Rückblick auf die sicherheitsrelevanten Entwicklungen des Jahres 2007

Als erstes möchte ich allen Besucherinnen und Besuchern ein frohes neues Jahr wünschen!

Das Jahr 2007 war aus der Sicht der IT-Sicherheit ein sehr ereignisreiches und folgenschweres Jahr. Diese Entwicklungen möchte ich hier beleuchten. Mein Dank geht dabei an Andi und Braveheart aus unserem securITy-dome.eu Forum. Aber auch viele andere Mitglieder unseres Forums haben im Laufe des Jahres viele Techniken aufgedeckt und beschrieben.

Updates erkennen Sie an dem grünen Hintergrund!



Themen dieses Berichts (was Sie erwartet):



Allgemein:

Die IT- und Internetgefahren haben sich im Jahr 2007 sehr stark verlagert. Sehr viele Ereignisse und Entwicklungen waren zu beobachten, die teilweise schon die Zukunft darstellen.

Der Sicherheitsmarkt insgesamt ist durch die Entwicklungen einem sehr starken Wachstum unterworfen. Laut Experton Group AG liegt der Umsatz mit Sicherheitsprodukten bei ca. 2 Milliarden Euro und damit ca. 13 Prozent über dem Vorjahr.



Wichtig:

Auch wenn die Entwicklungen noch so gravierend sind, sollten wir uns nicht der weitläufigen Panikmache hingeben! Die Entwicklungen müssen objektiv bewertet werden und es muss nach Möglichkeiten gesucht werden! Zielführend alleine ist nur der Dialog – und nicht eine allgemeine Vorwurfshaltung! Wo immer es Wege des Angriffs gibt, gibt es auch Wege der Verteidigung!

Um aber Wege der Verteidigung zu finden und zu praktizieren, sollte man die Entwicklungen und Techniken beobachten!



Primäre Entwicklungen:

Im Jahr 2007 wurden zwei wichtige Richtungen der Gefahren beobachtet, welche weitere sekundäre Entwicklungen nach sich zogen:

Organisierte Kriminalität:

Was sich bereits seit einigen Jahren andeutet, wurde 2007 endgültig realisiert. Die Computerkriminalität wird weitestgehend gebündelt und organisiert. Einzelpersonen als Malware-Entwickler sind aus den Statistiken verschwunden. Dafür wurden Unmengen an organisierten kriminellen Netzwerken gegründet aber auch ausgeweitet. Dieser Trend wird durch den Verkauf von so genannten „Attack-Kits“ noch verschärft.

Die Motivation ist ganz deutlich im Bereich Finanz- und Personendatenbetrug zu finden.

Aufweichung des Datenschutzes:

Ebenso beängstigend sind die Entwicklungen in Richtung dem Sammeln von personenbezogenen Daten und die Aufweichung von Gesetzen zum Datenschutz und der Privatsphäre. Hier gab es im Jahr 2007 einige Vorstösse und auch Gesetzesverabschiedungen, die weitreichende Folgen haben werden.

Aber auch der Umgang von Computerbenutzern mit ihren eigenen privaten Daten bereitet Sorge! Gerade in „soziale Communities“ verlieren viele ihr Bewusstsein zum Schutz der eigenen persönlichen Daten und auch das Bewusstsein zu den dadurch entstehenden Gefahren.



Sekundäre Entwicklungen durch die organisierte Kriminalität:

Im Jahr 2007 gab es kaum eine Technik, die nicht für professionelle Angriffe genutzt wurde. Aber auch die Verbreitungswege wurden ausgiebig genutzt – oder zumindest getestet. Dabei wurden verschiedenste Techniken kombiniert, um eine finanzielle Bereicherung oder die Erfüllung von kriminellen Zielen zu erreichen.

Die wichtigsten Techniken möchte ich kurz aufzeigen:



Spam:

Spam ist im Jahr 2007 weiter angestiegen. Dies ist aber nicht meine primäre Aussage, denn der Anteil von Spam-Nachrichten befindet sich seit Jahren jenseits der 90 Prozent. Ein Prozent mehr oder weniger ist hier wenig aussagekräftig.

Wichtig ist aber die Art der Spam-Nachrichten und deren Professionalität!

Global gesehen, ist Spam weitaus professioneller geworden. Vorbei sind die Zeiten schlechter Übersetzungen oder auch reiner Werbebotschaften. Neben Nachrichten mit angehängten Schadprogrammen, werden vermehrt E-Mails mit Links auf infizierte Webseiten und auch als Grusskarten beobachtet. Auch wurde eine kurze aber intensive Zeit Spam-Nachrichten mit angehängten *.pdf oder sonstigen weit verbreiteten Dateiformaten beobachtet.

Insbesondere Grusskarten der Storm-Wurm Gruppe halten die Anti-Virenhersteller seit Mitte Januar 2007 bis zum aktuellen Datum in Atem.

Auch sind vermehrt personalisierte Spam-Nachrichten bekannt geworden, die die Speer-Phishing Technik nutzen und Finanzdienstleistern mit spezialisierter Malware einige finanzielle Verluste eingebracht haben.

Hier ist also ein Trend zur Kombination verschiedener Techniken zu erkennen:

Insbesondere Phishing erlebte eine starke Zunahme, da auch hier automatisierte Programme (Phishing-Toolkits) angeboten werden.

Weitere Informationen erhalten Sie Bereich „Interne Links“ und „Externe Links“.



Webserver als Verbreitungswerkzeuge:

Das Jahr 2007 war auch das Jahr der infizierten Webseiten. Darunter waren auch bekannte und vertraute Webauftritte. Hier wurden insbesondere XXS- und PHP-Angriffe auf Webseiten beobachtet. In dessen Folge wurde nicht nur Malware auf dem Server abgelegt, welche dann beim Besuch eine Infizierung des Rechners verursachte, sondern es wurden auch Webseiten verunstaltet (Web Defacement).

Sehr gefährlich waren hierbei Angriffe durch „MPack“ und „Pushdo“, die durch diverse Techniken – drive by download genannt - versuchen, einen Trojan-Downloader zu installieren, um in Folge den Rechner weiter mit speziell abgestimmter Malware zu infizieren. Diese drive by download Techniken werden gezielt auf beliebten Webseiten platziert, z.B. in der Sommerferienzeit auf Reise- und Urlaubsseiten.

Es sind auch Webseiten bekannt geworden, die anhand des Zugriffs entscheiden, ob eine saubere Seite oder eine infizierte Seite angezeigt wird. Weiter noch wurden auch Unterscheidungen beobachtet, welches Exploit und in Folge welche Schadsoftware ausgeführt wird. Laut einer Studie von Google waren ca. 10 Prozent der untersuchten Webseiten mit Malware infiziert.

Im Jahr 2007 sind ausserdem erste Fälle von automatisiertem „Ranking-Betrug“ durch spezielle Malware bei Suchmaschinen entdeckt worden. Hier werden infizierte Webseiten auf die ersten Plätze beliebter Suchanfragen platziert.

Weitere Informationen erhalten Sie Bereich „Interne Links“ und „Externe Links“.



Bot Netze:

Bot Netze erlebten im Jahr 2007 einen Höhepunkt, der auch 2008 nicht abreissen wird. Bot Netze – oder Botnets – sind dabei ein Zusammenschluss von fernsteuerbaren Rechnern, die durch eine entsprechende Software zentral angesteuert werden können.

Bot Netze – also die Gesamtheit von fernsteuerbaren Rechnern – können vielseitig genutzt werden:

Ich möchte hier nochmals warnen, das im Falle einer Infektion die vollständige Kontrolle Ihres Rechners beim Angreifer liegt! Die möglichen Funktionen sind alleinig nur durch die Funktionalität der fernsteuernden Software begrenzt!

Gerade Bot Netze haben ein erschreckendes Ausmass angenommen. Experten sprechen von ca. 25 Prozent aller an das Internet angeschlossener Rechner! Die Zahl steigt dabei jeden Tag!

Auch die Kommunikation innerhalb der Bot Netze wurde 2007 revolutioniert. Teilweise ist die Kommunikation und Befehlsweitergabe verschlüsselt und die Gesamtheit der Bot Netze ist leichter aufteilbar. Bot Netze werden zumeist gegen Bezahlung weiter vermietet.

Weitere Informationen erhalten Sie Bereich „Interne Links“ und „Externe Links“.



Malware Entwicklungen:

Ebenso hat sich die Art der Malware im Jahr 2007 gravierend verändert. Waren in den Vorjahren noch Viren an oberster Stelle, sind es nun Trojaner, Backdoors und Keylogger. Insbesondere Trojaner führen die Statistiken 2007 an. So erhöhte sich der Anteil der Trojaner auf über 50 Prozent der Malware. Viren sind auf weit unter 10 Prozent gefallen. Dies zeigen auch die Jahresstatistiken diverser Anti-Viren Labors. Hier finden sich unter der Top-Ten Malware hauptsächlich Trojaner (Trojan-Dropper, Trojan-Downloader) und Würmer.

Sie sorgen dabei für heimliche Aktivitäten auf dem infizierten Rechner, unter anderem durch folgende Aktionen:

Die Infektion ist dabei mittlerweile automatisiert und analysiert diverse Systemeinstellungen.

Malware wird dabei so oft modifiziert, das Anti-Virenhersteller kaum noch mit Erkennungssignaturen nachkommen. Diese Modifikation kann sowohl den eigentlichen Code betreffen, als auch das gewählte Packformat.

Insbesondere bei den Packformaten ist erhöhte Aufmerksamkeit geboten. Gerade dadurch lassen sich Schutzlösungen gezielt aushebeln, bzw. umgehen.

Folgende Packformate fallen bei der Kombination mit Malware auf:

Neben der gezielt geringen Reputation, den gezielten und häufigen Änderungen und der zeitlich schnellen Abfolge von neuen Versionen ist eine traditionelle Schutzlösung (Virenscanner) schnell überfordert. Gleichzeitig zeigt dies die Professionalität und Organisation der Angreifer deutlich auf. Hier sind verhaltensbasiete Lösungen zwingend erforderlich.

Weitere Informationen erhalten Sie Bereich „Interne Links“ und „Externe Links“.



Schwachstellen in Programmen:

Die Angriffe auf Schwachstellen in Programmen wurden 2007 weiter ausgeweitet. Insbesondere im Zusammenhang mit der drive by download Technik werden die Webbrowser der Besucher analysiert und passende Exploits speziell für diese Browser-Version geladen. War der Angriff erfolgreich, wird meist ein Trojan-Downloader installiert, der weitere individuelle Malware installiert. Besonders stark wurden dabei ActiveX-Schwachstellen ausgenutzt.

Im Dezember 2007 wurden Publikationen bekannt, das speziell Anti-Virenprogramme Sicherheitslücken haben. Betroffen sind besonders die Parsing-Funktionen, also das entpacken und zerlegen von Daten in analysierbare Teile.

Im Jahr 2007 waren ausserdem Versuche zu beobachten, das Wissen um Schwachstellen von Programmen legal zu verkaufen. Es entstanden Internet-Plattformen, die den Verkauf um das Wissen von Schwachstellen anbieten.

Weitere Informationen erhalten Sie Bereich „Interne Links“ und „Externe Links“.



Virtualisierung:

Auch die Virtualisierungstechnik fand 2007 das besondere Interesse von Angreifern. Besonders zu nennen sind hier zwei unterschiedliche Arten:

Weitere Informationen erhalten Sie Bereich „Interne Links“ und „Externe Links“.



Datenschutz:

Der Schutz personenbezogener Daten hat 2007 durch verschiedene Entwicklungen sehr stark gelitten! Zu nennen sind dabei folgende Punkte:

Eigenverschulden durch leichtfertige Herausgabe von persönlichen Daten:

Insgesamt ist ein Trend zu sehen, das Menschen sehr leichtfertig mit persönlichen Daten umgehen. Besonders in „sozialen Communities“ werden teilweise sehr persönliche Daten freiwillig eingetragen, die dann von Angreifern gezielt gesammelt werden, um individuelle Social Engineering Angriffe durchzuführen.

Aber auch einige Webseiten und „Online-Shops“ verlangen teilweise zu viele persönliche Daten bei einer Bestellung. Man sollte deshalb sein Verhalten wieder etwas sensibilisieren und sich vor Augen führen, welche Daten man in einem realen Geschäft dem netten Verkäufer geben würde! Ob hier auch die private Telefonnummer oder das Geburtsdatum freiwillig genannt werden, wage ich zu bezweifeln!

Datenverlust & Datendiebstahl:

Im Jahr 2007 haben sich die Fälle von Datenverlust durch unsachgemässen Umgang einem neuen Rekordhoch genähert. Von diesen Diebstählen oder Verlust waren sowohl Behörden und Schulen, als auch Wirtschaftsunternehmen betroffen. Die Fälle sind dabei so vielzählig, das nur ein paar Beispiele genannt werden sollen:

Dabei wurden sehr häufig die Daten nicht ausreichend geschützt, z.B. durch Verschlüsselung oder Zugangsberechtigungen. Laut Symantec waren dabei knapp 50 Prozent der Fälle von Identitätsdiebstahl durch den Verlust/Diebstahl von Datenträgern begründet.

Wie in einigen neu entdeckten Studien beschrieben wird, haben sie die Fälle von Datendiebstahl und Datenverlust im Jahr 2007 im Vergleich zum Vorjahr verdoppelt. Manche sprechen sogar von der dreifachen Anzahl. Die Dunkelziffer dabei wird nochvollziehbar sehr hoch sein. Weil diese Zahlen Schätzungen sind, werde ich keine Links zu den Quellen hinzufügen. Kernaussage ist, das sich diese Gefahr weiter erhöht hat.

Rechtliche Entwicklung durch Gesetzesverabschiedungen:

Auch dieser Punkt ist ein Eingriff in den Datenschutz und hat im Jahr 2007 enorme Auswirkungen gezeigt. Dieses Phänomen ist international zu beobachten. Auch die EU hat durch entsprechende Vorschriften dazu beigetragen. In Deutschland wurden teilweise durch EU-Vorschriften, teilweise im Alleingang umfangreiche Änderungen durchgesetzt, bzw. vorbereitet.

Das Hauptthema ist sicherlich der so genannte Bundestrojaner. Hier waren Diskussionen und Publikationen mit teilweise erschreckendem Ausmass zu beobachten! Von der totalen Verharmlosung bis zur Panikmache war alles vertreten. An dieser Stelle macht es keinen Sinn zu spekulieren und mögliche Szenarien aufzubauen. Eine Entscheidung über den Bundestrojaner wird wohl erst mit dem Urteil des Bundesverfassungsgerichtes in Karlsruhe fallen. Auch eine Änderung des Grundgesetzes wird schon diskutiert, um eine gesetzliche Grundlage für den Einsatz des Bundestrojaners zu schaffen.

Ein weiteres Thema ist der Beschluss und die zum 01.01.2008 durchgeführte Vorratsdatenspeicherung. Die Vorratsdatenspeicherung umfasst alle Verbindungsdaten von Telefonen, Mobiltelefonen, SMS, E-Mail und Einwahldaten in das Internet. Diese Daten müssen für 6 Monate durch die entsprechenden Provider gespeichert werden.

Der sogenannte Hackerparagraph (§ 202a StGB, § 202b StGB, § 202c StGB) sorgt für eine rechtliche Grauzone bei IT-Auditoren, IT-Forensikern aber auch privaten Anwendern, die die Sicherheit ihrer Rechnersysteme prüfen wollen.

Weitere Informationen erhalten Sie Bereich „Interne Links“ und „Externe Links“.



Vorschau:

In Kürze werde ich einen Bericht zu den möglichen und realistischen Entwicklungen im Jahr 2008 veröffentlichen.



Interne Links:

Teil 1 – UM–Grundlagen zu E-Mail Gefahren: http://www.security-dome.eu/UM-Spamgrundlagen_Teil_1.html

Teil 2 – UM–Techniken zur Spam-Erkennung: http://www.security-dome.eu/UM-Spamerkennung_Teil_2.html

Teil 3 – UM–Erweiterte E-Mail Gefahren: http://www.security-dome.eu/UM-Erweiterte_Spamgefahren_Teil_3.html



Warnung vor aktuellen Angriffen durch MPack: http://www.security-dome.eu/Warnung-MPack_Angriff.html



Sicherheit – das Katz und Maus „Spiel“: http://www.security-dome.eu/Sicherheit-Katz_und_Maus.html



Klassische Malware – Teil 1: http://www.security-dome.eu/Klassische_Malware_-_Begriffserklaerung_Teil_1.html

Erweiterte Malware - Teil 2: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_2.html

Erweiterte Malware - Teil 3: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_3.html

Neue Angriffsformen – Teil 4: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_4.html

Neue Angriffsformen – Teil 5: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_5.html

Verhaltensbasierte Schutzlösung „Primary Response SafeConnect“ Vorstellung: http://www.security-dome.eu/Primary_Response_SafeConnect-1.html



Virtualisierung und Risiken – Teil 1: http://www.security-dome.eu/Virtualisierung_und_Risiken_1.html

Virtualisierung und ihre Grenzen – Teil 2: http://www.security-dome.eu/Virtualisierung_und_die_Grenzen-Teil2.html



Externe Links:

Symantec Spam Report: http://www.symantec.com/enterprise/security_response/weblog/security_response_blog/spam/

Symantec Security Trends 2007: http://www.symantec.com/enterprise/security_response/weblog/2007/11/a_lookback_at_the_security_tre.html

Symantec Security Trends: http://www.info-point-security.com/forums/showthread.php?t=4166

SANS – A look back at 2007: http://isc.sans.org/diary.html?storyid=3792

Analysis of Web-based Malware: http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf

Panda Security – Anstieg von Malware: http://www.pandasecurity.com/germany/about/corporate-news/new-2.htm

F-Secure World Map: http://worldmap.f-secure.com/vwweb_1_2/vwm/map/clde/de200606100/ds200606000/dt-11/gwglobe/ic10/if0/ii0/is2/ly100/ro0/rtpage/zz.html

TrendMicro – Malware Map: http://itw.trendmicro.com/index.php?id=25

SecureWorks – Pushdo Analysis....: http://www.secureworks.com/research/threats/pushdo

Kaspersky Labs Statistiken: http://www.kaspersky.com/viruswatch3

n.runs AG – Schwachstellen von Anti-Viren Programmen: http://www.nruns.com/presseberichte.php

Vorratsdatenspeicherung: http://www.vorratsdatenspeicherung.de/

Paragraph 202 StGB: http://www.bmj.bund.de/media/archive/1317.pdf



Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter -->

http://www.security-dome.eu/forum/pA/index.php




Autor: Frank Richter

Copyright: Frank Richter – securITy-dome.eu

Erstellungsdatum: 03.01.08

Letzte Aktualisierung: 04.01.08



<-- Zurück zu den News