Die schlechte Nachricht zuerst: Weit über 60.000 Computerviren sind mittlerweile bekannt. Die gute Nachricht lautet, dass "nur" rund 1.000 davon gefährlich oder aktiv sind. Auch wenn sich dies im Vergleich gering anhört, wird die Bedrohung zunehmend größer, da die Programmierung der Viren immer raffinierter wird. Obwohl genügend Antivirus-Software und -Lösungen verfügbar sind, besteht der Gartner Group zufolge die Schwierigkeit darin, dass 90 Prozent der Cyberattacken bis 2005 Sicherheitslücken ausnutzen werden, für die kein Patch existiert. Eine gezielte Verteidigung lässt sich schließlich nur aufbauen, wenn Angreifer und Ziele bekannt sind.
Angreifer sind heute in der Lage, Unmengen von Netzwürmern über so genannte Zombienetze zu verteilen. Das sind zigtausend Heim- und Firmen PCs mit Internetzugang, die über ein Virus zum Zombie wurden. Die Raffinesse besteht darin, dass eine halbe Stunde völlig genügt, um in einer Art Blitzkrieg oder "Day-Zero-Attacke" Millionen weiterer Internet-PCs zu infizieren oder das Zombie-Netz zur Verbreitung von Spam-Mails zu benutzen. Dagegen sind für die Analyse, Entwicklung und Einrichtung von Gegenmitteln mehrere Stunden notwendig, wobei der Angreifer immer um eine Nasenlänge voraus zu sein scheint.
Was benötigt wird, ist eine Methode zur Früherkennung und angemessene Verteidigungsmaßnahmen. Ein Vergleich mit der Präventivmedizin liegt nahe: Wer sich gesund und ausgewogen ernährt und die richtigen Nahrungsergänzungsmittel zu sich nimmt, hat zwar keine Garantie, aber eine gute Chance, Infekte dank seines gesunden Immunsystems erfolgreich abzuwehren. Genau das Gleiche gilt für die Computersicherheit. Auch hier sind Präventivmaßnahmen gefragt. Eine neu entwickelte Möglichkeit ist "Proaktives Filtern".
Sandkastenspiele
Dieser Ansatz macht sich die so genannte "Sandboxing"-Technik zunutze. Sandbox, zu Deutsch Sandkasten repräsentiert eine Technik, die auf einem Computer eine virtuelle Ablaufumgebung mit definierter Begrenzung erzeugt, also eine Art Spielplatz für nicht vertrauenswürdige Programme. Der Sandkasten begrenzt oder reduziert das Zugangsniveau einer Anwendung. Code arbeitet hier im Emulationsmodus und hat beispielsweise keinen Schreibzugang zur Festplatte.
Sandboxing war ein viel versprechender Ansatz, schlug aber letztlich aufgrund der ausufernden Anzahl und Komplexität neuer Viren fehl. Die Emulation hat den Nachteil, dass sie insbesondere für den Einsatz an Gateways zu langsam ist und zu häufig falschen Alarm schlägt (False Positives). Zudem ist die Sandbox-Technik wenig erfolgreich bei Viren, die eine Zeitbombe oder einen auf Logik ausgerichteten Mechanismus enthalten. Da in diesen Fällen der Viren-Code verpackt ist und nicht zum Zeitpunkt der Prüfung in der Sandbox ausgeführt wird, kann diese ihn auch nicht erkennen.
Proaktives Filtern
Eine Kombination vorausschauender Analysemethoden am Gateway ist zumeist auch die kosteneffektiveste Lösung für IT-Abteilungen, wenn sie ganz ohne Software auf der Clientseite auskommt. Proaktive Filtertechnik inspiziert am Gateway in Abhängigkeit von der Programmcodesprache jeden ein- und ausgehenden Code und geht dabei in drei Schritten vor. Erstens werden digitale Signaturen verifiziert und jeglicher Programmcode ohne gültiges, vertrauenswürdiges Zertifikat geblockt. Zweitens wird verdächtiger Code auf sein mögliches Verhalten untersucht - dabei aber nicht wie in einer Sandbox ausgeführt - und geblockt. Und drittens wird jeder potenziell gefährliche Code herausgefiltert, der versucht, Schwächen des Clients auszunutzen, und der ungewöhnliche Operationen enthält.
Zuerst untersucht das System die digitalen Signaturen von Active-X-Control-Elementen und Java Applets. Diejenigen ohne einwandfreie Signatur wird ein Administrator ohnehin blocken wollen. Sie werden ebenfalls geblockt, wenn die Daten zwar signiert sind, sich aber seit Vergabe der Signatur verändert haben oder wenn die Signatur von jemand vergeben wurde, dem der Administrator nicht vertraut.
Im zweiten Schritt erfolgt die heuristische Analyse. Statt nach speziellen Signaturen sucht heuristisches Scannen nach Anweisungen oder Befehlen in einem Programm, die Bestandteil eines Angriffs auf einen PC und dessen Resourcen sein können. Aus der Häufigkeit und Kombination solcher Operationen kann der verwendete heuristische Algorithmus mögliche verheerende Funktionalitäten, wie etwa den Replikationsmechanismus eines Virus, die Verteilungsroutine eines Wurmes oder das Gefahrenpotenzial eines Trojaners, aufdecken - wo auch immer sie im Code versteckt sind.
Der Ablauf entspricht dem einer Fingerabdruckanalyse in Verbindung mit einer Bibliothek von Aktive-X-Control Elementen. Die Analyse möglicher Funktionsaufrufe erfolgt unabhängig vom aktuellen Datenfluss. Bekannte Funktionen werden gemäß festgelegter Regeln klassifiziert. Abhängig von der Programmiersprache werden erkannte Funktionsaufrufe zueinander in Bezug gesetzt und erneut mit kontextsensitiven Regeln verglichen. Nach Durchführung von Quersummenprüfungen sollte ein hoher Prozentsatz von Elementen sicher als bekannt und harmlos erkannt worden sein. Funktionsaufrufe, die nicht mit dem Inhalt der Bibliothek übereinstimmen, sind potenziell riskant und sollten geblockt werden. Es ist wichtig, dass die Bibliothek regelmäßig mit bekannten Mustern von Aktive-X-Steuerungen aktualisiert wird, damit sich keine Funktionseinschränkungen durch das Blocken unbekannter Elemente ergeben.
Im dritten und letzten Schritt wird jedes nach den ersten beiden Stufen als verdächtig verbleibende Skript, das versucht, die Schwachstellen des Clients auszunutzen, gescannt und herausgefiltert. Obwohl ein Skript an sich nicht bösartig sein muss, ist es ein potenzieller Kandidat für das Einschleusen oder Ausführen bösartigen Codes. "Script Mitigation" sorgt für die Neutralisierung derartiger Elemente und stellt sicher, dass sie keinen Schaden auf Clients anrichten können.
Neben den proaktiven Filterstufen bilden URL-Filter, Dateitypfilter, Spamfilter und optionale konventionelle, patternbasierte Virusscanner weitere Verteidigungslinien.
Penizillin für die IT
Dieser Ansatz wirkt wie Penizillin. Er deckt gleichzeitig eine Vielzahl möglicher Angriffspunkte ab und ist nicht nur ein aus einer tatsächlichen Infektion gewonnener Impfstoff gegen ein Virus. Bei Spam- und Phishing-Attacken erhalten die Benutzer E-Mails mit einem Link, der sie nach dem Anklicken auf die Unternehmenswebseite bringt. Da sie mehrere Angriffspunkte nutzen, hilft gegen sie auch nur ein breitbandiges Abwehrmittel.
In jüngster Vergangenheit hat die proaktive Filtertechnik bereits ihre Wirksamkeit bewiesen: So wurden JPEG Buffer Overflow Vulnerability, der Internet Explorer Iframe-Tag Exploit, Sober.I und die Java VM Vulnerability wirksam verhindert. Es ist beruhigend zu wissen, dass dank proaktivem Filtern ein sehr hoher Prozentsatz aller künftigen, heute noch unbekannten Attacken wirkungslos verpufft.
Dr. Horst Joepen ist CEO der Webwasher AG