Trügerische Sicherheit

Internetverbindungen, die das HTTPS-Protokoll (Hypertext Transfer Protcocol Secure Socket) verwenden, gelten als sicher. Das ist ein Trugschluss. Denn auch verschlüsselte Inhalte können Viren oder "Malicious Code" enthalten. Nur mithilfe spezieller Content-Scanner lassen sich solche Angriffe abwehren.

Von: Andreas Baumhoff, Bernd Reder

Angriff auf Unternehmensnetze werden immer häufiger mithilfe "verseuchter" Inhalte durchgeführt. Das können E-Mails mit Dateianhängen sein, die Viren enthalten, aber auch Programme, in die ein Hacker ein Trojanisches Pferd eingeschleust hat. Um solchen Angriffen vorzubeugen, setzten Netzwerkverwalter in der Regel Software ein, die den HTTP- oder FTP-Verkehr untersucht. Bekannte Hersteller von Programmen, die "Content" scannen, sind beispielsweise Symantec, Finjan oder Trend Micro. Doch zwei Trends erschweren es solchen Produkten, Angriffen auf die Spur zu kommen: das "Tunneling" von Verbindungen und der verstärkte Einsatz von Verschlüsselung mittels Se-cure Socker Layer (SSL) und Transport Layer Security (TLS).

Häufig ist es gängige Praxis, den Port 443, der für Datentransfers mithilfe von "Hypertext Transfer Protocol Secure Socket" (HTTPS) vorgesehen ist, einfach zu "tunneln", um eine verschlüsselte Kommunikation zu erlauben. "Tunneling" bedeutet, dass Protokolle und Datenverbindungen in einen HTTP-Request verpackt werden. Auf diese Weise können sie den HTTP-Standardport 80 nutzen. Ein Beispiel ist Microsofts RPC (Remote Proce-dure Call). Normalerweise fängt eine Firewall RPC-Requests ab. Bei der .NET-Architektur werden jedoch RPC-Calls über HTTP transportiert, wenn sie mit Servern außerhalb des Firmennetzes kommunizieren. Der zweite Faktor, der die Content Inspection erschwert, ist die Kommunikation via SSL und TLS. Sie beginnt mit einem "Handshake" zwischen Client und Server. Anschließend wird der Datenstrom mit dem privaten Schlüssel (Private Key) eines der beiden Systeme verschlüsselt. Daher ist es für ein Content-Scanning-System nicht möglich, die Daten auf Viren hin zu untersuchen. Um dieses Problem zu lösen, gibt es drei Alternativen:

- alle Inhalte zu blockieren, die mithilfe von SSL oder TLS verschlüsselt wurden. Das hätte zur Folge, dass alle Passwörter oder Kreditkartennummern unverschlüsselt über das Internet transportiert werden müssten. Das ist natürlich aus Sicherheitsgründen nicht machbar;

- die Firewall so zu konfigurieren, dass sie den Content passieren lässt: Dann könnte Malicious Code ins lokale Netz oder Intranet gelangen;

- die Inhalte von Antiviren- oder Sandbox-Software analysieren zu lassen, die auf den Arbeitsplatzsystemen installiert ist. Die Folge sind höhere Kosten durch die Lizenzgebühren und das Systemmanagement.

Es fehlt somit ein Verfahren, das verschlüsselten Internet-Verkehr überprüft, wobei die vorhandenen Gateway-Scanner weiterhin Verwendung finden können. Als erster Anbieter, so zumindest das Unternehmen, hat Microdasys mit dem "Secured Content Inspection Proxy" (Scip) eine solche Lösung entwickelt. Scip dekodiert die verschlüsselten Daten und stellt sie den Scannern zur Verfügung. Sind die Datenpakete "sauber", werden sie erneut verschlüsselt und anschließend weitertransportiert.