News

Wenn zu viel nicht genug zu viel ist

Die Nachricht von dem neusten IE 0-day exploit machten ziemlich schnell die Runde. Leider schoss laut Ryan Naraine ein Experte von McAfee bei dem Versuch, die Qualität des Produkts seines Arbeitgebers in Bezug auf dieses neue Exploit herauszustreichen, weit übers Ziel hinaus und gab zu viele Information über die Sicherheitslücke preis – was einige unbeabsichtigte Konsequenzen nach sich zog.

Die Konsequenz bestand in der umgehenden Entwicklung eines PoC Metasploit Moduls für die Schwachstelle, was das ehemalige, nur in zielgerichteten Attacken eingesetzte Exploit in ein potentiell weit verbreitetes Problem für die Benutzer vom Internet Explorer 6 und 7 verwandelte.

Was genau wurde da preisgegeben? Ich war allein schon deswegen neugierig, weil auch ich mir regelmäßig die Frage stelle, welche Informationen ich veröffentlichen sollte und welche besser nicht. Wie sich herausstellte, wurde lediglich eine Liste von Dateinamen, die mit dem Exploit zu tun haben, veröffentlicht, sowie die von dem Exploit verbreiteten Schadprogramme und der Name der Domain, mit der die Schädlinge Verbindung auffnahmen.

Es scheint durchaus berechtigt, diese Informationen in einem Blogeintrag zu veröffentlichen, nicht wahr? Bestimmt findet jemand, der IDS-Signaturen schreibt, die von der Malware verwendete URL nützlich und andere Antiviren-Experten könnten Vorteile daraus ziehen, dass sie die mit der Attacke in Verbindung stehenden Dateien kennen.

Das führt zu der Frage, was genau denn eigentlich noch aufgedeckt werden kann, ohne die Sicherheit zu gefährden? Als technisch interessiertes Individuum löst es bei mir Frustrationen aus, wenn ein Autor alle wichtigen Informationen zur Identifizierung einer Bedrohung verschleiert. Der McAfee-Mitarbeiter war offensichtlich bemüht, Leute wie mich bei der Stange zu halten.

Mein Vorschlag für Analysten, die über Live-Bedrohungen berichten, ist denkbar einfach: Ist die Domain, die ungepatchte Exploits hostet, noch aktiv, sollten die URL bzw. die mit dem Exploit in Verbindung stehenden Dateien nicht gepostet werden. Google wird die Page mit Freude dutzendfach ausmachen.

Bedeutet das, dass Virenforscher keine Schlüsselinformationen über Live-Bedrohungen mit anderen teilen sollten? Natürlich nicht, denn das machen wir schließlich ständig. Allerdings nicht öffentlich, denn es gibt eine Menge sichere Methoden, andere an Einzelheiten über Live-Bedrohungen teilhaben zu lassen.

Wenn zu viel nicht genug zu viel ist

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach