develop free website

Häufig gestellte Fragen zu seculution Application Whitelisting

Meltdown und Spectre

Meltdown und Spectre sind die Namen für Sicherheitsprobleme, die fast jeden Computerchip betreffen, der in den letzten 20 Jahren hergestellt wurde. Die Schwachstellen sind so grundlegend und weit verbreitet, dass Sicherheitsforscher sie als katastrophal bezeichnen. Daher sind diese Lücken derzeit überall in der Presse.


Alle Varianten der Ausnutzung dieser Sicherheitslücke beinhalten, dass ein bösartiges Programm Zugriff auf Daten erhält, die es normalerweise nicht sehen darf. Aber es bedeutet eben auch, dass der Angreifer seine bösartige Software auf einem abgesicherten System zur Ausführung bringen muss. Whitelisting schützt also auch hier, denn die Ausnutzung dieser Sicherheitslücke ist immer zwingend damit verbunden, dass der Angreifer seine Schadsoftware auf dem angegriffenen System zur Ausführung bekommt. Und genau das wird durch SecuLution verhindert. Daher mag die zugrunde liegende Lücke zwar weiterhin existieren, durch das darüber gestülpte Sicherheitsnetz SecuLution kommt aber keine Software durch, die diese Lücke ausnutzen könnte. Mehr dazu in unserem aktuellen Update (6/2018) zu Meltdown und Spectre.

Interessant ist die Tatsache, dass Virenscanner im Gegensatz zu Whitelisting keinen verlässlichen Schutz bieten können. Denn im Gegensatz zu gewöhnlicher Malware sind die Ausnutzung von Meltdown und Spectre schwer von normalen, gutartigen Anwendungen zu unterscheiden. Ein Antivirusprogramm kann jedoch Malware erkennen, die die Angriffe nutzt, indem es Binärdateien vergleicht, nachdem sie bekannt geworden sind. Erst dann können sinnvolle Muster und Definitionen dieser Angriffe bekannt gemacht werden.Bis das geschehen ist, werden bereits unzählige Computernetzwerke, die mit Virenscannern geschützt werden, infiziert worden sein.

Meltdown und Spectre nutzen kritische Schwachstellen in nahezu allen modernen Prozessoren aus. Diese Hardware-Schwachstellen ermöglichen es Programmen, Daten zu stehlen, die derzeit auf dem Computer verarbeitet werden. Während es Programmen normalerweise nicht erlaubt ist, Daten von anderen Programmen zu lesen, kann ein bösartiges Programm Meltdown und Spectre ausnutzen, um an Geheimnisse zu gelangen, die im Speicher anderer laufender Programme gespeichert sind. Dazu gehören Ihre Passwörter, die in einem Passwort-Manager oder Browser gespeichert sind, Ihre persönlichen Fotos, E-Mails, Sofortnachrichten und sogar geschäftskritische Dokumente.


Meltdown und Spectre arbeiten auf PCs, mobilen Geräten und in der Cloud. Je nach Infrastruktur des Cloud-Providers ist es möglich, Daten von anderen Kunden zu stehlen.


Meltdown:

Meltdown durchbricht die grundlegendste Isolierung zwischen Benutzeranwendungen und dem Betriebssystem. Dieser Angriff ermöglicht es einem Programm, auf den Speicher und damit auch auf die Geheimnisse anderer Programme und des Betriebssystems zuzugreifen.


Wenn Ihr Computer über einen verwundbaren Prozessor verfügt und ein nicht gepatchtes Betriebssystem verwendet, ist es nicht sicher, mit sensiblen Informationen zu arbeiten, ohne dass die Informationen durchsickern. Dies gilt sowohl für Personal Computer als auch für die Cloud-Infrastruktur. Zum Glück gibt es Software-Patches gegen Meltdown.


Spectre:

Spectre durchbricht die Isolation zwischen verschiedenen Anwendungen. Es ermöglicht es einem Angreifer, fehlerfreie Programme, die Best Practices befolgen, zu täuschen, damit sie ihre Geheimnisse preisgeben. Tatsächlich erhöhen die Sicherheitsüberprüfungen der genannten Best Practices die Angriffsfläche und können Anwendungen anfälliger für Spectre machen.


Spectre ist schwerer auszunutzen als Meltdown, aber es ist auch schwieriger abzuschwächen. Es ist jedoch möglich, bestimmte bekannte Exploits, die auf Spectre basieren, durch Software-Patches zu verhindern.



Grundsätzliche Fragen

SecuLution schützt bereits in der Grundkonfiguration vor mehr potenziellen Gefahren als alle Virenscanner es jemals könnten. Die patentierte Whitelisting Technologie macht es möglich auch noch völlig unbekannte Schadsoftware an der Ausführung zu hindern. Wir haben das Prinzip hier für Sie verdeutlicht.


SecuLution ist allerdings zu allen gängigen Antivirus-Lösungen kompatibel, wenn Sie diese weiterhin einsetzen möchten.

SecuLution kann Netzwerke aller Größen ohne Unter- oder Obergrenze absichern. Es ist lediglich notwendig, dass die Betreuung des Netzwerkes durch mindestens einen professionellen Vollzeit-Adminstrator erfolgt. Erfahren Sie mehr in unserem Whitepaper und der Produktbroschüre.

Das Whitelisting von Applikationen/Software, oder auch Application Control genannt, fußt auf dem Konzept lediglich Software, die auf einer Whitelist von bekannten Anwendungen geführt wird zur Ausführung zuzulassen. Es kann in einem Netzwerk dessen Endpoints durch eine Application-Whitelist/Application Control Lösung gesichert sind also nichts mehr ausgeführt werden, was nicht explizit erlaubt ist.


Das Konzept kehrt den Ansatz, der mit Virenscannern heutzutage fast zu 100% zum Schutz eines Netzwerks verfolgt wird, komplett um und bietet daher einen unvergleichlich höheres Schutzniveau. Da klassische Antivirensoftware immer darauf angewiesen ist den Schadcode zu kennen den sie blockieren soll. Siehe auch SecuLution Antivirus.


Noch einfacher ausgedrückt, jeder von agiert an seiner Haustür exakt nach dem selben Funktionsprinzip. Sie lassen nur diejenigen in Ihr Haus, die sie auch auf Ihrer eigenen Whitelist als vertrauenswürdig stehen haben. Alle anderen kommen nicht durch die Tür.

Während der SecuLution Agent eine Netzwerkverbindung zur SecuLution Server Appliance hat, werden Anfragen immer zur Appliance gesendet. Dies ermöglicht eine Null-Sekunden-Reaktionszeit bei Änderungen. Ist der Agent offline, greift er auf eine lokal gespeicherteund verschlüsselte Datenbank zurück. Siehe auch SecuLution Agent

Gute Frage. Verstehen wir auch nicht. Kannten Sie uns denn schon, bevor Sie diese Website heute gelesen haben?

Ein Hash ist eine Prüfsumme, mit dem die Integrität von Daten überprüft werden kann. Da die Prüfsumme, ähnlich einer Quersumme aus einer großen Zahl, sich ändert sobald sich nur ein Bit im Quellcode der Datei aus der der Hash erzeugt wurde verändert wird, kann man anhand von Hashes Software fälschungssicher identifizieren. Auf dieser Eigenschaft basiert die Funktion von SecuLutions Agent Software, die bei jedem Programmstart den Hash des Programms erzeugt und eindeutig auf der Whitelist gegenprüft. 

Nein. Die Abfrage eines Hashes, der vom SecuLution Agent aus der jeweiligen Software erzeugt wird, dauert lediglich 30 ms. Das entspricht etwa der Zeit, die ein Ping benötigt. Auf Grund dieses Verhaltens und des sehr kleinen Datenpakets, welches gegen den Server geprüft wird, arbeitet SecuLution extrem ressourcenschonend. Vergleicht man diesen Wert beispielsweise mit einer heuristischen Live Überprüfung durch einen Virenscanner, ist SecuLution etwa um den Faktor 10.000 schneller als die Antiviren-Lösung. Ja, wir wissen, dass das ein Äpfel Birnen Vergleich ist. Aber der Vergleich macht deutlich, von welchen Dimensionen wir reden.

Der SecuLution Server enthält die von Ihnen gepflegte Whitelist und die zugehörigen Regeln der enthaltenen Objekte. Sie installieren ihn als Virtuelle Maschine in Ihrem Netzwerk und haben jederzeit volle Kontrolle über Ihre Daten. Es werden keine Nutzungsdaten ins Internet übertragen. Ihre Daten bleiben Ihre Daten. Garantiert.

Kurze Antwort:

Die in den Hash Algorithmen MD5 und SHA1 gefundenen Schwachstellen haben keinen Einfluss auf die Sicherheit von SecuLution, da es nach wie vor nicht möglich ist, eine Schadsoftware zu erzeugen, die einen bestimmen, vorgegeben Hash trägt. Das heißt, es ist nicht möglich eine Datei zu erzeugen, die denselben Hash hat, wie eine bereits in der Whitelist von SecuLution enthaltenen Software.


Ausführliche Antwort:

In den Medien wird SHA1 und MD5 als „gebrochen“ dargestellt, da es möglich ist, Kollisionen zu erzeugen. Eine „Kollision“ bedeutet im Bezug auf Hashes, dass man zwei unterschiedliche Eingabedaten (Datei1 und Datei2) erzeugen kann, die nach Anwendung des Hash Algorithmus im selben Hash resultieren, wobei kein Einfluss auf den resultierenden Hash genommen werden kann.

Um einen Angriff auf die durch SecuLution gebotene Sicherheit durchzuführen, müsste ein Angreifer eine Datei erzeugen, deren Hash bereits in der Whitelist von SecuLution enthalten ist („Pre-Image“ Angriff). Beim Kollisionsangriff geht es also darum, zwei unterschiedliche Dateien zu erzeugen, die denselben nicht vorher bestimmbaren Hash haben; beim Pre-Image Angriff geht es darum eine Datei zu erzeugen, die einen spezifischen, vorher vorgegebenen Hash hat. Dies sind zwei kryptografisch vollständig unterschiedliche Aufgabenstellungen. Erfolgreiche Pre-Image Angriffe sind auch bei SHA1 und MD5 nicht bekannt.

Für technische Fragen zu SecuLution im Praxiseinsatz finden Sie in unserem online verfügbaren Handbuch einen FAQ Bereich:

STELLEN SIE IHRE FRAGE.

Sie konnten Ihre Frage nicht in unseren FAQ finden? Schreiben Sie uns einfach was Sie wissen möchten, unser Support-Team wird Ihnen  schnellstmöglich antworten.


TESTEN SIE SECULUTION
APPLICATION-WHITELISTING
8 WOCHEN IN IHREM NETZWERK.



Füllen Sie das Kontaktformular aus und wir melden uns umgehend bei Ihnen zurück.

ODER RUFEN SIE UNS AN:

Werktags von 8.00 – 17.00 Uhr