Rubrik: Virenwarnung/Statistiken

Symantec: Neuester Sicherheitsreport vorgestellt

Hacker nutzen Schwachstellen immer schneller aus

(28.03.04) - Symantec hat ihren neuesten Sicherheitsbericht vorgestellt. Der "Internet Security Threat Report" ist eine der umfassendsten Analysen von Trends bei Internet-Bedrohungen. In den sechs Security Operations Centern und neun Security Response Laboren des Unternehmens überwachen und bewerten Analysten globale Sicherheitsdaten. Dadurch ist Symantec in der Lage, aufkommende Bedrohungen zu identifizieren, über sie aufzuklären und auf sie zu reagieren. Der Bericht basiert auf anonymisierten Daten von Kunden der Symantec Managed Security Services sowie von 20.000 Sicherheitssensoren des "DeepSight Threat Management System" in über 180 Ländern der Welt.

Anzeige

Die fünfte Ausgabe des Internet Security Threat Report untersucht, wie und warum Angriffe manche Organisationen stärker beeinträchtigen als andere und wie sich gegenwärtige Trends in künftigen Internet-Bedrohungen niederschlagen werden. Außerdem formuliert der Bericht Sicherheitsempfeh-lungen für Unternehmen und Privatanwender.

"Der Internet Security Threat Report von Symantec basiert auf Expertenanalysen von realen Daten, die wir von Hunderten von Unternehmen, Zehntausenden von Sicherheitssensoren und Millionen von Rechnern auf der Welt gesammelt haben", sagt Gail Hamilton, Executive Vice President und General Manager Symantec Global Services and Support. "Daher bietet der Bericht die genauesten und umfassendsten Sicherheitsinformationen und hilft Unternehmen, heutige und künftige Sicher-heitsrisiken abzuwehren."

Schlüsselergebnisse

Komplexe Bedrohungen machten 54 Prozent der Top-Ten-Bedrohungen im zweiten Halbjahr 2003 aus. Diese Bedrohungen verursachten schneller als je zuvor beträchtliche Schäden. Ihre höhere Verbrei-tungsgeschwindigkeit wurde durch verbesserte Bandbreite und verringerte Latenzzeiten der Cyber-schädlinge verstärkt.

Einer der schlagkräftigsten Würmer, "Blaster", zielte auf eine Schwachstelle in Kernkomponenten von Windows ab. Bedrohungen, die diese Komponenten anvisieren, sind weit verbreitet, was letztlich zu einer höheren Dichte verletzlicher Systeme führt als bei netzwerkbasierten Würmern, die auf Server-Software abzielen.

Die Zahl neuer Schwachstellen hat sich auf hohem Niveau eingependelt. Neu entdeckte Schwach-stellen sind gravierender, was ihre Auswirkungen, die Möglichkeit, sie per Fernzugriff auszunutzen, ihre Identifizierung und Zugänglichkeit anbelangt. Zudem schrumpft die Zeit zwischen der Ankün-digung einer Schwachstelle und der Entwicklung eines verbundenen Exploits. Diese Trends legen die Vermutung nahe, dass Nullfrist-Attacken unmittelbar bevorstehen. Solche Bedrohungen nutzen Schwachstellen aus, bevor diese der Öffentlichkeit bekannt gemacht und Patches veröffentlicht wurden. Dies erschwert Vorsorge- und Abwehrmaßnahmen erheblich.

Angriffstrends

In der ersten Jahreshälfte 2003 berichteten lediglich ein Sechstel aller analysierten Unternehmen von gravierenden Sicherheitsverletzungen. Im zweiten Halbjahr meldete bereits die Hälfte der Unterneh-men einen ernsten Vorfall. Dieser Anstieg ist größtenteils das Ergebnis zunehmend schlagkräftiger Würmer, die gängigen Verursacher von Angriffen. Darüber hinaus zielten fast ein Drittel aller Angriffssysteme auf die Schwachstelle, die auch vom Blaster-Wurm ausgenutzt wurde.

Finanz- und Gesundheitsdienstleister sowie Energieversorger waren am stärksten von Zwischenfällen ernster Natur betroffen. Im Jahr 2003 sank die Zahl der gravierenden Zwischenfälle wie im Jahr zuvor in dem Maß, wie die Dauer der Betreuung durch Symantec Managed Security Services anstieg. Über 70 Prozent aller Kunden, die länger als sechs Monate von Managed Security Services betreut wur-den, konnten, laut Hersteller, gravierende Attacken erfolgreich abwehren.

Hacker und komplexe Bedrohungen visierten zunehmend Hintertüren im System an, die von anderen Angreifern oder Würmern zurückgelassen wurden. Durch die Nutzung existierender Backdoors konnten Angreifer die Kontrolle über Systeme erlangen, eigene Schlupflöcher einrichten oder das infizierte System für eine Denial-of-Service-Attacke ausnutzen.

Dieser Trend wurde kürzlich wieder sichtbar: Im Januar 2004 begann "MyDoom" sich ähnlich schnell wie "Sobig.F" zu verbreiten, indem er infizierte Systeme über eine Backdoor befiel und von dort eine gezielte Attacke ausführte. Zwei neue Würmer, "Doomjuice" und "Deadhat", die MyDoom folgten, verbreiteten sich über die Backdoor, die MyDoom hinterlassen hatte.

Trends bei Schwachstellen

In 2003 wurden etwas mehr Schwachstellen als in 2002 entdeckt: Symantec dokumentierte 2.636 Schwachstellen (gegenüber 2.587 in 2002), das entspricht sieben Schwachstellen pro Tag. Die Zahl von Schwachstellen mit mäßigem Bedrohungsgrad stieg von durchschnittlich 98 pro Monat in 2002 auf durchschnittlich 115 pro Monat in 2003. Darüber hinaus wurden 70 Prozent der in 2003 entdeckten Schwachstellen als leicht ausnutzbar klassifiziert (im Vergleich zu 60 Prozent in 2002).

Die Mehrzahl der Schwachstellen mit schädlichem Programmcode in 2002 und 2003 wurden als solche mit ernstem Bedrohungsgrad klassifiziert und zwar 231 in 2003 gegenüber 175 in 2002. Der Prozentsatz der Schwachstellen, für die schädlicher Programmcode öffentlich erhältlich war, wuchs um 5 Prozent in 2003. Der Prozentsatz von Schwachstellen, die keine spezialisierten Tools zu ihrer Ausnutzung bedurften, wuchs um 6 Prozent in 2003.

Client-seitige Schwachstellen im Microsoft Internet Explorer sind im Anstieg begriffen, von 20 in der ersten Jahreshälfte auf 34 in der zweiten. Das entspricht einer Zunahme von 70 Prozent. Viele dieser Schwachstellen erlauben es Angreifern, die Systeme von Anwendern, die absichtlich oder unabsicht-lich Websites mit schadhaften Inhalten besuchen, zu beeinträchtigen. Grund zur Besorgnis gibt dieser Trend vor allem wegen der massiven Marktdominanz des Internet Explorers.

Trends bei bösartigem Code

Komplexe Bedrohungen waren verantwortlich für einige der bedeutendsten Sicherheitsvorfälle des Jahres. Im August wurde die Internet-Gemeinschaft in nur 12 Tagen mit drei neuen Würmern der Kategorie 4 (von insgesamt 5 Bedrohungsstufen, wobei 5 die höchste Stufe ist) konfrontiert. Diese Würmer - Blaster, Welchia und Sobig.F - infizierten Millionen von Computern weltweit und sollen, nach Schätzungen von Computer Economics, Schäden von bis zu 2 Milliarden Dollar verursacht haben.

Im zweiten Halbjahr 2003 entdeckte Symantec zweieinhalb Mal so viele Win32-Viren und -Würmer wie im Vergleichszeitraum 2002 (von 687 im ersten auf 1.702 im zweiten Halbjahr). Unter den Meldungen waren Blaster, Welchia, Sobig.F und Dumaru. Diese Bedrohungen ließen einige verwandte Trends erkennen: Die Zeit zwischen der Ankündigung und der umfassenden Ausnutzung einer Schwach-stelle nimmt ab. Hacker verwenden häufiger Packer-Programme, um bösartigen Code zu verschleiern. Packer komprimieren und verschlüsseln unter Windows ausführbare Dateien, und erschweren es, bösartigen Code zu entdecken.

Unter den Top Ten des bösartigen Codes hat der Anteil an Würmern mit eigener Mail-Engine (Massenmailer) um 61 Prozent gegenüber der ersten Jahreshälfte 2003 zugelegt. Da die von der Engine erzeugten E-Mails nicht mit dem E-Mail-System des Anwenders interagieren, gibt es nur wenige Indizien für eine aktive Infektion. Virenschutzprogramme mit heuristischen Erkennungstech-nologien können dieser Art von Bedrohung widerstehen.

In der zweiten Jahreshälfte 2003 stieg die Zahl der Bedrohungen für die Vertraulichkeit sprunghaft an. Hier gab es ein Wachstum von 519 Prozent im Vergleich zum ersten Halbjahr. Während ältere Bedrohungen die Vertraulichkeit verletzten, in dem sie wahllos Dokumente exportierten, so extrahieren neuere Schädlinge gezielt Passwörter, Entschlüsselungscodes und Tastaturkombinationen.

Sicherheitsempfehlungen

Symantec empfiehlt Anwendern und Administratoren folgende Sicherheitspraktiken, um ihre Informationswerte besser zu schützen:

Ø       Schalten Sie alle Dienste ab, die sie nicht benötigen, und entfernen Sie die dazugehörige Software.

Ø       Spielen Sie regelmäßig Produktaktualisierungen und Sicherheits-Updates ein, besonders auf Computern, die öffentliche, durch die Firewall zugängliche Dienste anbieten wie HTTP, FTP, E-Mail und DNS-Dienste.

Ø       Halten Sie Ihre Virendefinitionen auf dem neuesten Stand. Mit den neuesten Virendefinitionen können sich Unternehmen und Verbraucher vor den neuesten in Umlauf befindlichen Viren schützen.

Ø       Setzen sie strenge Passwort-Richtlinien durch.

Ø       Konfigurieren Sie Ihre E-Mail-Server so, dass E-Mails mit Dateianhängen blockiert oder entfernt werden, die gewöhnlich zur Verbreitung von Viren eingesetzt werden, nämlich .vbs, .bat, .exe, .pif und .scr-Dateien.

Ø       Isolieren Sie infizierte Rechner schnell, um weitere Schäden zu vermeiden. Sichern Sie Beweise für eine mögliche Strafverfolgung und stellen Sie die Ausgangskonfiguration des Computers mit vertrauenswürdigen Speichermedien wieder her.

Ø       Trainieren Sie Mitarbeiter dahingehend, dass sie nur erwartete E-Mail-Anhänge öffnen und keine aus dem Internet heruntergeladene Software ausführen, bevor sie nicht nach Viren gescannt wurde.

Ø       Stellen Sie sicher, dass Notfallmaßnahmen reibungslos funktionieren.

Ø       Bilden Sie das Management in Sachen Sicherheitsbedarfsplanung fort.

Ø       Testen Sie Ihre Sicherheitskontrollen auf Funktionstüchtigkeit. (ma)

Symantec (Deutschland)

Leseranfragen:

Tel. (069) 66410300, Fax (089) 9458-3040

Leseranfragen aus der Schweiz:

Tel. (0041-1) 2126262

Leseranfragen aus Österreich:

Tel. (0043-1) 501375020

E-Mail: corinna_pradel@symantec.com

Web: www.symantec.de

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken