Internet - Container
Abkapselung des Email- / Internet- Zuganges
.01 | Virtuelle Maschinen
VirtualBox, VMPlayer, Hyper-V
Kein Abwehrsystem ist in der Lage, jedwedes Eindringen von Viren zu verhindern.
Unsere Lösung: Eine virtuelle Maschine als Internet-Zugang, die jederzeit einfach ersetzt werden kann.
Sollte z.B. ein Erpresser-Virus über einen Email-Anhang, auf Ihren PC gelangen, so bleibt er in diesem Internet-Container gefangen und ist nicht in der Lage, Schaden in Ihrem Standard-Arbeitsfeld anzurichten.
Die Sicherheit auch dieses Verfahrens ist an bestimmte Bedingungen geknüpft:
- * Container-Lücken: Sind Schadcode-Lücken bekannt geworden, die die Kapsel gefährden.
- * Container-Kommunikation: Sind im Standardbetrieb die Datenwege zum Host unterbrochen.
- * Container-Austausch: Wurde der Container regelmäßig ausgetauscht.
Mehrstufige Schadcode-Abwehr durch Abkapselung
Der Schutz-Container dient als strategisches Opfer:
Die virtuelle Maschine ist leicht ersetzbar, ohne dass das Haupt-System beinträchtigt wird.
Die Stufen der Schad-Code-Abwehr:
• Das Firewall- und Antiviren-System der Kapsel muss überwunden werden.
• Der Schadcode muss darauf vorbereitet sein, in einer virtuellen Maschine zu landen.
• Der Schadcode muss einen Exploit der verwendeten virtuellen Maschine beinhalten.
• Der Schadcode muss auf das System der Kapsel + des Haupt-Systems vorbereitet sein.
Wie bei einem Tresor mit seinen Sicherheitsstufen, lässt sich auch hier der Sicherheitsgrad weiter erhöhen. Der nächste Schritt für uns, ist eine unspezifische Überwachung der Container-Integrität.
Virus - Simulation
Vertrauen ist gut, Kontrolle ist besser
.02 | Metasploit - Framework
Exploit, Veil-Evasion, Powershell
Eine Kette ist nur so gut wie ihr schwächstes Glied, das gilt auch für eine mehrstufige Schadcode-Abwehr.
Unsere Lösung: Test des Schutz-Containers mit den üblichen Hacking-Tools und Kenntnis der bekannten Schadcode-Datenbanken.
Effektive Kontrolle = Effektive Sicherheit:
- * Metasploit: Framework für den Penetrations-Test gegen verteilte Zielrechner.
- * Veil-Evasion: Überwinden gängiger Antivirus-Lösungen, um Backdoors zu installieren.
- * Powershell-Crypto: Unsere Crypto-Virus-Simulation auf Basis von Script-Dateien.
- * openVAS: Schwachstellen-Scanner mit ständig erweiterten Prüfskripten.
Wie reagiert der Container auf verseuchte USB-Sticks?
Zu Testzwecken übertragen wir einen Trojaner per Stick auf den Container.
Die interessante Frage ist, ob der Schadcode bis zum Hauptsystem durchdringen kann.
Zum gegenwärtigen Zeitpunkt sind nach den gängigen Schadcode-Datenbanken (z.B.NVD) keine Exploits bekannt, mit deren Hilfe die von uns verwendeten Virtuellen Maschinen durchdrungen werden könnten.
Auch unsere Versuche haben bisher kein anderes Ergebnis gezeigt.
- * Die verwendeten Virtuellen Maschinen (VMs) werden vielfach eingesetzt und getestet.
- * Zukünftige Viren-Angriffe könnten einen VM-Test und einen Schlaf-Modus enthalten.
- * Es bietet sich an, für VM und Host unterschiedliche Betriebssysteme zu verwenden.
- * Die Kommunikation zwischen Host und VM sollte möglichst eingeschränckt sein. .
Die obige Auflistung gibt eine Reihe von Entwicklungshinweisen:
** Regelmäßiger Austausch des Containers, um ruhenden Schadcode zu entfernen.
** Überwachung und Steuerung der Datenschnittstellen zwischen Host und Container.
** Prüfung des Containers auf Systemveränderung: Soll-/Ist-Vergleich und Austausch.
** Steuerung von ClipBoard, SharedFolder und Drag_and_Drop durch Bedien-Menü.