Kaspersky Security Bulletin 2006: Internet-Attacken

  1. Entwicklung der Schadprogramme
  2. Schadprogramme für Unix-ähnliche Systeme
  3. Schadprogramme für mobile Geräte
  4. Internet-Attacken
  5. Spam in 2006

Einleitung

Der vorliegende Bericht von Kaspersky Lab liefert einen Überblick über alle im Jahr 2006 im Smallpot-Netzwerk registrierten Attacken und Sonden. In unserem Halbjahresbericht (*1) stellten wir einen beträchtlichen Anstieg von Angriffen aus den USA fest. Die meisten zielten auf finanzielle Bereicherung ab, wobei bekannte Schwachstellen zur Infizierung von Computern mit Spambots und Trojan-Proxy-Servern genutzt wurden.

Dieser Bericht befasst sich mit den am weitesten um sich greifenden Attacken und deren geografischer Herkunft. Zudem werden die Daten mit denen aus dem Jahr 2005 verglichen und Prognosen zur weiteren Entwicklung gemacht.

Statistiken

Die Top 20 der Internet-Sonden und -Attacken im Jahr 2006

Platz Prozentualer Anteil Typ Bezeichnung Advisory Veränderung im Ranking (2005)
1 34,29 Sonde HTTP GET Generic
2 16,38 Sonde MSSQL login +4
3 8,54 Wurm Slammer.a MS02-039 +1
4 6,51 Sonde FTP AnonymousLogin +15
5 6,19 Exploit Pufferüberlauf im Microsoft RPC Interface MS03-026 +5
6 4,08 Sonde Radmin -4
7 3,59 Sonde SSH Brute-Force Password-Cracker +1
8 3,30 Exploit MS_ASN1 MS04-007 +1
9 3,00 Sonde Webdav MS03-007 -4
10 2,78 Wurm Blaster (und Varianten) MS03-026 +2
11 2,22 Sonde HTTP CONNECT +4
12 2,07 ver Lupper (und Varianten) CVE-2005-1921, CVE-2005-0116, CVE-2005-1950 Neu
13 0,50 Exploit WINS MS04-045 +5
14 0,22 Exploit Microsoft SQL Server 2000 Resolution Service MS02-039 -7
15 0,19 Sonde Sonde CGI-BIN Neu
16 0,18 Wurm Dabber
17 0,13 Wurm Rbot/Agobot via Webdav Exploit MS03-007
18 0,10 Sonde HTTP POST back Neu
19 0,09 Sonde Dipnet -16
20 0,09 Sonde Kuang backdoor execute command Neu

Top 20 der Internet-Sonden und -Attacken im Jahr 2006
Quelle: Kaspersky Lab 2007

Im Vergleich zum Jahr 2005 ist die Anzahl der HTTP-GET-Generic-Sonden um 2% gestiegen, sie ist allerdings bedeutend niedriger als in der ersten Jahreshälfte 2006. Das zeigt, dass Spammer einen gewissen Sättigungspunkt erreicht haben, wobei sie so viel Spam wie nur irgend möglich durch offene Proxy-Server pumpen. Denn die Zahl der offenen Proxies, die sie ausnutzen könnten, ist begrenzt. Die geringen Veränderungen in der Anzahl von Sonden für diese Art von Diensten sind mit neu auftauchender und dann wieder verschwindender Malware zu erklären und insbesondere mit solcher, die gekaperte, freie oder gehackte Proxy-Server auf den befallenen Systemen installieren.

Andererseits ist die Anzahl von Sonden, die versuchen, SQL-Server zu finden, um 4 Positionen nach oben gerückt – mit einem Zuwachs von nicht weniger als 12%. Für dieses Phänomen gibt es mehrere Erklärungen: Zum einen sind die Bots der berüchtigten Rbot/Agobot-Familie derart komplex, dass sie Exploits für nahezu jede Schwachstelle enthalten, die ausgenutzt werden kann. Hinzu kommt, dass das Aufkommen von Open-Source-Bots zum Erscheinen vieler neuer Familien geführt hat, die dieselben Exploits enthalten. Diese unterscheiden sich nur gering von den oben erwähnten Bots. Und schließlich gibt es immer mehr Web-orientierte Applikationen, die sich umfangreicher Datenbanken bedienen, und auch wenn LAMP (Linux, Apache, MySQL, PHP) die bevorzugteste Plattform ist, wird SQL zu einer immer beliebteren Zielscheibe. Natürlich sind diese Installationen in den neuesten Versionen gepatcht. Trotzdem kann ein schwaches Zugangspasswort ausgenutzt werden – ganz unabhängig von der Server-Version.

Obwohl der Slammer-Wurm schon vier Jahre alt ist, breitet er sich weiterhin aktiv aus. Aktuell ist er um eine Position gestiegen und es gibt keine Anzeichen für einen Rückgang seiner Aktivität. Wie wir schon in früheren Berichten ausgeführt haben, leistet Slammer einen beständigen Beitrag zu dem durch Malware verursachten Hintergrundrauschen im Internet, wobei seine Aktivität durch die Unmenge weltweit infizierter Rechner – vor allem aber in Asien – angeheizt wird.

Die Versuche anonymer FTP-LogIns sind um rekordverdächtige 15 Positionen nach oben geklettert und befinden sich nunmehr auf Platz 4 im Ranking. In der zweiten Jahreshälfte 2006 waren sie etwas weniger präsent, und es gibt eindeutige Anzeichen dafür, dass die Anzahl dieser Sonden in den nächsten Monaten abnehmen wird. Sie werden hauptsächlich eingesetzt, um offene Server zu finden, die Malware oder so genannte „warez“ (Raubkopien) enthalten. FTP-Server sind wohl nicht der effektivste Verbreitungsweg, weshalb andere Systeme, etwa BitTorrent oder das VPN-Programm Hamachi, im Computer-Untergrund immer populärer werden.

Der berüchtigte Pufferüberlauf im Microsoft RPC Interface ist im Vergleich zu 2005 um 5 Positionen gestiegen. Doch insgesamt gesehen nimmt seine allgemeine Verbreitung in Relation zur ersten Hälfte des Jahres 2006 ab. Da es sich hierbei um eine recht alte Schwachstelle handelt (nämlich aus dem Jahr 2003), steht ein weiterer Rückgang außer Frage und schließlich wird er in das allgemeine Hintergrundrauschen im Internet eingehen – und zwar für eine vermutlich längere Zeit.

Die Anzahl der Radmin-Sonden, die im Jahr 2005 noch die zweite Position im Ranking einnahmen, hat erheblich abgenommen. Interessanterweise ist ihre Zahl in der zweiten Jahreshälfte 2006 wieder angestiegen, was dem freien Umlauf von Exploits und Bibliotheken zugeschrieben werden kann.

Auch die Secure Shell Brute-Force Passwort-Cracker kommen immer häufiger zum Einsatz und sind im Vergleich zu 2005 um einen Platz aufgerückt, wobei das Knacken von Passwörtern mit der Brute-Force-Methode allgemein immer mehr zunimmt. Da solche Software-Giganten wie Microsoft sich zunehmend auf Sicherheit konzentrieren, ist es nicht verwunderlich, dass die bösen Jungs nun den Menschen – das schwächste Glied in der Sicherheitskette – ins Visier nehmen. Doch dazu später mehr.

Microsoft-ASN.1-Exploits werden heutzutage fast ausschließlich in Bots verwendet, und zwar in Verbindung mit anderen bekannten Exploits, die relativ alte Schwachstellen ausnutzen. Die im Microsoft Security Bulletin MS03-007 beschriebene WebDAV-Schwachstelle zum Beispiel ist ein Jahr älter als die ASN.1-Verwundbarkeit und doch ist sie kaum weniger populär.

Der Blaster-Wurm mit seinen Varianten ist von Platz 12 (2005) auf Platz 10 gestiegen. Obwohl er nicht viele Infektionen verursacht, scheint er doch nicht völlig auszusterben und wird vermutlich in Zukunft Teil des Hintergrundrauschens im Internet werden. Seit Microsoft per Windows-Update ein Blaster-Desinfektions-Tool zur Verfügung stellt, sind größtenteils nur noch Rechner mit älteren Versionen (zum Beispiel NT4), die nicht automatisch aktualisiert werden, infiziert. Man darf gespannt sein, ob das kürzlich auf den Markt gekommene Windows Vista diesen Grundstock alter Betriebssysteme in irgendeiner Art verändern wird, etwa durch User, die von NT4/2000 auf XP oder 2003, wenn nicht gar auf Vista direkt umsteigen.

Die HTTP-CONNECT-Versuche haben ebenfalls zugenommen und sind in den Top 20 im Vergleich zu 2005 um vier Positionen nach oben geklettert. Dieser merkliche Anstieg derartiger Sonden in der zweiten Jahreshälfte 2006 wird sich vermutlich fortsetzen, da es sich um eine alternative Methode zum Scannen offener Proxies handelt.

Der Lupper-Wurm und von ihm abgeleitete Varianten sind jetzt völlig von der Bildfläche verschwunden, doch in den ersten zwei Monaten des Jahres 2006 waren sie noch recht weit verbreitet. Das letzte Lebenszeichen von Lupper erhielten wir im Juli 2006.

WINS-Exploits haben leicht zugenommen, wenn auch nur um einen sehr geringen Prozentsatz. Der Anstieg wurde möglicherweise durch verschiedene Würmer verursacht, die diese Exploits zusammen mit Hunderten anderer anwenden.

Auf dem 15. Platz gibt es mit der CGI-BIN-Sonde einen interessanten Neuzugang. Wir haben diese Sonden schon in der Vergangenheit registriert, doch im letzten Jahr haben sie quantitativ zugelegt. Einige von ihnen werden durch Würmer hervorgerufen, die dieselben Scripte auszunutzen wie Lupper und ähnliche Schadprogramme, während andere von verschiedenen Hacking-Tools generiert werden.

Auch bei den HTTP-POST-back-Sonden handelt es sich um einen interessanten Neuzugang. Diese Sonden versuchen, sich mit dem Rechner zu verbinden, der eine Verbindung herstellt, meist über die Ports 16667, 6667 oder 6660. Dabei erhält man einen Dienst, der alle Verbindungen blockiert – ein Zeichen, dass der Computer einen offenen Proxy-Server unterhält.

Bis hierhin ergeben sich aus unseren Beobachtungen zwei eindeutige Trends: Zum einen gehen alte Exploits in eine Art Hintergrundrauschen im Internet über und werden hauptsächlich in Bots verwendet. Da relativ wenige neue Schwachstellen gefunden und remote über das Internet ausgenutzt werden können, verlagert sich der Schwerpunkt zum anderen nun auf das Auffinden und Hacken von Servern (wie SSH und SQL), die durch schwache Passwörter geschützt sind.

Die Top Ten der bei Internet Attacken ausgenutzten Schwachstellen

Platz Advisory Beschreibung
1 MS02-039 Pufferüberläufe im Namensauflösungsdienst des SQL Server 2000 können die Ausführung unerwünschter Codes ermöglichen
2 MS03-026 Pufferüberlauf in RPC kann die Ausführung von Code ermöglichen
3 MS04-007 Sicherheitslücke in ASN.1 kann die Ausführung von Code ermöglichen
4 MS03-007 Ungeprüfter Puffer in einer Windows-Komponente kann die Sicherheit des Webservers gefährden
5 CVE-2005-1921 Sicherheitslücke in PEAR XML_RPC 1.3.0 und niedriger (alias XML-RPC oder xmlrpc) und PHPXMLRPC (alias XML-RPC For PHP oder php-xmlrpc) 1.1 und niedriger
6 CVE-2005-0116 AWStats 6.1 und andere Versionen niedriger als 6.3 ermöglichen entfernten Angreifern das Ausführen beliebigen Codes über Shell-Metazeichen im configdir-Parameter
7 CVE-2005-1950 hints.pl in Webhints 1.03 ermöglicht entfernten Angreifern das Ausführen beliebigen Codes über Shell-Metazeichen im Argument
8 MS04-045 Sicherheitslücke in WINS kann die Ausführung von Code ermöglichen
9 VU#909678 Sicherheitslücke: DameWare Mini Remote Control führt zum Pufferüberlauf
10 MS03-051 Pufferüberlauf in den Microsoft FrontPage-Servererweiterungen kann die Ausführung von Code ermöglichen

Top Ten der bei Internet-Attacken genutzten Schwachstellen – 2006
Quelle: Kaspersky Lab 2007

Bezüglich der Schwachstellen, die bei Attacken via Internet genutzt werden, sticht das Jahr 2006 gegenüber den vorherigen deutlich hervor. Dies ist vor allem der gestiegen Zahl von Exploits zuzuschreiben, die sich gegen Nicht-Microsoft-Betriebssysteme und –Produkte richten. Trotzdem gab es in der zweiten Jahreshälfte einen deutlichen Rückgang solcher Exploits – genau dann, als der für solche Attacken verantwortliche Wurm Lupper von der Bildfläche verschwand.

Interessanterweise richteten sich die Attacken verstärkt gegen SQL-Server, wodurch die ersten zwei Positionen im Ranking der ersten Jahreshälfte 2006 nun die Plätze getauscht haben. Attacken, die die im Microsoft Security Bulletin MS02-039 beschriebene Sicherheitslücke ausnutzen, stehen daher jetzt auf Platz 1 der Top 10.

Wie auch schon im vorhergehenden Bericht, schaffte es keine der im Jahr 2006 entdeckten Verwundbarkeiten in die Top 10.

Die Top 20 der bei Internet-Attacken genutzten Ports

Platz Prozentualer Anteil Port
1 32,28 445
2 24,94 1026 (UDP)
3 12,59 1433
4 12,35 80
5 4,80 1027 (UDP)
6 2,31 1434 (UDP)
7 1,89 1025 (UDP)
8 1,51 135
9 1,42 21
10 0,86 4899
11 0,76 22
12 0,68 3128
13 0,40 4444
14 0,26 6588
15 0,14 42
16 0,10 443
17 0,08 5554
18 0,07 3127
19 0,02 17300
20 0,02 6129

Top 20 der bei Internet-Attacken genutzten Ports, 2006
Quelle: Kaspersky Lab 2007

Im Jahr 2006 gab es einen rapiden Anstieg der Verbindungen zum Port 1433, der gewöhnlich von SQL verwendet wird. Dieser massive Zuwachs von 1,68% auf 12,59% aller angegriffenen Ports vollzog sich in der zweiten Jahreshälfte. Trotzdem richtet sich die überwiegende Mehrheit aller Attacken und Sonden nach wie vor gegen Port 445, der in der aktuellen Windows-Version für SMB (Datei- und Drucker-Sharing) über TCP verwendet wird.

Die Ports 1025, 1026 und 1027 werden vom Windows-Messenger-Service verwendet und sind noch immer ein bevorzugtes Ziel von Spammern. Der Windows-Messenger-Service (nicht zu verwechseln mit dem MSN-Messenger, einer IM-Applikation) ist in XP SP2 und den neuesten Versionen standardmäßig deaktiviert. Das hält die Spammer allerdings nicht davon ab, weiterhin Pakete zu schicken.

Der von HTTP-Verbindungen genutzte Port 80 hält sich auf hohem Niveau auf vierter Position. Die meisten Verbindungen zum Port 80 werden von Spammern auf der Suche nach offenen Proxies verursacht. Ein derartiger Angriff beginnt gewöhnlich mit dem Abrufen des Site-Index, gefolgt von dem Versuch entfernte Sites zu holen. In einigen Fällen kommen spezielle Exploits zum Einsatz, sobald die Web-Server-Software identifiziert wurde. Auch Suchmaschinen sind verantwortlich für einen Großteil der Port-80-Verbindungen zu den Rechnern unseres Honeypot-Netzwerks. So hat zum Beispiel Googlebot weniger als sechs Stunden benötigt, um einen neu installierten Honeypot mit einer willkürlichen IP-Adresse in den USA zu sondieren.

Wie schon erwähnt, ist die Verwendung von Port 21, die in den ersten sechs Monaten des Jahres 2006 zugenommen hatte, in den letzten Monaten ein wenig zurückgegangen. Die Cyber-Kriminellen haben scheinbar effektivere Methoden zur Verbreitung Ihrer Programme gefunden oder sie haben festgestellt, dass FTP-Server sich für ihre Zwecke nicht besonders gut eignen.

Geografische Verteilung der Internet-Attacken und -Sonden

Platz Land Prozentualer Anteil
1 USA 35,63
2 China 21,73
3 Deutschland 2,85
4 Ukraine 2,84
5 Italien 2,51
6 Philippinen 2,41
7 Russland 2,26
8 Kanada 2,15
9 Saudi Arabien 1,97
10 Korea 1,78
11 Frankreich 1,67
12 Japan 1,57
13 Niederlande 1,53
14 Großbritannien 1,51
15 Hong Kong 1,28
16 Taiwan 1,16
17 Belgien 1,13
18 Schweden 1,00
19 Israel 0,86
20 Spanien 0,62

Geografische Verteilung der Internet-Attacken und -Sonden – 2006
Quelle: Kaspersky Lab 2007

Innerhalb der letzten drei Jahre führten China und die USA wechselnd die Hitliste der “Geografischen Verteilung der Internet-Attacken und –Sonden” an. Im Jahr 2004 waren die USA Angreifer Nummer eins, was sich 2005 schlagartig änderte, als China mit 27,38% an der Gesamtmenge der Angriffe die Führung übernahm. In der ersten Hälfte des Jahres 2006 waren die USA für 40% aller Internet-Attacken verantwortlich. Das änderte sich allerdings in der zweiten Jahreshälfte und mündete in der oben dargestellten Verteilung.

Jetzt, da die Anzahl der aus den USA stammenden Angriffe abnimmt, befindet sich China wieder im Aufwind, mit einem Anstieg auf insgesamt 21,73%. Dieser Zuwachs wurde insbesondere in den letzten Monaten des Jahres 2006 deutlich.

Ein interessanter Neuzugang ist Saudi Arabien, das für 1,97% aller Angriffe verantwortlich ist. Bemerkenswert sind auch die Ukraine und Israel, die als Neuzugänge direkt auf den Plätzen vier und neunzehn landeten.

Schließlich sollte auch der deutliche Rückgang der aus Deutschland und den Philippinen stammenden Angriffe nicht unerwähnt bleiben. Da beide Länder in der Vergangenheit eine nicht versiegende Quelle von Attacken waren, scheint sich die Situation erfreulicherweise ein wenig zu verbessern.

Wichtige Patches und Service Packs

2006 veröffentlichte Microsoft 78 Security Bulletins zu verschiedenen Sicherheitslücken, wovon sich die meisten in Windows befanden. Einige Verwundbarkeiten wurden allerdings auch in Office und dazugehörigen Produkten ausgemacht.

Einige dieser Bulletins, wie etwa MS06-070 (Sicherheitsanfälligkeit im Arbeitsstations-Dienst kann Remotecodeausführung ermöglichen (924270)) oder MS06-040 (Sicherheitsanfälligkeit im Serverdienst kann Remotecodeausführung ermöglichen) beschäftigen sich mit Schwachstellen, die direkt über das Internet ausgenutzt werden können. Dennoch gab es keine Meldungen zu ausgedehnten Angriffen, die diese Schwachstellen ausnutzen. Eine mögliche Erklärung dafür ist, dass die meisten dieser Sicherheitslücken von so genannten Bug-Hunting-Firmen vertraulich an Microsoft gemeldet und die Exploits daher niemals öffentlich gemacht wurden. Es könnte aber auch damit zusammenhängen, dass die meisten über das Internet zugänglichen Systeme (etwa solche ohne Firewall) ältere Windows-Versionen nutzen, die auch für andere, leichter durchführbare Angriffe anfällig sind.

Insgesamt gesehen ist die Anzahl der im Jahr 2006 in Microsoft-Produkten entdeckten Schwachstellen, die direkt über das Internet ausgenutzt wurden, sehr gering. Es sei angemerkt, dass Verwundbarkeiten, die remote ausgenutzt werden können und bei denen eine direkte Beteiligung des Users nötig ist, hier nicht berücksichtigt werden. Diese Art von Sicherheitslücken wurde im Jahr 2006 massiv ausgenutzt und wird daher in einem demnächst erscheinenden Bericht gesondert behandelt werden. Zu derartigen Sicherheitslücken zählen unter anderem die in den folgenden Bulletins beschriebenen: MS06-078 (Sicherheitsanfälligkeit in Windows Media Format kann Remotecodeausführung ermöglichen (923689)), MS06-071 (Sicherheitsanfälligkeit in Microsoft XML Core Services kann Remotecodeausführung ermöglichen (928088)) und MS06-062 (Sicherheitsanfälligkeiten in Microsoft Office können Remotecodeausführung ermöglichen (922581)).

Wie gehabt ist es möglich, mit dem Internet Explorer unter http://update.microsoft.com/ betroffene Windows-Systeme zu patchen. Man sollte auch Office regelmäßig updaten, zumal viele der 2006 entdeckten Sicherheitslücken mit Office-Produkten wie Word oder PowerPoint in Zusammenhang stehen.

Auch in Linux wurde 2006 eine Reihe von ernstzunehmenden Sicherheitslücken entdeckt, wobei sich die meisten direkt auf den Linux-Kernel beziehen. Einige dieser Schwachstellen ermöglichen DoS-Attacken, andere eine Erhöhung der Privilegien. Man sollte allerdings berücksichtigen, dass unter Linux mittlerweile verschiedene andere Softwarepakete existieren, so dass es hier vermutlich nicht absolut korrekt ist, von „Linux-Schwachstellen“ zu sprechen. So wurde etwa im letzten Jahr eine ernstzunehmende Verwundbarkeit in Sendmail gemeldet. Allerdings ist auf den meisten modernen Linux-Systemen Sendmail nicht standardmäßig installiert. Die meisten 2006 gegen Linux gerichteten Attacken nutzten jedenfalls Sicherheitslücken in Software-Paketen von Drittanbietern aus. Im Mai 2006 wurde beispielsweise eine Verwundbarkeit in WordPress, der bekannten Weblog-Software, gefunden, die Codeausführung auf dem Opfercomputer ermöglicht (*3). Obwohl WordPress in den meisten Linux-Systemen nicht als Standard installiert ist, handelt es sich doch um ein beliebtes Programm und viele Hosting-Firmen integrieren es standardmäßig in ihren Paketen. Wie IT-Experten niemals müde werden zu betonen, ist Sicherheit eine Kette, die nur so stark ist wie ihr schwächstes Glied.

Um das System zu sichern und den Zugang zu den Diensten für Außenstehende einzuschränken, müssen Linux-Systeme (und Unix-Systeme ganz allgemein) ebenso regelmäßig aktualisiert werden wie auch Windows-Systeme. Tools wie ‚yum’ oder ‚apt’ vereinfachen diesen Vorgang sehr.

Schließlich wurde 2006 auch in MacOS X eine Reihe von Sicherheitslücken entdeckt, von denen einige Codeausführung auf dem Opfercomputer ermöglichen. Von diesen wurde allerdings keine in freier Wildbahn gesichtet und Apple reagierte erfreulich schnell mit der Bereitstellung von Patches. Überdies aktualisiert sich MacOS X standardmäßig selbst, so dass nur sehr selten ungepatchte Computer mit dem Internet verbunden sind.

Fazit

Die Ereignisse des letzten Jahres machen zwei klare Trends in der Entwicklung der Internet-Attacken deutlich.

Der erste Trend ist das mittlerweile konstante Hintergrundrauschen im Internet, das durch den Slammer-Wurm und die Armee von Bots verursacht wird, die relativ alte Schwachstellen ausnutzen. Die meisten dieser Infektionen stammen aus Asien und es gibt keine Anzeichen dafür, dass sie in absehbarer Zeit von der Bildfläche verschwinden. Aktuell werden etwa 15% des Netzverkehrs von diesem Hintergrundrauschen erzeugt, was allerdings kein übermäßig hoher Wert ist und mit dem Niveau von Spam um das Jahr 1999 verglichen werden kann. Mit dem Angebot an neueren Betriebssystemen wird sich sehr wahrscheinlich die Anzahl alter und anfälliger Installationen und damit hoffentlich auch das Hintergrundrauschen selbst verringern. Es wäre äußerst ungünstig, wenn dieses Rauschen das kürzlich registrierte Niveau von Spam erreichen würde, denn ein Internet, das zu 90% aus Hintergrundrauschen besteht, ist nicht nur ärgerlich, sondern absolut unbenutzbar.

Der zweite Trend ist hinsichtlich der Entwicklung des Internets vermutlich weitaus bedeutender: Durch das zunehmende Interesse an Sicherheits-Software und die schnelle Bereitstellung von Sicherheits-Updates ist die Anzahl von Sicherheitslücken, die direkt über das Internet ausgenutzt werden können, stark zurückgegangen. Die neuesten Linux-Systeme verfügen über integrierte Auto-Updater, die zum Teil standardmäßig aktiviert sind. Sobald ein Bug gefunden wird, holt der potentiell verwundbare Computer das Update und installiert es, ohne dass der Anwender davon unbedingt Kenntnis nimmt. Dasselbe gilt für Windows, denn Microsoft hat große Anstrengungen unternommen, um die Windows-Updates effektiv zu machen. Aus diesen Gründen hat es einen interessanten Wechsel in der Art von Internet-Attacken gegeben, was zweifelsfrei in näherer Zukunft weit reichende Konsequenzen haben wird. Da Programmfehler immer schneller behoben und neue, ausnutzbare Schwachstellen immer seltener werden, verlagern sich die Kriminellen nun auf Dienste, die von schwachen Passwörtern geschützt werden. Das äußert sich auch in dem Anstieg des Passwort-Ratens mittels Brute-Force-Attacken, die sich gegen SQL, SSH, FTP und ähnliche, weit verbreitete Dienste richten.

Der Rückgang verbreiteter Schwachstellen, die remote über das Internet ausgenutzt werden können, hat zu einem weiteren Entwicklungstrend geführt, nämlich dem Aufkommen von Web-basierten Angriffen. Bei Attacken dieser Art muss der Anwender die maliziöse Webseite zwar zunächst besuchen, um den Angriff auszulösen, doch dieser Umstand hindert die Missetäter nicht daran, sie einzusetzen. Mittlerweile haben Web-basierte Angriffe so stark zugenommen, dass sie zur bevorzugten Methode der Malware-Verbreitung geworden sind. Ein demnächst erscheinender Bericht über Web-basierte Bedrohungen wird sich detailliert mit diesem Thema beschäftigen.

Die Maßnahmen zur Verhinderung und Abschwächung von Internet-Attacken sind relativ simpel. Während gegen das Hintergrundrauschen recht wenig ausgerichtet werden kann, lassen sich Angriffe, die auf den Zugriff nur durch Passwörter geschützter Dienste abzielen, ganz einfach verhindern. Man sollte lediglich sicherstellen, dass auf Dienste, die dem Internet ausgesetzt werden, nicht allein durch die Eingabe von Passwörtern zugegriffen werden kann. Hier sollte mindestens eine Zwei-Faktoren-Authentifizierung verlangt werden. Bei SSH sollte man die Passwort-basierte Authentifizierung deaktivieren und öffentliche Schlüssel, die durch lokale Passwörter geschützt sind, benutzen. Man ersetzt FTP durch SFTP und nutzt für den Web-Zugang SSL und Anwender-Zertifikate. Leider könnte die Zwei-Faktoren-Authentifizierung für SQL ein Problem darstellen und momentan gibt es hierfür keine einfache Lösung. Dennoch kann man sicherstellen, dass sich nur autorisierte Computer mit SQL-Servern verbinden, indem man die Außenwelt schon auf Ebene der Firewall filtert.

Würden diese einfachen Regeln von jedermann beherzigt, wäre das Internet ein sehr viel sicherer Ort – zur Freude und zum Nutzen aller.

Quellen:

  1. Kaspersky Sicherheits Bulletin, Januar – Juni 2006: Internet-Attacken
  2. Internet-Attacken 2005
  3. WordPress PHP Code Injection Vulnerability

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.