Fragen - Index  
    Was ist aps-AV ?
    Warum gibt es diese neuartigen Angriffe ?
    Warum sind die Auswirkungen so groß ?
    Wieviele öffentliche bekannte Schwachstellen gibt es ?
    Werden die Schwachstellen nicht weniger mit der Zeit ?
    Welcher Schaden kann entstehen ?
    Wie sieht solch ein Angriff aus ?
    Gibt es dokumentierte Vorfälle ?
    Wie stellt aps-AV den Schutz sicher? (Tech)
    Über die n.runs AG

n.runs aps-AV - AV-Sicherheit der nächsten Generation
aps-AV ist eine flexible und skalierbare Hochsicherheitslösung, die eine unlimitierte Anzahl von AV-Engines beherbergen und schützen kann. Das Ergebnis ist ein höherer Schutz bei gleichzeitigem Einsparpotenzial und Ressourcen-Schonung. [ Lesen Sie mehr ]

n.runs aps-AV® (Application Protection System Anti-Virus) ist Teil der n.runs aps Produkt-Familie. aps-AV sorgt für umfassenden Schutz, da es das Defense-In-Depth-Prinzip in einer hochsicheren 3-Tier Umgebung umsetzt. So bietet aps-AV nicht nur Multi-Engine Schutz und die Möglichkeit der Zentralisierung, sondern schließt die AV-Engines zudem in eine abgeschottete Umgebung ein. Zusätzlich optimiert es die Leistung der Server und vereinfacht die Verwaltung der AV-Engines und Ressourcen.

Heute stellen klassische, per E-Mail verbreitete Malware-Angriffe eine Ressourcen-intensive und kostspielige Bedrohung für Unternehmen dar. Zusätzlich zu den klassischen Malware-Angriffen hat sich jedoch in der Vergangenheit eine neue Art der Bedrohung entwickelt, welche die AV-Lösung selbst zum Angriffsziel hat. Diese neuartigen Angriffe können folgende Auswirkungen haben:

• Überall dort, wo AV-Software Daten inspiziert, kann beliebiger Schadcode (Exploit) ausgeführt werden. Hierdurch kann im Extremfall der Angreifer unter anderem den gesamten E-Mail Verkehr einsehen und weitergehende Angriffe in internen Netz-Segmenten durchführen und zwar auch dann, wenn AV-Scanning und E-Mail Server voneinander getrennt sind.
  
  
• Die AV-Lösung kann (z. B. bei einem unsauberen Angriff) zum Absturz gebracht werden. Dies bedeutet einen Ausfall der gesamten E-Mail Infrastruktur.
  
  
• Der Schutz der AV-Lösung kann komplett umgangen werden und dadurch können Viren oder anderer Schadcode zum End-User ausgeliefert werden.

Warum gibt es diese neuartigen Angriffe ?
Die Parsing-Engine ist unverzichtbarer Bestandteil eines jeden Virenscanners. Um binäre Dateiformate verstehen zu können, teilen Applikationen eine Datei in Blöcke und Strukturen auf (‚Parsing’). Hierbei werden Speicherblöcke reserviert, um Daten aus der Datei in sie zu kopieren. Einer der besonders anfälligen Vorgänge besteht darin, dass Datenblöcke ohne Kontrolle des Inhaltes, häufig auch ohne Kontrolle der Länge, in den Speicher kopiert werden und so in vielen Fällen zu ausnutzbaren Schwachstellen führen. Auch das SANS-Institut hat AV-Lösungen als Einfallstor in ihre Top20 der Sicherheits-Risiken aufgenommen.

Warum sind die Auswirkungen so groß ?
Einer der Gründe liegt in dem Versuch, alle geschäftskritischen Server und Clients im Unternehmen durch Software zu schützen, die mit den höchsten Rechten ausgestattet ist. Oft kommen auch mehrere AV-Engines zum Einsatz, welche die Anfälligkeit und Angriffsfläche noch einmal drastisch erhöhen.

Wieviele publizierte Schwachstellen gibt es ?
Die n.runs AG hat über 800 Schwachstellen gemeldet, einige wurden entfernt, die meisten existieren jedoch nach wie vor. Warum? Es kann bis zu 2 Jahre dauern, bis Produkt-Patches ausgeliefert werden, die die Schwachstellen beseitigen. Ein Grund dafür ist, dass AV-Engines in vielen Produkten zum Einsatz kommen und der Entwicklungsaufwand sehr hoch ist. Nachfolgend einige unabhängige Statistiken zu AV-Schwachstellen :

Statistiken AV-Schwachstellen Q1/2008 - Quelle : Universität von Michigan
Bild darf mit Quellen Angabe vervielfältigt werden

Auswirkungen von 227 AV-Schwachsellen - Quelle : Secunia
(29% Schadcodeausführung, 27% Denial-of-Service)
BILD darf nicht vervielfätligt werden, Secunia.

