Vorschau auf sicherheitsrelevante Entwicklungen des Jahres 2008

Basierend auf den Jahresrückblick 2007, möchte ich eine Vorschau auf wahrscheinliche Entwicklungen des Jahres 2008 geben. Den Bericht zum Jahresrückblick 2007 finden Sie im Bereich --> „Interne Links“.

Ich möchte mich bei allen Forenmitgliedern bedanken, die interessante Entwicklungen und Trends frühzeitig erkennen und diese in unserem securITy-dome.eu Forum zur Verfügung stellen.



Themen dieses Berichts (was Sie erwartet):



Allgemein:

Eine Vorhersage zu treffen ist immer sehr schwierig. Gerade beim Thema IT-Sicherheit sind die Entwicklungen sehr schnell und vor allem sehr vielschichtig. Trotzdem sind Trends zu erkennen, deren Entwicklung im Jahr 2008 verfeinert, vervollständigt oder auch erweitert werden wird.



Primäre Entwicklungen:

Organisation:

Angriffe auf die IT und Netzwerke werden noch weiter kriminalisiert und organisiert werden. Die Hauptmotivation wird dabei die wirtschaftliche Bereicherung sein. Ebenso zeigen sich aber Anzeichen von Konkurrenzkämpfen innerhalb der kriminellen Organisationen.

Herausforderung der Sicherheitsindustrie:

Hersteller von Sicherheitslösungen werden im Jahr 2008 eine ganz besondere Herausforderung erleben! Dies sowohl auf quantitativen, als auch auf qualitativen Entwicklungen. Es ist auch davon auszugehen, das kleinere Sicherheitsdienstleister nicht mehr die Ressourcen haben werden, mit diesen Entwicklungen Schritt zu halten.



Sekundäre Entwicklungen:

Automatisierung:

Eine der Hauptentwicklungen wird die Automatisierung von Infektionswegen darstellen. Dies sowohl in Bezug auf die Erstellung von Malware (Construction Kits), als auch der eigentliche Infektionsvorgang auf den einzelnen Rechnersystemen.

Masse:

Die Masse an Malware, infizierten Ressourcen und Angriffswegen wird stark zunehmen. Ebenso werden Angriffswerkzeuge und -techniken weiter vermischt und eine Vielzahl an Kombinationen entstehen.

Kryptographie & Steganographie:

Die Kryptographie (Verschlüsselung von Informationen) und die Steganographie (verborgene Speicherung oder Übermittlung von Informationen) sind Techniken die in Zukunft stark zunehmen werden. Dabei sind diese Techniken in allen Angriffsformen möglich und werden Ihnen in diesem Bericht noch mehrfach begegnen. Erklärungen zu beiden Techniken finden Sie im Bereich --> „Externe Links“.



Entwicklungen im Einzelnen:

Folgende Entwicklungen werden erwartet:



Malware:

Das Hauptthema wird auch 2008 Malware sein. Bereits in den ersten 7 Tagen des Jahres 2008 wurden schon über 100.000 neue Malware entdeckt. Diese Zahlen hat das „Bürger CERT“ unter Berufung auf „AV-Test“ veröffentlicht. Weitere Informationen erhalten Sie im Bereich --> „Externe Links“.

Malware-Umfang:

Malware wird in einer massenhaften Anzahl an leicht verändertem Code veröffentlicht. Hier reichen oftmals schon kleine Veränderungen, um die rein signaturbasierten Erkennungen von Anti-Virusprodukten zu umgehen.

Diese Masse an Malware, die dazu noch in sehr kurzer zeitlicher Abfolge erscheint, stellt gerade kleine Anti-Virenlabors vor Probleme. Dies hat Herr Alex Eckelberry von Sunbelt in seinem Blog sehr gut veranschaulicht. Sehen Sie dazu auch den Bereich --> „Externe Links“.

Problematik Signaturen:

Gerade statische signaturbasierte Anti-Virenlösungen sind dieser Flut an Malware kaum noch gewachsen. Hierbei ist die Gefahr von unerkannten Schädlingen oder auch „Fehlerkennungen“ (False Positives) sehr hoch! Die Anti-Virenhersteller sind so in immer kürzerer Zeit zum Update der Signaturen angehalten. Da aber die Analyse von Malware durch diverse Techniken erschwert wird, leidet zwangsläufig die Qualität oder die Aktualität von Signaturen.

Hier ist die Weiterentwicklung von heuristischen Techniken gefordert, die aufgrund von Verhaltensanlaysen Schadcode erkennen kann.

Malware-Baukästen:

Die Masse der Malware wird durch automatisierte Veränderungen des Schadcodes stark vereinfacht. So können Schädlinge schnell verändert werden, um Signaturen zu umgehen. Ein weiteres Problem sind die unterschiedlichen Packformate und Techniken wie Kryptographie/Steganographie – also das Verschlüsseln oder Verstecken von Schadcode.

G Data sieht sogar die automatisierte Veränderung von Malware als Hauptbedrohung für das Jahr 2008 an. Hier ist die Rede von „Wegwerf-Trojanern“, die die „Malware-Industrie“ im Kampf gegen Anti-Viren Herstellern einsetzen.

Problematik Packformate:

Auch im Jahr 2008 werden unterschiedliche und exotische Packformate für Angriffe genutzt werden. Das Ziel ist natürlich das Umgehen von Schutzlösungen.

Ransomware:

Ransomware hängt direkt mit dem Trend zur Verschlüsselung (Kryptographie) zusammen. Bereits seit Jahren wird dieser Technik eine stärkere Verbreitung vorausgesagt, die bisher aber nicht in dem prognostizierten Umfang eingetreten ist.

Unter Ransomware versteht man Malware, die Inhalte auf dem Opferrechner verschlüsselt. In erpresserischer Absicht wird nach Zahlung einer gewissen Geldsumme die Entschlüsselung der Daten versprochen. Näher Informationen finden Sie im Bereich --> „Interne Links“.

Schwachstellen in Anwendungen:

Ende 2007 sind Erkenntnisse bekannt geworden, das Anti-Virenlösungen teilweise erhebliche Schwachstellen aufweisen. Es ist davon auszugehen, das diese Schwachstellen durch gezielte Angriffe ausgenutzt werden. Gerade auch unter dem Aspekt, das Anti-Virenlabors und -hersteller weiter unter Druck geraten um den Massen an Malware Herr zu werden. Dies bindet Ressourcen, die an anderen Stellen fehlen dürften.



Webbasierte Angriffe:

Ein ganz grosses Thema werden webbasierte Angriffe! Diese Angriffe richten sich sowohl an Datenbanken, um Benutzerdaten zu stehlen, als auch auf Webserver, um hier Scriptcode zu platzieren.

Drive by Download:

Die Infektion mit Schadcode durch den einfachen Besuch einer Webseite wird im Jahr 2008 stark zunehmen. Es ist davon auszugehen, das sowohl sehr beliebte Seiten angegriffen werden, als auch Seiten die sich einem temporär sehr interessanten Thema widmen (Reiseseiten zur Reisezeit, Sportseiten zu Olympia 2008 usw.).

Dafür sind insbesondere 2 Gründe verantwortlich:

Der Scriptcode wird dabei so „verunstaltet“, das er kaum noch von Schutzlösungen erkannt werden kann. Auch hier werden Techniken wie sehr schnelle Änderung des Scriptcodes, Kryptographie und Steganographie eingesetzt werden. Diese Gefahr war auch Thema einiger Vorträge auf den Security Konferenzen „Black Hat“ und „Defcon“ in Las Vegas.

