Sicherheitsfunktion PatchGuard heiss diskutiert (Teil 3)
In den folgenden Berichten möchte ich einige „Meldungen“ der letzten Tage zusammenfassen und auch einen kleinen Zwischenstand meiner Testerfahrungen mit Windows Vista RC1 geben.
Zum besseren Verständnis möchte ich Sie auf meine Berichte zu Windows Vista hinweisen, die hier verfügbar sind --> http://www.security-dome.eu/html/windows_vista.html
Auf folgende Punkte werde ich in 6 Teilen eingehen:
Problematisch: Administratorkonto für die Wiederherstellungskonsole (Teil 1)
Kompatibilität von Sicherheitsprogrammen von Drittanbietern (Teil 2)
Sicherheitsfunktion PatchGuard heiss diskutiert (Teil 3)
Kartellrechtliche Bedenken der EU-Kommission (Teil 4)
Vista Lizenzierung (Teil 5)
„Ready for a New Day Roadshow“ Teilnahme (Teil 6)
Die folgenden Erkenntnisse beruhen auf diverse Berichte, Microsoft-Blogs, Forendiskussionen und Newsletter. Da die komplette Situation momentan sehr undurchsichtig ist und oftmals offizielle Stellungnahmen von Microsoft fehlen, kann hier nicht der Anspruch der Vollständigkeit oder gar ein offizieller Status interpretiert werden!!
Sicherheitsfunktion PatchGuard heiss diskutiert:
Eine einführende Erklärung und Stellungnahme zu dieser Thematik finden Sie hier --> http://www.security-dome.eu/Vista_RC1_Test-News.html
Neu ist die Erkenntnis, dass die Funktion „PatchGuard“ (ein aktiver Schutz des Vista-Kernels) wohl nur in der 64bit-Version verfügbar ist.
Trotzdem sorgt diese Funktion für erhebliche Unstimmigkeiten!
Da sich die Entwicklungen zu diesem Thema zu überschlagen scheinen, möchte ich in Kurzform, zeitlich sortiert, darauf eingehen.
11.10.06:
Während der Security Conferenz „Virus Bulletin“ in Montreal vom 11.10. bis 13.10.06 sprach sich Aleksander Czarnowski von „AVET Information and Network Security“ skeptisch gegenüber der Technik „PatchGuard“ aus.
Seiner Aussage zur Folge, gehe er davon aus, dass innerhalb einer kurzen Zeit nach Veröffentlichung von Windows Vista der Kernelschutz umgangen werden könnte. Dies würde aber seiner Ansicht nach erst mal geheim gehalten werden, um die Techniken verkaufen zu können. Diese Ansicht sehe ich als realistisch an.
Nach einer Aussage von Stehen Toulouse (Program Manager Security Technology Unit von Microsoft) sind aber momentan keine erfolgreichen Angriffe auf den Windows Kernel bekannt. Wenn dies Realität werden solle, wird Microsoft mit entsprechenden Updates antworten.
13.10.06:
Am 13.10.06 gab Microsoft die Freigabe des 64bit-Kernels bekannt.
Microsoft wolle die API (Application Programming Interface) veröffentlichen, die eine teilweise Deaktivierung des Sicherheitscenters für Dritthersteller von Sicherheitssoftware erlaube.
Chris Paden von Symantec sagte dazu, das Symantec noch keine API`s bekommen habe. Adrien Robinson (Chef der Microsoft Abteilung „Sicherheitstechnologie“) sprach von einer Veröffentlichung innerhalb einer Woche.
Einen vollständigen Zugriff auf den Kernel werde es aber nicht geben, sehr wohl aber Zugriffsmöglichkeiten zur Veränderung von PatchGuard, welche aber erst noch erstellt werden müsste.
17.10.06:
Am 17.10.06 kam es erneut zu Auseinandersetzungen zwischen Symantec und Microsoft. Wiederum war die PatchGuard-Technologie die Hauptursache.
