Rubrik: Markt/Interviews

Candid Wüest, Symantec, über die wichtigsten Sicherheitstrends des Jahres 2005

"Zum Teil werden BotNets im Internet ganz ungeniert zur Anmietung feilgeboten"

(02.01.06) - Viren, Würmer und Trojaner haben Privatanwender auch 2005 auf Trab gehal-ten. Mit BotNets, Spyware und Pharming zeichnet sich eine weitere Dimension der Cyber-kriminalität ab. Welche Konsequenzen könnte dies 2006 mit sich bringen - besonders vor dem Hintergrund der zunehmenden Vernetzung technischer Geräte? Candid Wüest, Sicherheitsexperte im Virenforschungszentrum von Symantec in Dublin, skizziert im nachfolgenden Interview die wichtigsten Sicherheitstrends des Jahres 2005 und gibt eine Einschätzung für die weitere Entwicklung in 2006.

Anzeige

 

Immer häufiger wird über Phishing und Pharming berichtet. Wie gefährlich sind diese Sicherheitsrisiken für Endanwender aus Ihrer Sicht?

Candid Wüest: Die Phishing-Versuche nehmen nicht nur zu, sie werden auch immer raffinierter: Waren solche gefälschten E-Mails, die angeblich von Banken oder Onlineshops stammen, vor einigen Monaten noch in schlechtem Deutsch formuliert, sind sie mittlerweile sehr professionell gestaltet und versuchen mit geschickten Texten die Empfänger zu täuschen. So fallen leider immer wieder Anwender darauf rein, steuern die angegebenen Links an und geben ihre Zugangsdaten preis. Im Allgemeinen ist jedoch das Misstrauen der Anwender gegenüber solcher Phishing-Mails gestiegen. Anders sieht es bei Pharming aus. Diese Methode ist besonders hinterlistig, da die Anwender nichts falsch machen und dennoch Opfer eines Angriffs werden können.

Können Sie genauer erklären, wie Pharming funktioniert?

Candid Wüest: Pharming bezeichnet die Umleitung des Benutzers auf eine gefälschte Seite, die der echten, beispielsweise seiner Bank, täuschend ähnlich sieht. Dabei wird der Domain Name System (DNS)-Server einer Bank oder eines Online-Anbieters, der die Umsetzung von Domainnamen in ein Internet Protocol (IP)-Adresse zur Aufgabe hat, manipuliert. Durch eine Schwachstelle auf diesem Server kann ein Hacker die Umwandlung zur IP-Adresse verändern und zu einer gefälschten Web-Seite, die oftmals von der echten kaum zu unterscheiden ist, umleiten. Loggt sich der Nutzer mit den Zugangsdaten sowie PIN/TAN für das Online-Banking auf dieser manipulierten Webseite ein, spielt er genau in diesem Moment die Informationen in die Hände von Cyber-Kriminellen. Sie können dann mit den Daten des ausspionierten Opfers im Internet „anonym“ einkaufen oder Überweisungen vornehmen. Leider sind solche Vorfälle keine Einzelfälle mehr.

Wie kann man sich denn als Anwender vor Pharming schützen?

Candid Wüest: Pharming, das eine Art Umleitungsangriff darstellt, ist sehr schwer zu erkennen. Anti-Phishing-Toolbars können gegebenenfalls helfen. Doch da auch von einem Anbieter oftmals zahlreiche Web-Seiten im Internet gehostet werden, können auch die Toolbars meistens nicht alle manipulierten Seiten erfassen. Anwender sollten auf jeden Fall beim Online-Banking oder -Shopping vorsichtig sein. Stellt man Veränderungen beim Log-in-Verfahren fest - wird zum Beispiel ungewöhnlich schnell nach Aufruf der Startseite eine Seite eingeblendet, die sensible Angaben wie PIN/TAN-Nummern abfragt - sollten Nutzer misstrauisch werden. Empfehlenswert ist der Einsatz von HBCI (Home Banking Computer Interface), das über eine Chipkarte und Chipleser funktioniert und zurzeit mit die sicherste Methode für Online-Banking darstellt.

Immer mehr Privatanwender telefonieren über das Internet, genannt Voice over IP (VoIP). Welche Gefahren gibt es dabei und welche Sicherheitsvorkehrungen sollten getroffen werden?

Candid Wüest: Je mehr Anwender eine bestimmte Software nutzen, desto stärker gerät diese in den Fokus der Cyber-Kriminellen. Enthält die Software eine Sicherheitslücke, können die Hacker diese ausnützen und schädlichen Code schnell verbreiten. Im Moment ist die Entwicklung bei VoIP schwer abzuschätzen. Es gibt verschiedene Szenarien, die möglich sind. Zum Beispiel könnten die Virenschreiber massenweise Anfragen an den VoIP-Dienst starten und ihn dadurch lahm legen - eine so genannte Denial of Service- (DoS-)Attacke. Auch möglich sind durch Spam automatisierte Werbeanrufe (SPIT) oder aber die Manipulation der Telefonnummer des Anrufers. Noch ist die Gefahr nicht sehr groß. Dennoch sollten Anwender immer darauf achten, dass sie eine aktuelle Version der VoIP-Software einsetzen und Virenschutz sowie Firewall aktiviert sind.

Welche Gefahren sehen Sie im Bereich von Instant Messaging? Gibt es dafür bereits Schadprogramme?

Candid Wüest: Instant Messaging ist ein beliebter Dienst für Computernutzer, der eine Kommunikation per Kurznachrichten in Echtzeit erlaubt. Instant Messaging nutzt ein eigenes Protokoll, so dass sich auf diese Weise keine üblichen E-Mail-Viren verbreiten können. Aber es sind speziell für dieses Protokoll entwickelte Würmer und Trojaner im Umlauf, die über eine kurze Textnachricht mit einem Linkverweis an alle Benutzer, die online sind, versendet wird. Folgt der Anwender der Aufforderung zum Klicken auf den darin enthaltenen Link, lädt sich der Wurm selbst herunter, installiert sich auf dem Rechner, sucht erneut alle Kontakte, die online sind und versendet sich selbst an alle weiter. Da Instant Messaging wegen seiner Schnelligkeit immer beliebter wird, könnte durchaus mit weiterem Schadcode gerechnet werden.

Gerade unter Jugendlichen sind Online-Spiele sehr beliebt. Gibt es bereits Schadprogramme für Spielkonsolen oder Online-Spiele?

Candid Wüest: Spielkonsolen oder Geräte wie MP3-Player sind mittlerweile "online-fähig“. Dadurch bieten sie auch Angriffsmöglichkeiten für Schadprogramme und Hacker. Bisher sind die Attacken noch leicht durchschaubar, da meistens eine E-Mail, die beispielsweise kostenlose Lizenzen für neue Spiele anpreist, zum Anklicken auffordert. Inzwischen wissen erfahrene Spieler, dass solche E-Mails nicht vertrauenswürdig sind. Es gibt einige wenige Fälle, bei denen sich ein Wurm oder Trojaner auf einer Spielkonsole installiert hat. Die Folgen waren das Ausschalten der Menüführung oder bestimmter Features. Besonders aggressive Schadprogramme haben die Systemdatei überschrieben, so dass die Spielkonsole nicht mehr funktionierte. Symantec ist allerdings noch kein Fall bekannt, bei dem sich ein Virus selbsttätig von einer Spielkonsole zur anderen verbreitet oder sich auf ein peripheres Gerät wie den DVD-Player übertragen hätte.

Wie groß ist die Bedrohung für Identitätsdiebstahl bei Online-Rollenspielen?

Candid Wüest: Identitätsdiebstahl vollzieht im Zusammenhang mit Online-Rollenspielen eine bedenkliche Entwicklung – vor allem im asiatischen Raum, wo sich PC-Spiele besonders großer Beliebtheit erfreuen. Mittlerweile versuchen Hacker mit Trojanern oder anderer Malware, Passwörter und Benutzerdaten zu entwenden. Damit transferieren sie das gesamte virtuelle Geld des Spielers oder geben bestimmte Attribute an andere Spieler weiter. Es sind auch Fälle bekannt, bei denen über Online-Auktionsplattformen virtuelle Waffen für echtes Geld angeboten wurden. Der finanzielle Anreiz könnte dazu führen, dass dies keine Einzelfälle bleiben. Ein Faktor spielt dabei eine entscheidende Rolle: Online-Spieler deaktivieren meist ihre Sicherheitslösungen, um eine bessere Rechnerleistung und kürzere Reaktionszeiten zu erzielen. Hiervon ist in Anbetracht der geschilderten Vorkommnisse allerdings dringend abzuraten.

Anfang 2005 haben die Symantec-Virenforscher einen Anstieg von schädlichem Code, der in Audio- und Video-Dateien eingebettet ist, erwartet. Wie ist dies Ihrer Meinung nach heute zu bewerten?

Candid Wüest: Es ist in der Tat ein Risiko. Vor allem grafische Dateien wie JPG-, TIF-, ANI- oder auch EMS-Dateien sind von eingebettetem Schadcode betroffen. Hierbei ermöglicht eine Schwachstelle dem Hacker, eine präparierte Datei zu erzeugen. Während ein Benutzer die infizierte Grafik im Browser oder ein Video im Internet betrachtet, wird im Hintergrund Schadcode auf den PC installiert. Der Rechner kann demnach infiziert werden, während man auf einer Internetseite surft - ohne eine infizierte E-Mail, Dateianhang oder manipulierten Link geöffnet zu haben.

Wie stark war denn die Bedrohung durch ferngesteuerte Rechner, so genannten BotNets in 2005?

Candid Wüest: Wir haben bei BotNets einen starken Zuwachs registriert. Solche Netzwerke bestehen aus mehreren Hundert oder sogar Tausend infizierten PCs, die ferngesteuert werden können. Um ein solches BotNet aufzubauen, schließen Hacker beliebig viele infizierte PCs virtuell zusammen und missbrauchen die Rechnerleistung. Da die BotNet-Rechner an verschiedenen Orten und in verschiedenen Ländern verstreut sein können, ist es äußerst schwierig, die Drahtzieher zu identifizieren. Bis dahin haben die Hacker bereits großen Schaden angerichtet.

Welchen Schaden können Cyber-Kriminelle denn mit diesen BotNets anrichten?

Candid Wüest: Wir haben festgestellt, dass die Aktivitäten der Cyber-Kriminellen im ersten Halbjahr 2005 stark durch finanziellen Gewinn motiviert waren. Über BotNets können Hacker beispielsweise massenweise Spam-Mails verschicken, oder Schnüffelprogramme wie Spyware und Adware einschleusen - Datendiebstahl kann die Folge sein. Darüber hinaus können aufgrund der hohen Rechnerleistung der vielen zusammengeschlossenen PCs Denial of Service- (DoS-)Attacken auf Webshops gestartet werden, so dass diese nicht mehr erreichbar sind. Zum Teil werden BotNets im Internet ganz ungeniert zur Anmietung feilgeboten. Für die Hacker ist das Geschäft lukrativ: Entweder sie erhalten eine Verleihgebühr pro vermietetem BotNet-Rechner oder einen Provisionsanteil für jede erfolgreich installierte Schnüffelsoftware. Die Aussicht auf schnelles Geld lässt daher vermuten, dass Hacker auch künftig dazu verleitet werden, Botnets zu diesem Zweck aufzubauen.

Kann mein PC zu Hause ebenfalls als BotNet-Rechner missbraucht werden und wie kann ich mich davor schützen?

