TINY Trojan Trap
Trojan Trap von TINY Software stellt die jüngste Generation von Computerprogrammen für IT-Sicherheit dar, die Workstations und Netzwerke vor Attacken schützt. Diese Angriffe können von allen möglichen, aktiven Inhalten (ActiveX, Java und anderer ausführbarer Code) ausgeführt werden, die vom Internet oder sonstwo bezogen wurden. Mit Trojan Trap kann für jede (bekannte oder unbekannte) Anwendung ein geschlossenes Umfeld (Sandbox = Sandkasten) hergestellt werden, das den Zugriff auf die Ressourcen des Computers limitiert.
Innerhalb dieses nicht frei zugänglichen Umfelds kann jeder Softwarecode ausgeführt werden und Zugangsberechtigung zu den Systemressourcen erhalten. Treiber, die Datenbank der Windows-Registrierungsdatei (Registry, alle Konfigurationen) und das Dateisystem sind abgeschirmt und werden konstant beobachtet, um die Privatsphäre und die Integrität des Systems zu bewahren.
Bei der Installation durchsucht Trojan Trap die Workstation nach bereits installierten oder bekannten Programmen. Zusätzlich werden sowohl vorkonfigurierte Standardsandkästen um die gebräuchlichsten Webbrowser (Netscape und Internet Explorer) und eMail-Programme (Outlook, Outlook Express und Lotus Notes) als auch eine eingeschränkte Zone für unbekannte Anwendungen (High Restricted Application Group) eingerichtet.
Die Trojaner-Falle überprüft jedes Programm aufgrund seiner Aktivitäten; ihr Sicherheitsmechanismus stützt sich nicht auf Vergleiche mit einer Datenbank, die eine Liste mit Referenzen zu schädlichem Code enthält. Sie prüft vielmehr alle Aktivitäten der Anwendung und jeden ihrer Zugriffe auf Ressourcen, aber nur verdächtige oder unerwünschte Aktivitäten werden verhindert. Daher ist sie das erste verfügbare Werk mit Verhaltensmaßregeln für Software, das nicht nur vor absichtsvollen, feindlichen Attacken schützt, sondern auch vor unabsichtlichen Softwarefehlern. Jede andere Anwendung innerhalb des Arbeitsbereichs des Users kann ausgeführt werden und Zugriff auf Ressourcen erhalten, ohne von Trojan Trap Limits auferlegt zu bekommen. Man kann beobachten, welche Softwarekomponenten auf dem Computer installiert und in Betrieb sind, woher sie stammen, was sie tun, und auf welche Ressourcen sie zugreifen.
Das Programm baut in den Windows-Computer ein Sicherheitsnetz ein, das ins Betriebssystem transparent konfiguriert eingeflochten und in bestehende Netzwerksicherheitsmaßnahmen integriert wird. Es schützt vor Fehlern und Lücken der Sicherheitsmechanismen des Webbrowsers und der Java-Virtual-Machine.
Alle diese Angaben stammen von der TINY-Software-Website (17. November 2001). Weiter unten auf der vorliegenden Web-Seite gibt es noch weitere Details zum Programm vom Hersteller. Bei Trojan Trap handelt es sich übrigens offensichtlich um eine Weiterentwicklung vom hier bereits im Juni 2000 vorgestellten Secure4U.
Inoffizielles deutschsprachiges Forum zu TINY Trojan Trap (Noch-Geheimtip für »Erster!«-Maniacs)
Download eines 30-Tage-Testexemplars (Build 1.5/6 seit 1. Dezember 2001, englisch, 6,3/9,1 MB) für Windows. Um Trojan Trap unter Windows NT/2000 installieren zu können, muß man als Administrator eingeloggt sein. Vorsicht! Erstausgabe mit kleinen Fehlern. Anfänger, bitte noch zuwarten! Eine allfällige Deinstallation funktionierte auf mehreren Systemen einwandfrei.
Die Anwendungen werden in Gruppen eingeteilt
– ein zentraler Bestandteil von TINY Trojan Trap:
– ein zentraler Bestandteil von TINY Trojan Trap:
Für ein paar sicherheitskritische Kandidaten
gibt es vorkonfigurierte Default-Regeln:
gibt es vorkonfigurierte Default-Regeln:
Die Mausefalle in der Pferdebox
Zusammenfassende Übersetzung eines
Artikels von gwion im DSLReports-Forum
Interessantes Konzept, sehr umfassendes Programm.
Das wird die Sicherheitslücken stopfen, welche mit den Leaktests vorgeführt wurden. Trojan Trap stopft sie gründlich.
Es hält den Internet Explorer davon ab, Zugriff auf etwas zu bekommen, das man nicht möchte. Nach einer Default-Installation von Trojan Trap kann der IE keine Datei öffnen, kein Verzeichnis anzeigen... er ist – schluck! – ein Browser! Nichts als ein Browser. Ich habe noch nichts gesehen, das den IE derart konsequent, vollständig und wirkungsvoll in einen Sandkasten verbannt.
Die Bedienungsoberfläche ist im einfachen Modus, »Easy Mode«, recht schlicht und übersichtlich. Der fortschrittliche Modus, »Advanced Mode«, bietet all die Schalter und Hebel, und es ist im wesentlichen ein Zugriffskontrollsystem auf Dateiebene.
Man stelle sich Freigaben im NT-Stil vor, diese jedoch an ausführbare Dateien gekoppelt. Wer die NT-Anwenderverwaltung versteht, hat damit keine Probleme. Bildlich gesehen gehört eine Datei zu einem User; zu welchen Verzeichnissen, Dateien, Diensten und so weiter soll man ihr den Zugriff gestatten? Dasselbe wie bei den Anwenderfreigaben. TTT macht Gebrauch von Gruppen, um die Angelegenheit zu vereinfachen, was man sich wiederum sehr gut anhand der NT-User-Verwaltung vorstellen kann. Entweder hoch, mittel, niedrig oder ohne Beschränkungen, spezielle Kategorien für den IE, die Shell, ActiveX, Scripts und so weiter. Man kann auch seine eigenen, speziellen Gruppen anlegen und hinzufügen.
Zusätzlich zur datei- und systemweiten Geräte/Service-Zugriffskontrolle beinhaltet die WINZIGE Trojaner-Falle eine Basis-Firewall auf Anwendungsebene; nicht einen Ersatz für eine »traditionelle« Firewall, sondern meiner Meinung nach eine hervorragende Ergänzung.
Verfügt über ausreichende Funktionen im Zugriffs-Regelwerk, um als »Oberster Boss«-Kontrollanwendung zu fungieren. Sobald Trojan Trap installiert und mit einem Passwort versehen ist, wird keiner mehr an Dinge herankommen, die ihn nichts angehen.
Die Log-Funktionen sind exzellent. Sobald man damit klarkommt, hat man eine wunderschöne XML-Darstellung, durch die man browsen kann, den Audit Analyzer. Das Problem ist, daß das Programm nach der Standardinstallation so gut wie nichts loggt, außer die aktuellen Attacken. Man muß also einstellen, was man geloggt haben will...
Die grundlegende Funktionalität wird unter NT durch Gerätetreiber und Dienste zustande gebracht. Die Anwendung arbeitet programmtechnisch auf einer sehr, sehr tiefen Ebene. Das mag Anfänger zunächst einschüchtern. Es ist in der Tat recht umfassend.
Trojan Trap schränkt die Funktionen äußerst rigoros ein, besonders wenn man der – in Windows integrierten – »Hyperaktivität« verfallen ist. Das muß einem klar werden: Es macht aus dem IE einen Browser. Er zeigt nicht mal mehr ein Verzeichnis an, noch weniger funktioniert die Integration von anderen Windows-Subsystemen, es sei denn, man richtet das dezidiert ein. Seid also ausdrücklich gewarnt.
Es ist Trojan Trap Plus... Plus, Plus. Es ist unerhört mächtig gegenüber böswilligen Anwendungen im System. In erster Linie ist es jedoch eine »Sandbox«. Es zwingt Programme, in einem speziellen Rahmen zu laufen, um sie vom Zugriff auf Dinge abzuhalten, von denen sie ihren Code fernhalten sollen. Es dürfte übrigens wie Gift auf SpyWare wirken.
Insgesamt mag ich das Teil. Man kann es je nach persönlicher Bequemlichkeit »leiser und lauter« stellen. Power-User werden wahrscheinlich bald mit dem einhundertundersten Verwendungszweck daherkommen. Neu-Einsteiger werden »Meuchelmörder!« schreien... »Wo sind meine Task-Leisten-Symbole geblieben?!« (Ja, tatsächlich: Es hindert den Internet Explorer sogar daran, *.exe-Dateien, die sich in der Task-Leiste befinden, zu öffnen, nur um sich das Programmsymbol zu besorgen. Hohe Sicherheit wird auf diese Art und Weise zu einer total intoleranten Sicherheit.)
Ich habe das Gefühl, daß ich eine Lizenz kaufen werde, sobald es zu Geld gemacht wird. (Anmerkung der Redaktion: Gerüchteweise wird Trojan Trap um die vierzig U.S.-Dollar kosten.) Die Testversion ist bestimmt wert, ausprobiert zu werden, wenn man an einem hohen Schutz-Level für seinen Windows-Computer interessiert ist.