Angriffe auf Datenbanken:

Angriffe insbesondere auf soziale Netzwerke (Social Communities / Social Networks) werden zunehmen, um an die sehr umfangreich hinterlegten Personendaten zu gelangen. Gerade diese (auch als Web2.0 bekannten Angebote) bieten aufgrund ihrer Komplexität, der Vorraussetzung von aktivem Scripting im Browser des Besuchers und der enormen Möglichkeiten, private Daten anzulegen, ein vielversprechendes Ziel! Den Angreifern zu Gute kommen dabei folgende Punkte, die ich nochmal zusammenfassen möchte:

Bereits Ende 2007 sind einige teilweise prominente Beispiele von erfolgreichen Angriffen gemeldet worden.

Eine ausführliche und umfangreiche Bewertung der Problematik hat Prof. Hendrik Speck der Fachhochschule Kaiserslautern veröffentlicht. Sehen Sie dazu auch den Bereich --> „Externe Links“.

Angriffe auf Foren, Web-Blogs:

Spam-Anmeldungen und Spam-Beiträge in Internet-Foren und Web-Blogs werden weiter zunehmen. Hier werden gezielt Werbebotschaften und Verlinkungen auf infizierte Seiten gesetzt, aber auch Ausnutzung der E-Mail Funktion oder Verbreitung von infizierten Dateien praktiziert.

Angriffe auf Suchmaschinen:

Durch die gezielte Fälschung von Suchmaschinen-Ergebnissen werden Besucher auf infizierte Seiten gelockt, denn hohe Rankings versprechen hohe Zugriffszahlen durch potentielle Opfer.



Botnetze:

Botnetze werden in ihrer Verbreitung weiter wachsen. Es kann sogar davon ausgegangen werden, das die Geschwindigkeit der infizierten Systeme weiter zunimmt.

Die Techniken zum Infizieren und anschliessendem Überführen in Botnetze werden weiter spezialisiert werden. Es scheint deshalb realistisch, das Versuche die Opferrechner eindeutig zu identifizieren zunehmen werden (Pushdo).

Ausserdem ist mit steigender Überführung von Rechnersystemen in Botnetze auch mit einem steigenden Konkurrenzkampf unter den kriminellen Organisationen zu rechnen.



Angriffe auf alternative Betriebssysteme:

Auch alternative Betriebssysteme sind in das Interesse der Angreifer geraten. Hierbei sind die Gründe unter anderem:

So wurde Ende des Jahres 2007 ein recht erfolgreicher Trojaner entdeckt, welcher die DNS-Einträge (Domain Name Service) des Apple Mac Betriebssystems fälschte.

Sehen Sie dazu auch den Bereich --> „Externe Links“.

Mobile Systeme:

Seit einigen Jahren wird die Zunahme von Malware für mobile Systeme (PDA`s, Handy`s usw.) prognostiziert. Dies ist bisher nicht in dem vorhergesagten Umfang geschehen. Ob sich dies im Jahr 2008 entscheidend ändern wird ist noch fraglich. Fraglich ist aber nicht das „Ob“, sondern einzig das „Wann“.



Angriffe auf Personendaten:

Personendaten sind und bleiben ein lohnendes Ziel von Angreifern, ermöglichen sie doch unzählige weitere Angriffe:

Datenschutz:

Der Datenschutz wird durch viele teils staatliche, teils privatwirtschaftliche Entwicklungen zusehends aufgeweicht. Dies Entwicklung zeigt auch eine aktuell Studie von „Privacy International“. Die Studie von „Privacy International“ finden Sie im Bereich --> „Externe Links“.



Angriffe auf die Hardware:

Eine vielleicht gefährlich unterschätzte Gefahr!!

Im Jahr 2007 häuften sich Nachrichten zu Hardware-Angriffen:

Produktfälschungen:

Insbesondere USB-Sticks sind in die Schlagzeilen geraten. So waren viele Hersteller von USB-Sticks betroffen, deren Produkte eine höhere Speicherkapazität anzeigten, als sie wirklich boten! Dies mit erheblichen Gefahren auf die gespeicherten Daten, denn ist der USB-Stick physikalisch voll, wird dies nicht gemeldet und einfach alte Daten überschrieben. Das Problem hat sich lawinenartig verbreitet und einige Hersteller haben sogar Rückrufaktionen gestartet.

Infizierung von Datenträgern aller Art:

Es gab immer mal wieder „Einzelfälle“, in welchen Datenträger oder datenspeichernde Produkte mit Malware ausgeliefert wurden.

Im Jahr 2007/2008 waren aber extrem viele Vorfälle dieser Art zu verzeichnen:

Eine Beschreibung der oben genannten Fälle finden Sie im Bereich --> „Externe Links“.

Obwohl die Auslieferung von Datenträgern mit Malware keine neue Entwicklung ist, ist sie dennoch sehr ernst zu nehmen! Denn im Gegensatz zu den mehrheitlich entfernt (remote) ausgeführten Angriffen (Angriffe auf Web-Server, Schwachstellen in Anwendungen – oder auch Angriffe durch E-Mail, Netzwerkangriffe, Exploits usw.) sind diese Angriffe vornehmlich lokal geschehen. Sprich durch Sabotage in Produktionsstätten oder Zulieferfirmen.

Durch die Verbreitung von „Industrial Ethernet“, also der Ethernet (Netzwerkverbindung) von Industie- und Produktionsstrassen sind aber auch hier „Remote-Angriffe“ denkbar.

Das diese Angriffe bisher so glimpflich ausgingen, liegt aber auch an der Art der Infektionen. Denkt man aber nun z.B. an das kürzlich vom Rootkit-Scanner GMER entdeckte Rootkit, welches sich in den MBR (Master-Boot-Record) einer Festplatte einschreiben kann, wird ein solcher Angriff auf die Produktion sehr viel umfangreichere Ausmasse annehmen!

Erschwerend hinzu kommt das höhere Vertrauen in Hardware, als in Software. Denn wer überprüft seinen neuen USB-Stick, Festplatte, digitalen Bilderrahmen mit einem Virenscanner vor der Inbetriebnahme? Ganz zu schweigen von neu angeschafften kompletten Systemen. Hier wird wohl kaum jemand die Datenträger z.B. über einen Bootmedium auf Viren prüfen. Ganz im Gegensatz zu neuer Software, die wohl sehr viel häufiger manuell – aber zumindest immer automatisch geprüft wird.



Zusammenfassung:

Die Entwicklung geht immer mehr in Richtung Professionalität. Daraus resultiert ganz klar, das die Skepsis des Anwenders gegenüber den Möglichkeiten der IT mehr denn je gefordert ist! Schutzlösungen sind natürlich obligatorischer Bestandteil aber das persönliche Nutzungsverhalten wird immer mehr in den Vordergrund rücken!

Ein grundsätzlich hohes Gefahrenpotential, welches sich mit jedem Punkt erhöht ist:

Das Jahr 2008 wird sehr spannend – aber nicht nur aus der Sicht der Angriffe, sondern insbesondere aus dem Blickwinkel der Schutzlösungen! Welche Reaktionen und Entwicklungen sind geplant? Welche Konzepte versprechen einen umfangreichen Schutz vor diesen Gefahren? Fragen, welchen wir schon auf der Cebit 2008 nachgehen, und bei den unterschiedlichen Herstellern kritisch erfragen werden.

Auf unserem securITy-dome.eu Portal finden Sie umfangreiche Erklärungen, Tipps, Tricks und Tests zu allen Bereichen der IT-Sicherheit. In unserem securITy-dome.eu Forum finden Sie weitere Ausarbeitungen und Hilfestellungen sowie Tipps, Tricks und Tests zu diversen Produkten.



