File

Privacy. Protection. Peace of mind.
White Paper
Bedrohungschaos:
Überblick über die Bedrohungen
aus dem Internet
von Richard Stiennon
Privacy. Protection. Peace of mind.
Index:
Kurzübersicht . . .
1
Hauptkategorien von Online-Bedrohungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Denial-of-Service- und Distributed-Denial-of-Service-Angri≠e . . . . . . . . . . . . . . . . . . . . 5
Hackerangri≠e
. .
6
Die Motivation hinter der Entwicklung von Bedrohungen . . . . . . . . . . . . . . . . . . . . . . . 6
Das Bedrohungschaos-Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
In die vierte Dimension
Privacy. Protection. Peace of mind.
Kurzübersicht
Warum werden wir ständig mit neuen Viren, Würmern, Spyware, Adware,
Hackerangriffen und anderen potenziell unerwünschten Programmen
bombardiert? Warum herrscht so viel Verunsicherung hinsichtlich
der Bezeichnung dieser verschiedenen Installationen? Warum bieten
Firewalls und Antivirenprogramme für diese Bedrohungen keinen
ausreichenden Schutz? Was ist ein Bedrohungsmodell, und wie kann es
sinnvoll eingesetzt werden? Diese Fragen werden in dem vorliegenden
Dokument aufgegriffen. Darüber hinaus enthält es einen Vorschlag
für ein Bedrohungsmodell, um Klarheit in Bezug auf die verwirrende
Begriffsverwendung zu schaffen.
Eine kürzlich durchgeführt Studie von
Gartner G2 hat ergeben, dass mehr als
20 Millionen Computer mit Spyware
infiziert sind.
Hauptkategorien von Online-Bedrohungen
Viren sind Code, der sich selbständig verbreitet und von einer
Anwendung auf eine andere übertragen wird. Heutzutage sind häufig
Aktionen des Benutzers erforderlich, um einen Computer mit einem
Virus zu infizieren und diesen zu verbreiten. Gelegentlich ermöglicht
es eine neue Schwachstelle in Microsoft Exchange oder Internet
Explorer, dass der Code automatisch ohne Benutzerintervention
ausgeführt wird. Da sich ein neuer Virus praktisch ungehindert über das
Internet verbreiten kann, sind Schäden vorprogrammiert. Die meisten
im Umlauf befindlichen Viren verleiten den Benutzer dazu, eine
E-Mail zu öffnen oder auf einen Hyperlink zu klicken. Da Spammer
diese Replizierungsmethoden perfektionieren und Programmierer von
Virenprogrammen sowie Phisher ihre Vorgehensweise anpassen, erleben
wir eine fortwährende Verbreitung moderner Viren wie Netsky und
Mydoom (von denen mittlerweile die 35. bzw. 34. Variante vorliegt).
Würmer sind Code, der sich selbständig verbreitet und von einem
Dienst auf einen anderen übertragen wird. Das Eindringen von
Würmern steht in direktem Zusammenhang mit der Entwicklung
der Netzwerksicherheit im Laufe der letzten dreieinhalb Jahre.
Bis 2001 wurde die Netzwerksicherheit in Form von Firewalls,
Antivirenprogrammen und IDS-Systemen (Intrusion Detection Systems)
gewährleistet. Im Sommer 2001 hat ein Wurm namens Code Red (das
koffeinhaltige Getränk, das die ursprünglichen Entdecker zu der Zeit
tranken) eine bekannte Schwachstelle (Patch verfügbar) im WebserverProdukt von Microsoft (IIS) ausgenutzt. Code Red verbreitete sich
über Port 80 von einem Webserver zum nächsten, ohne von Firewalls
erkannt zu werden. Da keine Signatur dafür vorlag, konnten die
IDS-Systeme den Wurm nicht identifizieren. Allerdings erkannten
Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet
Ein Drittel der Unternehmen in Europa
ist mit Spyware infiziert.
– EIT-Umfrage 2003
Das FBI hat Spyware eingesetzt, um
ein Computerkennwort des inhaftierten
Bandenchefs Nicodemo “Little Nicky”
Scarfo in Erfahrung zu bringen.
Privacy. Protection. Peace of mind.
sie das enorme Datenverkehrsaufkommen und gaben entsprechende
Warnungen aus, wodurch der Netzwerkverkehr allerdings weiter
zunahm, als die Netzwerke schon überlastet waren. Antivirensysteme
suchen nach Infektionen in Dateisystemen und benötigen Signaturen
oder Definitionen, deren Entwicklung und Bereitstellung im günstigsten
Fall einige Stunden dauern kann. Diese Reaktionszeit ist bei weitem zu
langsam, um die massenhafte Verbreitung von Würmern einzudämmen.
Code Red hat uns eine wichtige Lektion erteilt: Sobald kritische
Schwachstellen bekannt werden, sollten Server durch entsprechende
Patches geschützt werden.
Am 18. September 2001 brachte Nimda die “Sicherheitsgemeinde”
nachhaltig in Verruf. Nimda (“Admin” rückwärts geschrieben) nutzte
dieselbe Schwachstelle in IIS wie Code Red. Dieser Wurm nutzte ebenfalls
eine Schwachstelle in Internet Explorer und öffnete Dateifreigaben, um
auf den Desktop zu gelangen, wo er sich dann wie Viren per E-Mail
replizierte. Nimda hat uns folgende Lektion erteilt: Sobald kritische
Schwachstellen bekannt werden, sollten Server unbedingt durch
entsprechende Patches geschützt werden. Dieser doppelte Rückschlag
für IIS-Server ohne entsprechende Patch-Updates veranlasste John
Pescatore von Gartner zur Veröffentlichung seiner heute umstrittenen
Empfehlung, dass ein Unternehmen, das von Code Red und Nimda
betroffen war, die Wahl seiner Webserver-Plattform überdenken sollte.1
Am 25. Januar 2003 schlug SQL Slammer zu, ein Wurm, der auf eine
bekannte Schwachstelle (Patch verfügbar) im Datenbankserver-Produkt
von Microsoft abzielte. Dieser Wurm verbreitete sich mithilfe des UDPProtokolls über Port 1434. Er erreichte 80.000 Rechner in weniger als
10 Minuten. SQL Slammer hat uns drei wichtige Lektionen gelehrt:
1. Für anfällige Systeme sollte unbedingt ein Patch-Update
ausgeführt werden.
2. Höherwertige Ports sollten in Routern und Firewalls blockiert
werden. (SQL-Anfragen müssen praktisch nie über das Internet
ausgeführt werden.)
3. Manchmal lauern Dienste an den ungewöhnlichsten Orten.
Es hat sich herausgestellt, dass auf Microsoft-Entwicklungsplattformen
sowie zahlreichen Microsoft-Anwendungen Kopien von SQL Server
vorhanden waren, sodass auch Unternehmen, die für ihre Server ein
Patch-Update ausgeführt hatten, von SQL Slammer betroffen waren.
1
Pescatore, John. Nimda worm shows you canʼt always patch fast enough.
(2001). 7. Januar 2005, aus http://www4.gartner.com/resources/101000/101034/101034.html
Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet
Privacy. Protection. Peace of mind.
Ein weiterer Wurm, der erwähnt werden sollte, ist Blaster. Dieser Wurm
nutzte eine Windows-Schwachstelle in RPC DCOM. In wohlweislicher
Vorausschau sprachen sich fast alle Sicherheitsexperten dafür aus, dass
für alle Systeme auf der Stelle ein Patch-Update ausgeführt und Port 445
blockiert werden sollte, um ein Ausnutzen der bekannten Schwachstelle
zu verhindern. Trotz allem schlug der Wurm am 14. August 2003 zu,
verursachte enorme Netzwerkausfälle und brachte sogar den Zugverkehr
in Teilen der USA zum Erliegen. Die meisten Unternehmen berichteten,
dass der Wurm nicht durch ordnungsgemäß konfigurierte Firewalls,
sondern durch infizierte Laptops in das Netzwerk eindrang.
Würmer haben einen Wandel in der Netzwerksicherheit ausgelöst, der
immer noch im Gange ist. Gateway-Sicherheitsgeräte kontrollieren die
Datenpakete, die durch sie geleitet werden, immer genauer. Technologie
zur Eindringungsvorbeugung hat Eindringungserkennungssystemen den
Rang abgelaufen. Gateway-Antivirensysteme werden immer beliebter.
Trojanische Pferde sind Code, der sich als eine harmlose Anwendung
tarnt, eigentlich aber ein anderes Ziel verfolgt und für gewöhnlich
bösartig, manchmal aber auch nur lästig ist. Beispielsweise können
Sie einen Bildschirmschoner herunterladen und dabei unwissentlich
ein unerwünschtes Programm installieren, sozusagen „durch die
Hintertür“. Trojanische Pferde können Meister der Täuschung sein. So
haben beispielsweise besonders gerissene Opportunisten einmal ein
trojanisches Pferd entwickelt, das als kontroverser Bildschirmschoner
getarnt war, der durch Lycos vertrieben wurde. Die ursprüngliche LycosVersion führte zu Denial-of-Service-Angriffen gegen Spammer. Durch
den gefälschten Bildschirmschoner wurde Perfect Keylogger installiert,
eine Spyware-Anwendung. Stellen Sie sich trojanische Pferde der
Einfachheit halber als einen getarnten Versandmechanismus vor (ähnlich
wie das legendäre Pferd, das die Griechen im Trojanischen Krieg
verwendeten). Verwechseln Sie sie nicht mit ihrer Schadensfunktion,
die jede Softwareanwendung sein könnte. Es gibt immer mehr
Programme, die mit trojanischen Pferden vergleichbar sind, aber nicht
auf Täuschung basieren, sondern sich vielmehr die Sorglosigkeit oder
Unachtsamkeit der Benutzer zunutze machen, die Endbenutzerverträge
nicht aufmerksam genug lesen oder Internet-Downloads nicht genau
verstehen. Auf diese Weise können Hacker Benutzer dazu bringen, ein
Programm mit geringem Nutzen herunterzuladen, dessen Hauptzweck
darin besteht, Werbung oder andere unerwünschte Anwendungen
zu verteilen.
Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet
“Die Hauptfunktion von Adware und
Spyware ist die Informationsgewinnung
von einem System und das Senden dieser
Informationen an eine externe Quelle.
Bei rechtmäßigen Programmen, die
diese Funktion wahrnehmen, z. B.
Webserver, besteht das gängige
Sicherheitsverfahren darin, diese
weitestgehend vor Zugriffen zu
sichern und regelmäßige Patch-Updates
auszuführen. Aber wie können Sie ein
Programm sichern und aktualisieren,
von dem Sie gar nicht wissen, dass es
auf Ihrem System installiert ist?
Spyware-Programme sind ein begehrtes
Ziel für Cracker und Programmierer
von bösartigem Code, die nach
Schlupflöchern im System suchen.“
– “Spyware Needs to Go“ von
Jim Rapoza Eweek, 1. Dezember 2003
Privacy. Protection. Peace of mind.
Hintertüren sind Codes, die es einem Hacker ermöglichen, auf einen
Computer zuzugreifen. Diese weisen in der Regel leistungsfähige
Oberflächen auf, durch die der Hacker die vollständige Kontrolle über
den Rechner erlangt, so als würde er direkt davor sitzen. Bekannte
Hintertüren sind beispielsweise Back Orifice, SubSeven und NetBus.
IRC-kontrollierte Hintertüren werden verwendet, um Denial-of-ServiceAngriffe gegen Ziele auszulösen. Weitere Informationen finden Sie auf
den folgenden Seiten.
Systemüberwachungsprogramme beinhalten Keylogger, d. h. Code,
der sämtliche Tastatureingaben aufzeichnet und an den Hacker sendet.
Auf diese Weise können Benutzernamen, Kennwörter und andere Benu
tzerkontoinformationen gesammelt werden.
Es gibt sogar Beispiele von Code, durch den Audio- und Videodaten von
einem Computer aufgezeichnet werden, an den ein Mikrofon oder eine
Kamera angeschlossen ist. Ergebnisse einer laufenden Spy Audit-Studie
von Unternehmenssytemen (verfügbar auf der Webroot-Website) zeigen,
dass auf über 14 % der getesteten Systeme ein Überwachungsprogramm
installiert ist.2
Spyware ist eine schwer fassbare, sich ständig ändernde Bedrohung,
die verschiedenen Kategorien zugerechnet werden kann. Im einfachsten
Fall handelt es sich bei Spyware um Programme, die Ihre Online- und
Offline-Aktivitäten ohne Ihr Wissen oder Ihre Zustimmung ausspionieren
und diese Informationen an Dritte weitergeben. Zu Spyware können
Systemüberwachungsprogramme zählen, die alles aufzeichnen,
von besuchten Websites bis hin zu Chat-Sitzungen, Instant Messages
und E-Mails. Darüber hinaus werden als Spyware auch Keylogger
bezeichnet, die alle Tastenanschläge auf der Tastatur aufzeichnen,
darunter Benutzernamen, Kennwörter und persönliche Daten wie Kontooder Kreditkartennummern.
Den größten Anteil an der Zunahme von Spyware haben kommerzielle
Quellen, die Werbung an ahnungslose Kunden senden möchten.
Die harmlosere Variante von Spyware ist Adware. Adware ist häufig
in Freeware, Hilfsprogrammen wie Filesharing-Anwendungen,
Suchprogramme und Informationsprogramme (z. B. für Uhrzeit,
1
Threat library: Corporate statistics. (2005). 7. Januar 2005,
aus http://research.spysweeper.com/threat_library/corporate_stats.php
Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet
Identitätsdiebstähle nehmen zu
Online-Konsumenten wurden im Jahr
2002 um 700 Millionen US-Dollar
betrogen. Jedes Jahr fallen zwischen
500.000 und 700.000 Personen
Identitätsdiebstählen zum Opfer.
50 % der befragten Computerbenutzer
haben in den vergangenen 12
Monaten Informationen an Hacker
preisgegeben und dabei 285
Millionen US-Dollar verloren.
– DOJ-Berichte
Privacy. Protection. Peace of mind.
Nachrichten, Alarm, Wetter usw.) und Funware wie Bildschirmschoner,
Cartoon-Cursor, Hintergründe, Klänge usw. gebündelt oder eingebettet.
Adware-Anwendungen sind für gewöhnlich werbeunterstützte
Softwareprogramme, die im Austausch für kostenlose Software Ihre
Aktivitäten im Internet überwachen und gezielte Popups, Popunders
und andere Formen von Werbung auf Ihrem Computer anzeigen. Einige
Adware-Programme können Ihre Internet-Gewohnheiten ausspionieren.
Das Löschen von Adware führt dazu, dass auch die damit gebündelte
Freeware-Anwendung entfernt wird.
Ebenfalls verwandt mit Spyware und trojanischen Pferden sind
Jokeware oder Spoofware. Diese unerwünschten Anwendungen sind
in der Regel nicht bösartige Programme, die Einstellungen ändern
können, z. B. für Cursor, Geräusche und Hintergründe, aber keinen
ernsten Schaden am Computersystem anrichten.
Denial-of-Service- und
Distributed-Denial-of-Service-Angri≠e
Im Gegensatz zu den bisher genannten Bedrohungen richtet sich diese
Art von Bedrohungen an eine bestimmte Zielgruppe. Diese Zielgruppe
hängt vom jeweiligen Anliegen des Hackers ab. Manchmal möchte
der Hacker Schaden verursachen oder möglicherweise von einer
beliebten Website „Schutzgeld“ erpressen. In einigen kürzlich bekannt
gewordenen Fällen wurde ein Hacker angeheuert, um die Website eines
Konkurrenten zu sabotieren. Diverse Programme können Datenpakete
an ein bestimmtes Ziel adressieren oder mithilfe von Sicherheitslücken
bestimmte Angriffe auf ein Ziel starten.
Der effektivste gezielte Angriff ist ein DDOS-Angrifff (Distributed
Denial Of Service). Tausende von Rechnern, die mit IRC-kontrollierten
Hintertüren (Bots) infiziert sind, zielen auf eine bestimmte Website ab.
Diese Bots können SYN-Überschwemmungen oder einfach HTTPGET-Anfragen in einer Geschwindigkeit erzeugen, die kein Server
bewältigen kann. Die Drahtzieher hinter dieser Internetkriminalität
können vom Eigentümer der betroffenen Website Geld erpressen. Seit
2004 sind DDOS-Angriffe zu einer großen Bedrohung geworden.
Ursprünglich richteten sich die Angriffe gegen schlecht geschützte
Websites für Online-Spiele. Derzeit geht der Trend aber in Richtung
anderer Online-Dienste mit einer großen Anzahl an Transaktionen,
z. B. e-Commerce-Websites oder Websites von Anbietern von
Finanzdienstleistungen und Devisengeschäften.
Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet
Privacy. Protection. Peace of mind.
Hackerangri≠e
Angesichts der Unmenge an Viren, Würmern und Spyware ist es
Ironie, dass gezielte Angriffsversuche nicht mehr die Aufmerksamkeit
bekommen, die ihnen früher zuteil wurde. Ein gezielter Angriff ist
für gewöhnlich ein systematischer Versuch eines Internetkriminellen,
sich Zugriff auf Computer zu verschaffen und Daten zu stehlen oder
andere Schäden anzurichten. Da immer mehr Dienste über das Internet
zur Verfügung gestellt werden, zielen diese Angriffe auch in Zukunft
auf schlecht entwickelte und implementierte Geschäftsprozesse ab. Ein
Angriff beinhaltet die folgenden Phasen:
• “Fingerprint”-Analyse
• Sondierung
• Ausnutzung
• Schädigung
Häufig versteckt sich hinter den zerstörerischsten Angriffen ein Insider
mit genauen Kenntnissen über Systeme und Prozesse sowie dem Willen,
seinen Arbeitgeber zu bestehlen oder ihm zu schaden.
Die Motivation hinter der
Entwicklung von Bedrohungen
Für die oben genannten Bedrohungen gibt es im Wesentlichen zwei
Motivationen. Seit Beginn des Computerzeitalters war “Spaß” der
häufigste Beweggrund für Programmierer von Würmern und Viren.
Dabei holten sich erwachsene Männer ihren “Kick”.
Häufig wird jedoch übersehen, dass diese Männer von dem Wunsch
getrieben wurden, die Welt zu verbessern. Sie betrachteten fehlerhafte
Betriebssysteme und Anwendungen als Angriff auf ihre Gefühle und die
Entwickler dieser Programme als niederträchtige Gemeinschaft, die ihre
Domäne mit minderwertigen, unsicheren Produkten übernimmt. Um
der Welt zu demonstrieren, dass diese Systeme fehlerhaft waren und die
Programmierer ihre Aufgabe nicht verstanden, schrieben Hacker sich
schnell verbreitende Viren und Würmer, um möglichst viele Rechner
zu infizieren.
Dies ist zwar eine weit gefasste Kategorisierung von Hackern, sie wird
jedoch von der Tatsache untermauert, dass Viren und Würmer nur in
geringem Umfang Schadensfunktionen enthalten. Betrachten Sie zum
Beispiel einige der am weitesten verbreiteten Viren in den vergangenen
Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet
Spyware ist aus folgenden
Gründen teuer für Untemehmen:
• Reduzierung der Systemleistung
und-stabilität
• Reduzeirung der Mitarbeiterproduktivität
• Verursachen von Softwarekonflikten
mit anderen Programmen
• Erhöhung der Support-Andforderungen
• Belegung von Netzwerkressourcen
• Erhöhung des Netzwerk-Overheads
• Verringerung der Netzwerkleistung
Privacy. Protection. Peace of mind.
Jahren. Der LoveBug-Virus hat sich per E-Mail mit dem Betreff „I Love
You“ verbreitet. Sein einziger Zweck bestand darin, sich auf weitere EMail-Adressen aus dem Adressbuch zu verbreiten.
Einer der rätselhaftesten Würmer war SQL Slammer. Dieser extrem
kleine Code hat sich per UDP verbreitet. Nachdem er auf einem
anfälligen Rechner installiert wurde, sendete er tausende von Kopien
an zufällig gewählte IP-Adressen. Wenn ein Rechner, auf dem eine
Microsoft SQL Server-Version ohne entsprechendes Patch ausgeführt
wurde, von einem dieser Pakete adressiert wurde, wurde er ebenfalls
infiziert. Der Wurm SQL Slammer wurde am Freitag, den 25. Januar
2002, um Mitternacht auf den Weg gebracht, und sein einziger Zweck
bestand darin, sich selbst zu verbreiten. Eine andere Schadensfunktion
erfüllte der Wurm nicht.
Slammer infizierte 80.000 Rechner in weniger als 10 Minuten. Diese
Rechner erzeugten so viel Datenverkehr, dass das Internet beinahe
vollständig zum Erliegen kam. Das Datenverkehrsaufkommen an
einigen wichtigen Übertragungsleitungen verdoppelte sich und erreichte
nahezu die Kapazitätsgrenzen. Erst gegen Mittag des folgenden Tages
hatte man das Problem in den Griff bekommen. Wenn Slammer z. B. an
einem Montag gegen 1 Uhr mittags Ortszeit an der Ostküste der USA
auf den Weg gebracht worden wäre, hätte der Schaden weitaus größere
Ausmaße annehmen können, wenn die Websites von Finanzmärkten
und e-Commerce-Anbietern ausgefallen wären. Slammer stellte einen
Wendepunkt im Bereich der Internetsicherheit dar. Er verbreitete sich
über höherwertige Ports, die seitdem in den meisten Netzwerken und
sogar von einigen ISPs blockiert sind. Das Blockieren von höherwertigen
Ports ist eine standardmäßige Vorgehensweise, dennoch wurde die
Kommunikation über diese Ports in tausenden von Netzwerken
zugelassen. Nach diesem tragischen Wochenende, wurden die meisten
Firewalls und zahlreiche Router entsprechend neu konfiguriert. Dies
war ebenfalls ein Wendepunkt für Telekommunikationscarrier. Seit
Jahren betrachteten sich ISPs und Anbieter von Datenübertragungsleit
ungen als offene Kanäle. Spam, DOS-Angriffe, Viren und Würmer, die
über ihre Netzwerke gelangten, waren nicht ihr Problem. Ihre Parole
lautete „Die Pakete müssen durchgelangen“. Slammer war ihr Problem,
und sie mussten ihn fernhalten, damit er nicht wieder die Kontrolle
über ihre Netzwerke erlangte. Heute unternehmen Carrier einiges, um
Würmer und DOS-Angriffe zu verhindern, und werben sogar mit ihren
“sicheren Netzwerken” und “sauberen Leitungen”.
Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet
Privacy. Protection. Peace of mind.
Slammer demonstrierte also nicht nur ein in gewisser Hinsicht ethisches
Verhalten des Hackers, der ihn entwickelt und veröffentlicht hat,
sondern verbesserte letztlich die Sicherheit des Internet. Zwar kann
das Verhalten derjenigen, die Würmer und Malware entwickeln, nicht
geduldet werden, SQL Slammer hat aber zumindest ihre Beweggründe
an den Tag gebracht.
Wenden wir uns nun dem Jahr 2004 zu, in dem ein Virenkrieg tobte.
Konkurrierende Interessengruppen verbreiteten Dutzende von
Virenversionen mit folgenden Zielen:
1. Eindringen in AV-Engines
2. Infizieren von Rechnern, die von der konkurrierenden Gruppe
gesteuert wurden
In Netsky und MyDoom waren sogar Nachrichten in gebrochenem
Englisch eingebettet, die die Aktionen der Konkurrenten deklamierten.
Der Zweck beider Varianten war jedoch Bestandteil des neuesten
Trends bei gefährlicher Software, einem Trend mit beängstigenden
Auswirkungen. Diese Viren hatten, ebenso wie ein Großteil der
im Jahr 2004 verbreiteten Malware, einen kriminellen Hintergrund.
Netsky und MyDoom ermöglichten es Hackern, Software auf infizierten
Rechnern zu installieren, durch die die Hacker über Steuerkanäle wie
IRC (Internet Relay Chat) die Kontrolle über diese Rechner erlangten.
Auf diese Weise verwandelten sie Millionen von Rechnern in
“Zombies” (Bots), die angewiesen werden konnten, Netzwerkangriffe
gegen beliebige Ziele zu starten, und so zu den oben beschriebenen
Erpressungsversuchen führten.
2004 stellte sich als das Jahr heraus, in dem sich das Hauptanliegen
für die Entwicklung und Verbreitung von unerwünschter Software von
Spaß, Angeberei oder „Bekämpfung des Bösen“ in Richtung finanzielle
Vorteile (zum Teil rechtmäßig, zum Teil betrügerisch), Unsinn,
Erpressung und Diebstahl verlagerte.
Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet
Spyware kann Hackem
neue Möglichkeiten des
Beispiel: Ein Endbenutzer hat Gator
auf seinem System installiert. Gator
verfügt über einen offenen Port, der
ihm die Kommunikation mit dem
Masterserver ermöglicht. Ein Hacker
könnte ohne weiteres einen
Pufferüberlaufangriff dazu nutzen,
um über Gator auf den
Computer zuzugreifen.
Privacy. Protection. Peace of mind.
Das Bedrohungschaos-Modell
In dem hier vorgestellten Modell wird versucht, das Ausmaß der
Bedrohungen strukturiert darzustellen, um chaotische Interpretationen
zu vermeiden.
Das Bedrohungsmodell weist drei Achsen auf. Die erste Achse
repräsentiert die Schwachstellen.
Obwohl in den vergangenen Jahren tausende von Schwachstellen in
hunderten von Anwendungen und allen großen Betriebssystemen
bekannt geworden sind, haben in der Regel nur Schwachstellen in weit
verbreiteten Systemen große, weltweite Auswirkungen. Hacker nutzen
höchstwahrscheinlich vorwiegend Schachstellen in Windows, Internet
Explorer, Exchange, Outlook oder Cisco-Routingplattformen aus, um
kommerzielle Vorteile zu erlangen. All diese kritischen Schwachstellen
werden auf der ersten Achse angeordnet.
Selbstverständlich nimmt die mit diesen Schwachstellen verbundene
Gefahr ab, sobald ein Patch verfügbar ist. Das bedeutet, dass die Anzahl
anfälliger Rechner mit Bereitstellung des Patches abnimmt. Allerdings
fällt sie niemals auf null. Führen Sie sich in diesem Zusammenhang
die Anzahl der SQL Slammer-Pakete oder der Nimda- und Code RedViren vor Augen, die immer durch das Internet schwirrt. Beispiele für
diese Schwachstellen sind folgende: der Unicode Traversal-Fehler in
Microsoft IIS, der zu Code Red und Nimda führte. Der Byte VerifyFehler in Microsoft Internet Explorer, der von vielen SpywareProgrammen ausgenutzt wurde. Die Schwachstelle in Microsoft SQL
Server, den sich SQL Slammer zunutze machte. Die Cisco-IOS-TCPund SNMP-Schwachstellen, die zu DOS-Angriffen gegen RoutingInfrastruktur führen konnte.
Die zweite Achse repräsentiert die Vektoren, d. h. alle Arten der
Kommunikation, die Malware verwenden kann, um einen Rechner zu
infizieren. Hierzu gehören Disketten, Flash Memory Sticks, E-Mails,
Webbrowser, FTP, Peer-2-Peer-Dateifreigaben, Netbui, UDP, Instant
Messaging, Wi-Fi sowie eine, die noch nicht verwendet wurde: RSSNachrichten in Echtzeit.
Die dritte Achse repräsentiert schädliche Handlungen. Während die
anderen beiden Achsen relativ leicht mit vollständigen Listen bekannter
Schwachstellen und Kommunikationskanäle gefüllt werden können,
erfordert diese Achse Extrapolation und hellseherische Fähigkeiten,
Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet
Privacy. Protection. Peace of mind.
um alle möglichen Aktionen zu erahnen, die sich Internetkriminelle
ausdenken können. Für den Anfang könnte die Liste schädlicher
Handlungen wie folgt aussehen:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Verbreitung
Datendiebstahl
Identitätsdiebstahl
Browser-Hijacking
Suchanfragen-Hijacking
HOSTS-Dateiüberschreibung
Systemabsturz (Ping of Death)
Dateizerstörung
Hardwarezerstörung (bis heute nur in der Theorie)
Fernsteuerung von PCs
Diebstahl von CPU-Zyklen (beispielsweise zum Knacken
von Verschlüsselungsschlüsseln)
Popup-Werbung
Phishing
Netzwerkausfall
Netzwerkumleitung
Bei diesem Bedrohungsmodell wird davon ausgegangen, dass jede
Bedrohung, d. h. sowohl vergangene als auch neu entstehende, eine
Kombination aus diesen drei Aspekten ist: Schwachstellen, Vektoren
und Handlungen. Hier einige Beispiele:
MyDoomXX:
Schwachstellen:
Dateien werden in Windows Outlook automatisch ausgeführt
Vektoren:
E-Mail Beabsichtigte Handlung: Bots für DOS-Angriffe verwenden
Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet
Spyware im Unternehmen
Auf zahlreichen Rechnern bei Valve
Software wurden Keylogger installiert,
die ein Sicherheitsloch erzeugten, durch
das Informationen gesammelt und große
Teile des Quellcodes für Half Life 2
gestohlen wurden. Durch dieses
Eindringen verzögerte sich letztendlich
die Veröffentlichung eines der am meisten
erwarteten Spiele um mindestens sechs
Monate. Diese Verzögerung hat nicht
nur die Einnahmen für den Entwickler,
Vertreiber, andere Lizenzgeber,
Einzelhändler usw. geschmälert,
sondern auch zur Verbreitung
unbefugter Kopien auf der ganzen
Welt geführt.
JuJu Jioang konnte Keylogger auf
Rechnern in mindestens 15 KinkoʼsFilialen in New York installieren, mit
denen er Benutzerinformationen wie
Benutzernamen und Kennwörter
sammelte. Schließlich verschaffte er sich
mit diesen Daten Zugriff auf vorhandene
Bankkonten und öffnete neue
Kreditlinien, der mehr als 450
Personen zum Opfer fielen.
Privacy. Protection. Peace of mind.
Nimda:
Schwachstellen:
Unicode Traversal in MS IIS
Dateiausführung in Outlook
Hintertür durch Code Red
Vektoren:
Netzwerk über Port 80
E-Mails
Browsing
Offene Dateifreigaben
Beabsichtigte Handlung:
Verbreitung
FunnerA.32:
Schwachstelle:
Benutzerberechtigung
Vektoren:
IM
Beabsichtigte Handlung:
Host-Datei mit chinesischen Domänen füllen
Beachten Sie, dass Nimda drei verschiedene Schwachstellen und vier
verschiedene Vektoren für seine Verbreitung nutzte, was der Grund
dafür ist, dass bisher kein anderer Wurm schwieriger in den Griff zu
bekommen war.
Dieses dreidimensionale Bedrohungsmodell lässt einige Erkenntnisse
zu. Zunächst wird Malware auf jede Kombination aus Schwachstellen,
Vektoren und Handlungen untersucht. Es müssen genügend Entwickler
von Malware vorhanden sein, die neue, ungeschützte Angriffswege
suchen, um diesen Raum vollständig zu erforschen. Die MalwarePioniere heutzutage entwickeln Spyware- und Phishing-Angriffe.
Sie profitieren unmittelbar, indem sie sich durch angegliederte Sites
durchklicken oder Kontennamen, -kennwörter und -nummern sammeln.
Das Webroot Threat Research Center findet und veröffentlicht jede
Woche mehr als 20 neue Spyware-Varianten sowie 80 Varianten
vorhandener Spyware. Diese Entdeckungsgeschwindigkeit nähert
Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet
Privacy. Protection. Peace of mind.
sich der Geschwindigkeit, mit der Virusvarianten entdeckt werden.
Eine weitere Erkenntnis ist jedoch, dass diese Viren größtenteils nicht
mehr der einfachen Verbreitung dienen, sondern Bots abrufen oder
Schadensfunktionen von Spyware verbreiten.
In die vierte Dimension
Beachten Sie, dass Spyware und ähnliche Programme aufgrund ihrer
Zielsetzung einem vollständigen Bedrohungsmodell eine vierte
Dimension abverlangen: das Ausmaß, in dem ein „Spion“ die Erkennung
und Entfernung verhindert. Entwickler von Spyware, Adware und
anderer potenziell unerwünschter Programme profitieren nur, solange
sich ein Programm auf einem PC befindet. Wenn es entdeckt und
entfernt wird, kann es weniger nutzen, als wenn es unbemerkt bleibt
und nicht entfernt werden kann. Daher können Spyware und andere
potenziell unerwünschte Programme mit willkürlichen Dateinamen und
Registrierungsschlüsseln, zufälligem Code (um keine Fingerabdrücke
zu hinterlassen) und in mehreren, sogar Dutzenden Stellen installiert
werden. Dabei kann spezieller Überwachungscode installiert werden,
der das Entfernen aus Startverzeichnissen erkennt und das Programm
mit einem höheren Zufallsfaktor erneut installiert. Die neuesten
Spyware-Programme ändern die Sicherheitseinstellungen in Windows
und ersetzen wichtige DLL-Dateien von Microsoft, sodass es nahezu
unmöglich ist, sie zu entfernen.
Wenn diese vierte Dimension in ein Bedrohungsmodell integriert wird,
könnten damit besonders schädliche Softwareprogramme identifiziert
und gezielte Schutzmaßnahmen ergriffen werden. Änderungen am
Betriebssystem und den Standardeinstellungen könnten entwickelt
werden, um die Effektivität und damit die Kosten der härtnäckigsten
Programme zu reduzieren.
Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet
Privacy. Protection. Peace of mind.
Zusammenfassung
Angesichts der Fülle unterschiedlicher Bezeichnungen und Bedrohungen
herrscht Verwirrung. Ein Modell, das diese nach Handlung, Vektor
und Schwachstelle kategorisiert, ermöglicht es, diesen Bedrohungen
in Zukunft entgegenzutreten und sich auf die gefährlichsten zu
konzentrieren. Bei sorgfältiger Abwägung neuer Absichten sollte
es möglich sein, neue Bedrohungen durch Kombination dieser
schädlichen Absichten mit vorhandenen Schwachstellen und Vektoren
vorherzusagen. Der Wurm SDBot, dessen Schadensfunktion aus einem
Netzwerkspionageprogramm bestand, hätte beispielsweise vorhergesagt
werden können.
Da die mit Malware verfolgten Absichten sich von der reinen Verbreitung
in Richtung Verbreitung und finanziellem Nutzen verlagern, wird die
Anzahl der Bedrohungen um ein Vielfaches der bisher bekannten
Geschwindigkeiten zunehmen. Jeder Internetkriminelle (bzw. jede
Gang) muss schließlich eigene Programme für diese Art Einkünfte
entwickeln.
Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet