DE60123672T2 - Computersystemschutz - Google Patents

Computersystemschutz Download PDF

Info

Publication number
DE60123672T2
DE60123672T2 DE60123672T DE60123672T DE60123672T2 DE 60123672 T2 DE60123672 T2 DE 60123672T2 DE 60123672 T DE60123672 T DE 60123672T DE 60123672 T DE60123672 T DE 60123672T DE 60123672 T2 DE60123672 T2 DE 60123672T2
Authority
DE
Germany
Prior art keywords
data
sandbox
computer system
encrypted
software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE60123672T
Other languages
English (en)
Other versions
DE60123672D1 (de
Inventor
Robert Simon WISEMAN
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qinetiq Ltd
Original Assignee
Qinetiq Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qinetiq Ltd filed Critical Qinetiq Ltd
Publication of DE60123672D1 publication Critical patent/DE60123672D1/de
Application granted granted Critical
Publication of DE60123672T2 publication Critical patent/DE60123672T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Multi Processors (AREA)
  • Safety Devices In Control Systems (AREA)

Description

  • Diese Erfindung bezieht sich auf ein Verfahren zum Schutz von Computersystemen gegen eine unerwünschte externe Störung wie beispielsweise durch Viren, auf ein Computerprogramm zum Ausführen eines derartigen Schutzes und auf ein dadurch geschütztes Computersystem.
  • Computersoftwareanwendungen bieten fortlaufend flexiblere Merkmale und werden besser integriert, während sich die Computertechnik entwickelt. Bedauerlicherweise hat dies den Effekt, dass Computersysteme zunehmend Angriffen ausgesetzt sind: Angriffe durch Trojaner-Software nutzen verborgene Merkmale von Anwendungssoftware aus, die auf einem Computer eines Opfers läuft, und Angriffe durch Viren führen dazu, dass durch einen Angreifer eingeführte Software sich von einem Computer auf einem anderen ausbreitet. Der Computersystemschutz wird daher fortlaufend schwieriger, während die Technik fortschreitet. Angriffe auf Computersysteme können in ihnen enthaltene Informationen beschädigen, diese Informationen entweichen lassen oder berechtigte Computersystemanwender daran hindern, ihre Arbeit auszuführen.
  • Das derzeitige optimale Verfahren der Industrie zum Computersystemschutz, wie es im Lehrbuch "Network Security" von Kaufman, Perlman und Speciner beschrieben ist, besteht darin, eine Softwareprüfeinrichtung auf Daten anzuwenden, während diese in ein Computersystem hineingelangen: Die Prüfeinrichtung identifiziert einen möglichen Angriff, wobei jegliche Daten zurückgewiesen werden können, die einen Angriff darzustellen scheinen. Bedauerlicherweise ist es sehr schwierig, mithilfe von Softwareprüfeinrichtungen einen An griff korrekt zu identifizieren, und es ist oft notwendig, übervorsichtig zu sein. Die Folge ist, dass unschädlichen und eventuell wertvollen Daten nicht ermöglicht wird, in das System hineinzugelangen.
  • Ein Computersystem, das unschädliche und zuweilen wertvolle Daten zurückweist, ist kein zuverlässiges berufliches Werkzeug; daher besteht eine zum Verringern des Datenverlusts bekannte Vorgehensweise darin, zurückgewiesene Daten unter eine so genannte "Quarantäne" zu stellen: Eine Quarantäne ist ein Bereich des Computerspeichers, der normalen Anwendern und ihren Softwareanwendungen wie etwa Textprogrammen nicht zugänglich ist, jedoch stattdessen Computerexperten zugänglich ist, die zurückgewiesene Daten manuell untersuchen und die entscheiden können, ob sie schädlich sind oder nicht. Eine manuelle Expertenuntersuchung von Daten unter Quarantäne kann beim Feststellen eines Angriffs viel exakter sein als eine Softwareprüfeinrichtung. Dadurch kann ein Anteil von Daten, der von einer automatischen Softwareprüfeinrichtung zurückgewiesen wurde, später als unschädlich identifiziert und in das Computersystem hineingelassen werden.
  • Eine manuelle Untersuchung von unter Quarantäne gestellten Daten erhöht die Zuverlässigkeit der Kommunikation zwischen einem Computersystem und der Außenwelt, führt jedoch zu einer Verzögerung, die erheblich sein kann, und erfordert für ihre Durchführung kostspieliges Expertenpersonal. Außerdem sind sowohl automatische Prüfeinrichtungen als auch eine manuelle Untersuchung fehleranfällig. Insbesondere können sowohl automatische als auch manuelle Prüfungen neue und daher unbekannte Angriffsformen nur schlecht feststellen. Angriffsformen sind Funktionalitäten zugeordnet, die in Anwendungen verfügbar sind; somit treten neue Angriffsformen auf den Plan, während Softwareanwendungen weiterentwickelt werden. Daher ist das derzeitige optimale Verfahren der Industrie zum Computersystemschutz kostspielig und ineffektiv, und diese Situation bessert sich nicht.
  • Ein anderes, als "Sandkasten-Methode" bezeichnetes Verfahren nach dem Stand der Technik ist im Lehrbuch "JAVA Security" von Scott Oaks beschrieben: Es sieht eine Alternative zum Ansatz der Datenzurückweisung vor. Bei diesem Verfahren werden Daten in ein Computersystem hineingelassen, aber die Systemumgebung, d. h. die Art und Weise, in der die Daten genutzt werden können, ist beschränkt. Wenn sich erweist, dass Daten einen Angriff darstellen, hat der Trojaner oder das Virus, den bzw. das sie ausführen, nur Zugriff auf die beschränkte Umgebung und kann keine Softwareanwendungen außerhalb von ihr, d. h. jenseits der Sandkastenbegrenzung, zerstören.
  • Die häufigste Form des Sandkastens ist die für JAVA®-Applets vorgesehene, die selbstständige, in der Sprache JAVA von Sun Microsystems geschriebene Software-Elemente sind, die in einer großen Vielfalt von unterschiedlichen Computertypen ausgeführt werden können. Bedauerlicherweise hat der JAVA®-Sandkasten den Nachteil, dass er nur bei JAVA®-Applets und nicht bei Daten in irgendeiner anderen Form funktioniert. Beispielsweise kann ein Microsoft®-Word-Dokument nicht durch die Microsoft®-Word-Anwendung innerhalb eines JAVA®-Sandkastens bearbeitet werden. Die Verwendung von Java zum Bereitstellen einer Schutzdomäne für aus dem Internet heruntergeladene Daten wurde von Islam, N., u. a. in "A Flexible Security Model for Using Internet Content", Internet, 28. Juni 1997, XP002138803, offenbart.
