Umsetzung der Technologie „vertrauenswürdige Umgebung“ in Kaspersky Internet Security 2014

Inhalt

    Einführung

    Im ersten Teil des Artikels haben wir die Entwicklung der Technologie Default Deny eingehender betrachtet – das Konzept einer vertrauenswürdigen Umgebung, die den Übergang von der Blockierung des Starts unbekannter Objekte hin zum Aufbau eines vertrauenswürdigen Systems ermöglicht, sowie die darauf folgende Aufrechterhaltung des vertrauenswürdigen Zustands – eines Zustands, der die Anwesenheit von Schadcode im System ausschließt.

    Im vorliegenden zweiten Teil des Artikels geht es um den Einsatz einer vertrauenswürdigen Umgebung als eine der Schutzkomponenten in den Produkten von Kaspersky Lab. Das erste Produkt, in das diese Schutzkomponente unter der Bezeichnung „Modus für sichere Programme“ integriert wurde, ist Kaspersky Internet Security 2014.

    Aktivierung des Modus‘ für sichere Programme

    In dem Produkt Kaspersky Internet Security 2014 wir der Modus für sichere Programme automatisch aktiviert. Vor der Aktivierung dieses Modus‘ ist allerdings eine Vorbereitung des Computers notwendig.

    Wie in Teil eins beschrieben, basiert die Funktionalität des Modus für vertrauenswürdige Programme auf dem Blockieren unbekannter Anwendungen, dynamischer Bibliotheken und Skripte. Doch was passiert, wenn der Modus für sichere Programme sofort nach der Installation der Antiviren-Lösung aktiviert wird, sich auf dem Computer des Nutzers jedoch unbekannte Anwendungen befinden? Gemäß der Logik des Modus‘ für sichere Programme werden solche Anwendungen, dynamischen Bibliotheken und Skripte blockiert. Allerdings könnten diese Anwendungen für den User durchaus nützlich sein, und das bedeutet, dass er der Möglichkeit beraubt wird, auf dem Computer gewohnte Tätigkeiten zu verrichten. Bevor der Modus für sichere Programme aktiviert wird, überprüft der Antivirus also zunächst, ob die Aktivierung des Modus‘ für sichere Programme nicht zur Sperrung von Programmen führt, mit denen der Nutzer arbeitet.

    Die Kompatibilitätsüberprüfung des Computers mit dem Modus für sichere Programme wird in mehreren Etappen durchgeführt, unter Einsatz eines speziellen intelligenten Algorithmus‘. Schauen wir uns diese Etappen einmal genauer an.

    Etappe 1: Überprüfung der gestarteten Anwendungen

    Auf der ersten Etappe erfolgt eine mehrere Wochen dauernde Analyse der Programme, die von dem Nutzer gestartet werden. Jede gestartete Anwendung bzw. jedes Skript wird hinsichtlich der folgenden Punkte geprüft:

    • Verfügt die Anwendung über eine elektronisch-digitale Signatur und ist diese Signatur vertrauenswürdig?
    • Verfügt eine Anwendung nicht über eine Signatur, wird nach Informationen über die Vertrauenswürdigkeit der Anwendung in den Wissensdatenbanken von Kaspersky Lab gesucht, die über das Kaspersky Security Network (KSN) verfügbar sind.

    Dabei werden keinerlei unbekannte Programme blockiert – der Antivirus speichert lediglich Informationen darüber, ob eine bestimmte Anwendung vertrauenswürdig ist oder nicht, und ob diese Anwendung bei aktiviertem Modus für sichere Programme folglich auf diesem Computer blockiert werden soll oder nicht.

    Um festzustellen, ob eine Datei oder ein Zertifikat vertrauenswürdig ist, wird – wie bereits gesagt – die Wissensdatenbank für vertrauenswürdige Programme im KSN herangezogen. Daher ist die Teilnahme am Kaspersky Security Network eine unumgängliche Bedingung für die Aktivierung des Modus‘ für sichere Programme, denn wird diese Bedingung nicht erfüllt, so ist der Antivirus nicht in der Lage, eine Entscheidung darüber zu treffen, ob eine zu startende Datei garantiert vertrauenswürdig ist oder nicht.

    Nach einigen Wochen der Analyse stellt der Antivirus die Gesamtzahl der Programme fest, die auf dem jeweiligen Computer gestartet werden können, sowie die Zahl der Programme, die im Modus für sichere Programme blockiert werden sollen. Gibt es auf dem Computer keine potentiell zu blockierenden Programme, so beginnt die zweite Etappe der Kompatibilitätsüberprüfung des Modus‘ für sichere Programme auf dem jeweiligen Rechner.

    Allerdings stellt sich hier die Frage, was in dem Fall passiert, wenn die Zahl der unbekannten (potentiell zu blockierenden) Programme nicht gleich null ist? In diesem Fall wird der Untersuchungsprozess der gestarteten Anwendungen fortgesetzt. Möglicherweise sind neue legitime Anwendungen noch nicht in der Wissensdatenbank des KSN enthalten und die Informationen über diese Programme erscheinen erst in nächster Zukunft. Denkbar ist aber auch eine andere Variante: Bei unbekannten gestarteten Programmen kann es sich um neue Modifikationen von Viren oder trojanischen Programmen handeln. In diesem Fall löscht der Antivirus das Programm nach Aktualisierung der AV-Datenbanken und kann dann ebenfalls zur zweiten Etappe der Analyse übergehen.

    Neben der Anwendungsüberprüfung wird auch eine Liste der gestarteten Bibliotheken erstellt. Diese Liste wird fortwährend mit dem Start neuer Anwendungen erweitert und auf der Etappe der Überprüfung der gestarteten dynamischen Bibliotheken verwendet.

    Etappe 2: Überprüfung der gestarteten dynamischen Bibliotheken

    Wir erinnern daran, das im Modus für sichere Programme nicht nur gestartete Anwendungen und Skripte blockiert werden, sondern auch von Anwendungen gestartete dynamische Bibliotheken. Wird eine Anwendung gestartet und werden von ihr geladene Bibliotheken blockiert, so kann die Anwendung einige der in sie integrierten Funktionen nicht ausführen oder sie wird vollständig funktionsunfähig. Daher ist es wichtig vor Aktivierung des Modus‘ sichere Programme sicherzustellen, dass die im Arbeitsprozess geladenen Bibliotheken ebenfalls vertrauenswürdig sind.

    Auf der zweiten Etappe erfolgt die Überprüfung der Bibliotheken aus der jeweiligen Liste in Übereinstimmung mit dem oben beschriebenen Algorithmus. Dabei läuft die Überprüfung im Hintergrundmodus ununterbrochen weiter. Neue Bibliotheken und Anwendungen, die im Laufe der zweiten Überprüfungsetappe gestartet werden, werden ebenfalls dieser Liste hinzugefügt und überprüft.

    Die Etappe der Überprüfung der gestarteten dynamischen Bibliotheken ist dann beendet, wenn sich in der Liste keine einzige nicht überprüfte Bibliothek befindet. Wurden neue unbekannte Bibliotheken entdeckt, so wird der Überprüfungsprozess dieser Bibliotheken nach einer gewissen Zeit erneut gestartet. Ebenso wie im Fall der unbekannten Anwendungen sind nun zwei Szenarien denkbar:

    • Die Datei ist eine neue Version einer vertrauenswürdigen Bibliothek und wird bald in der Wissensdatenbank des KSN bekannt sein;
    • die Datei ist eine neue Version eines Schadprogramms und wird mit dem nächsten Update der AV-Datenbanken von dem Antivirus gelöscht.

    Nach Beendigung dieser Etappe beginnt die dritte und wichtigste Etappe – die Überprüfung der Systemdateien.

    Etappe 3. Überprüfung der Systemdateien

    Um einen zuverlässigen Schutz zu gewährleisten, nimmt der Modus für sichere Programme gleich nach dem Anschalten des Computers seine Arbeit auf, das heißt, wenn während des Bootens der Versuch unternommen wird, eine unbekannte Systemdatei zu starten, so wird diese Datei blockiert, und folglich besteht das Risiko, dass das Betriebssystem nicht korrekt geladen wird.

