DE60132833T2 - Computersystemschutz - Google Patents

Computersystemschutz Download PDF

Info

Publication number
DE60132833T2
DE60132833T2 DE60132833T DE60132833T DE60132833T2 DE 60132833 T2 DE60132833 T2 DE 60132833T2 DE 60132833 T DE60132833 T DE 60132833T DE 60132833 T DE60132833 T DE 60132833T DE 60132833 T2 DE60132833 T2 DE 60132833T2
Authority
DE
Germany
Prior art keywords
data
incoming data
computer system
harmless
sandbox
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60132833T
Other languages
English (en)
Other versions
DE60132833D1 (de
Inventor
Simon Robert Qinetiq Limited Wiseman
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qinetiq Ltd
Original Assignee
Qinetiq Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qinetiq Ltd filed Critical Qinetiq Ltd
Application granted granted Critical
Publication of DE60132833D1 publication Critical patent/DE60132833D1/de
Publication of DE60132833T2 publication Critical patent/DE60132833T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Multi Processors (AREA)
  • Safety Devices In Control Systems (AREA)

Description

  • Diese Erfindung betrifft Verfahren zum Schutz von Computersystemen gegen unerwünschte externe Einflüsse, wie zum Beispiel etwa Viren, ein Computerprogramm, das diesen Schutz implementiert, und ein Computersystem, das dadurch geschützt ist.
  • Softwareanwendungen für Computer bieten zunehmend flexiblere Merkmale und werden mit der Entwicklung der Computertechnik besser integriert. Unglücklicherweise hat dies den Effekt, dass Computersysteme verstärkt Angriffen ausgesetzt sind: Angriffe mit Software als Trojanische Pferde nutzen versteckte Merkmale von Softwareanwendungen aus, die auf dem Computer eines Opfers laufen, und Angriffe mit Viren führen dazu, dass Software durch einen Angreifer eingebracht wird, die sich von einem Computer zum anderen verbreitet. Schutz für Computersysteme wird deswegen mit dem Fortschritt der Technik zunehmend schwieriger. Angriffe auf Computersysteme können Informationen beschädigen, die sie speichern, ein Leck für diese Informationen darstellen oder verhindern, dass legitimierte Benutzer von Computersystemen ihre Arbeit verrichten.
  • Das derzeit beste Vorgehen der Industrie beim Schutz von Computersystemen, wie in dem Lehrbuch von Kaufman, Perlman und Speciner „Network Security" beschrieben ist, ist es, einen Software-Prüfer auf Daten anzuwenden, wenn sie in ein Computersystem hineinkommen: der Prüfer identifiziert einen potenziellen Angriff, was ermöglicht, dass alle Daten, die ein Angriff zu sein scheinen, abgewiesen werden. Unglücklicherweise ist es sehr schwierig, einen Angriff mit Software-Prüfern genau zu identifizieren, und es ist oft erforderlich, auf der sicheren Seite zu bleiben. Das Ergebnis ist, dass es möglich ist, dass es Daten, die harmlos und vielleicht wertvoll sind, nicht erlaubt wird, in das System hineinzukommen.
  • Ein Computersystem, das harmlose und manchmal wertvolle Daten abweist, ist kein zuverlässiges Werkzeug im Geschäftsbetrieb, und folglich ist es zur Verringerung von Datenverlust bekannt, abgewiesene Daten an einem Ort abzulegen, der „Quarantäne" genannt wird: Quarantäne ist ein Speicherbereich des Computers, auf den von normalen Benutzern und ihren Softwareanwendungen, wie zum Beispiel Wortverarbeitungen, nicht zugegriffen werden kann, der aber stattdessen für Computerexperten zugänglich ist, die die abgewiesenen Daten manuell prüfen können und entscheiden können, ob sie schädlich sind oder nicht. Manuelle Prüfung von Daten in Quarantäne durch Experten kann bei der Erfassung eines Angriffs viel genauer sein als ein Software-Prüfer. Folglich kann ein Teil der Daten, der von einem automatischen Software-Prüfer abgewiesen wurde, nachfolgend als harmlos identifiziert werden, und ihm erlaubt werden, in das Computersystem einzutreten.
  • Manuelle Prüfung von Daten in Quarantäne verbessert die Zuverlässigkeit von Kommunikation zwischen einem Computersystem und der Welt außerhalb davon, aber sie führt zu einer Verzögerung, die signifikant sein kann, und erfordert teures Expertenpersonal, um sie zu realisieren. Darüber hinaus neigen sowohl automatische Prüfer als auch manuelle Prüfung zu Fehlern. Insbesondere sind sowohl automatische als auch manuelle Prüfungen bei der Erfassung von neuen und deshalb unbekannten Formen von Angriffen schwach. Die Arten von Angriffen sind mit Funktionalitäten verbunden, die in Anwendungen verfügbar sind; neue Arten von Angriffen tauchen deshalb auf, wenn Softwareanwendungen weiterentwickelt werden. Folglich ist das derzeit beste Vorgehen der Industrie beim Schutz von Computersystemen teuer und ineffektiv, und diese Situation wird sich nicht verbessern.
  • Ein Verfahren nach dem Stand der Technik, das „Sandbox" genannt wird, ist in dem Lehrbuch „JAVA Security" von Scott Oaks beschrieben: es bietet eine Alternative zu dem Ansatz, Daten abzuweisen. Bei diesem Verfahren wird Daten erlaubt, in ein Computersystem einzutreten, aber die Systemumgebung, das heißt, die Art und Weise, auf die die Daten verwendet werden können, ist beschränkt. Sollte sich herausstellen, dass Daten einen Angriff darstellen, haben das Trojanische Pferd oder Viren, die ihn darstellen, nur Zugriff auf die beschränkte Umgebung und können deshalb Softwareanwendungen außerhalb davon, das heißt, hinter der Sandbox-Grenze, nicht korrumpieren.
  • Die herkömmlichste Art einer Sandbox ist die, die für JAVA®-Applets bereitgestellt wird, welche unabhängige Softwareelemente sind, die in der Sprache JAVA von Sun Microsystems geschrieben sind, die auf einer großen Vielfalt von verschiedenen Computertypen ausgeführt werden kann. Leider hat die JAVA®-Sandbox an den Nachteil, dass sie nur für JAVA®-Applets funktioniert, und nicht für Daten in irgendeiner anderen Form. Zum Beispiel kann ein Microsoft®-Word-Dokument nicht innerhalb einer JAVA®-Sandbox von der Anwendung Microsoft® Word editiert werden.
  • In „A Flexible Security Model for Using Internet Content", INTERNET, 28. Juni 1997 schlagen Islam et al. eine Architektur vor, die ein vertrauenswürdiges Inhaltsverwendungssystem mit Stempeln zur Steuerung der Ausführung von heruntergeladenen Inhalten auf Basis von Vertrauensgraden für die Hersteller, Zertifizierungsstellen, Netzwerke und Server des Inhalts enthält (siehe auch zwei IEEE- Veröffentlichungen von Islam et. al. und Anand et. al. von 1997 mit dem gleichen Titel). In dieser Architektur laden die Hauptpersonen (Clients) Inhalte mit Inhaltsstempeln herunter, die verwendet werden, um die Inhalte zu authentifizieren und ihre Protection Domain abzuleiten. Das Inhaltsverwendungssystem mit Stempeln wird über ein nicht vertrauenswürdiges Netzwerk mit einem nicht vertrauenswürdigen Inhaltsserver, der Inhalte zum Herunterladen hat, einem vertrauenswürdigen Inhaltsbewertungdienst und einem vertrauenswürdigen Verfahrensweisen-Verteilungsdienst verbunden, der Datenbanken mit Verfahrensweisen an eine herunterladende Hauptperson und einen Hersteller von Inhalt verteilt. Es gibt einen variierenden Vertrauensgrad für Hersteller von Software.
  • Das Inhaltsverwendungssystem mit Stempeln authentifiziert einen Inhalt und erzeugt Protection Domains; es enthält (a) einen Interpreter für Inhalte, (b) eine Datenbank mit Verfahrensweisen, (c) einen Sicherheitsverbesserer und (d) eine Tabelle mit Zugriffsrechten. Hauptpersonen verwenden einen Schlüsselverteilungsdienst, der ihnen ermöglicht, den öffentlichen Schlüssel einer anderen Hauptperson sicher zu erhalten. Verschlüsselter Inhalt mit Stempel, der von einer herunterladenden Hauptperson empfangen wird, wird von dem Inhaltsverwendungssystem mit Stempeln authentifiziert, um die Integrität des Inhalts und der Quelle zu verifizieren: das Inhaltsverwendungssystem mit Stempeln entschlüsselt dann den verschlüsselten Inhalt mit Stempel mit dem privaten Schlüssel der herunterladenden Hauptperson.
  • Das System ist als modifizierter Applet-Viewer beschrieben, der sowohl gestempelte als auch ungestempelte Applets bearbeiten kann. Ungestempelte Applets werden entsprechend der Standardverfahrensweisen für Java-Applets behandelt, das heißt, dem Applet wird nicht erlaubt, auf Dateien auf dem Rechner des Benutzers zuzugreifen, und zu Rechnern, die nicht ein Host sind, von dem das Applet heruntergeladen wurde, werden keine TCP-Verbindungen zugelassen. Jedem gestempelten Applet wird seine eigene Protection Domain zugewiesen. Alle Threads, die von dem gestempelten Applet erzeugt wurden, werden derselben Protection Domain zugeordnet. Folglich ist allen Threads, die zu einem gestempelten Applet gehören, eine gemeinsame Berechtigungsliste zugeordnet.
  • Sandboxen für allgemeinere Zwecke sind aufgebaut oder vorgeschlagen worden, sind aber nicht in allgemeiner Verwendung: Beispiele umfassen Forschungssoftware von der Universität Kalifornien in Berkeley, die Janus genannt wurde, und die in einer Veröffentlichung mit dem Titel „Janus: An Approach for Confinement of Untrusted Applications", David A. Wagner, UC Berkeley Computer Science Division, Report CSD-99-1056, August 1999 beschrieben wurde. Diese nutzen Sicherheitsmerkmale innerhalb eines Betriebssystems, um Software, die innerhalb der Sandbox ausgeführt wird, von Standardsoftware zu separieren, die auf einem Computersystem in der Form eines Desktops einer Haupt-Workstation ausgeführt wird.
  • Die Verwendung von Sandboxen löst das Problem jedoch nicht wirklich. Dies liegt daran, dass sich Viren innerhalb der eingegrenzten Umgebung, die von der Sandbox bereitgestellt wird, immer noch frei verbreiten können, und Benutzer unvermeidlich Daten über die Grenze der Sandbox verschieben müssen, was die geschäftliche Notwendigkeit widerspiegelt, Daten auszutauschen.
  • Gegenstand der Erfindung ist es, eine alternative Form des Schutzes von Computersystemen zu schaffen.
  • Die vorliegende Erfindung schafft ein Computersystemen zum Empfangen von ankommenden Daten von einer externen Quelle, wobei das Computersystem eine Sandbox-Anwendung, die Daten empfängt und einen Sandbox-Desktop definiert, und eine Entschlüsselungseinrichtung zum Entschlüsseln von Daten enthält, dadurch gekennzeichnet, dass
    • (a) das Computersystem eine Verschlüsselungseinrichtung zum Verschlüsseln von potenziellen schädlichen ankommenden Daten enthält, die sie in verschlüsselte Daten umwandelt und sie dadurch harmlos macht,
    • (b) die Entschlüsselungseinrichtung dazu eingerichtet ist, die verschlüsselten Daten zu entschlüsseln, um sie in entschlüsselte Daten umzuwandeln, und
    • (c) eine eingegrenzte Anwendung, die von der Sandbox-Anwendung eingegrenzt ist, dazu eingerichtet ist, die entschlüsselten Daten zu verarbeiten.
  • Die Erfindung bietet den Vorteil, zu ermöglichen, dass potenziell schädliche Daten untersucht und ausgeführt werden, während sie von der Sandbox-Anwedung eingegrenzt sind: dies ermöglicht wiederum einem Benutzer, über die Wichtigkeit der Daten zu entscheiden, während die Daten durch Verschlüsselung in Quarantäne sind. Unerwünschte Daten können verworfen werden, was die Notwendigkeit von weiterer Untersuchung vermeidet. Darüber hinaus müssen wichtige Nachrichten nicht durch das Abwarten der Untersuchung durch Experten verzögert werden, sondern werden einem Systembenutzer in einer eingegrenzten Quarantäne-Umgebung zur Verfügung gestellt, die durch einen Sandbox-Desktop bereitgestellt wird.
  • Die Verschlüsselungseinrichtung kann eine Prüfeinrichtung enthalten, die zwischen harmlosen Daten und suspekten Daten unterscheidet, und kann dazu eingerichtet sein, suspekte Daten zu verschlüsseln, harmlose Daten jedoch nicht.
  • In einem alternativen Aspekt schafft die vorliegende Erfindung ein Computersystem, das potenziell schädliche Daten empfängt, die von einer externen Quelle ankommen, wobei das Computersystem eine Sandbox-Anwendung, die Daten empfängt und einen Sandbox-Desktop definiert, und eine Entschlüsselungseinrichtung zum Entschlüsseln von Daten enthält, dadurch gekennzeichnet, dass
    • (a) das Computersystem eine Prüfeinrichtung enthält, die: (i) ankommende Daten empfängt, (ii) Daten weiterleitet, die ihr für die Verarbeitung mit einer Anwendung, die einem Haupt-Desktop des Computersystems zugeordnet ist, für harmlos erscheinen, und (iii) suspekte Daten zur Verschlüsselung sendet,
    • (b) das Computersystem außerdem eine Verschlüsselungseinrichtung enthält, die suspekte Daten von der Überprüfungseinrichtung empfangt und die suspekten Daten verschlüsselt, um sie in verschlüsselte Daten umzuwandeln und sie dadurch harmlos zu machen,
    • (c) die Entschlüsselungseinrichtung dazu eingerichtet ist, die verschlüsselten Daten zu entschlüsseln, um sie in entschlüsselte Daten umzuwandeln, und
    • (d) eine eingegrenzte Anwendung, die von der Sandbox-Anwendung eingegrenzt ist, dazu eingerichtet ist, die entschlüsselten Daten zu verarbeiten.
  • Die eingegrenzte Anwendung kann dazu eingerichtet sein, nicht direkt mit irgendeiner Anwendung zu kommunizieren, die einem Haupt-Desktop des Computersystems zugeordnet ist. Dem Computersystem kann eine Einrichtung zugeordnet sein, die einem Benutzer ermöglicht, Daten in verschlüsselter Form aus der Sandbox-Anwendung abzurufen, um sie zur Untersuchung durch Experten weiterzuleiten. Es kann eine Einrichtung zum Überprüfen von entschlüsselten Daten, die aus der Sandbox-Anwendung entlassen werden, auf potenziell schädlichen Inhalt hin enthalten. Es kann über eine Firewall mit der externen Quelle verbunden werden, die ein Netzwerk ist. Die Firewall kann die Überprüfungseinrichtung vor der externen Quelle schützen.
  • Das Computersystem kann Software enthalten, die potenziell schädliche Daten verschlüsselt, die ein Benutzer möglicherweise mit einer Anwendung verarbeiten möchte, die dem Haupt-Desktop zugeordnet ist, statt der Sandbox-Anwendung. Es kann Software enthalten, die einem Benutzer ermöglicht, Daten aus der Sandbox-Anwendung in verschlüsselter Form abzurufen, um sie der Untersuchung durch Experten zuzuleiten, und die entschlüsselten Daten, die aus der Sandbox-Anwendung entlassen wurden, auf potenziell schädlichen Inhalt und Eignung für die Verarbeitung durch eine Anwendung des Haupt-Desktops des Computersystems hin überprüft.
  • In einem anderen Aspekt schafft die vorliegende Erfindung ein Verfahren zum Schutz eines Computersystems gegen potenziell schädli che ankommende Daten aus einer externen Quelle, wobei das Computersystem eine Sandbox-Anwendung, die Daten empfängt und einen Sandbox-Desktop definiert, und eine Einrichtung zum Entschlüsseln von Daten enthält, dadurch gekennzeichnet, dass das Verfahren folgende Schritte umfasst:
    • (a) Verschlüsseln von potenziell schädlichen ankommenden Daten, um sie in harmlose verschlüsselte Daten umzuwandeln,
    • (b) Entschlüsseln der verschlüsselten Daten, um sie in entschlüsselte Daten umzuwandeln, und
    • (c) Verarbeiten der entschlüsselten Daten mittels einer eingegrenzten Anwendung, die durch eine Sandbox-Anwendung eingegrenzt ist.
  • Der Schritt der Verschlüsselung potenziell schädlicher ankommender Daten kann das Überprüfen, um zwischen harmlosen Daten und suspekten Daten zu unterscheiden, und das Verschlüsseln von suspekten Daten, aber nicht das harmloser Daten, enthalten.
  • In einem anderen alternativen Aspekt schafft die vorliegende Erfindung ein Verfahren zum Schützen eines Computersystems gegen potenzielle schädliche Daten aus einer externen Quelle, wobei das Computersystem eine Sandbox-Anwendung, die Daten empfängt und einen Sandbox-Desktop definiert, und eine Entschlüsselungseinrichtung zum Entschlüsseln von Daten enthält, dadurch gekennzeichnet, dass das Verfahren folgende Schritte umfasst:
    • a) Überprüfen ankommender Daten,
    • b) Weiterleiten von Daten, die für die Verarbeitung mit einer Anwendung, die einem Haupt-Desktop des Computersystems zugeordnet ist, für harmlos gehalten werden,
    • c) Verschlüsseln von suspekten Daten, um sie in verschlüsselte Daten umzuwandeln und sie dadurch harmlos zu machen,
    • d) Entschlüsseln der verschlüsselten Daten, um sie für den Empfang durch die Sandbox-Anwendung in entschlüsselte Daten umzuwandeln, und
    • e) Verarbeiten der entschlüsselten Daten mit einer eingegrenzten Anwendung, die von der Sandbox-Anwendung eingegrenzt ist.
  • Die Schritte des Überprüfens von ankommenden Daten, des Weiterleitens, wenn sie harmlos erscheinen, des Sendens von suspekten Daten zur Verschlüsselung und der Schritt ihrer Verschlüsselung können von einer Überprüfungseinrichtung ausgeführt werden, die durch eine Firewall gegen die externe Quelle geschützt ist.
