Forensic Investigations / Fi Blog

Fi Blog

Nach dem Bericht von TheRegister, dass die Ende letzten Jahres unter dem Namen "Aurora" gelaufenen Angriffe auf Google, Adobe und andere von den getesteten Antivirusprodukten noch immer nicht erkannt werden , kann man diese Frage ernsthaft stellen. TheRegister bezieht sich dabei auf Informationen von NSS Labs , die festgestellt hätten, das lediglich McAfee Internet Security 2010 die Bedrohung erkannte, und die anderen getesteten Produkte AVG Internet Security 9.0, ESET Smart Security 4, Kaspersky Internet Security 2010, Norton Internet Security 2010, Sophos Endpoint Protection for Enterprise 9.0 und Trend Micro Internet Security 2010 allesamt nicht.

TrendMicro räumte ein, das vermehrt auf heuristische Untersuchungsverfahren gesetzt werden müsse, was auch den Einlassungen von Stefan Müller (Symantec) auf dem Workshop "Forensik & Computerkriminalität" des C.A.S.T. e.V. entspricht, der dort ebenfalls sagte, man werde der Flut an neuer Malware und dem "Hase & Igel" Spiel sonst nicht mehr Herr.

Ein weiteres Indiz dafür ist das von Kaspersky Labs gestartete Experiment, absolut virenfreie Dateien durch Ihren Scanner als Virus anzeigen zu lassen (absichtlich erzeugter sog. "false positive"), und die Dateien über VirusTotal anderen AV-Herstellern zugänglich zu machen. Binnen 10 Tagen hätten bis zu 14 AV-Produkte anderer Hersteller die unschädliche Datei auch als Virus erkannt, ein deutliches Indiz, dass einige Hersteller einfach vom Nachbarn "klauen", ohne ein Minimum an eigenen Untersuchungen durchzuführen.

Schuld an der Misere seien teilweise auch die Testmethoden der Journalisten, deren Testberichte sehr wichtig für den wirtschaftlichen Erfolg der AV-Hersteller seien, diese würden nicht verstehen was "false positives" wären. Die AV-Hersteller hätten hier zu viel Angst, neben dem Mitbewerb vermeintlich schlecht auszusehen, wenn ihr Produkt einen angeblichen Virus nicht erkenne.

Das der Flut nicht mehr Herr zu werden ist, implizieren auch die Zahlen der ShadowServer Foundation, die allein im Februar 2010 über 1,5 Millionen neue Binärdateien-Unikate über verschiedene Quellen gesammelt hat , polymorphe Varianten sind dabei so weit wie möglich bereits herausgerechnet. Die Zahlen für Februar sind dabei noch vergleichsweise moderat, Spitzenmonate lagen gar über 4 Millionen Dateien. Es dürfte zwar klar sein, das ein grosser Anteil hiervon auf "Nebelgranaten" entfällt, die absichtlich von Malware-Gangs in entdeckte Honeypots eingespeist werden, um den Sicherheitsherstellern ein paar mehr Hausaufgaben zu geben, dennoch erfordern auch diese eine Untersuchung.

Das Konzept, in ausreichender Geschwindigkeit Pattern-Updates zur Verfügung zu stellen ist dadurch meiner Meinung nach gescheitert, der Mythos der 100%-Erkennung, wie von so mancher Marketing-Abteilung noch bis in die Neuzeit gepredigt wird, ist tot. Tatsächlich wurde bei Untersuchungen in der Praxis festgestellt, das 32% der untersuchten Rechner trotz aktuellem Virenschutz infiziert waren , gegenüber 46% Infektionen bei den Kandidaten ohne oder ohne aktuellen Schutz. Heuristik kann etwas Linderung verschaffen, jedoch ist die Analyse von Malware-Techniken und Entwicklung von Abwehrmechanismen aufwändiger, als einfach per statischer Analyse vom Mitbewerb zu "klauen", außerdem ist das Konzept, ständig Updates zu verkaufen, wirtschaftlich einfach zu reizvoll, solange die Kunden daran glauben. Fehlende unabhängige Testmethoden tragen ihr Übriges dazu bei.

Bereits anlässlich der it-sa Nürnberg im Oktober 2009 hatte ich die Marketing-Praktiken vieler Hersteller kritisiert und im Blog-Eintrag über Botnetz-Bekämpfung über die mangelnden Desinfektionsfähigkeiten der Produkte nach einer Infektion verwiesen.

Ich will hier jedoch nicht nur einseitig auf den AV-Herstellern herumtrampeln, die zum Teil den Umständen entsprechend noch relativ gute Arbeit machen. Schuld an der exorbitanten Verbreitung von Malware ist sicher auch die Tatsache, das es einfach zu gut und leicht funktioniert. Ein Großteil der Verbreitung geht auf Sicherheitslücken in Betriebssystemen und Netzwerksoftware zurück, allen voran Email-Clients, Web-Browser, Flash und Adobe Reader . Hier ist den Herstellern die Sicherheit ihrer Kunden einfach immer noch viel zu wenig wert . H.D. Moore, der Initiator des Metasploit Projekts wird bei Heise Online zitiert , dass "Softwarehersteller einen Fix für die vom Forscher entdeckte Lücke nie in der Zeit fertig stellen, die sie ursprünglich veranschlagen. Ganz egal, ob 30, 60, 90 oder 120 Tage, die Termine werden nie gehalten". Wenn aber ein öffentlicher Exploit zur Verfügung stünde, ginge es plötzlich auch innerhalb von 10 Tagen. Auch deshalb standen die Hersteller auch schon vielfach in der Kritik .


Die Bundesregierung unterstütze die Botnetz-Bekämpfung der "Anti-Botnet-Initiative" des eco-Verbands der deutschen Internetwirtschaft e.V. mit 2 Millionen Euro, berichtet Heise Online. Man wolle dazu "in der ersten Jahreshälfte 2010" eine "Beratungsstelle einrichten, die Anwender dabei unterstützen soll, ihren Rechner von Viren und Bots zu befreien".

Dafür, dass das ganze bereits seit Ende 2009 am Laufen ist, gibt die Suche auf der eco-Website noch erstaunlich wenig Substanz her. Es bleibt abzuwarten, ob dieses Geld einen Nutzen bringt, oder sinnlos in den Rachen eines Lobbyisten-Verbandes geworfen wird.

Ich persönlich halte das Unterfangen Rechner von Viren oder Bots zu befreien für nahezu aussichtslos, da erhältliche Anti-Viren-Produkte kaum in der Lage sein dürften, die im Umlauf befindlichen hochresistenten Schädlinge automatisch zu desinfizieren. Man hat ja schon Glück, wenn die Schädlinge überhaupt erkannt werden (siehe z.B. Erkennungsquote hier unter "AV detection" oder mal akutuelle Bedrohungen aus einschlägigen Researchblogs auf VirusTotal mitverfolgen). Technisch ist es auch kein Problem, unerkennbare, polymorphe und hochresistente Schädlinge in beliebigen Mengen herzustellen. Underground-Dienste wie hxxp://virtest.com/ erlauben es zudem, die Erkennungsquote der im Handel befindlichen Anti-Viren-Produkte abzufragen und die Erkennungsquote auf Null herunterzutreiben. VirTest funktioniert analog zu VirusTotal, leitet die hochgeladenen Dateien aber im Gegensatz zu diesem nicht an Sicherheitshersteller weiter, wie u.a. hier berichtet wurde.

Es ist geplant, per Call-Center telefonische Hilfestellung zu geben, wenn die automatische Desinfektion scheitert. Es dürfte selbst für die besten Experten eine große Herausforderung und eine tagfüllende Angelegenheit werden, dies mit einem Laien am anderen Ende der Leitung zu bewerkstelligen. Wird lediglich ein einzelner kleiner Registrierungseintrag oder irgendwo eine infizierte EXE- oder PDF-Datei (unter tausenden von Einträgen und Dateien) vergessen, installieren die meisten aktuellen Schadprogramme ihren ganzen Plunder wieder von Neuem.

Einem so einmal kompromitierten Windows-System kann man zudem nie wieder vertrauen. Bei jedem Aufruf des Online-Banking kommt das ungute Gefühl auf, es versteckt sich doch noch irgendwo etwas, das berühmte "Restrisiko", dass einem wie bekannt leicht den Rest geben kann.

Aber die Problematik geht schon vor der Bekämpfung los, nämlich mit der Erkennung. Die verwendete passive Erkennung über Honeypots , Spamtraps und die Auswertung von Denial-of-Service -Attacken und externe Beschwerden zusammengetragen werden. Während man sich an anderer Stelle nicht scheut, tiefe Grundrechtseingriffe mit zweifelhaftem Nutzen zu tätigen , die Millionen Kosten und von Menschen mit entsprechenden bösartigen Absichten in weniger als einer Minute umgangen werden können , wird ausgerechnet hier, wo es dem Schutz der Bürger vor einer echten Bedrohung dient, nicht aktiv eingegriffen. Nicht einmal eine Gesetzesänderung wäre hierfür nötig, §100 TKG erlaubt den Eingriff in Verbindungs- und Verkehrsdaten und sogar die Speicherung dieser Daten unter bestimmten Auflagen, wenn "tatsächliche Anhaltspunkte den Verdacht der rechtswidrigen Inanspruchnahme von Telekommunikationsnetzen und -diensten begründen", was ich für solche Fälle klar bejahen würde. Aus der Speicherung könnte man ebenfalls wertvolle Erkenntnisse für die Aufklärung von Straftaten gewinnen, die Speicherung ist schon jetzt auf die "bösen" Verbindungen beschränkt und sieht bereits die pseudonymisierte Speicherung von Bestandsdaten des Betroffenen vor, die für die Kriminalitätsbekämpfung auch ohnehin nicht gebraucht werden. Eine so perfekte Symbiose aus effizienter Kriminalitätsbekämpfung und vorbildlichem Datenschutz habe ich persönlich selten gesehen.

Ein aktiver Eingriff erlaubt zudem die sofortige Eliminierung der Gefahr. Immerhin "begehen" kompromitierte Rechner i.d.R. direkt Straftaten nach §202c "Vorbereiten des Ausspähens und Abfangens von Daten" und §303b "Computersabotage" StGB an Dritten, was ihre Besitzer u.U. schnell in Erklärungsnot bringt. Auch ein Opt-In oder -meiner Meinung nach besser- ein Opt-Out Verfahren wären hier sicherlich leicht möglich, wenn mir dies auch allenfalls für uns Sicherheitsforscher sinnvoll erscheint.

Mit der genannten passiven Methode, die eco dagegen plant, wird lediglich darauf gehofft, das eine kompromitierte Maschine irgendwann mal hoffentlich zufällig an einen dieser Honeypots gerät. Das "Prinzip Hoffnung" ist mir an dieser Stelle jedoch etwas zu wenig, zumal auch Cyberkriminelle wohl mitgekriegt haben, dass es Honeypots gibt. Es gibt auch diverse Methoden zuverlässig festzustellen, ob es sich bei dem vermeintlichen Opfer um einen Honeypot handelt, auf die ich hier jedoch nicht eingehen möchte.

Sobald die Millionen vom BMI eingetroffen sind, werden wir das mal nachhaltig regeln ;)

UPDATE 05.03.2010: Auch andere Spezialisten sehen die Honeypots deshalb bereits vor dem Aus oder zumindest bedroht .



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30