Ich möchte Euch diesen
großartigen Vortrag von Joanna Rutkowska
sehr ans Herz legen. Diese Aufnahme des Linux-Magazin stammt aus
dem letztjährigen DFN-Workshop "Sicherheit in vernetzten Systemen"
zu dem ich mich fast angemeldet hätte, wenn mir die
Tagungsgebühren nicht so hoch gewesen wären. Wenn alle Vorträge
ähnlich interessant gewesen sind, hätte ich mich wohl nicht
geärgert, hätte ich mich angemeldet.
In Ihrem Vortag hält Rutkowska ein sehr überzeugendes Plädoyer
für die Bedeutung des Aspektes der Erkennung von kompromittierten
Systemen. Sie kritisiert die einseitige Fokussierung auf den Aspekt
der Prävention und trifft damit bei mir voll ins Schwarze, da
auch in meinem Bewußtsein die Prävention stehts die größte
Bedeutung besaß und Erkennung zwar nicht unbedeutend, aber doch
nachrangig war. Denn: wer ein integeres System will, der muß den
Einbruch verhindern. Erkennung greift erst im Schadensfall.
Genau hier hakt Rutkowska jedoch sehr überzeugend ein. Sie
argumentiert, dass die Vergangenheit gezeigt habe, dass Systeme,
die man sicher glaubte, nur allzu oft doch kompromittiert werden
konnten, weil Sicherheitslücken ausgenutzt wurden. Hat man nun ein
System, dass eine Lücke hatte, so hat man mit der Prävention ein
Problem. Denn selbst wenn man sofort nach Bekanntwerden der Lücke
einen Patch einspielt, so kann man sich nie sicher sein, dass die
Lücke in der Vergangenheit nicht ausgenutzt worden ist. Prävention
hat also immer eine zeitliche Komponente, eine Geschichte, die
sich rückwirkend nicht ändern lässt. Behebe ich eine Lücke jetzt,
habe ich sie in der Vergangenheit noch lange nicht behoben. Ich
müßte also nach jeder neuen Lücke um die Sicherheit meines Systems
fürchten. Daran änderten auch verbesserte präventive Maßnahmen
nichts.
Anders die Erkennung. Verbessere ich die Erkennung, greift diese
Verbesserung oftmals "zeitlos". Ich erhöhe damit nicht nur die
Wahrscheinlichkeit gegenwärtige Einbrüche zu detektieren, sondern
ich erhöhe ebenfalls die Wahrscheinlichkeit vergangene Einbrüche
aufzuspüren. Systeme zur Prüfung der Systemintegrität sind also im
Grunde die andere Medaille sicherer Systeme. Ohne Detektion macht
Prävention keinen Sinn. Da Prävention keine Sicherheit bieten
kann, müssen wir immer auf der Hut sein, ob präventives Maßnahmen
nicht doch versagten. Sie bemüht das passende Bilder des "Yin-Yan
der Sicherheit". Die Balance muß stimmen und die Erkennung von
Schadsoftware darf nicht als lästiges Stiefkind der Sicherheit
betrachtet werden.
Sie definiert im folgenden verschiedenen Typen von Schadsoftware
und klammert einen Bereich, nämlich jenen von selbst installierten
Programmen, z.B. von selbstinstallierter Schadesoftware, die die
üblichen API's für Programme benutzt und nicht irgendwelche
Schwächen ausnutzt oder andere Systembestandteile kompromittiert,
aus. Ihre Klassifikation überzeugt ebenso wie die skizzierten
Lösungsansätze, die im übrigen auch deutlich machen, warum die
Installation von handelsüblicher Antiviren-Software keine Lösung,
sondern manchmal sogar Teil des Problems ist.
Ich kann jedem, der sich für dieses Thema interessiert (für IT'ler
sollte es m.E. Pflichtstoff sein), nur empfehlen sich das Video und
die Slides anzugucken. Das sind 90 sinnvoll investierte Minuten.
Ich zumindest habe ein paar Aha-Effekte erlebt und bin dem
Linux-Magazin für
diesen Service schönen Service, der einige andere interessante
Vorträge bietet, dankbar.
