Schützt digital signierte Software vor Trojanern oder auch Viren?
Hallo zusammen,
ich bräuchte ein paar Experten Meinungen zu folgender Frage bitte:
Angenommen man erweitert seine PC-Hardware so, dass der Rechner in einem geschützten Betriebsmodus arbeiten kann: Beginnend mit dem Booten des Betriebssystems über die Integration von Treibern bis hin zum Start von Anwendungsprogrammen dürfen nur digital signierte Softwareobjekte gleichzeitig genutzt werden.
1. Lässt sich dadurch verhindern, dass man trojanischen Pferden zum Opfer fällt? Wieso?
2. Wie sieht es mit transitiven trojanischen Pferden aus?
3. Kann die Fortpflanzung von Viren mittels digital signierten Programmcodes eingeschränkt werden?
Vielen Dank,
7crystal7
ich bräuchte ein paar Experten Meinungen zu folgender Frage bitte:
Angenommen man erweitert seine PC-Hardware so, dass der Rechner in einem geschützten Betriebsmodus arbeiten kann: Beginnend mit dem Booten des Betriebssystems über die Integration von Treibern bis hin zum Start von Anwendungsprogrammen dürfen nur digital signierte Softwareobjekte gleichzeitig genutzt werden.
1. Lässt sich dadurch verhindern, dass man trojanischen Pferden zum Opfer fällt? Wieso?
2. Wie sieht es mit transitiven trojanischen Pferden aus?
3. Kann die Fortpflanzung von Viren mittels digital signierten Programmcodes eingeschränkt werden?
Vielen Dank,
7crystal7
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 65646
Url: https://administrator.de/forum/schuetzt-digital-signierte-software-vor-trojanern-oder-auch-viren-65646.html
Ausgedruckt am: 06.04.2025 um 13:04 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
was heißt denn "digital signierte Software"? Jeder Trottel kann jede beliebige Software signieren.
Die meisten Signaturmodelle dienen tatsächlich nur dem Identitätsnachweis. D.h. VeriSign oder wer auch immer stellt dir nur ein Zertifikat aus, in dem deine Identität bestätigt wird. Dass du kein böser Bube bist steht nicht mit drauf, und wird auch nicht überprüft. Natürlich kommt das löschen aller persönlichen Daten eines Nutzers viel uncooler, wenn der rausfinden kann, wer man ist.
Rein technisch: Mit Standard-PC-Hardware geht das nicht wirklich sicher. Und deswegen hat man sich ja Gedanken über so Sachen wie TPM gemacht. Das soll es theoretisch ermöglichen, auch so Sachen wie von dir beschrieben zu machen. Also beispielsweise nur Software aus einer bestimmten, vertrauenswürdigen Quelle zulassen. Damit wäre auch ein Schutz vor Viren, trojanischen Pferden und all dem gewährleistet.
Nur: 1. werden sich auch in der TPM-Implementierung Fehler befinden und 2. Wer will schon Software wirklich nur aus einer Quelle haben? 3. Müsste dann die Software aus dieser Quelle fehlerfrei sein, um wirkliche Sicherheit zu gewährleisten....
In der Praxis wird auch TPM etc keine 100%ige Sicherheit garantieren können. (nicht zuletzt, weil gar nicht immer klar ist, was "Schadsoftware" ist. Ein Programm, was alle persönlichen Daten aus dem IEx löscht werden viele ganz toll finden, für andere kann es ein Schädling sein)
Filipp
was heißt denn "digital signierte Software"? Jeder Trottel kann jede beliebige Software signieren.
Die meisten Signaturmodelle dienen tatsächlich nur dem Identitätsnachweis. D.h. VeriSign oder wer auch immer stellt dir nur ein Zertifikat aus, in dem deine Identität bestätigt wird. Dass du kein böser Bube bist steht nicht mit drauf, und wird auch nicht überprüft. Natürlich kommt das löschen aller persönlichen Daten eines Nutzers viel uncooler, wenn der rausfinden kann, wer man ist.
Rein technisch: Mit Standard-PC-Hardware geht das nicht wirklich sicher. Und deswegen hat man sich ja Gedanken über so Sachen wie TPM gemacht. Das soll es theoretisch ermöglichen, auch so Sachen wie von dir beschrieben zu machen. Also beispielsweise nur Software aus einer bestimmten, vertrauenswürdigen Quelle zulassen. Damit wäre auch ein Schutz vor Viren, trojanischen Pferden und all dem gewährleistet.
Nur: 1. werden sich auch in der TPM-Implementierung Fehler befinden und 2. Wer will schon Software wirklich nur aus einer Quelle haben? 3. Müsste dann die Software aus dieser Quelle fehlerfrei sein, um wirkliche Sicherheit zu gewährleisten....
