überwachenden Systemen müssen Securecore-Agenten installiert werden, deren Verteilung und Koordination von der zentralen Management-Konsole erfolgt. Hier laufen auch die Meldungen der einzelnen Agenten zusammen. Vereinfacht gesagt "weiß" die Software, in welchen Speicherbereichen eines Computers Anwendungen Code ausführen dürfen, und verhindert gleichzeitig die Ausführung in anderen Bereichen. Dazu seien weder Signatur- noch Definitions-Updates von nöten, auch müssen Angaben des Herstellers zufolge die Nutzer keinerlei Policies oder Regeln festlegen. Securecore soll sich ohne Eingriffe in die bestehende IT-Infrastruktur einsetzen lassen.

Wie Determina betont, erzeugt das System keine Falschmeldungen, wie Anwender sie von Intrusion-Detection-Systemen (IDS) her kennen. Securecore löse nur dann einen Alarm aus, wenn tatsächlich ein Angriff erfolge. Die Lösung ist nicht in der Lage, andere Angriffe etwa auf Basis von Denial-of-Service oder Cross-Site-Scripting abzuwehren. Daher erhebt der Hersteller auch nicht den Anspruch, damit Programme wie Antiviren-Tools oder herkömmliche Firewalls zu ersetzen, sondern sieht Securecore vielmehr als Ergänzung zu diesen.

Die Agenten sind laut Hersteller für alle Windows-basierenden Server-Systeme, Internet Information Server, SQL Server und Exchange Server verfügbar. Versionen für Linux und Windows-Desktops sind in Arbeit. Der Einstiegspreis für Securecore liegt bei etwa 500 Dollar pro zu schützenden Server.

Determina ist derzeit nicht der einzige Anbieter, der an der Lösung des Buffer-Overflow-Problems arbeitet, auch Hersteller wie AMD oder Intel beschäftigen sich mit den Gefahren durch mögliche Speicherangriffe. Die Chipspezialisten setzen dabei auf die Technik "No Execute" ("NX"), die AMDs 64-Bit-Prozessoren und Intels kommende "Prescott"-Chips im Zusammenspiel mit Windows XP Service Pack 2 unterstützen werden. (ave)

So arbeitet Securecore

- Eine Agentensoftware wird auf einem Server installiert;

- beim Start einer Applikation erzeugt der Agent innerhalb des Arbeitsspeichers eine Schutzzone um die Anwendung oder von ihr verwendete Daten;

- der Agent überwacht, ob auszuführender Programmcode bösartige Bestandteile enthält und ob die Berechtigung vorhanden ist, auf bestimmte Speicherbereiche zuzugreifen.