Laut Angaben von Symantec versuche man bereits seit 2 Jahren in Verhandlungen mit Microsoft eine Lösung durch API`s zu finden. Ausserdem sagte Symantec, man hätte von Möglichkeiten gehört, dass Angreifer PatchGuard umgehen könnten.
Ausserdem sei es nach Aussagen von McAffe und Symantec notwendig, Zugriff auf den Kernel zu haben, um auf neue Bedrohungen reagieren zu können.
Kaspersky und Sophos teilen diese Meinung nicht – es gäbe andere Möglichkeiten des Schutzes.
Gleichzeitig liess Microsoft verlauten, das bei Bekannt werden von Zugriffen auf den Kernel – egal ob durch Angreifer oder Hersteller von Sicherheitslösungen – ein Update von PatchGuard veröffentlicht werden würde, um dies zu verhindern.
19.10.06:
Am 19.10.06 wurde dann bekannt, dass ein Treffen zwischen Microsoft und diversen Herstellern von Sicherheitslösungen stattfindet.
Während diesem Treffen gab Microsoft bekannt, dass nun doch ein Zugriff auf den Kernel für Anbieter von Sicherheitslösungen gewährt werden solle. Dieser Schritt wurde unter anderem auch durch die kartellrechtlichen Forderungen der EU begründet.
Ebenso solle der Sicherheitscenter auch durch Drittanbieter ersetzbar sein.
Zu diesem Zeitpunkt sagte Siobhan MacDermott (Sprecher von McAffe), das McAffe trotz anders lautender Versprechungen noch keine Einzelheiten zu PatchGuard von Microsoft erhalten hätte.
Ähnlich äusserten sich auch Symantec und Check Point.
Informationen für den Zugriff auf den Kernel können aber erst einen Monat nach Veröffentlichung von Vista bekannt gegeben werden, da sie momentan noch nicht verfügbar seien.
20.10.06:
Am 20.10.06 wurden dann Einzelheiten zu Pannen des Treffens vom 19.10.06 bekannt. Ausserdem würden nach Informationen von „IDG News Service“ die Schnittstellen für den Vista Kernel wohl erst mit einem „grossen Update in Form eines ServicePacks“ zur Verfügung stehen.
Laut Informationen von „BetaNews“, in der eine nicht näher genannte „Microsoft Quelle“ zitiert wurde, plane Microsoft mit ca. 150 Herstellern von Sicherheitslösungen zusammen zu arbeiten, um mögliche API-Zugriffe zu realisieren.
Nun war aber nicht mehr von einer teilweisen Deaktivierung des Sicherheitscenters die Rede, sondern von einem Parallelbetrieb mehrere Anwendungen. Aber auch hier wurde gesagt, dass diese Möglichkeit erst Monate nach der Veröffentlichung von Vista bereitstehen würden – evtl. mit dem SP1.
22.10.06:
Microsoft nimmt Stellung zu den Vorwürfen von McAffe, die zum Abschluss des Treffens vom 19.10.06 gemacht wurden. Ben Fathi (Vice President im Bereich Sicherheit bei Microsoft) sagte, das Microsoft sehr wohl „Schritte unternommen hätte, um McAfee und andere Unternehmen mit Informationen zu versorgen“. Gleichzeitig nannte er die Aussagen von McAfee „ungenau und aufrührerisch“. Gleichzeitig nahm auch Mikhail Penkovsky (Director of Sales and Marceting bei Agnitum) Stellung zu diesem Thema. Herr Penkovsky sagte, das trotz Gespräche mit Microsoft noch keine API für den PatchGuard zu Analysezwecken verfügbar wären.