In der Praxis wird auch TPM etc keine 100%ige Sicherheit garantieren können. (nicht zuletzt, weil gar nicht immer klar ist, was "Schadsoftware" ist. Ein Programm, was alle persönlichen Daten aus dem IEx löscht werden viele ganz toll finden, für andere kann es ein Schädling sein)
Filipp
mit TPM würde das schon gehen *zumindest in der Theorie" da in der Ausbaustufe 2 (TPM/Fritz-Chip ist im Processor integriert) TPM den Zugrif auf die Anwendung von außen verbietet und ein Zugriff auf die geschützten Daten nicht zuläst...
"Wird kein genehmigter Status erreicht, ergibt sich ein falscher Hash-Wert, und der Fritz-Chip weigert sich, die Schlüssel freizugeben. Der Rechner kann möglicherweise weiterhin auf nicht TC-konforme Anwendungen und Daten zugreifen, auf geschütztes Material wird aber kein Zugriff möglich sein."
Quelle:
http://moon.hipjoint.de/tcpa-palladium-faq-de.html
/edit:
ein interessanter Ansatz im Kampf gegen Viren und deren Verbreitung ist ein "Imunsystem für das Internet" es gibt ja einige Hersteller z.B. Trendmicro mit der "Outbreak prevention Policy" die versuchen der Sache schneller zu begegnen aber es doch nicht schaffen ... dsw. Imunsystem auf der Basis von Honeypots die in Virenscanner integriert werden und somit eine Art "live" - "Outbreak Prevention Policy" schaffen .. sehr ineressant aber doch nicht genau das was du suchst ..
zu 1. Ja irgendwann evtl.
zu 2. siehe 1.
zu 3. Ja aber nur bedingt da es auch Netzwerk Viren gibt
just my 20 cent
"Wird kein genehmigter Status erreicht, ergibt sich ein falscher Hash-Wert, und der Fritz-Chip weigert sich, die Schlüssel freizugeben. Der Rechner kann möglicherweise weiterhin auf nicht TC-konforme Anwendungen und Daten zugreifen, auf geschütztes Material wird aber kein Zugriff möglich sein."
Quelle:
http://moon.hipjoint.de/tcpa-palladium-faq-de.html
/edit:
ein interessanter Ansatz im Kampf gegen Viren und deren Verbreitung ist ein "Imunsystem für das Internet" es gibt ja einige Hersteller z.B. Trendmicro mit der "Outbreak prevention Policy" die versuchen der Sache schneller zu begegnen aber es doch nicht schaffen ... dsw. Imunsystem auf der Basis von Honeypots die in Virenscanner integriert werden und somit eine Art "live" - "Outbreak Prevention Policy" schaffen .. sehr ineressant aber doch nicht genau das was du suchst ..
zu 1. Ja irgendwann evtl.
zu 2. siehe 1.
zu 3. Ja aber nur bedingt da es auch Netzwerk Viren gibt
just my 20 cent
Hallo 7,
es ist voellig egal, ob Du den/die Rechner in einem "geschuetzten" Betriebsmodus betreibst, mit signierter Software oder nicht; es ist auch egal ob der Schaedling nun ueber transitive Faehigkeiten verfuegt oder nicht. Fakt ist, hast einmal einen Schaedling drauf, darfst Du Dich von Deinem "geschuetzten" Betriebsmodus verabschieden.
Die Antworten zu Deinen Frage lauten daher:
1. Nein
-Denke dabei bitte an die Verbreitungswege- und moeglichkeiten von Schadprogrammen.
2. Nein
-Denke dabei bitte noch einmal an die Verbreitungswege- und moeglichkeiten von Schadprogrammen.
3. Definitiv nicht
-Denke dabei bitte noch ein drittes Mal an die Verbreitungswege- und moeglichkeiten von Schadprogrammen.
saludos
gnarff
es ist voellig egal, ob Du den/die Rechner in einem "geschuetzten" Betriebsmodus betreibst, mit signierter Software oder nicht; es ist auch egal ob der Schaedling nun ueber transitive Faehigkeiten verfuegt oder nicht. Fakt ist, hast einmal einen Schaedling drauf, darfst Du Dich von Deinem "geschuetzten" Betriebsmodus verabschieden.
Die Antworten zu Deinen Frage lauten daher:
1. Nein
-Denke dabei bitte an die Verbreitungswege- und moeglichkeiten von Schadprogrammen.
2. Nein
-Denke dabei bitte noch einmal an die Verbreitungswege- und moeglichkeiten von Schadprogrammen.
