AV-TEST schaut auf DEP- und ASLR-Implementierung

Selbstschutz für Security-Software

| Autor / Redakteur: AV-TEST / Stephan Augsten

In den Business-Versionen setzen die Antivirus-Anbieter (Stand Oktober 2014) verstärkt auf DEP und ASLR.
In den Business-Versionen setzen die Antivirus-Anbieter (Stand Oktober 2014) verstärkt auf DEP und ASLR. (Bild: AV-TEST, Stand Oktober 2014)

Eine Security-Suite soll ein System rundherum absichern. Aber wie steht es um den Selbstschutz der Systembeschützer? Nutzen sie Techniken wie Data Execution Prevention und Address Space Layout Randomization, um Pufferüberläufe und andere Sicherheitsrisiken abzuwenden? AV-TEST hat das bei 32 Programmen nachgeprüft.

In Science-Fiction-Filmen wird ein Raumschiff nicht einfach nur angegriffen und sein Schild beschossen, sondern es wird immer zuerst auf den Schutzschildgenerator gezielt. Übertragen auf Antiviren-Software wäre der Schildgenerator der Kern der Schutz-Suite – das Antiviren-Programm selbst. Fällt der Schildgenerator aus, dann ist das Schiff – oder in unserem Fall das Windows-System – schutzlos und leicht zu übernehmen.

Hersteller von Schutzpaketen kennen natürlich das Problem seit langer Zeit. Deshalb haben sie für den Selbstschutz einige Maßnahmen entwickelt und setzen diese ein. Was viele Anwender nicht wissen: Die IT-Branche hat bereits vor Jahren für Programmierer frei verfügbare Schutzmechanismen entwickelt, die sie in ihrem Programmcode nutzen können – ASLR und DEP.

Die Experten von AV-TEST haben 24 Security-Suiten und 8 Schutzlösungen für Unternehmen im Oktober 2014 untersucht, ob diese bereits ASLR und DEP einsetzen. Bei dem Check wurden jeweils die Dateien für 32 und 64 Bit getrennt erfasst. Hinter den Kürzeln ASLR und DEP versteckt sich folgendes:

ASLR oder Address Space Layout Randomization steht für eine Speicherverwürfelung, die das Ausnutzen von Sicherheitslücken in Computersystemen erschwert. Durch ASLR werden Adressbereiche den Programmen auf zufälliger Basis zugewiesen. So sollen Angriffe durch einen Pufferüberlauf verhindert oder zumindest erschwert werden.

DEP oder Data Execution Prevention wird auch als NX-Bit (No eXecute) bezeichnet. Der Schutz hat seine Basis bereits in der Hardware. Die Prozessor-Hersteller AMD und Intel haben diese Technik bereits seit 10 Jahren unter den Eigennamen EVP bzw. XD-Bit in all ihren Prozessoren implementiert. Sie soll verhindern, dass Programme beliebige Daten als Programm ausführen und auf diese Weise Schadcode starten.

Altbekannt und trotzdem gut

Die Techniken ASLR und DEP sind zwar locker über zehn Jahre alt, aber aktueller als jemals zuvor. Ihr eigentlicher Sinn ist folgender: Ein umfangreicher Programmcode ist selten frei von Fehlern. Laut Wikipedia enthalten Top-Programme nur einen Fehler auf 2000 Codezeilen. Aber: zum Beispiel Photoshop CS6 besteht aus etwa 9 Millionen Codezeilen, Windows XP aus ungefähr 40 Millionen. Eine gute Übersicht zum Thema Anzahl der Codezeilen in Programmen liefert der Londoner Designer David McCandless in einer Infografik.

Die unvermeidlichen Fehler können sich später als Schwachstellen entpuppen, bei denen der Schadcode eines Angreifers ansetzen kann. Eine Schutz-Suite kennt diese Schwachstellen und versucht die Löcher zu stopfen. Nun ist aber auch eine Security-Suite ein Programm, bestehend aus vielen Dateien und jeder Menge Codezeilen. Die Suite könnte selbst eine Schwachstelle haben, die ein Angreifer ausnutzen kann. Das wäre natürlich fatal.

Ergänzendes zum Thema
 
Fachwissen zu ASLR und DEP

Wird beim Programmieren die Unterstützung für die Techniken ASLR und DEP mit eingebaut, so sinkt das Risiko, dass eine eventuell vorhandene Schwachstelle auch wirklich ausnutzbar ist. Setzt eine Software ASLR und DEP nicht ein, kann man allerdings nicht generell sagen, dass sie unsicher sei. Denn wenn die Programmierung 100-prozentig fehlerfrei ist, dann lässt sich die Sicherheit auch nicht erhöhen.

ASLR und DEP sind also ein Zusatzschutz für alle Fälle, auf den man nicht verzichten sollte. Denn der Einsatz ist denkbar einfach: es handelt sich um im Compiler vorhandene Funktionen, die einfach dazu geschaltet werden. Der Codeumfang oder die Programmlaufzeit werden dadurch nicht beeinflusst.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43089354 / Softwareentwicklung)