Sicherheit "by design"
Wie funktioniert das?

Home

English Deutsch Français

Startseite | Kaufen | Produkte | Fragen | Kundenmeinungen | Presse | Preise | Über uns | Support
     Wie funktioniert das?

 

Anmerkung: Der Begriff "Client" wird oft fälschlicher Weise benutzt, um einen Server zu bezeichnen. Um Konfusionen zu vermeiden, hält sich TWD Industries an die technische Bedeutung: "Server" nehmen Verbindungen an, die von "Clients" initiiert wurden - und nie anders herum.

Bei den herkömmlichen Client/Server Anwendungen oder bei Peer-to-Peer Anwendungen, warten die Server auf Verbindungen, die von Clients auf einer oder mehreren Portnummern initiiert wurden:

                       Internet
           [Client] =====> [Server]  (horcht auf Ports x, y und z)

Der Server muss sämtliche Verbindungen annehmen, um zu überprüfen, ob diese von Clients stammen, die autorisiert sind Verbindungen herzustellen. Dies ermöglicht es einem Client aus der Ferne einen Server ausfindig zu machen, da der Server gezwungen ist Clients zu antworten, die versuchen eine Verbindung auf einer "horchenden" Portnummer herzustellen. 
Diese Architektur stellt ein Problem dar, da Hacker oder Worms:

           Server aufspüren, indem sie eine Reihe von Internet IP-Adressen scannen

           tausende von Verbindungen herstellen, um einjeden Server anzugreifen:

                 Herausfinden der Passworte durch Ausprobieren aller Möglichkeiten
                 Ausnutzung von Buffer-Overflows in der Server-Anwendung
                 Denial of service, Sicherheitslücken des TCP/IP Stapelspeichers etc.

Windows und Server-Anwendungen (Web, Email, SQL, VPN, VoIP, Instant Messaging, etc.)  sind aufgrund der in Horchstellung stehenden Ports gefährdet: jeder Port, der in Horchstellung steht, ist eine offene Tür zu einem Service, der Sicherheitslücken aufweisen kann, und der für Ihre Systeme eine potentielle Gefahrenquelle darstellt.

Die Gefahr ist proportionell zur Anzahl der in Horchstellung stehenden Ports in der Infrastruktur der Firma.  Remote-Control-Produkte (pcAnywhere, Laplink, NetOp, Timbuktu, etc.) oder Software zur Network-Administration (IBM Tivoli, Intel LanDesk, CA Unicenter, HP OpenView, etc.) installieren alle ausnahmslos einen Server auf jedem PC, was die gesamte Firmen-Infrastruktur gefährdet. 

TWD Industries bietet eine radikale Lösung für dieses Problem, indem alle in Horchstellung stehenden Ports eliminiert werden. Das ist die Sicherheit "by-design":

Mit dem DS, nehmen Master (Client) und Slave (Server) keine Verbindungen mehr an. Aus diesem Grunde können sie auch nicht mehr aus der Ferne aufgespürt werden und daher auch nicht mehr Hackern oder Worms zum Opfer fallen:

                                             Internet         Internet
kein Port in Horchstellung [Masters] =====> [DS] <===== [Slaves] kein Port in Horchstellung

Lediglich der DS steht auf einem Port in "Horchstellung" (443, falls nicht anders definiert) und reduziert somit die Gefahrenquellen für Ihre Firma: lediglich eine einzige Maschine, nämlich der DS, bedarf einem wachsamen Auge (anstatt aller Maschinen, wie das zuvor der Fall war).  The only physical way for Masters to access Slave PCs is the DS.

RA ist weltweit das einzige Remote-Control Produkt, das dieses Niveau an Sicherheit bietet. Bald werden auch andere Netzwerk-Anwendungen von dieser patentierten Technologie profitieren.

 

                                      - A word about software patents -
Today, software patents have bad press. Surprisingly, many among those who criticize software patents own big portfolios of software patents. This includes some of the famous public research laboratories that have strongly accused corporations to "lock the future". Why those labs continue filling patents at a steady pace remains a mystery, unless you honestly consider that there is no difference of merit between a car engine patent and a compression engine patent -as long as the patent itself is not meritless. Meaning that it resolves in a new and efficient manner a real technical problem. The point is not about software patents or not but rather about why meritless patents are allowed to be registered.

Sehen wir der Sache mal ins Auge: Wenn es wirkliche "Sicherheit" gäbe, dann hätten Hacker keine Chance. Da Leute aber immer noch täglich Hackern zum Opfer fallen, liefern die Produkte, die von "Sicherheitsexperten" verkauft werden keinen wirklichen Schutz. Schauen wir einmal, woran das liegt:
     Router & Firewalls

Was ist eine Firewall? Im Idealfall sollte eine Firewall eine Vorrichtung sein, die alle hereinkommenden und ausgehenden Verbindungen filtert, um nur Gewünschtes durchzulassen und alles andere abzublocken. Und zwar alles andere...

Leider ist dies aber nicht der Fall. Router sollten eigentlich ebenfalls diesem gleichen Zweck dienen, aber auch sie versagen, und daher raten die "Sicherheitsexperten" zum Erwerb "einer richtigen Firewall". "Richtig" kommt in diesem Fall "teuer" gleich.

Sind Firewalls wirklich sicher? Geben Sie doch mal auf Google das Suchkriterium "firewall + vulnerability" ein und sehen Sie selbst. 232.000 Links dürften mehr als genug sein, um Sie davon zu überzeugen, dass Firewalls neue Sicherheitsrisiken bringen.

Warum sind Firewalls, die Ihre Sicherheit garantieren sollten, selbst gefährdet? Dafür gibt es eine Menge Gründe - politischer, technischer und kommerzieller Art. Vergessen Sie nicht, dass Software-Hersteller mit dem Verkauf von Produkt-Updates ihr Geld verdienen.

Übrigens, "Personal Firewalls" können Sie völlig vergessen. Hier wird lediglich vom Mangel an technischem Wissen des Endbenutzers profitiert, um schnelles Geld zu machen. Eine individuelle Firewall kann keine Sicherheit gewähren, da sie auf dem Computer läuft, den es zu schützen gilt und kann daher ganz einfach -und sogar aus der Entfernung- ausser Gefecht gesetzt werden. Wie?

  1. Die Änderung seiner Konfiguration ermöglicht dem Hacker oder Virus den Durchgang

  2. Seine Deaktivierung ermöglicht dem Hacker oder Virus den Durchgang

  3. Indem man sich als ein User, Programm oder Service ausgibt, dem der Durchgang erlaubt ist

  4. Die Eingabe von Code, der den User täuscht, ermöglicht dem Hacker oder Virus den Durchgang

  5. Das Benutzen von niedrigeren Network Layer Levels ermöglicht dem Hacker/Virus den Durchgang

Jetzt schauen wir mal, warum "richtige" Firewalls nicht effizient sind: Der Marktführer weist mehr als 15.900 Vulnerability-Links auf Google auf. In der Werbung wird jedoch nie darauf hingewiesen, dass Ihre "Sicherheits"-Vorrichtung wieder und wieder einen Patch benötigt (den Sie natürlich käuflich erwerben müssen), ohne Ihnen jedoch letztendlich Sicherheit zu gewähren, denn die Patchs kommen immer erst dann heraus, NACHDEM die Sicherheitslücke öffentlich angeprangert wurde...

Anmerkung: Firewalls wären überflüssig, wenn die Betriebssysteme keine offenen Ports hätten, die ein Sicherheitsrisiko darstellen.

     Intrusion Detection Systems (IDS)

Ein IDS sollte theoretisch hereinkommenden und ausgehenden Verkehr filtern, um Erwünschtes zuzulassen und den Network Administrator in allen anderen Fällen zu warnen. Und zwar in allen anderen Fällen. Leider ist das nicht der Fall.

 Geben Sie auf Google das Suchkriterium "IDS + vulnerability" ein und sehen Sie selbst. 118.000 Links dürften mehr als genug sein, um Ihnen zu zeigen, wie jämmerlich IDS bei der Erhöhung Ihrer System-Sicherheit versagen.

 Ein IDS bietet keine Sicherheit, weil es ganz einfach hintergangen werden kann:

  1. indem man keine sichtbaren Probes oder Protokolle benutzt, die als potentielle Gefahr identifiziert werden können

  2. indem man Attacken in einem kontinuierlichen Fluss von Tausenden von Verbindungen und falschen Alarms versteckt

  3. indem man 'firewalking' Methoden anwendet, die es ermöglichen die Karte eines LANs zu erstellen, ohne Alarm auszulösen

  4. indem man sich als ein zulässiger Benutzer, Programm oder Service ausgibt

  5. indem man das IDS kompromittiert, um Attacken oder Eindringversuche zu verbergen

 Wo liegt das Problem der IDS? Sie bringen neue Schwachstellen in Ihr System und "schützen" Ihr System lediglich gegen ALT BEKANNTE UND EINFACHE Gefahren. Das bedeutet, dass ein Threat, der bisher nicht in der Liste des Produkts beinhaltet ist, munter in Ihren Systemen umherspazieren und dort sein Unwesen treiben kann. Hacker können komplizierte unsichtbare Attacken oder einfache altbekannte Attacken durchführen. Dreimal dürfen Sie raten, zu welchen Mitteln gewiefte Hacker greifen werden.

