Vorlesungsreihe Computersicherheit

Vorlesungsreihe Computersicherheit
Teil III: Computerviren und -würmer
Winterquartal 2004/2005

Mittwoch, ??. November 2004

Marc Ruef
marc.ruef at computec dot ch
http://www.computec.ch

technikkurse.ch
c/o Handelsschule Dr. Raeber
Bederstrasse 4, 8027 Zürich
http://www.technikkurse.ch

Stichworte

Computersicherheit
Computerviren
Netzwerksicherheit
Computerwürmer
Antiviren-Lösungen
Pattern-Matching und Heuristik

Zusammenfassung

Computerviren und -würmer zählen zur Familie des korrupten oder bösartigen Programmcodes. Ein Computervirus ist in erster Linie ein sich selber reproduzierendes Programm. Das Vorhandensein einer primär destruktiven Schadensroutine (z.B. das Löschen von Dateien) ist ein Zusätz und nicht Hauptbestandteil einer solchen Software. Die Infektion klassischer Viren findet durch das Erweitern oder Überschreiben des Programmcodes bestehender ausführbarer Dateien statt. Computerwürmer sind quasi die netzwerkfähige Erweiterung klassischer Computerviren. Sie verbreiten sich über Schwachstellen in Diensten oder Kommunikationsmittel wie Email.

Viren-Scanner sind eines der wichtigsten Mittel zum Schutz des eigenen Rechners. Seit vielen Jahren sollen diese Sicherheitslösungen dafür sorgen, dass bösartige Computerviren ihrem destruktiven Dasein nicht fröhnen können.

Eine mühsame, langwierige und kontinuierliche Arbeit für Entwickler von Antiviren-Lösungen ist das Aktualisieren der Viren-Datenbank. Nur durch das Einführen individueller Merkmale können neuartige Computerviren erkannt werden. Hierzu gilt es die jüngst gefundenen Schädlinge zu analysieren.

Eine Alternative oder Ergänzung zum klassischen Pattern-Matching ist durch die heuristische Suche gegeben. Hierbei werden nicht bestimmte Zeichenketten, sondern verdächtige Programmabfolgen gesucht. Der Vorteil hiervon ist klar, denn von nun an ist nicht mehr die Aktualität der Viren-Datenbank für den Erfolg der Software ausschlaggebend. Es können somit auch neuartige Computerviren erkannt werden, die noch gar nicht öffentlich bekannt sind.

Vorstudium

Die folgenden Publikationen gelten als empfohlene Lektüre des Vorstudiums für diese Vorlesung [http://www.computec.ch/dokumente/viren/]:

Ruef, Marc, 15. Februar 2003, So funktionieren Viren-Scanner, computec.ch, http://www.computec.ch/dokumente/viren/so_funktionieren_virenscanner/, Nachdruck am 19. März 2004, scip monthly Security Summary, Ausgabe 19. März 2004, Absatz 4, http://www.scip.ch/publikationen/smss/scip_mss-19_03_2004-1.pdf
Diese Publikation wurde unter höchstem Zeitdruck für das verlagsinterne Computermagazin bei Data Becker geschrieben. Sie erschien in der Ausgabe Februar 2003 und behandelt die grundlegenden Mechanismen moderner Antiviren-Software. Interessant für all jene, die wissen wollen, wie ihre Antiviren-Lösung zu arbeiten pflegt.

Voraussetzungen

Das Lesen der als Vorstudium empfohlenen Lektüre
Grundverständnis für Betriebssysteme
Grundverständnis für Netzwerke

Ablauf

Folgend der angestrebte Ablauf der Vorlesung. Dieser muss nicht exakt eingehalten werden und kann jenachdem in gewissen Punkten (z.B. Pause) mit den Studenten abgestimmt werden.

Zeit Thema

18:30-19:00 Einführung in die Welt des schädlichen Programmcodes

19:00-19:30 Installation, Administration und Nutzung einer Antiviren-Lösung

19:30-19:40 Pause

19:40-20:00 Was tun bei einem vermeintlichen Virenfund?

20:00-20:15 Alternative Gegenmassnahmen

20:15-20:30 Diskussion, letzte Fragen, Aufgaben und Ausblick auf die nächste Vorlesung

Zeit	Thema
18:30-19:00	Einführung in die Welt des schädlichen Programmcodes
19:00-19:30	Installation, Administration und Nutzung einer Antiviren-Lösung
19:30-19:40	Pause
19:40-20:00	Was tun bei einem vermeintlichen Virenfund?
20:00-20:15	Alternative Gegenmassnahmen
20:15-20:30	Diskussion, letzte Fragen, Aufgaben und Ausblick auf die nächste Vorlesung