23. Dezember 2008

Check Point kauft Nokias Appliance Geschäft

Category: Produkte,Work — Christian @ 15:21

Firewall-Appliances sind schon seit geraumer Zeit der Renner, niemand kauft mehr eine Firewall-Software die dann auf einem Standardbetriebssystem installiert wird. Gehärtete Betriebssystemvarianten (meist Linux) sind ok, aber dann möchte man auch nicht viel mit der Konfiguration und dem Update des Betriebssystems zu tun haben. Check Point dagegen sah sich lange Zeit als reiner Software-Hersteller und hat das Appliance-Geschäft Partnern überlassen. Beispielsweise gab es Check Point auf IBM, auf Dell-Hardware, kurzzeitig sogar auf Pyramid Appliances …

Inzwischen hat Check Point eingesehen, dass es ohne eigene Hardware nicht geht. Als ersten Schritt hat Check Point die ehemalige Ericcsson-Tochter Sofaware gekauft und daraus die Edge-Appliances geformt. Danach hat Check Point zuerst mit der UTM-1 und später mit der Power-1 eigene Hardware an den Start gebracht. SecurePlatform, das Linux-basierte gehärtete eigene Betriebssystem gibt es ja schon seit geraumer Zeit als „Software-Appliance“.

Gleichzeitig hat Check Point mit der eigenen Hardware jedoch den Appliance-Partnern das Leben schwer gemacht. Ich kenne mehrere Unternehmen, denen die Kosten für Nokia einfach zu hoch wurden und die statt dessen auf Standard-Server mit SecurePlatform wechselten oder gleich zu einer UTM-1, die mit einem (für Check Point) günstigen Bundle-Preis aus Hardware und Software kommt. Der ehemals eigenständige Geschäftsbereich Nokia Internet Communications ist schon vor Jahren dem Bereich Nokia Networks zugeschlagen worden, eine große Zahl der damaligen Nokia-Mitarbeiter hat das Unternehmen inzwischen verlassen.

Konsequenterweise hat Nokia diesen Geschäftszweig jetzt an Check Point verkauft. Ich bin mir sicher, Nokia ist froh diesen Bereich los zu sein, die Gewinne dürften in den letzten Jahren deutlich eingebrochen sein. Allerdings ist mir nicht 100% klar, warum sich Check Point dieses Geschäft ans Bein bindet. Ok, es gibt eine breite Basis installierter Check Point Lizenzen auf Nokia, die Check Point nicht verlieren will. Allerdings wäre es sicher auch denkbar gewesen, diese Kunden auf die Power-1 Appliance zu hieven.

Statt dessen hat Check Point jetzt drei verschiedene Appliance-Typen am Hals:

  • Sofaware Edge, die mit einer Firmware ausgestattet sind, die nichts mit der normalen FireWall-1 Software zu tun hat. Insbesondere läuft auf der Edge nicht das gewohnte FireWall-1 Kernel-Modul, das den Firewall-Bytecode in einer VM interpretiert.
  • Check Point UTM-1/Power-1 mit SecurePlatform, Linux-basierte Appliances die Check Point aktuell von einem 2.4.22 auf einen aktuellen 2.6.x Kernel umstellt, weil es inzwischen wohl mehr und mehr Probleme mit Treibern für aktuelle Hardware gibt.
  • Check Point Nokia, mit dem ursprünglich FreeBSD-basierten IPSO, das sich grundsätzlich anders als Linux verhält, mit eigner Weboberfläche (Voyager) und eigener zentraler Verwaltungssoftware (HorizonManager).

Ich bin gespannt, wie Check Point das zusammenführen will.

Eine Abkehr von SecurePlatform dürfte nicht möglich sein. Ansonsten wird Check Point nur noch Appliances anbieten können, da für IPSO keine Treiber für allgemeine Server Hardware vorhanden ist. Andererseits enthält IPSO einen eigenen Routing-Dämon, SecurePlatform könnte in Zukunft auf den Gate-Dämon verzichten.

Meine persönliche Meinung ist, dass Check Point das Nokia-Geschäft für nen Apple und ’n Ei günstig in der Rezession erworben hat um Zugriff auf die Kundendatenbank von Nokia zu erhalten. Die Kunden werden mittelfristig von der Nokia Hardware mit IPSO auf die Check Point Appliances mit SecurePlatform umgestellt und IPSO wird sterben. Und da Check Point jetzt die Kontrolle über die Nokia Appliance-Entwicklung hat, kann diese Migration ganz nach den Vorstellungen Check Points gesteuert werden.

Nachtrag:

Aber schön, wie in der Pressemitteilung nochmal die alten Slogans ausgegraben werden, beispielsweise „best-of-breed solution“ oder „First Call – Final Resolution“. Nur der Slogan „The Power of Two“ fehlt … aber der ist ja nun auch nicht mehr aktuell.

(via The Register)

Virenscanner Feed-Test

Category: Produkte,Work — Christian @ 13:21

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Kleiner Test: einfach mal den Eicar-String in den RSS-Feed kopieren. Falls ein Virenscanner anschlägt würde ich mich über Rückmeldung freuen. Eigentlich sollte darauf kein einziger Scanner reagieren. Aber man weiß ja nie …

Avast erkennt Text als Virus

Category: Allgemein — Christian @ 13:18

Sehr spannend: Avast schlägt prompt Alarm, wenn man sich meinen letzten Beitrag (den mit dem Javascript-Schadcode) im Feed ankuckt:

Avast Mitternachtshacking-Alarm

Die Malware-Erkennung ist im übrigen korrekt, das ist das Javascript-Programm, das ich im letzten Beitrag beschrieben habe.  Dumm nur, dass ich das Programm lediglich im Text stehen habe, nicht in <script>-Tags. Es sollte daher auch nicht ausgeführt werden. Das Problem für einen Virenscanner ist allerdings, dass diese Unescape-Sequenz nicht nur in HTML-Dateien sondern in CSS-Files versteckt wird. Im Gegensatz dazu ist die Bytefolge sehr charakteristisch.

Ich denke daher, Avast hat lediglich ein Patternmatching auf die Unescape-Sequenz implementiert und schlägt daher immer Alarm wenn diese Folge auftaucht, egal ob ausführbares Skript oder nicht. Mein Antivir schlägt beim Zugriff auf infizierte Webseiten auch Alarm, nicht jedoch beim RSS-Feed.

(Danke Nikola, für die Zusendung des Screenshots)