Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Schützt digital signierte Software vor Trojanern oder auch Viren?

Frage Sicherheit Viren und Trojaner

Mitglied: 7crystal7

7crystal7 (Level 1) - Jetzt verbinden

07.08.2007, aktualisiert 12.08.2007, 6438 Aufrufe, 9 Kommentare

Hallo zusammen,

ich bräuchte ein paar Experten Meinungen zu folgender Frage bitte:

Angenommen man erweitert seine PC-Hardware so, dass der Rechner in einem geschützten Betriebsmodus arbeiten kann: Beginnend mit dem Booten des Betriebssystems über die Integration von Treibern bis hin zum Start von Anwendungsprogrammen dürfen nur digital signierte Softwareobjekte gleichzeitig genutzt werden.

1. Lässt sich dadurch verhindern, dass man trojanischen Pferden zum Opfer fällt? Wieso?
2. Wie sieht es mit transitiven trojanischen Pferden aus?
3. Kann die Fortpflanzung von Viren mittels digital signierten Programmcodes eingeschränkt werden?

Vielen Dank,
7crystal7
Mitglied: filippg
07.08.2007 um 15:36 Uhr
Hallo,

was heißt denn "digital signierte Software"? Jeder Trottel kann jede beliebige Software signieren.
Die meisten Signaturmodelle dienen tatsächlich nur dem Identitätsnachweis. D.h. VeriSign oder wer auch immer stellt dir nur ein Zertifikat aus, in dem deine Identität bestätigt wird. Dass du kein böser Bube bist steht nicht mit drauf, und wird auch nicht überprüft. Natürlich kommt das löschen aller persönlichen Daten eines Nutzers viel uncooler, wenn der rausfinden kann, wer man ist.

Rein technisch: Mit Standard-PC-Hardware geht das nicht wirklich sicher. Und deswegen hat man sich ja Gedanken über so Sachen wie TPM gemacht. Das soll es theoretisch ermöglichen, auch so Sachen wie von dir beschrieben zu machen. Also beispielsweise nur Software aus einer bestimmten, vertrauenswürdigen Quelle zulassen. Damit wäre auch ein Schutz vor Viren, trojanischen Pferden und all dem gewährleistet.
Nur: 1. werden sich auch in der TPM-Implementierung Fehler befinden und 2. Wer will schon Software wirklich nur aus einer Quelle haben? 3. Müsste dann die Software aus dieser Quelle fehlerfrei sein, um wirkliche Sicherheit zu gewährleisten....
In der Praxis wird auch TPM etc keine 100%ige Sicherheit garantieren können. (nicht zuletzt, weil gar nicht immer klar ist, was "Schadsoftware" ist. Ein Programm, was alle persönlichen Daten aus dem IEx löscht werden viele ganz toll finden, für andere kann es ein Schädling sein)

Filipp
Bitte warten ..
Mitglied: bra1nf00d
07.08.2007 um 15:49 Uhr
mit TPM würde das schon gehen *zumindest in der Theorie" da in der Ausbaustufe 2 (TPM/Fritz-Chip ist im Processor integriert) TPM den Zugrif auf die Anwendung von außen verbietet und ein Zugriff auf die geschützten Daten nicht zuläst...

"Wird kein genehmigter Status erreicht, ergibt sich ein falscher Hash-Wert, und der Fritz-Chip weigert sich, die Schlüssel freizugeben. Der Rechner kann möglicherweise weiterhin auf nicht TC-konforme Anwendungen und Daten zugreifen, auf geschütztes Material wird aber kein Zugriff möglich sein."

Quelle:
http://moon.hipjoint.de/tcpa-palladium-faq-de.html

/edit:

ein interessanter Ansatz im Kampf gegen Viren und deren Verbreitung ist ein "Imunsystem für das Internet" es gibt ja einige Hersteller z.B. Trendmicro mit der "Outbreak prevention Policy" die versuchen der Sache schneller zu begegnen aber es doch nicht schaffen ... dsw. Imunsystem auf der Basis von Honeypots die in Virenscanner integriert werden und somit eine Art "live" - "Outbreak Prevention Policy" schaffen .. sehr ineressant aber doch nicht genau das was du suchst ..

zu 1. Ja irgendwann evtl.
zu 2. siehe 1.
zu 3. Ja aber nur bedingt da es auch Netzwerk Viren gibt

just my 20 cent
Bitte warten ..
Mitglied: 7crystal7
07.08.2007 um 15:51 Uhr
danke, wie würden dann die Antworten für die Fragen 1-3 konkret aussehen?

Vielen Dank,
7
Bitte warten ..
Mitglied: gnarff
09.08.2007 um 04:31 Uhr
Hallo 7,
es ist voellig egal, ob Du den/die Rechner in einem "geschuetzten" Betriebsmodus betreibst, mit signierter Software oder nicht; es ist auch egal ob der Schaedling nun ueber transitive Faehigkeiten verfuegt oder nicht. Fakt ist, hast einmal einen Schaedling drauf, darfst Du Dich von Deinem "geschuetzten" Betriebsmodus verabschieden.

Die Antworten zu Deinen Frage lauten daher:
1. Nein
-Denke dabei bitte an die Verbreitungswege- und moeglichkeiten von Schadprogrammen.

2. Nein
-Denke dabei bitte noch einmal an die Verbreitungswege- und moeglichkeiten von Schadprogrammen.

3. Definitiv nicht
-Denke dabei bitte noch ein drittes Mal an die Verbreitungswege- und moeglichkeiten von Schadprogrammen.

saludos
gnarff
Bitte warten ..
Mitglied: bra1nf00d
09.08.2007 um 19:30 Uhr
Fakt ist, hast einmal
einen Schaedling drauf, darfst Du Dich von
Deinem "geschuetzten" Betriebsmodus
verabschieden.

Hast du eigentlich eine Ahnung wie TPM aufgebaut ist?
Was du sagst trifft auf TPM nicht zu, wenn du da anderer Meinung bist begründe bitte deine Aussage evtl. liege ich ja auch falsch.

*Mit freundlichen Grüßen* Daniel
Bitte warten ..
Mitglied: gnarff
09.08.2007 um 20:56 Uhr
Hallo bra1n!

Hast du eigentlich eine Ahnung wie TPM
aufgebaut ist?
Was du sagst trifft auf TPM nicht zu, wenn
du da anderer Meinung bist begründe
bitte deine Aussage evtl. liege ich ja auch
falsch.

Ja, ich weiss wie TPM aufgebaut ist, ja, bin anderer Meinung - und nicht nur ich!

1. Nitin and Vipin Kumar von NV Labs, deren Praesentation damals auf der Blackhat-Konferenz ohne Angabe von Gruenden untersagt wurde fuehren Folgendes zum Thema "Bypassing TCP und Vista BitLocker aus:
"The attack procedure (TPMkit) involves an attack on the TPM.
TPMkit lets you overcome technologies such as Vista's BitLocker.
TPMkit also bypasses remote attestation and thus, will allow to connect over Trusted Network Connect(TNC)(although the system might not be in Trusted state.).

TPMkit bypasses the security checks mentioned (in the above paragraphs) and thus, you will never know that you are using a compromised or changed system. [...]"

Siehe dazu auch:
1. http://en.wikipedia.org/wiki/TPMkit
2. http://seclists.org/dailydave/2007/q2/0102.html

3. Does Trusted Computing Remedy Computer Security Problems?
Von Rolf Oppliger and Ruedi Rytz [Swiss Federal Strategy Unit for Information Technology ]
Zitat:"Trusted computing in general, and software-closed or software-controlled systems in particular, should target specific market segments with stringent security and reliability requirements and needs. Clearly, many vulnerabilities will still exist and things will go wrong, but a computer system that implements trusted computing is certainly more secure—or can at least be secured more easily—than one that doesn’t.[...]"
computer.org

