lab.mag 1.0 - Kaspersky Lab

Transcription

lab.mag 1.0 - Kaspersky Lab
.
1.0
DAS MAGAZIN FÜR IT-SICHERHEIT IM UNTERNEHMEN
DEZEMBER 2007
HOSTED SECURITY
Schützen Sie sich
vor Eindringlingen
Eine Publikation von
www.lab-mag.de
Umfassender Schutz von UnternehmensNetzwerken jeder Größenordnung vor
Internet-Bedrohungen inklusive Kontrolle
der Internet-Nutzung.
AKTUELL
PARTNERTHEMA
Die Rootkit-Spezialistin Joanna
Rutkowska hat den Quellcode
einer komplett neu geschriebenen
Version des Virtualisierungs-Rootkits
Blue Pill frei zugänglich gemacht.
Handy-Attacken auf dem Vormarsch.
Bei Anruf Virus
ERFOLGSGESCHICHTE
Jetzt wird abgerechnet – virenfrei
Die Minol-Gruppe setzt auf Kaspersky Lab.
lab.mag
Blue Pill
DAS MAGAZIN FÜR IT-SICHERHEIT IM UNTERNEHMEN
IMPRESSUM
lab.mag erscheint viermal jährlich bei der
Kaspersky Labs GmbH
Steinheilstr. 13
85053 Ingolstadt
Deutschland
Telefon: +49 (0 )8 41 - 9 81 89 0
Web: www.kaspersky.de
Vertretungsberechtigter Geschäftsführer:
Andreas Lamm
REDAKTION
Christian Wirsig (V.i.S.d.P.)
Elke Wößner
Magnus Kalkuhl
Elmar Török – www.bitsundbites.de
Rüdiger Pein
CARTOON
Der Flix – www.der-flix.de
FOTOS
Kaspersky Lab | photocase.com
LAYOUT
Marta Behrendt – www.smartinka.de
DRUCK
Mediahaus Biering GmbH, München
© 2007 Kaspersky Labs GmbH
Copyright bzw. Copyright-Nachweis für alle Beiträge
bei der Kaspersky Labs GmbH.
Reproduktion jeglicher Art – auch auszugsweise – nur
mit schriftlicher Genehmigung der Kaspersky Labs
GmbH.
Namentlich gekennzeichnete Beiträge geben nicht
unbedingt die Meinung der Redaktion oder der
Kaspersky Labs GmbH wieder.
Alle Markennamen sind in der Regel eingetragene
Warenzeichen der entsprechenden Hersteller oder
Organisationen.
EDITORIAL
Viel Spaß beim Lesen, Ihr
Foto: Axel Griesch
ls der Mathematiker Kurt Gödel im Jahr 1931 seinen Unvollständigkeitssatz formulierte, hat er sicherlich nicht an die modernen
IT-Infrastrukturen 76 Jahre später gedacht. Mit seinem Unvollständigkeitssatz hat er die Grenzen der ihm unbekannten IT eindrucksvoll postuliert,
indem er bewies, dass „jedes hinreichend mächtige formale System entweder widersprüchlich oder unvollständig“ ist. Und erleben nicht wir alle diese Unvollständigkeit tagtäglich in unserer Arbeit mit dem Computer?
Mit dieser funktionalen Unvollständigkeit haben wir uns längst arrangiert. Betrifft
es allerdings die Sicherheit unserer Informationen und Daten, kann dies nicht ohne
weiteres hingenommen werden. In unserem lab.mag werden wir deshalb zukünftig die Unvollständigkeiten in Bezug auf die Sicherheit der IT-Systeme aufzeigen.
So besprechen wir in der Erstausgabe unter anderem die Gefahren von Blue-PillRootkits in virtuellen Datenwelten und beschäftigen uns außerdem mit der zunehmenden Bedrohung durch Handy-Attacken. In unserem Titelthema „Hosted
Security“ zeigen wir aber auch Wege auf, die Sicherheit und Wirtschaftlichkeit von
E-Mail-Systemen zu verbessern.
Damit können wir den Gödelschen Unvollständigkeitssatz nicht aushebeln und
auch keine 100-prozentig sicheren IT-Systeme realisieren oder gar versprechen.
Jedoch werden wir unseren Beitrag dazu leisten, moderne IT-Systeme vollständiger
zu machen, was deren Sicherheit anbelangt.
ANDREAS LAMM
Geschäftsführer der Kaspersky Labs GmbH
Kontakt: lab.mag@kaspersky.de
INHALT
4 ················ SHORT NEWS
US-Gericht stärkt mit Abweisung einer Klage gegen Kaspersky Lab die Rechte der Anwender
Kaspersky Lab findet Virus auf externen Festplatten
Informations-Plattform für PocketPCs und Smartphones
5 ················ BLOG
Stilblüten in der Diskussion um den Bundestrojaner
6 ················ HOSTED SECURITY Schützen Sie sich vor Eindringlingen
Die besten Bedrohungen sind die, die gar nicht erst bis zum eigenen Netzwerk kommen. So gesehen sind die Kaspersky Hosted Security Services
perfekt: Die Suche nach Viren, Trojanern und bösartigen Websites findet in den Rechenzentren des russischen Sicherheitsanbieters statt – den
Kunden erreichen nur überprüfte und unbedenkliche Inhalte.