Zielausrichtung von 227 AV-Schwachsellen - Quelle : Secunia
Von 227 öffentlich bekannten Schwachstellen können 62%
von außen (Internet) ausgenutzt werden.
BILD darf nicht vervielfätligt werden, Secunia.

Patch-Level von 227 AV-Schwachsellen - Quelle : Secunia
9% ohne Patch
BILD darf nicht vervielfätligt werden, Secunia.

Werden die Schwachstellen nicht weniger mit der Zeit ?
Die Statistiken belegen dass die Anzahl sich nicht verringert, ganz im Gegenteil. Wieso ist dies so ? Anti-Virus Software ist ein bewegliches Ziel, ständig ändern sich Funktionen und Anzahl der zu erkennenden Formaten. Je mehr Formate eine AV Software verstehen muss desto mehr und häufiger muss diese "parsen" und desto wahrscheinlicher ein Fehler. Kaspersky zum Beispiel erkannte im Jahre 2006 an die 2000 Formate, 2007 waren es schon 3000. Verschlimmernd kommt hinzu dass AV Software längst an der Reaktionszeit gemessen wird, dieser inhärente Druck trägt nicht zur Code Qualität bei.

Zwischen 2002 und 2005

• 50 Advisories
• 11% Ausführung von Schadcode
• 21% DoS

Zwischen 2005 und 2007

• 170 Advisories (+340%)
• 35% Ausführung von Schadcode (+318%)
• 30% DoS (+142%)

Welcher Schaden kann entstehen ?

• Externe Kosten: Schadensersatzforderungen, höhere Kreditzinsen (Basel II, Solvency II), Konventionalstrafen.
• Interne Kosten: Verlust geistigen Eigentums (75% der Geschäftsinformationen fließen über E-Mail), Personalkosten bei System- und Arbeitsstillstand nach einem Ausfall, Umsatzverlust durch fehlende Geschäftsfähigkeit, IT Administration und Helpdesk Überlastung.
• Indirekte Folgen bei Nichtbeachtung (§ 91 AktG, § 93 AktG, § 276, Abs. 2 BGB, Haftungsrisiken, Freiheitsstrafen bei inkorrekter oder nicht vorhandener Bilanzierung), bei inkorrekter Behandlung von Daten, bei Datenverlust oder Datenmanipulation durch AV Angriffe: Gefährdung der Existenz von Unternehmen, Verlust der Glaubwürdigkeit und Zuverlässigkeit, Verlust von Image und Marktanteilen.

Wie sieht so ein Angriff aus ?
Jede AV-Software weist bei isolierter Betrachtung bereits potenzielle Schwachstellen auf. Benutzt man eine Vielzahl unterschiedlicher AV-Engines, so erhöht sich die Gesamtangriffsfläche und die Wahrscheinlichkeit für einen erfolgreichen Angriff steigt massiv an. Es wird paradoxerweise nicht schwieriger, sondern einfacher für einen Angreifer, je mehr AV-Software im Einsatz ist.

Findet der Angreifer nur einen einzigen Fehler in der Parsing-Engine eines eingesetzten Virenscanners, kann er unter Ausnutzung dieses Fehlers die Kontrolle über den Server erlangen, den die E-Mail gerade durchläuft. Dieser Server kann im Herzen des Unternehmens stehen und dem Angreifer Zugriff auf alle Daten des Mailservers geben. Oft befindet sich auf diesem die gesamte elektronische Kommunikation des Unternehmens. Außerdem kann der Angreifer den Zugriff nutzen, um sich Zugang zu anderen Segmenten des Netzes zu verschaffen und Trust Relationships auszunutzen. Die AV-Software selbst muss mit hohen Zugriffsrechten laufen, wodurch sich höchst attraktive Angriffsziele ergeben.

Durch das Verschicken einer E-Mail mit präpariertem ZIP Anhang kann ein Angreifer diverse Manipulationen an internen Systemen vornehmen, auf denen sich AV-Software im Einsatz befindet :

Abb.1 Vereinfachtes Angriffsszenario - AV Schwachstellen auf ein Firmennetz übertragen
BILD darf vervielfältigt werden, n.runs

Da das Parsing als Erkennungsmechanismus bei der Bekämpfung digitaler Schädlinge jedoch unverzichtbar ist, sieht n.runs nur eine Möglichkeit : Eine weiterhin hohe Virenerkennungsrate durch herkömmliche AV-Programme, allerdings eingebettet in eine hochsichere Architektur, die unter anderem erfolgreiche Angriffe auf die gesamte AV-Infrastruktur verhindert.

Gibt es dokumentierte Vorfälle ?
Es existieren Vorfälle, die wir öffentlich nicht diskutieren können. Es gibt allerdings auch öffentlich dokumentierte Vorfälle, z.B wurde nachfolgender Fall auf der Blackhat 2008 EU (Seite 16) von XUE präsentiert.

Nachdem Faas M. Mathiasen unerklärlichen Datenfluss vom E-Mail-Server nach außen feststellte, wendete er sich an die Incidents Mailingliste und kam nach wenigen Tagen zu folgendem Ergebnis :

This lead us to the idea to simply use the Anti-Virus scanner to rescan the complete in box of all accounts, and then it hit us, suddenly there were outbound requests being initiated. What tried to initiate these requests ? The Anti-Virus scanner. [...] What we discovered was an exploit against the AV scanner that was triggered when it scanned the attachment to this particular email... that was not the threat we anticipated. Somebody using a "spoofed" email address send this file to a publicly disclosed email address and as soon as the scanner touched the file it triggered... I thought I had watched a movie.

Auf der Blackhat DC Federal 2008 erläuterte Sinan Eren, VP of Research, einen weiteren Fall: einen realen "Information Operation" Angriff. Er zeigte dabei auf, warum die Zielauswahl für die Angriffe nicht auf Webserver oder Clients fiel, sondern auf AV-Lösungen. Sie stellen ein ideales Angriffsziel dar, da sie Zugriff auf sensible Dokumente garantieren und eine systematische, unentdeckte, lange andauernde Kompromittierung von Systemen erlauben. (nachzulesen hier) :

Wie vorgegangen wurde :

1. Angriff auf die Anti-Virus-Lösung auf dem Firmen-Mailserver (MTA)
2. Die Anti-Virus Software wurde ausgenutzt, um an alle Kopien der E-Mails zu gelangen.
3. E-Mail wurde mitgelesen und analysiert, um das Ziel besser zu verstehen.
   
4. Es wurden gezielt E-Mail Anhänge in E-Mails injiziert - diese waren mit Trojanern gespickt. (Es wurden Trust Beziehungen zwischen Absender und Empfänger ausgenutzt).
5. Von dem nun kompromittierten End-Host wurde die Schwachstelle "DNS-MSRPC" auf dem Domain Controller ausgenutzt.
   
6. Die Passwort Datenbank wurde vom Domain Controller ausgelesen und dadurch konnten weitere interne PCs kompromittiert werden. Die Suche nach den Zieldokumenten ging los.
   
7. Ein speziell segmentiertes Netzwerk wurde ausfindig gemacht. Dieses war nicht vernetzt ("Airgap Prinzip"), Daten wurden nur physisch per USB-Stick transferiert.
8. Ein USB-Stick wurde auf dem kompromittierten PC mit einem eigens modifizierten Open-source-Programm names "USBDumper" bespielt. Durch den Einsatz des USB-Sticks in einem System des Zielnetzwerks wurden automatisch die vorhandenen Daten auf den Stick kopiert.
   
9. Diese Daten wurden über einen komplizierten HTTP-Covert-Channel nach außen gesendet.

Was bedeutet Zentralisierung ?
Zentralisierung im Kontext aps-AV bedeutet, dass die zu überprüfenden Daten nicht mehr dezentral überprüft werden, sondern zentral in der geschützten aps-AV-Umgebung. Hierbei kann ein zentrales Konzept mit einem dezentralen kombiniert werden.

Welche Vorteile hat der Zentralisierungsaspekt ?
Durch den Zentralisierungsaspekt können AV-Lizenzkosten gesenkt und personelle Ressourcen geschont werden, da Installation und Management von mehreren Antivirenprodukten den Administrationsaufwand erhöhen. Des Weiteren kann aps-AV abgesehen von E-Mail auch andere Daten entgegennehmen und somit an SAN, Fileserver, Webserver und viele andere angebunden werden. Trotzdem besitzt aps-AV keinen zentralen Ausfallpunkt („Single Point of Failure“) .

Wie stellt aps-AV den Schutz sicher ?

Technische Details zur Funktionsweise von aps-AV
Der Aufbau der aps-AV-Lösung folgt den Design-Paradigmen eines BSL-4 Virenlabors, wobei Kontroll-, Abschottungs- und Vernichtungsmechanismen nachgebildet werden. Gemeinsam mit AV-Anbietern als Technologiepartnern gewährleistet aps-AV damit Funktionalität, Hochverfügbarkeit und Sicherheit der AV-Lösungen und verhindert so die Kontrollübernahme z. B. des Mailservers oder der dahinter liegenden AV-Clients. Dazu unterstützt die Lösung auch Mail-Systeme wie SMTP-Mailer, Lotus Notes und Exchange.

Die aps-AV Umgebung folgt dem „Defense-in-Depth“ Designprinzip, nur wird in diesem Fall als Angriffsziel auch die Anti-Virus-Software selbst als Angriffsziel betrachtet. Um hier eine Umgebung wie in einem „Klasse 4“ Virenlabor zu errichten, unterteilt sich die Architektur in drei Schutzzonen: Den Front-End-, Distributions- und Execution Bereich. Die drei Schutzzonen der Sicherheitsarchitektur werden, wie in der Abbildung dargestellt, über Firewalls (Paketfilter) separiert. Die Kommunikation der verschiedenen Systeme über diese Sicherheitsschichten hinweg erfolgt lediglich über ein speziell für die Sicherheitsbedürfnisse der Architektur entwickeltes Protokoll.

Das Systemdesign basiert hierbei nicht auf unmittelbaren Vertrauensbeziehungen. Alle Daten werden derartig kryptographisch gesichert übertragen, dass nur die für den Betrieb der Lösung notwendigen Daten übertragen werden können.

Bei der Implementierung wurde strikt dafür Sorge getragen, die Daten, welche zu den AV-Scannern übertragen werden, zu keiner Zeit zu inspizieren. Ein Parsing der Daten findet nicht statt.

Abb. 2 : aps-AV 3-Tier Architektur
BILD darf vervielfältigt werden, n.runs

Sicherheit durch "No-Parsing"
aps-AV zeichnet sich durch eine hochsichere Architektur aus, die in enger Zusammenarbeit mit Felix ('FX') Lindner entwickelt wurde. Die Architektur gewährleistet eine sichere, einfache und flexible Integration in existierende Infrastrukturen. Da die potentiell schädlichen Daten nicht geparsed, inspiziert oder anderweitig interpretiert werden, bevor sie in die abgeschottete Analyse-Umgebung gelangen, bleiben selbst erfolgreiche parsing-spezifische Angriffe auf benachbarte Systeme und Netzwerke ohne Auswirkungen.

Die  zu untersuchenden Daten werden dabei von aps-AV weder auf bekannte Viren-Signaturen hin inspiziert noch sonst wie durch Parsing interpretiert, bevor sie in die abgesicherte Ausführungsumgebung gelangen. Erst im Execution Environment, das zusätzlich zu dem gehärteten Hochsicherheitsbetriebssystem über keinerlei Netzwerkschnittstellen verfügt, kommen demnach die verwundbaren AV-Engines zum Zug und überprüfen den Mail-Anhang auf Schadcode. Bei Feststellung einer Anomalie bei der Untersuchung wird die abgeschottete Umgebung samt dem Betriebssystem komplett gelöscht und der Vorgang als Angriff auf das AV-Produkt markiert.

Die Distribution Engine gibt dem Mail-Server dann entweder grünes Licht oder veranlasst das Blockieren der E-Mail; zusätzlich wird der Vorfall zentral geloggt und gemeldet.

Um Angriffe auf aps-AV selbst zu verhindern, ist dieses vollständig im überprüfbaren, typensicheren C# entwickelt und die Angriffsfläche der aps-AV Lösung selbst auf ein absolutes Minimum reduziert. Zudem sind sämtliche Prozesse innerhalb der 3-Tier-Architektur gegeneinander in beide Richtungen authentifiziert und die Kommunikation zwischen den drei Kernkomponenten durch Signaturen und ein spezielles Mehrwegeprotokoll abgesichert. Während der Implementierung wurden kein unsicherer Code produziert (unsafe code) und auch keine unsicheren Methoden oder Bibliotheken (p/Invoke) verwendet.

BILD darf vervielfältigt werden, n.runs

[ Mehr Informationen zu aps-AV ]

Über n.runs
Die n.runs AG wurde 2001 mit Sitz in Oberursel gegründet und hat sich als herstellerunabhängiges und neutrales Beratung­unternehmen in den Bereichen IT-Sicherheit, IT-Infrastruktur und IT-Business sowie als Lösungsentwickler im Markt etabliert. Die Dienstleistungen des Anbieters verfolgen einen ganzheitlichen Ansatz und umfassen Audit/Assessment, Design, Unterstützung beim Einsatz neuester Technologien, Prozessberatung sowie Wissenstransfer. Gewachsen als Consulting-Spezialist, wurde das ursprüngliche Kerngeschäft später um die Sparte „Applications“ mit eigener Lösungsentwicklung erweitert. Im Zuge dessen hat das Unternehmen mit „Application Protection System – Anti-Virus (aps-AV)“ eine Hochsicherheitslösung konzipiert und entwickelt. Diese eignet sich speziell für die Absicherung und Zentralisierung von Antivirus-Infrastrukturen. Der Kundenstamm von n.runs besteht aus mittelständischen und großen Unternehmen unterschiedlicher Branchen, wie beispielsweise Microsoft, Ferrero, 1&1, Deutsche Telekom und Daimler Chrysler.