Wenn Sie sich lediglich damit die Zeit vertreiben wollen Kinderspiel-Attacken zu beobachten, dann werden Sie mit einem IDS eine Menge Spass haben. Wenn Sie aber mehr wollen, dann ist ein IDS keine Lösung. Und ausserdem: IDS-Benutzer brauchen einen Wartungsvertrag, damit der Verkäufer die Gefahrenliste auch immer auf dem neuesten Stand hält. Teure Sache.

Anmerkung: IDS wären überflüssig, wenn Betriebssysteme und Anwendungen sicher wären.

     Anti-Virus Programme

Ein Anti-Virus Programm ist eine Anwendung, die theoretisch überprüft, ob die Dateien auf Ihren Disks in Ordnung sind und die den gesamten ausgeführten Code (nach Möglichkeit Benutzer- und Systemcode) filtert, um nur Erlaubtes zuzulassen, und alles Restliche zu blockieren.

Dies ist aber leider nicht der Fall, da das System vollen Zugriff auf alles hat, und weil Anti-Virus Programme auf dem Computer laufen, den es zu schützen gilt. Sie sind daher leichte Beute - genauso wie "persönliche Firewalls".

Sind Anti-Virus Programme wirklich sicher? Eine Sucheingabe bei Google unter "antivirus + vulnerability" liefert 59.000 Links - mehr als genug, um Sie vom Gegenteil zu überzeugen.

Als Programme so gross wurden, dass Disketten nicht mehr ausreichten und CD-Roms eingeführt wurden, hatte das nun plötzlich zur Folge, dass Viren nicht mehr von einem PC auf einen anderen übertragen werden konnten, da CD-ROMs nur im "read only" Modus funktionieren (man kann also nur lesen, aber nicht schreiben).

Microsoft hat im Gegenzug Outlook eingeführt: vor Outlook enthielten E-Mails lediglich Text ohne irgendwelche Gefahrenquellen. Microsoft hat jedoch VB-Script, ActiveX, Java und viele andere Gefahrenquellen eingefügt, die wiederum eine völlig neue und lukrative Industrie ins Leben riefen, um die "Virus-Gefahr zu bekämpfen". Und wo war der Vorteil für den Benutzer? Keiner kann es sagen, jedoch wurde dieser "Fortschritt" sehr schnell auch auf Excell, Access, sowie Word- und HTML-Dokumente umgelegt, mit den dramatischen Konsequenzen, wie wir sie heute kennen.

Anti-Virus Programme nutzen lediglich den Mangel an technischem Wissen des Benutzers aus, um Geld zu machen. Ein Anti-Virus Programm ist nicht sicher, weil es sehr leicht kompromittiert werden kann:

  1. durch Änderung der Konfiguration - was Hackern und Viren erlaubt alles zu tun, was sie wollen

  2. durch seine Deaktivierung - was Hackern und Viren erlaubt alles zu tun, was sie wollen

  3. indem man sich als User, Programm oder Service ausgibt, um in Ihrem System aktiv zu werden

  4. durch die Eingabe von Code in das Programm oder das System, was Hackern und Viren erlaubt alles zu tun, was sie wollen

  5. durch die Benutzung eines niedrigeren System-Levels - was Hackern und Viren erlaubt alles zu tun, was sie wollen

Wo liegt das Problem der Anti-Virus Programme? Sie bringen neue Schwachstellen in Ihr System und "schützen" Ihr System lediglich gegen ALT BEKANNTE UND EINFACHE Gefahren, die Microsoft aus weiss Gott welch obskuren Gründen eingeführt hat. Das bedeutet, dass ein Threat, der bisher nicht in der Liste des Produkts beinhaltet ist -oder ein Threat, den der Anti-Virus Programm Hersteller nicht erfassen kann-, munter in Ihren "geschützten" Systemen umherspazieren und dort sein Unwesen treiben kann.  

Wenn Sie Ihr Geld mit dem Verkauf von Anti-Virus- oder Anti-SPAM-Produkten verdienen würden, würden Sie dann Hersteller von Virus- oder SPAM-Programmen als eine Gefahr oder eher als einen Segen für Ihr Geschäft ansehen? Überlegen Sie besser zweimal, bevor Sie dem Glauben schenken, was Fachzeitschriften oder Vertreiber von "Sicherheits-Software" erzählen, da deren Interessen nicht unbedingt mit denen ihrer Kunden übereinstimmen.

Ausserdem müssen Sie sich für Ihr Anti-Virus-Produkt dauernd die neueste Version beschaffen, damit dieses auch "wirkungsvoll" ist. Das ist aber nur für den Benutzer ein Nachteil, denn im Gegensatz zu ihm reiben sich die Erfinder von Viren und Vertreiber von Anti-Virus-Programmen zufrieden die Hände...

Anmerkung: Anti-Virus Programme wären überflüssig, wenn es für Betriebssysteme und Anwendungen korrekte Regeln bez. der Zugriffsberechtigungen gäbe (warum hat Ihr Internet-Navigator Zugriff auf die Dateien Ihrer Disks?). 

 

Soll das heissen, dass diese Produkte völlig nutzlos sind? Nein. Es bedeutet lediglich, dass sie nicht das Sicherheitsniveau liefern, das der Benutzer erwartet.

Könnten wirklich seriöse Firewalls Sicherheit liefern, wenn sie korrekt funktionieren würden? Leider lautet die Antwort nein, denn es genügt nicht einfach nur ein paar Türen zu schliessen, um sicher zu sein. Sie müssen ebenfalls sicherstellen, dass:  

       nur erwartete Besucher durch die Türen gehen, die offen gelassen wurden
       die erwarteten Besucher auch nur das tun, was sie tun sollten, und nichts anderes.

Sie sehen jetzt die klaffende Schlucht, die Sie von dem trennt, was Sie haben und was Sie wirklich brauchen. 

Wenn die klassischen "Sicherheits-Solutions" versagen, dann besteht Bedarf für Besseres. 

TWD Industries bietet eine sehr kostengünstige Alternative: ein System, das vom Konzept her sicher ist - Sicherheit "by design". 

    Was bedeutet "by-design"?
User besitzen im allgemeinen nicht das technische Know-How, um Sicherheitsalarm richtig auszulegen und Sicherheitsfragen zu verstehen, und wollen auch gar nicht zu Experten in Sachen Sicherheit werden, weil sie so schon genug um die Ohren haben.

Die marktgängigen Solutions in Sachen "Sicherheit" sind unzureichend, weil sie dem Benutzer keine Sicherheit gewähren, wenn er nicht gleich ein ganzes Experten-Team in Vollzeit beschäftigt, das sich nur darum kümmert. Diese "Solutions" sind ganz einfach unzutreffend.

 

Q) Why let all the world connect to all your PCs to access them?

A) Your network applications are unable to access a PC without listening port numbers.

Der einzige Weg zu gewährleisten, dass alle sicher sind, ist Sicherheit von Anfang an im Konzept zu liefern. Stattdessen hat die Industrie jedoch immer komplexere Produkte hergestellt, die für immer mehr Verwirrung sorgen ... und immer wieder anfallende Gebühren für Wartungsverträge und Updates.

Inwiefern ist das Sicherheitssystem "by design" von TWD Industries die Lösung des Problems?  

       Maschinen werden unsichtbar und unerreichbar - können also weder aufgespürt, noch attackiert werden
       Mobilbenutzer sind geschützt, ganz gleich, wo sie sich befinden - ohne Konfiguration
       der Zugang zu PCs und Benutzern hinter einem Router oder hinter einer Firewall ist absolut sicher + transparent 
       User können andere User erreichen, indem sie einfach deren Namen eingeben - keine IP-Adressen
       mehr nötig diese Lösung kann nach und nach eingeführt werden, ohne die bestehenden Systeme zu ändern

TWD Industries' Technologie liefert Sicherheit "by-design":

       Network Anwendungen            (VPN, ERP, CRM, MES, Supply Chain Systems…)
       Networked Intelligent Devices  (Computer, PLCs, PABX, Network Storage...)
       Network Infrastruktur              (Routers, Switches, Hubs…)

Wenn Sie daran interessiert sind diese patenthängige Technologie von TWD Industries zu
     benutzen oder zu erwerben, dann kontaktieren Sie uns.

Startseite | Kaufen | Produkte | Fragen | Kundenmeinungen

*

Presse | Preise | Über uns | Kontakte


Copyright © 1998-2007 TWD Industries SAS
Alle Rechte vorbehalten