Interne Links:

Rückblick 2007: http://www.security-dome.eu/Rueckblick2007.html



Vergleichstest 23 portable und lokale Virenscanner: http://www.security-dome.eu/Mobile_Virenscanner_Test-1.html



Empfehlung: G Data AntiVirus 2008 Vorstellung – Teil 1: http://www.security-dome.eu/G_Data_AntiVirus2008_Vorstellung-1.html

Empfehlung: G Data AntiVirus 2008 Praxiserfahrungen – Teil 2: http://www.security-dome.eu/G_Data_AntiVirus2008_Erfahrungen-2.html

Empfehlung: G Data WLAN Security: http://www.security-dome.eu/G_Data_WLAN-Security_2007_Vorstellung_1.html



Teil 1 – UM–Grundlagen zu E-Mail Gefahren: http://www.security-dome.eu/UM-Spamgrundlagen_Teil_1.html

Teil 2 – UM–Techniken zur Spam-Erkennung: http://www.security-dome.eu/UM-Spamerkennung_Teil_2.html

Teil 3 – UM–Erweiterte E-Mail Gefahren: http://www.security-dome.eu/UM-Erweiterte_Spamgefahren_Teil_3.html



Warnung vor aktuellen Angriffen durch MPack: http://www.security-dome.eu/Warnung-MPack_Angriff.html



Sicherheit – das Katz und Maus „Spiel“: http://www.security-dome.eu/Sicherheit-Katz_und_Maus.html



Klassische Malware – Teil 1: http://www.security-dome.eu/Klassische_Malware_-_Begriffserklaerung_Teil_1.html

Erweiterte Malware - Teil 2: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_2.html

Erweiterte Malware - Teil 3: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_3.html

Neue Angriffsformen – Teil 4: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_4.html

Neue Angriffsformen – Teil 5: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_5.html



Verhaltensbasierte Schutzlösung „Primary Response SafeConnect“ Vorstellung: http://www.security-dome.eu/Primary_Response_SafeConnect-1.html



Externe Links:

Begriffserklärung Kryptographie: http://de.wikipedia.org/wiki/Kryptographie

Begriffserklärung Steganographie: http://de.wikipedia.org/wiki/Steganographie

Bürger Cert Newsletter zur Malwareentwicklung: http://www.buerger-cert.de/newsletter_archiv.aspx?param=wHP8qGhMKptfvQnYM%2bbq4A%253d%253d#anchor10

Sunbelt-Blog zur Masse an Malware: http://sunbeltblog.blogspot.com/2008/01/growth-of-malware.html

G Data zu „Wegwerf-Trojanern“: http://www.gdata.de/unternehmen/DE/articleview/4017/1/160/

SecureWorks – Pushdo Analysis....: http://www.secureworks.com/research/threats/pushdo

Homepage von Prof. Hendrik Speck: http://www.hendrikspeck.com/

Bericht des SANS zum Mac Trojaner: http://isc.sans.org/diary.html?storyid=3595

Datenschutzbericht von Privacy International“: http://www.privacyinternational.org/article.shtml?cmd%5B347%5D=x-347-559597#background

TomTom GO 910 GPS: http://www.tomtom.com/news/category.php?ID=2&NID=349&Language=1

Medion MD 96290: http://www.medion.de/?service_~u~_support/allgemeine_FAQs.html

Apple iPod: http://www.apple.com/support/windowsvirus/

Seagate / Maxtor Basics Personal Storage 3200: http://www.seagate.com/www/en-us/support/downloads/personal_storage/ps3200-sw

Insignia / Best Buy 10 Zoll Bilderrahmen: http://www.sophos.com/security/blog/2008/01/1012.html

Industrial Ethernet Erklärung: http://de.wikipedia.org/wiki/Industrial_Ethernet

MBR Rootkit: http://www.heise.de/newsticker/meldung/101445



Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter -->

http://www.security-dome.eu/forum/pA/index.php




Autor: Frank Richter

Copyright: Frank Richter – securITy-dome.eu

Erstellungsdatum: 04.02.08

Letzte Aktualisierung: 04.02.08



<-- Zurück zu den News