Die Installation war problemlos, dann folgt ein Computer-Neustart, damit die Treiber verankert und die Dienste angelassen werden. Es läßt sich sauber deinstallieren wie die TINY Personal Firewall. Ich werde sofort aufschreien, wenn ich etwas finde, das zurückgelassen wurde, aber soweit ich es beurteilen kann, handelt es sich um eine gut geschriebene Installationsroutine.
Die einen werden es lieben, die anderen sich wundern, wie man so etwas laufen lassen kann.
Es macht seine Sache gut, und es wird seine Anhängerschaft finden. Ich habe jedenfalls ein Auge darauf; wenn die Firma TINY Software an ihrer Reputation festhält, die sie mit der Personal Firewall gemacht hat, entwickeln sich die Dinge bestimmt positiv. Ich glaube, es dürfte sich auszahlen, auf die Finalversion zu warten, und ein paar Beherztere die »Post-Beta«-Phase noch eine Weile ausnützen zu lassen...
Ich hatte nämlich ein kleines Problem damit: Meine Maschine rebootete spontan hin und wieder, sobald ich auf bestimmte Links klickte. Das passierte immer nur mit dem Internet Explorer, und wenn ich auf einen Link klickte. Ich fand nichts anderes, das ich dafür verantwortlich machen konnte; diese Vorfälle tauchten nach der Installation auf und verschwanden auf geheimnisvolle Weise nach der Deinstallation. (Anmerkung der Redaktion: Bei uns verweigerte ein Programm, Dateien zu speichern, solange Trojan Trap installiert war, und das Programm meldete bei jedem Versuch zu speichern einen Fehler »Runtime Error«. Nach Beenden dieses Programms lief Windows 9x stabil weiter.)
Wie gesagt, ich werde wahrscheinlich ein wenig warten und beobachten, was die ersten Berichte zutage bringen. Das ist immer gut, wenn es um Eingriffe in die Untiefen von Microsofts API geht. Und das gilt freilich auch für neue Microsoft-Software
Wieder mal tolle Arbeit, TINY. Vielleicht noch ein paar rauhe Kanten hie und da bis auf weiteres, aber Trojan Trap ist eine sehr beeindruckende Anwendung und überraschend ausgereift für eine Versionsnummer EinsPunktNull.
Nochmals der Hinweis auf unser erst wenige Stunden altes und
inoffizielles deutschsprachiges Forum zu TINY Trojan Trap
Weitere Angaben von der TINY-Software-Website:
Wie und was schützt TINY Trojan Trap?
Trojan Trap besteht aus einer Reihe von ausführbaren Dateien (Executables), DLLs und Kernel-Treibern, die verschiedene Teile des Computersystems schützen. Jede Komponente erfüllt eine bestimmte Aufgabe, was eine undurchdringliche Mauer um das System entstehen läßt.
Agent
Der Agent stellt dem Anwender die Informationen zur Verfügung und ist somit die Nachrichtenzentrale von Trojan Trap. Hier werden auch die eingeschränkten Zugriffe auf die Umgebung und die Ressourcen des Systems protokolliert.
Kernel-Komponenten
Die Kernel-Komponenten bieten erweiterten Schutz gegen bestimmte Low-Level-Zugriffe und schützen die Laufzeitumgebung (Runtime Environment) von Trojan Trap.
Administrator Tool
Mit dem Administratorwerkzeug kann Trojan Trap konfiguriert werden. Das System wird nach installierten Anwendungen gescannt, und für die gebräuchlichsten Webbrowser und eMail-Clients werden Standardeinstellungen hergestellt. Eine typische Installation von Trojan Trap dauert nur wenige Minuten.
Schutz für Ressourcen
Trojan Trap schützt die folgenden Ressourcen im Computer vor unerwünschten und verdächtigen Zugriffen und Veränderungen:
Die Windows-Registrierung (Registry)
Windows-Betriebssysteme speichern die System- und Anwendungskonfigurationen in der Registrierungsdatenbank. Wenn ein feindlicher Softwarecode diese Einstellungen in der Registry-Datenbank ändert, können Anwendungen oder das gesamte Computersystem unbrauchbar werden. Durch Änderungen in dieser Datenbank können übelwollende Software-Applets auch unerwünschten Zugriff auf Ressourcen des Computers erlangen.
Zugang zu Diensten
Jeder Zugriff, den – mit Einschränkungen bedachte – Anwendungen auf Systemdienste (Services) tätigen, wird beobachtet und protokolliert. Durch Veränderungen an den Einstellungen bestimmter Dienste (Blockieren oder Zugriff) kann übelwollender Softwarecode unerwünschten Zugriff auf Ressourcen und Daten des Computers erlangen.
Gefährliche Aufrufe von Systemschnittstellen
Einige Funktionen des Systeminterface sind nur für Windows-Interna oder spezielle Anwendungen vorgesehen. Unter normalen Umständen gibt es keinen Anlaß, diese zu verwenden. Gefährlicher Zugriff auf Geräte wird ebenfalls verhindert. Mit Trojan Trap kann die Bereitstellung dieser Systemschnittstellen für bestimmte Anwendungen limitiert werden.
Zugriff auf das Dateisystem
Durch Zugriff auf das Dateisystem erlangt eine Anwendung Verfügungsgewalt über Daten und Dateien. Trojan Trap kann je nach Konfiguration den Zugriff darauf limitieren. Ein typisches Szenario könnte sein, dem Webbrowser Zugriff auf ein Verzeichnis zu gestatten, worin sich aus dem Internet heruntergeladene Daten befinden, während der Zugriff auf alle anderen Bereiche verhindert wird.
Zugriff auf IP-Ports und IP-Adressen
Trojan Trap kann Anwendungen, denen Einschränkungen auferlegt wurden, beim Zugriff auf IP-Ports beobachten und diese Vorgänge protokollieren. Mittels Verwendung bestimmter IP-Ports kann Software zum Beispiel eMails in das Internet absetzen oder – mit Zuhilfenahme anderer Protokolle – Verbindungen herstellen.
Kontrolle über das Starten von Softwareprozessen
Wenn eine andere Anwendung durch solche Programme, denen Einschränkungen auferlegt wurden, gestartet werden soll, kann Trojan Trap dies blockieren oder die Einrichtung einer abgesicherten Umgebung für eingeschränkte Anwendungen erzwingen. Dies kann verhindern, daß ein schlechter Code Programme, die als vertrauenswürdig eingestuft wurden, mißbräuchlich verwendet.
Filtern von Inhalten, Viren
Mit Trojan Trap können alle ActiveX- und Java-Applets verwaltet werden, die auf dem Computer installiert sind. TTT hält eine schützende Hand über den PC, wenn ein neues Applet hereinkommt und aktiv wird. Bei ActiveX-Komponenten werden Informationen über den Hersteller desselben bereitgestellt, weiters darüber, ob die Eigenschaften des Applets ordnungsgemäß eingetragen sind, von welcher Website es heruntergeladen wurde, und wie es mit dem zu schützenden Computersystem in Kontakt tritt und damit interagiert. Jedes installierte ActiveX-Teil kann auch gelöscht werden.
Scannen nach Viren
Wenn ein von Trojan Trap unterstützter Antivirus-Scanner vorhanden ist, werden alle CAB-Dateien, die vom Webbrowser empfangen werden, zunächst geöffnet und nach Viren gescannt, bevor sie auf dem Computer installiert werden.
Cache-Management
Der Cache-Manager (Cache = Vorhaltedatei der Browser) ist vollständig in die Arbeitsumgebung von Trojan Trap integriert. Er gestattet es, Informationen im Cache über die Browser-Sitzung automatisch zu entfernen.
Cookie-Management
Hier können die Cookies für alle Anwender/Profile blockiert, entfernt und verwaltet werden. Die Übermittlung von Cookies kann je nach Website/URL eingeschränkt werden.
Inhalte aus dem WWW und von eMails filtern
Web-Seiten mit unerwünschten Informationen (zum Beispiel aktive Inhalte) oder eMails, die automatisch abgeschickt werden und vertrauliche Mitteilungen enthalten, können blockiert werden.
Hier geht es zu einer ausführlichen und illustrierten Beschreibung vom Hersteller (über die Version 1.0, englisch). Ein paar Highlights daraus:
- Audit Analyzer – Alle Logs werden im XML-Format gespeichert
- Advanced Mode – Hier werden die Zugriffsrechte aller Anwendungen geregelt
- Zugriffsrechte für Dateien
- Registry Security
- Firewall
- Vorhandene Antiviren-Scanner werden unterstützt, Scanner konfigurieren
- Cache-Editor
- Cookie-Editor, Selbstlern-Modus, Agent: Cookies-Fenster
- Audit levels – Gut versteckt im Edit-Menü: Die Log-Einstellungen
- Agent: Activity-Fenster – Die Nachrichtenzentrale
- PopUp-Fenster mit Warnung – Der Internet Explorer will was
- PopUp-Fenster mit Warnung – Der Internet Explorer will schon wieder was
- Warnung beim Starten unbekannter Anwendungen (Process Spawning)
- Execution Settings – Hier wird eine »gewisse Affinität« zu Secure4U deutlich
Inoffizielles deutschsprachiges Forum zu TINY Trojan Trap
TINY
Personal Firewall
Pretty Good Privacy (PGP),
Netzwerk-Überwachung, Tools