  • In "A Flexible Security Model for Using Internet Content", INTERNET, 28. Juni 1997, schlagen Islam u. a. eine Architektur vor, die ein System für die Nutzung als vertrauenswürdig gekennzeichneter Inhalte integriert, um die Ausführung heruntergeladener Inhalte zu steuern, wobei Vertrauensgrade für Hersteller, zertifizierende Bevollmächtigte, Netze und Inhaltsserver zugrunde gelegt werden (siehe auch zwei IEEE-Abhandlungen von 1997 von Islam u. a. und Anand u. a. mit dem gleichen Titel). In dieser Architektur laden Auftraggeber (Kunden) Inhalte herunter, die gekennzeichnet sind, um sie zu authentifizieren und es einer Schutzdomäne zu ermöglichen, für sie abgeleitet zu werden. Das System zur Nutzung gekennzeichneter Inhalte ist über ein nicht vertrauenswürdiges Netz mit einem nicht vertrauenswürdigen Inhalts-Server, der Inhalte zum Herunterladen enthält, einem Bewertungsdienst für vertrauenswürdige Inhalte, einem Verteildienst für Vertrauensrichtlinien, der Richtliniendatenbanken an einen herunterladenden Auftraggeber verteilt, und einem Hersteller der Inhalte verbunden. Softwarehersteller sind in unterschiedlichen Graden vertrauenswürdig.
  • Das System zur Nutzung gekennzeichneter Inhalte authentifiziert Inhalte und erzeugt Schutzdomänen; es enthält (a) einen Inhalts-Interpreter, (b) eine Richtliniendatenbank, (c) einen Sicherheitsvollstrecker und (d) eine Zugriffsrechtetabelle. Auftraggeber verwenden einen Schlüsselverteildienst, damit sie einen öffentlichen Schlüssel eines anderen Auftraggebers sicher erhalten können. Als verschlüsselt gekennzeichnete Inhalte, die von einem herunterladenden Auftraggeber empfangen werden, werden durch das System zur Nutzung gekennzeichneter Inhalte authentifiziert: Das System zur Nutzung gekennzeichneter Inhalte entschlüsselt dann die verschlüsselten In halte mit dem privaten Schlüssel des herunterladenden Auftraggebers.
  • Das beschriebene System ist ein modifizierter Applet-Viewer für entweder gekennzeichnete oder nicht gekennzeichnete Applets. Gemäß der Java-Applet-Richtlinie haben nicht gekennzeichnete Applets keinen Zugriff auf Dateien auf dem Gerät eines Anwenders, und TCP-Verbindungen sind zu keinerlei Geräten zugelassen, mit Ausnahme eines Hosts, der das Applet bereitstellte. Einem gekennzeichneten Applet wird eine Schutzdomäne zugewiesen.
  • Es wurden universellere Sandkästen aufgebaut oder vorgeschlagen, jedoch werden sie nicht allgemein verwendet: Beispiele umfassen Forschungssoftware von der Universität Kalifornien in Berkeley, die Janus genannt wird und in einer Abhandlung mit dem Titel "Janus: An Approach for Confinement of Untrusted Applications", David A. Wagner, UC Berkeley Computer Science Division, Report CSD-99-1056, August 1999, beschrieben ist. Diese verwenden Sicherheitsmerkmale innerhalb eines Betriebssystems, um Software, die innerhalb des Sandkastens läuft, von anderer Software zu separieren, die auf einem Computersystem in Form einer Haupt-Bildschirmarbeitsfläche eines Arbeitsplatzrechners läuft.
  • Jedoch löst die Verwendung der Sandkasten-Methode das Problem eigentlich nicht. Das liegt daran, dass sich Viren innerhalb der vom Sandkasten bereitgestellten beschränkten Umgebung noch frei ausbreiten können und Anwender zwangsläufig Daten über die Sandkastenbegrenzung hinweg verschieben müssen, was die beruflichen Erfordernisse widerspiegelt, Daten auszutauschen.
  • Es ist eine Aufgabe der Erfindung, eine alternative Form des Computersystemschutzes zu schaffen.
  • Die vorliegende Erfindung schafft eine Form des Computersystemschutzes, wie sie in den beigefügten Ansprüchen offenbart ist.
  • Damit die Erfindung vollständiger verstanden werden kann, werden nun, lediglich beispielhaft, Ausführungsformen mit Bezug auf die beigefügte Zeichnung beschrieben, in der:
  • 1 und 2 schematische Darstellungen von Computersystemen nach dem Stand der Technik sind;
  • 3 eine schematische Darstellung des Computerschutzes der Erfindung ist;
  • 4 und 5 die Verwendung von Firewalls für den Computerschutz veranschaulichen;
  • 6 ein Ablaufplan eines Computerschutzverfahrens gemäß der Erfindung ist; und
  • 7 die Verwendung von Haupt- und Sandkasten-Bildschirmarbeitsflächen auf einem Arbeitsplatzrechner gemäß der Erfindung veranschaulicht.
  • In 1 ist ein Computersystemschutz 10 nach dem Stand der Technik veranschaulicht, der dem derzeitigen optimalen Verfahren der Industrie entspricht: Ein externes Computernetz 12 liefert ankommende Daten 14 an eine automatische Untersuchungssoftware 16 (Soft wareprüfeinrichtung), während die Daten in ein (nicht gezeigtes) Computersystem hineingelangen. Die Softwareprüfeinrichtung 16 lenkt jegliche verdächtigen Daten 18 zu einem Quarantänespeicher 20, der als Teil einer Dateispeicherung eines Server-Computers ausgeführt ist, der durch die Zugriffssteuerungen des Betriebssystems geschützt wird; sie überträgt unschädliche Daten 22 an ein internes Empfangsnetz 24. Der Quarantänebereich befindet sich in einem zentralen Netzbetriebszentrum und ist nur dem Personal 26 für die Expertenuntersuchung zugänglich, das für die manuelle Untersuchung verdächtiger Daten verantwortlich ist. Diese Experten überprüfen die Quarantänespeicherung 20 auf unschädliche Daten, und wenn sie gefunden werden, werden sie als saubere Daten 28 an das Empfangsnetz 24 übertragen. Die Softwareprüfeinrichtung 16 behandelt zum Einen einen Anteil der Daten als verdächtig, der in Wahrheit unschädlich ist, und versagt zum Anderen dabei, neue Angriffsarten zu identifizieren. Das Personal 26 für die Expertenuntersuchung ist kostspielig, führt zu Verzögerungen und ist nicht unfehlbar.
