Methoden zum Schutz vertraulicher Informationen in aktuellen Lösungen der Kategorie Security Suite

Klassifizierung: Arten des Informationsdiebstahl mittels Computer

Auf der Website der US Federal Trade Commission werden die verschiedenen Aspekte des Diebstahls vertraulicher Informationen äußerst ausführlich beschrieben (Identity Theft). Es geht hier um eine Vielzahl traditioneller Arten des Diebstahls vertraulicher Informationen, der nicht mit Hilfe von Computern organisiert wird, sondern unter anderem um Hand- und Brieftaschendiebstahl, um die Suche nach Papierschnipseln im Abfall, um Anrufe im Namen von Vertretern finanzieller Organisationen, um den Einsatz spezieller Geräte zum Lesen von Kreditkartennummern etc.

Neben den oben aufgezählten Methoden des Informationsdiebstahls existieren allerdings auch solche, die unter Verwendung von PCs umgesetzt werden, wobei mindestens drei verschiedene Arten zu unterscheiden sind. Im ersten Fall übermittelt der Anwender selbst den Kriminellen die Informationen, nachdem er einer gefälschten Aufforderung zur Eingabe der entsprechenden Daten gefolgt ist, welche üblicherweise als Spam per E-Mail verbreitet wird. Die Kriminellen erstellen dabei eine Website, die von der Site einer tatsächlich existierenden Bank oder einer anderer Finanzorganisation kaum zu unterscheiden ist. Diese Art von Online-Verbrechen wird Phishing genannt.

Die zweite Methode des Diebstahls vertraulicher Informationen basiert auf der Beobachtung der Aktivitäten des Anwenders und der anschließenden Protokollierung dieser Tätigkeiten. Diese Art der E-Spionage wird mit Hilfe spezieller trojanischer Programme realisiert, die entsprechend der Klassifizierung von Kaspersky Lab als Trojan-Spy bezeichnet werden. Einer der derzeit populärsten Vertreter der Kategorie Trojan-Spy ist der Keylogger (Tastaturspion), der von uns in einer gesonderten Analysen bereits ausführlich beschrieben wurde.

Eine dritte Möglichkeit, Informationen zu stehlen, besteht in der Suche nach vertraulichen Daten auf dem Computer des Anwenders und der anschließenden Weiterleitung an die Kriminellen mit Hilfe von schädlichen Programmen (in den meisten Fällen Trojanern). Bei dieser Methode können die Kriminellen ausschließlich in den Besitz solcher Daten gelangen, die der Anwender im Speicher des Computers abgelegt hat. Dieser „Nachteil“ wird allerdings durch den Umstand wieder wettgemacht, dass bei der Übermittlung der vertraulichen Informationen eine Beteiligung des Anwenders nicht notwendig ist. Entsprechend der Klassifizierung von Kaspersky Lab gehören derartige Schadprogramm zur Familie Trojan-PSW.

Zur Verbreitung derartiger Programme existiert eine Vielzahl von Möglichkeiten: Sie können beim Öffnen einer an eine E-Mail angehängte Datei aktiviert werden, beim Klicken auf einen Link innerhalb einer Instant Message oder beim Öffnen einer Datei aus einem Verzeichnis mit allgemeinen Zugriffsrechten innerhalb eines Peer-to-Peer-Netzes. Auch mit Hilfe eines Scripts, das Besonderheiten von Internet-Browsern ausnutzt, die es Programmen ermöglichen, sich bei Besuch der entsprechenden Seiten automatisch selbst zu starten oder mit Hilfe von vorher installierten schädlichen Programmen, die in der Lage sind, andere Schadprogramme aufs System zu laden und dort zu installieren vrbreiten sich Trojaner.