4. OSLO: Improving the security of Trusted Computing
Von Bernhard Kauer, Technische Universität Dresden, die Kapitel 2.2 "TPM Reset" und 2.3 "BIOS Attack"; zu geniessen unter:
http://os.inf.tu-dresden.de/papers_ps/kauer07-oslo.pdf

Ich denke das sollte fuer einen gemuetlichen Leseabend ausreichen...


saludos
gnarff

Neue Sicherheitstechniken entdecken uns neue Angriffsmoeglichkeiten [gnarffuzius 2007 n.C]
Bitte warten ..
Mitglied: bra1nf00d
09.08.2007 um 23:34 Uhr
ersteinmal danke für die Infos, ich hab sie gerade einmal überflogen und werde morgen diese noch mal genauer lesen aber einige Fragen stellen sich mir dann doch noch ...

"The fact that the BIOS is flashed from a raw image eased an attack. Other
vendors arechecking a hash before flashing the image to avoid transmission errors, a feature that is missing here. Checking a hash is irrelevant from a security point of view but it would make the following steps slightly more complicated, as we would have to recalculate the correct
hash value. The part of the BIOS we choose to patch is the TPM driver. These drivers need access to main memory for execution and can therefore only run after the BIOS has initialized the RAM. The interface of the TPM drivers are defined in the TCG PC client specification for conventional BIOS [34]. The function that we want to disable is MPTPMTransmit() which transmits commands to the TPM. We found the TPM driver in the BIOS binary quite easily. Strings like ’TPM’ and the magic number of the code block as well as characteristic mnemonics (e.g., in and out) in the disassembly point to it."
...
da wäre nach meiner jetzigen Einschätzung mit v.2 also TPM ist im Processor enthalten schon nicht mehr möglich ... in wie weit dann trotzdem eine lowlevel attack zum Erfolgführen könnte bleibt dennoch offen ...

Ich muss dir aber recht geben das es 100%ige Sicherheit nie geben wird, allerdings ist in diesen Doc´s auch öfter die Rede von "physical access" was an sich schon ein Sicherheitsrisiko ist, ich bin wirklich kein freund von TPM allerdings sehe ich auch eine große Chance in der Technologie - die Angrifsmöglichkeiten unter gewissen Rahmenbedingen ausschließen zu können.

Ist es möglich TPM zu umgehen wenn das System einmal in einem Secure-Stat ist?

"The main idea behind a secure system with a resettable TPM, an untrusted BIOS and a buggy bootloader, is to use a Dynamic Root of Trust for Masurement...DRTM effectively removes the BIOS, OptionROMs and Bootloaders from the trust chain"

Ich denke das trift es schon ganz gut, ich kann mir nicht vorstellen das TPM in v.1 wirklich sicher ist aber welcher aufwand muss betrieben werden um diese Schwachstellen zu nutzen?

nun gut Zeit für´s Bett aber evtl. können wir diese Diskussion ja noch weiterführen ich lass mich ja gern eines besseren belehren ..
Bitte warten ..
Mitglied: gnarff
10.08.2007 um 16:38 Uhr

nun gut Zeit für´s Bett aber
evtl. können wir diese Diskussion ja
noch weiterführen ich lass mich ja gern
eines besseren belehren ..
Koennen diese Diskussion gerne weiter fuehren...
saludos
gnarff
Bitte warten ..
Mitglied: 7crystal7
12.08.2007 um 15:17 Uhr
sehr interessant, vielen Dank!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

LAN, WAN, Wireless
Software für Backup oder Datensynchronisation über WAN gesucht (3)

Frage von Rubiks zum Thema LAN, WAN, Wireless ...

Drucker und Scanner
gelöst Scanner Software pls schnelle Hilfe (5)

Frage von TheScanner zum Thema Drucker und Scanner ...

Windows Userverwaltung
gelöst Ist tenfold eine Preiswerte Software? (4)

Frage von ALucaK zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...