  • Die eingegrenzte Anwendung kann dazu eingerichtet sein, nicht mit irgendeiner Anwendung zu kommunizieren, die dem Haupt-Desktop zugeordnet ist.
  • Das Verfahren kann Den Schritt des Abrufens von Daten aus der Sandbox-Anwendung in verschlüsselter Form umfassen, um sie zur Überprüfung durch Experten weiterzuleiten. Es kann das Überprüfen der entschlüsselten Daten, die aus dem Sandbox-Desktop entlassen wurden, auf potenziell schädlichen Inhalt hin enthalten.
  • In einem weiteren Aspekt schafft die vorliegende Erfindung Computersoftware zum Schützen eines Computersystems gegen potenziell schädliche ankommende Daten, die von einer externen Quelle empfangen werden, wobei die Computersoftware eine Entschlüsselungssoftware zum Entschlüsseln von Daten und eine Sandbox-Anwendung umfasst, die Daten empfängt und einen Sandbox-Desktop definiert, dadurch gekennzeichnet, dass die Computersoftware dazu eingerichtet ist, das Computersystem zu steuern, sodass es
    • (a) potenziell schädliche ankommende Daten verschlüsselt, um sie in verschlüsselte Daten umzuwandeln und sie dadurch harmlos zu machen,
    • (b) die verschlüsselten Daten entschlüsselt, um sie in entschlüsselte Daten umzuwandeln, und
    • (c) die entschlüsselten Daten mit einer eingegrenzten Anwendung zu verarbeiten, die von der Sandbox-Anwendung eingegrenzt ist.
  • Die Computersoftware kann dazu eingerichtet sein, das Computersystem derart zu steuern, dass es zwischen harmlosen Daten und suspekten Daten unterscheidet und suspekte Daten verschlüsselt, harmlose Daten jedoch nicht.
  • In einem weiteren alternativen Aspekt schafft die vorliegende Erfindung Computersoftware zum Schützen eines Computersystems gegen potenziell schädliche ankommende Daten, die aus einer externen Quelle empfangen werden, wobei die Computersoftware Entschlüsselungssoftware zum Entschlüsseln von Daten und eine Sandbox-Anwendung enthält, die Daten empfängt und einen Sandbox-Desktop definiert, dadurch gekennzeichnet, dass die Computer Software dazu eingerichtet ist, das Computersystem zu steuern, sodass es
    • (a) ankommende Daten überprüft,
    • (b) Daten weiterleitet, die für die Verarbeitung mit einer Anwendung, die einem Haupt-Desktop des Computersystems zugeordnet ist, harmlos erscheinen,
    • (c) suspekte Daten verschlüsselt, um sie in verschlüsselte Daten umzuwandeln und sie dadurch harmlos zu machen,
    • (d) verschlüsselte Daten entschlüsselt, um sie in entschlüsselte Daten für den Empfang durch die Sandbox-Anwendung umwandelt, und
    • (e) die entschlüsselten Daten mit einer eingegrenzten Anwendung verarbeitet, die durch die Sandbox-Anwendung eingegrenzt ist.
  • Die eingegrenzte Anwendung kann dazu eingerichtet sein, nicht direkt mit irgendwelchen Anwendungen zu kommunizieren, die einem Haupt-Desktop des Computersystems zugeordnet sind.
  • Die Computersoftware kann dazu eingerichtet sein, das Computersystem so zu steuern, dass es Daten aus der Sandbox-Anwendung zur Weiterleitung zur Überprüfung durch Experten in verschlüsselter Form abruft. Es kann dazu eingerichtet sein, das Computersystem so zu steuern, dass es entschlüsselte Daten, die aus dem Sandbox-Desktop entlassen wurden, auf potenziell schädlichen Inhalt hin prüft.
  • Damit die Erfindung vollständiger verstanden wird, werden nun Ausführungen davon, nur als Beispiel, mit Bezug auf die Zeichnungen im Anhang beschrieben, in denen:
  • 1 und 2 schematische Diagramme von Computersystemen nach dem Stand der Technik sind;
  • 3 ein schematisches Diagramm des Schutzes für Computer nach der Erfindung ist;
  • 4 und 5 die Verwendung von Firewalls zum Schutz für Computer darstellen;
  • 6 ein Flussdiagramm von einer Schutzprozedur für Computer nach der Erfindung ist; und
  • 7 die Verwendung von Haupt- und Sandbox-Desktops auf einer Workstation nach der Erfindung darstellt.
  • In 1 ist ein Schutz für Computersysteme 10 nach dem Stand der Technik dargestellt, der dem derzeit besten Vorgehen der Industrie entspricht: ein externes Computernetzwerk 12 liefert ankommende Daten 14 an eine automatische Inspektionssoftware 16 (Software-Prüfer), wenn die Daten in ein Computersystem eintreten (nicht gezeigt). Der Software-Prüfer 16 leitet alle suspekten Daten 18 an einen Quarantäne-Speicher 20 weiter, der als ein Teil des Dateienspeichers eines Server-Computers implementiert ist, der durch die Zugriffskontrollen des Betriebssystems geschützt ist; er sendet harmlose Daten 22 an ein internes Empfangsnetzwerk 24. Der Quarantänebereich liegt in einem zentralen Netzwerkbetriebszentrum und ist nur für
    Überprüfungsmitarbeiter mit Expertise 26 zugänglich, die für die manuelle Überprüfung der suspekten Daten verantwortlich sind. Diese Experten überwachen den Quarantänespeicher 20 auf harmlose Daten hin, und wenn welche gefunden werden, werden sie als abgeklärte Daten 28 an das Empfangsnetzwerk 24 gesendet. Der Software-Prüfer 16 wird sowohl einen Teil von den Daten als suspekt behandeln, der tatsächlich harmlos ist, als auch dabei versagen, neue Arten von Angriffen zu identifizieren. Überprüfungsmitarbeiter mit Expertise 26 sind teuer, bringen eine Verzögerung ein und sind nicht unfehlbar.
  • In 2 ist die Methode nach dem Stand der Technik dargestellt, die als Sandboxing bekannt ist. Ein externes Computernetzwerk 42 liefert ankommende Daten 44 an den Computer eines Benutzers 46, der Teil eines internen Computernetzwerks 48 ist. Die Daten 44 sind nicht für Softwareanwendungen des Haupt-Desktops (z. B. Textverarbeitung) zugänglich, die auf dem Computer 46 laufen, und die durch Kreise wie etwa 50 angegeben sind: stattdessen werden die Daten 44 zu einer Sandbox 52 weitergeleitet, die eine eingegrenzte Umgebung bietet, und die Daten können Softwareanwendungen außerhalb davon, das heißt hinter der Sandbox-Grenze, nicht korrumpieren. Die Sandbox kann implementiert werden, indem die Anwendungssoftware, die darin läuft, interpretiert wird, wie es bei JAVA der Fall ist, und sichergestellt wird, dass keine Anweisung existiert, die Zugriff auf Daten gibt, die hinter der Grenze der Sandbox liegen. Alternativ kann die Anwendungssoftware direkt ausgeführt werden, aber es wird Zugriffskontrolle durch das Betriebssystem auf alle Ressourcen hinter der Grenze der Sandbox angewendet, um zu verhindern, dass die Software in der Sandbox darauf zugreift.
  • Ein Schutz für Computersysteme nach der Erfindung ist in 3 dargestellt. Ein externes Computernetzwerk 60 (z. B. das Internet) liefert ankommende Daten 62 an Prüf-Software 46, wenn die Daten in das Computersystem eintreten (nicht gezeigt). Der Software-Prüfer 64 leitet alle Daten 65 weiter, die er für harmlos hält; er leitet alle suspekten Daten 66 an einen Verschlüsseler 68 weiter, der sie verschlüsselt, um sie unverwendbar und damit harmlos zu machen. Alle symmetrischen Verschlüsselungsalgorithmen, die Daten unverwendbar machen, sind geeignet, wie etwa die Norm „Data Encryption Standard (DES)", die in der US Federal Information Processing Standards Publication 46-2 beschrieben ist.
  • Harmlose Daten 65 und verschlüsselte suspekte Daten 70 werden an den Computer eines Benutzers 72 weitergeleitet, der Teil eines internen Computernetzwerks 74 ist. Der Computer 72 hat intern einen Desktop-Quarantänebereich oder eine Sandbox 76 für suspekte Daten, um dies gilt für jeden Computer 72, der in das Netzwerk 74 eingebunden ist. Auf dem Computer 72 laufen Anwendungen des Haupt-Desktops, wie etwa 78, die verschlüsselte Daten 70 empfangen, sie speichern und sie weiterleiten können, aber diese Anwendungen 78 können sie nicht in irgend einer bedeutungsvollen Weise nutzen, weil sie verschlüsselt sind. Ebenso können die Anwendungen 78 von den verschlüsselten Daten nicht gestört werden, weil die Verschlüsselung es unmöglich macht, die Daten auszuführen oder zu interpretieren.
  • Beim Eintreten in die Sandbox 76 werden die verschlüsselten Daten von einer Sandbox-Importfunktion 80 in eine benutzbare Form entschlüsselt: sie werden dann für Softwareanwendungen oder -werkzeuge 82 zugänglich, die in der Sandbox 76 ausgeführt werden. In der Sandbox 76 ist Prüf-Software für das Entlassen 84 enthalten, die prüft, ob ein extrahierter Teil aus den entschlüsselten Daten harmlos ist oder nicht. Daten, die die Prüfung beim Entlassen 84 nicht bestehen, weil sie suspekt sind, können ausreichend wichtig sein, sodass manuelle Inspektion durch Experten erforderlich ist. In solchen Fällen reicht ein Benutzer eine Anfrage 86 bei einer Anfragewarteschlange 88 ein, dass die suspekten Daten überprüft werden sollen, vielleicht per E-Mail oder über eine Web-Schnittstelle. Experten 90 nehmen Anfragen von der Warteschlange 88 an und reagieren, indem sie die suspekten Daten entschlüsseln und sie manuell überprüfen.
  • Der Vorteil dieses Ansatzes ist, dass ein Benutzer die suspekten Daten untersuchen kann und sie sogar ausführen kann, wenn es erforderlich ist, während sie von der Sandbox eingegrenzt sind, was dem Benutzer ermöglicht, über die Wichtigkeit der suspekten Daten zu entscheiden, die durch die Verschlüsselung in Quarantäne sind. Wenn der Benutzer entscheidet, dass die suspekten Daten für die geschäftlichen Erfordernisse des Benutzers irrelevant sind, z. B. unerbetenes Werbematerial, kann der Benutzer es verwerfen, was auf Seiten des manuellen Überprüfungsteams unnötige Bemühungen einspart. Wenn umgekehrt die suspekten Daten ein Teil einer wichtigen Nachricht sind, die für die Arbeit des Benutzers relevant ist, wird die ganze Nachricht nicht durch Abwarten der Überprüfung durch ein manuelles Überprüfungsteam verzögert, sondern stattdessen für den Benutzer in der eingegrenzten Umgebung seiner Desktop-Sandbox verfügbar gemacht.
  • Der Desktop-Quarantänebereich 76, der durch die Erfindung realisiert wird, ist ein Sandbox-Typ, weil ein Benutzer darin mit suspekten Daten in entschlüsselter Form arbeiten kann, indem er eingegrenzte Sandbox-Anwendungen 82 verwendet. Die Sandbox kann mit geeigneten Werkzeugen, die nach dem Stand der Technik bekannt sind, aufgebaut werden, z. B. mit JAVA oder Steuerelementen des Betriebssystems. Die kryptographischen Mechanismen stellen sicher, dass von den Anwendungen des Haupt-Desktops des Benutzers auf die suspekten Daten außerhalb der Sandbox 76 nicht in unverschlüsselter Form zugegriffen werden kann. Versuche von suspekten Daten, Schaden zu verursachen, werden von der Sandbox 76 vereitelt.
  • Um eine geschäftliche Funktion auszuführen, kann ein Computerbenutzer Teile aus suspekten Daten extrahieren müssen, beispielsweise, indem er Ausschneiden-und-Einfügen-Funktionen verwendet, die von den Anwendungen bereitgestellt werden, und sie aus der Sandbox 76 verschiebt, um sie für Anwendungen des Haupt-Desktops 78 zugänglich zu machen: es ist dann erforderlich, zu überprüfen, ob jedes extrahierte Teil harmlos ist. In vielen Fällen ist es automatischer Prüf-Software für das Entlassen wie etwa 84 möglich, zuverlässig zu behaupten, dass ein extrahierter Teil harmlos ist, sogar obwohl es nicht möglich ist, dies für die gesamten Daten insgesamt zu tun. Zum Beispiel können Daten in der Form eines Dokumentes, das Makros enthält, als suspekt betrachtet werden, aber das Dokument kann extrahierte Teile wie etwa Absätze von Text enthalten, die durch die Prüf-Software als harmlos eingestuft werden.
  • In vielen Fällen vermeidet die Sandbox 76 die Notwendigkeit einer manuellen Überprüfung: Daten, die suspekt sind, müssen jedoch manchmal aus der Sandbox 76 genommen und für den Zugriff durch Anwendungen 78 an eine Haupt-Desktop-Umgebung des Benutzers gesendet werden. Dies wird von der Prüfung beim Entlassen 84 verhindert, weil sie suspekt sind, und erfordert folglich immer noch manuelle Untersuchung durch Experten 90, an die Anfragen 86 für manuelle Untersuchung eingereicht werden.
  • Da ein Benutzer nun die manuelle Inspektion anfragt, ist es möglich, Prioritäten und Kosten entsprechend der geschäftlichen Notwendigkeiten zuzuordnen. Darüber hinaus werden Überprüfungen viel seltener durchgeführt, und nur, wenn sie unbedingt erforderlich sind, weil die Erfindung unnötiges Überprüfen von Material vermeidet, das z. B. unwichtig ist, oder von dem eine „saubere" oder editierte Version auf Nachfragen des Benutzers von dem Sender erhalten werden kann.
  • Die Erfindung setzt Standardverfahren zum Erfassen von Trojanischen Pferden und Virussoftware ein, um ankommende Daten auf suspekte Inhalte hin zu untersuchen. Sollte irgendein Teil der ankommenden Daten, z. B. ein Anhang von einer E-Mail-Nachricht, als potenzieller Angriff betrachtet werden, wird er verschlüsselt. Die originalen Daten werden modifiziert, indem suspekte Teile durch ein verschlüsseltes Äquivalent ersetzt werden, und den auf diese Weise modifizierten Daten wird ermöglicht, dass mit ihnen wie normal fortgefahren wird. Folglich wird ermöglicht, dass mit einer E-Mail-Nachricht mit einem suspekten Anhang fortgefahren wird, wobei dieser Anhang durch eine verschlüsselte Version ersetzt wird, aber der Body der Nachricht und alle anderen Anhänge bleiben lesbar. Die Verschlüsselung macht Daten unbenutzbar, folglich kann für verschlüsselte suspekte Daten sicher ermöglicht werden, dass sie auf einen Computer des Benutzers 72 weitergeleitet werden: sie bleiben unbenutzbar, bis sie mit einem geeigneten Entschlüsselungsschlüssel entschlüsselt werden, der für Benutzer oder ihre Haupt-Desktop-Anwendungen nicht verfügbar ist, aber wie gesagt der Sandbox-Importfunktion 80 zur Verfügung steht.
  • Nachdem ein Benutzer eine verschlüsselte Form von irgendwelchen suspekten Daten empfangen hat, sieht er sie an oder manipuliert sie, indem er sie in die Sandbox 76 weiterleitet, woraufhin sie in eine benutzbare Form entschlüsselt werden, wie durch 80 angegeben ist. Wenn sie entschlüsselt sind, kann auf die suspekten Daten durch Softwareanwendungen 82 zugegriffen werden, die in der Sandbox 76 laufen. Der Haupt-Desktop und die Sandbox können dieselben Anwendungen laufen lassen, aber sie erzeugen separate Exemplare von diesen Anwendungen, die miteinander nicht kommunizieren können. Zum Beispiel kann Microsoft ® Word verwendet werden, um Dokumente sowohl auf dem Haupt-Desktop als auch in der Sandbox zu editieren: wenn dies so ist, kann Word in zwei separaten Exemplaren laufen, das heißt, eines für den Haupt-Desktop und ein anderes für die Sandbox, und die zwei Exemplare können nicht direkt miteinander kommunizieren.
  • 4 (in der Teile, die denen entsprechen, die zuvor beschrieben wurden, gleich bezeichnet sind) zeigt das interne oder Firmennetzwerk 74, in dem einen Mailserver 102 und eine Anzahl von Benutzercomputern (Workstations) wie etwa 72 gehostet sind. Das Netzwerk 74 wird gegen feindliche Daten im Internet 60 durch einen Computer 108 verteidigt, der eine Firewall genannt wird, die die Kommunikation zwischen Anwendungen kontrolliert, die auf Computern in verschiedenen Netzwerken laufen. Das Lehrbuch „Building Internet Firewalls" von D. B. Chapman und E. D. Zwicky offenbart das Dazwischenschieben eines Proxys zwischen Netzwerke als Softwareanwendung auf einem Computer wie etwa 108. Der Computer 108 wird eine Proxy-Firewall oder eine Bastionshost-Firewall genannt. Softwareanwendungen auf den verbundenen Netzwerken 60 und 74 kommunizieren über einen Anwendungsproxy auf dem Computer 108.
  • Die Computer-Firewall ist detaillierter in 5 gezeigt: sie umfasst einen Bastionshost 110, der Netzwerkzugang zwischen dem Internet 60 und dem Firmennetzwerk 74 zusammen mit einem Prüfer 116 aushandelt, der mit dem Bastionshost 110 über ein zweites Netzwerk 114 verbunden ist, das ausschließlich für diesen Zweck reserviert ist, das im Allgemeinen eine entmilitarisierte Zone genannt wird.
  • Der Bastionshost 110 ist kommerziell verfügbare Firewall-Software, wie etwa Gauntlet von Network Associates. Der Prüfer 116 ist ein Computer, auf dem ein E-Mail-Proxy gehostet ist, der die serverseitigen Komponenten der Desktop-Quarantäne enthält, das heißt, den Prüfer 64 und den Verschlüsseler 68.
  • Das Flussdiagramm, das in 6 dargestellt ist, zeigt die Funktionsweise des Prüfers 116 in der vorliegenden Ausführung der Erfindung, obwohl Prüfungen von E-Mails mit Standard-Virusprüfungssoftware implementiert werden kann, wie etwa Sophos Sweep, die kommerziell verfügbar ist. Bei 140 wird eine E-Mail-Nachricht von einem externen Sender über den Bastionshost 110 (nicht gezeigt) angenommen. Die Nachricht wird bei 142 in einzelne Teile zerlegt (Body der Nachricht und Anhänge), und ein erster solcher Teil wird bei 144 von dem Virusprüfer 116 zur Überprüfung bei 146 ausgewählt. Wenn für den Teil bei 148 befunden wird, dass er gefährlichen Code enthält, dann wird die gesamte Nachricht in Server-Quarantäne 150 gebracht, und die Verarbeitung der Nachricht bei 152 ausgesetzt. Wenn alternativ für den Teil bei 148 nicht befunden wird, dass er gefährlichen Code enthält, und wenn er außerdem bei 154 als sicher verifiziert worden ist, wird er dann zur nächsten Stufe 156 weitergeleitet, wo er vorübergehend gespeichert wird.
  • Wenn der Teil der Nachricht bei 154 nicht als sicher (harmlos) verifiziert werden kann, wird er bei 158 verschlüsselt: die resultierende verschlüsselte Version ersetzt den nicht verifizierten Teil der Nachricht und wird zur vorübergehenden Speicherung zur nächsten Stufe 156 weitergeleitet. Wenn ein oder mehrere Teile in der Nachricht verbleiben, dann wird der nächste Teil bei 160 ausgewählt, und die Prozedur, die mit dem Schritt 146 beginnt, wird für diesen Teil iteriert. Dies wird für die nachfolgenden Teile der Nachricht fortgesetzt, bis keine Teile mehr verbleiben oder bis der Abbruch der Verarbeitung der Nachricht bei 152 stattgefunden hat, je nachdem, was zuerst eintritt. Wenn es zu dem Zeitpunkt, zu dem der letzte Teil der Nachricht verarbeitet worden ist, keinen solchen Abbruch gegeben hat, hat sich bei 156 eine teilweise verschlüsselte und teilweise nicht verschlüsselte E-Mail-Nachricht in dem Speicher angesammelt. Diese gespeicherte Nachricht wird bei 162 über die Bastionshost-Firewall 110 zum Firmen-Mailserver 102 weitergeleitet.
  • Die Workstations 72 sind wie in 7 gezeigt organisiert, in der Teile, die Teilen entsprechen sind, die früher beschrieben wurden, gleich benannt sind. Jede Workstation 72 hat das Merkmal, dass Verarbeitung und Speicherung aufgeteilt und entsprechenden Benutzerdesktops zugeordnet sind – einem Haupt-Desktop 200, auf dem ein Benutzer an vertrauenswürdigen Daten mit Anwendungen 78 arbeitet, und einem Sandbox-Desktop mit Softwareanwendungen wie etwa 82, um mit Daten in Desktop-Quarantäne zu arbeiten. Die Haupt- und Sandbox-Desktop Anwendungen 78 und 82 sind voneinander isoliert: das heißt, die Haupt-Desktop Anwendungen 78 müssen nicht auf Daten zugreifen, die von den Sandbox-Desktop Anwendungen 82 verarbeitet werden, und können deshalb nicht durch solche Daten geschädigt werden.
  • Auf der Workstation 72 läuft Software für drei spezielle Systemprozesse, ein Entschlüsselungsprozess 80, ein Verschlüsselungsprozess 208 und ein Prüfungsprozess 210: diese stellen einem Benutzer die Funktion zur Verfügung, Daten zwischen den zwei Desktops 76 und 200 zu bewegen. Der Entschlüsselungsprozess 80 nimmt verschlüsselte Daten von dem Haupt-Desktop 200, entschlüsselt sie, und verschiebt die in den Sandbox-Desktop. Der Verschlüsselungsprozess 208 führt einen umgekehrten Vorgang durch, indem er entschlüsselte Daten aus der Sandbox 76 nimmt, sie verschlüsselt und die in den Haupt-Desktop 200 verschiebt. Der Prüfungsprozess 210 verschiebt Daten aus der Sandbox 76 in den Haupt-Desktop 200, ohne sie zu verschlüsseln, wobei sie dem Kriterium unterworfen sind, dass Daten, die auf diese Weise verschoben werden, Inhaltsprüfungen bestanden haben, die feststellen, dass sie keinen potenziell schädigenden Code enthalten.
  • Noch einmal auf die 4 und 5 bezugnehmend kann hier die Firewall 108 eine Nachricht mit einem Anhang empfangen, der als eine ausführbare Datei erscheint, die aber nicht eindeutig ein Angriff ist: der Bastionshost 110 leitet die Nachricht dann an den Prüfer 116 weiter. Wenn der Prüfer 116 feststellt, dass der Anhang suspekt ist, verschlüsselt ihn der Prüfer 116 mit einem Schlüssel für die Verschlüsselung. Die resultierende Nachricht mit dem verschlüsselten Anhang wird über den Bastionshost 110 zurück und weiter zum Firmen-Mailserver 102 geleitet.
  • Auf der Workstation 72 des Nachrichtenempfängers läuft eine Mail-Client-Softwareanwendung 212 auf dem Haupt-Desktop 200 und ruft die Nachricht von dem Mailserver 102 ab. Der Mail-Client 212 oder irgendeine andere Software 78, die auf dem Haupt-Desktop 200 läuft, kann auf den verschlüsselten Anhang zugreifen: diese Software kann jedoch den verschlüsselten Anhang nicht entschlüsseln, weil sie keinen Zugriff auf den relevanten Schlüssel für die Verschlüsselung hat. Folglich können suspekte Daten, die in dem verschlüsselten Anhang enthalten sind, nicht ausgeführt werden oder darauf zugegriffen werden.
  • Wenn ein Benutzer entscheidet, dass der verschlüsselte Anhang uninteressant ist, vielleicht, indem er die Nachricht liest, an die er angehängt ist, kann er gelöscht werden. Ein Benutzer, der auf Daten in dem verschlüsselten Anhang zugreifen möchte, muss jedoch erst den Entschlüsselungsprozess 80 verwenden, um den Anhang zu entschlüsseln und seine Daten in den Sandbox-Desktop weiterzuleiten. Nach sie dem in dem Sandbox-Desktop sind, kann von Softwareanwendungen 82 auf die Daten zugegriffen werden, oder sie können davon ausgeführt werden, aber die Einschränkungen durch die Sandbox beschränken das Verhalten der Anwendungen, sodass, wenn die Daten in dem Anhang sich als ein Angriff erweisen, alle Folgeschäden auf das Innere der Sandbox beschränkt bleiben, was nur die Anwendungen 82 und ihre Daten betrifft, und nicht die Anwendungen 78.
  • Wenn der Benutzer manche der Daten, die in dem Anhang enthalten sind, in den Haupt-Desktop 200 zurückübernehmen muss, werden sie durch den Prüfungsprozess 210 geleitet. Dieser wendet Inhaltsprüfungen auf die Daten an, und erlaubt ihnen nur, zu passieren, wenn ihre Sicherheit festgestellt wird. Daten, die den Prüfungsprozess 210 nicht bestehen, werden nicht von dem Sandbox-Desktop in den Haupt-Desktop 200 weitergeleitet.
  • Wenn die Daten, die in dem Anhang enthalten sind, gebraucht werden, aber den Prüfungsprozess 210 nicht bestehen, kann der Benutzer sie über den Verschlüsselungsprozess 208 zurück zu dem Haupt- Desktop 200 leiten: dies verschlüsselt die Daten, die unbenutzbar und folglich sicher werden. Die verschlüsselten Daten können (z. B. per E-Mail) zur manuellen Überprüfung zu einem zentralen Team von Sicherheitsexperten weitergeleitet werden.
  • In dem Beispiel oben wird eine Nachricht oder ein Anhang in Server-Quarantäne 150 gebracht, wenn es sich erweist, dass sie oder er gefährlichen Code enthält. Es sind jedoch auch alternative Strategien möglich: zum Beispiel kann eine Nachricht auf ihren Weg geschickt werden, nachdem ein suspekter Teil durch eine Mitteilung über die Entfernung des Teils ersetzt wurde. Alternativ können Teile, die für potenziell gefährlich befunden wurden, als solche markiert, verschlüsselt und dann auf ihren Weg geschickt werden, wobei sie von den verbleibenden unverschlüsselten Teilen begleitet werden. Der Entschlüsselungsprozess 80 auf der Workstation eines Benutzers 72 entschlüsselt keine potenziell gefährlichen Daten, aber das Äquivalent auf dem Desktop des zentralen Teams von Sicherheitsexperten tut dies.
  • Die Erfindung verbessert die Handhabung von Daten, die für suspekt befunden wurden, durch Prüf-Software wie etwa 116. Dies verringert den Aufwand, der für den manuellen Eingriff von Experten erforderlich ist, um die suspekten Daten zu überprüfen, weil ein Benutzer in vielen Fällen alle erforderlichen Aktionen unternimmt, ohne Experten zu involvieren: das heißt, ein Benutzer löscht unerwünschte Daten in manchen Fällen, und fordert in anderen die Wiederholung von Nachrichten von einem Sender an. Diese Aktionen des Benutzers vermeiden die Notwendigkeit der Untersuchung durch Experten, und beseitigen folglich Verzögerungen, die dadurch eingebracht werden.
  • Geeignete Computersoftware oder Computerprogramme, um die Erfindung zu implementieren, sind entweder kommerziell verfügbar (z. B. Sandbox, Firewall oder Prüf-Software), oder können von einem Programmierer mit gewöhnlicher Ausbildung planmäßig implementiert werden (z. B., wenn die Bildung von Schnittstellen erforderlich ist), ohne dass dies eine Erfindung erfordern würde. Sie kann leicht auf ein Trägermedium aufgenommen werden und auf einem Computersystem der oben beschriebenen Art laufen. Eine solche Software und ein solches System werden deshalb nicht weiter beschrieben.

Claims (33)

  1. Computersystem (72) zum Empfangen von ankommenden Daten (62) von einer externen Quelle (60), wobei das Computersystem (72) dazu eingerichtet ist, einen Haupt-Desktop (200) bereitzustellen, der auch eine Sandbox-Anwendung (76), die Daten (62) empfangt und einen Sandbox-Desktop definiert, und eine Entschlüsselungseinrichtung (80) zum Entschlüsseln von Daten enthält, dadurch gekennzeichnet, dass a) das Computersystem (72) dazu eingerichtet ist, harmlose ankommende Daten (65) von potenziell schädlichen ankommenden Daten (66) zu unterscheiden, und eine Verschlüsselungseinrichtung (68, 208) zum Verschlüsseln der potenziell schädlichen ankommenden Daten (66) enthält, um sie in verschlüsselte Daten (70) umzuwandeln und sie dadurch harmlos zu machen, b) das Computersystem (72) außerdem dazu eingerichtet ist, ankommende Daten (65), die als harmlos unterschieden wurden, in unverschlüsselter Form für die Verarbeitung durch eine Haupt-Desktop-Anwendung (78) verfügbar zu machen, c) die Entschlüsselungseinrichtung (80) dazu eingerichtet ist, die verschlüsselten Daten (70) zu entschlüsseln, um sie in entschlüsselte Daten umzuwandeln, und d) eine eingegrenzte Anwendung (82), die durch die Sandbox-Anwendung (76) eingegrenzt ist, dazu eingerichtet ist, die entschlüsselten Daten zu verarbeiten.
  2. Computersystem (72) nach Anspruch 1, dadurch gekennzeichnet, dass das Computersystem (72) einen Software-Prüfer (64) enthält, der dazu eingerichtet ist, harmlose ankommende Daten (65) von potenziell schädlichen ankommenden Daten (66) zu unterscheiden.
  3. Computersystem (72) nach Anspruch 2, dadurch gekennzeichnet, dass der Software-Prüfer (64) dazu eingerichtet ist, a) ankommende Daten (62) zur Unterscheidung von harmlosen ankommenden Daten (65) von potenziell schädlichen ankommenden Daten (66) zu empfangen, b) ankommende Daten (65), die als harmlos unterschieden wurden, für die Verarbeitung durch die Haupt Desktop-Anwendung (78) weiterzuleiten, und c) potenziell schädliche ankommende Daten (66) zur Verschlüsselung an die Verschlüsselungseinrichtung (64, 68, 208) zu senden.
  4. Computersystem (72) nach Anspruch 1, 2 oder 3, dadurch gekennzeichnet, dass die eingegrenzte Anwendung (82) nicht direkt mit irgendeiner Anwendung (78) kommuniziert, die zu dem Haupt-Desktop (200) gehört.
  5. Computersystem (72) nach Anspruch 1, 2, 3 oder 4, dadurch gekennzeichnet, dass es mit Einrichtungen (86, 88) verbunden ist, die einem Benutzer ermöglichen, Daten aus der Sandbox-Anwendung (76) in verschlüsselter Form abzurufen, um sie zur Untersuchung durch Experten (90) weiterzuleiten.
  6. Computersystem (72) nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass es eine Einrichtung (210) enthält, die die entschlüsselten Daten, die von der Sandbox-Anwendung (76) als potenziell schädlicher Inhalt freigegeben wurden, auf potenziell schädlichen Inhalt hin überprüft.
  7. Computersystem (72) nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass es über eine Firewall (110) mit der externen Quelle verbunden ist, die ein Netzwerk (60) ist.
  8. Computersystem (72) nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass es eine Firewall (110) enthält, die die Prüfungseinrichtung (116) vor der externen Quelle (60) schützt, mit der die Firewall (110) verbunden ist.
  9. Computersystem (72) nach einem der vorangehenden Ansprüche, das Software (208) zum Verschlüsseln potenziell schädlicher Daten enthält, die ein Benutzer möglicherweise mit der Haupt-Desktop-Anwendung (78) statt mit der Sandbox-Anwendung (76) verarbeiten möchte.
  10. Computersystem (72) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass es Software enthält, die es einem Benutzer ermöglicht, Daten von der Sandbox-Anwendung (76) in verschlüsselter Form abzurufen, um sie zur Untersuchung durch Experten (90) weiterzuleiten.
  11. Computersystem (72) nach einem der Ansprüche 7 bis 10, dadurch gekennzeichnet, dass es Software (210) zum Prüfen der entschlüsselten Daten, die aus der Sandbox-Anwendung (76) abrufen wurden, auf potenziell schädlichen Inhalt und Eignung für die Verarbeitung durch die Haupt-Desktop-Anwendung (78) hin enthält.
  12. Computersystem (72) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass es dazu eingerichtet ist, harmlose ankommende Daten (65) von potenziell schädlichen ankommenden Daten (66) zu unterscheiden, indem es ankommende Daten in einzelne Datenteile zerlegt, wie etwa beispielsweise einen Body der Nachricht und Anhänge, und aufeinander folgende Datenteile zur Überprüfung (146) auswählt.
  13. Computersystem (72) nach Anspruch 12, dadurch gekennzeichnet, dass es dazu eingerichtet ist, einen Datenteil, für den nicht verifiziert wurde, dass er harmlos ist (154), zu verschlüsseln (158), und diesen Datenteil durch den verschlüsselten Datenteil zu ersetzen.
  14. Computersystem (72) nach Anspruch 13, dadurch gekennzeichnet, dass es dazu eingerichtet ist: a) die Verarbeitung eines Abschnitts ankommender Daten abzubrechen (152), wenn er einen Datenteil enthält, für den festgestellt wird (148), dass er gefährlichen Code enthält, und b) einen teilweise verschlüsselten und teilweise nicht verschlüsselten Abschnitt von ankommenden Daten bereitzustellen (156), wenn ein letzter Datenteil in dem Abschnitt von ankommenden Daten verarbeitet worden ist, wobei die Verarbeitung davor nicht abgebrochen worden ist (152).
  15. Verfahren zum Schützen eines Computersystems (72) gegen potenziell schädliche ankommende Daten (62) aus einer externen Quelle (60), bei dem das Computersystem (72) dazu eingerichtet ist, einen Haupt-Desktop (200) bereitzustellen, der auch eine Sandbox-Anwendung (76), die Daten empfangt und einen Sandbox-Desktop definiert, und eine Einrichtung zum Entschlüsseln von Daten enthält, dadurch gekennzeichnet, dass das Verfahren die folgenden Schritte enthält: a) harmlose ankommende Daten (65) von potenziell schädlichen ankommenden Daten (66) unterscheiden und potenziell schädliche ankommende Daten (66) verschlüsseln, um sie in harmlose verschlüsselte Daten (70) umzuwandeln, b) ankommende Daten (65), die als harmlos unterschieden wurden, in unverschlüsselter Form für die Verarbeitung durch eine Haupt-Desktop-Anwendung (78) verfügbar machen, c) verschlüsselte Daten (70) entschlüsseln, um sie in entschlüsselte Daten umzuwandeln, und d) entschlüsselte Daten mittels einer eingegrenzten Anwendung (82) verarbeiten, die durch die Sandbox-Anwendung (76) eingegrenzt ist.
  16. Verfahren nach Anspruch 15, dadurch gekennzeichnet, dass der Schritt des Unterscheidens harmloser ankommender Daten (65) von potenziell schädlichen ankommenden Daten (66) und des Verschlüsselns der potenziell schädlichen ankommenden Daten (66) die Verwendung eines Software-Prüfers umfasst, der ankommende Daten (62) überprüft.
  17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass der Software-Prüfer (64) dazu eingerichtet ist, folgende Schritte zu implementieren: a) Empfangen ankommender Daten (62), um harmlose ankommende Daten (65) von potenziell schädlichen ankommenden Daten (66) zu unterscheiden, b) Weiterleiten von ankommenden Daten (65), die als harmlos unterschieden wurden, zur Verarbeitung durch die Haupt-Desktop-Anwendung (78), und c) Senden von potenziell schädlichen ankommenden Daten (66) zur Verschlüsselung.
  18. Verfahren zum Schützen eines Computersystems (72) nach Anspruch 17, dadurch gekennzeichnet, dass der Software-Prüfer (116) durch eine Firewall (110) von der externen Quelle (60) geschützt ist.
  19. Verfahren zum Schützen eines Computersystems (72) nach Anspruch 16, 17 oder 18, dadurch gekennzeichnet, dass die eingegrenzte Anwendung (82) nicht mit irgendeiner Anwendung (78) kommuniziert, die zu dem Haupt-Desktop (200) gehört.
  20. Verfahren zum Schützen eines Computersystems (72) nach Anspruch 16, 17, 18 oder 19, dadurch gekennzeichnet, dass es den Schritt des Abrufens von Daten in verschlüsselter Form aus der Sandbox-Anwendung (76) zur Weiterleitung zur Untersuchung durch Experten (90) enthält.
  21. Verfahren zum Schützen eines Computersystems (72) nach einem der Ansprüche 16 bis 20, dadurch gekennzeichnet, dass es das Überprüfen entschlüsselter Daten, die aus dem Sandbox-Desktop (76) abgerufen wurden, auf potenziell schädlichen Inhalt hin enthält.
  22. Verfahren zum Schützen eines Computersystems (72) nach Anspruch 16, dadurch gekennzeichnet, dass das Computersystem (72) über eine Firewall (110) mit der externen Quelle verbunden ist, die ein Netzwerk (60) ist.
  23. Verfahren zum Schützen eines Computersystems (72) nach einem der Ansprüche 15 bis 22, dadurch gekennzeichnet, dass der Schritt des Unterscheidens harmloser ankommender Daten (65) von potenziell schädlichen ankommenden Daten (66) implementiert ist, indem ankommende Daten in einzelne Datenteile zerlegt werden, wie etwa einen Body und einen Anhang einer Nachricht, und aufeinander folgende Datenteile zur Überprüfung (146) ausgewählt werden.
  24. Verfahren zum Schützen eines Computersystems (72) nach Anspruch 23, dadurch gekennzeichnet, dass der Schritt des Unterscheidens harmloser ankommender Daten (65) von potenziell schädlichen ankommenden Daten (66) das Verschlüsseln (158) eines Datenteils, der nicht als harmlos (154) verifiziert worden ist, und das Ersetzen dieses Datenteils durch den verschlüsselten Datenteil enthält.
  25. Verfahren zum Schützen eines Computersystems (72) nach Anspruch 24, dadurch gekennzeichnet, dass der Schritt des Unterscheidens harmloser ankommender Daten (65) von potenziell schädlichen ankommenden Daten (66) folgendes enthält: a) Abbrechen (152) der Verarbeitung eines Abschnitts ankommender Daten, wenn er einen Datenteil enthält, für den festgestellt wird (148), dass er gefährlichen Code enthält, und b) Bereitstellen (156) eines teilweise verschlüsselten und teilweise nicht verschlüsselten Abschnitts von ankommenden Daten, wenn ein letzter Datenteil in dem Abschnitt von ankommenden Daten verarbeitet worden ist, wobei die Verarbeitung davor nicht abgebrochen worden ist (152).
  26. Computersoftware zum Schützen eines Computersystems (72) gegen potenziell schädliche ankommende Daten (62), die von einer externen Quelle (60) empfangen werden, wobei die Computersoftware dazu eingerichtet ist, einen Haupt-Desktop (200) bereitzustellen, der eine Entschlüsselungssoftware zum Entschlüsseln von Daten und eine Sandbox-Anwendung (76) enthält, die Daten empfängt und einen Sandbox-Desktop definiert, dadurch gekennzeichnet, dass die Computersoftware dazu eingerichtet ist, das Computersystem (72) derart zu steuern, dass es: a) harmlose ankommende Daten (65) von potenziell schädlichen ankommenden Daten (66) unterscheidet und die potenziell schädlichen ankommenden Daten (66) verschlüsselt, um sie in harmlose verschlüsselte Daten (70) umzuwandeln, b) ankommende Daten (65), die als harmlos unterschieden wurden, in unverschlüsselter Form für die Verarbeitung durch eine Haupt-Desktop-Anwendung (78) verfügbar macht, c) die verschlüsselten Daten (70) entschlüsselt, um sie in entschlüsselte Daten umzuwandeln, und d) die entschlüsselten Daten durch eine eingegrenzte Anwendung (82) verarbeitet, die durch die Sandbox-Anwendung (76) eingegrenzt ist.
  27. Computersoftware nach Anspruch 26, dadurch gekennzeichnet, dass sie dazu eingerichtet ist, das Computersystem (72) derart zu steuern, dass es harmlose ankommende Daten (65) von potenziell schädlichen ankommenden Daten (66) unterscheidet und potenziell schädliche ankommende Daten (66) verschlüsselt, indem es: a) ankommende Daten (62) überprüft, um harmlose ankommende Daten (65) von potenziell schädlichen ankommenden Daten (66) zu unterscheiden, b) ankommende Daten (65), die als harmlos für die Verarbeitung durch die Haupt-Desktop-Anwendung (78) unterschieden wurden, weiterleitet, und c) ankommende Daten (66), die als potenziell schädlich unterschieden wurden, verschlüsselt.2
  28. Computersoftware nach Anspruch 26 oder 27, dadurch gekennzeichnet, dass die eingegrenzte Anwendung (82) dazu eingerichtet ist, nicht direkt mit irgendeiner Anwendung (78) zu kommunizie ren, die zu einem Haupt-Desktop (200) des Computersystem (72) gehört.
  29. Computersoftware nach Anspruch 26, 27 oder 28, dadurch gekennzeichnet, dass sie dazu eingerichtet ist, das Computersystem (72) derart zu steuern, dass es Daten aus der Sandbox-Anwendung (76) in verschlüsselter Form abruft, um sie zur Untersuchung durch Experten (90) weiterzuleiten.
  30. Computersoftware nach einem der Ansprüche 26 bis 29, dadurch gekennzeichnet, dass sie dazu eingerichtet ist, das Computersystem (72) derart zu steuern, dass es entschlüsselte Daten, die aus dem Sandbox-Desktop (76) abgerufen wurden, auf potenziell schädlichen Inhalt hin überprüft.
  31. Computersoftware nach einem der Ansprüche 26 bis 30, dadurch gekennzeichnet, dass sie dazu eingerichtet ist, das Computersystem (72) derart zu steuern, dass es harmlose ankommende Daten (65) von potenziell schädlichen ankommenden Daten (66) unterscheidet, indem es ankommenden Daten in einzelne Datenteile zerlegt, wie etwa zum Beispiel einen Body und einen Anhang einer Nachricht, und aufeinanderfolgende Datenteile zur Überprüfung (146) auswählt.
  32. Computersoftware nach Anspruch 31, dadurch gekennzeichnet, dass sie dazu eingerichtet ist, das Computersystem (72) derart zu steuern, dass es harmlose ankommende Daten (65) von potenziell schädlichen ankommenden Daten (66) durch einen Prozess unterscheidet, der die Verschlüsselung (158) eines Datenteils, der nicht als harmlos (154) verifiziert worden ist, und das Ersetzen dieses Datenteils durch den verschlüsselten Datenteil enthält.
  33. Computersoftware nach Anspruch 32, dadurch gekennzeichnet, dass sie dazu eingerichtet ist, das Computersystem (72) derart zu steuern, dass es harmlose ankommende Daten (65) von potenziell schädlichen ankommenden Daten (66) durch einen Prozess unterscheidet, der folgendes enthält: a) Abbrechen (152) der Verarbeitung eines Abschnitts von ankommenden Daten, wenn er einen Datenteil enthält, für den festgestellt wird (148), dass er gefährlichen Code enthält, und b) Bereitstellen (156) eines teilweise verschlüsselten und teilweise nicht verschlüsselten Abschnitts von ankommenden Daten, wenn ein letzter Datenteil in dem Abschnitt von ankommenden Daten verarbeitet worden ist, wobei die Verarbeitung davor nicht abgebrochen worden ist (152).
DE60132833T 2001-01-13 2001-12-24 Computersystemschutz Expired - Lifetime DE60132833T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB0100955A GB2371125A (en) 2001-01-13 2001-01-13 Computer protection system
GB0100955 2001-01-13

Publications (2)

Publication Number Publication Date
DE60132833D1 DE60132833D1 (de) 2008-03-27
DE60132833T2 true DE60132833T2 (de) 2009-02-05

Family

ID=9906799

Family Applications (2)

Application Number Title Priority Date Filing Date
DE60123672T Expired - Fee Related DE60123672T2 (de) 2001-01-13 2001-12-24 Computersystemschutz
DE60132833T Expired - Lifetime DE60132833T2 (de) 2001-01-13 2001-12-24 Computersystemschutz

Family Applications Before (1)

Application Number Title Priority Date Filing Date
DE60123672T Expired - Fee Related DE60123672T2 (de) 2001-01-13 2001-12-24 Computersystemschutz

Country Status (8)

Country Link
US (1) US7398400B2 (de)
EP (2) EP1632833B1 (de)
JP (2) JP2004518193A (de)
AT (2) ATE341794T1 (de)
DE (2) DE60123672T2 (de)
ES (1) ES2297596T3 (de)
GB (1) GB2371125A (de)
WO (1) WO2002056156A2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023079186A1 (de) 2021-11-08 2023-05-11 KraLos GmbH Verfahren und zugehörige computersysteme zur sicherung der integrität von daten
DE102021129026A1 (de) 2021-11-08 2023-05-11 KraLos GmbH Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten

Families Citing this family (74)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060277433A1 (en) * 2000-05-19 2006-12-07 Self Repairing Computers, Inc. Computer having special purpose subsystems and cyber-terror and virus immunity and protection features
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US8972590B2 (en) 2000-09-14 2015-03-03 Kirsten Aldrich Highly accurate security and filtering software
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US7903549B2 (en) 2002-03-08 2011-03-08 Secure Computing Corporation Content-based policy compliance systems and methods
US7870203B2 (en) 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US20060015942A1 (en) 2002-03-08 2006-01-19 Ciphertrust, Inc. Systems and methods for classification of messaging entities
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US7124438B2 (en) 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US7694128B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US6941467B2 (en) * 2002-03-08 2005-09-06 Ciphertrust, Inc. Systems and methods for adaptive message interrogation through multiple queues
US7693947B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for graphically displaying messaging traffic
US7096498B2 (en) 2002-03-08 2006-08-22 Cipher Trust, Inc. Systems and methods for message threat management
US7487543B2 (en) * 2002-07-23 2009-02-03 International Business Machines Corporation Method and apparatus for the automatic determination of potentially worm-like behavior of a program
US8838950B2 (en) 2003-06-23 2014-09-16 International Business Machines Corporation Security architecture for system on chip
US7353536B1 (en) * 2003-09-23 2008-04-01 At&T Delaware Intellectual Property, Inc Methods of resetting passwords in network service systems including user redirection and related systems and computer-program products
GB2411799A (en) * 2004-03-02 2005-09-07 Vistorm Ltd Virus checking devices in a test network before permitting access to a main network
US7669059B2 (en) * 2004-03-23 2010-02-23 Network Equipment Technologies, Inc. Method and apparatus for detection of hostile software
US20050273853A1 (en) * 2004-05-24 2005-12-08 Toshiba America Research, Inc. Quarantine networking
US7908653B2 (en) 2004-06-29 2011-03-15 Intel Corporation Method of improving computer security through sandboxing
JP4643221B2 (ja) * 2004-10-25 2011-03-02 株式会社東芝 故障解析支援端末および故障解析支援情報提供装置
US8635690B2 (en) 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US20060112430A1 (en) * 2004-11-19 2006-05-25 Deisenroth Jerrold M Method and apparatus for immunizing data in computer systems from corruption
US8131804B2 (en) 2004-11-19 2012-03-06 J Michael Greata Method and apparatus for immunizing data in computer systems from corruption
US7519809B2 (en) * 2005-04-07 2009-04-14 International Business Machines Corporation Operating system-wide sandboxing via switchable user skins
US7937480B2 (en) 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
GB2427048A (en) * 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US8024797B2 (en) 2005-12-21 2011-09-20 Intel Corporation Method, apparatus and system for performing access control and intrusion detection on encrypted data
US20070256082A1 (en) * 2006-05-01 2007-11-01 International Business Machines Corporation Monitoring and controlling applications executing in a computing node
EP2035948B1 (de) 2006-06-27 2016-04-13 Waterfall Security Solutions Ltd. Unidirektionale sichere verbindungen zu und von einem sicherheitsengines
IL177756A (en) 2006-08-29 2014-11-30 Lior Frenkel Encryption-based protection against attacks
IL180020A (en) 2006-12-12 2013-03-24 Waterfall Security Solutions Ltd Encryption -and decryption-enabled interfaces
IL180748A (en) 2007-01-16 2013-03-24 Waterfall Security Solutions Ltd Secure archive
US7949716B2 (en) 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US7779156B2 (en) 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
US8179798B2 (en) 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
US8223205B2 (en) 2007-10-24 2012-07-17 Waterfall Solutions Ltd. Secure implementation of network-based sensors
US8185930B2 (en) 2007-11-06 2012-05-22 Mcafee, Inc. Adjusting filter or classification control settings
US8045458B2 (en) 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
US8160975B2 (en) 2008-01-25 2012-04-17 Mcafee, Inc. Granular support vector machine with random granularity
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
US8627060B2 (en) * 2008-04-30 2014-01-07 Viasat, Inc. Trusted network interface
US20100071054A1 (en) * 2008-04-30 2010-03-18 Viasat, Inc. Network security appliance
US8365259B2 (en) * 2008-05-28 2013-01-29 Zscaler, Inc. Security message processing
JP5423063B2 (ja) * 2009-03-05 2014-02-19 日本電気株式会社 情報処理装置と方法とプログラム
US8749662B2 (en) 2009-04-16 2014-06-10 Nvidia Corporation System and method for lens shading image correction
GB2470928A (en) * 2009-06-10 2010-12-15 F Secure Oyj False alarm identification for malware using clean scanning
US8479286B2 (en) * 2009-12-15 2013-07-02 Mcafee, Inc. Systems and methods for behavioral sandboxing
US8850572B2 (en) * 2010-01-15 2014-09-30 Apple Inc. Methods for handling a file associated with a program in a restricted program environment
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
GB201008888D0 (en) * 2010-05-27 2010-07-14 Qinetiq Ltd Network security
JP5739182B2 (ja) 2011-02-04 2015-06-24 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 制御システム、方法およびプログラム
JP5731223B2 (ja) 2011-02-14 2015-06-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体
JP5689333B2 (ja) 2011-02-15 2015-03-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
US9906360B2 (en) * 2012-03-30 2018-02-27 Irdeto B.V. Securing accessible systems using variable dependent coding
US9256733B2 (en) * 2012-04-27 2016-02-09 Microsoft Technology Licensing, Llc Retrieving content from website through sandbox
US9635037B2 (en) 2012-09-06 2017-04-25 Waterfall Security Solutions Ltd. Remote control of secure installations
US9419975B2 (en) 2013-04-22 2016-08-16 Waterfall Security Solutions Ltd. Bi-directional communication over a one-way link
US9380023B2 (en) 2013-05-13 2016-06-28 Owl Computing Technologies, Inc. Enterprise cross-domain solution having configurable data filters
KR101429131B1 (ko) * 2013-06-12 2014-08-11 소프트캠프(주) 시스템 보호를 위한 파일 보안용 관리장치와 관리방법
US9542568B2 (en) * 2013-09-25 2017-01-10 Max Planck Gesellschaft Zur Foerderung Der Wissenschaften E.V. Systems and methods for enforcing third party oversight of data anonymization
US9633200B2 (en) * 2014-09-26 2017-04-25 Oracle International Corporation Multidimensional sandboxing for financial planning
IL235175A (en) 2014-10-19 2017-08-31 Frenkel Lior Secure desktop remote control
US10291647B2 (en) * 2015-04-27 2019-05-14 The Johns Hopkins University Apparatus and method for enabling safe handling of malware
IL250010B (en) 2016-02-14 2020-04-30 Waterfall Security Solutions Ltd Secure connection with protected facilities
US11194823B2 (en) 2016-05-10 2021-12-07 Aircloak Gmbh Systems and methods for anonymized statistical database queries using noise elements
JP6381837B1 (ja) * 2018-01-17 2018-08-29 株式会社Cygames 通信を行うためのシステム、プログラム、方法及びサーバ
JP7247753B2 (ja) * 2019-05-30 2023-03-29 株式会社デンソーウェーブ 送信システム及び送信方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6006328A (en) * 1995-07-14 1999-12-21 Christopher N. Drake Computer software authentication, protection, and security system
US5623600A (en) * 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
GB2315575A (en) * 1996-07-19 1998-02-04 Ibm Encryption circuit in I/O subsystem
US5871814A (en) * 1997-07-18 1999-02-16 Robotech, Inc. Pneumatic grip
US6691230B1 (en) * 1998-10-15 2004-02-10 International Business Machines Corporation Method and system for extending Java applets sand box with public client storage
US6519702B1 (en) * 1999-01-22 2003-02-11 Sun Microsystems, Inc. Method and apparatus for limiting security attacks via data copied into computer memory
US6986052B1 (en) * 2000-06-30 2006-01-10 Intel Corporation Method and apparatus for secure execution using a secure memory partition

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023079186A1 (de) 2021-11-08 2023-05-11 KraLos GmbH Verfahren und zugehörige computersysteme zur sicherung der integrität von daten
DE102021129026A1 (de) 2021-11-08 2023-05-11 KraLos GmbH Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten

Also Published As

Publication number Publication date
US20040139334A1 (en) 2004-07-15
ATE386304T1 (de) 2008-03-15
GB2371125A (en) 2002-07-17
US7398400B2 (en) 2008-07-08
WO2002056156A3 (en) 2003-11-06
EP1632833A2 (de) 2006-03-08
JP2004518193A (ja) 2004-06-17
GB0100955D0 (en) 2001-02-28
WO2002056156A2 (en) 2002-07-18
EP1632833B1 (de) 2008-02-13
EP1377890B1 (de) 2006-10-04
ATE341794T1 (de) 2006-10-15
JP2007234051A (ja) 2007-09-13
DE60123672T2 (de) 2007-08-16
ES2297596T3 (es) 2008-05-01
DE60123672D1 (de) 2006-11-16
EP1632833A3 (de) 2006-05-10
EP1377890A2 (de) 2004-01-07
DE60132833D1 (de) 2008-03-27

Similar Documents

Publication Publication Date Title
DE60132833T2 (de) Computersystemschutz
DE60200323T2 (de) Verfahren zum Schutz der Integrität von Programmen
DE10051571B4 (de) Methode und System zur Unterstützung von Sicherheitsvorgaben unter Verwendung einer Stylesheet-Verarbeitung
DE112014001229B4 (de) Verfahren, Datenverarbeitungssystem und Computerprogrammprodukt zum Verarbeiten einer Datenbank-Client-Anforderung
DE60130172T2 (de) Eine gesicherte und offene Rechnerplattform
DE10249428B4 (de) Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
US6981156B1 (en) Method, server system and device for making safe a communication network
CH709936A2 (de) System und Verfahren für das kryptographische Suite-Management.
DE60128213T2 (de) Sicheres laden von daten in einem zellularen kommunikationssystem
DE102015001054A1 (de) Verfahren und systeme zum erkennen von extrusion und intrusion in einer cloud-computer-umgebung
DE102011077218B4 (de) Zugriff auf in einer Cloud gespeicherte Daten
CN105827574A (zh) 一种文件访问系统、方法及装置
WO2003025758A2 (de) Vorrichtung und verfahren zur etablierung einer sicherheitspolitik in einem verteilten system
EP1298529A2 (de) Proxy-Einheit und Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms
DE112021000455T5 (de) Deep packet analyse
Gritzalis et al. Addressing threats and security issues in World Wide Web technology
Bishop et al. Goal-oriented auditing and logging
DE10006062C2 (de) Tastaturschlüssel
DE10102979C2 (de) Verfahren zur Absicherung von Rechnern mit Anschluss an ein Netzwerk zum Zweck der Kontrolle von Netzwerkverbindungen
DE10133184C2 (de) Verfahren zur Sicherheitsüberprüfung verschlüsselter Daten in einem Firewall-System
Cardwell Analyzing Encoding, Obfuscated, and ICS Malware Traffic
Lindskog Observations on Operating System Security Vulnerabilities
WO2023079186A1 (de) Verfahren und zugehörige computersysteme zur sicherung der integrität von daten
DE10249426A1 (de) System und Verfahren zum Definieren von unbefugtem Eindringen auf ein Computersystem

Legal Events

Date Code Title Description
8364 No opposition during term of opposition