Das eigentliche Ziel von Schadprogrammen des Typs Trojan-PSW besteht darin, so viele Informationen wie möglich über das System des Anwenders sowie Passwörter für verschiedene Programme und Dienste des Betriebssystems zusammenzutragen. Zu diesem Zweck durchsuchen sie sämtliche Speicherplätze nach derartigen Informationen: den geschützten Speicher von Windows, Registry-Schlüssel und bestimmte, für die Kriminellen interessante Programmdateien (üblicherweise sind das Instant-Messenger-Clients, E-Mail Clients und Internetbrowser).

Wurden die gewünschten Informationen an den beschriebenen Orten gefunden, werden sie von dem trojanischen Programm in der Regel verschlüsselt und in einer binären Datei von geringer Größe komprimiert. Daraufhin kann die entsprechende Datei per E-Mail versendet oder auf einem FTP-Server der Kriminellen abgelegt werden.

Die Funktionsprinzipien der oben beschriebenen Typen von Schadprogrammen werden in der Analyse „Eigentumsdiebstahl von Computernetzen“ detailliert beschrieben. In der vorliegenden Analyse hingegen richtet sich das Augenmerk auf zwei unterschiedliche, in aktuellen Sicherheitssystemen umgesetzte Ansätze zum Schutz vertraulicher Daten.

Aufbau der Komponente zum Schutz vertraulicher Daten in der Mehrzahl der derzeit erhältlichen Produkte

Nahezu alle aktuellen, umfassenden Sicherheitssysteme (Security Suite) enthalten eine Komponente zum Schutz vertraulicher Informationen, die üblicherweise Privacy Control genannt wird. (Es sei angemerkt, dass diese Komponente in einigen Anwendungen unter einer allgemeinen Bezeichnung mit anderen Schutzkomponenten, wie etwa dem Schutz vor Phishing zusammengefasst ist.) Die Hauptaufgabe dieser Komponente besteht im Schutz der vertraulichen Daten auf dem Computer des Anwenders vor unberechtigtem Zugriff und vor Weiterleitung über Datenübertragungskanäle.

An dieser Stelle soll der Schutz vertraulicher Informationen am Beispiel der Produkte der Firma Symantec näher untersucht werden. Es wurde speziell dieses Unternehmen ausgewählt, weil es als erstes eine Komponente zum Schutz vertraulicher Informationen in seine Produkte integrierte, woraufhin die gesamte Branche begann, analoge Komponenten einzuführen.

Bereits Ende 1999 veröffentlichte Symantec Informationen über das neue Produkt Norton Internet Security (NIS) 2000 mit der neu integrierten Komponente Norton Privacy Control, deren Hauptbestandteil das Modul zum Schutz vertraulicher Informationen, Confidential Data Blocking, war.

Diese Komponente funktioniert nach dem folgenden Prinzip:

  1. Der Anwender gibt alle Informationen ein, die er für vertraulich hält;
  2. Das Produkt analysiert daraufhin den vom Computer des Anwenders ausgehenden Netztraffic und schneidet alle im Traffic enthaltenen vertraulichen Daten aus oder ersetzt diese durch bedeutungslose Zeichen (wie etwa «*»).


Abb. 1. Komponente „Vertrauliche Daten“ des Produkts Norton Internet Security 2000

Norton Privacy Control wurde in alle neuen Versionen der Produkte Norton Personal Firewall und Norton Internet Security integriert. Im derzeit aktuellen Produkt, Norton360, das Symantec 2007 auf den Markt brachte, ist die Komponente Privacy Control nicht mehr in der Grundausstattung enthalten, sondern kann als Add-on-Pack von der Symantec-Website herunter geladen werden.


Abb. 2. Komponente „Blockierung vertraulicher Daten“ des Produkts Norton360

Das grundlegende Funktionsprinzip der Komponente hat sich allerdings nicht geändert: Ebenso wie bereits in Norton Internet Security 2000 gibt es hier eine Tabelle, in die der Anwender seine vertraulichen Daten einträgt (s. Abb. 2).

Unzulänglichkeiten der traditionellen Verfahren zum Schutz vertraulicher Informationen

Was hat die Autoren des Programms dazu bewogen, die Komponente zum Schutz vertraulicher Daten aus der Grundausstattung von Norton360 herauszunehmen? Vermutlich gibt es dafür verschiedene Gründe, einer allerdings liegt auf der Hand. Dieser Ansatz zum Schutz vertraulicher Daten ist nämlich ineffektiv, er erzeugt beim Anwender nur eine Illusion von Sicherheit!

In der Auflistung der wichtigsten Merkmale der letzten Version von Norton Internet Security findet man weit oben den Punkt „blockierte Versuche, persönliche Daten zu stehlen“. Das allerdings entspricht nicht der Realität.

Sieht man sich das erste Fenster aus Abbildung 2 einmal genauer an, so entdeckt man im unteren Teil eine Anmerkung, die in der deutschen Übersetzung etwas wie folgt lautet: „Das Norton Add-on-Pack kann keine vertraulichen Informationen auf sicheren Websites blockieren. Sichere Websites garantieren allerdings schon an sich, dass Ihre Daten geschützt sind.“ Der Grund für diese Anmerkung ist leicht verständlich, denn der Austausch mit sicheren Websites läuft über ein Protokoll, in dem alle übermittelten Daten verschlüsselt werden, so dass ein Dritter nicht die Möglichkeit hat, den übertragenen Datenstrom zu analysieren.

An dieser Stelle sollte man sich noch einmal vor Augen führen, wovor die Komponente zum Schutz vertraulicher Daten eigentlich schützen soll, nämlich vor trojanischen Programmen des Typs Trojan-PSW. Was sollte nun diese trojanischen Programme daran hindern, ihrerseits die übermittelten Daten zu verschlüsseln? Rein gar nichts, wie man weiß, denn über 80% aller Trojaner tun genau das. Daher ist eine Komponente zum Schutz vertraulicher Informationen, deren Funktion auf der Analyse des Traffics und der Suche vorher eingegebener Anwenderdaten basiert, in den meisten Fällen nicht in der Lage, das Versenden dieser Daten zu verhindern, da sie diese im verschlüsselten, von einem trojanischen Programm übertragenen Datenstrom ganz einfach nicht findet.

In diesem Zusammenhang sei außerdem darauf hingewiesen, dass die Verwahrung sämtlicher vertraulichen Daten an einem einzigen Ort – nach deren Eingabe in ein Fenster nach Art des in Abbildung 2 dargestellten – schon für sich gesehen das Sicherheitsniveau keineswegs erhöht. Ganz im Gegenteil, denn die Kriminellen sind nun nicht mehr gezwungen, verschiedene Orte des Dateisystems zu durchsuchen, sondern benötigen lediglich Zugriff auf die von der Schutzkomponente verwendete Datei. Zweifellos sind die Autoren dieses Schutzprogramms bemüht, die vom Anwender eingegebenen Daten bestmöglich zu schützen, eine Sicherheitsgarantie ist hier aber keinesfalls gegeben.

In der folgenden Situation ist die Komponente voll funktionstüchtig: Wird der Anwender auf einer Website zur Eingabe seiner Telefonnummer aufgefordert, fragt NIS 2000 ihn – nachdem er die Nummer eingegeben hat – ob er tatsächlich persönliche Daten versenden will.

Allerdings ist ein solcher Warnhinweis im wahren Leben nicht unbedingt hilfreich, denn die Entscheidung des Anwenders darüber, ob er die geforderten Daten eingibt oder nicht, ist in erster Linie davon abhängig, wie vertrauenerweckend ihm die jeweilige Website erscheint. Hält der Anwender die Website für echt, so wird ihn der Warnhinweis des Programms nicht abhalten, die entsprechenden Daten einzugeben. Hält der Anwender die Website aber für gefälscht, so wird er gar nicht erst beginnen, irgendwelche Daten einzugeben. In der letzten Zeit gibt es unglücklicherweise immer mehr von Kriminellen erstellte Websites, die kaum mehr von den Original-Sites verschiedener Finanzinstitute zu unterscheiden sind und viele Anwender geben dort ihre vertraulichen Daten ein – ungeachtet der Warnhinweise von Schutzprogrammen.

Alternativer Ansatz zum Schutz vertraulicher Daten

Es existiert noch ein anderer Ansatz zum Schutz vertraulicher Daten, der auf der Blockierung der Aktivitäten von Schadprogrammen in einem früheren Stadium als der Übertragung von Daten über Verbindungskanäle basiert. Denn dann lässt sich, wie oben aufgezeigt wurde, meist kaum noch etwas ausrichten.

Ein Schadprogramm muss zwei Aktionen ausführen, um in den Besitz vertraulicher Daten zu gelangen: Zunächst müssen die entsprechenden Informationen gefunden und aus dem jeweiligen Speicher gezogen werden (dabei kann es sich um eine Datei, einen Registry-Schlüssel, einen speziellen Speicher des Betriebssystems handeln), um daraufhin an den Autor des Schadprogramms über Verbindungskanäle übermittelt zu werden. Dabei ist es dem Schadprogramm nicht möglich, die ausgewählten Daten in eigenem Namen zu übertragen, da auf vielen Computern bereits Firewalls installiert sind, die die Netzaktivität der installierten Anwendungen kontrollieren. Daher verwenden viele trojanische Programme der Klasse Trojan-PSW unterschiedliche Methoden zur Umgehung des Firewall-Schutzes und zur Versendung von Daten im für den Anwender verborgenen Modus.

Daher erscheint der folgende Ansatz durchaus sinnvoll: Die Schutzkomponente sollte genau die Aktivität der Anwendungen verfolgen, die auf einen möglichen Versuch, vertrauliche Informationen zu stehlen, hinweisen könnte:

  1. Der Versuch, Zugriff auf die im geschützten Speicher (Protected Storage) von Windows enthaltenen persönlichen Daten und Passwörter zu erhalten.

    In diesem Speicher werden vertrauliche Informationen abgelegt, wie etwa lokale Passwörter, E-Mail-Logins, Internet-Zugangspasswörter, Passwörter für den automatischen Zugriff auf verdeckte Bereiche von Websites, Webdaten und Passwörter für die automatisierte Ausführung von Webformularen und andere. Diese Daten werden in die entsprechenden Felder der E-Mail-Clients und Browser eingetragen. In der Regel hat der Anwender die Möglichkeit, die eingegebenen Daten zu speichern, wofür er aber unbedingt ein spezielles Kästchen mit einem Haken versehen muss. In diesem Fall werden die eingegebenen Daten vom Service von Microsoft Windows im geschützten Speicher abgelegt.

    Hierbei gilt es zu bedenken, dass selbst Anwender, die sich der Gefahr des Informationsdiebstahls bewusst sind und daher Passwörter und Daten nicht im Browser speichern, für gewöhnlich die Passwörter des E-Mail-Systems abspeichern, da es zeitlich zu aufwändig wäre, diese bei jedem einzelnen E-Mail-Versand und -Empfang erneut einzugeben. Berücksichtigt man zudem, dass bei einer Reihe von Internet-Providern das E-Mail-Passwort und das für den Internetzugang identisch sind, wird klar, dass den Kriminellen hier die Arbeit erleichtert wird: Gelangen sie in den Besitz dieses Passwortes, ermöglicht es ihnen nicht nur den Zugriff auf den E-Mail-Account, sondern auch auf die Parameter der Internetverbindung.

  2. Der Versuch, verdeckt Daten über Verbindungskanäle zu versenden.

    Zur Weiterleitung der gesammelten Daten verwenden schädliche Programme verschiedene Methoden zur Umgehung der potentiell auf dem Anwendercomputer installierten Firewall. So können sie etwa den Browserprozess im verborgenen Modus starten und diesem die Daten mit Hilfe von Programmschnittstellen (COM, OLE, DDE und andere) übermitteln, die in den meisten Browsern verfügbar sind. Da in der Mehrzahl der aktuellen Firewalls eine Vielzahl von Regeln vorinstalliert ist, die vertrauenswürdigen Anwendungen Netzaktivität gestattet, reagiert eine solche Firewall nicht auf die Datenübermittlung durch den Internetbrowser. Der Anwender wird dementsprechend nicht darüber informiert und kann das Abfließen der Daten nicht verhindern.

Wichtig ist auch, dass die Datenverschlüsselung durch ein Schadprogramm für diesen Schutzansatz kein Problem darstellt, da die Aktivität von Schadprogrammen bereits vor der Weiterleitung verschlüsselter Daten über Verbindungskanäle abgefangen wird.

Der beschriebene Ansatz wurde in dem Produkt Kaspersky Internet Security der Firma Kaspersky Lab umgesetzt.

Schutz vor Diebstahl vertraulicher Informationen mit Kaspersky Internet Security 7.0 am Beispiel von Trojan-PSW.Win32.LdPinch

Das Modul zum Schutz vertraulicher Informationen ist als Subsystem der Komponente Anti-Spion in das Produkt Kaspersky Internet Security (KIS) 7.0 integriert. Es analysiert das Verhalten aller Prozesse im System des Anwenders und bei Erkennen einer der oben beschriebenen Aktivitäten besteht die Möglichkeit, den Anwender entweder zu warnen oder die entsprechende Aktivität automatisch zu blockieren.


Abb. 3. Konfiguration der Komponente „Anti-Spion“ des Produkts Kaspersky Internet Security 7.0

Der in KIS umgesetzte Schutz vor Versuchen, vertrauliche Daten zu stehlen, wird am Beispiel des realen trojanischen Programms Trojan-PSW.Win32.LdPinch erläutert, der darauf ausgerichtet ist, Passwörter von verschiedenen, auf dem Anwendercomputer installierten Programmen zu stehlen.

Wie aus der Beschreibung einer der Versionen des Schadprogramms Trojan-PSW.Win32.LdPinch ersichtlich wird, ist dieses in der Lage, Informationen über die Festplatte des Computers und den verbleibenden Festplattenraum, über den Account des jeweiligen Anwenders, über den Netznamen des Computers, die Betriebssystem-Version, den Prozessortyp, die Bildschirmoptionen, die auf dem Computer installierten Programme, die laufenden Prozesse und die im System enthaltenen Dialup-Verbindungen zu stehlen – nicht zu vergessen natürlich das begehrteste Diebesgut, nämlich Passwörter zu einer Vielzahl von Programmen, einschließlich der folgenden:

  1. Instant Messenger:
    • ICQ 99B-2002a
    • ICQ 2003/Lite/5/Rambler
    • Miranda IM
    • TRILLIAN
    • &RQ, RnQ, The Rat
    • QIP
    • GAIM
    • MSN & Live Messenger

  2. E-Mail Clients:
    • The Bat!
    • MS Office Outlook
    • Mail.Ru Agent
    • Becky
    • Eudora
    • Mozilla Thunderbird
    • Gmail Notifier

  3. Internetbrowser:
    • Opera
    • Protected Storage(IE,Outlook Express)
    • Mozilla Browser
    • Mozilla Firefox

  4. Autodialer:
    • RAS
    • E-DIALER
    • VDialer

  5. Dateimanager:
    • FAR
    • Windows/Total Commander

  6. FTP-Clients:
    • CuteFTP
    • WS FTP
    • FileZilla
    • Flash FXP
    • Smart FTP
    • Coffee Cup FTP

    und andere mehr.

Die gestohlenen Daten werden zur weiteren Verbreitung des Schadprogramms eingesetzt. Ist der Trojaner etwa in den Besitz eines ICQ-Passwortes gelangt, ändert er dieses auf der ICQ-Site, um daraufhin im Namen des Opfers Mitteilungen mit einem Link auf seine eigene ausführbare Datei zu versenden und so die Anzahl der infizierten Computer zu erhöhen.

Alle gestohlenen Daten werden in verschlüsselter Form entweder an eine E-Mail-Adresse versendet oder auf einem FTP-Server der Kriminellen abgelegt.

Ein System zum Schutz vertraulicher Informationen, das auf der Analyse des Traffics basiert (wie Norton Privacy Control), ist nicht in der Lage, das Versenden verschlüsselter Daten zu verhindern, selbst wenn der Anwender alle Passwörter zu allen Programmen in die Liste der zu überprüfenden Daten eingegeben hat. Wird also ein Computer, auf dem eines der Produkte der Firma Symantec mit dem Subsystem Privacy Control installiert ist oder ein anderes Produkt, in dem ein derartiger Ansatz zum Schutz vertraulicher Informationen umgesetzt wurde, von einer neuen Version des trojanischen Programms Trojan-PSW.Win32.LdPinch angegriffen, die noch nicht in der Antivirus-Datenbanken enthalten ist und nicht von anderen Schutzkomponenten erkannt wird, so wird die Mehrzahl der Anwenderpasswörter gestohlen und ganz nach Ermessen der Kriminellen verwendet werden.

Ein Schutzsystem hingegen, das auf der Aktivitätsanalyse der geöffneten Anwendungen basiert, macht es möglich, sowohl das Versenden einer Datensammlung (s. Abb. 4) als auch das verborgene Versenden der von Trojan-PSW.Win32.LdPinch auf dem Opfercomputer zusammengetragenen vertraulichen Informationen (s. Abb. 5) zu blockieren.

https://media.kasperskycontenthub.com/wp-content/uploads/sites/62/2007/07/12142149/de_pdapwa.png
Abb. 4. Meldung des Programms Kaspersky Internet Security 7.0
über einen Versuch des trojanischen Programms Trojan-PSW.Win32.LdPinch
Zugriff auf vertrauliche Daten zu erhalten

https://media.kasperskycontenthub.com/wp-content/uploads/sites/62/2007/07/12142145/de_hds.png
Abb. 5. Meldung des Programms Kaspersky Internet Security 7.0
über den Versuch des trojanischen Programms Trojan-PSW.Win32.LdPinch
vertrauliche Daten verborgen zu versenden

Fazit

In der vorliegenden Analyse wurden die Methoden des Diebstahls vertraulicher Informationen mittels Computer klassifiziert und zwei prinzipiell unterschiedlich aufgebaute Komponenten zum Schutz vertraulicher Informationen, wie sie in derzeit aktuelle komplexe Sicherheitssysteme integriert sind, erläutert. Die Effektivität beider Ansätze wurde am Beispiel der Konfrontation dieser Schutzsysteme mit einem weithin bekannten trojanischen Programm analysiert.

Der Vergleich beider Ansätze zum Schutz vertraulicher Informationen hat deutlich die Überlegenheit desjenigen Ansatzes gezeigt, der auf der Verhaltensanalyse der geöffneten Anwendungen und auf der Beobachtung derjenigen Aktivität basiert, die von einem möglichen Versuch des Diebstahls vertraulicher Daten zeugt. Als wesentlich weniger effektiv hat sich der Ansatz herausgestellt, bei dem die Schutzkomponente eine vom Anwender erstellte Liste vertraulicher Informationen verwendet und zu verhindern versucht, dass ein Fragment dieser Daten in den ausgehenden Traffic gelangt


Artikel herunterladen (.pdf, 555 Kb)

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.