Effektiver Virenschutz dank Cloud Computing
- Ersteller mj
- Erstellt am
mj
Technische Administration, Dinosaurier, ,
Als nötige Übel sind immer präsente und dauerhaft aktive Antiviren-Programme ja schon längst zum Alltag geworden. Kein Computer, der an die weltweite Virenschleuder Internet angeschlossen ist, kommt ohne entsprechende Schutzmechanismen aus. Was für Heimanwender gilt, gilt natürlich umso mehr für Unternehmen, denn hier ist vollständiger Schutz besonders wichtig. Neben der Gefahr der schnellen internen Verbreitung über das Firmennetzwerk kommt die Unberechenbarkeit (und der Schädlings-Kompetenz) jedes einzelnen Mitarbeiters, denn bekanntermaßen machen es sich viele Viren und Trojaner erst nach einer Aktion der sich am PC befindlichen Person so richtig bequem (<a href="http://www.planet3dnow.de/photoplog/file.php?n=2936&w=l">>>Britney Spears Nude! HOT!!!111<<</a>).
Zwar gibt es auch professionelle Lösungen für Unternehmen, die sich im Vergleich zur Heimanwenderversion vor allem mit Netzwerkverwaltungsfunktionen auszeichnen, jedoch sind diese in den seltensten Fällen ressourcenschonend und erfordern somit eher aktuelle Hardware. Die Folge: Durch die durch den Virenscanner verursachte Verlangsamung insbesondere älterer und langsamer Computer geht den Unternehmen wertvolle Arbeitszeit verloren: jede Minute, die ein Anwender aufgrund eines Virenscanners untätig auf die Reaktion des PCs wartet, ist eine verschenkte Minute. Ein weiteres Problem ist die Erkennungsrate einzelner Virenscanner, sowie die unterschiedlich lange Reaktionszeit auf neue Bedrohungen. Ideal wäre hier der Einsatz gleich mehrerer Programme, jedoch ist dies nicht nur aufgrund der bereits erwähnten Ressourcenknappheit unpraktikabel, sondern auch aufgrund des damit verbundenen massiven Arbeits-, Wartungs- und Lizensierungsaufwands.
<div class="newsfloatleft"><a href="http://www.planet3dnow.de/photoplog/index.php?n=2933"><img src="http://www.planet3dnow.de/photoplog/file.php?n=2933" border="1" alt="CloudAV"></a></div>Forscher der University of Michigan haben für dieses Dilemma jetzt mit Hilfe von Cloud Computing eine mögliche Lösung gefunden. Bei dem <a href="http://www.eecs.umich.edu/fjgroup/cloudav/" target="b">CloudAV genannten Ansatz</a> kommen auf einem (oder mehreren) mittels Xen virtualisierten Server gleich mehrere Antivirenprogramme parallel zum Einsatz, auf jedem einzelnen Büro-PC jedoch lediglich ein kleines Programm von 1.500 Zeilen Programmcode (Windows), respektive ein 300-zeiliges Python-Skript (Unix). Aufgabe dieser Clients ist es, die Ausführung jeglicher ausführbarer Dateien zu überwachen und bei neuen Dateien zu intervenieren. Bereits bekannte ausführbare Dateien werden in einem lokalen Cache gespeichert, so dass keine Datei jemals zweimal geprüft werden muss, außer natürlich sie ändert ihre Größe oder Position im Dateisystem, ihren Bezeichner, etc. Erst wenn die im lokalen Cache abgelegten Werte nicht mit den bei der Ausführung ermittelten übereinstimmen wird eine erneute Überprüfung notwendig.
Serverseitig existiert ein ähnlicher Cache, der jedoch nicht die lokalen Dateien enthält, sondern Informationen zu sämtlichen bereits geprüften und als sauber befundenen Dateien im Netzwerk. Hat also beispielsweise ein Kollege bereits die gleiche Datei identischer Größe ausgeführt, dann wird die zeitaufwändige Überprüfung der Datei im Server-Cache abgefangen und die lokale Ausführung zugelassen. Bei einem Testlauf auf dem Campus der University of Michigan, mit etwas über 41.000 Studenten und über 6.000 Angestellten immerhin nach Michigan State die zweitgrößte Universität Michigans, wurden über 99 Prozent der angefragten ausführbaren Dateien im Cache abgefangen und die Ausführung somit quasi sofort zugelassen. War doch mal eine Überprüfung notwendig, dann war diese im Schnitt nach 1,3 Sekunden abgeschlossen. Die Erkennungsrate im Testzeitraum lag dabei beim Einsatz von vier unterschiedlichen Virenscannern (AVG, Avast, BitDefender und ClamAV) bei durchschnittlich 88 Prozent, wobei hauptsächlich neuere Viren zum Einsatz kamen. Bei ganz frischen Schädlingen (weniger als einen Tag alt) lag die Erkennungsrate bei etwa 80 Prozent, bei etwa eine Woche alten Schädlingen gar bei 90 Prozent. Vergleicht man dies mit den Erkennungsraten der einzelnen Virenscanner, dann ist diese Erkennungsrate sehr beachtlich:
<center><a href="http://www.planet3dnow.de/photoplog/index.php?n=2934"><img src="http://www.planet3dnow.de/photoplog/file.php?n=2934&w=l" border="1" alt="CloudAV"></a></center>
Setzt man also auf kostenlose (Open Source) Scanner, dann lassen sich auch die Lizenzkosten gering halten, da nicht mehr für jeden einzelnen PC eine eigene Lizenz nötig sein wird. Auch die Kosten für den Server dürften kein allzu großes Problem darstellen, da dieser aus Sicherheitsgründen ohnehin virtualisiert werden sollte und somit auf bereits bestehender Infrastruktur eingerichtet werden kann.
Weitere Informationen zu CloudAV:
<a href="http://www.eecs.umich.edu/fjgroup/cloudav/" target="b">Webseite des Projekts</a>
<a href="http://www.eecs.umich.edu/fjgroup/pubs/cloudav-usenix08.pdf" target="b">CloudAV: N-Version Antivirus in the Network Cloud (PDF)</a>
Zwar gibt es auch professionelle Lösungen für Unternehmen, die sich im Vergleich zur Heimanwenderversion vor allem mit Netzwerkverwaltungsfunktionen auszeichnen, jedoch sind diese in den seltensten Fällen ressourcenschonend und erfordern somit eher aktuelle Hardware. Die Folge: Durch die durch den Virenscanner verursachte Verlangsamung insbesondere älterer und langsamer Computer geht den Unternehmen wertvolle Arbeitszeit verloren: jede Minute, die ein Anwender aufgrund eines Virenscanners untätig auf die Reaktion des PCs wartet, ist eine verschenkte Minute. Ein weiteres Problem ist die Erkennungsrate einzelner Virenscanner, sowie die unterschiedlich lange Reaktionszeit auf neue Bedrohungen. Ideal wäre hier der Einsatz gleich mehrerer Programme, jedoch ist dies nicht nur aufgrund der bereits erwähnten Ressourcenknappheit unpraktikabel, sondern auch aufgrund des damit verbundenen massiven Arbeits-, Wartungs- und Lizensierungsaufwands.
<div class="newsfloatleft"><a href="http://www.planet3dnow.de/photoplog/index.php?n=2933"><img src="http://www.planet3dnow.de/photoplog/file.php?n=2933" border="1" alt="CloudAV"></a></div>Forscher der University of Michigan haben für dieses Dilemma jetzt mit Hilfe von Cloud Computing eine mögliche Lösung gefunden. Bei dem <a href="http://www.eecs.umich.edu/fjgroup/cloudav/" target="b">CloudAV genannten Ansatz</a> kommen auf einem (oder mehreren) mittels Xen virtualisierten Server gleich mehrere Antivirenprogramme parallel zum Einsatz, auf jedem einzelnen Büro-PC jedoch lediglich ein kleines Programm von 1.500 Zeilen Programmcode (Windows), respektive ein 300-zeiliges Python-Skript (Unix). Aufgabe dieser Clients ist es, die Ausführung jeglicher ausführbarer Dateien zu überwachen und bei neuen Dateien zu intervenieren. Bereits bekannte ausführbare Dateien werden in einem lokalen Cache gespeichert, so dass keine Datei jemals zweimal geprüft werden muss, außer natürlich sie ändert ihre Größe oder Position im Dateisystem, ihren Bezeichner, etc. Erst wenn die im lokalen Cache abgelegten Werte nicht mit den bei der Ausführung ermittelten übereinstimmen wird eine erneute Überprüfung notwendig.
Serverseitig existiert ein ähnlicher Cache, der jedoch nicht die lokalen Dateien enthält, sondern Informationen zu sämtlichen bereits geprüften und als sauber befundenen Dateien im Netzwerk. Hat also beispielsweise ein Kollege bereits die gleiche Datei identischer Größe ausgeführt, dann wird die zeitaufwändige Überprüfung der Datei im Server-Cache abgefangen und die lokale Ausführung zugelassen. Bei einem Testlauf auf dem Campus der University of Michigan, mit etwas über 41.000 Studenten und über 6.000 Angestellten immerhin nach Michigan State die zweitgrößte Universität Michigans, wurden über 99 Prozent der angefragten ausführbaren Dateien im Cache abgefangen und die Ausführung somit quasi sofort zugelassen. War doch mal eine Überprüfung notwendig, dann war diese im Schnitt nach 1,3 Sekunden abgeschlossen. Die Erkennungsrate im Testzeitraum lag dabei beim Einsatz von vier unterschiedlichen Virenscannern (AVG, Avast, BitDefender und ClamAV) bei durchschnittlich 88 Prozent, wobei hauptsächlich neuere Viren zum Einsatz kamen. Bei ganz frischen Schädlingen (weniger als einen Tag alt) lag die Erkennungsrate bei etwa 80 Prozent, bei etwa eine Woche alten Schädlingen gar bei 90 Prozent. Vergleicht man dies mit den Erkennungsraten der einzelnen Virenscanner, dann ist diese Erkennungsrate sehr beachtlich:
<center><a href="http://www.planet3dnow.de/photoplog/index.php?n=2934"><img src="http://www.planet3dnow.de/photoplog/file.php?n=2934&w=l" border="1" alt="CloudAV"></a></center>
Setzt man also auf kostenlose (Open Source) Scanner, dann lassen sich auch die Lizenzkosten gering halten, da nicht mehr für jeden einzelnen PC eine eigene Lizenz nötig sein wird. Auch die Kosten für den Server dürften kein allzu großes Problem darstellen, da dieser aus Sicherheitsgründen ohnehin virtualisiert werden sollte und somit auf bereits bestehender Infrastruktur eingerichtet werden kann.
Weitere Informationen zu CloudAV:
<a href="http://www.eecs.umich.edu/fjgroup/cloudav/" target="b">Webseite des Projekts</a>
<a href="http://www.eecs.umich.edu/fjgroup/pubs/cloudav-usenix08.pdf" target="b">CloudAV: N-Version Antivirus in the Network Cloud (PDF)</a>
tomturbo
Technische Administration, Dinosaurier
Klingt ja sehr interessant.
Ich muss mir das glatt mal näher ansehen.
lg
__tom
Ich muss mir das glatt mal näher ansehen.
lg
__tom
also wenn nur der Name und die Größe der Datei darüber entscheidet ob gescannt wird oder nicht, dann erhöht dies meiner Meinung nach er die Möglichkeit das ein Virus großen Schaden anrichten kann. Zumindest wenn der Viren Entwickler sich genau diese "Lücke" zu nutzen macht!
mj
Technische Administration, Dinosaurier, ,
Es werden nicht direkt Name und Größe gespeichert, sondern Informationen zu Name, Größe, Inhalt und Speicherort im Dateisystem.
Die Identifikation einzelner Dateien erfolgt über sogenannte UIDs, unique identifiers. Im Prinzip steht es den Programmierern frei, selber einen sicheren Weg zur eindeutigen Identifkation zu entwerfen. Im Projekt-Paper schreiben die Forscher sinngemäß: Am sinnvollsten ist die Identifikation über einen kryptographischen Hash der Datei, beispielsweise MD5 oder SHA-1. Wird auch nur ein einziges Byte an der Datei geändert, dann ändert sich auch sofort der Hash-Wert. Bezieht man Dateiname, Größe und Speicherort im Dateisystem in die Generation der Hashes mit ein, dann ergibt sich ein eindeutiger Wert, der bei der geringsten Änderung sofort falsch ist.
Die Identifikation einzelner Dateien erfolgt über sogenannte UIDs, unique identifiers. Im Prinzip steht es den Programmierern frei, selber einen sicheren Weg zur eindeutigen Identifkation zu entwerfen. Im Projekt-Paper schreiben die Forscher sinngemäß: Am sinnvollsten ist die Identifikation über einen kryptographischen Hash der Datei, beispielsweise MD5 oder SHA-1. Wird auch nur ein einziges Byte an der Datei geändert, dann ändert sich auch sofort der Hash-Wert. Bezieht man Dateiname, Größe und Speicherort im Dateisystem in die Generation der Hashes mit ein, dann ergibt sich ein eindeutiger Wert, der bei der geringsten Änderung sofort falsch ist.
Chris_Bear
Admiral Special
Das ist ja mal ein sehr interessanter Ansatz.
Wie sieht's aber in dem Fall mit mobilen Geräten aus? Kann man Smartphones / Laptops in die Wolke einbinden?
Und wie sieht's aus wenn die Verbindung zum Server (aus welchem Grund auch immer) unterbrochen ist? Ist dann lokal der Zugriff auf nicht gescannte Dateien gesperrt?
Gruß, Chris
Wie sieht's aber in dem Fall mit mobilen Geräten aus? Kann man Smartphones / Laptops in die Wolke einbinden?
Und wie sieht's aus wenn die Verbindung zum Server (aus welchem Grund auch immer) unterbrochen ist? Ist dann lokal der Zugriff auf nicht gescannte Dateien gesperrt?
Gruß, Chris
Eigentlich kann man dann auch gleich zum alten Terminal/Main Frame Konzept zurückkehren im Zeitalter breitbander Netzwerke.
Dabei wurde damals noch die Abkehr von Thin Clients hin zu den Personal Computern als großer Fortschritt gefeiert.
Dabei wurde damals noch die Abkehr von Thin Clients hin zu den Personal Computern als großer Fortschritt gefeiert.
Woodstock
Grand Admiral Special
Och.
Wir sind grad dabei unsere Terminals abzuschaffen und gegen Linux Thin Clients zu ersetzen.
Unsere Infrasturctur soll ja an den Rest angepasst werden und IP Fähig gemacht werden damit wir dann auch per SSH sicher auf die Alphas zugreifen können.
![:]](https://www.planet3dnow.de/vbulletin/images/smilies/rolleyes.gif "Augen rollen (sarkastisch) :]")
Das mit der Wolke hört sich ja interessant an. Nur mit dem Virtualisieren von "meine" Servern auf der Arbeit wird das nix.
Mit OpenVMS ist das nicht möglich.
Gut das es bis jetzt keinen einzigen Virus gibt für OpenVMS. Zumindest ist mir nix bekannt.
Aber für die Windows Welt ist das ne interessante Sache.
Zuletzt bearbeitet:
Lexxington
Vice Admiral Special
- Mitglied seit
- 28.12.2004
- Beiträge
- 807
- Renomée
- 6
- Standort
- Zwischen Hannover und Braunschweig
Wenn ich mich nicht komplett täusche oder das System missverstanden habe, dann gibt es sowas in der Art schon - allerdings nicht Open Source: http://lix.in/-2f3ad7
Das Problem bei dieser Art der Prävention bzw. Einführung des Systems ist allerdings der immense Aufwand. Denn um den Grundstock auf dem jeweiligen Server in der jeweiligen DB zu haben, muss quasi erstmal jeder Rechner/Server im NEtzwerk 100% viren- und malwarefrei sein und es muss jede Applikation "inventarisiert" sein, sprich jede dll und jede exe, etc. pp. müssen erfasst sein!
In einer gewachsenen Struktur von mehreren 100 Clients ist das ein nie dagewesener Aufwand. Wenn man aber gerade erst ein Netzwerk aufbaut, ist es ein Leichtes, dieses System einzuführen.
Das Problem bei dieser Art der Prävention bzw. Einführung des Systems ist allerdings der immense Aufwand. Denn um den Grundstock auf dem jeweiligen Server in der jeweiligen DB zu haben, muss quasi erstmal jeder Rechner/Server im NEtzwerk 100% viren- und malwarefrei sein und es muss jede Applikation "inventarisiert" sein, sprich jede dll und jede exe, etc. pp. müssen erfasst sein!
In einer gewachsenen Struktur von mehreren 100 Clients ist das ein nie dagewesener Aufwand. Wenn man aber gerade erst ein Netzwerk aufbaut, ist es ein Leichtes, dieses System einzuführen.
Ähnliche Themen
