Die im Betriebssystem verankerte Security von Windows und Unix setzt in beiden Fällen voraus, dass alle Komponenten fehlerfrei arbeiten und keine Sicherheitslücken aufweisen. Windows hat dabei eine deutlich stärker ausdifferenzierte Sicherheitsarchitektur als Unix.
In der Praxis nützt die ausgeklügelte Architektur von Windows jedoch recht wenig. Gelingt es einem Angreifer, eine Sicherheitslücke auszunutzen, muss der Schaden, den der Angreifer anrichten kann, begrenzt werden. Dies wird nur dann erreicht, wenn eingeschleuster Schadcode möglichst wenig Rechte hat.
Eingeschleuster Schadcode kann auch ohne jegliche Rechte als Botnet-Client fungieren. Ein Datendiebstahl ließe sich jedoch in vielen Fällen wirkungsvoll verhindern. Um das zu erreichen, muss eine Serveranwendung mit dem Client als eigener Prozess mit den minimal notwendigen Rechten kommunizieren. Im Adressraum dürfen sich keine Daten befinden, deren Diebstahl lohnenswert ist.
Um so ein Konzept zu realisieren, bietet Windows einige Möglichkeiten mehr als Unix, da zur Wahrnehmung einzelner Rechte nicht gleich auf den allmächtigen Benutzer root beziehungsweise SYSTEM zurückgegriffen werden muss.
Einige Serveranwendungen, etwa OpenSSH, implementieren das vorbildlich. Andere, beispielsweise Samba, weisen erhebliche Mängel auf. Für größere Serveranwendungen mit viel Last ist ein solches Modell allerdings nicht durchführbar. Viel zu viele Einzelprozesse beeinträchtigen die Gesamtperformance durch exzessives Task-Switching. Die von den Betriebssystemen bereitgestellten Mechanismen können nicht verwendet werden.
So gehen die großen Webserver von Windows und Unix, Apache und IIS, eigene Wege. Sie laufen grundsätzlich unter einem Account mit eingeschränkten Rechten. In der Regel gibt es keine „echten“ Benutzer. Eine Benutzerverwaltung entwickeln Webprogrammierer meist selbst durch die Datenbank im Backend oder die .htaccess-Datei. Dabei handelt es sich nur um virtuelle Benutzer. Die gesamte Zugriffkontrolle muss der Entwickler selbst realisieren. Macht er dabei Fehler, können Angriffe, etwa ein Datenklau, erfolgreich sein.
Googles App-Entwickler-Kit dient der Tarnung des schädlichen Codes. Der Sicherheitsanbieter Jamf hält die Schadsoftware für…
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…