RSS Kanäle | Diskussionen | Umfragen | Site Map




Alle Bedrohungen

Viren

Hacker

Spam
Alle Seiten    Viren
  
Über Hacker
Analysen
Nachrichten
Glossar
Weblog


Software-Schwachstellen
Erkennen von Hacker Attacken
Hacker Mentalität
Historische Hacker Ereignisse
Hacker Persönlichkeiten
Hacker und das Gesetz

 
Virus-Enzyklopädie
Virus-Enzyklopädie

Erfahren Sie mehr über Würmer, Viren, Trojaner und andere Malware in unserer Virus-Enzyklopädie.
Über Spam
Über Spam

Lesen Sie mehr über Spam und Spammer in Wissenswertes über Spam .

 		 

  Home / Hacker / Über Hacker / Software-Schwachstellen

Software-Schwachstellen

'Errare humanum est' (' Irren ist menschlich.')
Marcus Tullius Cicero, römischer Staatsmann, Philosoph und Schriftsteller

'Irren ist menschlich, aber um etwas richtig zu versauen, braucht man einen Computer'
Paul Ehrlich

Zur Bezeichnung von Schwachstellen in Verbindung mit Computersicherheit wird in vielen verschiedenen Zusammenhängen häufig der englische Begriff 'Vulnerability' verwendet. (Im nachfolgenden Artikel verwenden wir diesen Begriff.)

Allgemein gesagt steht so eine Vulnerability im Zusammenhang mit der Verletzung eines Sicherheitsverfahrens und kann entweder mit einigen unzureichenden Regeln in der Struktur des Verfahrens oder mit einem Problem in der Sicherheitsoftware selbst zu tun haben, die der Seite, die das Sicherheitsverfahren anwendet, nicht bekannt sind. Es muss auch gesagt werden, dass theoretisch alle Computersysteme Schwachstellen haben - der Unterschied, ob sie praktisch ausgenutzt werden können oder nicht, liegt in den Kosten eines Angriffs.

Im weitesten Sinne steht der Begriff Vulnerability im Zusammenhang mit einem Verstoß gegen ein Sicherheitsverfahren. Die Ursache können unzureichende Sicherheitsregeln sein, oder es kann sein, dass es in der Software selbst ein Problem gibt. Theoretisch haben alle Computersysteme Schwachstellen; ob sie schwerwiegend sind oder nicht, hängt davon ab, ob sie benutzt werden, um dem System Schaden zuzufügen.

Es hat schon viele Versuche gegeben, den Begriff Vulnerability als Schwachstelle klar zu definieren und die zwei Bedeutungen zu trennen. MITRE, eine Forschungs- und Entwicklungsgruppe, die in den USA auf Bundesebene finanziert wird, konzentriert sich auf die Untersuchung und Lösung entscheidender Sicherheitsfragen. Die Gruppe hat die folgenden Definitionen erstellt:

Nach MITRE's CVE Terminology:

[...] ist eine universelle Vulnerability der Zustand in einem Computersystem (oder Systemsatz), der entweder:

  • einen Angreifer Befehle ausführen lässt wie ein Anwender, oder/und
  • einen Angreifer auf Daten zugreifen lässt im Widerspruch zu festgelegten Zugangsbeschränkungen, oder/und
  • einen Angreifer als Entität auftreten lässt, oder/und
  • einen Angreifer eine DoS-Attacke (Verweigerung der Dienstleistung/Ablehnung) ausführen lässt.

MITRE ist der Ansicht, dass eine Situation, wo ein Angriff durch ein fehlerhaftes oder unpassendes Sicherheits-verfahren ermöglicht wird, besser als 'Exposure' beschrieben werden sollte:

Eine Exposure ist ein Zustand in einem Computersystem (oder Systemsatz), der keine universelle Schwachstelle ist, der aber entweder:

  • einen Angreifer Informationen sammeln lässt, oder/und
  • einen Angreifer Aktivitäten verbergen lässt, oder/und
  • ein Leistungsmerkmal hat, das sich zwar wie erwartet verhält, aber leicht gefährdet werden kann, oder /und
  • ein vorrangiger Eingangspunkt ist, an dem ein Angreifer versuchen könnte, Zugriff auf das System oder Daten zu erlangen, oder die nach einem sinnvollen Sicherheitsverfahren als Problem betrachtet wird.

Wenn ein Eindringling versucht, unbefugt Zugang zu einem System zu erlangen, führt er gewöhnlich zunächst eine Routineabfrage (oder Untersuchung) des Ziels durch, erfaßt alle etwa wegen einer Sicherheitslücke ungeschützten Daten, und nutzt dann (mit Exploits) Fehler oder Schwachstellen des Sicherheitsverfahrens aus. Schwachstellen und Sicherheitslücken sind deshalb beides wichtige Punkte, die bei der Sicherung eines Systems gegen unbefugten Zugriff zu prüfen sind.

 

Copyright © 1996 - 2009
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com