7 ················ AKTUELL Blue-Pill-Rootkit missbraucht Virtualisierung
Es war eine Schlüsselszene im ersten Teil von „Matrix“. Morpheus stellt Neo vor die Wahl: entweder die blaue oder die rote Pille. Rot steht für
die Wahrheit, Blau dafür, so weiterzuleben wie bisher, ohne die Wahrheit zu erfahren.
8 ················ PARTNERTHEMA Bei Anruf Virus
Handy-Attacken sind auf dem Vormarsch. Telefone und Computer wachsen zusammen. Doch was mit Voice over IP wünschenswert und positiv
begann, setzt sich nun leider mit Schadsoftware für Handys fort.
9 ················ INFOS UND ANALYSEN
Leichtes Spiel mit Datenbanken
Vorsicht, fauler Apfel – das iPhone als Viren-Ziel
Ein TOR, wer Geheimes damit schickt
10 ················ ERFOLGSGESCHICHTE Jetzt wird abgerechnet – virenfrei
Einem Mitarbeiter von Minol ist praktisch jeder schon einmal begegnet – Minol ist in mehr als 1,3 Millionen Haushalten in Deutschland für die
Erfassung und Abrechnung von Heizkosten und Wasserverbrauch zuständig. Die sensiblen Kundendaten werden mit Kaspersky-Lösungen geschützt.
11 ················ EUGENES WELT
„Kaspersky-Dojo“ auf der Wies‘n
SHORT NEWS
Das Washingtoner Bundesbezirksgericht in Seattle Der vorsitzende Richter John Coughenour begründete seine für
hat eine Klage des Adware-Anbieters Zango gegen die Antivirus-Industrie äußerst wichtige Entscheidung damit, dass
Kaspersky Lab abgewiesen. Das Unternehmen hatte Kaspersky Lab gemäß dem Communications Decency Act nicht zur
Verantwortung gezogen werden
dagegen geklagt, dass
US-Gericht stärkt mit
könne.
die Kaspersky-Sicherheitssoftware die
Im Gesetzestext heißt es unter
Programme der Firma als potentiell
Abweisung einer Klage
anderem: „Kein Anbieter oder
unerwünscht einstuft und daher degegen Kaspersky Lab die Rechte der Anwender Nutzer interaktiver Computerserren Installation auf den Computern
vices kann für jegliche bewusste
der Anwender blockiert. Zango forund in gutem Glauben vorgenommene Handlung zur Verantwortung
derte eine Umklassifizierung seiner Software in die Kategorie
gezogen werden, die den Zugriff auf Materialien beschränkt, wel„ungefährlich“.
che der Anbieter oder Nutzer für unanständig, anstößig, lasterhaft,
„Wir sind froh über dieses Urteil, denn es entspricht den Interessen Gewalt verherrlichend, belästigend oder aus anderen Gründen für
der Anwender. Dieser wichtige Präzedenzfall macht es uns möglich, unerwünscht hält oder für jegliche andere Handlungen, die zum
unsere Kunden weiterhin ungehindert vor jeglicher schädlicher und Zwecke der Bereitstellung technischer Mittel zur Zugangsbeschränunerwünschter Software zu schützen“, sagt Eugene Kaspersky, CEO kung zu derartigen Materialien an Informations-Provider oder andere Personen vorgenommen werden.“
von Kaspersky Lab.
lab.mag
Kaspersky Lab hat auf der externen Festplatte Maxtor 3200 Personal Storage einen Virus entdeckt. Da
der Virus auf mehreren Festplatten des gleichen
Typs nachgewiesen wurde, gehen die Experten von
Kaspersky Lab davon aus, dass eine ganze Produktionsreihe betroffen
ist. Das Schadprogramm besteht aus mehreren Dateien und befindet
sich im Root-Verzeichnis der Festplatte. Alles deutet darauf hin, dass
der Virus bereits während des Produktionsprozesses auf die Datenspeicher gelangt ist. Sobald
Kaspersky Lab findet
das externe Laufwerk an den
angeschlossen wurde und
Virus auf externen PC
der Anwender es mit einem
Festplatten
Mausklick öffnet, installiert
sich die Schadsoftware direkt
auf den PC. Der Virus sammelt Passwörter für Online-Games. Der
Handel mit derartigen Passwörtern ist überaus profitabel, weshalb
diese Art von Schadprogrammen in letzter Zeit immer weiter auf dem
Vormarsch ist.
4
In diesem Monat wurden bereits Viren auf Laptops des Herstellers Medion entdeckt. Laut Magnus Kalkuhl, Virenanalyst bei der
Kaspersky Labs GmbH, ist der aktuelle Fall jedoch wesentlich brisanter. Der Virus auf den Medion-Laptops basiert nicht auf aktueller
Technologie, sondern wurde schon 1994 entwickelt. Die Schadsoftware auf den Maxtor-Festplatten wurde dagegen erst in den zurückliegenden Monaten programmiert und ist weitaus gefährlicher.
Sicherheitssoftware von Kaspersky Lab erkennt den Schädling als
Virus Win32.AutoRun.ah.
Kaspersky Lab präsentiert auf der für mobile Endgeräte optimierten Plattform http://mobile.kaspersky.
com/de ab sofort Neuigkeiten über SchadsoftwareGefahren für mobile Anwender sowie sein Sicherheitsprodukt Kaspersky Anti-Virus Mobile. Kaspersky Anti-Virus Mobile
schützt Smartphones unter Symbian OS und Windows Mobile vor
Schadprogrammen
und SMS-/EMS- sowie Informations-Plattform
für PocketPCs
MMS-Spam.
und Smartphones
Nutzer von PocketPCs und Smartphones erhalten auf dem neuen InformationsPortal stets aktuelle Nachrichten von Kaspersky Lab, erfahren mehr über die mobile Virologie und können Testversionen
herunterladen. Zudem bietet die Seite eine mobile Version der
Kaspersky-Viren-Enzyklopädie, die Beschreibungen der auf mobilen
Geräten am weitesten verbreiteten Schadprogramme enthält.
BLOG
Stilblüten in der Diskussion um den Bundestrojaner
Die Diskussion um die OnlineDurchsuchung – auch als „Bundestrojaner“ bekannt – erfreut
sich ungebremster Beliebtheit.
Für alle, die hier den Anschluss
verpasst haben, in aller Kürze
der aktuelle Stand: Die
Software scheint
einsatzbereit, die Behörden warten
nur noch auf die gesetzliche Grundlage, um sie auch einzusetzen.
Dabei würde das Programm
laut Jörg Zirke, Präsident des
Bundeskriminalamts, vermutlich zwischen fünf und zehn
Mal pro Jahr zum Einsatz
kommen. Um einer Entdeckung zu entgehen, würde
vor der Verteilung ein Test
mit allen gängigen AntivirenProgrammen durchgeführt
(wobei ich persönlich Zweifel
habe, dass bei vollständig aktiviertem proaktivem Schutz kein
Warnhinweis erscheinen würde).
Der Installationsweg wäre dabei ebenso
wie die verwendete Software von Fall zu Fall
auf den Verdächtigen angepasst – möglich
wäre der klassische Versand per E-Mail
(natürlich unter falschem Absender),
aber auch eine direkte Installation über
physischen Zugriff auf den Computer.
Angeblich gab es in der Vergangenheit
sogar schon einmal den Versuch, einen
Trojaner als Werbe-CD getarnt im
Briefkasten des Verdächtigen einzuschleusen.
Kurz darauf die Antwort eines anderen Forum-Besuchers: „Auch
Du solltest nichts zu verbergen haben. Bitte teile mir
Deine Kontoverbindung,
Deine PIN-Nummer, Deine
zuletzt angesurften, wenn
möglich kostenpflichtigen
Webseiten und deren Login und Passwort mit.“
Unfassbar, aber wahr:
Wenig später veröffentlichte der Herausgeforderte seine
komplette Anschrift, Telefonnummer und Kontoverbindung –
wenigstens PIN und TAN behielt
er für sich. Doch die veröffentlichten
Daten reichten dank Google für andere
Leser aus, um das Persönlichkeitsprofil
zu vervollständigen: Hobbies (Fußball),
verwendeter Browser (Opera), E-MailAdressen (GMX und Google-Mail),
Musikgeschmack (Independent und
Rockmusik) und vieles mehr.
Wären doch nur auch alle MalwareAutoren so offen wie er – die Welt
wäre ein sicherer Ort.
In Österreich ist die Online-Durchsuchung derweil beschlossene Sache – spätestens im Herbst 2008 soll es soweit
sein. Dabei wird in jedem Einzelfall eine richterliche Genehmigung benötigt, die wiederum nur bei konkretem Verdacht auf schwere Straftaten (Strafmaß mindestens 10 Jahre) erteilt werden soll.
MAGNUS KALKUHL,
Virenanalyst bei Kaspersky Lab in Ingolstadt
lab.mag
FUNDSTÜCKE
Das Thema an sich ist schon interessant genug für einen
Kommentar – deutlich unterhaltsamer sind aber die Diskussionen, die in Online-Foren mit jeder neuen Meldung
zu diesem Thema einhergehen: Da schreibt ein Leser
einen provokanten Kommentar, in dem er die zahlreich
vertretenen Gegner des „Bundestrojaners“ fragt, ob
sie etwa die Entdeckung ihrer Kinderpornos
und Raubkopien fürchten würden.
5
HOSTED SECURITY
Schützen Sie sich vor Eindringlingen
Sicherheit im Abo
Hosted Security
schützt aus der Ferne
Die besten Bedrohungen sind die, die gar nicht erst bis zum eigenen Netzwerk kommen. So gesehen sind die Kaspersky Hosted Security Services (KHSS) perfekt: Die Suche nach Viren, Trojanern und
bösartigen Websites findet in den Rechenzentren des russischen
Sicherheitsanbieters statt – den Kunden erreichen nur überprüfte
und unbedenkliche Inhalte.
KHSS ist ein neues Angebot von Kaspersky Lab. Es ergänzt die bekannten Produkte, die direkt beim Kunden installiert werden, um
eine reine Dienstleistung. Eine sehr simple noch dazu: Die drei KHSSAngebote mailDefend, webDefend und imDefend kommen ohne Installation aus: Wenige Einstellungen genügen, um den Service zu aktivieren. „Im Internet gibt es unterschiedliche Bedrohungsvektoren“,
erklärt Günter Fuhrmann, Director Hosted Security. „Da ist es nur
sinnvoll, auch unterschiedliche Abwehrstrategien anbieten zu können. Wenn die Philosophie des Kunden dazu passt, sind die KHSS
ein ideales Angebot“.
Ausgefeilte
Ergänzung
lab.mag
statt Konkurrenz
6
Die Philosophie oder vielmehr die Strategie des Kunden ist auch
die entscheidende Frage: Sind genug Ressourcen und technisches
Know-how vorhanden, dann können die herkömmlichen Abwehrmaßnahmen wie Antivirus-Programme am Gateway und auf dem
Mailserver zumeist alle Sicherheit bieten, die ein Unternehmen
braucht. Will sich die Firma hingegen nicht mit der Verwaltung und
Überwachung der Virus- und Spamabwehr belasten, spielt KHSS
seine Trümpfe aus. Ein Hosted Security Service benötigt keine Hardware, ist praktisch beliebig skalierbar, und die kompetente Betreuung durch Sicherheitsprofis gehört ebenfalls zum Leistungsumfang.
Die Integration in die bestehende Infrastruktur ist denkbar einfach.
Für webDefend, den Schutz vor bösartigen Websites, Cross-Site
Scripting, Spyware oder Sicherheitslücken im Browser genügt das
Eintragen einer Proxy-Adresse in den Web-Browser. Das kann per
Gruppenrichtlinie passieren, quasi automatisch. Die E-Mail-Abwehr
mailDefend ist noch schneller integriert: Dazu werden lediglich die
MX-Records, also die Verweise auf die Unternehmens-Mail-Server in
einer Internet-Domain, auf den Kaspersky-Service umgeleitet. Damit
sind Spam, Viren und andere Schadprogramme, Phishing sowie DoSund DHA-Attacken auf den E-Mail-Server kein Thema mehr. „Heute
sind zwischen 70 und 90 Prozent der Mailnachrichten Spam“, weiß
Günter Fuhrmann aus eigener Erfahrung. „Wenn die gar nicht erst
beim Mailserver des Unternehmens und damit bei den Benutzern
ankommen, spart das viel Arbeitszeit und damit bares Geld.“
Features
Neben webDefend und mailDefend bietet Kaspersky Lab auch
imDefend an, einen Schutz der Instant-Messaging-Kommunikation.
Die schnellen Text-Messages werden heute in vielen Firmen neben
der privaten auch für die geschäftliche Kommunikation eingesetzt.
Oft zum Ärger der Administratoren, denn die Instant-MessagingVerbindung überträgt problemlos auch Bilder und Dateien – meist
am Virenscanner und der Firewall vorbei. Mit KHSS kann die ITAbteilung klare Regeln definieren und durchsetzen, ohne sich mit
verschiedenen IM-Clients herumzuschlagen. Der Service erlaubt es,
IM-Nutzungsregeln für verschiedene Mitarbeitergruppen zu definieren und durchsucht die Kommunikation nach definierten Schlüsselwörtern oder Phrasen. Dadurch kann die unerlaubte oder fahrlässige
Weitergabe vertraulicher Informationen verhindert werden.
Damit sich Kunden auf KHSS verlassen können, gibt es Service Level Agreements für die Leistungsfähigkeit und Verfügbarkeit der
Services. Zusätzlich springt Kaspersky Lab auch ein, wenn die Infrastruktur beim Kunden schwächelt. Fällt der eigene Mail-Server aus,
werden die Nachrichten von Kaspersky Lab bis zu sieben Tage lang
zwischengespeichert.
IM NETZ
 Kaspersky Hosted Security Services
www.hostedsecurity.de
AKTUELL
Blue-Pill-Rootkit missbraucht Virtualisierung
Es war eine Schlüsselszene im ersten Teil von „Matrix“. Laurence Fishburn als „Morpheus“ stellt „Neo“
Keanu Reeves vor die Wahl: Entweder die blaue oder die rote Pille. Rot steht für die Wahrheit, Blau dafür, so
weiterzuleben wie bisher, ohne die Wahrheit zu kennen. So ist die Wahl des Namens „Blue Pill“ für eine der
Aufsehen erregendsten Schadsoftware-Konzepte der letzten Jahre mehr als verständlich. Blue Pill wurde im
Sommer 2006 von der polnischen Sicherheitsexpertin Joanna Rutkowska als Rootkit-Konzept vorgestellt.
Die Presse sprach von einer Sensation: Blue Pill sollte sich so gründlich im System eingraben, dass die Malware nicht mehr entdeckt werden könnte. Diese Behauptung zusammen mit dem unkonventionellen Konzept sorgte für wochenlange
Schlagzeilen in der Fachpresse. Mittlerweile haben sich die Wogen etwas geglättet,
wohl auch, weil Blue Pill nie über den experimentellen Proof-of-Concept-Status
hinausgekommen ist.
Das besondere an der blauen Pille ist das schamlose Ausnutzen von AMDs Virtualisierungstechnik „Pacifica“, die auf allen aktuellen Prozessorkernen eingebaut ist.
Rutkowskas Schadsoftware sollte angeblich in der Lage sein, das Betriebssystem
und alle Anwendungen im laufenden Betrieb in eine virtuelle Maschine verschieben zu können, ohne dass es der Benutzer oder die installierte Antiviren-Software
bemerkt. Blue Pill ist also eine Art Zwangs-Hypervisor, der sich danach unsichtbar
macht. Im Prinzip hat Blue Pill durchaus Aussicht auf Erfolg. Durch die PacificaVirtualisierungs-Engine auf dem Prozessor stehen alle Schnittstellen zum Eindeckeln von Windows Vista in eine virtuelle Maschine zur Verfügung. Und wenn sich
Vista erst einmal innerhalb der VM befindet, kann der Hypervisor, also Blue Pill,
dem Betriebssystem vorgaukeln, was er möchte. Also keine Chance? Neo nimmt die
blaue Pille und wählt das Vergessen?
Mitnichten. Schon bei der Vorstellung des Konzepts meldeten sich Profis zu Wort, die
an der Praktikabilität von Blue Pill und vor allem an der Unsichtbarkeit der Malware
zweifelten. Als sie zu einem Shoot-Out gegen einen Rootkit-Scanner eingeladen
wurde, forderte Joanna Rutkowska Funding im Wert von etwa 400.000 US-Dollar,
um zwei Personen für ein halbes Jahr Vollzeit mit der Programmierung zu beauftragen. Auch an ihrer wichtigsten Behauptung, der Unsichtbarkeit, schieden sich die
Geister. Sehr schnell war klar, dass es Timing-Unterschiede bei der Ausführung von
Befehlen geben musste. Ein Blue-Pilled-Betriebssystem, das seine Anfragen an die
Hardware durch das Rootkit schleusen musste, wäre langsamer als ein unbeeinträchtigtes Betriebssystem. Auch wenn die Unterschiede minimal sind – durch die
häufige Ausführung ließe sich statistisch in kurzer Zeit die Anwesenheit eines aktiven
IM NETZ
www.blackhat.com/presentations/bh-usa-06/BH-US-06-Rutkowska.pdf
 Rutkowskas Blogeintrag zu Blue Pill
http://theinvisiblethings.blogspot.com/2006/07/blue-pill-hype.html
 Blue Pill und die Matrix
http://en.wikipedia.org/wiki/Bluepill
Hypervisors nachweisen. Rutkowska verneinte das zunächst und hielt die Methode
zum Nachweis ungeeignet. Im Sommer 2007 musste sie allerdings eingestehen,
dass ein Detektor des Sicherheitsexperten Tom Ptacek in der Lage wäre, Blue Pill zu
finden – zumindest im jetzigen Entwicklungsstadium, wie sie sofort nachschob.
Vorläufiger Höhepunkt der Entwicklung war schließlich die komplette Offenlegung
eines überarbeiteten Quellcodes auf ihrer Website im August – sehr zur Überraschung vieler Sicherheitsexperten. Es bleibt spannend, ob Virtualisierung der blauen
Pille auch in Zukunft widerstehen kann.
SAGT
„Die Aktion Blue Pill ist sicher nicht so verlaufen, wie Joanna
Rutkowska es sich gewünscht hätte. Mit der uneingeschränkten
Veröffentlichung des Quellcodes hat sie Aufmerksamkeit gewonnen, im AV-Bereich jedoch an Vertrauen verloren. Die einzigen Gewinner sind letztlich alle Rootkit-Entwickler, die an dem
kostenlosen Studienmaterial sicher ihre Freude haben.“
MAGNUS KALKUHL, Virenanalyst
lab.mag
 Ursprüngliche Blue-Pill-Präsentation
7
PARTNERTHEMA
Bei Anruf Virus
Handy-Attacken auf dem Vormarsch
Telefone und Computer wachsen zusammen. Doch was mit
Voice over IP wünschenswert und positiv begann, setzt sich
nun leider mit Schadsoftware für Handys fort. Nachdem die
ersten mobilen Gefahren um 2004 herum auftraten und
noch experimentellen Charakter hatten, nehmen die Bedrohungen mittlerweile deutlich zu. Zurzeit existieren bereits
mehr als 200 verschiedene Malware-Programme, Mobilfunk-Provider berichten von mehreren 10.000 infizierten
MMS-Nachrichten pro Woche. Die Bandbreite der mobilen
Malware beschränkt sich bei weitem nicht auf Bedrohungen
für Mobiltelefone und Smartphones, sondern nimmt generell
drahtlose Technologien wie WLAN und Bluetooth ins Visier.
Noch sind es hauptsächlich MMS-Nachrichten, die – getarnt
als Foto – eine ausführbare Datei einschleusen. „Im Prinzip
wiederholt sich die Evolution traditioneller Viren“, beobachtet Alexander Gostev, als Senior Virus Analyst bei Kaspersky
Lab für Bedrohungen für mobile und drahtlose Technologien
zuständig. „Im Moment sind die Schadprogramme meistens noch auf die Mitwirkung des Benutzers angewiesen.
So muss der Handy-Besitzer eine infizierte SMS oder MMS
öffnen, damit der Virus aktiviert wird“, so Gostev weiter.
SAGT
„Noch stellen die Schadprogramme keinen übermäßig großen Grund zur Besorgnis dar. Doch HandyViren sind nur eine Frage der Zeit. Sobald sich Angebote wie Bezahl-Dienste und Online-Banking per
Handy durchsetzen, werden Handy-Viren wie Pilze
aus dem Boden schießen.“
lab.mag
EUGENE KASPERSKY,
CEO Kaspersky Lab
8
Doch einmal aktiviert, schlagen die Angreifer selbständig zu.
Cabir oder Lasco nutzen Bluetooth, um sich an alle anderen
Handys im Empfangsbereich zu verschicken. Mobile Viren
haben so schon lokale Epidemien bei großen Menschenansammlungen hervorgerufen –
in Sportstadien, Flughäfen oder U-Bahnen. Die meisten Virenautoren konzentrieren sich
auf Smartphones mit Symbian-Betriebssystem. Wie bei Windows in der Computerwelt hat
Symbian einen hohen Marktanteil bei Mobiltelefonen, so dass Schadprogramme mit großer Wahrscheinlichkeit ein passendes Telefon finden. Im Moment schätzt man die Zahl der
Smartphone-Nutzer auf etwa 100 Millionen weltweit. Nachdem die Schutzmechanismen von
Symbian nach Ansicht von Viren-Spezialist Eugene Kaspersky nicht ausreichen, kommt der
Sicherheitsstrategie des Mobilfunk-Providers eine besondere Bedeutung zu. Im Netzwerk
des Mobile Operators, dort, wo die Viren aus der IP-Welt in die Mobilfunkwelt überwechseln,
kann ein Gateway-Schutz besonders viel bewirken. BlueCoat, ein führender Anbieter für
Proxy-Lösungen, setzt daher bei seiner Mobile-Operator-Solution auf Software von Kaspersky Lab.
Die BlueCoat ProxyAV- und ProxySG-Appliances werden weltweit von Providern eingesetzt,
um Web-Inhalte zu kontrollieren und zu beschleunigen. Dabei erlaubt die speziell für hohen
Durchsatz ausgelegte Version der Antiviren-Engine von Kaspersky Lab das Bedienen von sehr
vielen Anfragen bei niedrigen Verzögerungszeiten. Die nahtlose Integration der Scan-Engine
in die Proxy-Appliances bringt einige Vorteile mit sich: So werden die Inhalte im Cache des
Proxies nach dem Update der Virensignaturen automatisch erneut gescannt. Zudem schützt
die Engine vor allen bekannten Arten mobiler Schadsoftware, unter anderem in Java Applets,
ActiveX Controls, JavaScripts und ausführbaren Dateien. Damit sind Smartphones umfassend
vor Angriffen über diesen Weg geschützt.
INFOS UND ANALYSEN
Vorsicht, fauler Apfel –
das iPhone als
Viren-Ziel
Ein TOR,
wer Geheimes damit
schickt
Wenn ein Internet-Neuling zum ersten Mal
gehackt wird, ist die Schadenfreude groß.
Doch schlecht fühlen muss sich der Newbie
nicht, denn er ist bei weitem nicht allein. Die
amerikanische Sicherheitsfirma NGSS testete im Rahmen eines groß angelegten Checks
mehr als eine Million zufällig ausgewählte
IP-Adressen auf aktive SQL-Datenbanken
von Oracle oder Microsoft. Das Ergebnis:
Knapp eine halbe Million davon war direkt
aus dem Internet zugänglich, keine Firewall
verwehrte den Weg zu den Daten. Es kommt
Jeder wollte es, viele bekamen es – um als
einer der ersten ein Apple iPhone in Händen
zu halten, übernachteten viele Kaufwillige
vor den Toren der Elektronikmärkte. Die
Absatzzahlen sind beachtlich – wenn auch
nicht so gut, wie Apple das gern hätte. Das
hat einen unangenehmen Nebeneffekt:
Schon Ende des Jahres dürfte der Marktanteil des Smartphones so groß sein, dass
sich der Aufwand für die Entwickler lohnen
wird, Schadsoftware zu entwickeln. Bereits
jetzt zeigt die Entsperrung des AT&T-Provi-
Das Netzwerk-Projekt TOR gilt als der heilige Gral der Anonymisierung. Das schrittweise Weiterreichen von verschlüsselten
Datenpaketen verschleiert den Absender
so gründlich, dass er auch mit forensischen
Methoden nicht mehr ermittelt werden
kann. Allerdings hilft das wenig, wenn die
Benutzer elementare Sicherheitsregeln missachten. Denn natürlich muss der TOR-Server,
an dem das Datenpaket wieder in das „normale“ Internet eintaucht, wissen, wohin er
die Informationen schicken soll. Der schwe-
noch schlimmer: Die 368.000 MicrosoftSQL-Server waren zu 82 Prozent SQL-Server2000-Versionen. Den letzten verfügbaren
Patch-Level SP4 hatten nur 46 Prozent der
Admins eingespielt, vier Prozent verwendeten ein komplett ungepatchtes Produkt, 50
Prozent befanden sich auf dem Patch-Level
SP3a oder älter. Damit ist mehr als die Hälfte
der Datenbanken nicht nur direkt aus dem
Internet angreifbar, sondern weist auch noch
Schwachstellen auf, für die bereits Exploits
existieren. Seit der letzten Untersuchung
2005 hat sich die Zahl der verwundbaren
SQL-Server damit deutlich erhöht.
der-Zwangs, dass ein iPhone prinzipiell angreifbar ist. Immerhin: Statt mit klassischen
Wurm-Attacken ist aufgrund eingeschränkter Verbreitungswege – das iPhone verfügt
nicht über Bluetooth – mit einfachen Dateiviren, Trojanern und dem Ausnutzen von
ungepatchten Sicherheitslücken zu rechnen.
Erste Malware für das iPhone, so schätzen
die Virenanalysten von Kaspersky Lab, dürfte
Anfang 2008 auftauchen.
dische Sicherheitsexperte Dan Egerstad bot
dem TOR-Netzwerk drei solcher Server an
und analysierte die Kommunikation. Weil es
viele Benutzer nicht für nötig hielten, ihre
E-Mails zu verschlüsseln, lagen die Daten
am Ausgang des TOR-Servers im Klartext
vor. Egerstad fand militärische und Industriegeheimnisse sowie über 1.500 E-MailZugangsdaten von Beamten, Angestellten
und Privatpersonen. Egerland veröffentlichte 100 der Datensätze, allesamt von Regierungsangestellten, um auf das Problem
aufmerksam zu machen.
lab.mag
Leichtes Spiel mit
Datenbanken
9
ERFOLGSGESCHICHTE
Jetzt wird abgerechnet – virenfrei
Einem Mitarbeiter von Minol ist praktisch jeder schon einmal begegnet. Im Hausgang, im Heizungskeller oder sogar in der eigenen Wohnung. Minol ist in mehr
als 1,3 Millionen Haushalten in Deutschland für die Erfassung und Abrechnung
von Heizkosten und Wasserverbrauch zuständig – und setzt auf Kaspersky Lab.
Das mittelständische Unternehmen mit Hauptsitz in Leinfelden-Echterdingen bei Stuttgart
gilt als typische Erfolgsstory eines deutschen Traditionsunternehmens. 1952 gegründet, bot
Minol zunächst das Ablesen von Verbrauchsanzeigern als Dienstleistung an. Bald wurden
jedoch eigene Messgeräte entwickelt und vertrieben, heute hat das Unternehmen 650 Mitarbeiter, produziert in Deutschland und China und verfügt mit 18 Niederlassungen und 600
Service-Stationen über ein flächendeckendes Servicenetz.
Die abgelesenen Daten müssen natürlich
auch verarbeitet werden, deshalb steht
bei Minol eine leistungsfähige und vor
allem sichere IT-Infrastruktur ganz oben
auf der Prioritätenliste. Neben anderen
Sicherheitsmaßnahmen legt Minol viel
Wert auf den Schutz vor Schadsoftware:
Viren, Trojaner, Spyware und ähnliches
haben im Netz nichts verloren.
lab.mag
Auch wenn die bestehende Software bislang ihren Zweck erfüllt hatte, war Joachim Freudenmann, Systemadministrator
bei Minol, mit der Erkennungsleistung
der AV-Lösung unzufrieden. „Wir mussten immer wieder feststellen, dass die
Updates für neue Schadsoftware zu spät
kamen. Passiert war noch nichts, aber
darauf wollten wir es nicht ankommen
lassen.“ So wurde Mitte 2006 nach einer
neuen Lösung gesucht, zunächst anhand
einer Marktstudie, dann sprachen die ITProfis mit den Herstellern und versuchten,
die beste Lösung auszusieben. Die drei
Finalisten, darunter Kaspersky Anti-Virus,
wurden schließlich in einer Testumgebung
installiert und vor Ort geprüft. Ein Kandidat fiel recht schnell aufgrund seines horrenden Ressourcenhungers heraus, der
zweite, die bereits eingesetzte Lösung, konnte immer noch nicht bei der Erkennungsleistung
überzeugen. So blieb Kaspersky Anti-Virus als eindeutiger Sieger übrig, nicht einfach nur
nach Punkten, sondern sogar durch K.O.
10
„Positiv fiel uns auch die Managementsoftware, das Kaspersky Administration Kit, auf“,
so Freudenmann. „Damit konnten wir die Software auf alle 600 Arbeitsplätze und 60
Server verteilen.“ Das Administration Kit kommt auch für die Verwaltung aller KasperskyProdukte zum Einsatz und reduziert den Zeitaufwand für das Management auf etwa zwei bis
vier Stunden pro Woche. Mittlerweile ist man bei Minol wieder völlig beruhigt, was die Gefahr durch Schadsoftware angeht. Ob in der Produktionsanlage in China oder in der Zentrale
in Stuttgart, die extrem schnellen Updates der Antivirus-Software schützen die sensiblen
Kunden- und Entwicklungsdaten. „Effizienz und Anwenderfreundlichkeit der Kaspersky-Lösung haben uns voll und ganz überzeugt“, bestätigt Joachim Freudenmann.
IM NETZ
 Kaspersky Open Space Security
www.openspacesecurity.de
EUGENES WELT
eulich hatte ich wieder einmal das große Vergnügen, in Deutschland sein zu
dürfen. Genauer gesagt in München,
wo jedes Jahr im September (?) das Oktoberfest (??)
stattfindet. An diesem letzten September-Donnerstag veranstalten wir traditionell eine Pressekonferenz mit anschließendem Wies‘n-Besuch. In diesem
Jahr war die Konferenz mit „Kaspersky-Dojo“ betitelt, und unser deutscher Virenanalyst Magnus
Kalkuhl hat den zahlreich erschienen IT-Journalisten
die neuesten Trends und Aktivitäten im Cyberspace
vermittelt. Jetzt fragen Sie sich wahrscheinlich:
Was hat das mit Dojo zu tun?? Na, ganz einfach:
Kaspersky ist das russische Synonym für „ITSicherheit“, und Do ist japanisch für „der Weg“. ;-)
Nein, im Ernst: „Sempai“ Magnus hat den Journalisten für den Schutz vor allen möglichen Alltagsbedrohungen Tipps und Tricks an die Hand gegeben. So ist
im letzten Halbjahr die Anzahl der Trojaner enorm
angestiegen, die man sich über gefährliche Webseiten einfangen kann. Ebenso gefährlich ist das
Online-Banking, bei dem Kriminelle zum Beispiel
PIN und TAN mitlesen und fremde Konten plündern
können. Zudem ist das Spam-Volumen mittlerweile
stark gestiegen: 80 bis 90 Prozent aller E-Mails sind
unerwünschte Werbenachrichten. Ich, als „Sensei“
Eugene, habe über unsere neuen Firmenstrukturen
gesprochen – also über das Board of Directors, in
dem die Geschäftsführer unserer wichtigsten Niederlassungen vertreten sind, und den geplanten
Börsengang.
Nach getaner Arbeit haben wir den Abend dann in
der Käfer-Wies’n-Schänke ausklingen lassen, gut
gespeist und bestes deutsches Bier getrunken (dafür
liebe ich unsere deutsche Niederlassung ;-) ).
Im Dezember treffe ich wieder einige deutsche
Journalisten – bei der alljährlichen internationalen
Pressereise. Aber darüber mehr in der nächsten Ausgabe.
lab.mag
Viele Grüße von irgendwo auf der Welt,
Ihr Eugene Kaspersky
11
NEU
Wir lotsen Ihre Daten sicher ans Ziel!
Die Kaspersky Hosted Security Services
Ihre Vorteile:
schützen Unternehmens-Netzwerke jeder Größe
• Bester Schutz
durch Einsatz neuester Sicherheits-Technologien
zuverlässig vor Bedrohungen – inklusive Kontrolle
der Internet-Nutzung.
• Verringerung des eingehenden Traffics
durch Filter- und Quarantäne-Regeln
Verlagern Sie die Administration Ihrer E-Mail- und
• Höhere Mitarbeiter-Produktivität
sowie Zeitersparnis, da das Aussortieren von Spam
und Schadprogrammen entfällt
Websicherheit an das Expertenteam der Kaspersky
Hosted Security Services. So steigern Sie die
Produktivität Ihrer Mitarbeiter und senken den Administrations-Aufwand sowie die Kosten für Hardware.
Zudem profitieren Sie von automatischen Updates
und dem Einsatz modernster Technologien.
• Flexible Skalierbarkeit
durch problemlose Integration neuer Mitarbeiter
und Niederlassungen mit minimalem Zeitaufwand
• Optimale Ressourcen-Nutzung
durch Auslagerung der Wartung und Pflege an die
Kaspersky-Sicherheitsexperten
• Garantierte Leistungsfähigkeit
und Verfügbarkeit der Dienste (Service Level Agreements)
Wie auch Ihr Unternehmen optimal von den Kaspersky Hosted Security Services
profitieren kann, erfahren Sie durch eine kostenlose Evaluierung unseres Services
unter www.hostedsecurity.de
w w w . k a s p e r s k y . d e