23.10.06:
Analysten von „Gartner“ (Marktforschungsunternehmen) kommen zu dem Ergebnis, das eine Umsetzung der Forderungen von Drittanbietern mehrere Jahre dauern würden. So sagt MacDonald von „Gartner“, das insbesondere Sicherheitslösungen anfangs nicht die volle Funktionsfähigkeit unter Windows Vista 64bit bieten würden. Insbesondere Intrusion Prevention Systeme (IPS – siehe auch mein Bericht --> http://www.security-dome.eu/IDS-IPS_Grundlagen.html ) wären davon betroffen. So rät er vom Einsatz von Windows Vista 64bit ab, wenn mögliche inkompatible Schutzlösungen genutzt werden.
„Gartner“ kommt damit zu den gleichen – von mir bereits am 06.10.06 getroffenen – Erkenntnissen. Sehen Sie meinen Bericht --> http://www.security-dome.eu/Vista_RC1_Test-News.html .
In diesem Zusammenhang spricht wiederum Ben Fathi (Microsoft – siehe Absatz „22.10.06“) von Bemühungen der Zusammenarbeit, um entsprechende Kernel Interfaces mit dem Service Pack 1 von Windows Vista 64bit zur Verfügung zu stellen. Weitere Schnittstellen sollen dann mit dem Service Pack 2 folgen. Nach Schätzungen von Gartner könne das Service Pack 1 im Jahr 2008 veröffentlicht werden, was wiederum die Aussage einer mehrjährigen Dauer bis zur Kompatibilität bestätigt.
Diese Analyse wiederum bestätigt die Aussagen von „IDG News Service“ und „BetaNews“.
25.10.06:
Der Hersteller von Sicherheitslösungen „Sophos“ stellt sich erneut auf die Seite von Kaspersky und Microsoft. So sagt Richard Jacobs (CTO von Sophos), Symantec und McAfee hätten sich nicht ausreichend mit der Sicherheitsarchitektur von Windows Vista beschäftigt. So habe „Sophos“ die von Microsoft zur Verfügung gestellten Schnittstellen genutzt, anstatt sie zu umgehen.
Soweit eine kurze Zusammenfassung der Ereignisse der letzten ca. 14 Tage. In diesem Zusammenhang möchte ich nochmals betonen, dass es sich nicht um offizielle Erklärungen handelt, sondern um Berichte aus verschiedenen Bereichen!
Ersichtlich ist aber die sehr konfuse Situation um die PatchGuard-Technologie! Ausserdem fallen die teilweise widersprüchlichen Aussagen auf!
Dies alles spricht nicht unbedingt für die geforderte „Investitionssicherheit“! Ausserdem hat auch die EU noch kein „grünes Licht“ zu den versprochenen Änderungen von Microsoft gegeben, wodurch ebenfalls noch zusätzliche Ungewissheiten entstehen (dazu in Teil 4 mehr).
Interne Links:
Problematisch: Administratorkonto für die Wiederherstellungskonsole (Teil 1): http://www.security-dome.eu/Problematisch-Administratorkonto_fur_die_Wiederherstellungskonsole_1.html
Kompatibilität von Sicherheitsprogrammen von Drittanbietern (Teil 2): http://www.security-dome.eu/Kompatibilitaet_von_Sicherheitsprogrammen_von_Drittanbietern_2.html
Kartellrechtliche Bedenken der EU-Kommission (Teil 4): http://www.security-dome.eu/Kartellrechtliche_Bedenken_der_EU-Kommission_4.html
Vista Lizenzierung (Teil 5): http://www.security-dome.eu/Vista_Lizenzierung_5.html
„Ready for a New Day Roadshow“ Teilnahme (Teil 6): http://www.security-dome.eu/Ready_for_a_New_Day_Roadshow_Teilnahme_6.html
Externe Links:
Virus Bulletin Conference: http://www.virusbtn.com/conference/vb2006/index
AVET Information and Network Security: http://www.avet.com.pl/en/home.php
IDG International Data Group: http://www.idg.com/www/home.nsf/HomePageForm!OpenForm®ion=WW
BetaNews: http://www.betanews.com/
Gartner: http://www.gartner.com/
Frank Richter