Schutz vor kompromittierter Software
Foto: Mentopolis CSC GmbH
Eine praktikable und wirtschaftliche Lösung besteht darin, das Verhalten eines nicht kompromittierten Pakets direkt nach dem Wareneingang mit seinem Verhalten nach den Zuliefer-Prozessen zu vergleichen. Dazu wird das Paket in einer Test-Umgebung installiert und das Verhalten mit Hilfe einer Agentensoftware protokolliert. Der Agent betrachtet nicht den jeweiligen Installer, sondern analysiert die Ergebnisse der Installation - also alles, was auf dem System landet oder verändert wurde. Dieses Vorgehen liefert exakte Informationen darüber, wie eine Software aussieht und wie sie sich während der Installation und Laufzeit verhält. Das Ergebnis ist ein so genannter Referenz-Application-Fingerprint. Der Referenz-Fingerprint kann, muss aber nicht, beim Anwender erzeugt werden. Denkbar ist auch, dass der Softwarehersteller ihn direkt mit dem Paket ausliefert oder er von einem vertrauenswürdigen Dienstleister erstellt wird.
Wichtig ist, die komplette Installation bis hin zum Start der Applikation zu durchlaufen. Nur so erhält der Anwender vollständige Informationen über Änderungen in der Registry, im Dateisystem, in Dateiinhalten und an Betriebssystemkomponenten.
Nun lässt sich das Verhalten einer gelieferten Applikation vor der Installation unabhängig von Paketierung und Quelle automatisch mit der Referenz vergleichen. Die Betonung liegt hier auf "automatisch", denn so hält sich der Aufwand in einem wirtschaftlich vertretbaren Rahmen. Verfügt ein Unternehmen über einen Software-Qualitätssicherungsprozess, kann dieser direkt für einen Integritätscheck eingesetzt werden.
Die Prüfsumme jeder einzelnen installierten Komponente des Pakets wird mit denen der Referenz verglichen. Durch die Umpaketierung ist es nämlich nicht mehr möglich, Prüfsummen über das komplette Paket zu bilden.
Bis zum "Go"
Mit dieser Vorgehensweise lässt sich unabhängig von ihrem Format sicher feststellen, ob Software im Laufe der verschiedenen Prozesse zur Paketierung, während diverser Tests oder im Zuge der Qualitätssicherung verändert wurde. Ist keine Veränderung festzustellen, darf das "Go" zum Rollout ruhigen Gewissens erfolgen. Im Falle einer Veränderung hingegen liefert die Methodik Informationen zu den Modifikationen. Die ermöglichen Spezialisten einen schnelleren Zugang zur Analyse, weil der kompromittierte Code beziehungsweise das unerwünschte Verhalten der Software bereits isoliert wurde. Die Forensik muss nicht bei Null beginnen, sondern kann gezielt ansetzen, was Zeit und Geld spart. Wer das Monitoring im operativen Betrieb mitlaufen und automatisch mit der erstellten Referenz abgleichen lässt, erhält so Hinweise auf unerwünschte Veränderungen von installierter Software in der bestehenden Infrastruktur.
Die Referenz-Fingerprints können in einer zentralen Datenbank vorgehalten werden. Mit einer breiten Datenbasis lässt sich zudem vorhersagen, wie sich authentische Software auf einem Zielsystem zu verhalten hat. Ohne Mehraufwand ist eine Sicherheitsprüfung in einen UAT integrierbar. Für Unternehmen, die sich vor komplexen und gezielten Angriffen schützen möchten, gibt es somit eine automatisier- und bezahlbare Lösung, die nicht mehr ignoriert werden kann. (sh)