Sicherheit – das Katz und Maus „Spiel“
Wer sich die unzähligen Meldungen der letzten Wochen und Monate zu Angriffstechniken, Malware und deren Verbreitungswege genauer betrachtet könnte zu einem düsteren Schluss kommen. Dieser Bericht soll einige Beispiele aufgreifen. Für weitere Diskussionen besuchen Sie bitte unser securITy-dome Forum --> http://www.security-dome.eu/forum/pA/ .
Themen dieses Berichts (was Sie erwartet):
Allgemein
Beispiele --> Spam / Phishing / Bot Netze / Malware in Webseiten / Drive-by-download / Drive-by-download Techniken / Schwachstellen in Anwendungen / P2P / Rootkits
Warnungen --> Gepackte Dateien / Installationspakete
Schutzlösungen --> UTM
Zusammenfassung
Interne Links
Externe Links
Allgemein:
Die Meldungen zur Entwicklung der Angriffe und Zugriffe auf Computersysteme und -infrastrukturen lässt die Vermutung aufkommen, das „alte“ Katz & Maus Spiel hat sich genetisch verändert. Auf einmal hat der Maus beträchtlich an Körpergrösse zugenommen, während der Katze die Krallen und Zähne ausfallen. Insbesondere der sicherheisbewusste Computeranwender kratzt sich verwundert die grauen Haare!
So verlieren verschiedene Schutzmöglichkeiten nach Wochen ihre Wirkung, während im gleichen Moment neue Angriffstechniken aufgedeckt werden. Erschwerend kommt hinzu, das Entwicklung neuer Schutzlösungen von der Idee bis zur fehlerfreien Marktreife Monate oder Jahre in Anspruch nehmen, während die Angriffstechniken innerhalb von Wochen leichtfüssig geändert werden, direkt auch noch gut funktionieren und die Schutzmaschinerie schwerfällig von Neuem anlaufen muss.
Diese Aussage darf nicht als Resignation verstanden werden! Vielmehr muss man sich grundlegende Gedanken um prinzipielle Architektur, Entwicklungsarbeiten und die vorausschauende Planung und Umsetzung machen!
Ebenso scheint die Gesetzgebung momentan eher der „falschen Seite“ die Steine aus dem Wege zu räumen (Schlagwort „Bundestrojaner“ und „Verbot von Auditingwerkzeugen“ - auch „Hackertools“ genannt).
Beispiele:
Als Verdeutlichung möchte ich einfach einen kurzen Rundgang durch die Meldungen und Entwicklungen der letzten Wochen, Monate und Jahre machen.
Spam:
Als Ende 2005 die ersten Spam-Nachrichten mit Bildern (Bilder-Spam oder Image Spam) auftauchten, war die Technik innerhalb von kürzester Zeit derart professionell, das enorme Steigerungen zu verzeichnen waren. Nun hat es sehr lange gedauert, bis Techniken zur Erkennung von Bilder Spam entwickelt und zur Marktreife (OCR-Texterkennung) geführt wurden. Kaum war dies geschehen, kam eine Weiterentwicklung in Form von „Random Image Spam“ (Einbau von Pixelfehlern, die die Erkennung durch Bildung eines Hash-Wertes umgeht).
Bis zum jetzigen Zeitpunkt gibt es nur vereinzelte Ideen zur Bekämpfung dieser neuen Angriffsform. Auf der Cebit 2007 gaben die Hersteller von „Anti-Spam Lösungen“ die extrem schwierige Erkennung dieser Spam-Art zu.
Umfangreiche Informationen zum Thema „Spam“ finden Sie unter --> „Interne Links“ - UM-Techniken....
Phishing:
Wurde diese Technik anfangs aufgrund der mangelhaften Rechtschreibung leichtsinnig belächelt, hat sich auch diese Technik enorm entwickelt! Der finanzielle Schaden durch Phishing ist erheblich, wobei die Dunkelziffer von Opfern sehr hoch liegen dürfte. Auch zu dieser Angriffstechnik existieren nur ansatzweise Lösungen, welche aber eine erhöhte Sachkenntnis und teilweise manuelle Aktionen erfordert!
