Aktuelle IT-Bedrohungen, Trends 4.Quartal 2005

  1. Sober – Ein einzigartiger Wurm
  2. Krotten – Erpressung per Virus
  3. Zero-Day
  4. Tendenzen bei mobilen Endgeräten
  5. Spielekonsolen – Eine neue Plattform für Viren?
  6. Das Sony-BMG-Rootkit
  7. Fazit

    Sober – Ein einzigartiger Wurm

    Am 15. November 2005 veröffentlichte die Bayerische Polizei eine Pressemeldung, in der sie über eine neue Version des E-Mail-Wurms Sober informierte, die in den nächsten Tagen erscheinen sollte. Diese Warnung enthielt keinen Hinweis darauf, wie die Polizei zu diesem Schluss kam. Ausgehend von der eindeutig deutschen Herkunft von Sober, nahmen die Antivirus-Unternehmen diese Warnung aber ernst. Schon am nächsten Tag erhielt Kaspersky Lab ein Muster der neuen Sober-Modifikation. Wie sich zeigte, wurde genau diese Modifikation mit dem Namen Sober.y zum Auslöser einer Virusepidemie, die sich in den folgenden Tagen ausbreitete.

    Am 18. November erhielten schließlich Millionen Anwender in Westeuropa per E-Mail eine eigenartige Nachricht: Der Text variierte, in der Regel handelte er aber davon, dass der Empfänger illegal Musik und Videos aus dem Internet heruntergeladen habe. Der Brief kam angeblich vom BKA (oder FBI), im Anhang wurde eine Datei mitgeschickt, die entsprechende Beweise bieten sollte. Dem Empfänger wurde natürlich vorgeschlagen, sich diese Beweise anzusehen – und schon wurde der Virus installiert.

    Das war einer der ausgefeiltesten Tricks des Social Engineering. Er wurde bereits im Frühjahr 2005 beim Wurm Sober verwendet. Dennoch glaubten zehntausende (möglicherweise hunderttausende) Anwender diesen E-Mails und öffneten die angehängte Datei. Sober.y verbreitete sich rasend schnell. Auch alle infizierten Computer versendeten den Wurm, so dass bald einige Millionen Kopien von Sober.y die Postfächer verstopften.

    Der Trick mit der gefälschten E-Mail vom BKA hatte – neben der angehängten Virus-Datei – noch einen weiteren Nebeneffekt: Viele Empfänger riefen die angegebene Telefonnummer des BKA an. Durch die massenhaften Anrufe wurde innerhalb einiger Tage eine eigenwillige DDoS-Attacke auf das BKA durchgeführt.

    Ihren Gipfel erreichte die Epidemie aber Anfang Dezember: Sober.y wurde einer der erfolgreichsten Viren des Jahres 2005 – sowohl in der Anzahl der infizierten Rechner als auch beim prozentualen Anteil der infizierten E-Mails am gesamten Mail-Traffic.

    Doch warum hat ausgerechnet die Sober-Familie solchen Erfolg? Technologisch gesehen, ist Sober äußerst primitiv. Er wurde in Visual Basic geschrieben und ist nicht gerade klein. Visual Basic ist eine ziemlich einfache Programmiersprache und leicht zu erlernen, doch moderne Viren werden normalerweise in C/C++ oder Assembler geschrieben. Auch mit Delphi werden viele Viren programmiert. Visual Basic wird dagegen eher bei unkomplizierten, meist primitiven Viren benutzt. Sober ist der einzige Visual-Basic-Virus, der eine solche Epidemie auslöste.

    Zudem sind wir schon daran gewöhnt, dass die Epidemien der letzten Jahre ausschließlich durch Viren ausgelöst wurden, die für ihre Verbreitung eine kritische Schwachstelle in Windows ausnutzten, etwa Lovesan, Slammer, Sasser, Mytob und hunderte verschiedene Bots. Sober nutzt keine Schwachstellen, außer einer: den Menschen. Hier kommen die Methoden des Social Engineering zu tragen, auf denen auch der Wurm Mydoom basierte, der die größte Epidemie in der Viren-Geschichte auslöste.

    Wir bemerken derzeit auch, dass sich die Bedrohungen durch Viren verändern. Von Hooligan-Schöpfungen wie NetSky, Sasser und Lovesan in Richtung CrimeWare, etwa Mytob und Bagle. Die Virenautoren bevorzugen daher mittlerweile kleinere lokale Epidemien, die auf bestimmte Anwendergruppen ausgerichtet sind. Die Tatsache, dass es im Jahr 2005 keine große Epidemie gab, ist teilweise das Verdienst der Antivirus-Unternehmen, die solche Epidemien bereits am Anfang eindämmen können. Doch diese Ruhe hielt nicht das ganze Jahr, denn im vierten Quartal kam Sober. Geschrieben in einer einfachen Programmiersprache verbreitete er sich ohne Nutzung von Sicherheitslücken und nur per E-Mail. Auch kommerzielle Ziele wie Diebstahl vertraulicher Daten, den Aufbau von Bot-Netzen oder die Durchführung von DoS-Attacken stehen bei ihm nicht auf dem Programm. Er hätte eigentlich keine große Chance und doch ist er im vierten Quartal 2005 die Nummer Eins unter den Viren.

    Die Sober-Familie feierte bereits ihren zweiten Geburtstag und fast jede Modifikation wurde zu einem bedeutenden Ereignis in der Virenszene. Zudem benutzt der Autor den Wurm zur Verbreitung seiner neofaschistischen Anschauungen – Sober ist also das beste Beispiel eines politischen Virus. Über die Entwicklungs-Tendenzen dieser Viren habe ich bereits in meinem letzten Bericht geschrieben. Ich schließe nicht aus, dass der Autor des Wurms demnächst verhaftet wird und die Pressemeldung der bayerischen Polizei, die vor der möglichen Epidemie warnte, ein Signal dafür war, dass die Ermittlungen bereits laufen. Ich schließe aber auch nicht aus, dass wir am 6. Januar 2006 auf eine neue Sober-Modifikation treffen, da genau an diesem Tag die Update-Funktion für Sober.y aktiviert wird. Das bedeutet, dass tausende infizierte Computer die neue Wurmversion aus dem Internet herunterladen und alles wieder von vorne beginnt.

    Krotten – Erpressung per Virus

    Wir haben bereits über eine besondere Klasse von Schadprogrammen geschrieben, die zum Zweck der Gelderpressung erstellt wurden. Ihr Funktionsprinzip ist ziemlich einfach: Gelangen sie auf einen Computer, verschlüsseln sie mit verschiedenen Methoden die vorhandenen Dateien und bieten dem Opfer dann an, die Daten gegen Zahlung einer bestimmten Summe wieder nutzbar zu machen. Zu den bekanntesten Vertretern dieser Art zählen Gpcode und JuNy.

    Einige Anwender nahmen mit den Übeltätern Kontakt auf und bezahlten die verlangte Summe, andere waren klüger und schickten die verschlüsselten Dateien an uns. Zum Glück sind die kryptografischen Kenntnisse der Virenautoren nicht sehr tief und die von ihnen verwendeten Algorithmen wurden durch die Virenanalytiker von Kaspersky Lab leicht geknackt. Wir konnten die Dokumente in allen Fällen nicht nur entschlüsseln, sondern diese Funktion sogar in unsere Antivirus-Datenbanken aufnehmen.

    Im September 2005 entdeckten wir die erste Modifikation des Trojaners Krotten. Damals hieß er noch Trojan.Win32.Agent.il. Während der Analyse stellten wir fest, dass es sich um den nächsten Erpresser handelte, der sich jedoch erheblich von Gpcode und JuNy unterschied. Der Autor gab sich nicht mit der Verschlüsselung der Anwender-Daten zufrieden. Er verwendete die Holzhammer-Methode, veränderte die Registry von Windows und schränkte damit die Möglichkeiten des Anwenders ein. Krotten blockierte den Start der Registry (RegEdit), den Start des Task-Managers, das Schließen von Explorer-Fenstern und des Internet Explorers, den Zugang zu den Datei- und Ordner- Einstellungen und den Start der Befehlszeile. Zudem veränderte er den Inhalt des Start-Menüs.

    Das Arbeiten mit dem Computer wurde praktisch unmöglich. Für die Wiederherstellung des Systems verlangte der Übeltäter 25 ukrainische Griven (etwa 5 US-Dollar). In den Folgemonaten fanden wir mehr als drei Dutzend Varianten dieses Trojaners und wir erhalten immer noch neue. Dieser Vorfall zeigt, dass Erpressung unter den Virenautoren immer populärer wird.

    Dies ist eine neue Art des Internet-Verbrechens. In den letzten Jahren wurden vor allem Kreditkarten-Nummern, Passwörter und andere Daten gestohlen, die dann von den Verbrechern für ihre eigenen Ziele verwendet wurden. Dank der höheren Sicherheit beim Online-Banking und den Bemühungen der Antiviren-Unternehmen, wird diesen Trojanern immer mehr Widerstand entgegengesetzt und diese Art des Cyber-Verbrechens ist nicht mehr so profitabel. Außerdem tritt derzeit eine neue Generation von Virenautoren auf, die keine komplizierten Trojaner erstellen können und wollen. Die Script-Kiddies sind erwachsen geworden und beschäftigen sich nun mit Erpressung. Warum sollten sie Daten und Passwörter stehlen, um sie dann erst entschlüsseln zu müssen? Sie wählen eine viel einfachere Methode – direkte Erpressung der Anwender.

    Zero-Day

    Kritische Sicherheitslücken in Windows führen immer zu einer erhöhten Virenaktivität und manchmal zu globalen Epidemien. So nutzte Lovesan im August 2003 die Schwachstelle im RPC-DCOM-Dienst und Sasser im April 2004 die Schwachstelle im LSASS-Dienst – beide infizierten weltweit Millionen Computer. So war es auch in diesem Jahr mit der Plug’n’Play-Schwachstelle MS05-039. Dies sind alles Sicherheitslücken auf Systemebene, die die Möglichkeit des direkten Eindringens über Ports bieten. Es existiert noch eine weitere Windows-Komponente, die für eine gewaltige Zahl von Infizierungen verantwortlich ist: Der Internet Explorer. Die Zahl der darin gefundenen Lücken liegt bereits bei einigen Dutzend. Die gefährlichsten unter ihnen ermöglichen es Hackern, beliebige Dateien auf fremden Computern zu installieren, während die Anwender eine infizierte Webseite besuchen. Exploit.HTML.Mht, Trojan-Downloader.JS/VBS.Psyme, IframeBof und noch einige weitere Schwachstellen sind momentan Hauptursachen für die Infizierung von Computern.

    Zum Glück konnten wir bis jetzt Situationen vermeiden, in denen ein Exploit bekannt wurde, bevor es einen Patch dafür gab. Unter den IT-Sicherheitsspezialisten werden solche Exploits als „Zero-Day“ bezeichnet, da die Sicherheitslücke noch nicht geschlossen und damit ausgenutzt werden kann. Bisher ist es Microsoft in Zusammenarbeit mit verschiedenen Unternehmen gelungen, solche Zero-Day-Exploits zu vermeiden. Ungeachtet dessen, dass seit dem Auffinden einer Sicherheitslücke bis zum Moment ihrer Schließung manchmal Monate vergehen können, konnten die Exploits geheim gehalten werden.

    Doch Ende 2005 gab es den Ernstfall: Gleich zwei kritische Sicherheitslücken in Windows, die innerhalb eines Monats entdeckt worden waren, wurden verraten – noch bevor ein Patch veröffentlicht wurde. In beiden Fällen wurden die Sicherheitslücken zur Verbreitung von Schadprogrammen verwendet.

    Am 21. November 2005 veröffentlichte eine britische Forschergruppe mit dem eigentümlichen Namen „Computer Terrorism“ einen Proof of Concept, der eine Lücke in einer vollständig gepatchten Version des Internet Explorers bewies. Sie befand sich in der Java Script Funktion ‚window()‘. Erstmals wurde diese Sicherheitslücke bereits im Mai 2005 bekannt, zu diesem Zeitpunkt konnten die Spezialisten von Microsoft jedoch noch keine Methoden zur Ausführung eines beliebigen Codes im System finden und betrachteten sie als unkritisch. Die Folge: Der Patch wurde immer wieder verschoben.

    Die Forscher von „Computer Terrorism“ kannten sich mit der Schwachstelle besser aus als Microsoft und ihr Proof of Concept ermöglichte die Installation und Ausführung einer Datei auf fremden Rechnern – natürlich ohne Einverständnis und Benachrichtigung des Anwenders.

    Die Virenschreiber benötigten etwas mehr als eine Woche, um den Schadcode des Exploit auf Webseiten im Internet zu platzieren. Wir haben einige Trojaner entdeckt, die sich auf diese Weise verbreiteten. Einziges Mittel gegen eine Infizierung war zu diesem Zeitpunkt das vollständige Abschalten von Java Script im Internet Explorer, doch nur sehr wenige Anwender nutzten dieses Mittel. Millionen Menschen waren weltweit ohne Schutz vor diesen Trojanern. Zum ersten Mal nutzten Viren eine Sicherheitslücke, für die noch kein Patch vorlag.

    Eigentlich müsste sich Microsoft in einer solchen Situation bemühen, das Problem möglichst schnell zu beheben – gerade, da sich das Unternehmen in letzter Zeit aktiv im Kampf gegen Viren positioniert. So entwickelt die Firma eigene Antivirus-Lösungen und kämpft gerichtlich gegen Virenautoren. Im vorliegenden Fall benahm sich Microsoft jedoch sehr seltsam: Die Vertreter des Unternehmens erklärten, dass kein Patch herausgegeben werde – ungeachtet der kritischen Probleme. Seit 2004 erstellt Microsoft monatliche Patches, die jeweils in der zweiten Monatshälfte veröffentlicht werden. Im Dezember war der 13. als Patch-Day eingeplant und ein Verschieben war nicht vorgesehen.

    Ich weiß nicht, warum diese Entscheidung getroffen wurde. Ich möchte nicht darüber spekulieren, ob die Spezialisten von Microsoft kurzfristig keinen Patch erstellen konnten und die Bereinigung der Sicherheitslücke deshalb hinauszögerten. Ich möchte auch nicht darüber spekulieren, dass Microsoft-Anwender schutzlos waren, weil „Patches nur einmal pro Monat“ veröffentlicht werden. Ich gebe nur zu bedenken: Es vergingen drei Wochen seit Veröffentlichung des Proof of Concept, seit der ersten Meldung über die Schwachstelle sogar ein halbes Jahr. Während dieser Zeit hätte jeder IE-Anwender infiziert werden können – und viele wurden auch infiziert. Die Schuld daran kann man Microsoft geben. Dieser Umstand schreit zum Himmel. Man könnte es als Zufall bezeichnen, wenn sich die Situation nicht zwei Wochen später wiederholt hätte – und zwar in noch ernsterer Form.

    Am 26. Dezember erhielten einige Antivirus-Unternehmen von ihren Anwendern, Agenten und automatischen Suchsystemen einige rätselhafte WMF-Dateien. Ihre Analyse ergab, dass sie einen Code enthielten, der Dateien verschiedener Webseiten herunterladen sollte, die für die Verbreitung von Adware und Spyware bekannt sind. Der Code wurde beim Öffnen der WMF-Datei ausgeführt, aber auch beim Ansehen der Dateieigenschaften. Der Code wurde auf allen vorhandenen Windows-Systemen (einschließlich Windows 95/98) mit allen installierten Updates ausgeführt.

    Uns wurde klar, dass wir mit der nächsten Zero-Day-Schwachstelle konfrontiert wurden, über die bei Microsoft noch nichts bekannt war. Am schlimmsten fanden wir den Umstand, dass die Schwachstelle den Virenautoren nicht nur früher als Microsoft bekannt war, sondern auch früher als allen großen Forschungsunternehmen, die auf die Suche nach Schwachstellen spezialisiert sind.

    In den zwei Tagen nach der Entdeckung führten viele Experten eine Analyse der Schwachstelle durch und veröffentlichten entsprechende Informationen. Fast alle Antivirus-Unternehmen gaben Module zur heuristischen Erkennung der gefährlichen wmf-Dateien heraus. Doch die Milch war schon verschüttet und immer neue Trojaner, die diese Schwachstelle nutzten, überschwemmten das Internet. In nur einer Woche wurden über 1.000 infizierte Bilder entdeckt. Die Situation drohte, ausser Kontrolle zu geraten, denn ausnahmslos alle Computer mit Windows – also hunderte Millionen weltweit – waren angreifbar. Es wurden mehrere Würmer und auch Spam-Mails gefunden, in denen der schädliche Code des Exploits ebenfalls verwendet wurde.

    Zum Glück fiel das Ereignis in die Weihnachtsferien. An diesen Tagen ist die Zahl der aktiven Internet-Anwender geringer – das war die Rettung vor einem der größten Probleme der letzten Jahre.

    „Und Microsoft?“ fragen Sie. Microsoft verhielt sich zum zweiten Mal sehr seltsam: Der Gigant aus Redmond genehmigte sich eine Pause von einigen Tagen und beschränkte sich mit der Herausgabe des Informationsbulletins KB 912840, in dem stand, dass die Schwachstelle entdeckt und eine Liste der angreifbaren Windows-Versionen hinzugefügt wurde. Anschließend ging das Unternehmen mit dem Gefühl der erfüllten Pflicht in die Feiertage. Etwas Konkretes gab es erst am 3. Januar, als Microsoft erklärte, dass ein planmäßiger Patch erscheinen wird – und zwar am 10. Januar. Als Rechtfertigung wurden sorgfältige Tests des Patches auf allen Windows-Versionen und Lokalisierungen angebracht. Die Vertreter von Microsoft versuchten außerdem, das Problem als „kritisch“, aber ohne Gefahr einer Virenepidemie globalen Ausmaßes, darzustellen.

    Die Gemeinschaft der IT-Sicherheitsexperten explodierte buchstäblich. Innerhalb nur eines Monats waren wir zum zweiten Mal mit einer Situation konfrontiert, in der Microsoft nicht nur unfähig war, das Problem schnell zu lösen, sondern zudem unfähig, die entstandene Situation adäquat aufzunehmen. Die Zahl der kritischen, zornigen und sogar beleidigenden Artikel war ebenso hoch wie die Zahl der entdeckten schädlichen WMF-Dateien. Gleichzeitig wurde eine Beta-Version des Patches für Windows XP auf mehreren Webseiten veröffentlicht, gemeinsam mit einer noch nicht offiziellen Lösung, die vom IDA-Autor Ilfak Guilfanov erstellt worden war – die einzige Lösung des Problems vor der offiziellen Unterstützung.

    Letztendlich gab Microsoft dem Druck der Öffentlichkeit nach und veröffentlichte am 6. Januar 2006 das Update MS06-001, das die Schwachstelle der WMF-Dateien beseitigte.

    Legen wir den Bogen mit den abgeschossenen Pfeilen zur Seite. Die Situation ist klar und alles wurde mehrfach gesagt. Überlassen wir die Erörterung des Verhaltens von Microsoft anderen. Wenden wir uns der anderen Seite des Problems zu, nämlich, dass die Schwachstelle ursprünglich von Vertretern des Undergrounds entdeckt wurde.

    Unsere Ermittlung ergab etwa folgendes Bild: Aller Wahrscheinlichkeit nach wurde die Schwachstelle von einem unbekannten Autor etwa am 1. Dezember 2005 entdeckt. Die Erstellung eines Muster-Exploits, der die Ausführung des Codes im System erlauben sollte, dauerte einige Tage. Ungefähr seit Mitte Dezember erschienen die Verkaufsangebote des Exploits auf einigen Webseiten. Mit dem Verkauf des Exploits beschäftigten sich wahrscheinlich zwei oder drei konkurrierende Hackergruppen aus Russland. Interessant ist, dass die Verkäufer teilweise selbst nichts vom Wesen der Schwachstelle wussten. Der Exploit wurde für 4.000 US-Dollar angeboten, zu den ersten Käufern gehörten Vertreter des kriminellen Adware/Spyware-Business, die den Exploit an die Öffentlichkeit brachten.

    Wir wissen nicht, wer die Schwachstelle zuerst entdeckt hat, wir wissen nur etwas von den Menschen, die an der Verbreitung des Exploits und seinen Modifikationen teilnahmen. Diese Daten, plus eine deutliche russische Spur erlauben Spekulationen, warum die Schwachstelle nicht einem der Unternehmen verkauft wurde, das sich mit der Schwachstellensuche beschäftigt, etwa eEye oder iDefence. Denn die Verkäufer hatten selbst keine genauen Vorstellungen über die Funktionen der Sicherheitslücke und waren zudem auf den Verkauf des Exploits an kriminelle Kreise fixiert. Da der Exploit vor allem auf dem russischen Schwarzmarkt angeboten wurde, gelangte er auch nicht in das Blickfeld der Forschungsunternehmen.

    Mobile Tendenzen

    Insgesamt blieb die Virensituation für mobile Telefone im vierten Quartal 2005 stabil. Der Fluss neuer Trojaner nahm allmählich, entsprechend unseren Berechnungen, zu. Viele Entwicklungstendenzen der Schadprogramme für Smartphone, die im http://www.viruslist.com/de/analysis?pubid=170160118 erwähnt wurden, bestätigten sich. Dies zeigte sich vor allem mit dem ersten Programm zum Diebstahl der Anwenderdaten: Der Trojaner Pbstealer erhielt Zugang zum Adressbuch des infizierten Telefons und verschickte sich über Bluetooth an das erste zugängliche Gerät.

    Der Verbreitungsgrad von Trojanern mit doppelter Bestimmung wuchs beachtlich: Sie sind auf die gleichzeitige Infizierung des Telefons und des Computers, an den das Telefon angeschlossen wird, ausgerichtet.

    Auch die Trojaner-Vandalen sollte man nicht vergessen, die momentan die überwiegende Mehrheit der Schadprogramme für Smartphone ausmachen. Neben der Zerstörung von System-Dateien mit nicht-funktionierenden Kopien oder dem Löschen von Daten, besitzen sie nun auch Mittel zur Blockierung von Daten. Die Trojaner-Familie Cardblock installiert ein Passwort für den Zugang zur Wechselspeicherkarte des Telefons. Wird der Virus auf dem Telefon gelöscht, kann der Anwender nicht mehr auf die Daten zugreifen. Der nächste Schritt dieser Evolution ist offensichtlich die Verschlüsselung der Daten mit anschließender Erpressung, wie schon bei den Trojanern Gpcode oder Krotten für PCs.

    Eine weitere unangenehme Tatsache des vierten Quartals ist, dass die Epidemie des mobile Viren aus der Klasse der futuristischen Theorien in die Kategorie der harten Realität übertraten. Wir haben den Verkauf unseres Antivirus-Programms für mobile Telefone in Russland und den GUS-Staaten begonnen und erhielten sofort eine Menge Infektionsbestätigungen, die wir früher nur erahnen oder von denen wir nur auf der Grundlage eigener Experimente schließen konnten. In den meisten Fällen handelte es sich hier um einen alten Bekannten – den Wurm Cabir, der sich über Bluetooth verbreitete und der bereits in über 30 Ländern gefunden wurde. Es ist absehbar, dass weitere mobile Würmer mit ähnlichem Verhalten weitere globale Epidemien auslösen werden.

    Alarmierend ist die Tatsache, dass die meisten neuen Schadprogramme aus dem asiatischen Raum kommen, in erster Linie aus China und Südkorea. Die Einwohnerdichte in diesen Ländern ist sehr hoch, viele Menschen sind technikbegeistert und so werden auch Computer und Telefone stark genutzt. Der Massenversand mobiler Viren wird in diesen Regionen also begünstigt. Auch sollte man nicht vergessen, dass die der Region angehörenden Länder Thailand, Malaysia und Indonesien Touristenzentren sind, so dass eine Epidemie über die Telefone der Touristen schnell die Grenzen der Region überschreitet.

    Spielekonsolen – eine neue Plattform für Viren?

    Im Oktober 2005 wurden wir Zeuge einer seltenen Erscheinung in der Viren-Evolution: Die Schadprogramme eroberten eine neue Plattform. Das veranlasste uns, über die Perspektiven der Entwicklung digitaler Geräte nachzudenken.

    Im vierten Quartal breiteten sich Viren in Spielekonsolen aus. An eine solche Entwicklung hatte man vor einigen Jahren noch nicht einmal gedacht. Einige Prognosen über die Erscheinung von Viren, die Mikrowellen oder Kühlschränke anfallen, wurden als Witz aufgefasst, doch wieder bestätigte die Realität die pessimistischen Erwartungen.

    Zum ersten Opfer wurde die Play Station Portable von Sony. Der auf einigen Webseiten als Spiel veröffentlichte Trojaner löschte Systemdateien auf dem Gerät und setzte es somit außer Betrieb – ein ähnliches Verhalten wie bei Trojanern für Mobiltelefone. Nur wenige Tage später wurden zwei weitere Trojaner entdeckt, die das Nintendo DS attackierten. In allen Fällen waren es allerdings keine Standardgeräte, die befallen wurden, sondern geknackte, die auch Raubkopien von Spielen laden können. Doch diese geknackten Spielkonsolen sind sehr beliebt, denn Spiele sind sehr teuer. Es existiert eine große Anzahl Hackergruppen, die sich auf das Knacken und Kopieren der Spiele für Konsolen spezialisiert haben.

    Man kann drei Hauptursachen für das Erscheinen von Viren für ein bestimmtes System beschreiben. Diese Ursachen gelten auch bei Spielekonsolen:

    1. Bekanntheit des Systems. Der Markt für Spielekonsolen boomt derzeit und weltweit benutzen Millionen Menschen Spielekonsolen.
    2. Die Plattformen sind gut dokumentiert. Ungeachtet der Tatsache, dass es drei große Hersteller für Spielekonsolen gibt (Sony, Nintendo und Microsoft), ist die Struktur jeder dieser Plattformen von zahlreichen Hackergruppen ziemlich gut erforscht worden. Durch den Verkauf von Raubkopien entstehen enorme Gewinne. Informationen darüber, wie man Konsolen knacken kann, überschwemmen die entsprechenden Internet-Foren und Webseiten.
    3. Es gibt Sicherheitslücken. Hauptschwachstelle ist die Möglichkeit, dass der Anwender Zugang zu den System-Dateien des Geräts erhalten kann. Bekannterweise kann ein Virus all das, was der Anwender kann.

    Diese drei Faktoren bauen aufeinander auf, so dass früher oder später Trojaner für Spielekonsolen auftauchen mussten. Auch wenn wir seitdem keine weiteren Viren entdeckt haben, so ist allein die Möglichkeit ihrer Existenz besorgniserregend. Die Tür ist einen Spalt geöffnet und die Übeltäter werden diesen Spalt nutzen.

    Noch wichtiger ist die weltweite Tendenz, neue Geräte zu entwickeln, die in der Lage sind, sich mit dem Internet zu verbinden und zentral gesteuert werden können. Wenn früher nur Computer (einschließlich PocketPCs) und Telefone dazu zählten, so beobachten wir derzeit einen richtigen Urknall in der Entwicklung der Technologien. „Alles vernetzen und dem Anwender die Möglichkeit der Fernsteuerung aller Geräte geben“ – das ist die Losung dieser neuen Bewegung. Spielekonsolen, Haushaltstechnik, kluge Häuser – alles wird miteinander verbunden, natürlich drahtlos (WiFi, Bluetooth, IrDA). Auf diese Weise wächst das Risiko des Missbrauchs dieser Technologien um ein Vielfaches. Alle Geräte werden Schwachstellen aufweisen, alle Geräte werden zu Objekten, die die Aufmerksamkeit der Hacker auf sich ziehen. Ergänzen Sie dazu die ewigen Sicherheitsprobleme der Drahtlos-Netze und sie erhalten ein recht pessimistisches Bild der nahen Zukunft. Die traditionellen Antivirus-Lösungen werden nicht mehr ausreichen.

    Das Sony-BMG-Rootkit

    Die Geschichte, wie der unabhängige Forscher Mark Russinovich im DRM-Modul der Musik-CDs von Sony BMG Rootkits gefunden hat, ist allgemein bekannt. Es wurden viele Artikel darüber geschrieben und gegen Sony BMG laufen mehrere Ermittlungsverfahren. Zweifelsohne ist dieser Vorfall, neben den Schwachstellen in Windows, nicht nur eines der wichtigsten Ereignisse in der Computer-Sicherheitsindustrie des vierten Quartals 2005, sondern auch eines der wichtigsten Themen des gesamten Jahres.

    Ich werde hier nicht die ganze Geschichte wiederholen, da unsere Leser sicher ausreichend über den Vorfall informiert sind. Wir versuchen an dieser Stelle eine Gesamtanalyse und eine Schlussfolgerung:

    Durch Sony BMG entstand eine Situation, in der hunderttausende Computer in aller Welt mit Mitteln zum Verbergen von Dateien und Prozessen versehen wurden. Das bedeutete, dass eine beliebige Datei, deren Name mit «$sys$» begann, praktisch unsichtbar wurde.

    Eine solche Funktion ist natürlich ein Risiko, denn sie kann auch von Schadprogrammen sehr leicht verwendet werden, um sich im System zu verbergen. Im Übrigen passierte genau das sofort nach dem Bekanntwerden des Rootkits. Einige Tage, nachdem Russinovich die Information über das Rootkit in seinem Blog veröffentlichte, entdeckten wir bereits ein Backdoor, das sich auf dem System installierte und dessen Name mit «$sys$» begann. Es wurde als Backdoor.Win32.Breplibot.b registriert.

    Im Anschluss nutzten weitere Viren diese Vorgehensweise. Das ist nicht verwunderlich, bedenkt man die mögliche Anzahl angreifbarer Computer und auch die Probleme einiger Antivirus-Programme, Rootkits zu erkennen.

    In diesem Fall war einmal nicht Microsoft das Ziel von Viren, sondern ein anderes Unternehmen. Bislang orientierten sich die Virenautoren nur an Windows-Sicherheitslücken, doch jetzt wurde Sony sozusagen zum Verursacher einer Attacke. Mir scheint, diese Tatsache ist in der ganzen Geschichte am wichtigsten. Die Ausrichtung der Attacken auf Anwender ist offensichtlich. Die in den letzten zwei Jahren erhöhte Aufmerksamkeit auf Schwachstellen – nicht nur in den Produkten von Microsoft – sollte dazu führen, dass die Früchte dieser Forschungen auch von Cyber-Kriminellen benutzt werden. Wir erwarteten eine derartige Veränderung des Trends, jedoch nahmen wir an, dass Schwachstellen in Antivirus-Produkten und/oder Netzgeräte von Cisco (genauer das Betriebssystem IOS) anvisiert werden. Natürlich ist nicht auszuschließen, dass die Virenaktivität im Fall Sony BMG auch darauf zurückzuführen ist, dass die Schwachstelle einfach ausgenutzt werden konnte und in den Massenmedien ausführlich darüber berichtet wurde.

    Wir können diese Schlussfolgerungen ziehen:

    1. Die Verwendung der Hackertechnologien (Rootkits) wird von Programmherstellern moralisch und technisch als zulässig erachtet. Nachdem Rootkits in einiger Adware zur Anwendung kamen, betrachtet man sie im Programmierumfeld als angenehme Möglichkeit zum Schutz der Programme. Dass diese Technologie moralisch gesehen äußerst zweifelhaft ist, denn sie kann für verbrecherische Zwecke verwendet werden, vergessen die Programmierer leider.
    2. Spezialisten großer Software-Unternehmen verfügen über geringe Programmierkenntnisse. Ich spreche nicht davon, dass die Anzahl der Sicherheitslücken in den aktuellen Programmen längst die zulässigen Normen überschritten hat. Ich spreche davon, dass die Mitarbeiter teilweise das, was sie programmieren, nicht verstehen. Beispiel dafür ist, dass die Programmierer von First4Internet (einem Unternehmen, das im Auftrag von Sony ein Rootkit entwickelte) noch vor einem Jahr selbst nach Informationen über die Möglichkeiten des Verbergens von Dateien im System suchte. Eine technische Bewertung des von ihnen erstellten Rootkits Sicht möchte ich erst nicht vornehmen.
    3. Microsoft ist mit Windows nicht mehr allein schuld an Virusepidemien. Diese Schuld trifft jetzt jedes Unternehmen, dessen Programme Schwachstellen oder nicht dokumentierte Funktionen enthalten. Von nun an kann jede dieser Schwachstellen Ziel von Virusattacken werden.
    4. Die Virenschreiber wechseln ihre Taktik vom Finden und Ausnutzen der Windows-Schwachstellen zur Taktik der selbstständigen Suche von Schwachstellen in Windows und der Verwendung von Schwachstellen in Programmen anderer Unternehmen. Diese Schlussfolgerung verallgemeinert allerdings die Geschichte mit dem Sony-Rootkit und die Schwachstelle in WMF-Dateien.
    5. Antivirus-Unternehmen werden immer häufiger mit Situationen konfrontiert, in denen die Interessen des Anwenderschutzes mit den Interessen großer Software-Unternehmen kollidieren. Es ist verständlich, dass Anwender Rootkits erkennen und löschen möchten, andererseits verfolgt der Hersteller aber keine kriminellen Zwecke und versucht nur, sein Programm zu schützen. Die Erstellung einer gemeinsamen Lösung des Problems ist unbedingt notwendig, sowohl seitens der Antivirus-Gemeinschaft als auch seitens der Software-Hersteller.

    Fazit

    Das vierte Quartal 2005 brachte einige Ereignisse mit weit reichenden Folgen – sowohl für Sicherheits-Experten als auch für Anwender. Das Jahr 2006 wird sicherlich neue Malware, aber auch neue Sicherheitslücken in Programmen und Betriebssystemen bringen – nicht nur unter Windows. Dadurch bekommen Virenautoren, Hacker und Cyber-Kriminelle neue Möglichkeiten. Doch auch die Antivirus-Unternehmen werden sich nicht auf ihren Lorbeeren ausruhen und neue Methoden entwickeln, die Gefahren zu bekämpfen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.