3. Definitiv nicht
-Denke dabei bitte noch ein drittes Mal an die Verbreitungswege- und moeglichkeiten von Schadprogrammen.
saludos
gnarff
Fakt ist, hast einmal
einen Schaedling drauf, darfst Du Dich von
Deinem "geschuetzten" Betriebsmodus
verabschieden.
Hast du eigentlich eine Ahnung wie TPM aufgebaut ist?einen Schaedling drauf, darfst Du Dich von
Deinem "geschuetzten" Betriebsmodus
verabschieden.
Was du sagst trifft auf TPM nicht zu, wenn du da anderer Meinung bist begründe bitte deine Aussage evtl. liege ich ja auch falsch.
*mfg* Daniel
Hallo bra1n!
Hast du eigentlich eine Ahnung wie TPM
aufgebaut ist?
Was du sagst trifft auf TPM nicht zu, wenn
du da anderer Meinung bist begründe
bitte deine Aussage evtl. liege ich ja auch
falsch.
Ja, ich weiss wie TPM aufgebaut ist, ja, bin anderer Meinung - und nicht nur ich!
1. Nitin and Vipin Kumar von NV Labs, deren Praesentation damals auf der Blackhat-Konferenz ohne Angabe von Gruenden untersagt wurde fuehren Folgendes zum Thema "Bypassing TCP und Vista BitLocker aus:
"The attack procedure (TPMkit) involves an attack on the TPM.
TPMkit lets you overcome technologies such as Vista's BitLocker.
TPMkit also bypasses remote attestation and thus, will allow to connect over Trusted Network Connect(TNC)(although the system might not be in Trusted state.).
TPMkit bypasses the security checks mentioned (in the above paragraphs) and thus, you will never know that you are using a compromised or changed system. [...]"
Siehe dazu auch:
1. http://en.wikipedia.org/wiki/TPMkit
2. http://seclists.org/dailydave/2007/q2/0102.html
3. Does Trusted Computing Remedy Computer Security Problems?
Von Rolf Oppliger and Ruedi Rytz [Swiss Federal Strategy Unit for Information Technology ]
Zitat:"Trusted computing in general, and software-closed or software-controlled systems in particular, should target specific market segments with stringent security and reliability requirements and needs. Clearly, many vulnerabilities will still exist and things will go wrong, but a computer system that implements trusted computing is certainly more secure—or can at least be secured more easily—than one that doesn’t.[...]"
computer.org
4. OSLO: Improving the security of Trusted Computing
Von Bernhard Kauer, Technische Universität Dresden, die Kapitel 2.2 "TPM Reset" und 2.3 "BIOS Attack"; zu geniessen unter:
http://os.inf.tu-dresden.de/papers_ps/kauer07-oslo.pdf
Ich denke das sollte fuer einen gemuetlichen Leseabend ausreichen...
saludos
gnarff
Neue Sicherheitstechniken entdecken uns neue Angriffsmoeglichkeiten [gnarffuzius 2007 n.C]
Hast du eigentlich eine Ahnung wie TPM
aufgebaut ist?
Was du sagst trifft auf TPM nicht zu, wenn
du da anderer Meinung bist begründe
bitte deine Aussage evtl. liege ich ja auch
falsch.
1. Nitin and Vipin Kumar von NV Labs, deren Praesentation damals auf der Blackhat-Konferenz ohne Angabe von Gruenden untersagt wurde fuehren Folgendes zum Thema "Bypassing TCP und Vista BitLocker aus:
"The attack procedure (TPMkit) involves an attack on the TPM.
TPMkit lets you overcome technologies such as Vista's BitLocker.
TPMkit also bypasses remote attestation and thus, will allow to connect over Trusted Network Connect(TNC)(although the system might not be in Trusted state.).
TPMkit bypasses the security checks mentioned (in the above paragraphs) and thus, you will never know that you are using a compromised or changed system. [...]"
Siehe dazu auch:
1. http://en.wikipedia.org/wiki/TPMkit
2. http://seclists.org/dailydave/2007/q2/0102.html
3. Does Trusted Computing Remedy Computer Security Problems?
Von Rolf Oppliger and Ruedi Rytz [Swiss Federal Strategy Unit for Information Technology ]
Zitat:"Trusted computing in general, and software-closed or software-controlled systems in particular, should target specific market segments with stringent security and reliability requirements and needs. Clearly, many vulnerabilities will still exist and things will go wrong, but a computer system that implements trusted computing is certainly more secure—or can at least be secured more easily—than one that doesn’t.[...]"
computer.org
4. OSLO: Improving the security of Trusted Computing
Von Bernhard Kauer, Technische Universität Dresden, die Kapitel 2.2 "TPM Reset" und 2.3 "BIOS Attack"; zu geniessen unter:
http://os.inf.tu-dresden.de/papers_ps/kauer07-oslo.pdf
Ich denke das sollte fuer einen gemuetlichen Leseabend ausreichen...
saludos
gnarff
Neue Sicherheitstechniken entdecken uns neue Angriffsmoeglichkeiten [gnarffuzius 2007 n.C]
ersteinmal danke für die Infos, ich hab sie gerade einmal überflogen und werde morgen diese noch mal genauer lesen aber einige Fragen stellen sich mir dann doch noch ...
"The fact that the BIOS is flashed from a raw image eased an attack. Other
vendors arechecking a hash before flashing the image to avoid transmission errors, a feature that is missing here. Checking a hash is irrelevant from a security point of view but it would make the following steps slightly more complicated, as we would have to recalculate the correct
hash value. The part of the BIOS we choose to patch is the TPM driver. These drivers need access to main memory for execution and can therefore only run after the BIOS has initialized the RAM. The interface of the TPM drivers are defined in the TCG PC client specification for conventional BIOS [34]. The function that we want to disable is MPTPMTransmit() which transmits commands to the TPM. We found the TPM driver in the BIOS binary quite easily. Strings like ’TPM’ and the magic number of the code block as well as characteristic mnemonics (e.g., in and out) in the disassembly point to it."
...
da wäre nach meiner jetzigen Einschätzung mit v.2 also TPM ist im Processor enthalten schon nicht mehr möglich ... in wie weit dann trotzdem eine lowlevel attack zum Erfolgführen könnte bleibt dennoch offen ...
Ich muss dir aber recht geben das es 100%ige Sicherheit nie geben wird, allerdings ist in diesen Doc´s auch öfter die Rede von "physical access" was an sich schon ein Sicherheitsrisiko ist, ich bin wirklich kein freund von TPM allerdings sehe ich auch eine große Chance in der Technologie - die Angrifsmöglichkeiten unter gewissen Rahmenbedingen ausschließen zu können.
Ist es möglich TPM zu umgehen wenn das System einmal in einem Secure-Stat ist?
"The main idea behind a secure system with a resettable TPM, an untrusted BIOS and a buggy bootloader, is to use a Dynamic Root of Trust for Masurement...DRTM effectively removes the BIOS, OptionROMs and Bootloaders from the trust chain"
Ich denke das trift es schon ganz gut, ich kann mir nicht vorstellen das TPM in v.1 wirklich sicher ist aber welcher aufwand muss betrieben werden um diese Schwachstellen zu nutzen?
nun gut Zeit für´s Bett aber evtl. können wir diese Diskussion ja noch weiterführen ich lass mich ja gern eines besseren belehren ..
"The fact that the BIOS is flashed from a raw image eased an attack. Other
vendors arechecking a hash before flashing the image to avoid transmission errors, a feature that is missing here. Checking a hash is irrelevant from a security point of view but it would make the following steps slightly more complicated, as we would have to recalculate the correct
hash value. The part of the BIOS we choose to patch is the TPM driver. These drivers need access to main memory for execution and can therefore only run after the BIOS has initialized the RAM. The interface of the TPM drivers are defined in the TCG PC client specification for conventional BIOS [34]. The function that we want to disable is MPTPMTransmit() which transmits commands to the TPM. We found the TPM driver in the BIOS binary quite easily. Strings like ’TPM’ and the magic number of the code block as well as characteristic mnemonics (e.g., in and out) in the disassembly point to it."
...
da wäre nach meiner jetzigen Einschätzung mit v.2 also TPM ist im Processor enthalten schon nicht mehr möglich ... in wie weit dann trotzdem eine lowlevel attack zum Erfolgführen könnte bleibt dennoch offen ...
Ich muss dir aber recht geben das es 100%ige Sicherheit nie geben wird, allerdings ist in diesen Doc´s auch öfter die Rede von "physical access" was an sich schon ein Sicherheitsrisiko ist, ich bin wirklich kein freund von TPM allerdings sehe ich auch eine große Chance in der Technologie - die Angrifsmöglichkeiten unter gewissen Rahmenbedingen ausschließen zu können.
Ist es möglich TPM zu umgehen wenn das System einmal in einem Secure-Stat ist?
"The main idea behind a secure system with a resettable TPM, an untrusted BIOS and a buggy bootloader, is to use a Dynamic Root of Trust for Masurement...DRTM effectively removes the BIOS, OptionROMs and Bootloaders from the trust chain"
Ich denke das trift es schon ganz gut, ich kann mir nicht vorstellen das TPM in v.1 wirklich sicher ist aber welcher aufwand muss betrieben werden um diese Schwachstellen zu nutzen?
nun gut Zeit für´s Bett aber evtl. können wir diese Diskussion ja noch weiterführen ich lass mich ja gern eines besseren belehren ..