Trojaner, Viren, Cyber-Security und der Staatstrojaner

Transcription

Trojaner, Viren, Cyber-Security und der Staatstrojaner
Tro janer, Viren, Cyber-Security und der Staatstrojaner
Antony R. Neu
[email protected]
Seminar am Lehrstuhl für Kommunikationssysteme
Albert-Ludwigs-Universität Freiburg
Zusammenfassung Schadprogramme bieten Angreifern seit Jahrzehnten die Möglichkeit
der Spionage, Kontrolle und Manipulation fremder Systeme. In dieser Ausarbeitung werden
sowohl die technischen Konzepte der unterschiedlichen Schadprogramme erläutert, als auch
konkrete Implementierungen anhand von historischen Beispielen vorgestellt. Im historischen
Kontext wird der Wandel hin zu wachsender Cyberkriminalität und Cyberkrieg präsentiert.
Botnets verdeutlichen die technische Ausgereiftheit und vielfältigen Möglichkeiten moderner
Schadprogramme. Neben Kriminellen setzten im letzten Jahrzehnt Staaten Schadprogramme
zunehmend ein. Die Darstellung des staatlichen Einsatzes solcher Schadprogramme erfolgt
anhand des Wurms Stuxnet, sowie des deutschen Backdoors BckR2D2-I. Abschlieÿend werden mögliche Gegenmaÿnahmen auf technischer und staatlicher Ebene erläutert.
1
Einleitung
Cyber-Security bezeichnet die Sicherheit eines Informationssystems in Bezug auf die Merkmale
Vertraulichkeit, Erreichbarkeit und Konsistenz [1]. Vertraulichkeit bezieht sich auf die Möglichkeit
Daten vor unbefugtem Zugri zu schützen. Die Erreichbarkeit eines Systems gewährleistet, dass
die Leistung ohne Einschränkung zur Verfügung steht. Konsistente Systeme ermöglichen eine dauerhafte Speicherung der Daten, ohne, dass sie durch Fehler oder Sabotage manipuliert werden. Die
Sicherheit (engl. security) ist in diesem Fall nicht als Zustand, sondern als ein Prozess anzusehen,
der angesichts neuer Bedrohungen ständig geprüft und erneuert werden muss.
Systeme bestehen aus Hard- und Software, wobei Letztere für Angrie häuger missbraucht wird,
da sie manipuliert, deaktiviert oder gelöscht werden kann. Komplexe Systeme bestehen aus verschiedenen Software-Programmen: Datenbanken, Anwendungssoftware, Kommunikationsprogramme sind nur wenige Beispiele. Da jedes Programm Fehler enthalten kann, sind die Nutzer der
Software abhängig von deren Entwickler. Software ist heutzutage so komplex, dass sie nicht immer
von einem Unternehmen allein geschrieben wird, sondern beinhaltet Softwarebibliotheken anderer Hersteller. Dadurch entsteht eine Kette von Abhängigkeiten. Zwar können Softwarehersteller
durch moderne Softwareentwicklungsverfahren die Fehleranzahl minimieren. Fehler können jedoch
nie ausgeschlossen werden. Dies wird bereits am Beispiel des Testens der Software deutlich: Durch
das Testen der Software kann ein Fehler nachgewiesen werden, der Entwickler kann jedoch nie
beweisen, dass die Software sich genau so verhält, wie die Anforderungen verlangen, und keine weitere Funktionalität beinhaltet. Hinzu kommen externe Bedrohungen, die die Software absichtlich
auf unvorhersehbare Weise verwenden, und somit Schaden anrichten. Wenn es möglich ist Fehler
der Software auszunutzen, um eine schädliche Wirkung zu erzielen, entsteht aus einer Schwachstelle (engl. vulnerability) eine Bedrohung (engl. threat). Um diese Schwachstellen zu verhindern,
müssten Entwickler die Software für jeden möglichen Input testen. Da dies unmöglich ist, wird
moderne Software nach der Auslieferung durch sogenannte Patches nachträglich repariert und
so die Fehleranzahl kontinuierlich minimiert. Schadprogramme sind eine mögliche externe Bedrohung. Sie bieten Angreifern die Möglichkeit durch Ausnutzen solcher Schwachstellen in Software,
Computersysteme zu schädigen.
Schadprogramme (engl. malware) sind Softwareprogramme, die bewusst unerwünschte Funktionen auf dem System des Opfers ausführen. Sie bedrohen alle drei Merkmale der Cyber-Security.
Nachdem Apple 1977 den ersten Personal Computer vorstellte, entwickelte bereits wenige Jahre
später ein 15-jähriger Schüler den ersten Virus, der sich auÿerhalb eines wissenschaftlichen Labors
verbreitete [2]. Quelle [3] dokumentiert den ersten Wurm bereits ein Jahr später. Mit der gröÿeren
2
Antony Neu
technischen Möglichkeiten der Schadprogramme wuchs das Interesse der Programmautoren mit
ihrer Software nanziellen Prot zu erlangen.
Die Bezeichnung des Schadprogramms richtet sich entweder nach dem Verbreitungsweg des Schädlings oder nach seiner Funktion [1]:
Virus:
Älteste Klassizierung von Schädlingen, die sich selbst replizieren, indem sie sich in
Dateien, Programme und Datenträger schreiben.
Trojaner: Ähnlich wie ein Virus, gelangt ein Trojaner als gutartiges Programm getarnt auf den
Rechner des Opfers und richtet dort Schaden an.
Wurm:
Ein Wurm grenzt sich von den anderen Schädlingen dadurch ab, dass er sich selbst-
ständig über das Netzwerk verbreiten und Computersysteme inltrieren kann, ohne, dass eine
Interaktion seitens des Opfers notwendig ist. Dabei werden Sicherheitslücken, z.B. schlecht
gewartete Software ausgenutzt, um sich zu verbreiten.
Bot: Ein Bot (auch Robot) ist eine Software, die selbstständig Aufgaben abarbeitet. Es muss
sich dabei nicht immer um Schadsoftware handeln. Beispielsweise setzt Google sogenannte
Webcrawler ein, um die Webseiten zu besuchen und zu indizieren. Im Gegensatz zum Wurm,
der ebenfalls selbstständig agiert, kann der Urheber des Bots die Software kontrollieren. Der
Bot kommuniziert dazu mit einem Command&Control-Server. Die Installation erfolgt entweder
über andere Malware, Ausnutzen von Sicherheitslücken oder der direkten Installation auf dem
System des Opfers durch physischen Zugri auf das System.
Andere Schadprogramme werden nach ihrer Funktion klassiziert:
Backdoor:
Eigenständiges Programm oder Teil eines Programmes, der externen Zugri auf
ein System oder geschützte Bereiche erlaubt.
Scareware:
Bei diesem Schädling wird die Angst des Opfers ausgenutzt, indem Fehlermel-
dungen bekannter Programme nachgeahmt werden. Beispielsweise wird die Warnung vor einer
vorhandenen Virusinfektion nachgeahmt. Zur Lösung des Problems soll ein kostenpichtiges
Programm heruntergeladen werden.
Ransomware: Diese Schädlingsart übernimmt den Rechner des Opfers, sperrt ihn und fordert
das Opfer zur Zahlung eines Geldbetrags zur Freischaltung auf. Die Zahlung erfolgt in den
meisten Fällen anonym über Prepaidkarten. In kritischen Fällen werden Dateien verschlüsselt,
sodass sie auch nach Behebung der Infektion nur schwer wiederhergestellt werden können.
Spy- und Adware: Software, die unerwünscht Daten über den Nutzer sammelt oder Werbung
einblendet, wird als Spy- bzw. Adware bezeichnet.
Die Begrie der Schädlingsarten wurden Ende des 20. Jahrhunderts benannt, als die Schadprogramme das erste Mal entdeckt worden sind. Es ist festzustellen, dass die Schädlinge heutzutage
mehrere Eigenschaften und Verbreitungswege vereinen und somit der Übergang der Klassizierungen ieÿend und nicht eindeutig ist
2
1 [5].
Geschichte der Malware
Schadprogramme gibt es seit der Einführung der ersten Personal-Computer selbst. Anfänglich
verbreiteten sich die Viren und Würmer über Disketten, da die meisten Personal-Computer nicht
an ein Netzwerk oder das Internet angeschlossen waren. Bei den Schadprogrammen dieser Zeit
handelte es sich um Bootviren und dateiinzierende Viren, deren Schadcode beim Booten des
Rechners in den Arbeitsspeicher geladen wird oder in einer Programmdatei versteckt wird [2].
2
Ein Virus verbreitet sich, indem er seinen Code in eine Wirtdatei (engl. host le) oder andere
Speicherbereiche schreibt [6]. Der Teil des Virus, der Funktionalität unabhängig der Verbreitung
1
2
Beispielsweise wird der bekannte ILOVEYOU-Virus, der als Email-Anhang verschickt wurde, in Quelle
[4] als ILOVEYOU-Wurm bezeichnet
Die Viren dieser Zeit konnten mit simplen Skripten verbreitet werden, sodass auch viele Jugendliche
(umgsprl. script kiddies) aus Spaÿ solche Viren verbreiteten.
Trojaner, Viren, CyberSecurity und der Staatstrojaner
3
enthält, wird als Payload bezeichnet. Das Platzieren des Codes alleine stellt noch keine Gefahr dar.
Virenautoren müssen zusätzlich sicherstellen, dass der Virus ausgeführt wird. Bootviren schreiben
sich dazu in den 512 Byte groÿen Master Boot Record (MBR), der erste Sektor auf der Festplatte
oder dem Wechseldatenträger, der vom BIOS automatisch geladen wird, um das Betriebssystem
zu booten. Die Viren platzieren ihren Code vor dem ursprünglichen MBR, sodass das Betriebssystem nach dem Virus gestartet wird, um eine Entdeckung zu vermeiden. Dateiinifzierende Viren inzieren typischerweise ausführbare Programmdateien, da diese mit hoher Wahrscheinlichkeit
ausgeführt werden. Würde dabei die ganze Datei überschrieben, wäre der Schaden am System
maximal, allerdings könnte sich der Virus nicht mehr verbreiten und der Virus könnte schnell als
solcher identiziert werden. Stattdessen wird der ursprüngliche Code des Programms behalten und
durch Sprungbefehle nach dem Schadcode ausgeführt. Programme bestehen aus Bytefolgen von
Maschinenbefehlen und haben einen Einstiegspunkt (engl. main entry point), an dem der erste
auszuführende Befehl des Programms steht. Sprungbefehle (JUMP-Befehle) erlauben es den Programmuss an einer bestimmten Stelle fortzusetzen. Simple Viren platzieren einen JUMP-Befehl
am Einstiegspunkt des inzierten Programms und hängen den Schadcode am Anfang oder am Ende des Programms an, was durch die Veränderung der ursprünglichen Dateilänge enttarnt werden
kann. Cavity- Viren umgehen die Änderung der Dateigröÿe, indem sie sich in freie Programmcodestücke (Lücken) schreiben, beispielsweise bei Aneinanderreihungen von x0 im Binärcode.
Kompressionsviren platzieren ihren Code am Anfang oder Ende des Programms, komprimieren
aber zusätzlich das ursprüngliche Programm, um die Dateigröÿe beizubehalten. Abbildung 1 veranschaulicht die Verfahren graphisch.
Abbildung 1. (A) Ursprüngliches Programm (B) Prepending-Virus (C) Appending-Virus (D) Cavity-
Virus (E) Kompressionsvirus
Die bisher vorgestellten Virentypen haben den Nachteil, dass sich ihr Code immer aus den gleichen
Maschinenbefehlen zusammensetzt. Das bedeutet, dass sie leicht beim Durchsuchen der Dateien nach solchen Maschinenbefehlen gefunden werden können. Verschlüssende Viren bestehen aus
zwei Teilen [7]: einer Entschlüsselungsroutine und einem verschlüsselten Hauptteil, der eine verschlüsselte Form der bisher vorgestellten Viren darstellt. Die Entschlüsselungsroutine wird am
Haupteinstiegspunkt des Programms platziert und entschlüsselt die eigentlichen Befehle des Virus.
Dadurch sind die Maschinenbefehle des Programms nur im Arbeitsspeicher sichtbar und nicht auf
der Festplatte. Bei jeder Neuinfektion wird zusätzlich ein anderer Schlüssel generiert. Damit erfüllen die Viren die gleiche Funktionalität, sehen aber auf Byteebene verschieden aus. Das Konzept
hat jedoch einen Nachteil: Die Entschlüsselungsroutine besteht immer aus den gleichen wenigen
Maschinenbefehlen und kann entdeckt werden. Polymorphe Viren beheben diesen Fehler, indem
sie mit einer Mutation-Engine bei jeder Inzierung neue Ver- und Entschlüsselungsroutinen generieren.
Mit der Einführung der Win32-API und Windows 95, wurde auch das PE-Dateiformat (portable
executable) eingeführt. Ziel war es, dass Programme zu bisherigen, sowie zukünftigen WindowsPlattformen kompatibel waren. Damit dies funktioniert, muss die Datei verschiedene Informationen
der Plattform am Anfang des Programms denieren, wie beispielweise die verwendeten Bibliotheken. Diese Komplexität konnte allerdings von Virenautoren missbraucht werden. Das Laden bestimmter Programmbibliotheken (meist .dll-Dateien) wurde beispielsweise genutzt, um stattdessen
4
Antony Neu
den Virus selbst zu laden [6]. Anders als in den Jahren zuvor, waren solche Viren selbst auf den
verschiedenen Windows-Plattformen lauähig.
Neben ausführbaren Dateien beelen Mitte der 1990er Jahre Makroviren Microsoft-Oce-Dokumente,
die sehr häug unter Benutzern ausgetauscht wurden. Dabei wurde die Makro-Funktion ausgenutzt,
die es erlaubt in einer Skriptsprache häug benutzte Bearbeitungsschritte zu speichern und im Dokument einzubetten. Der eingebette Virus wurde mit dem Önen des Dokuments automatisch
ausgeführt. Die Verbreitung solcher Viren nahm mit der stärkeren Vernetzung des Internets zum
Ende des 20.Jahrhunderts zu und erreichte beispielsweise mit dem ILOVEYOU-Virus im Jahre
2000 ihren Höhepunkt [2].
Die Ziele der Hacker und Entwickler der Schadsoftware bis zum Jahr 2000 dienten hauptsächlich
dem Ansehen des Urhebers. Vor allem die ersten Viren dieser Zeit dienten entweder dem Beweis
der technischen Möglichkeit (engl. proof of concept), dem Erregen von Aufmerksamkeit, Spaÿ,
Freude am Vandalismus oder dem Ansehen in der Black-Hat-Community. Selbst der bekannte
ILOVEYOU-Virus, der mehrere zehn Millionen Rechner weltweit inzierte und durch das Löschen
von Nutzerdaten hohen Schaden anrichtete, verfolgte weder wirtschaftliche noch politische Ziele.
Dennoch stellt Bruce Schneier in [8] fest, dass sich die Schadprogramme durch das Internet rascher als in den Jahrzehnten zuvor ausbreiten und sowohl die Systemadministratoren, als auch die
Softwarehersteller zu langsam auf die steigende Verbreitungsgeschwindigkeit der damaligen Zeit
reagieren.
2.1
Trends der letztens Jahre
Technologisch gab es in den darauf folgenden Jahren vermehrt Computerwürmer, die sich im Gegensatz zu Viren selbstständig ausbreiten konnten und somit nicht mehr auf Nutzerinteraktion des
Opfers angewiesen waren [4], [9], [10]. Ein Wurm besteht typischerweise aus zwei Hauptkomponenten: Die Target-Locator-Komponente sammelt potenzielle Ziele, die vom Host erreichbar sind.
Email-Adressen werden entweder über Adressbücher des Email-Clients gesammelt oder aus durchsuchten Dateien geltert. Durch vorhandene Netzwerkdienste können weitere Netzwerkteilnehmer
des Netzwerks ermittelt werden. Einige Würmer verschicken Datenpakete an zufällige IP-Adressen
auf bestimmte Ports, um die erreichbaren Systeme und die laufenden Netzwerkdienste festzustellen. Dieses Verfahren nennt sich Fingerprinting.
Die zweite Komponente ist verantwortlich für die Art und Weise der Verbreitung des Wurms.
Würmer und andere Malware nutzen häug einen Puerüberlauf (engl. buer overow) im jeweiligen Programm aus, um Schadcode innerhalb von Prozessen zu platzieren. Dieses Verfahren wird
als Code-Injection bezeichnet [11]. Antivirenprogramme oder Firewalls bieten keinen wirksamen
Schutz, da ein Fehler in der Speicherverwaltung des Programms ausgenutzt wird. Das Programm
muss dafür in einer Programmiersprache geschrieben sein, die dem Programmierer die Speicherverwaltung überlässt, beispielsweise C oder C++. Jedem Prozess wird zur Ausführungszeit ein
virtueller Adressraum im Arbeitsspeicher zugeordnet, der aus Code- Stack- und Heap-Segment
besteht. Die Maschinenbefehle des Programms, die im statischen Code-Segment gespeichert sind,
werden so lange sequentiell ausgeführt, bis ein Sprungbefehl auftritt, z.B. bei einem Funktionsaufruf. Im Stack-Bereich werden lokale Variablen, sowie die Rücksprungadresse, d.h. die Adresse
an dem das Programm nach dem Sprungbefehl fortsetzen soll, gespeichert. Immer dann, wenn ein
fest reservierter Bereich mit Daten variabler Länge gefüllt wird, kann ein Puerüberlauf stattnden. Ein Beispiel wäre ein String oder Array, das mit Eingabedaten des Nutzers gespeichert
wird. Dem Angreifer gelingt es den Puer so mit zu vielen Daten zu füllen, dass er überläuft.
Dabei werden nachfolgende Speicherbereiche überschrieben. Bei einem stackbasierten Angri wird
die Rücksprungadresse überschrieben, sodass das Programm in der Eingabe platzierten Code ausführt. Wenn der injizierte Code in den Speicherbereichen mangels Gegenmaÿnahmen ausführbar
ist, kann der Angreifer durch den beliebig platzierten Code root-Zugri auf den Rechner bekommen. Im Heap-Bereich werden globale Variablen, sowie dynamisch gespeicherte Variablen, die mit
Befehlen wie 'new' und 'malloc' erzeugt werden. Ein heapbasierter Angri ist konzeptuell zwar
schwieriger, nutzt aber das gleiche Prinzip, dass ein xer Speicherbereich durch eine zu groÿe Ein-
Trojaner, Viren, CyberSecurity und der Staatstrojaner
5
gabe überfüllt wird. [11]. Der Rechner steht nach einem solchen Angri unter der Kontrolle des
Angreifers und kann Teil eines Botnets werden. Wirksamer Schutz bietet nur das Entdecken und
Beheben der Schwachstelle durch den Softwarehersteller mit anschlieÿender Installation des Patches beim Kunden.
Der CodeRed-Wurm nutzte 2001 eine Schwachstelle in Microsofts Webserver IIS aus, um die Webseiten des Hosts stillzulegen und kompletten Zugri auf den Server zur Verfügung zu stellen.
Auÿerdem enthielt er Schadcode, der eine Denial-of-Service-Attacke auf die Webseite des Weiÿen
Hauses starten sollte. Ebenfalls 2001 wurde der Wurm NIMDA entdeckt, der die technologischen
Fortschritte der Würmer dieser Zeit verdeutlicht: Er verbreitete sich von Client-zu-Client via Email
und gemeinsam genutzter Netzwerkordner, von Webserver zu Client über kompromittierte Webseiten, sowie von Client zu Webserver durch Ausnutzung von IIS-Schwachstellen. Dabei scannt der
Wurm zusätzlich, ob bereits ein Backdoor der Würmer CodeRedII oder sadmin/IIS vorhanden ist
und nutzt diesen aus. Einen Wurm, der Eekte anderer Würmer ausnutzt, gab es zu dem Zeitpunkt
noch nicht [9]. Auÿerdem enthielt er seinen eigenen SMTP-Client um sich unabhängig vom System
des Clients via Email zu verbreiten.
Andere Würmer der nachfolgenden Zeit verbreiten sich zusätzlich über P2P-Netzwerke oder nutzen Social-Engineering-Angrie aus. Bei einem solchen Angri wird das Vertrauen der Nutzer oder
deren Furcht ausgenutzt, um an Daten heranzukommen. Beispiele für solche Angrie sind z.B.
das Phishing beim Online-Banking. Optional können Würmer einen Backdoor zur Fernsteuerung
enthalten, was eine Voraussetzung für Botnets ist. Über eine Update-Komponente können Würmer
neue Infektionswege im zeitlichen Verlauf nutzen. Der in Abschnitt 3.1 beschriebene Stuxnet-Wurm
beinhaltet mehrere Komponenten zur Verbreitung auf unterschiedlichen Angrisvektoren und implementiert sowohl eine Update- als auch Backdoor-Komponente.
Drive-By-Download-Angrie stellen ebenfalls eine neue technologische Verbreitungsform für Malware der letzten Jahre dar. Sie nutzen Schwächen in Hilfprogrammen, insbesondere des Browsers
der Anwender aus, um Schadcode, beispielsweise Trojaner, auf dem Opfersystem zu platzieren.
Häug wird eine Schwäche in Adobe Flash durch Schadsoftware auf dem Rechner ausgenutzt. Der
Besuch einer vom Angreifer präparierten Seite reicht aus, um den Schädling zu installieren. Das
Opfer lädt den Schädling nicht aktiv herunter, sondern metaphorisch im Vorbeifahren (engl. drive
by download) [12]. Aufgrund des leichten Verteilens von Inhalten im Web2.0 können präparierte
Links problemlos in Blogs oder Wikipedia platziert werden. Ausgereifte manipulierte Webseiten
protokollieren die IP-Adressen des Besuchers. Ist bereits eine Inzierung des Nutzers erfolgt, wird
eine harmlose Webseite ohne Schadcode angezeigt. Dadurch können auch Bots der Suchmaschinen
oder Antivirenhersteller ausgetrickst werden [13]. Es können aber auch legitime Webseiten inziert
sein, wenn im Vorfeld FTP-Passwörter der Webseite gestohlen wurden.
Würmer und Viren verbreiteten sich in den Jahren darauf in den neu geschaenen Plattformen des
Web 2.0: 2004 beel der Santy-Wurm 40000 Internetforen, die mit der Software phpBB liefen [14].
Seit dem Jahr 2005 verbreiten sich Viren und Würmer auÿerdem vermehrt über Instant-Messaging
Dienste wie ICQ, MSN oder AOL Messenger [15]. Hierbei wird meistens ein Link verschickt, der
zum Beispiel zum Download eines Updates auordert. Einige Trojaner greifen auf die internen
Funktionen des Messengers zu und können somit den Nutzerdialog, der den Nutzer über die Installation informiert, schlieÿen.
In den Jahren nach der Jahrtausendwende nutzten Konsumenten das Internet vermehrt zur Abwicklung von Einkäufen, Buchungen und neuen Kommunikationsformen, was eine Verschiebung der
Ziele von Cyberkriminellen zu prot-orientierter Malware zur Folge hatte. Sie verfolgten nun wirtschaftliche Ziele. Der Begri der Cyberkriminalität entstand: Firmen, Banken und Privatpersonen
weltweit erlitten vermehrt nanziellen Schaden durch Angrie aus dem Internet. Kreditkartennummern und Kontodaten werden aus inltrierten Internetshops geklaut. Dialer-Programme, die sich
meist als Trojaner installierten, verstellten die Einwahl der Providerprogramme auf dem Rechner
des Opfers, sodass er sich über teure Service-Nummern einwählte. Der Angri wurde erst mit der
Telefonrechnung zum Monatsende bemerkt. In 2005 verbreitete sich der Wurm Zotob, der Werbung im Browser des Opfers anzeigte. Dies gelang, indem die hosts-Datei des Opfers manipuliert
6
Antony Neu
wurde, sodass Anfragen an die Google-Webseite auf die Werbeseiten umgeleitet wurden, an dessen Werbeeinnahmen sich die Autoren des Wurms bereicherten. Im jährlichen Cybercrime-Bericht,
schätzt der Security-Softwarehersteller Symantec 2012 den jährlichen Schaden von Konsumenten
durch Cyberkriminalität auf 110 Milliarden Dollar, wobei der Anteil nicht bemerkter bzw. nicht
gemeldeter Angrie zusätzlich betrachtet werden müsste [16]. 15 Prozent der Nutzer sozialer Netzwerke haben bereits einen Identitätsklau verzeichnet und jeder fünfte online agierende Erwachsener
wurde bereits Opfer von sozialer oder mobiler Cyberkriminalität.
2.2
Botnets
Bots stellen eine Hybridform aus Viren und Würmern dar, die zusätzlich eine Command&CotrolKomponente zur Steuerung enthalten [17]. Sie verbreiten sich wie Würmer über Sicherheitslücken,
tarnen sich allerdings mit von Viren bekannten Techniken. Mehrere mit Bots inzierte Systeme
formen ein Botnet oder zombie army, das von einem Botneteigentümer gesteuert wird. Botnets
zeigen deutlich den Wandel zu prot-orientierter Malware, da sie dem Eigentümer verschiedene
Möglichkeiten Geld direkt oder indirekt zu aquirieren bieten [18]:
Botnets werden zur Erpressung von Geld online-tätiger Unternehmen eingesetzt. Eine DistributedDenial-Of-Service-Attacke (DDoS-Attacken) wird verwendet, um die Server des Unternehmens
lahmzulegen. Dabei wird ein Server mit so vielen Anfragen gleichzeitig belastet, sodass er
unter der Last zusammenbricht und nicht mehr erreichbar ist. Eine verbreitete Technik ist
das SYN-Flooding, bei dem der TCP-Handshake missbraucht wird. Der Angreifer schickt in
kürzester Zeit sehr viele SYN-Pakete an den Server, der diese bestätigt (SYN-ACK) und die
Bestätigung des Angreifers (ACK) abwartet. Dazu hält der Server die Verbindungen oen, was
Systemressourcen verbraucht. Da der Angreifer keine Bestätigungen schickt, verbrauchen die
halb-oenen Verbindungen so viele Ressourcen, dass das System überlastet und keine weitere
Anfragen entgegennehmen kann. Um weitere Angrie zu verhindern, soll das Unternehmen
eine Art Schutzgeld leisten.
Botnets können Services eines Servers bzw. Serverclusters erbringen. Botneteigentümer können
für eigene Zwecke oder gegen Bezahlung für Dritte SPAM-Mails verschicken, geklaute Software
oder Filmen verbreiten oder verschlüsselte Daten im Brute-Force Verfahren entschlüsseln.
Beim click fraud werden die Systeme ausgenutzt, um auf Banner-Werbung, die auf Webseiten
des Botneteigentümers geschaltet wird, zu klicken. Da ein legitimer Klick nur schwer von dem
der Bots zu unterscheiden ist, verdienen die Botneteigentümer an den Werbeeinnahmen.
Neuere Bots enthalten eine Spyware-Komponente, um Passwörter und Kreditkartendaten zu
klauen.
Botnets können verkauft werden, wobei der Preis für einen inzierten Rechner bei $0.05 - $0.10
liegt.
Während es am Anfang Botnets bestehend aus bis zu 100.000 Rechner gab, sind heute kleinere Botnets ausreichend, da die Einzelleistung jedes Teilnehmers und die Datenleitungen sich verbessert
haben [17]. Die inzierten Teilnehmer des Botnets lassen sich weltweit verteilt in Privathaushalten,
Schulen und Firmen nden. Wie von Würmern bekannt, enthalten Bots Komponenten, die Systeme
auf Schwachstellen analysieren. Ein zentraler Vorteil von Botnets ist, dass der Urheber von Angrien nicht nachvollzogen werden kann. Dazu muss die Kommunikation zum Command&ControlServer des Eigentümers anonymisiert erfolgen. Die Kommunikation erfolgt zu diesem Zweck am
häugsten indirekt über IRC (internet relay chat), da dieser nur geringe Verzögerungszeiten aufweist, eine Infrastruktur bereits vorhanden ist und gut mit zahlreichen Tools anonymisiert werden
kann. Alternativ kann die Kommunikation über HTTP erfolgen. Ein PHP-Skript wird verwendet,
bei dem sich die Bots bei der Inzierung im Netzwerk registrieren. Danach überprüft der Bot in
regelmäÿigen Abständen ein weiteres Webdokument, das die Befehle an die Netzwerkteilnehmer
enthält, auf Änderungen und führt bei Vorhandensein neue Befehle aus. Daneben gibt es Bots,
die über ein Peer-To-Peer-Verfahren miteinander kommunizieren. Dies hat den Vorteil, dass das
Botnet durch Deaktivierung des zentralen Command&Control-Servers nutzlos wird (single point
of failure). Einzelne Teilnehmer des Netzwerks fungieren zusätzlich als Proxy, sodass der Datenverkehr durch mehre Länder geleitet wird, bevor er beim Command&Control-Server ankommt. Da es
Trojaner, Viren, CyberSecurity und der Staatstrojaner
7
global keine Kooperation bei der Herausgabe von IP-Adressen gibt, führt dies zur Anonymisiserung
des Datenverkehrs.
Via FTP, HTTP und TFTP können die Bots beliebige Dateien laden und somit ihre Inzierungstechniken aktualisieren. Um die Integrität des Netzwerks zu wahren, wird ein Domainname statt
einer statischen IP-Adresse als Adresse des Servers im Bot-Programm verwendet. Dadurch bleibt
der Server erreichbar, auch wenn seine IP-Adresse, z.B. aufgrund von Sperren und Filtern, geändert
werden muss. Damit das Botnet nicht von anderen Angreifern übernommen wird (engl. botnet hijacking), werden die für die Inzierung verwendeten Schwachstellen geschlossen, evtl. vorhandene
Malware gelöscht und die Zugänge zum System mit Passwort gesichert [18].
In seinem Artikel Where have the worms and viruses gone? - new trends in malware [15] misst
Eugene Schultz Botnets die stärkste Bedeutung unter den Malwarearten in der heutigen Zeit bei.
Zwar seien Viren und Würmer vor allem im mobilen Bereich vorhanden, jedoch richten Bots viel
gröÿeren Schaden an und seien für die Entwickler weitaus protabler. Botnet-Besitzer können diese
vermieten oder Auftragsangrie anbieten. Als Gründe für diese Entwicklung führt der Autor den
Wandel der Ziele von Schadsoftwareentwickler, die Verbreitung von Antivirus-Software, Langeweile
der Entwickler, sowie der Rückgang an Schwachstellen in moderner Software an. Botnets werden
nicht nur für DoS-Angrie verwendet, sondern können als Computercluster fungieren, um Verschlüsselungen per Brute-Force-Verfahren zu knacken. Seit 2011 werden Botnets von Gruppen wie
Anonymous und Lulzec eingesetzt, um Ihre politischen Ziele durchszusetzen. Die Angrie dieser
Gruppen auf Softwarehersteller, Banken und staatlichen Institutionen, zum Beispiel das FBI oder
die CIA, prägten den Begri des Hacktivismus [19].
3
Staatlicher Einsatz von Schadsoftware
Bereits 2003 drangen die USA in die Computersysteme des irakischen Verteidigungsministeriums
ein, um unmittelbar vor dem Irakkrieg Emails an irakische Ozielle zu verschicken [20]. Israel hat
2008 mutmaÿlich mit einem Cyberangri die syrischen Verteidigungssysteme vor einem Luftangri
ausgeschaltet [20]. Nachdem Estland eine russische Bronzestatue in Tallin entfernte, folgte im April
2007 eine dreiwöchige Denial-Of-Service-Attacke gegen estländische Webseiten. Ohne Beweise vermuteten estländische Minister die russische Regierung als Drahtzieher [21]. Ähnliche Technologien
werden auch zur Spionage eingesetzt. 2009 grien chinesische Hacker Berichten zufolge durch Email
und Instant-Messaging über 30 Groÿunternehmen, darunter z.B. Google und Yahoo, an. Durch Anonymisiserungsmethoden ist es schwer zu beweisen, wer verantwortlich für bestimmte Angrie im
Internet ist [22], sodass häug spekuliert werden muss. Falsche Anschuldigungen können entstehen,
wenn Datenverkehr absichtlich durch bestimmte Länder geleitet werden, um den Verdacht auf sie
zu lenken.
3.1
Stuxnet - Eine neue Form von Cyberwaen
Im Juni 2010 wurde der Wurm Stuxnet entdeckt, der als erster Wurm gezielt die Steuersysteme
von Industrierechnern sabotierte. Es wird davon ausgegangen, dass der Wurm bereits seit 2009
im Einsatz war. Laut New York Times [23] wurde der Wurm von den USA und Israel entwickelt
und getestet, um das iranische Atomprogramm zu stören. Der Wurm wurde so entwickelt, dass er
sich selbstständig ausbreitet und den Schadcode erst ausführt, wenn er das Zielsystem, mutmaÿlich Industrierechner der iranischen Urananlage in Natanz, erreicht. Er grenzt sich dadurch von
anderen Würmern des 21. Jahrhunderts, z.B. Slammer, Blaster oder Sobig ab, die darauf abzielten
so viele Systeme wie möglich zu sabotieren. Obwohl der iranische Staat eine erfolgreichen Angri
auf sein Atomprogramm abstreitet, wurden Produktivitätseinbuÿen von 15 Prozent im Zeitraum
der Ausbreitung Stuxnets festgestellt [21].
Industrierechner (engl. industrical control systems ICS) werden über speicherprogrammierbare
Steuerungen SPS (engl. programmable logic controller PLC) gesteuert. Sie werden mit WindowsRechnern programmiert, die aus Sicherheitsgründen nicht mit dem Internet oder LAN verbunden
sind. Auÿerdem ist die Konguration der SPS für jedes System einzigartig, sodass die Entwickler
8
Antony Neu
des Wurms Zugri auf die Pläne der Industrierechner haben mussten, mit denen sie eine Kopie
der Netzwerkumgebung für Testzwecke aufbauten [24]. Der Wurm wurde dann in das Zielnetzwerk oder dem Netzwerk eines Vertragspartners platziert. Von hier aus verbreitete sich Stuxnet
zunächst auf Windows-Rechnern über das LAN via Netzwerkressourcen, eine noch nicht entdeckte Schwachstelle im Windows Print-Spooler, sowie über einer weiteren Zero-Day-Schwachstelle
im Windows-Server-Service. Windows-CC-Systeme wurden ebenfalls durch SQL-Injection in die
Windows-CC-Datenbank inltriert. Die extrahierte dll-Bibliothek, die den Kern von Stuxnet darstellt, wird bei diesem Angri als SQL-Prozedur gespeichert, ausgeführt und zur Tarnung gelöscht.
Die inzierten Systeme, die über eine Internetverbindung verfügten, verbindeten sich mit einem
Command&Control-Server, der Updates zur Verfügung stellte. Die Kommunikation mit dem Server
erfolgte über HTTP auf Port 80, sodass die Firewalls umgangen werden konnten. Die erhaltenen
Updates verteilten sich auf die einzelnen Systeme mit einem Peer-to-Peer-Mechanismus. Die inzierten Systeme kommunizierten über RCP miteinander, um die Versionen des Wurms abzugleichen
und zu verbreiten [24]. Diese Funktionalität weist starke Ähnlichkeit mit den bereits angesprochenen Botnets auf.
Im zweiten Schritt verbreitete sich der Wurm über Wechseldatenträger, um die nicht vernetzten
Zielsysteme zu erreichen. Hierbei wurden zwei Schwachstellen ausgenutzt: die LNK-Vulnerability
und die Autorun.inf-Vulnerability. Bei Ersterer, der von neueren Versionen von Stuxnet verwendet wird, werden vier .LNK-Dateien (Verknüpfungen) neben den Dateien
WTR4141.tmp und
WTR41.32.tmp, die zum Laden von Schadcode verwendet werden, auf dem Medium platziert. Dabei werden bereits vorhandene Infektionen auf dem Medium gelöscht. Jede der vier LNK-Dateien
beinhaltet einen Exploit, der auf der jeweiligen Windows-Version (2000, XP, 2003 Server und Vista bzw. Windows 7) funktioniert und die automatische Ausführung der Datei
WTR4141 beim
Betrachten des Ordners auf dem Medium verursacht. Diese Datei lädt mit anderen Dateien den
Schadcode. Nachdem über ein Medium drei Rechner inziert hat, löscht sich der Wurm zur Verschleierung selbsständig vom Medium [24].
Bei Letzerem wird eine manipulierte autorun.inf-Kongurationsdatei auf dem Medium platziert.
Diese Datei wird verwendet, um Befehle auszuführen, die beim Einsetzen des Mediums ausgeführt
werden sollen. Stuxnet versteckt ausführbaren Code am Anfang dieser Datei, der beim Parsen
aufgrund von Syntaxfehlern übersprungen wird. Im Footer der Datei wird der eigentliche AutorunCode platziert, der wiederum anweist die autorun.inf als ausführbare Datei zu betrachten, und
somit den Code, der am Anfang platziert wurde, auszuführen. Mit diesem Trick lässt sich alles in
einer Datei platzieren [24].
Die Möglichkeit der Verbreitung über mehrere Angrisvektoren und die Ausnutzung mehrerer
Zero-Day-Schwachstellen verdeutlichen die technische Ausgereiftheit des Wurms, die neben dem
speziellen Angriziels als Alleinstellungsmerkmal Stuxnets anzusehen sind. Mehrere Quellen [20],
die kurz nach Bekanntwerden des Wurms entstanden sind, sprechen daher von einem game changer im Cyberwarfare mit weitreichenden Konsequenzen für die Zukunft. Quelle [20] sieht Stuxnets
gröÿten Einuss auf zukünftige Entwicklung in den Bereichen Cyberwaen, Cyberkriegsführung,
sowie Abwehrmaÿnahmen von Staaten gegen Cyberangrie. Der in März 2012 entdeckte Flame
Virus weist technische Ähnlichkeiten mit Stuxnet auf, wurde jedoch zur Spionage gegen Länder
im Mittleren Osten entwickelt. Hier wird ebenfalls eine Verwicklung der Staaten USA und Israel
vermutet [25]. Gleiches gilt für den Wurm Duqu, der 2011 entdeckt wurde. Er weist groÿe Übereinstimmungen mit Stuxnet auf.
3.2
Staatsinterner Einsatz von Schadsoftware - BckR2D2-I in Deutschland
Staaten setzen Schadsoftware nicht nur gegen andere Staaten ein, sondern auch im Innern gegen
die eigene Bevölkerung. Im Oktober 2011 machte der in Deutschland ansässige Chaos Computer Club (CCC) auf einen Trojaner aufmerksam, der von deutschen Strafverfolgungsbehörden zur
Überwachung von Verdächtigen eingesetzt wurde. Obwohl das Durchsuchen von Rechnern auf
richterliche Anordnung bereits in der Vergangenheit stattgefunden hatte, stellte die Onlinedurchsuchung mittels Trojaners eine neue Dimension dar. Der Infektionsweg des Trojaners ist bis heute
Trojaner, Viren, CyberSecurity und der Staatstrojaner
9
nicht bekannt, der CCC vermutet jedoch eine Infektion via physischen Zugri, Email oder DriveBy-Download [26], [27] [28].
Der Trojaner, auch bekannt unter dem Namen BckR2D2-I oder Staatstrojaner, diente dem Abhören von VOIP-Gesprächen via Skype, sowie dem Anfertigen von Bildschirmaufnahmen (engl.
screenshot). Dazu injiziert er sich in die Prozesse des VOIP-Programms Skype und explorer.exe.
Der Trojaner nimmt die Rolle einer Skypeerweiterung ein und zeichnet den Ton mithilfe der Windows Multi-Media-Library und dem Audiocodec libspeex auf [26]. Auÿerdem konnten weitere
Module über ein Backdoor nachgeladen werden, um bei Bedarf weitere Überwachungsmethoden zur
Verfügung zu stellen. Die Kommunikation erfolgt dazu verschlüsselt mit einem Command&ControlServer, der im Falle des deutschen Staatstrojaners, in den USA lokalisiert war. Die IP-Adresse des
Servers war fest im Quellcode einprogrammiert und konnte daher aufgedeckt werden. Die Kommunikation erfolgt mit einem propriäteren Protokoll über Port 443 [27] .
Der Trojaner hinterlieÿ somit eine Sicherheitslücke auf dem betroenen Rechner, die auch von anderen Hackern genutzt werden konnte. Der Backdoor zum Laden weiterer Programmmodule und
Empfangen von Befehlen beinhaltet zwar eine Authentizierung, die allerdings nur in eine Richtung wirksam ist: Der Trojaner authentiziert sich beim Server mit einem fest einprogrammierten
symmetrischen Schlüssel (AES) und dem Banner-String C3PO-R2D2-POE, der am Anfang jeder
Nachricht gesendet wird. Der Trojaner selbst überprüft aber eingehende Befehle nicht auf Authentizität. Dadurch kann ein Angreifer den Trojaner für eigene Zwecke ausnutzen, indem er dem
Programm manipulierte Befehle schickt. Ein Man-in-the-middle-Angri, bei dem der Angreifer
zwischen Server und Trojaner den Datenverkehr abhört, überwacht und manipuliert ist ebenfalls
denkbar. Dritte könnte also auch gefälschte Beweise platzieren, um Andere zu belasten. Durch
den fest einkodierten Bannerstring, ist es möglich trotz Verschlüsselung die Datenpakete, die vom
Trojaner gesendet werden, durch geeignete Sicherheitssysteme zu erkennen und zu ltern [27].
Der Trojaner beinhaltet auÿerdem ein nicht-signiertes Kernelmodul namens winsys32.sys, das als
Rootkit für 32-Bit-Windows-Systeme dient. Damit können beliebige Dateien erstellt, geändert oder
gelöscht werden. Eine nicht genutze Keylogging-Funktionalität war ebenfalls vorhanden und bot
Angreifern die Möglichkeit die Tastatureingaben des Nutzers abzuhören. Die Autoren des CCC
stellen in [27] vor, wie Dritte die Keylogging-Funktionalität aktivieren und missbrauchen könnten.
Es gibt eine neuere Variante des Trojaners mit der Bezeichnung BckR2D2-II, der nach Analyse
des Kompilierdatums mindestens 1,5 Jahre neuer ist als die erste Version. Sie enthält folgende
wesentliche Unterschiede [26]:
1. BckR2D2-II beinhaltet eine Dropper-Anwendung, eine .exe-Datei, die der Installation der Softwarebibliothek dient. Nach dem Überprüfen der Schreibberechtigung wird die Datei mfc42ul.dll
in das Systemverzeichnis geschrieben, wonach durch Code-Injection die Bibliothek in die Prozesse Explorer.exe, Skype.exe und SkypePM.exe injiziert wird. Zur Verschleierung werden die
Daten der Zugrie auf das Änderungsdatum der Datei mfc42.dll gesetzt. Zusätzlich wird
der beschriebene Treiber winsys32 in das Systemverzeichnis geschrieben, sowie eine ebenfalls
neue Anwendung Remover, die beliebige Dateien löschen kann.
2. Der Kernel-Level-Treiber gibt es in der neueren Version auch als 64-bit Version, der von der
ktiven Firma Goose Cert signiert ist, wodurch die Installation bei Windows 7 bestätigt
werden muss. Die Funktionalität ist identitätsch zu der 32-Bit-Version.
3. Sollten auf dem System keine Administratorrechte erlangt werden können, gibt es zusätzlich
eine Anwendung, die vom Dropper als versteckte Datei in das Nutzerverzeichnis geschrieben
wird. Zum einen überprüft sie die Installation regelmäÿig auf Fehler, zum anderen injiziert sie
die Softwarebibliothek in die bereits genannten Prozesse.
4. Der Austausch der Daten erfolgt mit einem Server aus Deutschland. Die Kommunikation erfolgt
über AES im Electronic-Codebook-Verfahren: Der Server authentiziert sich zwar beim Client,
allerdings besteht das Verfahren lediglich aus dem Schicken von fest einkodierten Werten, sodass
die Authentizierung leicht umgangen werden kann.
Heutige Virenscanner erkennen BckR2D2-II und löschen ihn. Security-Software-Hersteller lehnen
es ab staatliche Malware zu ignorieren, da Malware immer eine Gefahr für das System der Kunden
10
Antony Neu
darstellt.
Der Autor verzichtet auf die nähere juristische Bewertung und weist lediglich auf die Quelle [29]
hin, die die den Sachverhalt in Hinblick auf Landes- und Bundesgesetze näher beleuchtet.
4
Gegenmaÿnahmen
Neben den nachfolgend präsentierten technischen Gegenmaÿnahmen ist das Schaen eines Bewusstseins bei Privatanwendern und Mitarbeitern notwendig, um einen ausreichenden Schutz zu
bieten. Scareware und Social-Engineering-Angrie sind ohne das Vertrauen oder die Angst des
Nutzers gar nicht möglich. Die technischen Möglichkeiten sind ohne die richtige Verwendung und
Konguration der Nutzer ebenso wirkungslos. Security darf also nicht als rein technisches Gebiet
aufgefasst werden, sondern umfasst ebenso die Menschen, die geschützt werden sollen selbst [1].
4.1
Technische Gegenmaÿnahmen
Eine häug eingesetzter Schutz gegen Malware ist ein Antivirenprogramm, das die Abhängigkeit
eines Virus von einer Wirtsdatei ausnutzt [6]. Ziel des Programmes ist es, Viren zu erkennen und
die inzierten Dateien wiederherzustellen (desinzieren). Heutzutage erkennen Antivirenprogramme nicht nur Viren, sondern auch andere Schadprogrammarten. Die ersten Antivirenprogramme
setzten das String-Scanning-Verfahren ein, dessen Grundprinzip immer noch in aktuellen Programmen zu nden ist. Dabei werden die Dateien oder der Speicher nach typischen Bytefolgen der Viren
durchsucht, die in einer Datenbank des Antivirusprogrammes gespeichert sind. Diese typischen Bytefolgen werden so ausgewählt, dass sie eindeutig den Virus identizieren und nicht in unschädlichen
Programmen vorkommen. False-Positives gefährden ebenso das System wie die Desinzierung einer
Datei, die von einer anderen Variante des Virus befallen ist. Um mehrere Varianten des Virus zu
erkennen, wurden Techniken der fehlertoleranten Suche eingesetzt. Um die Datenbank nicht zu belasten und die Suchlaufzeit zu verringern, wurden Hashing- und Checksumverfahren eingesetzt, um
längere Bytefolgen abzuspeichern. Beim Nearly-Exact-Identication-Verfahren werden zwei Stringfolgen pro Virus gehashed abgespeichert. Wird nur ein String erkannt, gilt ein Virus als erkannt,
aber durch die mangelnde Indentizierung wird keine Desinzierung eingeleitet. Typischerweise
wird der erste String so gewählt, dass er eine Virusart erkennt, während der zweite String einen
Teil des Virus beinhaltet, der bei der Desinzierung eine Rolle spielt. Manche Viren können nur
durch auf sie abgestimmte Algorithmen identiziert werden. Dafür werden Routinen, die in einer
plattformunabhängigen Sprache in der Datenbank gespeichert. Um die kostspielige Algorithmenausführung zu begrenzen, werden zusätzlich häug inzierte Dateinamen oder Speicherbereiche
gespeichert.
Bei der Code-Emulation bzw. der generischen Entschlüsselung wird das Host-System in einer virtuellen Maschine emuliert und die Auswirkungen der Dateiausführung auf den Arbeitsspeicher
beobachtet [6]. Dadurch können auch verschlüsselte und polymorphe Viren erkannt werden, deren Signatur erst bei Ausführung des Virus im Arbeitsspeicher erkannt werden können [7]. Das
grundsätzliche Problem bei dem Verfahren, bei dem sich der Virus selbst entschlüsselt, ist, dass
die Antivirussoftware nie wissen kann, wann die Entschlüsselung abgeschlossen ist. Man kann also
eine unvollständige Entschlüsselung nicht von einem virenfreien Programm unterscheiden. Jeder
Antivirus-Hersteller hat sein eigenes Verfahren, um dieses Problem zu lösen. Eine ähnliche Vorgehensweise wird bei heuristischen Verfahren eingesetzt, die noch nicht entdeckte Malware identizieren sollen. Dabei werden die Dateien auf bestimmte strukturelle Auälligkeiten untersucht.
Beispielsweise könnten bei PE-Dateien von Windowssystemen untersucht werden, auf welchen Bereich der Einstiegspunkt der Datei zeigt. Zeigt er auf keinen der Sections, sondern auf einen Bereich
zwischen PE-Header und Sections, so wäre dies ein Hinweis auf platzierten Schadcode. Unabhängig
der eigentlichen Maschinenbefehle wird anhand des Verhaltens des Virus analysiert.
Die Desinzierung der Dateien Bedarf aufgrund der steigenden Anzahl an Viren und ihren Varianten generischer Verfahren. Primitive Antivirenprogramme nutzten für jeden Virus eine Desinzierungsroutine, die sorgfältig durch Debugging und Analyse des Virus erstellt wurde. Dabei muss
der inzierte Dateibereich, die Länge des Virus und die Länge des ursprünglichen Programms bekannt sein. Bei der heutigen Virenanzahl wäre die Datenbank zu groÿ. Generische Verfahren nutzen
Trojaner, Viren, CyberSecurity und der Staatstrojaner
11
die Viren selbst,indem sie sie virtuell emulieren bis zu dem Zeitpunkt an dem das ursprüngliche
Programm geladen wird. Dieses Programm wird dann wiederhergestellt. Eine inzierte Datei kann
nicht immer wiederhergestellt werden. Backups sind ein wichtiger Bestandteil der IT-Sicherheit, da
sie im Falle eines Systemausfalls mit den Datenkopien ein System wiederhergestellt werden kann,
auch wenn andere Sicherheitsmaÿnahmen scheitern. Wichtig ist, dass Backups regelmäÿig und auf
unterschiedlichen Medien gespeichert werden .
Um sich gegen Angrie von Würmern zu schützen, gibt es zwei Arten von Gegenmaÿnahmen:
Zuerst sollte verhindert werden, dass Schwachstellen im System exisitiern, die beispielsweise einen
Buer-Overow-Angri ermöglichen [11]. Dies kann durch regelmäÿige Updates, dem Verwenden
bestimmter Programmiersprachen, die den Speicher selbst verwalten, sowie dem Einsatz moderner CPU-Technologien wie NX-Bit verhindert werden. Letzteres ermöglicht dem Programmierer,
Speicherbereiche als ausführbar und nicht-ausführbar durch setzen eines Bits (non executable bit)
zu markieren. Der Code kann in diesem Fall vom Angreifer eingeschleust, aber nicht ausgeführt
werden. Sollte ein Wurm trotzdem das System inziert haben, bieten Firewalls, Angrierkennungssysteme (engl. intrusion detection systems, ids) einen wirksamen Schutz auf der Netzwerkebene.
Eine Firewall sperrt bestimmte Ports im Netzwerk und verhindert auf diese Weise, dass sich Würmer über oene Ports weiter verbreiten. Optimalerweise werden nur die Ports freigegeben, die von
den Anwendungen im Netzwerk benötigt werden. Dieser Schutz wird unwirksam, wenn z.B. der
Prozess des Browsers vom Wurm angegrien wird, da eine Firewall keine legitime Kommunikation
des Browsers von Netzwerkpaketen, die von dem Wurm gesendet werden, unterscheiden kann. Hier
helfen Intrusion-Detection-Systeme (IDS), die mit bestimmten Heuristiken den Netzwerkverkehr
auf Anomalien analysieren. Dabei werden entweder Signaturen verwendet, um bestimmte Pakete,
z.B. HTTP-Pakete zu erkennen, oder es werden bestimmte Protokolle analysiert und gemeldet, falls
sich untypische Daten ergeben. Ein Beispiel ist ein HTTP-Paket mit sehr langem HTTP-Header.
Honeypotsysteme verfolgen den Ansatz leicht angreifbare Systeme im Netzwerk zu simulieren. Dies
lockt Angreifer und Würmer an und ermöglicht die Analyse der Malware oder lenkt die Angreifer
von realen Netzwerkressourcen ab [6].
Nach Quelle [17] gibt es folgende Gegenmaÿnahmen gegen Botnets: Die Infektion mit dem Bot muss
mit Virenscanner und Firewall verhindert werden (siehe oben). Da der Bot mit dem C&C-Server
kommunizieren muss, könnten die Kommunikationspakete, die an typischen IRC Ports geschickt
werden (default: 6667), auf Botnet-Befehle analysiert werden. Bots weisen auÿerdem charakteristisches Verhalten im Netzwerk auf, das zur Erkennung genutzt werden kann. Zum Beispiel antworten sie schneller als Menschen auf IRC-Anfragen und sind die meiste Zeit untätig. Das sich Bots
ähnlich wie Würmer verbreiten, können Honeypotsysteme zum Ablenken verwendet werden. Um
ganze Botnets zu stören, sollten einzelne Teilnehmer zunächst bewacht und erst nach Aufdecken
der Netzwerkstruktur deaktiviert werden.
4.2
Staatliche Abwehrmaÿnahmen
Weltweit gründen Staaten zur Abwehr von Cyberangrien spezialisierte Abwehrzentren, die mit
anderen Behörden der inneren Sicherheit zusammenarbeiten, um Straftaten und Angrie zu verhindern. Nur selten werden technische Maÿnahmen, die das ganze Land schützen sollen, implementiert.
Ein Beispiel einer solchen Ausnahme ist die Great Firewall of China, ein nationales Firewall- und
Zensursystem, das chinesische Bürger nach innen und auÿen schützen soll.
Im Februar 2011 wurde in Deutschland das Nationale Cyber-Abwehrzentrum gegründet. Das Zentrum besteht aus 10 Mitarbeitern unter der Leitung des Bundesamts für Sicherheit in der Informationstechnik (BSI), das mit weiteren Polizeibehörden und der Bundeswehr zusammenarbeitet.
Das BSI stellt sechs Mitarbeiter zur Verfügung. Die vier restlichen Mitarbeiter stammen vom
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK) und vom Bundesamt für Verfassungsschutz (BfV). Beim Zentrum handelt es sich nicht um eine eigenständige Behörde, sondern
um eine langfristige Kooperation der beteiligten Behörden [30]. Dadurch konnte das Zentrum ohne
Zustimmung des Bundestags eingerichtet werden. BDK-Chef Klaus Jansen (Bund Deutscher Kriminalbeamter) kritisierte die geringe Mitarbeiterzahl des Zentrum, das einem echten Cyberangri
nicht standhalten könne [31]. Verfassungsrechtliche Probleme gab Konstantin von Notz, Mitglied
12
Antony Neu
der Partei Bündnis 90/Die Grünen, zu bedenken, da Polizei und Nachrichtendienste zusammenarbeiten und vermischt würden.
Am 11.01.2013 wurde das European Cybercrime Center (EC3) in Brüssel erönet [32]. Als Teil des
Europäischen Polizeiamts (Europols) sollen Straftaten im Internet verfolgt werden, wobei ein Fokus
auf Onlinebanking-Betrug und Kinderpornograe gelegt wird. Zu Beginn nahmen 30 europäische
Polizisten ihren Dienst auf.
Das United States Computer Emergency Readiness Team (kurz US-CERT) ist eine Unterorganisation des Ministeriums für Innere Sicherheit der USA [33]. Es leistet zum einen Aufklärung- und
Informationsarbeit zum sicheren Umgang mit Informationssystemen, zum anderen wirkt es auf nationaler Ebene Cyberangrien entgegen. Neben vielen Onlinedokumenten werden für Firmen und
Privatanwender auch Newsletter bereitgestellt, um über aktuelle Bedrohungen zu informieren.
INDECT steht für Intelligent information system supporting observation, searching and detection
for security of citizens in urban environment. Es ist ein durch die EU gefördertes Forschungsprojekt mehrerer europäischer Universitäten und Strafverfolgungsbehörden zur Verbesserung der
Überwachung des öentlichen Raums, sowie des Internets. Das Projekt umfasst folgende Ziele [34]:
1. Automatisches Aufspüren vermeintlich verdächtigen Verhaltens auf Videokameras oder Mikrofonen im öentlichen Raum: Beispiele verdächtigen Verhaltens sind Hilfeschreie oder liegen
gelassenes Gepäck am Flughafen.
2. Identizierung vermeintlich verdächtiger Personen mithilfe des Internets: Ein verteiltes Computersystem dient dabei der Beschaung, Speicherung und Verteilung der Daten aus sozialen
Netzwerken, Foren und anderen Webseiten.
3. Aufspüren krimineller Tätigkeiten im Internet: Webseiten sollen gezielt nach illegalen Inhalten
wie Kinderpornograe oder terroristischen Aktivitäten durchsucht werden und mit den anderen
Daten verknüpft werden. Hierbei soll auch nach Botnets und Malware gesucht werden.
Das Forschungsprojekt ist eine Kooperation mehrerer europäischer Universitäten mit Strafverfolgungsbehörden aus Nordirland und Polen. Der Datenschutz soll durch digitale Wasserzeichen auf
den Aufnahmen, die im Falle einer illegalen Verteilung der Daten auf die Quelle schlieÿen lassen, gewahrt werden. Kritiker bemängeln die umfassende Überwachung und die nicht eindeutige
Festlegung verdächtigen oder abnormen Verhaltens. Das Bundeskriminalamt lehnte aus diesen
Gründen eine Mitarbeit am Forschungsprojekt ab.
5
Ausblick
Die Bedrohungen durch Malware und Hacker werden in den nächsten Jahren weiter existieren.
Es handelt sich um ein ständiges Gegenspiel zwischen Malware-Autoren, Softwarehersteller und
Security-Experten. Neue Technologien werden entwickelt, Sicherheitslücken entdeckt, ausgenutzt
und wieder geschlossen. Statistiken zeigen einen Trend zum Angri auf soziale Netzwerke und mobilen Plattformen. Nach [35] sei das Android Betriebssystem das für Angrie am häugsten genutzte
Betriebssystem und werde voraussichtlich weiterhin das primäre Angrisziel bleiben. Dies sei auf
die wachsende Popularität, der starken Verbreitung, sowie der oenen Dokumentation zurückzuführen. Neben mobilen Endgeräten spielen eingebettete Systeme eine gröÿere Rolle und könnten
ebenfalls das Ziel von Angrien werden. Die Automobilbranche entwickelt zum Beispiel Fahrzeuge, die selbstständig lenken und bremsen können und mit dem Internet verbunden sind. Stuxnet
zeigte, dass auch sehr komplexe und spezielle Systeme von Malware betroen sind. Die Spezialität
selbst bietet daher keinen Schutz, wodurch sich solche Entwicklungen kritisch hinterfragen lassen.
Solange es Motivation für einen Angreifer gibt, wird er eine Schwachstelle nden.
Der staatliche Einsatz von Schadprogrammen nach innen und auÿen könnte sich weiterentwickeln.
Die vorgestellten Quellen sehen Stuxnet zwar als eine Revolution in der Cyberkriegsführung, stimmen aber überein, dass dies erst der Anfang einer neuer Generation an Waen ist. Am 13.01.2013
wurde ein groÿ angelegtes Spionage-Programm Roter Oktober entdeckt, das über fünf Jahre diplomatische und staatliche Einrichtungen weltweit ausspionierte [36]. Der Umgang von Staaten
mit solchen Cyberangrien auf diplomatischer Ebene muss noch bestimmt werden.
Aber auch Security-Software-Hersteller entwickeln neue Verfahren, um einen Schutz zu bieten. Reaktive Software wie sie oben beschrieben wurde, könnte durch Whitelisting-Verfahren bald ersetzt
Trojaner, Viren, CyberSecurity und der Staatstrojaner
13
werden. Dabei wird eine Liste bekannter vertrauenswürdiger Programme (engl. known good) verwaltet und nur deren Ausführung erlaubt. Das Sandboxing-Prinzip lässt Programme getrennt vom
Rest des Systems in einer virtuellen Umgebung laufen. Antivirenhersteller arbeiten an Techniken,
um diese Möglichkeit ohne Einschränkungen des Nutzers in vorhandene Betriebssysteme einzubauen. Malware ist nur ein Teil der Cyber-Security. Web-Security, Angrie auf Netzwerkebene, wie
beispielsweise das Abhören von WLAN-Netzwerken, stellen weitere Gefahren dar und bieten genug
Material, um getrennt betrachtet zu werden.
14
Antony Neu
Literatur
1. Peeger, C.P., Peeger, S.L.: Security in Computing (4th Edition). Prentice Hall PTR, Upper Saddle
River, NJ, USA (2006)
2. Paquette, J.: A history of viruses. SecurityFocus, January 16 (2000) 2004
3. Shoch, J., Hupp, J.: The worm programs early experience with a distributed computation. Communications of the ACM 25(3) (1982) 172180
4. Kienzle, D.M., Elder, M.C.: Recent worms: a survey and trends. In: Proceedings of the 2003 ACM
workshop on Rapid malcode. WORM '03, New York, NY, USA, ACM (2003) 110
5. Karresand, M.:
Separating trojan horses, viruses, and worms - a proposed taxonomy of software
weapons. In: Information Assurance Workshop, 2003. IEEE Systems, Man and Cybernetics Society.
(2003) 127 134
6. Szor, P.: The art of computer virus research and defense. Addison-Wesley Professional (2005)
7. Nachenberg, C.: Computer virus-coevolution. Communications of the ACM 50(1) (1997) 4651
8. Schneier, B.: Inside risks: The trojan horse race. Communications of the ACM 42(9) (1999) 128
9. Fosnock, C.: Computer worms: past, present, and future. East Carolina University 8 (2005)
10. Sharma, V.: An analytical survey of recent worm attacks. IJCSNS 11(11) (2011) 99103
Seminarbarbeit, http://www.data.ks.uni-freiburg.de/download/praxisseminarSS11/
code-injection/Antony%20Neu%20-%20Code-Injection.pdf (2011) [Online; letzter Aufruf
11. Neu, A.R.
02.01.2013].
F.:
Virenjäger Kaspersky.
WWW-Dokument, http://www.spiegel.de/netzwelt/
tech/virenjaeger-kaspersky-apple-nutzer-tragen-hawaii-hemden-a-546619.html (2008) [Onli-
12. Patalong,
ne; letzter Aufruf 02.01.2013].
http://www.heise.de/
security/meldung/Report-Boesartige-Webseiten-sind-waehlerisch-135381.html (2007) [Online;
13. Bachfeld, D.: Report: Bösartige Webseiten sind wählerisch. WWW-Dokument,
letzter Aufruf 02.01.2013].
14. Janowicz, K.: Sicherheit im Internet. O'Reilly Germany (2007)
15. Schultz, E.E.: Where have the worms and viruses gone? - new trends in malware. Computer Fraud &
Security 2006(7) (2006) 4 8
16. unknown: Cybercrime costs 110bn a year - maybe more. Computer Fraud & Security 2012(9) (2012)
3 20
17. Cooke, E., Jahanian, F., McPherson, D.: The zombie roundup: Understanding, detecting, and disrupting botnets. In: Proceedings of the USENIX SRUTI Workshop. (2005) 3944
18. Ianelli, N., Hackworth, A.: Botnets as a vehicle for online crime. CERT Coordination Center (2005)
128
19. Raiu, C.: Cyber-threat evolution: the past year. Computer Fraud & Security 2012(3) (2012) 5 8
20. Denning, D.E.: Stuxnet: What has changed? Future Internet 4(3) (2012) 672687
21. Chen, T.: (Stuxnet, the real start of cyber warfare?[editor's note])
22. Goel, S.: Cyberwarfare: connecting the dots in cyber intelligence. Communications of the ACM 54(8)
(2011) 132140
23. Marko, J., Sanger, D.: Stuxnet worm used against iran was tested in israel. New York Times 15
(2011)
24. Falliere, N., Murchu, L., Chien, E.:
W32. stuxnet dossier.
White paper, Symantec Corp., Security
Response (2011)
25. Fidler, D.: Recent developments and revelations concerning cybersecurity and cyberspace: Implications
for international law. (2012)
26. Dewald, A., Freiling, F.C., Schreck, T., Spreitzenbarth, M., Stüttgen, J., Vömel, S., Willems, C.:
Analyse und vergleich von bckr2d2-i und ii. Technical report, Universitätsbibliothek der Universität
Erlangen-Nürnberg, Universitätsstraÿe. 4, 91054 Erlangen (2011)
27. ccc: Analyse einer regierungsmalware. online (2011)
28. Hudig, K.: State trojans: Germany exports spyware with a badge. Statewatch 21(4) (2011) 8
29. Fraenkel, R., Hammer, V.: Vom staats-zum verfassungstrojaner. Datenschutz und DatensicherheitDuD 35(12) (2011) 887889
30. C.,
M.:
Cyber-Abwehrzentrum:
Kooperation
aber
kaum
Zu-
http://www.gulli.com/news/
16006-cyber-abwehrzentrum-kooperation-aber-kaum-zusammenarbeit-2011-05-03 (2011) [Onli-
sammenarbeit.
WWW-Dokument,
ne; letzter Aufruf 03.01.2013].
Kritik am geplanten Cyber-Abwehrzentrum. WWW-Dokument, http://www.
heise.de/newsticker/meldung/Kritik-am-geplanten-Cyber-Abwehrzentrum-1196787.html (2011)
31. Krempl, S.u.W.A.:
[Online; letzter Aufruf 03.01.2013].
Trojaner, Viren, CyberSecurity und der Staatstrojaner
32. Reissmann,
O.:
EU-Kommissarin
Malmström
erönet
15
Cybercrime-
http://www.spiegel.de/netzwelt/netzpolitik/
ec3-eu-kommissarin-malmstroem-eroeffnet-cybercrime-zentrum-a-877042.html (2013) [OnZentrum.
WWW-Dokument,
line; letzter Aufruf 03.01.2013].
33. : US-CERT - United States Computer Emergency Readiness Team. (WWW-Dokument,
us-cert.gov/)
http://www.
[Online; letzter Aufruf 07.01.2013].
Die volle Kontrolle.
WWW-Dokument, http://www.spiegel.de/netzwelt/
netzpolitik/eu-ueberwachungsprojekt-indect-die-volle-kontrolle-a-866785.html
(2011)
34. Lischka K., R.O.:
[Online; letzter Aufruf 30.12.2012].
35. Gostev, A.: Cyber-threat evolution: the year ahead. Computer Fraud & Security 2012(3) (2012) 9 12
36. Global
An
Research
Advanced
&
Cyber
Analysis
Team
Espionage
(GReAT),
Network
K.L.:
Targeting
The
RRed
Diplomatic
and
OctoberCampaign
Government
-
Agen-
(WWW-Dokument, http://www.securelist.com/en/blog/785/The_Red_October_Campaign_
An_Advanced_Cyber_Espionage_Network_Targeting_Diplomatic_and_Government_Agencies) [Onlicies.
ne; letzter Aufruf 15.01.2013].