Shims unter Windows (2) - Die Shim-Infrastruktur und ihre Sicherheit
Was Shims sind haben sie im ersten Teil erfahren. In dieser Folge gibt es einen Überblick über die Shim-Infrastruktur und ihre Sicherheit.
Was Shims sind haben sie im ersten Teil erfahren. In dieser Folge gibt es einen Überblick über die Shim-Infrastruktur und ihre Sicherheit.
Das kommt jetzt etwas spät, weil die Shims unter Windows 10 nicht mehr unterstützt werden, aber ich brauche das Material als Linkziel. Und ich finde das Thema auch generell interessant.
Shims erlauben es, die API-Aufrufe eines Programms zu manipulieren. Microsoft hat das zum Beispiel genutzt, um als sog. "FixIt-Patches" bzw. "FixIt-Tools" Workarounds für bereits ausgenutzte Schwachstellen bereit zu stellen. Ein Angreifer kann die Shims aber auch nutzen, um seinem Schadcode neue Fähigkeiten zu verschaffen.
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs hat die letzten beiden Phasen erreicht. Los ging es in der ersten Phase mit der Schaffung der nötigen Grundlagen für die sichere Entwicklung. In der zweiten Phase wurden die nötigen Anforderungen an die Webanwendung festgelegt.
In der dritten Phase (Design/Entwurf) musst ein Bedrohungsmodell für die Anwendung entwickelt werden. Theoretisch sah das ziemlich schwierig aus, praktisch was es aber durchaus zu schaffen. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren. Die Bedrohungsmodellierung ist ziemlich aufwendig, lässt sich aber zumindest für Webanwendungen vereinfachen.
In der vierten Phase kommt dann endlich die Implementierung sowie die Vorbereitung der sicheren Default-Installation und -Konfiguration an die Reihe. In Phase 5 muss das alles dann noch mal kontrolliert werden, und dann ist die Anwendung endlich bereit für
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht weiter. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt.
Dann haben ich Ihnen im Rahmen der dritten Phase (Design/Entwurf) erklärt, wie Sie theoretisch ein Bedrohungsmodell erstellen können und wie das Bedrohungsmodell für das Beispiel entwickelt wird. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren.
Die Bedrohungsmodellierung ist ziemlich aufwendig und unübersichtlich, lässt sich aber zumindest für Webanwendungen vereinfachen. Und dafür gibt es sogar noch eine weitere Möglichkeit. Nachdem ich die kurz beschrieben hatte ging es um Phase 4: Die Implementierung. Und zu der gehört auch die