Microsoft-Optimierung der Windows-Sicherheit schadet Softwareentwicklern mehr als Hackern

Microsoft-Optimierung der Windows-Sicherheit schadet Softwareentwicklern mehr
als Hackern

Schachzug, um die Nutzung fremder Sicherheitssoftware zu unterbinden

(08.08.06) - Nach einer eingehenden Analyse der neuen Sicherheitsmaßnahmen, die von Microsoft unter der Bezeichnung "Kernel Patch Protection” eingeführt wurden, veröffentlichten die IT-Sicherheitsexperten von Agnitum ihre Ergebnisse: Die Microsoft-Initiative zur Optimierung der Windows-Sicherheit ist möglicherweise ein Schachzug, um die Nutzung fremder Sicherheitssoft-ware zu unterbinden. Die Agnitum-Fachleute vertraten außerdem die Meinung, dass die "Kernel Patch Protection" unabhängigen Softwareherstellern mehr Probleme bereiten wird, ihre Software mit Windows kompatibel zu halten, als dies für Hacker der Fall sein wird - für Hacker ist das nur ein geringfügiges bzw. kein Hindernis.

Hier ein Überblick über die wichtigsten Ergebnisse der Analyse:

· Microsoft Kernel Patch Protection hindert Entwickler von Sicherheitssoftware an der Installation von Software auf Kernel-Ebene. Diese Methode ist jedoch für den Schutz vor Malware-Programmen notwendig.

· Bei bestimmten Versionen des Kernel hindert die Kernel Patch Protection Hacker nicht daran, sich über Reverse Engineering Zugang auf bestimmte Codebereiche im Betriebssystem zu verschaffen.

· Wenn ihre Sicherheitssoftware funktionieren soll, müssen sich die unabhängigen Softwareanbieter ähnlicher Methoden bedienen und über Reverse Engineering auf den Betriebssystem-Kernel zugreifen. Auf diese Weise wird es schwieriger, Produkte zu installieren und zu verwalten, die für Windows und Windows-Benutzer mehr Sicherheit bedeuten.

Die Kernel Patch Protection soll einen besseren Schutz für systemnahe Aktivitäten wie etwa Datei- und Registry-Vorgänge des Windows-Kernel bieten, dem Kern eines Betriebssystems (http://www.microsoft.com/whdc/driver/kernel/64bitpatch_FAQ.mspx). Jedes Programm, das Zugriff auf den Kernel hat, kann beispielsweise einen Ordner auf der Festplatte verstecken und das Löschen des Ordners mit regulären Windows-Tools unmöglich machen. Da Malware-Programme den Windows-Kernel modifizieren und sich auf diese Weise verbergen, um Daten zu stehlen, benötigen auch die Entwickler von Sicherheitssoftware Zugriff auf den Kernel, um die PC-Sicherheit zu gewährleisten. Sollten Softwareentwickler gezwungen sein, die gleichen Methoden wie Hacker anzuwenden, sind die Hacker klar im Vorteil: Sie müssen nicht in gleichem Maße in Kompatibili-tätstests und Qualitätssicherung investieren wie legale Softwareentwickler.

"Es ist logisch, dass Microsoft versucht Windows vor Rootkits zu schützen", sagte Mikhail Penkovsky, Vice President des Bereichs Sales und Marketing bei Agnitum. "Doch leider ist dieser Ansatz keine echte Lösung; er macht es unabhängigen Entwicklern von Sicherheitssoftware sehr viel schwerer, die volle Kompatibilität mit Windows zu gewährleisten. Ob Microsoft das beab-sichtigt, weiß niemand. Doch der Verdacht drängt sich auf, dass die Anwender gezwungen werden sollen, sich in punkto Windows-Sicherheit ausschließlich auf Microsoft zu verlassen. Wenn man nach den Erfahrungen der Vergangenheit geht, so sind die Sicherheitslösungen anderer Hersteller häufig stabiler und bieten einen besseren Schutz für den Anwender. Der Anwender wird in diesem Fall der Verlierer sein."

In den 64-Bit-Versionen von Windows und bei Windows Vista schirmt die Kernel Patch Protection den Kernel vor legalen Modifizierungen ab. Kein anderer Hersteller von Sicherheitssoftware wird daher Software installieren können, die Kernel-Funktionen über legalen Code nutzt. Für Hacker hingegen wird es ein Leichtes sein, mit weniger legalen Mitteln und Reverse Engineering erfolgreich Rootkits zu entwickeln.

"Das Problem ist, dass diese halblegalen Methoden nur bei bestimmten Versionen des Windows-Kernel funktionieren", stellt Penkovsky fest. “Wenn unabhängige Softwarehersteller gezwungen sind, mit dieser Methode zu arbeiten, werden sie bei jedem größeren Betriebssystem-Update ihre Installationsverfahren ändern müssen: Ein Alptraum für legale Softwareentwickler - und nur ein geringfügiges bzw. gar kein Problem für Hacker, für die hundertprozentige Kompatibilität kein Thema ist. Verbesserungen von Malware sind viel einfacher zu programmieren als Optimierungen von Sicherheitssoftware." (Agnitum: ra)