    Um ein solches Szenario auf der dritten Vorbereitungsetappe zur Aktivierung des Modus für sichere Programme zu vermeiden, wird eine Vertrauenswürdigkeitsprüfung aller Systemdateien vorgenommen, die am Boot- und Funktionsprozess des Betriebssystems beteiligt sind. Die dritte Etappe wird wie auch die zwei vorhergehenden so lange fortgeführt, bis alle Dateien im System entweder als vertrauenswürdig oder als schädlich eingestuft wurden.

    Nach Beendigung der dritten Etappe trifft der Antivirus eine Entscheidung darüber, ob der Modus für sichere Programme vollständig mit dem jeweiligen Computer kompatibel ist und seine Aktivität die alltäglichen Tätigkeiten des Anwenders nicht behindern wird. Daraufhin erhält der Nutzer eine Benachrichtigung darüber, dass der Computer nun im Modus für sichere Programme arbeitet. Dass der Computer in den besagten Modus übergegangen ist, lässt sich im Hauptfenster von Kaspersky Internet Security 2014 an einem geschlossenen Vorhängeschloss auf der Abbildung des Monitors erkennen.

     

    Ab diesem Zeitpunkt verwendet Kaspersky Internet Security für seine Arbeit einen prinzipiell anderen Algorithmus: Zum Start zugelassen werden ausschließlich Objekte aus der Liste der vertrauenswürdigen Programme. Neue Objekte, die im System auftauchen, werden im Augenblick ihres Starts auf ihre Vertrauenswürdigkeit überprüft, und erweisen sie sich als vertrauenswürdig, so dürfen sie auf dem Computer ausgeführt werden. Sind sie nicht vertrauenswürdig, so wird der Start der Datei blockiert.

    Manuelle Aktivierung des Modus‘ für sichere Programme

    Der oben beschriebene Prozess zur Vorbereitung der Aktivierung des Modus‘ für sichere Programme nimmt relativ viel Zeit in Anspruch – der Antivirus sollte eindeutig festgestellt haben, dass alle Dateien im System vertrauenswürdig sind, und nur in diesem Fall erfolgt die Aktivierung des Modus‘ für sichere Programme.

    Dieses Schema ist für Heimanwender besonders geeignet. Doch wie sieht es mit fortgeschrittenen Nutzern aus, die diesen neuen Schutzmechanismus gleich nach der Installation des Antivirus verwenden wollen?

    Für solche Fälle ist die Möglichkeit der manuellen Aktivierung des Modus‘ für sichere Programme vorgesehen, die über das Menü Programmkontrolle umgesetzt werden kann.

     

    Selbst im Fall der manuellen Aktivierung des Modus‘ für sichere Programme sollte der Antivirus überprüfen, ob die Arbeit des Anwenders nicht behindert wird. Daher beginnt sofort nach dem Klick auf die Schaltfläche „aktivieren“ die Kompatibilitätsprüfung des Computers mit dem Modus für sichere Programme. Da der Antivirus bisher noch keine Informationen über die vom Anwender zu startenden Programme, Bibliotheken oder Systemdateien hat, läuft die Überprüfung in einer anderen Reihenfolge ab:

    1. Systemdateien;
    2. im Betriebssystem installierte Programme;
    3. andere Dateien, die der Anwender früher gestartet hat, beispielsweise Dateien, die von Netzwerkfestplatten gestartet werden.

     

    Nach Abschluss der Überprüfungsprozedur (Inventarisierung) erhält der Nutzer eine Liste der Programme, die zum gegenwärtigen Zeitpunkt unbekannt sind und bei der Arbeit im Modus für sichere Programme blockiert werden.

     

    Die manuelle Aktivierung ist für erfahrene Benutzer vorgesehen, die bezüglich einiger unbekannter Dateien selbstständig eine ausgewogene Entscheidung treffen können. Sie müssen die Ausführung dieser Dateien erlauben oder blockieren. Um dem erfahrenen Benutzer diese Entscheidung bezüglich unbekannter Dateien zu erleichtern, bietet Kaspersky Lab einen Online-Service, der Informationen zu jeder beliebigen Datei in der Wissensdatenbank von Kaspersky Lab zur Verfügung stellt. Die Wissensdatenbank des Kaspersky Security Network enthält das Registrierungsdatum der Datei in der Wissensdatenbank, Angaben zu ihrer digitalen Signatur, Informationen über die Vertrauenswürdigkeit der Datei, über den Hersteller, die Zahl der Nutzer weltweit sowie andere nützliche Informationen.

    Werden keine unbekannten Dateien gefunden, so wird gleich empfohlen, den Modus für sichere Programme zu aktivieren.

     

    Nach der Aktivierung des Modus für sichere Programme beginnt der Antivirus seine Arbeit nach den Algorithmen einer vertrauenswürdigen Umgebung, die im ersten Teil dieses Artikels beschrieben wurden. Schauen wir uns diese Algorithmen in Kaspersky Internet Security 2014 einmal genauer an.

    Umsetzung der Mechanismen und Unterstützung einer vertrauenswürdigen Umgebung

    Da bereits eine vertrauenswürdige Umgebung geschaffen wurde, läuft der Start von Anwendungen, die Teil der vertrauenswürdigen Umgebung sind, überaus problemlos ab: Der Antivirus weiß, dass die entsprechende Datei vertrauenswürdig ist und erlaubt deren Start. Wird eine neue Datei gestartet, die nicht aus der vertrauenswürdigen Umgebung stammt, beispielsweise von einem Wechseldatenträger, wird eine Überprüfung der Datei nach dem folgenden Algorithmus durchgeführt:

    • Verfügt die Datei über eine vertrauenswürdige digitale Signatur?
    • Wurde die Datei von einer vertrauenswürdigen Internet-Ressource geladen?
    • Hat die Datei in der Wissensdatenbank des Kaspersky Security Network den Status vertrauenswürdig?

    Bei einer positiven Antwort auf eine dieser Fragen wird der Start der Datei erlaubt, im gegenteiligen Fall wird der Start blockiert und der Anwender erhält eine Benachrichtigung über die Blockierung des Starts eines unbekannten Objekts.

    Wird innerhalb der vertrauenswürdigen Umgebung eine neue Datei erstellt, so wird sie aufgrund ihrer Eigenschaft als vertrauenswürdig angesehen: Alle Anwendungen, die in der vertrauenswürdigen Umgebung bei fehlenden Kontakten zur äußeren Umgebung erstellt werden, gelten als vertrauenswürdig. Auf diese Weise ist es möglich, im System bestehende Programme auf neuere Versionen zu aktualisieren und auch neue Programme zu installieren.

    Man sollte allerdings auch die Beschränkungen berücksichtigen, die angreifbaren Anwendungen auferlegt werden: Eine verwundbare vertrauenswürdige Anwendung kann durch das Einwirken eines Exploits im System schädliche Objekte erstellen. Zur Erhöhung der Sicherheit und Unterstützung der vertrauenswürdigen Umgebung werden in Kaspersky Internet Security alle vertrauenswürdigen Anwendungen in drei Kategorien eingeteilt:

    • vertrauenswürdige Anwendungen. Anwendungen, die in Übereinstimmung mit den Eigenschaften der vertrauenswürdigen Umgebung laufen;
    • potentiell angreifbare Anwendungen. Für jede solche Anwendung wird ein spezielles Profil von erlaubten Aktivitäten erstellt, das die Geschäftslogik der Anwendung einschränkt. Die Liste der potentiell angreifbaren Software wird von den Kaspersky Lab-Experten auf der Grundlage einer Analyse der Statistik über die in verschiedenen Anwendungen entdeckten Sicherheitslücken erstellt. Alle Objekte, die mit den entsprechenden Anwendungen erstellt wurden, werden einer zusätzlichen Kontrolle unterzogen;
    • Anwendungen, die mit der äußeren Umgebung in Kontakt stehen. Solche Anwendungen gehören nicht zur Gruppe der potentiell verwundbaren Anwendungen, sie stehen allerdings mit der äußeren Umgebung in Verbindung und können von Cyberkriminellen missbraucht werden, um ins System einzudringen. So kann zum Beispiel eine Datei, die der Anwender über den Filesharing-Dienst Skype erhalten hat, sich als bisher unbekannte Version eines Schadprogramms erweisen. Objekte, die mit derartigen Anwendungen im System erstellt wurden, werden ebenfalls einer zusätzlichen Kontrolle unterzogen und genauso überprüft wie alle Anwendungen, die außerhalb der vertrauenswürdigen Umgebung erstellt wurden.

