File
Transcrição
File
Privacy. Protection. Peace of mind. White Paper Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet von Richard Stiennon Privacy. Protection. Peace of mind. Index: Kurzübersicht . . . 1 Hauptkategorien von Online-Bedrohungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Denial-of-Service- und Distributed-Denial-of-Service-Angri≠e . . . . . . . . . . . . . . . . . . . . 5 Hackerangri≠e . . 6 Die Motivation hinter der Entwicklung von Bedrohungen . . . . . . . . . . . . . . . . . . . . . . . 6 Das Bedrohungschaos-Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 In die vierte Dimension Privacy. Protection. Peace of mind. Kurzübersicht Warum werden wir ständig mit neuen Viren, Würmern, Spyware, Adware, Hackerangriffen und anderen potenziell unerwünschten Programmen bombardiert? Warum herrscht so viel Verunsicherung hinsichtlich der Bezeichnung dieser verschiedenen Installationen? Warum bieten Firewalls und Antivirenprogramme für diese Bedrohungen keinen ausreichenden Schutz? Was ist ein Bedrohungsmodell, und wie kann es sinnvoll eingesetzt werden? Diese Fragen werden in dem vorliegenden Dokument aufgegriffen. Darüber hinaus enthält es einen Vorschlag für ein Bedrohungsmodell, um Klarheit in Bezug auf die verwirrende Begriffsverwendung zu schaffen. Eine kürzlich durchgeführt Studie von Gartner G2 hat ergeben, dass mehr als 20 Millionen Computer mit Spyware infiziert sind. Hauptkategorien von Online-Bedrohungen Viren sind Code, der sich selbständig verbreitet und von einer Anwendung auf eine andere übertragen wird. Heutzutage sind häufig Aktionen des Benutzers erforderlich, um einen Computer mit einem Virus zu infizieren und diesen zu verbreiten. Gelegentlich ermöglicht es eine neue Schwachstelle in Microsoft Exchange oder Internet Explorer, dass der Code automatisch ohne Benutzerintervention ausgeführt wird. Da sich ein neuer Virus praktisch ungehindert über das Internet verbreiten kann, sind Schäden vorprogrammiert. Die meisten im Umlauf befindlichen Viren verleiten den Benutzer dazu, eine E-Mail zu öffnen oder auf einen Hyperlink zu klicken. Da Spammer diese Replizierungsmethoden perfektionieren und Programmierer von Virenprogrammen sowie Phisher ihre Vorgehensweise anpassen, erleben wir eine fortwährende Verbreitung moderner Viren wie Netsky und Mydoom (von denen mittlerweile die 35. bzw. 34. Variante vorliegt). Würmer sind Code, der sich selbständig verbreitet und von einem Dienst auf einen anderen übertragen wird. Das Eindringen von Würmern steht in direktem Zusammenhang mit der Entwicklung der Netzwerksicherheit im Laufe der letzten dreieinhalb Jahre. Bis 2001 wurde die Netzwerksicherheit in Form von Firewalls, Antivirenprogrammen und IDS-Systemen (Intrusion Detection Systems) gewährleistet. Im Sommer 2001 hat ein Wurm namens Code Red (das koffeinhaltige Getränk, das die ursprünglichen Entdecker zu der Zeit tranken) eine bekannte Schwachstelle (Patch verfügbar) im WebserverProdukt von Microsoft (IIS) ausgenutzt. Code Red verbreitete sich über Port 80 von einem Webserver zum nächsten, ohne von Firewalls erkannt zu werden. Da keine Signatur dafür vorlag, konnten die IDS-Systeme den Wurm nicht identifizieren. Allerdings erkannten Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet Ein Drittel der Unternehmen in Europa ist mit Spyware infiziert. – EIT-Umfrage 2003 Das FBI hat Spyware eingesetzt, um ein Computerkennwort des inhaftierten Bandenchefs Nicodemo “Little Nicky” Scarfo in Erfahrung zu bringen. Privacy. Protection. Peace of mind. sie das enorme Datenverkehrsaufkommen und gaben entsprechende Warnungen aus, wodurch der Netzwerkverkehr allerdings weiter zunahm, als die Netzwerke schon überlastet waren. Antivirensysteme suchen nach Infektionen in Dateisystemen und benötigen Signaturen oder Definitionen, deren Entwicklung und Bereitstellung im günstigsten Fall einige Stunden dauern kann. Diese Reaktionszeit ist bei weitem zu langsam, um die massenhafte Verbreitung von Würmern einzudämmen. Code Red hat uns eine wichtige Lektion erteilt: Sobald kritische Schwachstellen bekannt werden, sollten Server durch entsprechende Patches geschützt werden. Am 18. September 2001 brachte Nimda die “Sicherheitsgemeinde” nachhaltig in Verruf. Nimda (“Admin” rückwärts geschrieben) nutzte dieselbe Schwachstelle in IIS wie Code Red. Dieser Wurm nutzte ebenfalls eine Schwachstelle in Internet Explorer und öffnete Dateifreigaben, um auf den Desktop zu gelangen, wo er sich dann wie Viren per E-Mail replizierte. Nimda hat uns folgende Lektion erteilt: Sobald kritische Schwachstellen bekannt werden, sollten Server unbedingt durch entsprechende Patches geschützt werden. Dieser doppelte Rückschlag für IIS-Server ohne entsprechende Patch-Updates veranlasste John Pescatore von Gartner zur Veröffentlichung seiner heute umstrittenen Empfehlung, dass ein Unternehmen, das von Code Red und Nimda betroffen war, die Wahl seiner Webserver-Plattform überdenken sollte.1 Am 25. Januar 2003 schlug SQL Slammer zu, ein Wurm, der auf eine bekannte Schwachstelle (Patch verfügbar) im Datenbankserver-Produkt von Microsoft abzielte. Dieser Wurm verbreitete sich mithilfe des UDPProtokolls über Port 1434. Er erreichte 80.000 Rechner in weniger als 10 Minuten. SQL Slammer hat uns drei wichtige Lektionen gelehrt: 1. Für anfällige Systeme sollte unbedingt ein Patch-Update ausgeführt werden. 2. Höherwertige Ports sollten in Routern und Firewalls blockiert werden. (SQL-Anfragen müssen praktisch nie über das Internet ausgeführt werden.) 3. Manchmal lauern Dienste an den ungewöhnlichsten Orten. Es hat sich herausgestellt, dass auf Microsoft-Entwicklungsplattformen sowie zahlreichen Microsoft-Anwendungen Kopien von SQL Server vorhanden waren, sodass auch Unternehmen, die für ihre Server ein Patch-Update ausgeführt hatten, von SQL Slammer betroffen waren. 1 Pescatore, John. Nimda worm shows you canʼt always patch fast enough. (2001). 7. Januar 2005, aus http://www4.gartner.com/resources/101000/101034/101034.html Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet Privacy. Protection. Peace of mind. Ein weiterer Wurm, der erwähnt werden sollte, ist Blaster. Dieser Wurm nutzte eine Windows-Schwachstelle in RPC DCOM. In wohlweislicher Vorausschau sprachen sich fast alle Sicherheitsexperten dafür aus, dass für alle Systeme auf der Stelle ein Patch-Update ausgeführt und Port 445 blockiert werden sollte, um ein Ausnutzen der bekannten Schwachstelle zu verhindern. Trotz allem schlug der Wurm am 14. August 2003 zu, verursachte enorme Netzwerkausfälle und brachte sogar den Zugverkehr in Teilen der USA zum Erliegen. Die meisten Unternehmen berichteten, dass der Wurm nicht durch ordnungsgemäß konfigurierte Firewalls, sondern durch infizierte Laptops in das Netzwerk eindrang. Würmer haben einen Wandel in der Netzwerksicherheit ausgelöst, der immer noch im Gange ist. Gateway-Sicherheitsgeräte kontrollieren die Datenpakete, die durch sie geleitet werden, immer genauer. Technologie zur Eindringungsvorbeugung hat Eindringungserkennungssystemen den Rang abgelaufen. Gateway-Antivirensysteme werden immer beliebter. Trojanische Pferde sind Code, der sich als eine harmlose Anwendung tarnt, eigentlich aber ein anderes Ziel verfolgt und für gewöhnlich bösartig, manchmal aber auch nur lästig ist. Beispielsweise können Sie einen Bildschirmschoner herunterladen und dabei unwissentlich ein unerwünschtes Programm installieren, sozusagen „durch die Hintertür“. Trojanische Pferde können Meister der Täuschung sein. So haben beispielsweise besonders gerissene Opportunisten einmal ein trojanisches Pferd entwickelt, das als kontroverser Bildschirmschoner getarnt war, der durch Lycos vertrieben wurde. Die ursprüngliche LycosVersion führte zu Denial-of-Service-Angriffen gegen Spammer. Durch den gefälschten Bildschirmschoner wurde Perfect Keylogger installiert, eine Spyware-Anwendung. Stellen Sie sich trojanische Pferde der Einfachheit halber als einen getarnten Versandmechanismus vor (ähnlich wie das legendäre Pferd, das die Griechen im Trojanischen Krieg verwendeten). Verwechseln Sie sie nicht mit ihrer Schadensfunktion, die jede Softwareanwendung sein könnte. Es gibt immer mehr Programme, die mit trojanischen Pferden vergleichbar sind, aber nicht auf Täuschung basieren, sondern sich vielmehr die Sorglosigkeit oder Unachtsamkeit der Benutzer zunutze machen, die Endbenutzerverträge nicht aufmerksam genug lesen oder Internet-Downloads nicht genau verstehen. Auf diese Weise können Hacker Benutzer dazu bringen, ein Programm mit geringem Nutzen herunterzuladen, dessen Hauptzweck darin besteht, Werbung oder andere unerwünschte Anwendungen zu verteilen. Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet “Die Hauptfunktion von Adware und Spyware ist die Informationsgewinnung von einem System und das Senden dieser Informationen an eine externe Quelle. Bei rechtmäßigen Programmen, die diese Funktion wahrnehmen, z. B. Webserver, besteht das gängige Sicherheitsverfahren darin, diese weitestgehend vor Zugriffen zu sichern und regelmäßige Patch-Updates auszuführen. Aber wie können Sie ein Programm sichern und aktualisieren, von dem Sie gar nicht wissen, dass es auf Ihrem System installiert ist? Spyware-Programme sind ein begehrtes Ziel für Cracker und Programmierer von bösartigem Code, die nach Schlupflöchern im System suchen.“ – “Spyware Needs to Go“ von Jim Rapoza Eweek, 1. Dezember 2003 Privacy. Protection. Peace of mind. Hintertüren sind Codes, die es einem Hacker ermöglichen, auf einen Computer zuzugreifen. Diese weisen in der Regel leistungsfähige Oberflächen auf, durch die der Hacker die vollständige Kontrolle über den Rechner erlangt, so als würde er direkt davor sitzen. Bekannte Hintertüren sind beispielsweise Back Orifice, SubSeven und NetBus. IRC-kontrollierte Hintertüren werden verwendet, um Denial-of-ServiceAngriffe gegen Ziele auszulösen. Weitere Informationen finden Sie auf den folgenden Seiten. Systemüberwachungsprogramme beinhalten Keylogger, d. h. Code, der sämtliche Tastatureingaben aufzeichnet und an den Hacker sendet. Auf diese Weise können Benutzernamen, Kennwörter und andere Benu tzerkontoinformationen gesammelt werden. Es gibt sogar Beispiele von Code, durch den Audio- und Videodaten von einem Computer aufgezeichnet werden, an den ein Mikrofon oder eine Kamera angeschlossen ist. Ergebnisse einer laufenden Spy Audit-Studie von Unternehmenssytemen (verfügbar auf der Webroot-Website) zeigen, dass auf über 14 % der getesteten Systeme ein Überwachungsprogramm installiert ist.2 Spyware ist eine schwer fassbare, sich ständig ändernde Bedrohung, die verschiedenen Kategorien zugerechnet werden kann. Im einfachsten Fall handelt es sich bei Spyware um Programme, die Ihre Online- und Offline-Aktivitäten ohne Ihr Wissen oder Ihre Zustimmung ausspionieren und diese Informationen an Dritte weitergeben. Zu Spyware können Systemüberwachungsprogramme zählen, die alles aufzeichnen, von besuchten Websites bis hin zu Chat-Sitzungen, Instant Messages und E-Mails. Darüber hinaus werden als Spyware auch Keylogger bezeichnet, die alle Tastenanschläge auf der Tastatur aufzeichnen, darunter Benutzernamen, Kennwörter und persönliche Daten wie Kontooder Kreditkartennummern. Den größten Anteil an der Zunahme von Spyware haben kommerzielle Quellen, die Werbung an ahnungslose Kunden senden möchten. Die harmlosere Variante von Spyware ist Adware. Adware ist häufig in Freeware, Hilfsprogrammen wie Filesharing-Anwendungen, Suchprogramme und Informationsprogramme (z. B. für Uhrzeit, 1 Threat library: Corporate statistics. (2005). 7. Januar 2005, aus http://research.spysweeper.com/threat_library/corporate_stats.php Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet Identitätsdiebstähle nehmen zu Online-Konsumenten wurden im Jahr 2002 um 700 Millionen US-Dollar betrogen. Jedes Jahr fallen zwischen 500.000 und 700.000 Personen Identitätsdiebstählen zum Opfer. 50 % der befragten Computerbenutzer haben in den vergangenen 12 Monaten Informationen an Hacker preisgegeben und dabei 285 Millionen US-Dollar verloren. – DOJ-Berichte Privacy. Protection. Peace of mind. Nachrichten, Alarm, Wetter usw.) und Funware wie Bildschirmschoner, Cartoon-Cursor, Hintergründe, Klänge usw. gebündelt oder eingebettet. Adware-Anwendungen sind für gewöhnlich werbeunterstützte Softwareprogramme, die im Austausch für kostenlose Software Ihre Aktivitäten im Internet überwachen und gezielte Popups, Popunders und andere Formen von Werbung auf Ihrem Computer anzeigen. Einige Adware-Programme können Ihre Internet-Gewohnheiten ausspionieren. Das Löschen von Adware führt dazu, dass auch die damit gebündelte Freeware-Anwendung entfernt wird. Ebenfalls verwandt mit Spyware und trojanischen Pferden sind Jokeware oder Spoofware. Diese unerwünschten Anwendungen sind in der Regel nicht bösartige Programme, die Einstellungen ändern können, z. B. für Cursor, Geräusche und Hintergründe, aber keinen ernsten Schaden am Computersystem anrichten. Denial-of-Service- und Distributed-Denial-of-Service-Angri≠e Im Gegensatz zu den bisher genannten Bedrohungen richtet sich diese Art von Bedrohungen an eine bestimmte Zielgruppe. Diese Zielgruppe hängt vom jeweiligen Anliegen des Hackers ab. Manchmal möchte der Hacker Schaden verursachen oder möglicherweise von einer beliebten Website „Schutzgeld“ erpressen. In einigen kürzlich bekannt gewordenen Fällen wurde ein Hacker angeheuert, um die Website eines Konkurrenten zu sabotieren. Diverse Programme können Datenpakete an ein bestimmtes Ziel adressieren oder mithilfe von Sicherheitslücken bestimmte Angriffe auf ein Ziel starten. Der effektivste gezielte Angriff ist ein DDOS-Angrifff (Distributed Denial Of Service). Tausende von Rechnern, die mit IRC-kontrollierten Hintertüren (Bots) infiziert sind, zielen auf eine bestimmte Website ab. Diese Bots können SYN-Überschwemmungen oder einfach HTTPGET-Anfragen in einer Geschwindigkeit erzeugen, die kein Server bewältigen kann. Die Drahtzieher hinter dieser Internetkriminalität können vom Eigentümer der betroffenen Website Geld erpressen. Seit 2004 sind DDOS-Angriffe zu einer großen Bedrohung geworden. Ursprünglich richteten sich die Angriffe gegen schlecht geschützte Websites für Online-Spiele. Derzeit geht der Trend aber in Richtung anderer Online-Dienste mit einer großen Anzahl an Transaktionen, z. B. e-Commerce-Websites oder Websites von Anbietern von Finanzdienstleistungen und Devisengeschäften. Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet Privacy. Protection. Peace of mind. Hackerangri≠e Angesichts der Unmenge an Viren, Würmern und Spyware ist es Ironie, dass gezielte Angriffsversuche nicht mehr die Aufmerksamkeit bekommen, die ihnen früher zuteil wurde. Ein gezielter Angriff ist für gewöhnlich ein systematischer Versuch eines Internetkriminellen, sich Zugriff auf Computer zu verschaffen und Daten zu stehlen oder andere Schäden anzurichten. Da immer mehr Dienste über das Internet zur Verfügung gestellt werden, zielen diese Angriffe auch in Zukunft auf schlecht entwickelte und implementierte Geschäftsprozesse ab. Ein Angriff beinhaltet die folgenden Phasen: • “Fingerprint”-Analyse • Sondierung • Ausnutzung • Schädigung Häufig versteckt sich hinter den zerstörerischsten Angriffen ein Insider mit genauen Kenntnissen über Systeme und Prozesse sowie dem Willen, seinen Arbeitgeber zu bestehlen oder ihm zu schaden. Die Motivation hinter der Entwicklung von Bedrohungen Für die oben genannten Bedrohungen gibt es im Wesentlichen zwei Motivationen. Seit Beginn des Computerzeitalters war “Spaß” der häufigste Beweggrund für Programmierer von Würmern und Viren. Dabei holten sich erwachsene Männer ihren “Kick”. Häufig wird jedoch übersehen, dass diese Männer von dem Wunsch getrieben wurden, die Welt zu verbessern. Sie betrachteten fehlerhafte Betriebssysteme und Anwendungen als Angriff auf ihre Gefühle und die Entwickler dieser Programme als niederträchtige Gemeinschaft, die ihre Domäne mit minderwertigen, unsicheren Produkten übernimmt. Um der Welt zu demonstrieren, dass diese Systeme fehlerhaft waren und die Programmierer ihre Aufgabe nicht verstanden, schrieben Hacker sich schnell verbreitende Viren und Würmer, um möglichst viele Rechner zu infizieren. Dies ist zwar eine weit gefasste Kategorisierung von Hackern, sie wird jedoch von der Tatsache untermauert, dass Viren und Würmer nur in geringem Umfang Schadensfunktionen enthalten. Betrachten Sie zum Beispiel einige der am weitesten verbreiteten Viren in den vergangenen Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet Spyware ist aus folgenden Gründen teuer für Untemehmen: • Reduzierung der Systemleistung und-stabilität • Reduzeirung der Mitarbeiterproduktivität • Verursachen von Softwarekonflikten mit anderen Programmen • Erhöhung der Support-Andforderungen • Belegung von Netzwerkressourcen • Erhöhung des Netzwerk-Overheads • Verringerung der Netzwerkleistung Privacy. Protection. Peace of mind. Jahren. Der LoveBug-Virus hat sich per E-Mail mit dem Betreff „I Love You“ verbreitet. Sein einziger Zweck bestand darin, sich auf weitere EMail-Adressen aus dem Adressbuch zu verbreiten. Einer der rätselhaftesten Würmer war SQL Slammer. Dieser extrem kleine Code hat sich per UDP verbreitet. Nachdem er auf einem anfälligen Rechner installiert wurde, sendete er tausende von Kopien an zufällig gewählte IP-Adressen. Wenn ein Rechner, auf dem eine Microsoft SQL Server-Version ohne entsprechendes Patch ausgeführt wurde, von einem dieser Pakete adressiert wurde, wurde er ebenfalls infiziert. Der Wurm SQL Slammer wurde am Freitag, den 25. Januar 2002, um Mitternacht auf den Weg gebracht, und sein einziger Zweck bestand darin, sich selbst zu verbreiten. Eine andere Schadensfunktion erfüllte der Wurm nicht. Slammer infizierte 80.000 Rechner in weniger als 10 Minuten. Diese Rechner erzeugten so viel Datenverkehr, dass das Internet beinahe vollständig zum Erliegen kam. Das Datenverkehrsaufkommen an einigen wichtigen Übertragungsleitungen verdoppelte sich und erreichte nahezu die Kapazitätsgrenzen. Erst gegen Mittag des folgenden Tages hatte man das Problem in den Griff bekommen. Wenn Slammer z. B. an einem Montag gegen 1 Uhr mittags Ortszeit an der Ostküste der USA auf den Weg gebracht worden wäre, hätte der Schaden weitaus größere Ausmaße annehmen können, wenn die Websites von Finanzmärkten und e-Commerce-Anbietern ausgefallen wären. Slammer stellte einen Wendepunkt im Bereich der Internetsicherheit dar. Er verbreitete sich über höherwertige Ports, die seitdem in den meisten Netzwerken und sogar von einigen ISPs blockiert sind. Das Blockieren von höherwertigen Ports ist eine standardmäßige Vorgehensweise, dennoch wurde die Kommunikation über diese Ports in tausenden von Netzwerken zugelassen. Nach diesem tragischen Wochenende, wurden die meisten Firewalls und zahlreiche Router entsprechend neu konfiguriert. Dies war ebenfalls ein Wendepunkt für Telekommunikationscarrier. Seit Jahren betrachteten sich ISPs und Anbieter von Datenübertragungsleit ungen als offene Kanäle. Spam, DOS-Angriffe, Viren und Würmer, die über ihre Netzwerke gelangten, waren nicht ihr Problem. Ihre Parole lautete „Die Pakete müssen durchgelangen“. Slammer war ihr Problem, und sie mussten ihn fernhalten, damit er nicht wieder die Kontrolle über ihre Netzwerke erlangte. Heute unternehmen Carrier einiges, um Würmer und DOS-Angriffe zu verhindern, und werben sogar mit ihren “sicheren Netzwerken” und “sauberen Leitungen”. Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet Privacy. Protection. Peace of mind. Slammer demonstrierte also nicht nur ein in gewisser Hinsicht ethisches Verhalten des Hackers, der ihn entwickelt und veröffentlicht hat, sondern verbesserte letztlich die Sicherheit des Internet. Zwar kann das Verhalten derjenigen, die Würmer und Malware entwickeln, nicht geduldet werden, SQL Slammer hat aber zumindest ihre Beweggründe an den Tag gebracht. Wenden wir uns nun dem Jahr 2004 zu, in dem ein Virenkrieg tobte. Konkurrierende Interessengruppen verbreiteten Dutzende von Virenversionen mit folgenden Zielen: 1. Eindringen in AV-Engines 2. Infizieren von Rechnern, die von der konkurrierenden Gruppe gesteuert wurden In Netsky und MyDoom waren sogar Nachrichten in gebrochenem Englisch eingebettet, die die Aktionen der Konkurrenten deklamierten. Der Zweck beider Varianten war jedoch Bestandteil des neuesten Trends bei gefährlicher Software, einem Trend mit beängstigenden Auswirkungen. Diese Viren hatten, ebenso wie ein Großteil der im Jahr 2004 verbreiteten Malware, einen kriminellen Hintergrund. Netsky und MyDoom ermöglichten es Hackern, Software auf infizierten Rechnern zu installieren, durch die die Hacker über Steuerkanäle wie IRC (Internet Relay Chat) die Kontrolle über diese Rechner erlangten. Auf diese Weise verwandelten sie Millionen von Rechnern in “Zombies” (Bots), die angewiesen werden konnten, Netzwerkangriffe gegen beliebige Ziele zu starten, und so zu den oben beschriebenen Erpressungsversuchen führten. 2004 stellte sich als das Jahr heraus, in dem sich das Hauptanliegen für die Entwicklung und Verbreitung von unerwünschter Software von Spaß, Angeberei oder „Bekämpfung des Bösen“ in Richtung finanzielle Vorteile (zum Teil rechtmäßig, zum Teil betrügerisch), Unsinn, Erpressung und Diebstahl verlagerte. Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet Spyware kann Hackem neue Möglichkeiten des Beispiel: Ein Endbenutzer hat Gator auf seinem System installiert. Gator verfügt über einen offenen Port, der ihm die Kommunikation mit dem Masterserver ermöglicht. Ein Hacker könnte ohne weiteres einen Pufferüberlaufangriff dazu nutzen, um über Gator auf den Computer zuzugreifen. Privacy. Protection. Peace of mind. Das Bedrohungschaos-Modell In dem hier vorgestellten Modell wird versucht, das Ausmaß der Bedrohungen strukturiert darzustellen, um chaotische Interpretationen zu vermeiden. Das Bedrohungsmodell weist drei Achsen auf. Die erste Achse repräsentiert die Schwachstellen. Obwohl in den vergangenen Jahren tausende von Schwachstellen in hunderten von Anwendungen und allen großen Betriebssystemen bekannt geworden sind, haben in der Regel nur Schwachstellen in weit verbreiteten Systemen große, weltweite Auswirkungen. Hacker nutzen höchstwahrscheinlich vorwiegend Schachstellen in Windows, Internet Explorer, Exchange, Outlook oder Cisco-Routingplattformen aus, um kommerzielle Vorteile zu erlangen. All diese kritischen Schwachstellen werden auf der ersten Achse angeordnet. Selbstverständlich nimmt die mit diesen Schwachstellen verbundene Gefahr ab, sobald ein Patch verfügbar ist. Das bedeutet, dass die Anzahl anfälliger Rechner mit Bereitstellung des Patches abnimmt. Allerdings fällt sie niemals auf null. Führen Sie sich in diesem Zusammenhang die Anzahl der SQL Slammer-Pakete oder der Nimda- und Code RedViren vor Augen, die immer durch das Internet schwirrt. Beispiele für diese Schwachstellen sind folgende: der Unicode Traversal-Fehler in Microsoft IIS, der zu Code Red und Nimda führte. Der Byte VerifyFehler in Microsoft Internet Explorer, der von vielen SpywareProgrammen ausgenutzt wurde. Die Schwachstelle in Microsoft SQL Server, den sich SQL Slammer zunutze machte. Die Cisco-IOS-TCPund SNMP-Schwachstellen, die zu DOS-Angriffen gegen RoutingInfrastruktur führen konnte. Die zweite Achse repräsentiert die Vektoren, d. h. alle Arten der Kommunikation, die Malware verwenden kann, um einen Rechner zu infizieren. Hierzu gehören Disketten, Flash Memory Sticks, E-Mails, Webbrowser, FTP, Peer-2-Peer-Dateifreigaben, Netbui, UDP, Instant Messaging, Wi-Fi sowie eine, die noch nicht verwendet wurde: RSSNachrichten in Echtzeit. Die dritte Achse repräsentiert schädliche Handlungen. Während die anderen beiden Achsen relativ leicht mit vollständigen Listen bekannter Schwachstellen und Kommunikationskanäle gefüllt werden können, erfordert diese Achse Extrapolation und hellseherische Fähigkeiten, Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet Privacy. Protection. Peace of mind. um alle möglichen Aktionen zu erahnen, die sich Internetkriminelle ausdenken können. Für den Anfang könnte die Liste schädlicher Handlungen wie folgt aussehen: • • • • • • • • • • • • • • • Verbreitung Datendiebstahl Identitätsdiebstahl Browser-Hijacking Suchanfragen-Hijacking HOSTS-Dateiüberschreibung Systemabsturz (Ping of Death) Dateizerstörung Hardwarezerstörung (bis heute nur in der Theorie) Fernsteuerung von PCs Diebstahl von CPU-Zyklen (beispielsweise zum Knacken von Verschlüsselungsschlüsseln) Popup-Werbung Phishing Netzwerkausfall Netzwerkumleitung Bei diesem Bedrohungsmodell wird davon ausgegangen, dass jede Bedrohung, d. h. sowohl vergangene als auch neu entstehende, eine Kombination aus diesen drei Aspekten ist: Schwachstellen, Vektoren und Handlungen. Hier einige Beispiele: MyDoomXX: Schwachstellen: Dateien werden in Windows Outlook automatisch ausgeführt Vektoren: E-Mail Beabsichtigte Handlung: Bots für DOS-Angriffe verwenden Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet Spyware im Unternehmen Auf zahlreichen Rechnern bei Valve Software wurden Keylogger installiert, die ein Sicherheitsloch erzeugten, durch das Informationen gesammelt und große Teile des Quellcodes für Half Life 2 gestohlen wurden. Durch dieses Eindringen verzögerte sich letztendlich die Veröffentlichung eines der am meisten erwarteten Spiele um mindestens sechs Monate. Diese Verzögerung hat nicht nur die Einnahmen für den Entwickler, Vertreiber, andere Lizenzgeber, Einzelhändler usw. geschmälert, sondern auch zur Verbreitung unbefugter Kopien auf der ganzen Welt geführt. JuJu Jioang konnte Keylogger auf Rechnern in mindestens 15 KinkoʼsFilialen in New York installieren, mit denen er Benutzerinformationen wie Benutzernamen und Kennwörter sammelte. Schließlich verschaffte er sich mit diesen Daten Zugriff auf vorhandene Bankkonten und öffnete neue Kreditlinien, der mehr als 450 Personen zum Opfer fielen. Privacy. Protection. Peace of mind. Nimda: Schwachstellen: Unicode Traversal in MS IIS Dateiausführung in Outlook Hintertür durch Code Red Vektoren: Netzwerk über Port 80 E-Mails Browsing Offene Dateifreigaben Beabsichtigte Handlung: Verbreitung FunnerA.32: Schwachstelle: Benutzerberechtigung Vektoren: IM Beabsichtigte Handlung: Host-Datei mit chinesischen Domänen füllen Beachten Sie, dass Nimda drei verschiedene Schwachstellen und vier verschiedene Vektoren für seine Verbreitung nutzte, was der Grund dafür ist, dass bisher kein anderer Wurm schwieriger in den Griff zu bekommen war. Dieses dreidimensionale Bedrohungsmodell lässt einige Erkenntnisse zu. Zunächst wird Malware auf jede Kombination aus Schwachstellen, Vektoren und Handlungen untersucht. Es müssen genügend Entwickler von Malware vorhanden sein, die neue, ungeschützte Angriffswege suchen, um diesen Raum vollständig zu erforschen. Die MalwarePioniere heutzutage entwickeln Spyware- und Phishing-Angriffe. Sie profitieren unmittelbar, indem sie sich durch angegliederte Sites durchklicken oder Kontennamen, -kennwörter und -nummern sammeln. Das Webroot Threat Research Center findet und veröffentlicht jede Woche mehr als 20 neue Spyware-Varianten sowie 80 Varianten vorhandener Spyware. Diese Entdeckungsgeschwindigkeit nähert Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet Privacy. Protection. Peace of mind. sich der Geschwindigkeit, mit der Virusvarianten entdeckt werden. Eine weitere Erkenntnis ist jedoch, dass diese Viren größtenteils nicht mehr der einfachen Verbreitung dienen, sondern Bots abrufen oder Schadensfunktionen von Spyware verbreiten. In die vierte Dimension Beachten Sie, dass Spyware und ähnliche Programme aufgrund ihrer Zielsetzung einem vollständigen Bedrohungsmodell eine vierte Dimension abverlangen: das Ausmaß, in dem ein „Spion“ die Erkennung und Entfernung verhindert. Entwickler von Spyware, Adware und anderer potenziell unerwünschter Programme profitieren nur, solange sich ein Programm auf einem PC befindet. Wenn es entdeckt und entfernt wird, kann es weniger nutzen, als wenn es unbemerkt bleibt und nicht entfernt werden kann. Daher können Spyware und andere potenziell unerwünschte Programme mit willkürlichen Dateinamen und Registrierungsschlüsseln, zufälligem Code (um keine Fingerabdrücke zu hinterlassen) und in mehreren, sogar Dutzenden Stellen installiert werden. Dabei kann spezieller Überwachungscode installiert werden, der das Entfernen aus Startverzeichnissen erkennt und das Programm mit einem höheren Zufallsfaktor erneut installiert. Die neuesten Spyware-Programme ändern die Sicherheitseinstellungen in Windows und ersetzen wichtige DLL-Dateien von Microsoft, sodass es nahezu unmöglich ist, sie zu entfernen. Wenn diese vierte Dimension in ein Bedrohungsmodell integriert wird, könnten damit besonders schädliche Softwareprogramme identifiziert und gezielte Schutzmaßnahmen ergriffen werden. Änderungen am Betriebssystem und den Standardeinstellungen könnten entwickelt werden, um die Effektivität und damit die Kosten der härtnäckigsten Programme zu reduzieren. Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet Privacy. Protection. Peace of mind. Zusammenfassung Angesichts der Fülle unterschiedlicher Bezeichnungen und Bedrohungen herrscht Verwirrung. Ein Modell, das diese nach Handlung, Vektor und Schwachstelle kategorisiert, ermöglicht es, diesen Bedrohungen in Zukunft entgegenzutreten und sich auf die gefährlichsten zu konzentrieren. Bei sorgfältiger Abwägung neuer Absichten sollte es möglich sein, neue Bedrohungen durch Kombination dieser schädlichen Absichten mit vorhandenen Schwachstellen und Vektoren vorherzusagen. Der Wurm SDBot, dessen Schadensfunktion aus einem Netzwerkspionageprogramm bestand, hätte beispielsweise vorhergesagt werden können. Da die mit Malware verfolgten Absichten sich von der reinen Verbreitung in Richtung Verbreitung und finanziellem Nutzen verlagern, wird die Anzahl der Bedrohungen um ein Vielfaches der bisher bekannten Geschwindigkeiten zunehmen. Jeder Internetkriminelle (bzw. jede Gang) muss schließlich eigene Programme für diese Art Einkünfte entwickeln. Bedrohungschaos: Überblick über die Bedrohungen aus dem Internet