Signaturen birgen Risiken

Die 5 größten Sicherheitsfehler

03.03.2010 von Thomas Pelkmann
Signatur-basierte Abwehrmaßnahmen gegen Viren und Schadsoftware reichen nicht aus, meint der Sicherheitsexperte Kenneth van Wyk Er plädiert für mehr Sicherheit auf Code-Basis.

"Ich ärgere mich immer wieder darüber", so van Wyk in unserer Schwesterpublikation Computerworld.com, "wie miserabel wir darin sind, aus unseren Fehlern zu lernen". Stattdessen wäre es besser, die Fehler zu untersuchen und Schlüsse daraus für die Zukunft zu ziehen, anstatt sie fröhlich und unbeschwert zu wiederholen.

Hier sind - ohne spezielle Reihenfolge - die fünf Punkte, in denen wir dem Diktum von van Wyk zufolge die meisten Fehler machen. "Sie sind zugleich die Ursache unserer größten Probleme, die wir heute haben und - wenn wir so weitermachen - auch für die zukünftigen".

1. Abhängigkeit von Signatur-basierten Abwehrmaßnahmen beenden

Seit Jahren gibt es Sicherheitslösungen, die auf der Basis eines umfangreichen Regelwerks nach unerwünschten Eindringlingen suchen. So ziemlich jeder, der sich damit auskennt, sagt heute, dass solche Analysen allenfalls die kurzfristige Lösung eines großen Problems sind. So amüsierte sich etwa der Sicherheitsberater Greg Shipley schon vor zwei Jahren über die "lustige Beziehung" zwischen den Herstellern von Signatur-basierten Antiviren-Programmen und den Programmierern von Schadsoftware: "Der eine veröffentlicht irgendwas, und der andere reagiert, und so geht das dann hin und her, und wieder von vorne. Das ist ein blödes Rennen ohne Ende".

Und die Kollegen vom TecChannel schrieben vor noch längerer Zeit: "Eine auf Regeln basierende Filterung wird dadurch eingeschränkt, dass schädliche Inhalte sehr verschieden aussehen können". So werde eine Virusmail zum Beispiel entdeckt, wenn sie eine VBS-Datei enthalte. Dieselbe Mail bleibe aber unter Umständen unerkannt, wenn sich der Schad-Code in einer angehängten ZIP-Datei befinde.

"Sicher", meint van Wyk, "die Signatur-basierten Lösungen haben sich in den vergangenen Jahren sehr verbessert, etwa durch die Möglichkeit, reguläre Ausdrücke zur Analyse heranzuziehen". Das Grundproblem habe sich aber seitdem nicht verändert. Der Sicherheitsexperte fordert daher Plausibilitätstests und positive Validierungen von Daten: Nur was sicher ist und zu den Daten im Unternehmen passt, kommt durch. Alles andere bleibt draußen. "Wir müssen den Kontext verstehen und daher ist es nötig, dass die Antiviren-Lösung eng mit den Applikationen zusammenarbeitet", so van Wyk.

2. Penetrationstests alleine reichen nicht

"Penetrationstests gehören selbstverständlich zu unserem Arsenal wirksamer Abwehrmaßnahmen", stellt der Sicherheitsexperte klar. Aber seine Sicherheitsstrategie alleine darauf aufzubauen, sei grob fahrlässig. Der Grund für die angebrachte Vorsicht: Die Penetrationswerkzeuge basierten oft nur auf dem Scannen von Netzwerk und Anwendungen. Naturgemäß seien diese Einblicke von außen aber nicht in der Lage, tiefer in die darunterliegenden Software-Architekturen und den Programmcode zu schauen, um Schadsoftware zu erkennen oder ihr Eindringen zu verhindern.

Das muss anders werden, fordert van Wyk: "Jedes Sicherheitsprogramm muss in der Lage sein, die Architektur und den Code eines Programms analysieren zu können - natürlich zusätzlich zu den Penetrationstests".

3. Erosion von Software-Verständnis

In den frühen 80er Jahren des vergangenen Jahrhunderts, erinnert sich Kenneth van Wyk, habe noch jeder Administrator umfangreiche Programmierkenntnisse vorweisen können. Heute sei das anders: Die Informationssicherheit finde sich in einer Nische wieder, und die Zahl der Leute, die Programmcode lesen können, sei stark geschrumpft.

"Das ist ein schwerer Fehler", kritisiert der Sicherheitsexperte. "Es reicht nicht zu wissen, dass die neuesten Antiviren-Lösungen funktionieren. Wir alle brauchen ein tiefes Verständnis für die darunter liegenden Technologien, mit denen wir arbeiten", fordert van Wyk.

4. Sicherheit von der Stange

Wann immer wir von einer neuen Viren-Attacke lesen oder hören, wollen wir unsere Systeme möglichst schnell vor diesen Eindringlingen schützen. Das ist normal und vorhersehbar. Der Wunsch nach einer schnellen Lösung lasse potenziell Betroffene aber allzu oft zu vorgefertigten Lösungen greifen: "Wir kaufen uns ein Produkt, setzen es in unser System ein und warten auf ein Wunder", seziert van Wyk genüsslich diesen Mechanismus. "Meistens aber werden wir stattdessen einfach nur enttäuscht."

Dabei spreche prinzipiell nicht einmal etwas gegen solche Notlösungen, wenn man sich nur klarmache, dass es sich dabei um genau das handelt: um Notlösungen. Wer nicht aber gleichzeitig auch die darunter liegenden Strukturen im Auge behalte, erhalte am Ende ein Mischmasch, das sein Unvermögen zu einem auf jeden Fall ungünstigen Zeitpunkt offenbaren werde.

5. Allzu optimistischer Code

Viele der Anwendungen, auf die wir im täglichen Business vertrauen, sind nach Auffassung van Wyks viel zu optimistisch programmiert: Die Entwickler verlassen sich darauf, dass schon genügend Speicherplatz für die Daten vorhanden sein wird oder das alle Schreiboperationen genau so funktionieren, wie von ihnen beabsichtigt.

Die Wahrheit ist (und jeder, der schon einmal Programm-Code geschrieben hat, sollte das wissen): Mitunter verhalten sich Computer auf eine unvorhersehbare Art und Weise und sorgen so dafür, dass die eben genannten Prämissen spektakulär ad absurdum geführt werden. Zudem hätten solche unplanbaren Aktionen signifikante Auswirkungen auf die Sicherheit der Systeme.

Wenn Kenneth van Wyk seine Systeme analysiert, legt er nach eigenen Worten viel Wert darauf, solche undenkbaren Szenarien vorzudenken. "Stellen Sie sich vor, Sie gehen mit einem Kleinkind an der Hand auf einer belebten Straße. Es ist Ihre Verantwortung dafür zu sorgen, dass der Nachwuchs nicht unter die Räder kommt." Diese Rolle falle auch den Entwicklern zu: Sie haben gefährliche Situationen zu antizipieren, damit ihr Kind - die Software - sicher durchs Leben kommt.

Wenn wir diese Sichtweise in die Art unserer Software-Entwicklung einfließen lassen, ist sich Kenneth van Wyk sicher, brauchten wir uns etwa über das Ziel positiver Validierungen nicht mehr extra verständigen. Das, so schließt van Wyk, sind die Sachen, die wir bei unseren Blicken in die Zukunft berücksichtigen sollten. "Und nein: Ich habe nicht alle Antworten dafür parat. Aber die einzige Chance, die wir haben, ist es, diese Probleme zu verstehen und an ihrer Lösung zu arbeiten."

Der Beitrag von Kenneth van Wyk erschien bei Computerworld.com.