computerwoche.de
Newsletter  |   CW-TV  |   Bilder-Galerien  |   Blogs & Forum  |   CW mobil  |   RSS  |   Aboshop
 
Premium/Vorteile 


Security

Virenscanner öffnen Hackern die Türen



Sophos wiederum bestätigt, dass Virenscannner ein Angriffsziel sind. "Wir haben in unseren Labors mit Hilfe unserer Honeypots festgestellt, dass es vermehrt Versuche gibt, den Virenscanner auszuhebeln", berichtet Jens Freitag, Senior Technology Consultant bei Sophos. Die Parsing-Funktionalität des Scanners sei gleichzeitig eine Schwachstelle, die schon in der Vergangenheit dazu geführt habe, dass sich dieser außer Gefecht setzen ließ. Daher habe Sophos die eigene AV-Lösung entsprechend weiterentwickelt, um derartigen Angriffen entgegenzuwirken. Ein erster Schritt sei hier die so genannte Buffer Overflow Protection, die den Stack überwache und prüfe, ob ein Programm versucht, ihn zu überschreiben, um einen Pufferüberlauf zu erzeugen.

Laut Symantec gibt es in letzter Zeit in der Tat Versuche, mit dem Virenscanner den ganzen Rechner lahmzulegen, um DoS-Attacken zu starten. "Das Thema beschäftigt uns seit geraumer Zeit, und wir bemühen uns darum, unser Produkt als Applikation sicherer zu machen, damit es nicht ausgehebelt oder missbraucht werden kann", berichtet Michael Hoos, Technical Director Central Emea bei Symantec. Neben einer Vielfalt an Selbstschutzmechanismen in der Symantec-Software sorge ein automatisierter, umfangreicher Quality-Assurance-Prozess beim Testen von Virendefinitionen gegen alle gängigen Dateien dafür, dass es nicht zu Fehlerkennungen komme. "Aber: Es ist Software! Wenn ein Angreifer sich hinsetzt und partout unser Produkt verwenden will, um etwas lahmzulegen, wird ihm das - wie bei jeder anderen Software - irgendwann gelingen", räumt Hoos ein. Viel einfacher und eher dem gängigen Vorgehen eines Angreifers entsprechend sei es aber, sich auf das Betriebssystem oder Applikationen zu konzentrieren, bei denen die Erfolgschancen entsprechend größer seien.

Problemlösung in Sicht

Nachdem sich die grundsätzliche Fehleranfälligkeit der AV-Lösungen beim Parsen aus den genannten Gründen kaum beheben lässt, der Erkennungsmechanismus bei der Bekämpfung digitaler Schädlinge aber nicht zu ersetzen ist, gibt es nach Ansicht von n.runs nur eine Lösung: eine weiterhin hohe Erkennungsrate von Viren, allerdings eingebettet in eine sichere Architektur, die erfolgreiche Angriffe auf AV-Produkte verhindert. Die Sicherheitsexperten entwickeln daher eine Lösung (Codename "Parsing-safe"), die auf dem Zusammenspiel mit den bereits eingesetzten AV-Produkten basiert und die AV-Hersteller als Technikpartner einbindet. (kf)

Mehr zum Thema

Black Hat: Ajax macht Hacker glücklich;

MessageLabs: Spammer nehmen Einzelpersonen ins Visier;

Die zehn gefährlichsten Schwachstellen in Web-Anwendungen.




Seite: 1 2


Drucken Empfehlen Kommentar als PDF in mein Archiv
Link setzen bei:
Wie geht das?
Leserkommentare 
(0 Beiträge), 
Kommentieren

Beitrag schreiben

Noch kein Forums-Mitglied?
Dann gleich hier anmelden.

INHALT DIESES ARTIKELS
Whitepaper
Security Glossar
Aktuelle Umfrage

Wie verändert sich Ihr IT-Budget 2009 gegenüber 2008?

TESTEN SIE IHR WISSEN
KOSTENLOSE NEWSLETTER VON COMPUTERWOCHE
Nachrichten morgens
Whitepaper
Nachrichten mittags
CW-Mittelstand
Highlights der Woche
Hardware
Neu: SAP-Newsletter
Software
Job + Karriere
Open-Source
Stellenmarkt
Produkte + Techn.
Freiberufler
Security