iM rEich DEr MittE DiE BedRohungsvielfalt
Transcrição
iM rEich DEr MittE DiE BedRohungsvielfalt
10 gtr | Februar 2008 CHINA: Die Bedrohungsvielfalt im Reich der Mitte Von Geok Meng Ong und Yichong Lin gtr | Februar 2008 N ur wenige Ereignisse ändern die weltweite politische und wirtschaftliche Landschaft so sehr wie der rasante Aufstieg Chinas zu einer Großmacht. Im Jahr 2006 wuchs das Bruttoinlandsprodukt (BIP) Chinas um 10,7 Prozent und damit so stark, wie seit elf Jahren nicht mehr. Dies geschah übrigens nur ein Jahr, nachdem China an Großbritannien als viertgrößter Wirtschaft der Welt vorbeigezogen war. In dieser Phase gewaltigen Wachstums und Wandels verändert sich in China auch die Vielfalt der Bedrohungen aus dem Internet. Warum ist diese Zunahme bei Malware zu beobachten, die aus China stammt und dorthin gelangt? Rasantes Internetwachstum Virtuelle Waren Im Jahr 2007 waren 12 Prozent der chinesischen Bevölkerung online – dies sind 37 Prozent aller Internetbenutzer Asiens bzw. 137 Millionen Menschen. Dr. Charles Zhang, Chairman und CEO des chinesischen Internetportals Sohu.com, gibt seine Einschätzung zur Bedeutung dieser Zahlen ab. Die chinesischen Internetbenutzer verbringen laut Zhang jede Woche fast zwei Milliarden Stunden online, also 15 Mal mehr Zeit als amerikanische Internetbenutzer. Dieses Phänomen führt er auf die fehlende Pressefreiheit in den herkömmlichen Medien Chinas zurück. Im September 2006 verabschiedete der chinesische Gesetzgeber einen neuen Erlass, der regelt, dass alle ausländischen Nachrichtenagenturen ihre Informationen nur noch über die staatliche Nachrichtenagentur Xinhua veröffentlichen dürfen. Mit einer effektiven Wachstumsrate von 509 Prozent ist die Anzahl der Internetbenutzer in China in den letzten fünf Jahren sprunghaft angestiegen. Zum Vergleich: Im gleichen Zeitraum betrug das effektive Wachstum weltweit 200 Prozent, in den USA belief es sich auf 121 Prozent. Real Money Trade (RMT) ist ein Konzept, bei dem virtuelles Gold oder virtuelle Waren aus Computerspielen mit echtem Geld gehandelt werden. Bei Online-Spielern wird es von Tag zu Tag populärer. Da sich Online-Spiele in China so großer Beliebtheit erfreuen, wurde auch RMT vom dortigen Markt sofort angenommen. Schätzungen von Branchenbeobachtern zufolge verbirgt sich darin ein Potenzial von bis zu 900 Millionen US-Dollar. Eine schnelle Suche nach den chinesischen Schlüsselwörtern „Gold“ und „World of Warcraft“ in Chinas größtem Auktionsportal, Taobao.com, lieferte 32.891 Treffer. Für „Power Leveling Service“ und „World of Warcraft“ wurden 19.982 Ergebnisse gefunden. Boom bei lokalen Internetanwendungen Im Zeitalter des Internetbooms steigt der Bedarf an lokalisierten Internetinhalten, weil die Internetbenutzer zu immer mehr Inhalten Zugang erhalten möchten. Zu den Verkäufern zählen professionelle Computerspieler in „virtuellen Sweatshops“, so genannte „Gaming Worker“ oder „Goldfarmer“, die Tag und Nacht Online-Spiele spielen, um virtuelle Währung, Waren oder Zauberkräfte aufzubauen. In jeder Goldfarm können Hunderte von jungen Arbeitern beschäftigt sein, die jeweils bis zu 250 US-Dollar pro Monat verdienen. Laut Schätzungen bedienen über 100.000 solcher Spieler in China die Nachfrage nach virtuellen Waren im In- und Ausland. Online-Spiele Ein Viertel aller chinesischen Internetbenutzer spielt Online-Spiele, und im April 2007 waren 33 Prozent der Spieler 19 bis 22 Jahre alt. Die Begeisterung für Online-Spiele hat inzwischen ganz China ergriffen, und das so stark, dass die chinesische Regierung ein einzigartiges Regulierungssystem gegen Spielsucht („Game Fatigue Regulation“) eingeführt hat: Seitdem dürfen Minderjährige pro Tag nur noch höchstens drei Stunden mit einem Online-Spiel verbringen – überschreiten sie dieses Zeitlimit, verlieren sie jedes Mal „Erfahrungspunkte“ im Spiel. Wer an einem Tag länger als fünf Stunden spielt, verliert alle Punkte. Heutzutage gibt es 31 Millionen Spieler. In diesem Markt hat das Geschäft mit Online-Spielen daher eine neue Bedeutung. „China Surpasses U.S. In Internet Use“ (Internetnutzung: China überflügelt die Vereinigten Staaten). Forbes.com. http://www.forbes.com/2006/03/31/china-internet-usage-cx_nwp_0403china.html „Handhabung der Veröffentlichung von Nachrichten und Informationen durch ausländische Nachrichtenagenturen in China“ (in chinesischer Sprache), Xinhua. http://news.xinhuanet.com/politics/2006-09/10/content_5072446.htm Copyright © 2008 McAfee, Inc. Die Begeisterung für OnlineSpiele greift so stark um sich, dass die chinesische Regierung ein einzigartiges Regulierungssystem gegen Spielsucht eingeführt hat. „Ogre to Slay? Outsource It to Chinese“ (Wie man Monster durch Outsourcing in China erlegen lässt). The New York Times. http://www.nytimes.com/2005/12/09/technology/ 09gaming.html?ex=1291784400&en=a723d0f8592dff2e&ei=5090 11 12 gtr | Februar 2008 Instant Messaging Malware-Aktivitäten in China Der Handel von virtuellen Werten mit realem Geld (RTM) ist nicht auf Online-Spiele allein beschränkt. In China steht Instant Messaging (IM) für mehr als die sofortige Nachrichtenübermittlung, die der Begriff impliziert. Über reines Instant Messaging hinaus hat sich eine Plattform entwickelt, auf der Telefondienste, Unterhaltung, E-Mails, Spiele und Remoteunterstützung angeboten werden. Um bei chinesischen Internetbenutzern das Interesse an virtueller Unterhaltung zu wecken und den Vertrieb in diesem Bereich anzukurbeln, verkauft die Firma Tencent auf der Straße eine virtuelle QQ-Münze für 1 Yuan (etwa 0,13 US-Dollar). Da bei der Einführung der QQ-„Währung“ nur wenige Einschränkungen bestanden, wurde sie auf Schwarzmärkten in echter Währung gehandelt – und öffnete so Tür und Tor für Geldwäsche. Hierdurch wurde der RMT von QQ-Konten und -Währung zu einem einträglichen Geschäft. Selbst in Online-Kasinos und auf PornoWebsites werden QQ-Münzen gehandelt. In Anbetracht des erheblichen Missbrauchs der QQ-Währung sind die chinesischen Behörden alarmiert. Wir haben erfahren, wie sich der Handel mit virtuellen Waren zu einem viele Millionen Dollar schweren Geschäft entwickelt hat, und dabei gesehen, dass geschäftstüchtige Goldfarmer ihre Gewinne mit günstigen Arbeitskräften steigern. Da überrascht es nicht, dass diejenigen mit Zugang zu technischem Know-how Malware einsetzen, um ihre Ziele in größerem Stil und schneller zu erreichen. Wie sich herausgestellt hat, handelt es sich bei der von chinesischen Domänen stammenden Malware größtenteils um Software für den Kennwortdiebstahl. Derartige Kennwortdiebstahl-Programme zielten zunächst zwar nur auf die Hauptplattformen – QQ, World of Warcraft und Lineage – ab, sie erreichen heute aber jedes mögliche Ziel von RMT. Verteilung der HÄUFIGSTEN MALWARE 2006 und 2007 100 % 80 % 51,8 % 39,3 % 60 % Laut einer Umfrage der chinesischen Medien waren 70 Prozent der Benutzer bereits einmal von einem QQ-Kontendiebstahl betroffen. Tencent, Eigentümer des QQ-Netzwerks, hat diese wachsenden Bedrohungen erkannt und bietet auf der eigenen Website kostenlose Sicherheitsschulungen und -dienste an. Yahoo Messenger 2,1 % Verbreitung von IM in CHINA 40 % 20 % 0% 51,2 % 40,5 % 7,7 % 9,5 % 2006 2007 n Gray Pigeon-Backdoor- n Kennwortdiebe für Spiele, IM Trojaner n Würmer und DateiInfektionen Abbildung 2: Im letzten Jahr war im chinesischen Markt eine starke Zunahme an Kennwortdiebstahl-Software zu verzeichnen. Skype 7,5 % Taobao Wang Wang 29.1 % MSN 31,7 % QQ 96,1 % Abbildung 1: Im Jahr 2007 dominierte Tencent QQ den chinesischen Internet-Messaging-Markt. McAfee® Avert® Labs eine wachsende Bedrohung durch Kennwortdiebstahl-Software für Spiele. Dieser Trend hatte seinen Höhepunkt im Oktober 2006, und er setzt sich offensichtlich auch 2007 fort. Handelte es sich bei der Malware der ersten Generation in diesem Bereich noch um Trojaner wie PWS-QQPass, PWS-WoW und PWS-Lineage, so sind wir heute mit „pikanten Mischungen“ wie PWS-OnLineGames und PWS-MMORPG konfrontiert, die auf viele Online-Spiele und -Communitys abzielen. Würmer wie W32/Fujacks, die mehrere Verbreitungsstrategien haben, und Sicherheitslücken im Web eröffnen immer mehr Möglichkeiten für strafbare Handlungen. Anonyme Zahlungsformen Zusätzlichen Spielraum für Geldwäsche und RMT ermöglicht die Tatsache, dass die meisten Menschen in China weder eine Kreditkarte noch einen PC besitzen, über die sie Online-Zahlungen tätigen könnten. Viele Chinesen gehen in Internetcafés, und nicht nur dort, sondern auch in Online-Shops und -Spielcentern sind so genannte Prepaid Game Cards die bevorzugte Zahlungsmethode. Da keine Registrierung erforderlich ist, sind diese Prepaid-Karten praktisch anonym. Es gibt immer wieder Fälle, in denen CyberDiebe die Prepaid-Karten über gestohlene Online-Bankkonten oder Kreditkartennummern kaufen und sie dann online wieder verkaufen. Cyber-Kriminelle sind zum Diebstahl von Prepaid-Kartennummern auch schon in Prepaid-Kartennetze eingedrungen. Wegen der Anonymität und der großen Verbreitung von Prepaid-Karten ist es für die Strafverfolgungsbehörden schwieriger geworden, nicht autorisierte Transaktionen und Cyber-Kriminalität aufzuspüren. „Tencent führt QQ-Sicherheitskarte ein“ (in chinesischer Sprache), Sohu.com. http://digi.it.sohu.com/20070906/n251998008.shtml „Tencent und die Sicherheit“ (in chinesischer Sprache), Tencent. http://safe.qq.com/ „QQ baut seine Marktführerschaft 2007 weiter aus“, „Taobao Wangwang holt im ersten Quartal gegenüber MSN auf“ (in chinesischer Sprache), iResearch. http://www.iresearchgroup.com.cn/Consulting/instant_messenger/DetailNews.asp?id=65222 Copyright © 2008 McAfee, Inc. Cyber-Kriminelle sind nicht zwangsläufig ausgezeichnete Hacker. Sie richten sich ganz klassisch nach Angebot und Nachfrage. gtr | Februar 2008 Organisiertes Verbrechen Die Zunahme bei chinesischer Malware wird durch eine riesige Internet-Community und den RMT-Markt noch gefördert. Erhebliche Gewinne ebnen den Weg für immer intelligentere und umfassendere Exploits. Das chinesische Reaktionsteam für Computernotfälle (Computer Emergency Response Team, CNCERT) führte in seinem Halbjahresbericht an, dass chinesische Websites in wachsendem Maße für Phishing und die Hinterlegung von böswilligem Code missbraucht werden. Allein die hier verzeichnete Zunahme übersteigt schon die Gesamtzahl für 2006. Im Jahr 2007 ermittelte McAfee SiteAdvisor™, dass sich auf 0,2 Prozent aller in China registrierten Websites Exploits befanden. Dies ist mehr als das Doppelte des weltweiten Durchschnitts. Hierbei sind Websites mit den Domänen „.org.cn“, „.gov.cn“, „.com.cn“, „.net.cn“ und anderen Domänen gleichermaßen betroffen. Viele davon sind vermutlich sogar seriöse Websites, die von Kriminellen zur Unterbringung von böswilligem Code missbraucht werden, sodass unachtsame Benutzer beim Surfen auf den vermeintlich „sauberen“ Websites riskieren, dass ihr System infiziert wird. Noch alarmierender ist das häufige Vorkommen von Zero-Day-Exploits wie Exploit-AniFile.c. Als Katalysatoren für eine weite Verbreitung fungieren hierbei Würmer wie W32/Fujacks, die Dateien infizieren, und Bedrohungen durch Man-in-the-MiddleAngriffe oder Infektionen über ARP (Address Resolution Protocol), wie im Falle von NetSniff. Abbildung 3: Das HackerÖkosystem in China Cyber-Kriminelle sind nicht zwangsläufig ausgezeichnete Hacker. Sie richten sich ganz klassisch nach Angebot und Nachfrage. Im Februar 2007 meldete Xinhua, dass eine Gruppe von 50 Händlern in der Provinz Zhejiang dabei half, von Li Jun (dem Autor von W32/Fujacks) und seinen Komplizen gestohlene Benutzerkonten und virtuelle Waren zu verkaufen. Dem Bericht zufolge waren sie auch Teil eines Syndikats, das in betrügerischer Absicht Phishing-Aktivitäten ausübte und Adware veröffentlichte. Keiner der Händler war Computerexperte; einer arbeitete sogar als Chef in einem Restaurant. In einer Kette organisierter Cyber-Kriminalität arbeiten verschiedene Tools und Rollen gewöhnlich Hand in Hand. Exploits zielen auf noch nicht behobene Schwachstellen ab, um Eindringlingen ein Schlupfloch zu öffnen. Bots und Backdoors sorgen für Steuerungsmöglichkeiten, und Software für den Kennwortdiebstahl sowie Spyware sammeln vertrauliche oder profitträchtige Daten. BackDoor-AWQ.b – oder „Gray Pigeon“, wie der Backdoor-Trojaner von seinen Autoren genannt wird – wird seit 2003 auf der Website als „Remoteverwaltungstool“ kommerziell vermarktet. Ein Jahresabonnement kostet 100 Yuan (13 US-Dollar). Die Benutzer erhalten aktualisierte Versionen mit erweiterten Merkmalen wie Rootkits, verteilte Steuerung oder Keylogging. Die Website wurde von ihren Inhabern im März 2007 nach der Verhaftung der W32/ Fujacks-Autoren deaktiviert. Sicherheitsanalytiker befürchten nun, dass diese Gruppe ihre Aktivitäten in den Untergrund verlagern könnte, wodurch ihre Überwachung noch schwieriger würde. Würmer/Viren Botnet Was: –Verbreitung über E-Mail, IM, File Sharing, USB-Laufwerke usw. –Oder Ausnutzung von Schwachstellen Wer: –Angreifer –Wurm-/Virenautoren Was: –DDoS –Spam/Phishing Wer: –Angreifer –Botnet-Autoren –Spammer Angreifer Hacking Was: –SQL-Injektion –Anwendungs schwachstellen –Zero-Day- Schwachstellen Wer: –Angreifer –Autoren von Hacker- Tools –Schwachstellenforscher Missbrauch über das Web Was: –Einbringung von böswilligem Code in Webseiten –Injektion von Rootkits Wer: –Backdoor-/Rootkit- Autoren –Angreifer Informationen Erlangung vertraulicher Informationen Was: –Online-Banking – Online-Handel – Online-Zahlungen – QQ-Konto – Spielkonto Wer: –Angreifer Was: –Quellcode –Commercial-Intelligence-Informationen –Server für Online-Spiele/Datenbankserver Wer: –Angreifer Geldwäsche Was: –Virtuelle Währung – Prepaid Game Cards –Schwarzmarkt Wer: –Angreifer –Händler $$$ 13 14 gtr | Februar 2008 Talentpool und Arbeitslosigkeit Allein in Peking belief sich die Anzahl der Hochschulabsolventen im Jahr 2007 auf fast 200.000 – und damit auf mehr als je zuvor. Nur 43 Prozent davon können jedoch damit rechnen, Arbeit zu finden. In ländlichen Gebieten stellt sich die Beschäftigungssituation unter Umständen noch schlechter dar. Viele der „Goldfarmer“ stammen aus den ländlichen Regionen und Vorstädten Chinas. Sie arbeiten in 12-Stunden-Schichten für einen Monatslohn von rund 250 US-Dollar, was in den ärmsten Teilen des Landes eine recht gute Bezahlung ist. Nach seinem Abschluss an einer Computerschule im Jahr 2005 gelang es dem 25-jährigen Li Jun nicht, eine Arbeit zu finden. In dieser Situation benötigte er dringend Geld. Und er besaß die Fähigkeit, Malware zu schreiben. Diese Faktoren trugen dazu bei, dass er neben dem nun so berüchtigten Wurm W32/Fujacks. worm auch W32/QQPass.worm sowie W32/Lewor schrieb und veröffentlichte. Er verkaufte den Quellcode von W32/Fujacks an über 120 Interessenten und erzielte damit einen Gewinn von über 13.000 US-Dollar – in einer Stadt, in der das jährliche Pro-Kopf-Einkommen bei etwa 3.000 US-Dollar liegt. Es könnte gut sein, dass Li Jun kein Einzelfall bleibt, weil sich viele junge Menschen in China in einer ganz ähnlichen Situation befinden. Hackbase.com ist eine der größten „Hacker“-Schulungswebsites in China. Laut eigenen Angaben hat sie über 10.000 Mitglieder. Auf der Schwesterwebsite Hackerbase.net werden explizit Hacking-Dienste gegen Bezahlung angeboten. Richtlinien der Regierung Im September 2007 wurde Li Jun von einem chinesischen Gericht zu vier Jahren Haft verurteilt. Wird dies andere Malware-Autoren von Cyber-Kriminalität abhalten? Während der Verhandlung legte der Anwalt von Li Jun ein Schreiben von einer IT-Firma in Hangzhou vor, in dem Li Jun die Stelle des Technischen Direktors angeboten wurde. Er behauptete, es lägen zehn weitere Angebote von verschiedenen Firmen vor, die Li Jun ein Jahresgehalt von 1 Million Yuan (133.000 US-Dollar) zahlen würden. Nach der Festnahme Li Juns und seiner Komplizen Anfang 2007 ist die Verbreitung von Würmern in China nicht zurückgegangen. Hier half auch nicht die Tatsache, dass der Quellcode von W32/Fujacks verkauft wurde. 300 % WACHSTUM DER HÄUFIGSTEN MALWARE von 2006 zu 2007 250 % 200 % 150 % ICBC, die größte staatseigene Handelsbank, meldete ein E-Banking-Transaktionsvolumen, das allein im ersten Quartal 2005 die 170-Milliarden-Yuan-Marke (22,6 Milliarden US-Dollar) erreichte. Im Jahr 2000 belief sich das Volumen noch auf lediglich 15,4 Milliarden Yuan (2 Milliarden US-Dollar). Die chinesische Bankregulierungsbehörde (CBRC) gab im Jahr 2005 bekannt, dass die im Jahr 2000 verabschiedeten Richtlinien nicht ausreichten, um die Handhabung und Überwachung der zusätzlichen Risiken im Zusammenhang mit Internet-Banking zu regeln. Analytikern zufolge hat die Beliebtheit der QQ-Währung einen Punkt erreicht, an dem der Yuan an Wert zu verlieren droht. Die CBRC führte daher im Jahr 2006 neue Kriterien zur Bewertung von E-Banking-Geschäften und relevanten Sicherheitsmaßnahmen („E-Banking Business and Relevant Security Evaluation“) ein, um den neuen Risiken in der virtuellen Welt zu begegnen. Seit fünf Jahren ist die QQ-Währung nun verfügbar. Nachdem es wegen Missbrauchs und Geldwäsche Bedenken gab, haben die chinesischen Behörden schließlich Beschränkungen für den Umlauf dieser Währung angeordnet. Analytikern zufolge hat die Beliebtheit der QQ-Währung einen Punkt erreicht, an dem der Yuan an Wert zu verlieren droht. Was bringt die Zukunft? Wir haben gesehen, wie die chinesische Bedrohungsvielfalt durch die einzigartigen Ausprägungen lokaler Kultur sowie durch politische und wirtschaftliche Aspekte beeinflusst wurde. Auf dem Höhepunkt des Wachstums und der Veränderungen in China können Richtlinien und Kontrollen noch nicht mit dem Tempo der Entwicklung mithalten. Die Popularität des Internets, die weit verbreitete Arbeitslosigkeit und der große Talentpool sind für viele Grund genug, als Malware-Autoren ihr Glück zu versuchen. Die aktuellen Bedingungen haben diese Hacker dazu gebracht, sich für Geld als Cyber-Kriminelle zu verdingen. 100 % 50 % Positiv ist: Die jüngste Verurteilung 0% n Gray Pigeon-Backdoor- n Kennwortdiebe für Spiele, IM Trojaner n Würmer und DateiInfektionen Abbildung 4: Software für Kennwortdiebstahl verzeichnet höhere Wachstumsraten als andere Malware. Wurde China von den jüngsten Veränderungen „kalt erwischt“? Zumindest im Bereich der Internetsicherheit lässt sich sagen, dass die Technologie so schnell angenommen wurde, dass Regierungsrichtlinien, Unternehmen und die traditionelle Kultur derzeit noch erheblich hinterherhinken. Copyright © 2008 McAfee, Inc. von Cyber-Kriminellen wie Li Jun zeigt, dass der chinesische Gesetzgeber die Cyber-Kriminalität ernst nimmt. China Banking Regulatory Commission – Fragen und Antworten (in chinesischer Sprache). http://www.cbrc.gov.cn/chinese/home/jsp/docView.jsp?docID=2243 gtr | Februar 2008 Positiv ist: Die jüngste Verurteilung von Cyber-Kriminellen wie Li Jun zeigt, dass der chinesische Gesetzgeber die Cyber-Kriminalität ernst nimmt. Die Auswirkung lokaler Cyber-Bedrohungen hat die Entwicklung von Regierungsrichtlinien und lokalen Anwendungen beschleunigt, um neue Maßnahmen zur Verhinderung von CyberKriminalität einzuführen. Die einzige Möglichkeit zur Gewährleistung eines kontinuierlichen Wachstums dieses Marktes liegt darin, die erforderlichen Sicherheitsmaßnahmen zu entwickeln, um die Benutzer zu schützen. Geok Meng Ong leitet für McAfee Avert Labs ein Team von Sicherheitsforschern für den asiatischpazifischen Raum und Japan. Er entdeckte zufällig die dunkle Seite der CyberWelt, die sein Engagement für die Sicherheitsforschung beflügelte. Er kam im Geiste des Singapurer Kiasuismus und mit dem ehrgeizigen Ziel zu McAfee, auf dem Weg zu Sicherheit auf Weltklasseniveau erfolgreich zu sein. Ong ist als Forscher selbst in der Praxis engagiert und konzentriert sich dabei auf die Erforschung von Malware-Heuristik und Schwachstellen. Er wird wegen seiner Analysen neuer Malware-Trends und -Exploits, die in dieser Region vorherrschen, oft in den Medien zitiert. Yichong Lin ist Sicherheitsforscher bei McAfee Avert Labs. Er befasst sich vor allem mit Intrusion-DetectionTechnologie und der Erforschung von Schwachstellen. Beide Autoren untersuchen und beobachten den chinesischen Sicherheitsmarkt schon seit vielen Jahren. „Die Rechenleidenschaft von Menschen, die davon überzeugt sind, dass sie das Geld, die Zeit und die Leistung erhalten müssen, die sie wert sind (je mehr, desto besser!)“, freie Übersetzung der (englischsprachigen) Definition auf der Site Urban Dictionary. http://www.urbandictionary.com/define.php?term=kiasuism 15