IT-Sicherheit: Schlechte Aussichten
Artikel erschienen in Swiss IT Magazine 2007/02
Januar ist traditionell der Monat der Rück- und Vorschauen – nicht umsonst wurde er nach dem zweigesichtigen römischen Gott Janus benannt. Rückschau halten auch viele Hersteller von Sicherheits-Soft- und Hardware. Und sie ziehen eine traurige Bilanz: 2006 war in Sachen IT-Sicherheit ein hartes Jahr und eines, in dem sich die Motivation der Angreifer grundlegend und definitiv änderte. Waren bis vor einiger Zeit noch Hacker und Virenautoren am Werk, denen es «bloss» um Ruhm und Ehre in der Szene ging und die ihre Angriffe auf möglichst breiter Ebene lancierten, um viel Aufmerksamkeit zu erhalten, hat sich die Szene im vergangenen Jahr grundlegend gewandelt. Heute wird versteckt und im Stillen operiert, das Motiv heisst nicht mehr Ehre, sondern viel profaner Geld. Und im Zug dieses Wandels hat sich die Szene professionalisiert.
Natürlich waren auch im vergangenen Jahr verschiedene Viren unterwegs: Nach Informationen von Sophos waren dies vor allem Varianten der Familien Mytob, Netsky, Sober und Zafi, die sich noch traditionell per Mail weiterverbreiten. Allerdings haben die Virenautoren auf die verbesserten Antiviren-Massnahmen vieler Unternehmen und Heimanwender reagiert und verbreiten ihre Produkte mittlerweile über infizierte Webseiten. Dieser Trend, so die Experten von Sophos, wird sich 2007 noch verstärken. Daneben erproben die Virenautoren weitere neue Infektionswege. So wurde etwa laut Fortinet 2006 mit MSIL/Overcross.A das erste sogenannte Crossover-Virus entdeckt, das von einem Windows-Pocket-PC oder
-Smartphone aus einen Windows-PC infizieren kann. Auch derartige Viren sind 2007 in grösserer Zahl zu erwarten.
Das einzige, was heute noch pandemische Züge trägt, ist der Spam. Dieser – auch das eine Feststellung aller Sicherheitsexperten – wird fast nur noch (laut Sophos zu rund 90%) über Botnetze verschickt. Dies hat verschiedene Gründe:
- Der Spammer spart Geld, weil er weniger in seine Mail-Infrastruktur investieren muss.
- Spam wird zunehmend als sogenannter Bild-Spam versandt, um die Anti-Spam-Massnahmen auszutricksen. Gleichzeitig werden die Bilder immer wieder neu generiert, damit keine Signaturen erstellt werden können. Dies erfordert allerdings massive Rechenpower, die von verteilten Botnetzen geboten wird.
- Die immensen Spam-Mengen (einige Experten sprechen von einer Verzweieinhalbfachung gegenüber 2005) können nur noch von Botnetzen überhaupt verarbeitet werden.
- Nicht zuletzt entzieht sich der Spammer hinter seinen Botnetzen auch den Strafverfolgungsbehörden, indem er anonym bleibt.
Auch im Spam-Bereich wird sich das Problem 2007 weiter verschärfen. So hat etwa F-Secure festgestellt, dass Top-Spammer mittlerweile so viel verdienen, dass sie begonnen haben, selber in Forschung und Entwicklung zu investieren, um noch ausgeklügeltere Verbreitungsmethoden zu finden – und in mindestens zwei bekannten Fällen wurden gar Spezialisten von Anti-Spam-Herstellern durch Spammer abgeworben.
Weiter zunehmen wird im nächsten Jahr auch der gezielte Versand von Spam an Adressaten, die einem bestimmten Profil entsprechen, also beispielsweise in einer bestimmten Branche arbeiten. Und ähnlich wie bei den Viren, für die es im Internet mittlerweile zahlreiche Entwicklungs-Kits gibt, mit denen die Schädlinge ohne besonderes Know-how zusammengeklickt werden können, werden vermehrt auch Spam-Baukästen verfügbar.
All diese Entwicklungen lassen im Hinblick auf eine Abnahme der Spamflut allen technischen und politischen Lösungsversuchen zum Trotz nichts Gutes hoffen.
In einem Umfeld, in dem Geld die Hauptrolle spielt, ist klar, dass alle möglichen Varianten des Online-Betrugs ausgeschöpft werden.
Eine der einfachsten Möglichkeiten ist dabei nach wie vor das Phishing, das immer ausgeklügelter wird. Waren die ersten Phishing-Versuche insbesondere in der Schweiz leicht durchschaubar, weil die entsprechenden Mails in gebrochenem Deutsch formuliert waren und Kunden amerikanischer oder deutscher Banken ansprachen, kommt das ganze nun professioneller daher. In perfekt formulierten Sätzen und mit korrekten URLs, die im Hintergrund umgeleitet werden, versuchen die Betrüger ihre Opfer so geschickt zur Herausgabe der Daten zu verleiten, dass immer wieder einige Empfänger darauf hereinfallen. Anti-Phishing-Toolbars und ähnliche Massnahmen wurden bisher fast ausnahmslos ausgehebelt, die beste Anti-Phishing-Methode ist demnach immer noch, auf entsprechende Mails mit dem Begehren, sich irgendwo zur Überprüfung von irgendwas einzuloggen, schlicht nicht zu reagieren.
Dabei haben es die Betrüger mittlerweile nicht mehr nur auf Banken und Zahlungsverkehrs-Unternehmen wie Paypal abgesehen. Vielmehr wird heute überall gephisht, wo’s irgendwie um Geld geht oder wo sich eine Ware (und sei sie virtuell) per Ebay versteigern lässt.
Ein aktueller Trick ist beispielsweise, mit gepishten Zugangsdaten zu einem Online-Pokerspiel eine Partie gegen den eigenen Account zu spielen und dabei möglichst viel Geld zu verlieren. Der Phisher gewinnt, und das Opfer dürfte einige Probleme haben, den Verlust seines Gelds zu erklären, ohne sich lächerlich zu machen. Auf ähnliche Weise wird etwa auch mit Goldreserven und Artefakten aus Online-Spielen wie «World of Warcraft» Geld verdient, indem diese erst mit gephishten Zugangsdaten gestohlen und dann über Ebay versteigert werden. Die Experten erwarten, dass die Phisher 2007 noch weit mehr und kreativere derartige Betrugsmethoden finden werden.
Eine weitere Phishing-Methode, die sich zunehmender Beliebtheit erfreut, ist das Vishing (Voice- oder VoIP-Phishing). Dabei wird mit automatisierten Telefonanrufen versucht, den Opfern mit Social-Engineering-Methoden Zugangsdaten, Passwörter und ähnliches abzuluchsen. Es wurden auch schon Fälle beobachtet, bei denen die Empfehlung von Banken genutzt wurde, E-Mails zu ignorieren und statt dessen telefonischen Kontakt zu suchen. Diese Visher versandten klassische Phishing-Massenmails, die allerdings statt mit einem Link mit einer Telefonnummer versehen waren, die die Opfer anzurufen hatten – und wo sie wiederum um die Preisgabe von Zugangsinformationen gebeten wurden. Bisher wurden in Europa nur wenige Vishing-Fälle bekannt, Experten rechnen aber mit einer stark steigenden Tendenz.
Der wichtigste Trend für das eben begonnene Jahr, das geht aus dem obigen teilweise bereits hervor und darin sind sich alle Experten einig, ist das Verschmelzen der Bedrohungen, die Konvergenz der Angriffe. Konnte bisher noch klar zwischen Spam, Phishing, Viren und Spyware unterschieden werden, haben die Angreifer damit begonnen, die Methoden zu verknüpfen. So werden beispielsweise in Spam-Nachrichten auch gleich Trojaner versteckt oder hinter einer präparierten Website lauern Viren.
Trend Micro etwa nennt eine spezielle Angriffsmethode «Spy-Phishing»: Dabei wird eine Phishing-Website so präpariert, dass sich der Besucher automatisch eine Spyware einfängt. Sollte der Surfer die Site doch suspekt finden und verlassen, ohne seine Daten preisgegeben zu haben, erledigt die Spyware den Rest, indem sie die gewünschten Informationen mittels Keyloggern und anderen Mechanismen sammelt und an den Angreifer schickt.
Generell wird davon ausgegangen, dass Web-basierende Angriffe in Zukunft die Mail-basierenden Bedrohungen nicht nur ergänzen, sondern möglichweise sogar weitgehend ersetzen werden.
Alles in allem stimmen die Prognosen für 2007 nicht gerade zuversichtlich. Generell wird von den Experten eine zunehmende Kreativität der Angreifer nicht nur beim Finden neuer Angriffsmöglichkeiten erwartet, sondern auch bei der Kombination derselben. Dies macht es für die Hersteller von Sicherheits-Hard- und -Software immer schwieriger, adäquate Schutzmassnahmen zu entwickeln.
In Sachen Botnets kam anlässlich einer Experten-Runde am diesjährigen WEF Vinton Cerf, einer der «Väter des Internet», zum Schluss, dass rund ein Viertel aller Rechner weltweit bereits gekapert wurde. Er zeigte sich denn auch erstaunt, dass das Internet immer noch funktioniere. Es sei eben, so Cerf, doch recht widerstandsfähig. Andererseits sei ein Sieg im «Krieg» um das Internet nur möglich, wenn Regierungen, Telekom-Unternehmen sowie Hard- und Software-Hersteller zusammenarbeiten, stellte die Experten-Runde fest – nur um die Kooperationsfähigkeit dieser Parteien sogleich wieder in Zweifel zu ziehen.
Diesen düsteren Aussichten zum Trotz zeigen sich viele Experten zuversichtlich, dass «das Gute» irgendwann siegen werde. Ihr Wort in Gottes Ohr.
· Gezielte Angriffe durch Viren statt Massenverbreitung
· Webbasierte Virenverteilung, Crossover-Viren
· Blended Threats aus verschiedenen Angriffskomponenten
· Mächtigere Botnetze
· Neue Phishing-Varianten
· VoIP als Angriffsziel
· Phishing in sozialen Netzwerken