Zusätzlich sind die Angreifer und Phishing-Versender stets aktuell informiert und nutzen zeitnah interessante Themen für ihre Angriffe aus.
Viel versprechende Lösungen sind nur als Idee vorhanden und benötigen bis zur Umsetzung noch eine relativ lange Zeit. Auch diese Technik wurde uns auf der Cebit 2007 als sehr gefährlich und momentan praktisch kaum zu bekämpfen erklärt.
Auch zum Thema „Phishing“ finden Sie weitere Informationen unter --> „Interne Links“ - UM-Techniken..... und Malware-Erklärungen.
Botnetze:
Botnetze, also Netzwerke aus kompromittierten und entführten Rechnern, entwickeln sich zu einer echten Bedrohung für die komplette IT-Infrastruktur. Nimmt man die Anzahlen der Botnet Rechner als realistisch an, so sind laut Vint Cerf, ein Vater des Internets und Mitentwickler des TCP/IP-Protokolls, bereits 100-150 Millionen Rechner in Botnets überführt. Die Gesamtzahl der im Internet befindlichen Rechner bezifferte er mit ca. 600 Millionen.
Eine erschreckende Zahl! Das sind immerhin 16 bis 25 Prozent aller Internet-Rechner!
Auch gegen Botnets sind momentan keinerlei Gegenmassnahmen möglich. Hingegen bauen Kriminelle ihre Botnets immer weiter aus haben sogar Werkzeuge entwickelt, die Botnets einfach verwalten und vermieten lassen.
Den kompletten Bericht finden Sie unter --> „Interne Links“ - Botnets Expertenwarnung
Malware in Webseiten:
Laut einer Studie, in welcher die Suchmasschine „Google“ Webseiten auf Schadcode (Drive-by-download) untersuchte, wurden bei ca. 4,5 Millionen geprüften Webseiten 450.000 infizierte Webseiten gefunden. Weitere 700.000 Webseiten enthielten ebenfalls Malware. Bei diesen Webseiten handelt es sich teilweise um offizielle Webauftritte, die durch Angreifer kompromittiert wurden und dem ahnungslosen Besucher automatisch verschiedene Arten von Malware unterschieben.
Dieser Gefahr wird eine stark steigende Tendenz vorhergesagt.
Weitere Informationen finden Sie unter --> „Externe Links“.
Drive-by-download:
Auch hierzu gibt es wiederum ein schönes Beispiel. So bieten z.B. McAfee mit dem Programm „SiteAdvisor“, aber auch Finjan mit „Secure Browsing“ eine recht neue Lösung an, die durch farbliche Markierungen die Gefährlichkeit einer Webseite beurteilen.
Finjan hat diese Technik auf der Cebit 2007 im Beta-Status vorgestellt. Seit ca. einem Monat ist das Programm im Final-Status und schon gibt Finjan in seinem Quartalsbericht bekannt, das Möglichkeiten entdeckt wurden, wie sich solche infizierten Webseiten vor einer Erkennung durch „Crawler“ (Suchmaschinen zum Erkennen von Schadcode in Webseiten) erfolgreich schützen.
So werden diese „Crawler“ anhand ihrer IP-Adresse erkannt. Wird die IP-Adresse eines Crawlers entdeckt, wird einfach eine „saubere“ Webseite präsentiert, während „normale“ Besucher die infizierte Webseite angeboten wird. Eine ebenfalls beobachtete Technik ist, das infizierte Webseiten nur einmal pro IP-Adresse angezeigt werden. Jeder weitere Besuch der selben IP-Adresse bekommt eine sauber Webseite geliefert.
Ebenfalls bekannt sind Techniken, die national genau abgestimmte Malware verteilt. Hier wird erkannt, aus welchem Land der Besucher kommt, um ihm dann individuelle Malware anzubieten.
Es hat also nur einen Monat gedauert, bis Angreifer eine Möglichkeit zur Umgehung und Vermeidung der Erkennung gefunden haben und diese auch erfolgreich in der Praxis einsetzen!
Weitere Informationen finden Sie unter --> „Externe Links“.
Drive-by-download Techniken:
McAfee hat in seinem Blog die „Drive-by-download“ Funkionalität genauer analysiert. Herausgekommen ist dabei ein wahrer Krimi! So werden mitunter 11!! verschiedene Schadprogramme beim Besuch infizierter Webseiten automatisch im Hintergrund geladen.
Darunter sind:
Exploits auf Basis der Sicherheitslücke MS06-006 (siehe --> „Externe Links“)
Trojan Downloader
Trojaner
Keylogger
Backdoors
BHO`s (Browser Helper Objects)
Diese Aktionen werden dabei weitergeführt, auch wenn sich der Besucher nicht mehr auf der infizierten Webseite befindet. Am Ende werden Teile der 11 verschiedenen Schadprogramme automatisch gelöscht, um eine Erkennung zu verschleiern.
Schwachstellen in Anwendungen:
Auch Schwachstellen in Anwendungen werden immer häufiger ausgenutzt. So war ab Mai 2006 ein Trend erkennbar, das jeweils kurz nach dem monatlichen Microsoft Patchday neue Schwachstellen in den Microsoft Office-Paketen erkannt wurden. Dahinter erkannte ich bereits frühzeitig eine Strategie, die auf eine möglichst lange Ausnutzbarkeit der Schwachstelle abzielte, da Microsoft an den festen Patchday-Terminen festhielt.
P2P:
Eine neue Technik ist die Nutzung von P2P-Netzwerken (Peer to Peer) zur Ausführung von DoS-Angriffen anstatt Botnets. Dabei werden Anfragen so umgeleitet, das sie z.B. auf einen Webserver zielen. Dieser ist natürlich der Menge der Anfragen nicht gewachsen und kann auch mit der Art der Anfragen nichts anfangen. Momentan werden noch Schwachstellen in P2P-Anwendungen ausgenutzt (die teilweise auch schon geschlossen wurden). Es ist aber von einer Weiterentwicklung dieser Technik auszugehen.
Erklärungen zum Begriff DoS finden Sie hier --> „Interne Links“.
Rootkits:
Das Jahr 2006 war das Jahr der Rootkits in der Presse! Es gab fast täglich neue Meldungen zu neuen Bedrohungen. Auf der Cebit 2006 fragten wir bei allen vertretenen Sicherheitsanbietern nach Erkennungslösungen zur Rootkit-Bedrohung nach. Insgesamt stellten wir ein relativ „genervtes“ Verhalten bei den Ausstellern fest. Nur wenige gaben offene Stellungnahmen ab, wobei dann der Tenor war „die Sicherheitsindustrie hat die Entwicklung verschlafen und völlig unterschätzt“!
Nicht so die Angreifer, die ihre Entwicklung stetig fortsetzten und nicht mit dem Erreichten zufrieden waren.
Warungen:
Aus eigenen Erfahrungen und Berichten in unserem Forum muss man momentan ganz energisch vor gepackten Dateien warnen! Ebenso entwickeln sich die verschiedenen Installationspakete (wie z.B. *.msi und weitere) zu ganz besonders ernst zu nehmenden Gefahren!
Gepackte Dateien:
Aus gepackten Dateien besteht eine erhebliche Gefahr für Computersysteme, da diese teilweise nicht in vollem Umfang von Virenscanner geprüft / erkannt werden können! Insbesondere gepackte Dateien im Medien-Codec Format scheinen im Untergrund starkes Interesse zu bieten (was wir in genauer Beobachtung haben und weiter noch darüber berichten werden).
Installationspakete:
Das Gleiche wie für gepackte Dateien gilt für Installationspakete. Auch hier gibt es unterschiedliche Formate, welche von Virenscannern in der Ursprungsdatei nicht erkannt werden können, aber ein erhebliches Schadpotential haben.
Schutzlösungen:
Mittlerweile kann ich die Meinung vertreten, das momentan kein Weg an einer UTM-Lösung vorbeigeht. Wer sich schon mal die Mühe gemacht hat, Netzwerkangriffe (z.B. Webseitenangriffe oder LAN-Angriffe) zu analysieren, wird fast immer einen initialen Angriff auf Schwachstellen oder Sicherheitslücken in Betriebssystemen oder Anwendungen erkennen. Sehr viele Schwachstellen sind dabei teilweise Monate bekannt, bevor sie von den entsprechenden Herstellern geschlossen werden. Bei solchen Angriffen ist eine lokale Schutzlösung überfordert.
UTM:
Sehr viele Angriffe (insbesondere Web-Angriffe) bauen auf Zero-Day-Exploits auf, welche von guten UTM im Vorfeld erkannt werden sollten. Dies ist momentan eine bestmögliche Schutzmöglichkeit. Darüber bedarf es wahrscheinlich keiner weiteren Diskussion. Einzig der Preis muss von jedem Einzelnen in Relation gesetzt werden. Rein funktionell jedoch bietet eine UTM Schutz vor den hauptsächlichen Gefahren des Internets. Berichte und Erklärungen zur UTM-Technik finden Sie hier --> „Interne Links“
Zusammenfassung:
Zu welcher Annahme kann man bei diesen Zusammenhängen oder Entwicklungen kommen? Fehlt es den Herstellern von Schutzlösungen an Kreativität oder vorausschauender Entwicklung? Sind die Angreifer einfach schneller in der Erkennung von Möglichkeiten und vor allem flexibler bei der Umsetzung?
Sind vielleicht die Funktionen der Schutzlösungen zu leicht durchschaubar bzw. umgehbar?
Man fragt sich, warum Angreifer so schnell, flexibel und erfolgreich auf Gegenmassnahmen reagieren können und gleichzeitig weitere neue Techniken entwickeln? Sind die Lösungen vielleicht zu simpel oder zu oberfläch? Fehlt es an der nötigen Kreativität?
Sie sind herzlich eingeladen, diese und viele weiteren Fragen mit uns im securITy-dome Forum zu diskutieren! Das Forum finden Sie hier --> http://www.security-dome.eu/forum/pA/
Interne Links:
Teil 1 – UM-Grundlagen zu E-Mail Gefahren: http://www.security-dome.eu/UM-Spamgrundlagen_Teil_1.html
Teil 2 – UM-Techniken zur Spam-Erkennung: http://www.security-dome.eu/UM-Spamerkennung_Teil_2.html
Teil 3 – UM-Erweiterte E-Mail Gefahren: http://www.security-dome.eu/UM-Erweiterte_Spamgefahren_Teil_3.html
Klassische Malware – Teil 1: http://www.security-dome.eu/Klassische_Malware_-_Begriffserklaerung_Teil_1.html
Erweiterte Malware – Teil 2: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_2.html
Erweiterte Malware – Teil 3: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_3.html
Neue Angriffsformen – Teil 4: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_4.html
Neue Angriffsformen – Teil 5: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_5.html
Teil 1 – UTM-Komplette Sicherheit aus einer Box: http://www.security-dome.eu/UTM-Appliance_Teil_1.html
Teil 2 – UTM-Funktionen, Kriterien und Übersicht: http://www.security-dome.eu/UTM-Appliance_Teil_2.html
Teil 3 – UTM-Anti-Virus Scanmethoden: http://www.security-dome.eu/UTM-Appliance_Teil_3.html
Teil 4 – UTM-Erweiterte Funktionen und technische Möglichkeiten: http://www.security-dome.eu/UTM-Appliance_Teil_4.html
Teil 5 – UTM-Software-Lösung als Alternative: http://www.security-dome.eu/UTM-Appliance_Teil_5.html
Botnets Expertenwarnung: http://www.security-dome.eu/Botnets-Expertenwarnung.html
DoS Grundlagen: http://www.security-dome.eu/DoS_Grundlagen.html
Externe Links:
Studie über Infizierte Webseiten: http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf
Finjan Web Security Trends Report Q2/2007: http://www.finjan.com/Content.aspx?id=827
Finjan Secure Browsing: http://www.finjan.com/Content.aspx?id=1460
McAfee SiteAdvisor: http://www.siteadvisor.com/download/iemedia.html?cid=24759
McAfee „Another identity theft story“: http://www.avertlabs.com/research/blog/index.php/2007/05/25/another-identity-theft-story-2/
Microsoft Sicherheits-Bulletin MS06-006: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms06-006.mspx
Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter --> http://www.security-dome.eu/forum/pA/
Autor: Frank Richter
Copyright: Frank Richter – securITy-dome.eu
Erstellungsdatum: 05.06.07
Letzte Aktualisierung: 06.06.07