     

    Dabei werden auch alle Objekte, die von vertrauenswürdigen Anwendungen erstellt wurden, in Übereinstimmung mit dem in den Kaspersky Internet Security-Produkten festgeschriebenen Konzept eines komplexen Schutzes kontrolliert, was den Aufbau eines effektiven Computer-Schutzes möglich macht.

    Die Experten von Kaspersky Lab haben sich dagegen entschieden, die Idee einer vertrauenswürdigen Umgebung in Form eines separaten Schutzprodukts umzusetzen, da sie einen anderen Ansatz für weitaus effizienter halten – die Integration des Konzepts einer vertrauenswürdigen Umgebung in bereits existierende Produkte von Kaspersky Lab. Dafür gibt es mehrere gute Gründe: Das Vorhandensein von Exploits, die schädliche Aktivität auf dem Computer ausführen, ohne dabei Dateien zu erstellen; die Verbreitung von Makroviren in Office-Dokumenten (solche Dateien können nicht durch den Modus Default Deny kontrolliert werden, das sie ständig verändert werden); die Nutzung bedingt legitimer Software durch Cyberkriminelle, die sie zur Ausführung von Schadfunktionen speziell konfiguriert haben. So verwandeln beispielsweise bestimmte Einstellungen in der Konfigurationsdatei Programme zur Registrierung der Tastaturanschläge in einen Spionage-Trojaner.

    Dieser Ansatz ermöglicht den Aufbau eines zuverlässigen Schutzsystems für den Heimcomputer oder das Unternehmensnetzwerk in mittleren oder kleinen Betrieben.

    Fazit

    Der zweite Teil des Artikels ist der Anwendung der Technologie einer vertrauenswürdigen Umgebung in Kaspersky Internet Security 2014 gewidmet – ein in erster Linie auf den Heimanwender zugeschnittenes Produkt. Die Umsetzung dieser Technologie erhielt den Namen „Modus für sichere Programme“.

    Wir haben zwei unterschiedliche Aktivierungsarten des Modus für sichere Programme eingehender betrachtet:

    • die automatische Aktivierung, wenn der Antivirus die Entscheidung über die Aktivierung des Modus für sichere Programme auf der Grundlage eines intelligenten Algorithmus‘ trifft. Diese Art der Aktivierung ist für Heimanwender geeignet;
    • manuelle Aktivierung. Diese Art der Aktivierung ermöglicht die Schaffung einer vertrauenswürdigen Umgebung nicht nur für einen separaten Computer, sondern für ein kleineres Netzwerk, so dass die darin kursierenden Informationen besser geschützt werden.

    Im vorliegenden Artikel wurden Ansätze zur Unterstützung einer vertrauenswürdigen Umgebung beschrieben, die eine wichtige Rolle bei der Entscheidungsfindung bezüglich neuer Programme, die im System auftauchen, spielen, ebenso wie bei der Aktualisierung bereits bestehender und der Installation neuer Programme. Die beschriebenen Methoden zur Kontrolle von verwundbaren Anwendungen machen es möglich, anomale Aktivität von angreifbaren Anwendungen effektiv zu überprüfen und eine Entscheidung bezüglich der Vertrauenswürdigkeit von Dateien zu treffen, die von angreifbaren Anwendungen erstellt wurden.

    Das beschriebene Konzept einer vertrauenswürdigen Umgebung und ihre Umsetzung in Form des Modus‘ für sichere Programme in Kaspersky Internet Security 2014 sind ein wichtiger Schritt auf dem Weg zur Gewährleistung der Sicherheit von PC-Nutzern, die ihre Informationsressourcen hochschätzen. Die von den Experten bei Kaspersky Lab entwickelte komplexe Schutzlösung vereint in sich die Qualität eines Antiviren-Ansatzes mit dem Ansatz Default Deny und ermöglicht so die Schaffung einer vertrauenswürdigen Umgebung, in der die Chancen für Cyberkriminelle, schädlichen Code auszuführen, gegen Null tendieren.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.