  • In 2 ist das als Sandkasten-Methode bezeichnete Verfahren nach dem Stand der Technik veranschaulicht. Ein externes Computernetz 42 liefert ankommende Daten 44 an einen Anwendercomputer 46, der Teil eines internen Computernetzes 48 ist. Die Daten 44 sind Softwareanwendungen der Haupt-Bildschirmarbeitsfläche (z. B. einer Textverarbeitung) nicht zugänglich, die auf dem Computer 46 laufen und durch Kreise wie 50 angedeutet sind: Stattdessen werden die Daten 44 zu einem Sandkasten 52 geschickt, der eine beschränkte Umgebung bereitstellt, sodass die Daten keine Softwareanwendungen außerhalb von ihr, d. h. jenseits der Sandkastenbegrenzung, zerstören können. Der Sandkasten kann durch Interpretieren der in ihm laufenden Anwendungssoftware ausgeführt werden, wie es bei JAVA der Fall ist, und durch Sicherstellen, dass kein Befehl existiert, der Zugriff auf Daten jenseits der Sandkastenbegrenzung gewährt. Alternativ kann die Anwendungssoftware direkt ausgeführt werden, jedoch werden auf sämtliche Ressourcen jenseits der Sandkastenbegrenzung Betriebssystem-Zugriffssteuerungen angewendet, um die im Sandkasten eingeschlossene Software am Zugriff auf sie zu hindern. Ein Computersystemschutz gemäß der Erfindung ist in 3 veranschaulicht. Ein externes Computernetz 60 (z. B. das Internet) liefert ankommende Daten 62 an eine Prüfeinrichtungssoftware 64, während die Daten in ein (nicht gezeigtes) Computersystem hineingelangen. Die Softwareprüfeinrichtung 64 schickt jegliche Daten 65 weiter, die sie als unschädlich ansieht; sie lenkt jegliche verdächtigen Daten 66 zu einer Verschlüsselungseinrichtung 68, die sie verschlüsselt, um sie unbrauchbar und damit unschädlich zu machen. Es ist jeglicher symmetrische Verschlüsselungsalgorithmus geeignet, der Daten unbrauchbar macht, wie etwa der gewöhnliche Datenverschlüsselungsstandard (DES), der in der US Federal Information Processing Standards Publication 46-2 beschrieben ist.
  • Unschädliche Daten 65 und verschlüsselte verdächtige Daten 70 werden zu einem Anwendercomputer 72 geschickt, der Teil eines internen Computernetzes 74 ist. Im Computer 72 befindet sich ein Bildschirmarbeitsflächen-Quarantänegebiet bzw. ein Sandkasten 76 für verdächtige Daten, und dies gilt für jeden Computer 72, der in das Netz 74 verbunden ist. Der Computer 72 betreibt Haupt-Bildschirmarbeitsflächen-Anwendungen wie etwa 78, die die verschlüsselten Daten 70 empfangen und sie speichern sowie herumschicken können; jedoch können diese Anwendungen 78 sie nicht auf irgendeine sinnvolle Weise nutzen, da sie verschlüsselt sind. Gleichermaßen gut können die Anwendungen 78 durch die verschlüsselten Daten nicht gestört werden, da die Verschlüsselung es unmöglich macht, die Daten auszuführen oder zu interpretieren.
  • Beim Eintritt in den Sandkasten 76 werden die verschlüsselten Daten durch eine Sandkastenimport-Funktion 80 zu einer nutzbaren Form entschlüsselt: Hierauf werden sie durch Softwareanwendungen oder Werkzeuge 82 nutzbar, die im Sandkasten 76 laufen. Im Sandkasten 76 ist eine Freigabeprüfsoftware 84 enthalten, die prüft, ob ein Extrakt aus entschlüsselten Daten unschädlich ist oder nicht. Daten, die die Freigabeprüfung 84 nicht passieren, da sie verdächtig sind, können wichtig genug sein, um eine manuelle Untersuchung durch Experten zu erfordern. In derartigen Fällen gibt ein Anwender, eventuell per E-Mail oder über eine Netzschnittstelle, in eine Anforderungswarteschlange 88 eine Anforderung 86 ein, die verdächtigen Daten zu untersuchen. Experten 90 nehmen Anforderungen aus der Warteschlange 88 an und reagieren, indem sie die verdächtigen Daten entschlüsseln und sie manuell überprüfen.
  • Der Vorteil dieses Ansatzes liegt darin, dass ein Anwender die verdächtigen Daten untersuchen kann und sie, wenn notwendig, sogar ausführen kann, während sie durch den Sandkasten beschränkt sind, wobei es dem Anwender möglich ist, die Wichtigkeit verdächtiger Daten festzustellen, die durch Verschlüsselung unter Quarantäne gestellt sind. Wenn der Anwender feststellt, dass die verdächtigen Daten, beispielsweise unerbetene Werbematerialien, für die geschäftlichen Belange des Anwenders unerheblich sind, kann der Anwender sie verwerfen, wobei unnötige Bemühungen seitens eines Teams für die manuelle Untersuchung eingespart werden. Umgekehrt wird, wenn die verdächtigen Daten Teil einer wichtigen, für die Arbeit des Anwenders relevanten Nachricht sind, die gesamte Nachricht nicht durch Warten auf eine Untersuchung durch ein Team für die manuelle Untersuchung aufgehalten, sondern sie wird stattdessen dem Anwender in der beschränkten Umgebung seines Bildschirmarbeitsflächen-Sandkastens verfügbar gemacht.
  • Das Bildschirmarbeitsflächen-Quarantänegebiet 76, das durch die Erfindung ausgeführt wird, ist vom Sandkastentyp, da ein Anwender in ihm mit verdächtigen Daten in entschlüsselter Form arbeiten kann, wobei er beschränkte Sandkastenanwendungen 82 verwendet. Der Sandkasten kann unter Verwendung geeigneter Werkzeuge aufgebaut sein, die nach dem Stand der Technik allgemein bekannt sind, beispielsweise JAVA oder Betriebssystemsteuerungen. Der kryptographische Mechanismus stellt sicher, dass auf verdächtige Daten in nicht verschlüsselter Form nicht durch Haupt-Bildschirmarbeitsflächen-Anwendungen eines Anwenders außerhalb des Sandkastens 76 zugegriffen werden kann. Der Versuch verdächtiger Daten, einen Schaden zu verursachen, wird durch den Sandkasten 76 verhindert.
  • Um eine geschäftliche Tätigkeit auszuführen, muss ein Computeranwender ggf. durchaus Extrakte aus verdächtigen Daten erstellen, beispielsweise unter Verwendung der von den Anwendungen bereitgestellten Zwischenspeicherungseinrichtungen, und sie aus dem Sandkasten 76 verschieben, um sie Haupt-Bildschirmarbeitsflächen-Anwendungen 78 zugänglich zu machen: Dann muss geprüft werden, dass jeder Extrakt unschädlich ist. In vielen Fällen ist es einer automatischen Freigabeprüfsoftware wie 84 möglich, sicher zu bestätigen, dass ein Extrakt unschädlich ist, auch wenn das für die verdächtigen Daten insgesamt nicht möglich ist. Beispielsweise können Daten in Form eines Makros enthaltenden Dokuments als verdächtig angese hen werden, während das Dokument Extrakte wie etwa Textabsätze enthalten kann, die von einer Prüfeinrichtungssoftware als unschädlich beurteilt werden können.
  • In vielen Fällen vermeidet der Sandkasten 76 die Notwendigkeit einer manuellen Untersuchung: Jedoch müssen verdächtige Daten zuweilen aus dem Sandkasten 76 entnommen und einer Haupt-Bildschirmarbeitsflächen-Umgebung eines Anwenders für den Zugriff durch Anwendungen 78 übergeben werden. Dies wird, da sie verdächtig sind, durch die Freigabeprüfung 84 zurückgewiesen, sodass noch eine manuelle Untersuchung durch Experten 90 erforderlich ist, an die Anforderungen 86 für eine manuelle Untersuchung eingereicht werden.
  • Da ein Anwender nun die manuelle Untersuchung anfordert, ist es möglich, Prioritäten und Kosten entsprechend den geschäftlichen Erfordernissen zuzuweisen. Außerdem sind Untersuchungen weitaus weniger häufig und werden nur dann durchgeführt, wenn sie unabweisbar notwendig sind, da die Erfindung eine unnötige Prüfung von Material vermeidet, das beispielsweise unwichtig ist oder von dem auf Anforderung des Anwenders eine "saubere" oder bearbeitete Version vom Absender zu erhalten ist.
  • Die Erfindung nutzt übliche Verfahren zum Ermitteln von Trojaner- und Virussoftware, um ankommende Daten auf verdächtige Inhalte zu untersuchen. Wird irgendein Teil der ankommenden Daten, beispielsweise ein Anhang einer E-Mail-Nachricht, als ein möglicher Angriff angesehen, wird er verschlüsselt. Die ursprünglichen Daten werden modifiziert, indem verdächtige Teile von ihnen durch ein verschlüsseltes Äquivalent ersetzt werden, sodass die modifizierten Da ten wie gewöhnlich weiterbehandelt werden können. Dadurch kann eine E-Mail-Nachricht mit einem verdächtigen Anhang weiterbehandelt werden, wobei dieser Anhang durch eine verschlüsselte Version ersetzt ist, jedoch der Mitteilungsteil der Nachricht und jegliche anderen Anhänge lesbar bleiben.
  • Eine Verschlüsselung macht Daten unbrauchbar, sodass verschlüsselte verdächtige Daten sicher zu einem Anwendercomputer 72 geschickt werden können: Sie bleiben unbrauchbar, bis sie mittels eines geeigneten Entschlüsselungs-Schlüssels entschlüsselt werden, der Anwendern oder deren Haupt-Bildschirmarbeitsflächen-Anwendungen nicht zugänglich ist, sondern, wie erwähnt wurde, der Sandkastenimport-Funktion 80 zugänglich ist.
  • Wenn ein Anwender eine verschlüsselte Form irgendwelcher verdächtiger Daten empfangen hat, betrachtet oder behandelt er sie, indem er sie zum Sandkasten 76 schickt, woraufhin sie zu einer verwendbaren Form entschlüsselt werden, wie es bei 80 gezeigt ist. Wenn sie entschlüsselt sind, kann auf die verdächtigen Daten durch Softwareanwendungen 82 zugegriffen werden, die im Sandkasten 76 laufen. Die Haupt-Bildschirmarbeitsfläche und der Sandkasten können die gleichen Anwendungen betreiben, erzeugen jedoch separate Instanzen dieser Anwendungen, die nicht miteinander kommunizieren können. Beispielsweise kann Microsoft® Word sowohl auf der Haupt-Bildschirmarbeitsfläche als auch im Sandkasten zum Bearbeiten von Dokumenten dienen: Wenn dem so ist, läuft Word in zwei separaten Instanzen, und zwar in der einen für die Haupt-Bildschirmarbeitsfläche und in der anderen für den Sandkasten, wobei die zwei Instanzen nicht unmittelbar miteinander kommunizieren können.
  • 4 (in der Teile, die den früher besprochenen entsprechen, ebenso bezeichnet sind) zeigt das interne oder gemeinsame Netz 74, das einen Mail-Server 102 und eine Anzahl von Anwendercomputern (Arbeitsplatzrechnern) wie 72 beherbergt. Das Netz 74 wird gegen feindliche Daten im Internet 60 durch einen Computer 108 verteidigt, der als eine Firewall bezeichnet wird, die die Kommunikation zwischen Anwendungen steuert, die auf Computern in verschiedenen Netzen laufen. Das Lehrbuch "Building Internet Firewalls" von D. B. Chapman und E. D. Zwicky offenbart das Einflechten eines Softwareanwendungs-Proxys in einen Computer wie 108 zwischen Netzen. Der Computer 108 wird als eine Proxy-Firewall oder eine Bastions-Host-Firewall bezeichnet. Softwareanwendungen in den verbundenen Netzen 60 und 74 kommunizieren über ein Anwendungs-Proxy auf dem Computer 108.
  • Die Computer-Firewall 108 ist in 5 genauer gezeigt: Sie umfasst einen Bastions-Host 110, der Netzzugriffe zwischen dem Internet 60 und dem gemeinsamen Netz 74 vermittelt, zusammen mit einer Prüfeinrichtung 116, die mit dem Bastions-Host 110 über ein sekundäres Netz 114 verbunden ist, das ausschließlich für diesen Zweck reserviert ist und gewöhnlich als entmilitarisierte Zone bezeichnet wird.
  • Der Bastions-Host 110 ist eine handelsübliche Firewall-Software wie etwa Gauntlet von Network Associates. Die Prüfeinrichtung 116 ist ein Computer, der einen E-Mail-Proxy beherbergt, der server-seitige Komponenten einer Bildschirmarbeitsflächen-Quarantäne integriert, d. h. die Prüfeinrichtung 64 und die Verschlüsselungseinrichtung 68.
  • Der in 6 veranschaulichte Ablaufplan zeigt die Tätigkeit der Prüfeinrichtung 116 in der vorliegenden Ausführungsform der Erfindung, obwohl Prüfungen an einer E-Mail unter Verwendung normaler, handelsüblicher Virenprüfsoftware wie etwa Sophos Sweep vorgenommen werden können. Bei 140 wird über den (nicht gezeigten) Bastions-Host 110 eine E-Mail-Nachricht von einem externen Absender empfangen. Die Nachricht wird bei 142 in einzelne Teile (Nachrichtentextkörper und Anhänge) aufgetrennt, und ein erster derartiger Teil wird bei 144 für die Prüfung bei 146 durch die Virenprüfeinrichtung 116 ausgewählt. Wenn sich der Teil bei 148 als gefährlichen Code enthaltend erweist, wird die gesamte Nachricht bei 150 unter Server-Quarantäne gestellt, und die Verarbeitung der Nachricht wird bei 152 abgebrochen. Wenn andernfalls der Teil bei 148 als keinen gefährlichen Code enthaltend identifiziert wird, und ebenso wenn er bei 154 als sicher verifiziert wird, wird er zur nächsten Stufe 156 geschickt, wo er vorübergehend gespeichert wird.
  • Kann der Nachrichtenteil bei 154 nicht als sicher (unschädlich) verifiziert werden, dann wird er bei 158 verschlüsselt: Die resultierende verschlüsselte Version ersetzt den nicht verifizierten Nachrichtenteil und gelangt zur vorübergehenden Speicherung zur nächsten Stufe 156. Wenn in der Nachricht ein Teil oder mehrere Teile verbleiben, wird bei 160 der nächste Teil ausgewählt, und die mit Schritt 146 beginnende Prozedur wird für diesen Teil wiederholt. Dies setzt sich für aufeinanderfolgende Nachrichtenteile fort, bis keine Teile mehr verbleiben oder bis bei 152 das Abbrechen der Nachrichtenverarbeitung stattfindet, je nachdem, was zuerst erfolgt. Wenn zu dem Zeitpunkt, da der letzte Nachrichtenteil verarbeitet wird, kein derartiger Abbruch erfolgte, hat sich eine teilweise verschlüsselte und teilweise nicht verschlüsselte E-Mail-Nachricht bei 156 im Speicher angesammelt. Diese gespeicherte Nachricht wird bei 162 über den Bastions-Host-Firewall 110 zum gemeinsamen Mail-Server 102 beför dert.
  • Die Arbeitsplatzrechner 72 sind organisiert, wie in 7 gezeigt, in der Teile, die den früher besprochenen entsprechen, ebenso bezeichnet sind. Jeder Arbeitsplatzrechner 72 zeichnet sich dadurch aus, dass Verarbeitung und Speicherung aufgeteilt und entsprechenden Anwender-Bildschirmarbeitsflächen zugeordnet sind – einer Haupt-Bildschirmarbeitsfläche 200, in der ein Anwender mit Anwendungen 78 an vertrauenswürdigen Daten arbeitet, und einer Sandkasten-Bildschirmarbeitsfläche 76 mit Softwareanwendungen wie 82 zum Arbeiten mit Daten in Bildschirmarbeitsflächen-Quarantäne. Die Haupt- und die Sandkasten-Bildschirmarbeitsflächen-Anwendungen 78 und 82 sind voneinander isoliert: Das bedeutet, dass Haupt-Bildschirmarbeitsflächen-Anwendungen 78 keinen Zugriff auf Daten haben, die von Sandkasten-Bildschirmarbeitsflächen-Anwendungen 82 verarbeitet werden, und daher durch derartige Daten nicht beschädigt werden können.
  • Auf dem Arbeitsplatzrechner 72 läuft Software für drei spezielle Systemprozesse, und zwar einen Entschlüsselungsprozess 80, einen Verschlüsselungsprozess 208 und einen Prüfprozess 210: Diese verschaffen einem Anwender die Möglichkeit, Daten zwischen den beiden Bildschirmarbeitsflächen 76 und 200 zu verschieben. Der Entschlüsselungsprozess 80 nimmt von der Haupt-Bildschirmarbeitsfläche 200 verschlüsselte Daten auf, entschlüsselt sie und verschiebt sie zur Sandkasten-Bildschirmarbeitsfläche 76. Der Verschlüsselungsprozess 208 führt eine umgekehrte Aktion aus, bei der er vom Sandkasten 76 entschlüsselte Daten aufnimmt, sie verschlüsselt und sie zur Haupt-Bildschirmarbeitsfläche 200 verschiebt. Der Prüfprozess 210 verschiebt Daten vom Sandkasten 76 zur Haupt-Bild schirmarbeitsfläche 200, ohne sie zu verschlüsseln, wobei er dem Kriterium unterworfen ist, dass derart verschobene Daten Inhaltsprüfungen passiert haben, wodurch nachgewiesen wurde, dass sie keinen möglicherweise schädlichen Code enthalten.
  • Wie wiederum in 4 und 5 gezeigt ist, kann die Firewall 108 eine Nachricht mit einem Anhang empfangen, der ein ausführbarer zu sein scheint, jedoch nicht eindeutig ein Angriff ist: Der Bastions-Host 110 schickt die Nachricht dann zur Prüfeinrichtung 116. Stellt die Prüfeinrichtung 116 fest, dass der Anhang verdächtig ist, verschlüsselt ihn die Prüfeinrichtung 116 mittels eines Verschlüsselungs-Schlüssels. Die resultierende Nachricht mit verschlüsseltem Anhang wird über den Bastions-Host 110 und zum gemeinsamen Mail-Server 102 zurück geschickt.
  • Der eine Nachricht empfangende Arbeitsplatzrechner 72 betreibt auf der Haupt-Bildschirmarbeitsfläche 200 eine Mail-Client-Softwareanwendung 212 und gewinnt die Nachricht aus dem Mail-Server 102 wieder. Der Mail-Client 212 oder irgendeine andere Software 78, die auf der Haupt-Bildschirmarbeitsfläche 200 läuft, kann auf den verschlüsselten Anhang zugreifen: Diese Software kann den verschlüsselten Anhang jedoch nicht entschlüsseln, da sie keinen Zugriff auf den relevanten Verschlüsselungs-Schlüssel hat. Dadurch können im verschlüsselten Anhang enthaltene verdächtige Daten nicht genutzt oder ausgeführt werden.
  • Wenn ein Anwender feststellt, dass der verschlüsselte Anhang uninteressant ist, eventuell durch Lesen der Nachricht, an der er angefügt ist, kann der Anhang gelöscht werden. Jedoch muss ein Anwender, der auf Daten im verschlüsselten Anhang zugreifen möchte, zunächst den Entschlüsselungsprozess 80 verwenden, um den Anhang zu entschlüsseln, und dessen Daten zur Sandkasten-Bildschirmarbeitsfläche 76 schicken. Einmal in der Sandkasten-Bildschirmarbeitsfläche 76 vorhanden, können die Daten genutzt oder durch Softwareanwendungen 82 ausgeführt werden, wobei aber die Sandkastenbeschränkungen das Verhalten der Anwendungen beschränken, sodass, wenn sich die Daten im Anhang als ein Angriff herausstellen, jeglicher Folgeschaden im Sandkasten zurückgehalten wird, wobei nur Anwendungen 82 und ihre Daten, nicht aber Anwendungen 78 beeinflusst werden.
  • Muss der Anwender die im Anhang enthaltenen Daten teilweise in die Haupt-Bildschirmarbeitsfläche 200 zurücknehmen, werden diese durch den Prüfprozess 210 geführt. Dieser wendet Inhaltsprüfeinrichtungen auf die Daten an und lässt sie nur dann durch, wenn sie als sicher bestimmt werden können. Daten, die den Prüfprozess 210 nicht bestehen, gehen nicht von der Sandkasten-Bildschirmarbeitsfläche 76 zur Haupt-Bildschirmarbeitsfläche 200 über.
  • Wenn die im Anhang enthaltenen Daten benötigt werden, aber den Prüfprozess 210 nicht bestehen, kann der Anwender sie über den Verschlüsselungsprozess 208 zur Haupt-Bildschirmarbeitsfläche 200 zurück schicken: Dieser verschlüsselt die Daten, die unbrauchbar und damit sicher werden. Die verschlüsselten Daten können (z. B. per E-Mail) zur manuellen Überprüfung zu einem zentralen Team von Sicherheitsexperten geschickt werden.
  • Im oben erwähnten Beispiel wird eine Nachricht oder ein Anhang unter Server-Quarantäne 150 gestellt, wenn sich herausstellt, dass sie bzw. er gefährlichen Code enthält. Jedoch sind auch alternative Strategien möglich: Beispielsweise kann eine Nachricht auf ihren Weg geschickt werden, nachdem ein verdächtiger Teil durch eine Benachrichtigung ersetzt wurde, dass der Teil entfernt worden ist. Alternativ können Teile, die als möglicherweise gefährlich ermittelt wurden, als solche markiert sowie verschlüsselt und auf ihren Weg geschickt werden, wobei sie von verbleibenden unverschlüsselten Teilen begleitet werden. Der Entschlüsselungsprozess 80 auf einem Arbeitsplatzrechner 72 eines Anwenders entschlüsselt möglicherweise gefährliche Daten nicht; jedoch tut dies die Entsprechung auf der Bildschirmarbeitsfläche des zentralen Teams von Sicherheitsexperten.
  • Die Erfindung verbessert die Handhabung von Daten, die durch eine Prüfeinrichtungssoftware wie 116 als verdächtig ermittelt wurden. Dies verringert die für den manuellen Eingriff von Experten erforderlichen Bemühungen, verdächtige Daten zu prüfen, da in vielen Fällen ein Anwender sämtliche notwendigen Maßnahmen ergreift, ohne Experten zu beteiligen; das bedeutet, ein Anwender löscht in manchen Fällen unerwünschte Daten und fordert in anderen Fällen eine Wiederholung der Nachrichten durch den Absender an. Diese Aktion des Anwenders vermeidet die Notwendigkeit der Expertenuntersuchung und beseitigt damit Verzögerungen, die dadurch eintreten würden.
  • Geeignete Computersoftware oder Computerprogramme zum Ausführen der Erfindung sind entweder handelsüblich (z. B. Sandkasten, Firewall oder Prüfeinrichtungssoftware) oder können (z. B. wenn eine Ankopplung erforderlich ist) direkt durch einen Durchschnittsprogrammierer ausgeführt werden, ohne dass eine Erfindung erforderlich ist. Sie können ohne weiteres auf ein Trägermedium aufgezeichnet und auf einem Computersystem der oben beschriebenen Art be trieben werden. Derartige Software und ein derartiges System werden daher nicht weiter beschrieben.

Claims (12)

  1. Computersystem (72), das ankommende Daten von einer externen Quelle (60) empfängt und eine Sandkastenanwendung (76) zum Empfangen von möglicherweise schädlichen ankommenden Daten und zum Definieren einer Sandkasten-Bildschirmarbeitsfläche und Entschlüsselungsmittel (80) zum Entschlüsseln von Daten umfasst, dadurch gekennzeichnet, dass das Computersystem (72) außerdem in Kombination umfasst: a) Verschlüsselungsmittel (64, 68, 208) zum Verschlüsseln von möglicherweise schädlichen ankommenden Daten, um sie in verschlüsselte Daten zu transformieren und sie unschädlich zu machen, wobei die Entschlüsselungsmittel (80) so beschaffen sind, dass sie die verschlüsselten Daten entschlüsseln und sie in entschlüsselte Daten transformieren, und b) eine beschränkte Anwendung (72), die durch die Sandkastenanwendung (76) beschränkt und so beschaffen ist, dass sie die entschlüsselten Daten verarbeitet, und c) Prüfmittel (210), die so beschaffen sind, dass sie eine Inhaltsprüfung von Daten ausführen, auf die durch die beschränkte Anwendung (82) als verschlüsselte Daten zugegriffen wird oder die als solche durch diese ausgeführt werden und die von der Sandkasten-Bildschirmarbeitsfläche zu einer Haupt-Bildschirmarbeitsfläche (200) des Computersystems (200) geschickt werden, wobei die Prüfmittel nur inhaltsgeprüfte Daten von der Sandkasten-Bildschirmarbeitsfläche zu der Haupt-Bildschirmarbeitsfläche (200) durchlas sen, falls solche Daten als sicher bestimmt werden können.
  2. Computersystem (72) nach Anspruch 1, dadurch gekennzeichnet, dass ihm Mittel (86, 88) zugeordnet sind, die einem Anwender ermöglichen, Daten von der Sandkastenanwendung in verschlüsselter Form wiederzugewinnen, um sie an eine Expertenuntersuchung (90) weiterzugeben.
  3. Computersystem (72) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass es über eine Firewall (110) mit der externen Quelle, die ein Netz (60) ist, verbunden ist.
  4. Computersystem (72) nach Anspruch 1, dadurch gekennzeichnet, dass es eine Firewall (110) enthält, die eine weitere Prüfeinrichtung (116) vor der externen Quelle (60), mit der die Firewall (110) verbunden ist, schützt, wobei die weitere Prüfeinrichtung (116) die Verschlüsselungsmittel enthält und so beschaffen ist, dass sie feststellt, ob ankommende Daten möglicherweise schädlich sind oder nicht.
  5. Computersystem (72) nach Anspruch 4, das Software (208) enthält, um möglicherweise schädliche Daten zu verschlüsseln, die ein Anwender statt unter Verwendung der Sandkastenanwendung (76) unter Verwendung von Anwendungen (78), die einer Haupt-Bildschirmarbeitsfläche (200) des Systems (72) zugeordnet sind, verarbeiten möchte.
  6. Computersystem (72) nach Anspruch 1, dadurch gekennzeichnet, dass es Software enthält, die einem Anwender ermöglicht, Daten von der Sandkastenanwendung (76) in verschlüsselter Form wieder zugewinnen, um sie an eine Expertenuntersuchung (90) weiterzugeben.
  7. Verfahren zum Schützen eines Computersystems (72) vor möglicherweise schädlichen ankommenden Daten von einer externen Quelle (60), wobei das Computersystem (72) eine Sandkastenanwendung (76), die möglicherweise schädliche Daten empfängt und eine Sandkasten-Bildschirmarbeitsfläche definiert, und Mittel zum Entschlüsseln von Daten umfasst, dadurch gekennzeichnet, dass das Verfahren die folgenden Schritte umfasst: a) Verschlüsseln der möglicherweise schädlichen ankommenden Daten, um sie in unschädliche verschlüsselte Daten zu transformieren, b) Entschlüsseln der verschlüsselten Daten, um sie in entschlüsselte Daten zu transformieren, c) Verarbeiten der entschlüsselten Daten mittels einer beschränkten Anwendung (72), die durch die Sandkastenanwendung (76) beschränkt ist, und d) Ausführen einer Inhaltsprüfung der Daten, auf die durch die beschränkte Anwendung (72) als verschlüsselte Daten zugegriffen wird oder die durch diese als solche ausgeführt werden und die von der Sandkasten-Bildschirmarbeitsfläche zu einer Haupt-Bildschirmarbeitsfläche (200) des Computersystems (72) geschickt werden sollen, wobei die inhaltsgeprüften Daten nur dann von der Sandkasten-Bildschirmarbeitsfläche zu der Haupt-Bildschirmarbeitsfläche (200) geschickt werden, wenn solche Daten als sicher bestimmt werden können.
  8. Verfahren zum Schützen eines Computersystems (72) nach Anspruch 7, dadurch gekennzeichnet, dass es den Schritt des Wie dergewinnens von Daten von der Sandkastenanwendung (76) in verschlüsselter Form umfasst, um sie an eine Expertenuntersuchung (90) weiterzugeben.
  9. Verfahren zum Schützen eines Computersystems (72) nach Anspruch 7 oder 8, dadurch gekennzeichnet, dass das Computersystem (72) über eine Firewall (110) mit der externen Quelle, die ein Netz (60) ist, verbunden ist.
  10. Verfahren zum Schützen eines Computersystems (72) nach Anspruch 9, dadurch gekennzeichnet, dass die Firewall (110) eine wietere Prüfeinrichtung (116) von dem Netz (60) schützt und dass das Verfahren die Verwendung der weiteren Prüfeinrichtung (116) umfasst, um den Schritt des Verschlüsselns der möglicherweise schädlichen ankommenden Daten auszuführen, um sie in unschädliche verschlüsselte Daten zu transformieren.
  11. Computersoftware zum Schützen eines Computersystems (72) vor schädlichen Daten, wobei die Computersoftware Entschlüsselungssoftware zum Entschlüssseln von Daten und eine Sandkastenanwendung (76) zum Empfangen von möglicherweise schädlichen ankommenden Daten von einer externen Quelle (60) und zum Definieren einer Sandkasten-Bildschirmarbeitsfläche umfasst, dadurch gekennzeichnet, dass die Computersoftware außerdem so beschaffen ist, dass sie das Computersystem (72) steuert, um: a) die möglicherweise schädlichen ankommenden Daten zu verschlüsseln, um sie in verschlüsselte Daten zu transformieren und sie unschädlich zu machen, b) die verschlüsselten Daten zu entschlüsseln, um sie in entschlüsselte Daten zu transformieren, und c) die entschlüsselten Daten unter Verwendung einer Anwendung (72), die durch die Sandkastenanwendung (76) beschränkt ist, zu verarbeiten, und d) eine Inhaltsprüfung an Daten auszuführen, auf die durch die beschränkte Anwendung (82) als entschlüsselte Daten zugegriffen wird oder die durch diese als solche ausgeführt werden und die von der Sandkasten-Bildschirmarbeitsfläche zu einer Haupt-Bildschirmarbeitsfläche (200) des Computersystems (72) geschickt werden sollen, und das Schicken der inhaltsgeprüften Daten von der Sandkasten-Bildschirmarbeitsfläche zu der Haupt-Bildschirmarbeitsfläche (200) nur dann zuzulassen, wenn solche Daten als sicher bestimmt werden können.
  12. Computersoftware nach Anspruch 11, dadurch gekennzeichnet, dass sie so beschaffen ist, dass sie das Computersystem (72) steuert, um Daten von der Sandkastenanwendung (76) in verschlüsselter Form wiederzugewinnen, um sie an eine Expertenuntersuchung (90) weiterzugeben.
DE60123672T 2001-01-13 2001-12-24 Computersystemschutz Expired - Fee Related DE60123672T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB0100955 2001-01-13
GB0100955A GB2371125A (en) 2001-01-13 2001-01-13 Computer protection system
PCT/GB2001/005767 WO2002056156A2 (en) 2001-01-13 2001-12-24 Computer system protection

Publications (2)

Publication Number Publication Date
DE60123672D1 DE60123672D1 (de) 2006-11-16
DE60123672T2 true DE60123672T2 (de) 2007-08-16

Family

ID=9906799

Family Applications (2)

Application Number Title Priority Date Filing Date
DE60132833T Expired - Lifetime DE60132833T2 (de) 2001-01-13 2001-12-24 Computersystemschutz
DE60123672T Expired - Fee Related DE60123672T2 (de) 2001-01-13 2001-12-24 Computersystemschutz

Family Applications Before (1)

Application Number Title Priority Date Filing Date
DE60132833T Expired - Lifetime DE60132833T2 (de) 2001-01-13 2001-12-24 Computersystemschutz

Country Status (8)

Country Link
US (1) US7398400B2 (de)
EP (2) EP1632833B1 (de)
JP (2) JP2004518193A (de)
AT (2) ATE386304T1 (de)
DE (2) DE60132833T2 (de)
ES (1) ES2297596T3 (de)
GB (1) GB2371125A (de)
WO (1) WO2002056156A2 (de)

Families Citing this family (76)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060277433A1 (en) * 2000-05-19 2006-12-07 Self Repairing Computers, Inc. Computer having special purpose subsystems and cyber-terror and virus immunity and protection features
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US8972590B2 (en) * 2000-09-14 2015-03-03 Kirsten Aldrich Highly accurate security and filtering software
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US20030172291A1 (en) 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US7903549B2 (en) 2002-03-08 2011-03-08 Secure Computing Corporation Content-based policy compliance systems and methods
US6941467B2 (en) * 2002-03-08 2005-09-06 Ciphertrust, Inc. Systems and methods for adaptive message interrogation through multiple queues
US7694128B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US7124438B2 (en) 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US7693947B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for graphically displaying messaging traffic
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US7870203B2 (en) 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US20060015942A1 (en) 2002-03-08 2006-01-19 Ciphertrust, Inc. Systems and methods for classification of messaging entities
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US7487543B2 (en) * 2002-07-23 2009-02-03 International Business Machines Corporation Method and apparatus for the automatic determination of potentially worm-like behavior of a program
US8838950B2 (en) 2003-06-23 2014-09-16 International Business Machines Corporation Security architecture for system on chip
US7353536B1 (en) * 2003-09-23 2008-04-01 At&T Delaware Intellectual Property, Inc Methods of resetting passwords in network service systems including user redirection and related systems and computer-program products
GB2411799A (en) * 2004-03-02 2005-09-07 Vistorm Ltd Virus checking devices in a test network before permitting access to a main network
US7669059B2 (en) * 2004-03-23 2010-02-23 Network Equipment Technologies, Inc. Method and apparatus for detection of hostile software
US20050273853A1 (en) * 2004-05-24 2005-12-08 Toshiba America Research, Inc. Quarantine networking
US7908653B2 (en) 2004-06-29 2011-03-15 Intel Corporation Method of improving computer security through sandboxing
JP4643221B2 (ja) * 2004-10-25 2011-03-02 株式会社東芝 故障解析支援端末および故障解析支援情報提供装置
US8635690B2 (en) 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US20060112430A1 (en) * 2004-11-19 2006-05-25 Deisenroth Jerrold M Method and apparatus for immunizing data in computer systems from corruption
US8131804B2 (en) 2004-11-19 2012-03-06 J Michael Greata Method and apparatus for immunizing data in computer systems from corruption
US7519809B2 (en) * 2005-04-07 2009-04-14 International Business Machines Corporation Operating system-wide sandboxing via switchable user skins
US7937480B2 (en) 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
GB2427048A (en) * 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US8024797B2 (en) * 2005-12-21 2011-09-20 Intel Corporation Method, apparatus and system for performing access control and intrusion detection on encrypted data
US20070256082A1 (en) * 2006-05-01 2007-11-01 International Business Machines Corporation Monitoring and controlling applications executing in a computing node
ES2577291T3 (es) 2006-06-27 2016-07-14 Waterfall Security Solutions Ltd. Enlaces unidireccionales seguros desde y hacia un motor de seguridad
IL177756A (en) 2006-08-29 2014-11-30 Lior Frenkel Encryption-based protection against attacks
IL180020A (en) 2006-12-12 2013-03-24 Waterfall Security Solutions Ltd Encryption -and decryption-enabled interfaces
IL180748A (en) 2007-01-16 2013-03-24 Waterfall Security Solutions Ltd Secure archive
US7949716B2 (en) 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US7779156B2 (en) 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
US8179798B2 (en) 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
US8223205B2 (en) 2007-10-24 2012-07-17 Waterfall Solutions Ltd. Secure implementation of network-based sensors
US8185930B2 (en) 2007-11-06 2012-05-22 Mcafee, Inc. Adjusting filter or classification control settings
US8045458B2 (en) 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
US8160975B2 (en) 2008-01-25 2012-04-17 Mcafee, Inc. Granular support vector machine with random granularity
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
US8627060B2 (en) * 2008-04-30 2014-01-07 Viasat, Inc. Trusted network interface
US20100071054A1 (en) * 2008-04-30 2010-03-18 Viasat, Inc. Network security appliance
US8365259B2 (en) * 2008-05-28 2013-01-29 Zscaler, Inc. Security message processing
JP5423063B2 (ja) * 2009-03-05 2014-02-19 日本電気株式会社 情報処理装置と方法とプログラム
US8749662B2 (en) 2009-04-16 2014-06-10 Nvidia Corporation System and method for lens shading image correction
GB2470928A (en) * 2009-06-10 2010-12-15 F Secure Oyj False alarm identification for malware using clean scanning
US8479286B2 (en) * 2009-12-15 2013-07-02 Mcafee, Inc. Systems and methods for behavioral sandboxing
US8850572B2 (en) * 2010-01-15 2014-09-30 Apple Inc. Methods for handling a file associated with a program in a restricted program environment
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
GB201008888D0 (en) * 2010-05-27 2010-07-14 Qinetiq Ltd Network security
JP5739182B2 (ja) 2011-02-04 2015-06-24 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 制御システム、方法およびプログラム
JP5731223B2 (ja) 2011-02-14 2015-06-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体
JP5689333B2 (ja) 2011-02-15 2015-03-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
CN104335218B (zh) * 2012-03-30 2017-08-11 爱迪德技术有限公司 使用基函数编码来保护可访问的系统
US9256733B2 (en) * 2012-04-27 2016-02-09 Microsoft Technology Licensing, Llc Retrieving content from website through sandbox
US9635037B2 (en) 2012-09-06 2017-04-25 Waterfall Security Solutions Ltd. Remote control of secure installations
US9419975B2 (en) 2013-04-22 2016-08-16 Waterfall Security Solutions Ltd. Bi-directional communication over a one-way link
US9380023B2 (en) 2013-05-13 2016-06-28 Owl Computing Technologies, Inc. Enterprise cross-domain solution having configurable data filters
KR101429131B1 (ko) * 2013-06-12 2014-08-11 소프트캠프(주) 시스템 보호를 위한 파일 보안용 관리장치와 관리방법
US9542568B2 (en) * 2013-09-25 2017-01-10 Max Planck Gesellschaft Zur Foerderung Der Wissenschaften E.V. Systems and methods for enforcing third party oversight of data anonymization
US9633200B2 (en) * 2014-09-26 2017-04-25 Oracle International Corporation Multidimensional sandboxing for financial planning
IL235175A (en) 2014-10-19 2017-08-31 Frenkel Lior Secure desktop remote control
US10291647B2 (en) * 2015-04-27 2019-05-14 The Johns Hopkins University Apparatus and method for enabling safe handling of malware
IL250010B (en) 2016-02-14 2020-04-30 Waterfall Security Solutions Ltd Secure connection with protected facilities
US11194823B2 (en) 2016-05-10 2021-12-07 Aircloak Gmbh Systems and methods for anonymized statistical database queries using noise elements
JP6381837B1 (ja) * 2018-01-17 2018-08-29 株式会社Cygames 通信を行うためのシステム、プログラム、方法及びサーバ
JP7247753B2 (ja) * 2019-05-30 2023-03-29 株式会社デンソーウェーブ 送信システム及び送信方法
LU500837B1 (de) 2021-11-08 2023-05-15 KraLos GmbH Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten
DE102021129026A1 (de) 2021-11-08 2023-05-11 KraLos GmbH Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6006328A (en) * 1995-07-14 1999-12-21 Christopher N. Drake Computer software authentication, protection, and security system
US5623600A (en) * 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
GB2315575A (en) * 1996-07-19 1998-02-04 Ibm Encryption circuit in I/O subsystem
US5871814A (en) * 1997-07-18 1999-02-16 Robotech, Inc. Pneumatic grip
US6691230B1 (en) * 1998-10-15 2004-02-10 International Business Machines Corporation Method and system for extending Java applets sand box with public client storage
US6519702B1 (en) * 1999-01-22 2003-02-11 Sun Microsystems, Inc. Method and apparatus for limiting security attacks via data copied into computer memory
US6986052B1 (en) * 2000-06-30 2006-01-10 Intel Corporation Method and apparatus for secure execution using a secure memory partition

Also Published As

Publication number Publication date
EP1632833A2 (de) 2006-03-08
GB2371125A (en) 2002-07-17
DE60132833D1 (de) 2008-03-27
DE60132833T2 (de) 2009-02-05
EP1632833A3 (de) 2006-05-10
EP1632833B1 (de) 2008-02-13
ATE341794T1 (de) 2006-10-15
US20040139334A1 (en) 2004-07-15
DE60123672D1 (de) 2006-11-16
US7398400B2 (en) 2008-07-08
WO2002056156A3 (en) 2003-11-06
ATE386304T1 (de) 2008-03-15
JP2007234051A (ja) 2007-09-13
EP1377890A2 (de) 2004-01-07
WO2002056156A2 (en) 2002-07-18
EP1377890B1 (de) 2006-10-04
JP2004518193A (ja) 2004-06-17
GB0100955D0 (en) 2001-02-28
ES2297596T3 (es) 2008-05-01

Similar Documents

Publication Publication Date Title
DE60123672T2 (de) Computersystemschutz
DE10249428B4 (de) Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
DE69727198T2 (de) Durchführen digitaler Unterschriften für Datenströme und Archive
DE60130172T2 (de) Eine gesicherte und offene Rechnerplattform
DE60218615T2 (de) Verfahren und Architektur zur durchdringenden Absicherung von digitalen Gütern
DE60102555T2 (de) Verhinderung der map-aktivierten modulmaskeradeangriffe
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
US7328454B2 (en) Systems and methods for assessing computer security
DE10249887A1 (de) Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen
DE102011077218A1 (de) Zugriff auf in einer Cloud gespeicherte Daten
DE69919560T2 (de) Verfahren und system zur vorbeugung von unerwüschten betätigungen von ausführbaren objekten
US8572744B2 (en) Information security auditing and incident investigation system
WO2003025758A2 (de) Vorrichtung und verfahren zur etablierung einer sicherheitspolitik in einem verteilten system
EP1298529A2 (de) Proxy-Einheit und Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms
DE112021000455T5 (de) Deep packet analyse
DE19717900C2 (de) Verfahren und Applet-Applikationsmaschine zur Verarbeitung eines Computer-Applets sowie ein Computersoftware-Applet
Broucek et al. Forensic computing developing a conceptual approach in the era of information warfare
DE10006062C2 (de) Tastaturschlüssel
CH715740A2 (de) Verfahren zur Feststellung von unauthorisiertem Zugriff auf Daten.
AT525753B1 (de) Computerimplementiertes Verfahren zur Verhinderung unerwünschter Verbindungen und Datenübertragungen von Programmen auf einem Client an ein Netzwerk
Altschaffel et al. From the computer incident taxonomy to a computer forensic examination taxonomy
EP2431906A1 (de) Verfahren zur Prüfung von Aktionen mit Daten
DE102008010786B4 (de) Verfahren zur Durchführung eines Ermittlungsverfahrens im Cyberspace
Karro et al. Protecting Web servers from security holes in server-side includes

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee