Aktuelle IT-Bedrohungen, zweites Quartal 2007

  1. Einführung

    Grund zur Freude für Anwender: Virenschreiber leiden unter Formtief. Antiviren-Liga befindet sich seit Jahren erstmals wieder in Ballbesitz und liegt gegenüber Virenschreibern klar in Führung

  2. Cyberwar in Estland: Politisch motivierter Partisanenkampf im Internet

    Zwischen Russland und Estland bricht der erste offizielle Cyberkrieg aus. Anwender beteiligen sich freiwillig an Botnetzen und attackieren politisch motiviert Websites von Parteiführern und Medien

  3. Sicherheitslücke iPhone: Boomen nun Bedrohungen für Smartphones?

    Der große Hype um die Markteinführung des neuen Smartphones von Apple lässt eine neue Angriffswelle auf Handys erwarten. Kaspersky Lab analysiert das wirkliche Gefahrenpotenzial

  4. Verborgene Website-Hacks: iframe-Attacken und Mpack-Trojaner

    Jeder kann sie kaufen: Exploit-Sammlungen gibt es schon ab 1000,- US-Dollar im Netz. Die Angriffe sind bei bis zu 12 Prozent der attackierten Internet-Nutzer erfolgreich. Und die verteilten Hackerattacken bleiben für Anwender unsichtbar

  5. Viver: Erste Trojan-SMS auf SymbianOS-Smartphones

    Handy-Missbrauch mit Trojaner-gestütztem Premium-SMS-Versand.
    Drei neue Trojan-SMS-Varianten aufgetaucht.
    Kaspersky Lab erklärt, wie die Kriminellen vorgehen

  6. Fazit

Der Anpfiff für die Security-Saison 2007 ist zwar bereits seit Monaten verhallt, doch das sehr ernste Spiel von Virenschreibern gegen Antivirenhersteller geht jetzt in die nächste Runde. Und die Situation auf dem globalen Spielfeld sieht sehr gut aus für die Antiviren-Mannschaft – ganz zum Wohl von Anwendern weltweit. Denn erstmals seit Jahren befindet sich die Antiviren-Mannschaft wieder im Ballbesitz und kann die Initiative ergreifen.

Die Virenschreiber befinden sich nach wie vor in einer kreativen Krise. Wirklich neue Bedrohungen bleiben trotz fortschreitender Kommerzialisierung des Viren-Milieus aus. In Ermangelung neuer Ideen konzentrieren sich die Virenschreiber derzeit darauf, mit alten Angriffstechniken mehr illegale Einkünfte zu erzielen. Derartige Angriffe prallen jedoch an der aktuellen Antiviren-Verteidigung problemlos ab. Anwender, deren Antivirensoftware auf dem neuesten Stand ist, können dem weiteren Spielverlauf also entspannt zusehen.

Der größte Nachteil gegenwärtiger Virentrends besteht darin, dass statt einer überschaubaren Menge intelligenter Angriffe nun eine riesige Unmenge primitiver Schadprogramme auf die Jagd nach potenziellen Opfern geht. Diese versuchen, alles und jedes zu stehlen, dessen sie über das Netz habhaft werden können. Doch das stellt sich eher als simple Roboterschlacht dar denn als strategisch ausgetüftelte Spielzüge cleverer Mannschaften.

Der vorliegende Quartalsbericht von Kaspersky Lab ist also möglicherweise einer der ungewöhnlichsten überhaupt. Denn die perfide Intelligenz schädlicher Programme steht diesmal nicht im Vordergrund. Und die Ereignisse des ersten Halbjahres 2007 machen zudem insgesamt deutlich, dass eine Verschiebung der Bedrohungen weg vom Social Engineering hin zu einer intensiveren Ausnutzung verschiedener, schon bekannter Schwachstellen stattfindet, um Systeme zu infiltrieren. Deshalb beschäftigen sich die vorliegenden Analysen mit einem weiter gefassten Begriff der IT-Sicherheit und grundsätzlichen Sicherheitsproblemen im Internet sowie neuen Kultur-basierten Angriffen wie politisch motivierten Partisanenkämpfen (Cyberwar), potenziellen neuen Virenzielplattformen wie Apples iPhone, versteckten Trojaner-Angriffen auf Websites und SymbianOS-Handys. Dahinter verbergen sich neue Angriffs- und Schadpotenziale, denen sich eine moderne Antiviren-Liga stellen muss. Kaspersky Lab hat dafür jahrelang trainiert und stellt sich gut gerüstet den Herausforderungen, um zuverlässig zu vermeiden, dass das Runde (Virus) in das Eckige (PC) kommt.

Cyberwar in Estland:Politisch motivierter Partisanenkampf im Internet

Die Ereignisse Ende April, Anfang Mai dürften schon jetzt zu den umstrittensten Themen des gesamten Jahres 2007 gezählt werden. Erstmals in der Geschichte diskutierten Politiker, Militärs und Computerexperten ein bis dahin rein virtuelles Thema – den Cyberkrieg. Politischen Auseinandersetzungen um die Entfernung eines Kriegsdenkmals wurden zum Anlass für umfassende DDoS-Angriffe (Distributed Denial of Service) auf Dutzende von Servern im estnischen Internetsegment und Websites von Politikern, Parteien und Medien. Anwender beteiligten sich sogar freiwillig an Botnetzen, um an diesem Cyberkrieg zu partizipieren.

Der politisch-kulturelle Auslöser

Der erste offizielle Cyberkrieg nahm Mitte April 2007 seinen Anfang, als die estnische Regierung beschloss, in der Hauptstadt Tallin ein Denkmal zu entfernen, das an die während des Zweiten Weltkriegs bei der Befreiung Estlands gefallenen sowjetischen Soldaten erinnerte. Diese Entscheidung führte auf russischer Seite zu Protesten sowie zu einer Verschärfung der politischen Beziehungen zwischen den beiden Ländern.

Derartige politische Konstellationen zwischen Russland und früheren Sowjetrepubliken, die sich mit aller Macht von ihrer sowjetischen Vergangenheit zu befreien versuchen, sind im Prinzip keine Seltenheit. Möglicherweise wäre auch der estnische Denkmal-Konflikt eine Angelegenheit der zuständigen Diplomaten geblieben, doch die Ereignisse zogen immer weitere Kreise, sodass die Krise bald weite Teile der östlichen Internetuser-Gemeinde erfasste und zu einem erbitterten Schlagabtausch führte:

Der Kampf im Internet beginnt

Ab dem 27. April wurden die Websites des estnischen Präsidenten, des Premierministers, des Parlaments, der Polizei sowie die Sites einiger Minister durch Tausende, auf der ganzen Welt verteilten Computern mit einer gigantischen Menge von Datenanfragen überfrachtet. Dies geschah, unmittelbar nachdem es auf einer Demonstration in Tallin gegen die Demontage des Denkmals zu gewalttätigen Auseinandersetzungen mit der estnischen Polizei gekommen war. Mehr als 600 Personen wurden dabei verhaftet und Hunderte des Widerstands gegen die Staatsgewalt beschuldigt

Der Erfolg des Gegenschlags im Internet ließ auch nicht lange auf sich warten. Untersuchungen des finnischen Unternehmens F-Secure zufolge waren bereits am nächsten Tag folgende Websites außer Gefecht gesetzt

Die erste DDoS-Attacke, von der über ein Dutzend estnischer Sites betroffen war, dauerte etwa bis zum 4. Mai an. Allerdings war allen Beobachtern klar, dass das Schlimmste noch bevorstand, denn es näherte sich der 9. Mai, der «Tag des Sieges», an dem Russland traditionell seinen Sieg über den Hitlerfaschismus im Rahmen von Militärparaden begeht.

Der Kampf weitet sich aus: Zweite Angriffswelle

Das auf den Schutz vor DoS-Attacken spezialisierte Unternehmen Arbor veröffentlichte eine Statistik zu den Ereignissen in Estland. Dieser Bericht enthält jedoch keine Daten über die erste Angriffswelle in der Zeit vor dem 3. Mai 2007. Möglicherweise haben die offiziellen estnischen Stellen Arbor erst zu diesem späteren Zeitpunkt um Hilfe gebeten. Anhand der Tabelle ist deutlich zu erkennen, dass die zweite Angriffswelle am 8. Mai begann und ihren Höhepunkt bereits am Folgetag erreichte.

Attacken Datum
21 2007-05-03
17 2007-05-04
31 2007-05-08
58 2007-05-09
1 2007-05-11

Quelle: http://asert.arbornetworks.com/2007/05/estonian-ddos-attacks-a-summary-to-date

Arbor berichtet von 128 unikalen DDoS-Attacken im Laufe von zwei Wochen. Davon verwendeten 115 einen gewöhnlichen ICMP-Flood und lediglich vier einen SYN-Flood. Bei den weiteren neun Attacken handelte es sich um verschiedene Angriffsarten zur Erhöhung des Traffics. Natürlich ist dabei nur ein Teil der tatsächlich ausgeführten Attacken erfasst. Die Dunkelziffer dürfte wenigstens ebenso hoch sein. Die überwiegende Mehrzahl der Attacken dauerte nicht länger als eine Stunde an. Es wurden insgesamt nur sieben Attacken registriert, die länger als zehn Stunden liefen.

Der Angriff auf Estland erfolgte von mehreren Seiten gleichzeitig. Neben den DoS-Attacken auf wichtige staatliche Sites wurden Dutzende andere estnische Websites Opfer von Defacements. Hauptsächlich waren hiervon Sites betroffen, die auf der Grundlage verschiedener Script-Engines funktionieren und eine Vielzahl von Sicherheitslücken aufweisen, von CSS/XSS-Schwachstellen bis hin zu SQL-Injection. Die Angriffe zeichneten sich dabei nicht durch besondere technische Raffinesse aus und hätten auch zu jeder anderen Zeit erfolgen können. Allerdings zogen die politischen Ereignisse die Aufmerksamkeit von Hackern aus aller Welt auf sich und viele von ihnen nutzten die Situation zur Erprobung und Anwendung ihrer Fä.

Als eine der ersten wurde die Site der Reformpartei gehackt, deren Chef der Premierminister Andrus Ansip ist. Auf der Homepage dieser Site platzierten die Hacker einen Text, der eine angebliche Entschuldigung gegenüber der russischsprachigen Bevölkerung Estlands zum Inhalt hatte: «Der Premierminister bittet um Entschuldigung! Der Premierminister und die estnische Regierung bitten die gesamte russische Bevölkerung Estlands um Entschuldigung und verpflichten sich, das Denkmal des Bronzenen Soldaten an seinem ursprünglichen Platz wiederaufzustellen».

Zur gleichen Zeit wurden auch russische Sites angegriffen.

«Am 3. Mai dieses Jahres wurde ein Angriff von bisher nicht da gewesenem Ausmaß auf die Website des russischen Präsidenten verübt, der von Servern erfolgte, deren Herkunft in einem der baltischen Staaten zu vermuten ist», teilte die russische Nachrichtenagentur Novosti im Kreml mit. Doch dank eines Backupsystems und der Verwendung modernster Schutzsysteme konnte die Kontrolle über die Internet-Ressourcen aufrechterhalten werden. Gleichzeitig räumte der Kreml ein, es habe «gewisse Probleme» gegeben und «Hackerattacken auf die Server von Regierungseinrichtungen in verschiedenen Ländern sind leider eine weit verbreitete Praxis».

Auch Websites russischer Massenmedien waren Angriffen ausgesetzt, unter anderem die des Radiosenders Echo Moskau und die der Zeitung Kommersant. In manchen Fällen brachten die Opfer der Angriffe diese allerdings gar nicht mit den Ereignissen in Estland in Verbindung. Sehr wahrscheinlich waren estnische Hacker an den Angriffen auf ihre direkten Gegenspieler auf russischem Territorium beteiligt: Am neunten Mai wurden Sites von Befürwortern des Denkmals der sowjetischen Soldaten gehackt. Von der Homepage der Organisation Nachtwache (web-dozor.ru) verschwanden alle ursprünglichen Inhalte und wurden durch ein Banner mit der Unterzeile «Proud to be Estonian», der estnischen Flagge und den Worten «Estonia forever» ersetzt. Außerdem wurde die Site 1-net.ru Opfer von Hackerattacken .

Den Defacement-Schlagabtausch im Web illustrieren die folgenden Screenshots:

«

«

(c) F-Secure

Gegenwehr von offizieller Seite und politische Tragweite des Cyberkriegs

Was aber unternahmen die estnischen Behörden in dieser Situation? Zunächst nahm die Zentrale Kriminalpolizei Estlands wegen des Verdachts auf Cyberattacken auf staatliche Einrichtungen Dmitri fest, einen 19-jährigen Einwohner Tallins mit höherer technischer Ausbildung. In der Folge machten estnische Politiker die russischen Nachrichtendienste verantwortlich für diesen „Cyberkrieg“ und überschritten damit eine „unsichtbare Grenze“. Erstmals fiel der Begriff auf so hoher politischer Ebene.

Es ist indes kein Geheimnis, dass alle großen staatlichen Nachrichtendienste über Abteilungen verfügen, die für den Schutz der E-Ressourcen des Landes und die Durchführung verschiedener Maßnahmen der Spionage sowie Angriffsabwehr zuständig sind. Auch die US-Armee verfügt über eine solche Unterabteilung. Deren Mitglieder nahmen sogar an verschiedenen Hac­king-Wettbewerben teil – wenn auch nicht sonderlich erfolgreich.

Doch niemals zuvor in der Geschichte hat ein Staat einen anderen der Ausführung einer Cyberattacke oder der Cyber-Kriegsführung beschuldigt:

  • Nicht, als sich Hacker im Zuge des indisch-pakistanischen Konflikts Ende der 90er Jahre eine Schlacht im Netz lieferten, aus der auch der Wurm Lentin (Yaha) hervorging, einer der zerstörerischsten E-Mail-Würmer des letzten Jahrzehnts
  • Nicht, als sich die NATO in den jugoslawischen Konflikt einmischte, Serbien bombardierte und serbische Hacker zusammen mit Hackern aus anderen Ländern die Web-Ressourcen der USA und der NATO attackierten
  • Nicht, als sich die Beziehungen zwischen China und Japan verschärften und Websites der japanischen Regierung DoS-Attacken ausgesetzt waren
  • Nicht, als amerikanische Ministerien und Behörden sich im Visier chinesischer Hac­kergruppen befanden (und noch befinden), die sich immer wieder Zugang zu vertraulichen Informationen verschaffen

Cyberkrieg erregt international Aufmerksamkeit
.

Im estnisch-russischen Konflikt aber, in dem die russischen Attacken auf die estnischen Sites ganz klar rüpelhaften Charakter tragen, wurden die Auseinandersetzungen auf eine neue Ebene gehoben. Zunächst verkündete der estnische Außenminister Urmas Paet, dass die Hacker von Russland aus operiert hätten, unter anderem von Computern staatlicher Einrichtungen aus. Daraufhin schlug der Verteidigungsminister Estlands, Yaak Aaviskoo, vor, das Problem der Anerkennung von Cyberattacken als kriegerische Aktionen in nächster Zukunft zu lösen: «Zum gegenwärtigen Zeitpunkt betrachtet die NATO Cyberattacken nicht als kriegerische Aktivität. Das bedeutet, dass die NATO den fünften Artikel zum militärischen Schutz des NATO-Vertrags automatisch nicht auf die Länder anwendet, die Opfer derartiger Attacken geworden sind. Gegenwärtig gibt es in der NATO nicht einen Verteidigungsminister, der Cyberattacken eindeutig zu den kriegerischen Aktionen zählen würde. Doch diese Frage sollte in nächster Zukunft geklärt werden.»
.

Die politische Lage spitzte sich damit zu. Denn faktisch forderte Estland militärischen Schutz vor kriegerischen Bedrohungen aus dem Internet. Doch für ein derartiges Ansinnen hätte Estland über unwiderlegbare Beweise für eine Beteiligung russischer Regierungsstrukturen an den Angriffen verfügen müssen. Aber in den seit Beginn der Attacken vergangenen Monaten konnte Estland keine echten Beweise hierfür erbringen. Auch die Experten der NATO, die sich Anfang Mai eiligst in Tallin einfanden, um den Verbündeten beizustehen, konnten nichts Derartiges beweisen. Praktisch alle Behauptungen über eine staatliche Spur gründen sich auf einen einzigen nachgewiesenen Aufruf der Website des estnischen Präsidenten von einer IP-Adresse aus, die der Administration des russischen Präsidenten zuzuordnen ist.

Das Wort «Cyberkrieg» war also gefallen. Und aus aller Welt – den USA, Europa, Israel – strömten die Experten nach Estland. Einige kamen, um bei der Abwehr der Bedrohungen zu helfen, andere, um wichtige Erfahrungen zu sammeln, den Verlauf des Widerstreits zu verfolgen und daraus Schlüsse für den Schutz des eigenen Landes zu ziehen.

Freiwillige Beteiligung an Botnetzen: Letzte Form des Bürgerprotests.

Was tat sich in diesen Tagen im russischen Segment des Internets? Über die Versuche, russischen Behörden die Schuld zuzuweisen, vergaßen scheinbar alle, die Haltung der russischen Internet-User zur Demontage des Denkmals zu ergründen – und diese war überwiegend anti-estnisch. Sobald die Auseinandersetzungen mit der Polizei begonnen hatten, nutzten viele russische Internet-User, die nicht in der Lage waren, ihrem Protest vor Ort persönlich Ausdruck zu verleihen, die scheinbar einzige ihnen verbleibende Möglichkeit: Protest in Form einer Beteiligung an den verteilten DoS-Attacken mittels Botnetzen.

Mittlerweile lässt sich kaum noch feststellen, wo und wann die Idee aufkam, über den Traffic zurückzuschlagen. Vermutlich ging sie von genau den Hackergruppen aus, die in der Vergangenheit derartige Attacken auf Sites von tschetschenischen Kämpfern ausführten. Die damals gesammelten Erfahrungen waren hier wieder von Nutzen. Im Rahmen entsprechender Foren und Sites tauchte eine Vielzahl von Programmen auf, die unzählige Datenanfragen an estnische Sites sendeten. Jeder beliebige User konnte sich ein solches Programm downloaden und auf seinem Computer starten. Das so manuell mittels altbekannter Schadprogramme geschaffene Botnetz entstand tatsächlich mit der freiwilligen Beteiligung von politisch motivierten Anwendern. Der vermeintliche Cyberkrieg von staatlicher Seite stellt sich also schlussendlich eher als Partisanenkrieg von Bürgern dar – wenngleich ein Teil der Attacken auch von echten Botnetzen ausging mit international gekaperten Rechnern.

Nachwirkungen und Fazit
.

Die Angriffe auf Estland wurden mittlerweile eingestellt. Die Experten sind in ihre Länder zurückgekehrt. Hersteller von Netzwerkgeräten haben eine Menge neuer Verträge abgeschlossen. Journalisten haben Dutzende Artikel über den estnisch-russischen Konflikt geschrieben. Das Denkmal wurde an einem anderen Ort wieder aufgestellt. Die sterblichen Überreste der sowjetischen Soldaten wurden umgebettet. Und der einzige wegen des Verdachts auf die Organisation der Attacken Verhaftete, der 19jährige Dmitri aus Tallin, wurde aus Mangel an Beweisen wieder auf freien Fuß gesetzt.

„Ich glaube nicht, dass das Russland war, aber wie sollte man das beweisen?“, sagte Gadi Evron, Experte für Computersicherheit aus Israel. Evron verbrachte vier Tage in Tallin und führte im Auftrag Estlands gewissermaßen eine Obduktion der betroffenen Systeme durch. „Das Internet ist hervorragend dafür geeignet, alles nur Erdenkliche glaubwürdig zu dementieren. „, konstatiert Evron. „Kommt es zu politischen Spannungen, so wirken sich diese unausweichlich auch auf die virtuellen Netzwerke aus“, fügte er hinzu und verwies auf die Angriffe auf dänische Sites im Zuge des Karikaturenstreits.

Weltweit wird innerhalb der Community nun mit den Wörtern Cyberkrieg und Cyberterrorismus gespielt, wobei Russland das Etikett des ersten Landes angeheftet wird, das „die digitale Bombe einsetzte“. Spezialisten werden nicht müde, Szenarien tatsächlicher Cyberkriege zu erfinden

«Man kann hier von einer Stufenwaffe sprechen», erläutert der Leiter der Abteilung für Telekommunikation und Informationstechnologie des estnischen Verteidigungsministeriums, Michel Tammet, ein mögliches Szenario. «zunächst wird der Zugriff auf populäre Informations-Portale mit Hilfe des Versendens von Computer-Zombies erschwert […] Daraufhin gibt es die ersten Aussetzer in der Funktion der E-Mail-Accounts und mit dieser Tarnung dringen die Hacker bis zu den Regierungsservern sowie zu den Servern von Kommunikations-, Transport- und Finanzunternehmen vor, wodurch das Funktionieren des gesellschaftlichen Systems insgesamt destabilisiert wird.»

Welche Schlüsse soll man nun aus dem dargestellten Konflikt und der Art und Weise des allgemeinen Umgangs damit ziehen? Kaspersky Lab vertritt seit jeher die Auffassung, dass die öffentliche Darstellung von Mitteln und Wegen zur Manipulation oder Störung grundlegender IT-Funktionen vermieden werden sollte. Diskussionen um Cyberkriege und terroristische Angriffe im Internet sollten potenziellen Tätern weder szenarische Anregungen noch praktische Hilfestellungen bieten. Ein so verlaufender Diskurs führt am eigentlichen Ziel der systematischen und proaktiven Absicherung digitaler und von ihnen abhängiger analoger Systeme vorbei. Die freiwillige Beteiligung von Internet-Usern an Botnetzen zeigt, dass Anwender nicht nur lernen müssen, wie sie ihre Systeme technisch schützen (etwa durch sicher konfigurierte Firewalls und aktuelle Antivirenprogramme), sondern auch, welch verheerende internationale Auswirkungen es haben kann, wenn man sich unbedacht an DDoS-Attacken im Rahmen politischer Aktionen beteiligt und einem noch größer angelegten Cyberkrieg den Weg bereitet.

Sicherheitslücke iPhone:Boomen nun die Bedrohungen für Smartphones?

Über den im zweiten Quartal 2007 weltweit für Aufsehen sorgenden Marktstart von Apples neuem Smartphone, dem iPhone, gerieten sicherlich bei vielen Anwendern Fragen der IT-Sicherheit aus dem Blick, hatte man doch vor allem Augen für das neue Design des „Mac-Phones“. Grund genug für Kaspersky Lab, der Frage nachzugehen, wie es um die Sicherheit des iPhones gegenüber mobilen Angriffen bestellt ist und welche Faktoren bestimm, wann sich Hacker daran machen, Malicious Codes für eine neue mobile Plattform zu schreiben.


«

In den USA erwarteten Millionen von Usern ungeduldig den Verkaufsbeginn des iPhone, bereits Tage vor dem Tag X bildeten sich Schlangen vor den Geschäften. Gleichzeitig versuchten IT-Sicherheitsexperten zu analysieren, inwiefern das iPhone die allgemeine Lage in Bezug auf die Sicherheit mobiler Geräte verändern würde und ob dessen offensichtliche Popularität zu einem neuen Boom in der Welt der bis dato stagnierenden mobilen Viren führen könnte.

Für Kaspersky Lab gehört das Thema mobile Bedrohungen zu den Bereichen, die einer ständigen Analyse unterliegen. Bereits vor drei Jahren stieß Kaspersky Lab auf die ersten mobilen Viren. Um einschätzen zu können, wie groß die Wahrscheinlichkeit ist, dass schädliche Programme für bestimmte Geräte oder Betriebssysteme auftauchen, wenden wir seit langem eine Drei-Faktoren-Methode an, die folgende Kriterien analysiert.

  1. Popularität: Wie verbreitet sind Gerät, System und Entwicklungsplattform;
  2. Umfang der Dokumentation: Wie umfassend ist das System dokumentiert? Wie viel ist über Interna bekannt;
  3. Sicherheitsdefizite: Wie gut geschützt oder offen für Angriffe ist das System. In welchem Umfang existieren bereits Sicherheitslücken in den Anwendungen?

Jedes der drei aufgeführten Kriterien muss erfüllt sein, damit sich der Aufwand für Hacker lohnt, Schadprogramme zu entwickeln und damit eine kritische Masse an Opfern zu erreichen. Im Folgenden untersucht Kaspersky Lab das iPhone hinsichtlich dieser Faktoren.

Popularität: Das iPhone wird interessant für Virenschreiber

Innerhalb der ersten drei Tage nach Markteinführung verkaufte Apple etwa eine halbe Million iPhones. Die Sites engadgetmobile.com und waitingforiphone.com berichten, dass in den ersten zehn Tagen des Monats Juli bereits über eine Million Apple-Smartphones über den Ladentisch gegangen sind. Analysten sagen weiter voraus, dass die Zahl der verkauften iPhones innerhalb eines halben Jahres 13,5 Millionen erreichen wird.

Was sagen diese Zahlen aber über die tatsächliche Popularität des Gerätes aus, wenn man sie jenen der auf Handys am weitesten verbreiteten Betriebssystemplattform SymbianOS gegenüberstellt?

  • Im Laufe des Jahres 2003 wurden 6,7 Millionen Mobiltelefone mit dem Betriebssystem Symbian OS verkauft, allein im Dezember 2003 waren es eine Million Geräte.
  • Im Jahr 2004, als der erste mobile Wurm Cabir in Erscheinung trat, gab es weltweit etwa 15 Millionen Smartphones mit Symbian OS, von denen 70% auf Geräte von Nokia entfielen. Insgesamt lief im Jahr 2004 auf 38% aller Smartphones Symbian OS.
  • Innerhalb des zweiten Quartals 2005 wurden 7,8 Millionen Symbian-Handys verkauft, im Vergleich zu 2,4 Millionen abgesetzter Geräte im zweiten Quartal des Jahres 2004. In der zweiten Jahreshälfte 2005 wurden insgesamt 14,5 Millionen mobile Telefone mit dem Betriebssystem Symbian OS verkauft.

Markiert 2008 den Beginn mobiler Virenepidemien?

Ganz offensichtlich sind die zum Ende des Jahres 2008 erwarteten 13,5 Millionen iPhones mit den 15 Millionen im Jahre 2004 verkauften Symbian-Geräten vergleichbar. Davon ausgehend lässt sich der Schluss ziehen, dass das Jahr 2008 den Beginn möglicher Virusprobleme für das iPhone markieren könnte. Sehr wahrscheinlich werden derartige Probleme – auf Grund des großen Interesses der Anwender und auf Grund des hohen Werbeaufkommens – schon vor Ende des Jahres 2008 eintreten.

De facto ist das iPhone zwar bereits heute sehr populär, doch die kritische Masse an tatsächlichen Nutzern ist noch nicht groß genug, um die Aufmerksamkeit der Virenschreiber auf sich zu ziehen. Einer von der Firma Lightspeed Research eine Woche nach offiziellem Verkaufsbeginn (29. Juni) durchgeführten Umfrage zufolge, möchte allerdings jeder dritte Amerikaner ein iPhone besitzen. Etwa 8% der Befragten planen, das Gerät bereits im Laufe der nächsten drei Monate zu erwerben, und 22% haben vor, es irgendwann in der Zukunft zu kaufen.

Umfang der Dokumentation: MacOS + ARM-CPU = potenzielle Angriffsziele

Da im iPhone eine spezielle Version von Mac OS X (mit dem Identifikator OS X 1.0 (1A543a)) zum Einsatz kommt, ist die Betriebssystemplattform weithin bekannt und sind mögliche Angriffe auf Mac OS X grundsätzlich auch auf die Mobilversion portierbar. Worin sich das mobile Betriebssystem im Einzelnen von dem Desktop-Betriebssystem unterscheidet, wurde bisher noch nicht offiziell bekannt gegeben, doch es ist wahrscheinlich, dass diese Unterschiede nicht sehr gravierend sind. Es handelt sich im Wesentlichen um eine für den mobilen Einsatz optimierte Version ohne Unterstützung für verschiedene Peripheriegeräte und Anwendungen, die sonst nur auf dem Desktop genutzt werden

Im iPhone verrichtet zudem ein Prozessor mit ARM-Architektur seinen Dienst. Entsprechend ist der Einsatz von in ARM-Assembler geschriebenen Anwendungen möglich. Diese Funktionen sind wiederum überaus gut dokumentiert und lassen sich grundsätzlich also – ebenso wie die Betriebssystemplattform – für zukünftige Missbräuche nutzen.

Sicherheitsdefizite: Kritische Lücken trotz einschneidender Einschränkungen

Insgesamt ist es um Apple und deren Betriebssysteme und Anwendungen in Bezug auf Schwachstellen nicht sonderlich gut bestellt. Denn Schwachstellen – auch viele kritische – sind vorhanden, und die meisten wurden nur deshalb entdeckt, weil die Zahl der MacOS-Nutzer in der letzten Zeit stetig zugenommen hat. Infolgedessen haben immer mehr Hacker damit begonnen, sich in Code und Schnittstellen von MacOS einzuarbeiten. Netzwürmer für Mac OS X, die Schwachstellen zur Verbreitung ausnutzen, hat es bereits gegeben. Es gibt also hinreichende Gründe anzunehmen, dass derartige Probleme für das iPhone-Betriebssystem ebenfalls auftreten werden.

Und bereits Anfang Juni berichtete SPI Dynamics von der ersten Sicherheitslücke im iPhone, die mit einem speziellen, in den Safari-Browser integrierten automatischen Wählsystem zusammenhängt. Unter bestimmten Umständen kann ein Krimineller den Anruf des iPhone-Users auf eine andere Telefonnummer umleiten und somit Telefonate ohne Erlaubnis des Anwenders führen. Der Angreifer kann zudem das Wählen von Nummern verhindern und dafür sorgen, dass sich das Gerät in einer Endlosschleife von Wählversuchen aufhängt und nur das Abschalten des iPhones diesen Vorgang unterbricht.

Den Erkenntnissen von SPI Dynamics zufolge, ist es relativ einfach, eine solche Attacke zu organisieren, denn das potenzielle Opfer muss dazu lediglich auf eine manipulierte Webseite gelockt werden. Überdies kann ein Angriff auch über eine legale Online-Ressource erfolgen, die für CSS-Attacken (Cross-Site Scripting) anfällig ist. «Da dieser Ablauf auf jeder beliebige Site angewendet und jeder beliebige Besitzer eines iPhones zum Opfer werden kann, ist diese Sicherheitslücke als ernsthaft einzustufen», sagt Bill Hoffmann, Analytiker bei SPI.

Funktionsdefizite: Erschwernisse für Hacker

Das iPhone verfügt daneben über einige Merkmale, die Virenschreibern das Leben durchaus erschweren könnten. Besonders bemerkenswert ist, dass Bluetooth nur mit angeschlossener Garnitur verwendet werden kann. Bluetooth lässt sich auf dem iPhone also nicht automatisch zur Datenübertragung und Synchronisierung mit dem PC einsetzen. Diese Besonderheit lässt Zweifel daran aufkommen, dass es für das iPhone jemals Würmer nach Art von Cabir für Symbian geben wird, denn wenn eine Dateiübertragung per BT nicht möglich ist, sind potenzielle Würmer ihres wichtigsten Verbreitungswegs beraubt.

Ähnlich zu bewerten ist eine zweite Einschränkung, das Fehlen von MMS-Unterstützung. Was zunächst unter iPhone-Enthusiasten einen Sturm der Entrüstung hervorrief, wird im Hinblick auf Viren aber etwa dieselbe Auswirkung haben wie das oben beschriebene Bluetooth-Defizit: Mit MMS entfällt ein weiterer wichtiger Verbreitungsweg für Viren. Der Wurm ComWar für Symbian wird also kaum auf das iPhone übertragen werden.

Fazit: Die Gefahr für iPhone-Nutzer wird in einigen Monaten real

Unter Berücksichtigung aller oben aufgeführten Fakten geht Kaspersky Lab davon aus, dass im nächsten Jahr die ersten schädlichen Programme für das iPhone erscheinen. Dabei wird es sich nicht um Würmer handeln. Sehr viel nahe liegender sind in diesem Fall gewöhnliche Dateiviren sowie trojanische Programme. Die größte Bedrohung für die Besitzer von iPhones besteht allerdings in Sicherheitslücken, die von Kriminellen zum Zugriff auf gespeicherte Daten genutzt werden.

Verborgene Website-Hacks: iframe-Attacken und Mpack-Trojaner

Mitte Juni wurden die auf IT-Sicherheits-Probleme spezialisierten Medien von Meldungen aus Italien in Aufruhr versetzt. Einige tausend italienische Sites waren zur Verbreitungsquelle von Schadprogrammen geworden. Innerhalb weniger Tage wurden mehr als sechstausend Server identifiziert, deren Seiten einige Zeilen von Angreifern eingeschleusten HTML-Code enthielten. Der Code, der in verschiedenen Varianten existiert, sah in etwa so aus:

Kaspersky Lab sind derartige Zeilen schon seit einigen Jahren bekannt, denn es handelt sich hierbei um eine typische Konstruktion für das Ausnutzen von Sicherheitslücken im Browser. Die im Adressfeld angezeigte Site ist dann entweder eine Umleitung auf andere Sites, die den tatsächlichen Angriffscode enthalten, oder sie selbst erfüllt die Funktion des Infektors.

Die Verwendung des Tags

erfreut sich in derartigen Fällen schon recht lange großer Beliebtheit. Der Tag öffnet ein neues Fenster im Browser und bei Anzeige der Größe null bleibt dieses Fenster geöffnet, ohne dass der Anwender Kenntnis davon gewinnt. Die Ausführung des Exploits bleibt also unbemerkt und der Anwender selbst weiß nicht, dass er sich bereits auf einer anderen als der im Hauptfenster geöffneten Site befindet.

Konkrete Beispiele aus jüngster Vergangenheit

Im September 2006 wurde Kaspersky Lab über ein merkwürdiges Verhalten von Web-Browsern beim Öffnen der Site top.rbc.ru informiert: Der Internet Explorer beendete seine Arbeit umgehend und schloss alle geöffneten Fenster. Firefox hingegen funktionierte zwar weiterhin, beanspruchte dabei aber 400 MB Arbeitsspeicher. Im Zuge der Analyse entdeckten die Experten von Kaspersky Lab einen Code in der entsprechenden Seite, der auf eine Site unter der Domain pp.se führte. Hinter diesem Link wurde ein Skript entdeckt, das den Exploit einer Sicherheitslücke enthielt, die im Microsoft Security Advisory (926043) beschrieben ist. Dieses Exploit lud eine neue Version des Trojaners Trojan-PSW.Win32.LdPinch–ayj auf den betroffenen Computer.

Im Dezember wurden von Kaspersky Lab nicht weniger als 470 Server identifiziert, die mit dem Programm Trojan-Downloader.JS.Psyme infiziert waren, wobei alle diese Server von Diensten des Hosting-Providers Valuehost genutzt wurden. Unter anderem wurden auch die Ressourcen des populären russischen Web-Portals www.5757.ru infiziert. Beim Besuch der infizierten Sites wurde auf Befehl eines von Kriminellen in die Site eingeschleusten Skripts das Programm Trojan-Downloader.JS.Psyme geladen, welches wiederum andere schädliche Codes auf das attackierte System lud.

Einige Tage bevor die Probleme in Italien begannen, registrierte Kaspersky Lab einen analogen Fall in Russland, wiederum in Verbindung mit der populären Site rbc.ru: Am 7. Juni 2007 erhielten viele Anwender beim Besuch dieser Site eine Warnmeldung ihres Antivirus-Programms über den Versuch einer Infizierung mit einem trojanischen Programm. Eine detaillierte Analyse ergab, dass die Homepage der Site folgenden Code enthielt:

Überraschend für uns war, dass sich Mpack über die Grenzen Russlands hinaus verbreitet hatte und nun auch in Italien eingesetzt wurde. Einige Gründe hierfür:

  • Mpack wurde in Russland entwickelt und von russischen Hackern an weitere Hacker verkauft.
  • Die Autoren von Mpack waren aktiv an der Entwicklung und Unterstützung eines anderen verbreiteten trojanischen Programms, LdPinch, beteiligt.
  • Auf dem Schwarzmarkt sind verschiedene, in Bezug auf ihre Funktionalität sehr ähnliche Exploit-Sammlungen erhältlich, wie z.B. Q406 Roll-up package, MDAC und WebAttacker, die Mpack bezüglich ihrer Durchschlagskraft alle übertreffen.

Exploit-Sammlungen auf dem Vormarsch

Es gibt im Internet also Sammlungen von Exploits, die in PHP (oder einer beliebigen anderen Skript-Sprache wie VBS oder JS) geschrieben sind. Darin enthalten sind auch einige Exploits, die Schwachstellen in populären Browsern und Betriebssystemen ausnutzen. Eine sehr simple Exploit-Sammlung könnte ungefähr so aussehen:

– MS06-014 for Internet Explorer 6
– MS06-006 for Firefox 1.5
– MS06-006 for Opera 7
– WMF Overflow
– QuickTime Overflow
– WinZip Overflow
– VML Overflow

In der Regel werden die Exploits zusätzlich verschlüsselt, um eine Entdeckung durch Web-Antivirus-Programme zu verhindern und die Identifizierung und Analyse zu erschweren.

Ein Krimineller platziert die Exploit-Sammlung auf seiner eigenen Site, woraufhin er nur noch Anwender dorthin locken muss. Dafür nutzt er wiederum andere Sites, auf die er sich Zugriff verschafft – meist, indem er Zugangsdaten verwendet, die er zuvor mit Hilfe irgendeines trojanischen Programms, wie etwa LdPinch, gestohlen hat. Daraufhin fügt der Angreifer allen Seiten der entsprechenden Websites den gleichen iframe-Tag hinzu, der auf seine mit der Exploit-Sammlung infizierte Site führt. Um Kriminellen die Arbeit beim massenhaften Hinzufügen von iframe-Tags zu erleichtern, stehen verschiedene Tools zur Verfügung, wie z.B. die von einem russischen Schüler entwickelten FTPToolz.

Jetzt ist alles vorbereitet. Zehntausende Anwender besuchen ihnen bis dahin als sicher bekannte Sites und ahnen nicht, dass diese gehackt wurden und ihr Browser bereits von einer Vielzahl von Exploits angegriffen wird. Das Ausführen der Exploits ist allerdings nicht das endgültige Ziel der Kriminellen, denn dieses besteht vielmehr darin, weitere Schadprogramme im aktiven System zu installieren. In der Regel werden Trojan-Downloader installiert, die im Folgenden zum Herunterladen von schädlichen Programmen aller Art genutzt werden – Viren, Würmer, Banker, Keylogger.

Alle vergleichbaren Exploit-Sammlungen enthalten zudem ein Statistikmodul, das die Kriminellen mit Informationen darüber versorgt, wie viele Anwender in welchen Ländern infiziert wurden, welche Browser diese verwenden und von welchen Sites die Opfer kamen. Mpack wurde von seinen Autoren für 1000 $ angeboten, zusätzlich konnte man weiteren Support kaufen wie etwa das Einbinden aktueller Exploits in die Sammlung. Auf diese Art werden auch die übrigen populären Exploit-Sammlungen zum Verkauf angeboten.

Ein Indikator für die Effektivität derartiger Exploit-Sammlungen ist der Anteil der infizierten Anwender, die die entsprechende Site besucht haben. Die Autoren der Sammlungen versprechen einen Anteil von 30%-50%. Obgleich die Praxis zeigt, dass ein Prozentsatz zwischen 10% und 12% realistisch ist, bleibt zu bedenken, dass dies bei vielen tausend Anwendern bereits ein sehr Besorgnis erregender Wert ist.

Fazit: Offene juristische Bewertung der Exploit-Sammlungen

Eines der größten Probleme in diesem Zusammenhang besteht nach Ansicht von Kaspersky Lab darin, dass die Autoren von Mpack juristisch kaum zur Verantwortung zu ziehen sind. Rein formell kann man ihnen nur vorwerfen, dass sie auf ihre Einkünfte keine Steuern zahlen. Sie hacken keine Sites, um auf diesen einen Link mit iframe zu platzieren, denn das machen jene, die Mpack kaufen. Sie verbreiten auch keine trojanischen Programme, denn das übernehmen ebenfalls die Käufer von Mpack. Sie entnehmen lediglich offen zugänglichen Quellen Exploits, die von anderen Leuten entdeckt wurden und auf Hunderten von Sites zur Informationssicherheit veröffentlicht sind. Sie stellen diese Exploits nur zu einem Paket zusammen und tragen keine Verantwortung dafür, wofür dieses verwendet wird. Die Autoren von Mpack tun im Prinzip nichts anderes als auch der Autor des populären und geschätzten IT-Security-Projekts Metasploit Framework, HD.Moore. Doch während die einen offen aussprechen, wofür derartige Sammlungen verwendet werden können, geben die anderen diese als unverzichtbares Tool des Administrators zur Überprüfung des eigenen Systems aus.

Viver: Erste Trojan-SMS auf SymbianOS-Smartphones

Mitte Mai entdeckte Kaspersky Lab gleich drei Varianten eines neuen trojanischen Programms für Mobiltelefone: Trojan-SMS.SymbOS.Viver versendet kostenpflichtige SMS-Nachrichten an teure Premium-Nummern. Vom Konto des attackierten Telefoninhabers wird dann automatisch eine bestimmte Geldsumme abgebucht, von der ein wesentlicher Teil auf dem Konto der Kriminellen landet. Derartige Tricks sind zwar nichts Neues. Kaspersky Lab entdeckte bereits2006 solche Angriffe, die praktisch auf jedem Mobiltelefon funktionieren, das Java unterstützt (RedBrowser, Wesber). Aber das Besondere an Viver ist, dass er speziell für Symbian OS-Handys geschrieben wurde und der erste Trojan-SMS für Smartphones ist.

Kaspersky Lab verfolgt die Verbreitungswege.

Im Rahmen einer intensiven Analyse ist es Kaspersky Lab gelungen, den Verbreitungsweg von Viver zu identifizieren und den Weg des Geldes zu den Betrügern zurückzuverfolgen.

Die Trojaner wurden auf der beliebtesten russischen Site für Smartphone-User – dimonvideo.ru – in der Rubrik Dateiaustausch platziert. Jeder registrierte Benutzer dieser Site kann hier Dateien hinzufügen. Wie üblich wurden die Trojaner als nützliche Tools, etwa als Bildbearbeitungsprogramm ausgegeben. Nach der Installation auf einem Smartphone schickte der Trojaner eine SMS an die Nummer 1055. Die Kosten für die versendete SMS betrugen 177 Rubel, umgerechnet knapp sieben US-Dollar.

Die Nummer 1055 wurde nicht zum ersten Mal von russischen Betrügern verwendet und gestattet es den Kriminellen, ihre Spuren leicht zu verschleiern: So mieten Content-Provider von Mobilfunkanbietern Kurznummern und vermieten diese unter Hinzufügen eines bestimmten Präfixes weiter. Die Kurznummer 1055 wird von einem russischen Content-Provider gemietet und abermals weitervermietet. Gelangt dorthin eine Mitteilung, die etwa mit «S1» beginnt, so überweist der Provider einen Teil der Kosten für diese SMS auf das Konto des Zweitmieters „S1“. Der Mobilfunkanbieter behält für sich zwischen 45 Prozent und 49 Prozent des für die SMS erhobenen Betrages, ungefähr 10 Prozent erhält der Provider. Der Restbetrag wird an den Zweitmieter überwiesen, in diesem Fall an den Mobil-Betrüger. Selbst mit einer einzigen Viver-Variante ist es möglich, binnen 24 Stunden 200 Opfer zu erreichen. Bei Preisen von 117 Rubel für eine SMS fallen schon Kosten von über 23.000 Rubel (knapp 1400 US-Dollar) an. Davon steckt der Betrüger immerhin beinahe14.000 Rubel (500 US-Dollar) ein.

Fazit: Wunder Punkt, aber noch keine Fälle außerhalb Russlands

Moderne Mobilfunktechnologien ziehen immer häufiger die Aufmerksamkeit von Cyberkriminellen auf sich. Im vorliegenden Fall basiert der Betrug auf der Verwendung des Kurznummer-Dienstes, der von Mobilfunkanbietern und Providern verfügbar ist. Die Möglichkeit, ohne Einverständnis des Kunden und ohne zusätzliche Bestätigung, Geld von dessen Konto abzubuchen, ist einer der wunden Punkte moderner Mobilfunkdienste.

Im Mai registrierte Kaspersky Lab drei weitere Fälle ähnlicher Art. Man kann nur vermuten, wie viele derartige Trojaner unbemerkt bleiben. Statistiken, die Auskunft zu derartigen Fällen außerhalb Russlands geben, sind uns derzeit nicht bekannt. Auch Antivirus-Hersteller aus anderen Ländern haben bisher nicht von Vorkommnissen dieser Art berichtet. Doch es realistisch anzunehmen, dass es sich hierbei nicht um ein rein russisches Problem handelt und entsprechende Angriffe auch bald den europäischen Mobilfunknutzern drohen.

Fazit

Neue Betriebssysteme (Windows Vista), neue Medien-Dienste (mobiler Content) und neue Endgeräte (Apple iPhone) –das zeigt der vorliegende Bericht zum zweiten Quartal 2007 ganz deutlich – sind bis dato noch nicht ins Visier der Virenschreiber geraten. Die Kriminellen konzentrieren sich vielmehr darauf, über Jahre erprobte Methoden und möglichst breit getretene Wege zu nutzen, um Anwendern vor allem finanziellen Schaden zuzufügen und sich auf diese Weise zu bereichern. Neuheiten auf dem Gebiet der Malware-basierten Kriminalität beschränken sich allenfalls auf wenige Konzepte, die aber kein weiteres Entwicklungspotenzial besitzen.

Der Mangel an Inspiration und Initiative auf Seiten der Virenautoren erschwert den Blick in die Zukunft. Kaspersky Lab will ihn dennoch wagen und zieht basierend auf umfassenden Analysen im Bereich der Internet-Sicherheit folgende Schlüsse.

  • Rückkehr zu den Ursprüngen
    Die Bedrohungen werden nicht raffinierter, allenfalls massiver. Angreifer nutzen wieder vermehrt und in großem Maßstab DDoS-Attacken (Distributed Denial of Service) sowie bekannte Schwachstellen in Browsern, um in fremde Systeme einzudringen.

  • E-Mail verliert an Bedeutung
    Im Unterschied zum ebenfalls sehr verbreiteten Einsatz derselben Methoden noch vor drei Jahren lässt sich aktuell feststellen, dass E-Mails als häufigster Verbreitungsweg von Viren zugunsten von Instant-Messaging-Systemen zurücktritt.

  • Online-Gamer stärker in Gefahr
    Ein explosionsartiger Anstieg von Trojanern ist im Bereich des Online-Gaming zu verzeichnen. Anwender, die das Internet für zum Beispiel Massive-Multiplayer-Rollenspiele nutzen, müssen ihr Userverhalten entsprechend anpassen (Vorsicht bei Downloads, immer aktuelle Antiviren-Software).

  • Verbesserter Virenschutz
    Die Antivirus-Hersteller haben ihre Produkte mit – auch gegenüber den früher so innovativen Virencodern – top-aktuellen Technologien ausgestattet und entscheidend verbessert. Sie bieten damit einen wirkungsvollen und proaktiven Schutzwall gegen alle derzeit bekannten Virenepidemien.

  • Schadprogramme sterben schneller
    Die durchschnittliche Überlebenszeit der meisten neuen Schadprogramme in freier Wildbahn („in the Wild“-Viren) beträgt heute nur noch wenige Stunden, in seltenen Fällen ein paar Tage. Das ist nicht zuletzt auch einem besseren Schutz von Anwendern sowie den aktiven Antivirenbestrebungen zu verdanken.

  • Kriminelle werden nach Umwegen suchen
    Sich dem Schutzbereich der Antiviren-Lösungen zu entziehen, wird bald vorderstes Ziel der Virenmafia sein. Dabei werden sich zwei Strategien herausbilden:

    1. Umgehen des Antivirenschutzes mittels neuer programmiertechnischer
      Tricks und Ausnutzen neuer Sicherheitslücken

    2. Aktivitäten starten in Bereichen, die bisher noch nicht durch einen
      hochwertigen Virenschutz abgedeckt sind oder für die grundsätzlich kein
      Virenschutz technisch möglich ist
  • Neue Frontlinie in der Security-Schlacht
    An der Front zukünftiger Attacken von Seiten der Virenprogrammierer und Computerkriminellen werden vor allem Online-Spieler, Blogger, Instant-Messaging- sowie Filesharing-Nutzer stehen. Die Server der entsprechenden Anbieter werden verstärkt von Online-Schädlingen ins Visier genommen. Eine große Bedeutung als Angriffsziel wird dabei auch Konvergenzangeboten im Sinne eines Web 2.0 zukommen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.