Agnitum analysiert aktuelle Sicherheitsmaßnahmen von Microsoft

Einführung der Kernel Patch Protection von Microsoft schadet laut Expertenmeinung unabhängigen Softwareentwicklern mehr als Hackern

SAN JOSE, Kalifornien, und ST. PETERSBURG, Russland, 19. Juli 2006 – Nach einer eingehenden Analyse der neuen Sicherheitsmaßnahmen, die von Microsoft unter der Bezeichnung „Kernel Patch Protection” eingeführt wurden, veröffentlichten die IT-Sicherheitsexperten von Agnitum heute ihre Ergebnisse: Die Microsoft Initiative zur Optimierung der Windows-Sicherheit ist möglicherweise ein Schachzug, um die Nutzung fremder Sicherheitssoftware zu unterbinden.

Die Agnitum-Fachleute vertraten außerdem die Meinung, dass die Kernel Patch Protection unabhängigen Softwareherstellern mehr Probleme bereiten wird, ihre Software mit Windows kompatibel zu halten, als dies für Hacker der Fall sein wird – für Hacker ist das nur ein geringfügiges bis kein Hindernis.

Hier ein Überblick über die wichtigsten Ergebnisse der Analyse:

• Microsoft Kernel Patch Protection hindert Entwickler von Sicherheitssoftware an der Installation von Software auf Kernel-Ebene. Diese Methode ist jedoch für den Schutz vor Malware-Programmen notwendig.

• Bei bestimmten Versionen des Kernel hindert die Kernel Patch Protection Hacker nicht daran, sich über Reverse Engineering Zugang auf bestimmte Codebereiche im Betriebssystem zu verschaffen.

• Wenn ihre Sicherheitssoftware funktionieren soll, müssen sich die unabhängigen Softwareanbieter ähnlicher Methoden bedienen und über Reverse Engineering auf den Betriebssystem-Kernel zugreifen. Auf diese Weise wird es schwieriger, Produkte zu installieren und zu verwalten, die für Windows und Windows-Benutzer mehr Sicherheit bedeuten.

„Als Hersteller von Outpost Firewall Pro müssen wir auf die Kernel-Ebene zugreifen“, so Alexey Belkin, Leiter der Softwareentwicklung bei Agnitum. „Als wir uns mit dem Problem beschäftigten, dass Outpost auf den neuen Windows-Versionen möglicherweise nicht mehr läuft, entdeckten wir, dass die neuen Sicherheitsmaßnahmen von Microsoft sehr wohl umgangen werden können – vorausgesetzt, wir arbeiten mit denselben Methoden wie Hacker. Eine riesige Sicherheitslücke, die auch die Hacker entdecken und zur Installation unerlaubter Software nutzen werden.“

Die Kernel Patch Protection soll einen besseren Schutz für systemnahe Aktivitäten wie etwa Datei- und Registry-Vorgänge des Windows-Kernel bieten, dem Kern eines Betriebssystems (http://www.microsoft.com/whdc/driver/kernel/64bitpatch_FAQ.mspx). Jedes Programm, das Zugriff auf den Kernel hat, kann beispielsweise einen Ordner auf der Festplatte verstecken und das Löschen des Ordners mit regulären Windows-Tools unmöglich machen. Da Malware-Programme den Windows-Kernel modifizieren und sich auf diese Weise verbergen, um Daten zu stehlen, benötigen auch die Entwickler von Sicherheitssoftware Zugriff auf den Kernel, um die PC-Sicherheit zu gewährleisten.

Sollten Softwareentwickler gezwungen sein, die gleichen Methoden wie Hacker anzuwenden, sind die Hacker klar im Vorteil: Sie müssen nicht in gleichem Maße in Kompatibilitätstests und Qualitätssicherung investieren wie legale Softwareentwickler.

Eine vollständige Analyse kann auf der Agnitum-Website nachgelesen werden: http://www.agnitum.de/r/kernel/patching/

„Es ist logisch, dass Microsoft versucht Windows vor Rootkits zu schützen“, sagt Mikhail Penkovsky, Vice President des Bereichs Sales und Marketing bei Agnitum.

„Doch leider ist dieser Ansatz keine echte Lösung; er macht es unabhängigen Entwicklern von Sicherheitssoftware sehr viel schwerer, die volle Kompatibilität mit Windows zu gewährleisten. Ob Microsoft das beabsichtigt, weiß niemand. Doch der Verdacht drängt sich auf, dass die Anwender gezwungen werden sollen, sich in puncto Windows-Sicherheit ausschließlich auf Microsoft zu verlassen. Wenn man nach den Erfahrungen der Vergangenheit geht, so sind die Sicherheitslösungen anderer Hersteller häufig stabiler und bieten einen besseren Schutz für den Anwender. Der Anwender wird in diesem Fall der Verlierer sein.“

In den 64-Bit-Versionen von Windows und bei Windows Vista schirmt die Kernel Patch Protection den Kernel vor legalen Modifizierungen ab. Kein anderer Hersteller von Sicherheitssoftware wird daher Software installieren können, die Kernel-Funktionen über legalen Code nutzt. Für Hacker hingegen wird es ein Leichtes sein, mit weniger legalen Mitteln und Reverse Engineering erfolgreich Rootkits zu entwickeln.

“Das Problem ist, dass diese halblegalen Methoden nur bei bestimmten Versionen des Windows-Kernel funktionieren“, stellt Penkovsky fest. “Wenn unabhängige Softwarehersteller gezwungen sind, mit dieser Methode zu arbeiten, werden sie bei jedem größeren Betriebssystem-Update ihre Installationsverfahren ändern müssen: Ein Alptraum für legale Softwareentwickler – und nur ein geringfügiges bzw. gar kein Problem für Hacker, für die hundertprozentige Kompatibilität kein Thema ist. Verbesserungen von Malware sind viel einfacher zu programmieren als Optimierungen von Sicherheitssoftware.“

Über Agnitum

Gegründet im Jahr 1999, hat sich Agnitum der Entwicklung und dem Support von erstklassiger, benutzerfreundlicher Security-Software verschrieben. Seine Produkte: Outpost Firewall Pro und Outpost Network Security. Outpost Firewall Pro sichert Einzel- und Familien-PCs gegen Internetangriffe, während Outpost Network Security einen zuverlässigen Endpoint-Schutz und eine stabile Performance für kleine Unternehmensnetzwerke gewährleistet. Die Firewall-Technologie von Agnitum wird von Novell, Sophos and Lavasoft eingesetzt.

PRESSEKONTAKT

Stephanie Messer
Public Relations Manager Central Europe (Deutschland, Österreich, Schweiz)
Fon: + 49-89-23 51 68 15
Fax: + 49-721-151430400
Email: smesser@agnitum.com