Autark im Windows-Kernel laufende Sicherheits- und Forensiktools können schnell und präzise eingreifen. Tief im Betriebssystem, bieten sie einen hochwertigen Schutz und hervorragende Forensikmöglichkeiten. Diese Tools müssen leicht konfiguierbar sein, um Anwenderfehler zu minimieren, und eine kleine Codebasis aufweisen. Nur so laufen sie performant und sicher. Programmierer müssen die Komplexität der Kernelentwicklung überwinden und IT-Sicherheit bereits beim Design berücksichtigen.
Der Vortrag demonstriert das Vorgehen anhand eines exemplarischen Forensik-Treibers, zeigt Angriffszenarien und führt eine Bedrohungsanalyse vor. Es werden die Vorteile des gewählten Ansatzes diskutiert.
Vorkenntnisse
Grundkenntnisse in der C- sowie der systemnahen Windows-Programmierung. Der Unterschied zwischen Kernel- und User-Mode sollte bekannt sein. Zudem sollte das grundlegende Prinzip eines Virenscanners bekannt sein. Kenntnisse über aktuelle Infektionswege und Angriffsmethoden auf Windows-Systeme sind von Vorteil.
Lernziele
Entwickler sollen auf Risiken bei der systemnahen Entwicklung unter Windows aufmerksam gemacht werden. Hauptaugenmerk liegt hier besonders bei der Entwicklung von IT-Sicherheitslösungen. Gerade die Kommunikation zwischen Kernel- und User-Mode kann von Angreifern genutzt werden, Systemrechte zu erlangen. Es soll gezeigt werden, welchen Vorteil ein rein Kernel-basierter Ansatz haben kann. Dabei sollen aber nicht die Probleme und Fallstricke bei der Entwicklung ausgespart werden.
// Florian Rienhardt
ist Software-Nerd-Kid aus den 90ern. Kennt den C64 nicht nur aus dem Simulator. Spricht C, Basic, Pascal, Java-Skript, Phython, Asembler. Professionalisierung durch Studium in Bonn mit IT-Security-Schwerpunkt (Schadcode unter Windows). Abschluss magna cum laude. Seit 2007 im IT-Security-Bereich tätig. Finder diverser Zero-Days in Betriebssystemen und Browsern. 2014 Gründung der Firma Excubits UG.