computerwoche.de

Security

HP greift Netze von Kunden an

06.07.2006
Hewlett-Packard begibt sich ab Oktober auch mal in die Rolle des Hackers, um die Infrastruktur von Unternehmen zu schützen.

Der Konzern will bei seinen Angriffen die gleichen Methoden wie böswillige Hacker nutzen, um Schwachstellen in Firmennetzen zu enttarnen. Dabei kommt aber selbstverständlich nur kontrollierter Exploit-Code zum Einsatz, der sich nicht wie ein Wurm weiterverbreite, erklärte HP.

"Wir nutzen Hacker-Techniken, um uns Zugang zum System zu verschaffen", erklärte Richard Brown, Abteilungsleiter Threat Management der HP Labs. "Aber sobald wir die Kontrolle haben, machen wir das System sicher."

Für seine "HP Active Countermeasures" wird das Unternehmen einen Server sowie acht bis zehn Scanning-Clients pro 250.000 angeschlossene Geräte einsetzen. Jeder Client bekommt einen Bereich von IP-Adressen zugeteilt, die er dann auf bestimmte Schwachstellen hin abklopft.

Das HPAC-Team versucht dann, Buffer-, Heap- und Stack-Overflows zu erzeugen, um sich Zugang zu angreifbaren Rechnern zu verschaffen. Dazu wird es auf im Netz publizierten Exploit-Code zurückgreifen oder notfalls auch selbst welchen schreiben. "Wenn es keinen Code gibt, erzeugen wir ihn uns selbst", so Brown.

Probleme beheben will die HPAC-Truppe indes nicht direkt selbst, sondern zunächst die Kunden informieren und ihnen dann bei Bedarf zur Seite stehen. "Im schlimmsten Fall fahren wir ein System herunter, sodass es nicht länger eine Gefahr für die Infrastruktur bedeutet", sagt Brown.

HP nutzt solche Technik schon seit dem Jahr 2001, um seine eigenen Netze zu schützen. Die interne IT überwacht dazu unter anderem Bulletin Boards und Warnungen von CERTs und Hersteller, berichtet der Branchendienst "Cnet". Neue Bedrohungen werden an HPAC weitergeleitet, eingeschätzt und im Falle ernster Bedrohungen durchgetestet.

Kunden, die ihre Systeme künftig von HPAC durchchecken lassen wollen, müssen HP explizit das Scannen ihrer Rechner gestatten. Sie können auf Wunsch aber bestimmte Maschinen oder Geräte von der Prüfung ausnehmen, wenn sie eine Gefährdung ihres Betriebs befürchten.

HP verspricht "aggressive Preise" für den neuen Service. Für Anwender mit weniger als 20.000 aktiven IP-Adressen soll die Pauschale "ein paar Dollar pro Nutzer und Jahr" betragen. (tc)