Forensic Investigations / Fi Blog

Fi Blog

Lange schon war die Nachahmung des Stuxnet-Wurms in der Diskussion . Nun ist den Analysten von Symantec eine Duqu [dyü-kyü] getaufte Software aus dem europäischen Raum zugespielt worden. Die Malware sei Duqu getauft worden, da sie Dateien mit dem Präfix "~DQ" anlege. Symantec hat dazu ein technisches Papier , F-Secure und McAfee berichteten, das ICS-CERT hat ALERT-11-291-01 ALERT-11-291-01A ALERT-11-291-01B ALERT-11-291-01D ALERT-11-291-01E herausgegeben.

Anatomie des Rootkit-Teils von Duqu. Bild (c) Symantec

F-Secure schreibt , der Kernel Rootkit Treiber von Duqu (JMINET7.SYS) sei Stuxnet so ähnlich, dass deren Analyse-Systeme es für Stuxnet (MRXCLS.SYS) hielten.

Während Stuxnet mutmaßlich gestohlene Zertifikate der taiwanesischen Firmen RealTek und JMicron verwendete, sei die Duqu Malware mit einem Zertifikat der ebenfalls taiwanesischen Firma C-Media Electronics Incorporation signiert. Wie die beiden anderen Zertifikate sei es von VeriSign ausgestellt und am 14.10.2011 zurückgezogen worden. Dies dürfte aber nur wenig Wirkung zeigen, da ältere Systeme wie Windows XP dies nicht ausreichend überprüfen.

Symantec berichtet , Duqu sei nicht darauf ausgelegt, Automatisierungssysteme direkt zu sabotieren, sondern vielmehr sehr spezifische Dokumente wie Anlagen- und Gerätedesigns zur Vorbereitung zukünftiger Attacken zu stehlen. Der informationsstehlende Trojaner verfüge über eine Command & Control Infrastruktur, mit der er per HTTP oder HTTPS kommuniziere. Der C&C Server, über den die Steuerung des so gebildeten Botnets erfolgt, stünde in Indien und sei noch aktiv.

Das zurückgezogene Zertifikat der Rootkit-Komponente von Duqu (cmi4432.sys)

Der Verbreitungsweg sei noch unbekannt, die Malware würde sich im Gegensatz zu Stuxnet nicht selbst replizieren, sei also kein Wurm. Die Zahl der Organisationen, auf die die Malware abziele, sei sehr klein (<=2), darunter befänden sich Hersteller von Industrieautomatisierungssystemen. Als wahrscheinlichsten Verbreitungsweg kann man deshalb Social Engineering mittels Email- Scams mutmaßen. Die Schadsoftware würde sich zudem nach 36 Tagen selbst zerstören.

Zu den Fähigkeiten der Schadsoftware gehörten das Sammeln von Systeminformationen, Auswerten der Netzwerktopologie und das Aufzeichnen von Tastatureingaben ("Keylogging"). Es seien bereits mehrere Varianten aufgetaucht.

McAfee's Blogeintrag kann derzeit keine neuen Erkenntnisse beisteuern.

In den Medien wird hier vom "Vorgänger vom Nachfolger", "Sohn" oder "Bruder" von Stuxnet gesprochen. Bruder trifft es wohl am ehesten, da beide "genetisch" ähnlich sind. Ob es tatsächlich der "Vorgänger vom Nachfolger" ist, erscheint aus meiner Sicht spekulativ und unlogisch. Warum man erst von bestimmten Herstellern Informationen stehlen sollte erscheint schleierhaft, da ein weiterer Angriff nach diesem Schema auch so leicht möglich wäre.

UPDATE 21.10.2011: Das ICS-CERT hat einen aktualisierten Alert Alert , der die unzensierte IP-Adresse des Command&Control Servers benennt. Der Server wurde mittlerweile abgeschaltet.

Das Symantec-Papier zeigt keine wirklichen Besonderheiten des Trojaners. Interessant ist aber, dass Duqu die schon von Stuxnet bekannte Liste der zu umgehenden Virenscanner um die zwei chinesischen Hersteller Rising International und 360 erweitert hat. Auch interessant: Symantec hat laut Paper keine Ahnung, wie der Trojaner genau mit dem C&C Server kommuniziert(e), und wo im Code sich ein Selbstzerstörungsmechanismus befinden soll, weiß aber gleichzeitig, dass es genau nach 36 Tagen ist, und der Trojaner es selbst tut, und nicht ferngesteuert. Na dann.

Die Hashsummen der bisher bekannten vier Varianten des Duqu-Rootkits.

UPDATE 22.10.2011: Jetzt ist es offiziell: Duqu zielt NICHT auf Betreiber oder Hersteller von Automatisierungssystemen ab, vermeldet das ICS-CERT in Koordination mit Symantec und CrySyS , den Entdeckern von Duqu. Ich wollte es nicht so direkt schreiben, wie aber schon vermutet handelt es sich wohl um eine PR-Ente von Symantec. Ob die Geschichte mit dem Diebstahl sensitiver Dokumente von Automatisierungsherstellern gänzlich frei erfunden oder eine bloße Vermutung war, die als Faktum verkauft wurde, werden wir wohl nie erfahren. Der ICS-Security-Community wurde damit ein echter Bärendienst erwiesen.

Nebenbei hat das ICS-CERT im aktualisierten Duqu-Papier versäumt zu melden, dass neben den zwei bekannten Varianten noch zwei weitere gefunden wurden, weswegen ich das mit dem "ganz gezielten Angriff" auch nicht glauben konnte.
Die Rootkit-Treiber der vier bisher bekannten Varianten heißen "cmi4432.sys ", "jminet7.sys ", "adpu321.sys " und "nfrd965.sys ". Lediglich "cmi4432.sys" trägt eine vormals gültige digitale Signatur. Das zum Signieren benutzte Zertifikat wurde aber mittlerweile zurückgezogen.

UPDATE 27.10.2011: Aktualisierter Alert des ICS-CERT. Ergänzt werden Informationen aus einem Blog-Artikel von Kaspersky Labs. Berichtet wird dort von einem Infektionsfall im Sudan und drei Fällen im Iran. Dabei seien weitere, jeweils unterschiedliche, Dateinamen des Rootkit-Treibers festgestellt worden, namentlich "adp55xx.sys", "iraid18.sys", "igdkmd16b.sys", "bpmgs.sys" und "noname.sys". Ein Zusammenhang mit industriellen Automatisierungssystemen oder zwischen den Opfern bestünde nicht.

UPDATE 02.11.2011: Aktualisiertes Symantec-Papier zu Duqu. Symantec spricht von mittlerweile 14 Varianten.

Das "Verfallsdatum" des Trojaners lässt sich laut einem Blogeintrag von ESET in dessen Konfigurationsdatei angeben, analog zu Stuxnet. Dieses Verfallsdatum kann offenbar entsprechend verlängert werden.

Der Dropper (Duqu-"Installationsprogramm") wurde mittlerweile ebenfalls entdeckt. Er soll in einem Word-Dokument enthalten sein und nutzt eine bisher unbekannte Sicherheitslücke ("0day") in Microsoft-Betriebssystemen aus. Microsoft hat die Lücke bestätigt und arbeitet an der Behebung .

Command and Control Weiterleitung an das interne Netz mittels RPC-over-SMB. Bild (c) Symantec

Ein weiterer Server zur Fernsteurung ("Command & Control") in Belgien wurde entdeckt und vom Netz genommen.

Symantec und ESET berichten übereinstimmend, Duqu besitze einen zu Stuxnet analogen Kommunikationsmechanismus . Dieser könne Kommandos von einem infizierten Rechner mit Internetverbindung an einen internen Rechner ohne Internetverbindung weiterreichen. Dabei verwende Duqu RPC über SMB ("Named Pipes "), was von keiner Firewall blockiert werden wird.

Insgesamt also viele Parallelen, neben den völlig verschiedenen Payloads und Angriffszielen. Symantec spricht von mittlerweile 3 verschiedenen Payloads, die alle Informationen zu eingesetzten Systemen und/oder der Netztopologie entwenden.

UPDATE 04.11.2011: (!!!WICHTIG!!!) Microsoft hat ein Advisory und ein Fix-It herausgegeben, das die Ausnutzung der Sicherheitslücke (CVE-2011-3402 ) durch den Duqu-Installer verhindern soll. Die Sicherheitslücke betrifft alle Windows-Versionen und ermöglicht Privilegieneskalation. Der Fehler steckt im Windows-Kernel, genauer gesagt dem Parsen von TrueType Fonts. Voraussichtlich wird Microsoft diese Lücke mit dem November-Patchday am nächsten Dienstag (08.11.2011) noch nicht endgültig schließen. Es empfiehlt sich deshalb die Benutzung des Fix-Its, um kein zu großes Zeitfenster für eine Infektion entstehen zu lassen.

UPDATE 05.11.2011: Die im Advisory 2639658 beschriebenen manuellen Workarounds funktionieren unter Windows XP und Server 2003 nur für englischsprachige Windows-Versionen. In nicht-englischen Windows-Versionen ist der Benutzergruppenname "everyone" durch das jeweilige lokalisierte Äquivalent zu ersetzen (z.B. Deutsch: "Jeder"). Das Fix-It funktioniert auch auf nicht-englischen Sprachversionen. Sowohl die manuelle als auch die automatische Methode verhindern den Zugriff auf die Datei "t2embed.dll". Unter Windows XP und Server 2003 führt das zu der unerwünschten Nebenwirkung, dass die Updates KB972270 (MS10-001) und KB982132 (MS10-076) ständig erneut angeboten werden, auch wenn diese schon installiert sind oder nochmals installiert werden. Es empfiehlt sich deshalb, diese Updates entweder zu ignorieren oder auszublenden.

UPDATE 09.11.2011: Neues gemeinsames Papier des US-CERT und des ICS-CERT ("Joint Security Awareness Report"). Keine neuen Erkenntnisse, lediglich Zusammenfassung.

UPDATE 13.12.2011: Microsoft schließt die Duqu-Lücken im Windows-Kernel-Treiber win32k.sys (MS11-087 /CVE-2011-3402 ) wie erwartet im Zuge des Dezember-Patchdays . Das oben beschriebene Fix-It wird damit obsolet. Diese (Symantec PR- und FUD-)Story ist damit beendet.


it-sa - Die IT-Security-Messe

Auch dieses Jahr besuchten wir wieder die it-sa IT-Security-Messe in Nürnberg. Die Messe ist im Vergleich zu den Vorjahren enorm gewachsen und entsprechend in die wesentlich größere Halle 12 umgezogen. Sowohl bei Ausstellern als auch Besuchern hat die Internationalität im Vergleich zu den Vorjahren stark zugenommen. Die it-sa wurde vom SecuMedia Verlag ins Leben gerufen und in Ihrem nunmehr dritten Jahr von der Nürnberg Messe übernommen.

Nürnberg Messe

Parallel zur it-sa fanden noch die Messen POWTECH (Internationale Fachmesse für Mechanische Verfahrenstechnik), TechnoPharm (Internationale Fachmesse für Life Science Prozesstechnologien) sowie der INDEX Safety Congress und der CleanRoomCongress statt.

Freundlicherweise hat mich der SecuMedia Verlag auf die it-sa eingeladen, der dort seine neue Publikation "Informationsdienst SCADA-Sicherheit - IT-Security für Systeme der Automatisierungs-, Leit- und Steuertechnik " erstmals präsentierte, für die ich auch einen Beitrag verfasst habe .

Gleich zu Beginn besuchte ich den Workshop "IT-Security industrieller Netzwerke", der Insidern jedoch nichts wirklich Neues bieten konnte.

Neben diversen Terminen und Standbesuchen habe ich mir einige der Vorträge in den Foren angesehen. Neben Forum "Blau" (Technik) und Forum "Rot" (Management) gab es dieses Jahr erstmals zusätzlich ein Auditorium mit Sonderveranstaltungen, die aber teilweise nur mäßig besucht waren. Konzeptionell ermöglichte das Auditorium mit variablen Vortragslängen jedoch detailiertere Eröterung eines Themas als die Foren, bei denen die Beiträge fast ausnahmslos auf nur 15 Minuten beschränkt waren. Dementsprechend hatten die Referenten wenig Möglichkeiten, in die Tiefe zu gehen, was sich der eine oder andere fachkundige Besucher sicher gewünscht hätte.

Zu den Keyspeakern zählte Dr. Taher Elgamal, Bundesinnenminister Dr. Hans-Peter Friedrich hielt beim MesseCampus die Keynote.

Hier geht's entlang

Dr. Hans-Peter Friedrich bei seiner Keynote (c) Messe Nürnberg/Thomas Geiger

Das BSI präsentierte sich mit einem großzügigen Stand

Ari Takanen von Codenomicon: "Security for the Internet of Things"

Weitere Impressionen von der Messe finden Sie in der nachfolgenden Bildergallerie.

Weitere Bilder finden Sie auch beim Presse-Service der it-sa .


Luigi Ariemma hat gestern erneut diverse Sicherheitslücken in Industriesoftwareprodukten veröffentlicht. Bereits im März diesen Jahres hatte er 34 Lücken in SCADA und HMI-Systemen offengelegt . Betroffen sind diesmal die folgenden Produkte und Versionen:

Es ist davon auszugehen, das ältere Versionen der genannten Produkte ebenfalls mit diesen Sicherheitslücken behaftet sein könnten.

Gerne können Sie sich an uns wenden , wenn Sie als Hersteller oder Anwender dieser Produkte betroffen sind. Wir helfen Ihnen gerne bei der

  • Fehlerbeseitigung
  • Auditierung, Risikobewertung und -minderung
  • Signaturentwickelung für Intrusion Detection/Prevention Systeme und
  • Modulentwicklung für Vulnerability Scanning/Vulnerability Assessment Produkte.

Nochmals mein Appell an die Hersteller

Wenn Sie Hersteller sind, bieten Sie ein 'Bug Bounty' Programm. Zeigen Sie Sicherheitsforschern und Kunden damit, das Ihnen die Sicherheit Ihrer Produkte wirklich etwas wert ist und Sie Interesse an entsprechender Zusammenarbeit haben. Sicherheitsforschung dient Ihnen und der Sicherheit Ihrer Kunden, zum Nulltarif kann das aber nicht funktionieren. Als neutral gedachte Stellen wie das ICS-CERT nehmen Ihre Aufgaben leider auch unzureichend wahr . Nur mit einer partnerschaftlichen Zusammenarbeit und finanziellen Anreizen wird man fähige Leute wie Luigi Ariemma überzeugen können, Ihre Arbeit nicht einfach zu veröffentlichen oder gar am Grau- oder Schwarzmarkt zu verkaufen.

UPDATE 19.09.2011: Mittlerweile verfügbare CVE-Nummern ergänzt, Hinweise auf öffentlich kursierende Exploits ergänzt, Konkretisierung zu Progrea Movicon und Azeotech DAQFactory.

UPDATE 20.09.2011: Aktualisiertes Advisory zu Rockwell RSLogix.

UPDATE 21.09.2011: Aktualisiertes Advisory zu Measuresoft ScadaPro, Update 4.0.1 verfügbar.

UPDATE 22.09.2011: Aktualisiertes Advisory zu Azeotech DAQFactory, Update 5.86 verfügbar. Cogent DataHub: Hinweis auf öffentlich kursierenden Exploit ergänzt und Information konkretisiert.

UPDATE 27.09.2011: Zwei weitere 0day-Lücken in Carel PlantVisor sind aufgetaucht. Hinweis auf kursierende Exploits ergänzt.

UPDATE 29.09.2011: Luigi Auriemma hat weitere Lücken in Sunway ForceControl SCADA und ARC Informatique PcVue veröffentlicht. Zu Sunway ForceControl SCADA kursiert bereits ein öffentlicher Exploit. Entsprechende Informationen hinzugefügt.

UPDATE 04.10.2011: Neues Advisory zu Rockwell RSLogix, Security-Updates zu einigen Versionen erhältlich.

UPDATE 07.10.2011: Aktualisiertes Advisory zu Rockwell RSLogix, Security-Updates zu allen Versionen erhältlich.

UPDATE 10.10.2011: Advisories und Security-Updates zu Cogent DataHub und Beckhoff TwinCAT. Betroffene Versionen konkretisiert.

UPDATE 17.10.2011: Luigi Auriemma hat nochmal nachgelegt und weitere Produktlücken veröffentlicht. Betroffen sind diesmal IRAI Automgen, atvise webMI2ADS, Open Automation Software OPC Systems.NET und MICROSYS Promotic. Zudem ist ein öffentlicher Exploit zu PcVue erschienen. Informationen oben ergänzt.

UPDATE 22.10.2011: Advisory zu Progea Movicon, der Hersteller stellt Updates bereit. Informationen ergänzt.

UPDATE 28.11.2011: Zu Beckhoff TwinCat, atvise webMI2ADS, Open Automation Software OPC Systems.NET und MICROSYS Promotic sind Exploits erschienen. Luigi Auriemma hat heute weitere Lücken im Siemens Automation License Manager und in Siemens SIMATIC WinCC flexible SP2 Security Patch 1 veröffentlicht. Diese Versionen liegen uns momentan nicht vor, sodass wir diese Bugs im Moment nicht testen können. Informationen oben ergänzt bzw. aktualisiert.

UPDATE 29.11.2011: Ein weiterer Bug in MICROSYS Promotic: Speicherbenutzung nach Freigabe ("use-after-free"). 3S CoDeSys hat es ebenfalls erwischt. Das ICS-CERT ist aufgewacht und hat Alerts für SIEMENS Automation License Manager, SIEMENS WinCC flexible und Optima APIFTP Server herausgegeben; im letzteren Fall mit kaum mehr als zwei Wochen Verzögerung. Informationen ergänzt.

UPDATE 30.11.2011: Zweiter Alert des ICS-CERT zu MICROSYS Promotic. Link ergänzt.

UPDATE 02.12.2011: Öffentlicher Exploit zu 3S CoDeSys erschienen. Warnung ergänzt. ICS-CERT nach kurzer Wachphase wieder im Tiefschlaf.

UPDATE 03.12.2011: Aktualisierter Alert zu SIEMENS Automation License Manager, SIEMENS WinCC flexible und endlich ein Alert zu 3S CoDeSys. Der Alert zu 3S CoDeSys ist nicht nur verspätet, sondern auch noch falsch und unvollständig: Researcher war Luigi Ariemma, Hinweis auf öffentlichen Exploit fehlt, Liste der Mängel ist unvollständig.

UPDATE 07.12.2011: Advisory des ICS-CERT und Updates zu PcVue verfügbar. Daneben sind die Schwesterprodukte FrontVue/PlantVue ebenfalls betroffen. Informationen zu den Schwachstellen konkretisiert und CVE-Nummern hinzugefügt.

UPDATE 08.12.2011:Das ICS-CERT hat das unvollständige Advisory zu 3S CoDeSys korrigiert.

UPDATE 13.01.2012: Aufgrund unseres Urlaubs diesmal etwas verspäteter Nachtrag: Updates zu CoDeSys, dem SIEMENS Automation License Manger und OPC Systems.NET sind erschienen, das ICS-CERT hat entsprechende Advisories herausgegeben. Um es gleich vorweg zu nehmen: Das SIEMENS-Update lindert zwar scheinbar die gemeldeten Fehler, aber der Automation License Manager bleibt nach wie vor anfällig. Bereits mit dem trivialsten möglichen Test ist es uns gelungen, ALM zum Absturz (Denial of Service) zu bringen, was einen Anlagenstillstand auslösen könnte. Weitere Informationen oben im entsprechenden Abschnitten ergänzt.

UPDATE 17.01.2012: Mit dem Rockwell FactoryTalk RNADiagServer gesellt sich ein weiteres Produkt zur Liste. Hinweise ergänzt.

UPDATE 28.01.2012: Aktualisiertes Advisory zu OPC Systems.NET. Ein weiterer Fehler (Pufferüberlauf) wurde veröffentlicht, der mit dem Update 5.0 aber offenbar ebenfalls korrigiert ist. Advisory zu MICROSYS Promotic, ein Update ist erschienen, das die Fehler korrigieren soll. Nach den vorliegenden Informationen wurden aber scheinbar nur 3 von insgesamt 4 Fehlern behoben. Entsprechende Informationen und CVE-Nummern ergänzt.

UPDATE 12.04.2012: Certec veröffentlicht Updates zu atvise webMI2ADS und MICROSYS beseitigt den verbliebenen, bisher nicht behobenen 'Use-After-Free' Fehler in Promotic. Entsprechende Informationen, CVE-Nummern, Advisories und Update-Links ergänzt.


'Stuxnet 2.0' Demo - Bild (c) Dale G. Peterson

Symantec zeigte auf dem Ausstellungsflur der BlackHat eine 'Stuxnet 2.0' Demo. Hierbei hätten Sie das 'Payload', also die 'Nutzlast' des Stuxnet-Codes ausgetauscht. Ebenso wie beim originalen Stuxnet sei die Manipulation des SPS-Codes durch einen Operator nicht zu erkennen, da diese beim Auslesen versteckt würde.

Die 'Nutzlast' könnte Steuerungen auf vielfältige Weise manipulieren. Die trivialste mögliche Manipulation hatte Ralph Langner schon vor einiger Zeit demonstriert . Mit 14 Bytes implementierte er eine simple Zeitbombe, die auf ein bestimmtes Datum wartet, und ab dann einfach das restliche Steuerungsprogramm überspringt. Kleine Ursache, große Wirkung: dies wäre noch schlimmer als ein unkontrollierter Stromausfall an der Steuerung, alle Regelungen kommen zum erliegen, aber der letzte Signalzustand liegt noch an. In diesem Fall kann man nur noch darauf hoffen, dass die physikalischen Sicherungssysteme auch für diesen Fall wie gewünscht greifen. Die Diagnose eines 'unsichtbaren' Fehlers dürfte ebenfalls schwierig werden.


BlackHat Las Vegas 2011 - Embedding Security

BlackHat Las Vegas 2011 - Embedding Security

USB-Angriffe sind nicht neu. Prominente Beispiele sind der 'LNK-Bug ' oder der im Frühjahr auf der BlackHat DC gezeigte Angriff per simulierter Tastatur . Auf noch niedriger Ebene ging Andy Davis von NGSSecure vor.

Mit einem Testgerät, das mit einem selbstgeschriebenen Programm instrumentiert wurde, gelang es ihm nach eigener Aussage, Schwachstellen u.a. in Windows 7, der Xbox 360, Solaris 11 Express, Apple OS X und diversen Embedded-Systemen zu finden. Dies ermögliche "Jailbreaks", Entsperren gesperrter Arbeitsstationen, heimliche Installation von Schadsoftware oder Diebstahl sensitiver Daten.

Da Endpoint Protection Lösungen meist auf höherer Ebene arbeiteten, seien Sie gegen solche Angriffe und Sicherheitslücken in USB-Treibern oft wirkungslos. Der einzig effektive Schutz sei das Abschalten der USB-Schnittstellen im BIOS des Systems oder deren Versiegelung mit Epoxidharz.


Betrachtung und Kriterien

Die hier untersuchten Daten zu Marktanteilen stammen von OPSWAT (PDF , März 2011), die Leistungswerte von VirusBtn (April 2011) und NSS Labs (PDF , Q3-2010).

Pandasoft (Marktanteil 4,76%) und TrendMicro (Marktanteil 1,77%) tauchen bei VirusBtn aktuell nicht mehr auf und bleiben deshalb hier außer Betracht.

Kernkriterien

Die Erkennungsquote (Schutzumfang) ist sicherlich das wichtigste Kriterium für eine solche Lösung. Daneben spielen die Performance-Auswirkungen und die Bedienung eine Rolle, da sie ansonsten mangelnde Akzeptanz beim Endanwender finden und der Schutz vielfach torpediert wird. Laut einer Untersuchung von Avira schalten 25% der Endanwender Virenschutzlösungen einfach aus, wenn diese zu große Auswirkungen auf die Performance Ihres Systems zeigen .

"Reaktive" und "proaktive" Erkennung

VirusBtn differenziert bei der Erkennungsquote zwischen "reaktivem" und "proaktivem" Schutz, wobei sich "reaktiv" auf muster-("Pattern"-)basierte Erkennung bekannter Schadsoftware bezieht, und "proaktiv" auf die Erkennung unbekannter Schadsoftware durch verhaltens-basierte Verfahren oder generische Muster. Proaktive Erkennung ist besonders bei neuer Schadsoftware wichtig, da für diese häufig noch keine passenden Erkennungsmuster vorliegen. Verhaltens-basierte Erkennung, automatische Klassifikation oder händische Analyse durch Sicherheitsforscher sind auch die einzigen Wege, ein Programm überhaupt als Schadsoftware einzustufen, um anschließend Erkennungsmuster davon erstellen zu können. Die reaktive Erkennung kann (theoretisch) 100% aller (bekannten) Schadprogramme erreichen, während eine proaktive Erkennung von 100% (auch unbekannter) Schadprogramme unmöglich sein dürfte.

Platzierungen: Leistung und Marktanteile divergieren deutlich

  • Leistungswerte Virenscanner Oktober 2010 bis April 2011, Copyright www.virusbtn.com

    Lavasoft (Marktanteile Platz 10 mit 0,98%) mit Lavasoft Total führt punktgleich mit Coranti als quasi bedeutungslosem Hersteller (die Homepage weist weniger als 150.000 Downloads aus), Lavasoft Pro liegt im Mittelfeld (mehr dazu im Abschnitt Multi-Engine vs. Single-Engine Scanner)
  • weitere Spitzenplätze belegen Kaspersky PURE, Checkpoint und Trustport, dahinter folgen Avira Free und Pro, G-Data, ESET, F-Secure und Avast mit ähnlich guten Werten, etwas zurück in der Spitzengruppe liegen AVG, Kaspersky Internet Security, Microsoft Security Essentials, EmsiSoft und BitDefender
  • der einstige einsame MarktführerMcAfee (historisch >50% Marktanteil) liegt weit abgeschlagen im Mittelfeld mit Quoten gerade noch um die 75%, hat aber noch deutlich mehr Marktanteil als viele besser bewertete Produkte – solange der Marktanteil noch passt und die Milliarden von Intel fließen , ist die Produktentwicklung womöglich auch eher zweitrangig
  • Comodo, Fortinet, eEye, CA Business und Norman bilden die Schlusslichter des Hauptfeldes
  • Rising International und Kingsoft liegen weit abgeschlagen vom Feld

Multi-Engine vs. Single-Engine Scanner

Bringen mehrere parallel verwendete Erkennungssysteme ("Engines") Vorteile? Theoretisch ja – außer bei der Performance vielleicht.

  • Lavasoft Total kann sich zwar von Lavasoft Pro absetzen, dies hat jedoch wohl eher hausinterne, marktstrategische Gründe
  • Coranti liegt wie oben erwähnt punktgleich mit Lavasoft Total an der Spitze – dies ist wenig verwunderlich, verwendet es doch die Engines von Lavasoft Total (Anti-Spyware und Anti-Virus), BitDefender, und Frisk F-Prot parallel – durch die zwei zusätzlichen Engines kann es sich offenbar dennoch nicht von seinem Halbbruder Lavasoft Total absetzen

Business vs. Consumer

Sind Business-Lösungen sicherer als Consumer-Lösungen? Sie sollten es sein, da Unternehmen mutmaßlich einen höheren Schutzbedarf haben als Privatanwender – in der Praxis ist jedoch meist das Gegenteil der Fall.

  • CA Business (~60%/60%) liegt weit schlechter als CA Consumer (~80%/80%)
  • F-Secure Client (Business-Version) liegt ebenfalls hinter F-Secure Internet Security (Consumer)
  • Lediglich bei Microsoft lässt sich dieser Trend nicht eindeutig bestätigen – Microsoft Forefront (kostenpflichtig, Business) ist reaktiv etwas besser, Microsoft Security Essentials (kostenfrei, Consumer) ist proaktiv etwas besser. Zu Security Essentials liegt aber nur eine Messung vor; bei der wichtigeren reaktiven Technik scheint jedoch auch hier das Consumer-Produkt technologisch weiter fortgeschritten.

Was sind die Gründe für diese Schieflage? Bei der Anschaffung von Business-Lösungen wird primär auf die leichte Administration geachtet. Consumer-Lösungen sind zudem die größere Geldmaschine, weshalb die Hersteller diese vermeintlich primär fokussieren. Ein Vertriebler von Symantec beispielsweise hatte dies auch unverholen eingeräumt . Geld drucken scheint klar wichtiger zu sein als Orientierung an Kundenbedürfnissen. Meiner Meinung nach ist die Einteilung in Business- und Consumer-Produktlinien ohnehin ein großer Unsinn.

Kostenlose kontra kostenpflichtige Versionen

Erstaunlicherweise liefert das kostenlose Avira Free sowohl im reaktiven und proaktiven Bereich etwas bessere Ergebnisse als das kostenpflichtige Avira Pro. Avira Pro bietet jedoch erweiterte Funktionalität. Da dies unlogisch erscheint, haben wir Avira angeschrieben, worin dies begründet sein könnte, eine Antwort steht noch aus.

Bewertung, Kritik – und was die Zahlen nicht hergeben

  • man muss sich bewusst sein, dass sich je nach verwendeten Testmethodiken andere Zahlen ergeben ("Glaube keiner Statistik, die Du nicht selbst gefälscht hast")
  • zudem besteht durch solche Testverfahren die Gefahr, das sich AV-Hersteller um "gut auszusehen" einem solchen "künstlichen" Szenario anpassen, statt auf die real existenten Bedrohungen abzustellen – prominentes Beispiel in der Vergangenheit waren die Grafikkarten-Hersteller, die Ihre Produkte mehr für Benchmark-Programme optimiert haben, als für reale Anwendungsszenarien
  • alle Testmethodiken können lediglich bekannte Schadsoftware berücksichtigen; da viele Schadprogramme lange Zeit oder gar für immer "unter dem Radar" der AV-Hersteller bleiben werden, liegen die absoluten Werte in der Realität weiter unten auf der Skala
  • nahe am Ausbruch eines neuen Virus verschiebt sich zumindest die reaktive Erkennungsquote ebenfalls nach unten; da Cyberkriminelle ihre Schadsoftware i.d.R. auf Erkennung testen, wandert auch die proaktive Erkennungsquote auf oder Richtung null
  • der Durchschnitt der Erkennungsquote konzentriert sich bei ca. 80%; allein für den Testzeitraum von sechs Monaten bedeutet dies 1,98 Mio. neue, nicht erkannte Schadprogramme (bei ca. 55.000 neuen Viren täglich )
  • beim Exploit-Schutz sieht es lt. den Zahlen von NSS Labs noch schlechter aus: die Erkennungsquoten liegen hier bei gerade 75% beim besten Produkt, mehr als ein Drittel der getesteten Programme liegt gar unter 20%
  • NSS Labs kritisiert weiter, dass je nach Eintrittspunkt der Infektion (z.B. Web-Download oder Laden vom Fileserver) Schadsoftware erkannt würde oder eben auch nicht. Sie kritisieren ferner, dass je nach Produkt 10% bis 60% der Umgehungstricks ("evasion techniques"), die Cyberkriminelle typischerweise verwenden, gänzlich unbemerkt blieben. Zudem würden rein speicherresidente Schadprogramme von weniger als einem Drittel der Produkte erkannt, was gerade für besonders bedrohte Infrastrukturen, die sich eventuell sogar persistenten Angriffen ("Advanced Persistent Threats") gegenübersehen, ein zusätzliches Risiko darstellen dürfte.

Fazit

Virenscanner sind im Gegensatz zu verbreitetem Glauben nicht die "Ultima Ratio" in puncto Sicherheit. Sie stellen vielmehr lediglich einen Grundschutz dar und sollten je nach Schutzbedarf durch weitere Maßnahmen ergänzt werden. Nehmen Sie Kontakt mit uns auf, wir beraten Sie gerne.


US-Verteidigungsminister Robert Gates sieht Cyberwar als Bedrohung für kritische Infrastrukturen, Unternehmen und Behörden und will deshalb die Zusammenarbeit staatlicher Stellen und der Privatwirtschaft weiter ausbauen.

Zuletzt hatte auch die ENISA im Rahmen der CyberEurope 2010 eine europaweite Übung zur Cyber-Security gestartet , die aber diesmal noch auf behördliche Stellen beschränkt war. Wie anfällig europäische Infrastrukturen für Hacker-Angriffe sind, war ebenfalls nicht Gegenstand der Übung.

Erstmals wurde in diesem Jahr mit Stuxnet ein Fall öffentlich, dem nicht wenige Experten die Beteiligung eines oder mehrerer Nationalstaaten nachsagen. Das IT-Sicherheitsunternehmen Imperva sieht daher staatlich geförderte oder politisch motivierte Cyber-Angriffe gar als Nummer 1 unter den IT-Security Trends für 2011 .

Daneben wiesen die Veranstalter der DeepSec Security-Konferenz darauf hin , dass auch die GSM-Mobilfunknetze zu den kritischen Infrastrukturen eines Landes zu rechnen seien. Mobilfunk-gestützte Sicherheitssysteme in Banken, Behörden oder Firmen wären ohne dieses nicht mehr einsatzbereit und auch Notrufe könnten nicht mehr abgesetzt werden.


Es gibt entsprechende Warnungen, Stuxnet könnte der Anfang einer gänzlich neuen Kategorie von Malware seien, die auf kritische Infrastrukturen abzielt, u.a. die Europäische Agentur für Internetsicherheit (European Network and Information Security Agency, ENISA ) hatte gewarnt .

Ralph Langner erläutert , dass ein in S7-Steuerungen vorhandener Designfehler vorhandenes 'Feature' den durch Stuxnet durchgeführten Man-In-The-Middle Angriff überhaupt erst ermögliche.

Er weißt m.E. zu Recht darauf hin , dass damit sowohl Überwachung als auch Steuerung der Automatisierungssysteme gänzlich unmöglich gemacht würden, und ein solches Angriffsschema generisch in entsprechenden Crimeware-Paketen implementiert werden könnte, was die Durchführung eines solchen Angriffs praktisch für Jedermann -vollkommen ohne Insider-Kenntnisse- ermöglichen würde.

Die Leute vergäßen zudem, das Stuxnet in der bekannten Form lediglich einen Transportmechanismus darstelle, damit das eigentliche Problem aber nicht beseitigt sei.


TrendMicro hat das Stuxnet Scanner Tool herausgegeben , des es ermöglicht, mit dem Wurm infizierte Rechner im Netzwerk aufzuspüren. Es täuscht dazu einen Stuxnet-infizierten Rechner vor und verwendet reproduzierte Remote Procedure Call Anfragen, wie sie Stuxnet normalerweise nutzt, um andere Rechner im Netz mit aktualisiertem Schadcode zu versorgen. Ein infizierter Rechner antwortet auf diese Anfragen und kann dadurch entlarvt werden.

Finally still not really 0wning Stuxnet

Optimal ist diese Vorgehensweise dennoch nicht, da eine manuelle Entfernung des Virus nach wie vor nötig ist. Unter dem Arbeitstitel "0wning Stuxnet" haben wir hier schon länger ein Konzept erdacht, dass Stuxnet im Netzwerk ein Update zu dessen Konfigurationsblock schicken sollte, der neue Command & Control Server beinhaltet, die unter Kontrolle des betroffenen Anwenders stehen.

Über diese Command & Control Infrastruktur wäre es dann möglich gewesen, Stuxnet infizierten Rechnern im Netzwerk direkt einen Code-Block zu schicken, der Stuxnets interne Deinstallationsroutine aufruft. Dadurch hätte man Stuxnet quasi mit seinen eigenen Waffen geschlagen und eine Selbstzerstörung des Botnets ausgelöst.

Aufgrund mangelnder Ressourcen haben wir das jedoch nie realisiert, da wir als neutrale, unabhängige und objektive Sicherheitsforscher keinerlei Unterstützung durch den betroffenen Hersteller SIEMENS AG erhalten.

Kollektives Versagen oder mangelnde Koordination?

Unklar bleibt, warum die großen AV-Hersteller oder SIEMENS nicht etwas derartiges realisiert haben, Ressourcenmangel kann hier ja wohl kaum der Grund sein.

Symantec gar hat hier die Command & Control Server schon seit mindestens Juli in der Hand, da ich aber die Kollegen nicht ungerechtfertigt kritisieren will, werfe ich lediglich die Frage auf, ob die auf einem solchen Server generierten Daten nicht der Allgemeinheit gehören und allen Sicherheitsforschern zu Verfügung stehen sollten, statt einem einzigen Wirtschaftsunternehmen zum alleinigen Vorteil zu dienen. In jedem Fall stellt sich aber die Frage, ob die Bekämpfung einer solchen Seuche nicht generell besser koordiniert werden sollte; an dieser Stelle sind wohl internationale Anstrengungen erforderlich.

Letzlich lassen sich Stuxnet-infizierte Rechner auch aufspüren, in dem man die DNS-Auflösung mitprotokolliert. Infizierte Rechner versuchen früher oder später, die Domains www.mypremierfutbol.com und/oder www.todaysfutbol.com aufzulösen und eine Verbindung zur entsprechenden IP herzustellen.


Da ich in letzter Zeit zum Thema Sicherheit so oft höre, "wir haben doch Virusscanner und Firewalls", möchte ich hier einmal grob auf den Themenkomplex Netzwerksicherheit/Firewalls eingehen und mit ein paar Mythen aufräumen. Zum Thema Virenscanner hatte ich ja bereits hier berichtet.

Das Hype-Thema der diesjährigen it-sa schlechthin waren die sogenannten "Advanced Evasion Techniques " (AETs), die in der Lage sind, fast alle Firewalls und Intrusion Detection Systeme auszuhebeln. Hype deshalb, weil viele dieser Techniken in Security-Kreisen längst bekannt sind, wie auch heise online im Artikel "Alarmanlagen fürs Netz weitgehend nutzlos " zu Recht anmerkt.

Dennoch ist die Kernaussage wahr, viele dieser Systeme lassen sich durch verschiedenste Tricks überlisten. Längst gibt es entsprechende Frameworks, die solche Techniken auf TCP/IP Ebene umsetzen und einfach nutzbar machen. Ist das verwendete System einem Angreifer zudem bekannt, kann dieser bequem vorher ausprobieren, ob es Alarm schlägt und wie das umgangen werden kann.

Statt Alarme zu vermeiden könnten diese ebenso auch in großer Zahl gezielt ausgelöst werden, damit der eigentliche Angriff durch all diese 'Nebelkerzen' nicht mehr oder nur noch schwer erkennbar ist.

Die Krux für Firewalls mit Content Filtern oder Intrusion Detection Systeme ist grundsätzlich, dass diese lediglich auf nicht zugelassene Protokolle/Quellen/Destinationen oder bekannte Signaturen reagieren und entsprechend einen Angriff melden können. Dies ist analog zu Antivirus-Produkten , die auch nur auf Signaturen bekannter Bedrohungen zuverlässig reagieren können. Heuristiken existieren zwar in den meisten Produkten, aber diese können schwerlich alle möglichen Varianten abdecken – zumal sie keine zu großen Auswirkungen auf das Laufzeitverhalten der Systeme haben dürfen und nicht zu viele Fehlalarme auslösen dürfen. Durch vorherige Tests und entsprechende Abwandlung lassen sie sich meist zuverlässig umschiffen.

Beispielsweise verwenden die meisten Botnetze oder Trojaner von Haus aus HTTP zur Steuerung, das in fast allen Umgebungen als legitimer Datenverkehr betrachtet wird, und sich so auch meist nicht ohne Weiteres blocken oder als bößartig einstufen läßt.

Firewalls verhindern Angriffe nicht, sie vermindern lediglich die Angriffsfläche. Zwar können sie einige Dienste von der Außenwelt abschotten, dennoch verbleiben immer mindestens die unverzichtbaren Dienste wie beispielsweise Web oder Email als Angriffsfläche. Sicherheitslücken in der entsprechenden Software werden dort auch durch Firewalls nicht kompensiert. Solche Lücken bleiben immer wieder , wenn dies auch teilweise nur für ein relativ kurzes Zeitfenster zutrifft. Ein SQL-Server wird zwar normalerweise nicht vom Internet aus zugänglich sein, könnte aber dennoch kompromitiert werden, wenn eine Schadsoftware auf anderem Wege ins interne Netz gelangt, populäres Beispiel war 2003 der SQL Slammer .

Auf die weiteren Fakten, beispielsweise dass Firewalls meistens nicht ausreichend parametriert sind, und i.d.R. alle ausgehenden Verbindungen zulassen, sowie die Tatsache, dass auf kompromitierten Hosts befindliche Firewalls von üblicher Malware neutralisiert werden, will ich hier – um nicht wieder völlig den Rahmen zu sprengen – gar nicht mehr im Detail eingehen.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31