Candid Wüest: Auch der PC zu Hause kann, wenn er nicht ausreichend geschützt ist, infiziert und Teil eines BotNets werden. Ein Grund dafür ist auch, dass nicht mehr Einzelne, sondern ganze Hackergruppen im Internet agieren und dabei immer raffinierter vorgehen. Um nicht entdeckt zu werden, bauen sie die BotNet-Infrastruktur so auf, dass an den unterschiedlichsten Orten rund um den Globus einzelne Rechner gekapert und zu einem Netzwerk zusammengeschlossen werden. Wichtig ist, Sicherheitssoftware wie Viren-scanner und Firewall immer aktiv im Hintergrund laufen zu lassen.

Gibt es denn Bemühungen, generell gegen BotNets vorzugehen?

Candid Wüest: Eine interessante Initiative auf staatlicher Ebene verfolgt zum Beispiel die australischen Regierung: Sobald ansässige Internet-Provider feststellen, dass der Rechner eines Kunden infiziert ist und zu einem BotNet gehört, wird der Betroffene benachrichtigt. Sollte er keine Gegenmaßnahmen einleiten, kann ihn der Anbieter schließlich komplett vom Netz nehmen. Das könnte eine effiziente Lösung sein, um BotNets weltweit zu zerschlagen. Aber auch in Europa sind einzelne Internetserviceanbieter bereits aktiv, gegen dieses Problem vorzugehen.

Die Gefahr durch Schadprogramme für Handys ist noch relativ gering. Wie schätzen Sie das Sicherheitsrisiko für die gespeicherten Daten wie etwa im Adressbuch ein?

Candid Wüest: Es gibt einige Schadprogramme für Mobiltelefone, die im Umlauf sind. Ihr Ziel ist es, bestimmte Funktionen oder das Handy komplett abzuschalten. Einige Schadprogramme können auch Daten auslesen. Doch auch über eine aktive Bluetooth-Schnittstelle ist dies möglich: In einem Umkreis von etwa zehn Metern kann über die Bluetooth-Verbindung auf ein fremdes Adressbuch oder gespeicherte Daten zugegriffen werden kann. Diese Gefahr ist zwar lokal eingegrenzt, trotzdem sollten Anwender die Bluetooth-Funktion abschalten, wenn sie diese nicht benötigen. Zudem bewährt sich auch beim Mobiltelefon, Sicherheitssoftware mit Firewallkomponente zu nutzen, die solche Zugriffe Unbefugter unterbindet.

Die Symantec Experten haben eine neue Entwicklung hin zu modularem, nachrüstbarem Code identifiziert. Was verbirgt sich dahinter?

Candid Wüest: Darunter versteht man ein Schadprogramm, das aus unabhängigen Einzelmodulen besteht und eine zweistufige Angriffstaktik fährt. Zunächst dringt ein "unscheinbares“ Schadprogramm über eine Sicherheitslücke in den Rechner und installiert sich unbemerkt. Danach lädt dieses Programm weitere Module – das heißt zusätzlichen Schadcode - aus dem Internet nach, um so die volle Wirkungskraft zu entfalten. Diese Methode ist für Virenschreiber vorteilhaft, denn modifizierter Code läßt sich einfacher erstellen. Der Ursprungscode kann so in kurzer Zeit in mehreren Varianten sehr schnell verbreitet werden.

In letzter Zeit taucht immer häufiger das Thema Rootkits auf. Was verbirgt sich dahinter und wie gefährlich sind sie?

Candid Wüest: Rootkits sind im Prinzip nichts Neues, denn sie wurden früher schon in Unix-Systemen verwendet. Heutzutage versteht man unter einem Rootkit ein Programm, das dem System falsche Informationen oder Dateien vortäuscht. So werden Dateien, Prozesse oder auch ganze Netzwerkverbindungen vor dem Benutzer versteckt und sind auch nicht im Datei- oder Windows Task-Manager sichtbar. Eindringlinge können auf diese Weise geschickt ihre Spuren im System verwischen und unerlaubt Prozesse ausführen oder Dateien verändern. Diese Angriffstechnik ist besonders trickreich und dadurch auch schwierig zu identifizieren. In letzter Zeit haben wir auch einige Schadprogramme wie E-Mail-Würmer beobachtet, die Rootkit-Methoden verwendeten. (Symantec: ra)
 

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken