lab.mag 1.0 - Kaspersky Lab
Transcription
lab.mag 1.0 - Kaspersky Lab
. 1.0 DAS MAGAZIN FÜR IT-SICHERHEIT IM UNTERNEHMEN DEZEMBER 2007 HOSTED SECURITY Schützen Sie sich vor Eindringlingen Eine Publikation von www.lab-mag.de Umfassender Schutz von UnternehmensNetzwerken jeder Größenordnung vor Internet-Bedrohungen inklusive Kontrolle der Internet-Nutzung. AKTUELL PARTNERTHEMA Die Rootkit-Spezialistin Joanna Rutkowska hat den Quellcode einer komplett neu geschriebenen Version des Virtualisierungs-Rootkits Blue Pill frei zugänglich gemacht. Handy-Attacken auf dem Vormarsch. Bei Anruf Virus ERFOLGSGESCHICHTE Jetzt wird abgerechnet – virenfrei Die Minol-Gruppe setzt auf Kaspersky Lab. lab.mag Blue Pill DAS MAGAZIN FÜR IT-SICHERHEIT IM UNTERNEHMEN IMPRESSUM lab.mag erscheint viermal jährlich bei der Kaspersky Labs GmbH Steinheilstr. 13 85053 Ingolstadt Deutschland Telefon: +49 (0 )8 41 - 9 81 89 0 Web: www.kaspersky.de Vertretungsberechtigter Geschäftsführer: Andreas Lamm REDAKTION Christian Wirsig (V.i.S.d.P.) Elke Wößner Magnus Kalkuhl Elmar Török – www.bitsundbites.de Rüdiger Pein CARTOON Der Flix – www.der-flix.de FOTOS Kaspersky Lab | photocase.com LAYOUT Marta Behrendt – www.smartinka.de DRUCK Mediahaus Biering GmbH, München © 2007 Kaspersky Labs GmbH Copyright bzw. Copyright-Nachweis für alle Beiträge bei der Kaspersky Labs GmbH. Reproduktion jeglicher Art – auch auszugsweise – nur mit schriftlicher Genehmigung der Kaspersky Labs GmbH. Namentlich gekennzeichnete Beiträge geben nicht unbedingt die Meinung der Redaktion oder der Kaspersky Labs GmbH wieder. Alle Markennamen sind in der Regel eingetragene Warenzeichen der entsprechenden Hersteller oder Organisationen. EDITORIAL Viel Spaß beim Lesen, Ihr Foto: Axel Griesch ls der Mathematiker Kurt Gödel im Jahr 1931 seinen Unvollständigkeitssatz formulierte, hat er sicherlich nicht an die modernen IT-Infrastrukturen 76 Jahre später gedacht. Mit seinem Unvollständigkeitssatz hat er die Grenzen der ihm unbekannten IT eindrucksvoll postuliert, indem er bewies, dass „jedes hinreichend mächtige formale System entweder widersprüchlich oder unvollständig“ ist. Und erleben nicht wir alle diese Unvollständigkeit tagtäglich in unserer Arbeit mit dem Computer? Mit dieser funktionalen Unvollständigkeit haben wir uns längst arrangiert. Betrifft es allerdings die Sicherheit unserer Informationen und Daten, kann dies nicht ohne weiteres hingenommen werden. In unserem lab.mag werden wir deshalb zukünftig die Unvollständigkeiten in Bezug auf die Sicherheit der IT-Systeme aufzeigen. So besprechen wir in der Erstausgabe unter anderem die Gefahren von Blue-PillRootkits in virtuellen Datenwelten und beschäftigen uns außerdem mit der zunehmenden Bedrohung durch Handy-Attacken. In unserem Titelthema „Hosted Security“ zeigen wir aber auch Wege auf, die Sicherheit und Wirtschaftlichkeit von E-Mail-Systemen zu verbessern. Damit können wir den Gödelschen Unvollständigkeitssatz nicht aushebeln und auch keine 100-prozentig sicheren IT-Systeme realisieren oder gar versprechen. Jedoch werden wir unseren Beitrag dazu leisten, moderne IT-Systeme vollständiger zu machen, was deren Sicherheit anbelangt. ANDREAS LAMM Geschäftsführer der Kaspersky Labs GmbH Kontakt: lab.mag@kaspersky.de INHALT 4 ················ SHORT NEWS US-Gericht stärkt mit Abweisung einer Klage gegen Kaspersky Lab die Rechte der Anwender Kaspersky Lab findet Virus auf externen Festplatten Informations-Plattform für PocketPCs und Smartphones 5 ················ BLOG Stilblüten in der Diskussion um den Bundestrojaner 6 ················ HOSTED SECURITY Schützen Sie sich vor Eindringlingen Die besten Bedrohungen sind die, die gar nicht erst bis zum eigenen Netzwerk kommen. So gesehen sind die Kaspersky Hosted Security Services perfekt: Die Suche nach Viren, Trojanern und bösartigen Websites findet in den Rechenzentren des russischen Sicherheitsanbieters statt – den Kunden erreichen nur überprüfte und unbedenkliche Inhalte. 7 ················ AKTUELL Blue-Pill-Rootkit missbraucht Virtualisierung Es war eine Schlüsselszene im ersten Teil von „Matrix“. Morpheus stellt Neo vor die Wahl: entweder die blaue oder die rote Pille. Rot steht für die Wahrheit, Blau dafür, so weiterzuleben wie bisher, ohne die Wahrheit zu erfahren. 8 ················ PARTNERTHEMA Bei Anruf Virus Handy-Attacken sind auf dem Vormarsch. Telefone und Computer wachsen zusammen. Doch was mit Voice over IP wünschenswert und positiv begann, setzt sich nun leider mit Schadsoftware für Handys fort. 9 ················ INFOS UND ANALYSEN Leichtes Spiel mit Datenbanken Vorsicht, fauler Apfel – das iPhone als Viren-Ziel Ein TOR, wer Geheimes damit schickt 10 ················ ERFOLGSGESCHICHTE Jetzt wird abgerechnet – virenfrei Einem Mitarbeiter von Minol ist praktisch jeder schon einmal begegnet – Minol ist in mehr als 1,3 Millionen Haushalten in Deutschland für die Erfassung und Abrechnung von Heizkosten und Wasserverbrauch zuständig. Die sensiblen Kundendaten werden mit Kaspersky-Lösungen geschützt. 11 ················ EUGENES WELT „Kaspersky-Dojo“ auf der Wies‘n SHORT NEWS Das Washingtoner Bundesbezirksgericht in Seattle Der vorsitzende Richter John Coughenour begründete seine für hat eine Klage des Adware-Anbieters Zango gegen die Antivirus-Industrie äußerst wichtige Entscheidung damit, dass Kaspersky Lab abgewiesen. Das Unternehmen hatte Kaspersky Lab gemäß dem Communications Decency Act nicht zur Verantwortung gezogen werden dagegen geklagt, dass US-Gericht stärkt mit könne. die Kaspersky-Sicherheitssoftware die Im Gesetzestext heißt es unter Programme der Firma als potentiell Abweisung einer Klage anderem: „Kein Anbieter oder unerwünscht einstuft und daher degegen Kaspersky Lab die Rechte der Anwender Nutzer interaktiver Computerserren Installation auf den Computern vices kann für jegliche bewusste der Anwender blockiert. Zango forund in gutem Glauben vorgenommene Handlung zur Verantwortung derte eine Umklassifizierung seiner Software in die Kategorie gezogen werden, die den Zugriff auf Materialien beschränkt, wel„ungefährlich“. che der Anbieter oder Nutzer für unanständig, anstößig, lasterhaft, „Wir sind froh über dieses Urteil, denn es entspricht den Interessen Gewalt verherrlichend, belästigend oder aus anderen Gründen für der Anwender. Dieser wichtige Präzedenzfall macht es uns möglich, unerwünscht hält oder für jegliche andere Handlungen, die zum unsere Kunden weiterhin ungehindert vor jeglicher schädlicher und Zwecke der Bereitstellung technischer Mittel zur Zugangsbeschränunerwünschter Software zu schützen“, sagt Eugene Kaspersky, CEO kung zu derartigen Materialien an Informations-Provider oder andere Personen vorgenommen werden.“ von Kaspersky Lab. lab.mag Kaspersky Lab hat auf der externen Festplatte Maxtor 3200 Personal Storage einen Virus entdeckt. Da der Virus auf mehreren Festplatten des gleichen Typs nachgewiesen wurde, gehen die Experten von Kaspersky Lab davon aus, dass eine ganze Produktionsreihe betroffen ist. Das Schadprogramm besteht aus mehreren Dateien und befindet sich im Root-Verzeichnis der Festplatte. Alles deutet darauf hin, dass der Virus bereits während des Produktionsprozesses auf die Datenspeicher gelangt ist. Sobald Kaspersky Lab findet das externe Laufwerk an den angeschlossen wurde und Virus auf externen PC der Anwender es mit einem Festplatten Mausklick öffnet, installiert sich die Schadsoftware direkt auf den PC. Der Virus sammelt Passwörter für Online-Games. Der Handel mit derartigen Passwörtern ist überaus profitabel, weshalb diese Art von Schadprogrammen in letzter Zeit immer weiter auf dem Vormarsch ist. 4 In diesem Monat wurden bereits Viren auf Laptops des Herstellers Medion entdeckt. Laut Magnus Kalkuhl, Virenanalyst bei der Kaspersky Labs GmbH, ist der aktuelle Fall jedoch wesentlich brisanter. Der Virus auf den Medion-Laptops basiert nicht auf aktueller Technologie, sondern wurde schon 1994 entwickelt. Die Schadsoftware auf den Maxtor-Festplatten wurde dagegen erst in den zurückliegenden Monaten programmiert und ist weitaus gefährlicher. Sicherheitssoftware von Kaspersky Lab erkennt den Schädling als Virus Win32.AutoRun.ah. Kaspersky Lab präsentiert auf der für mobile Endgeräte optimierten Plattform http://mobile.kaspersky. com/de ab sofort Neuigkeiten über SchadsoftwareGefahren für mobile Anwender sowie sein Sicherheitsprodukt Kaspersky Anti-Virus Mobile. Kaspersky Anti-Virus Mobile schützt Smartphones unter Symbian OS und Windows Mobile vor Schadprogrammen und SMS-/EMS- sowie Informations-Plattform für PocketPCs MMS-Spam. und Smartphones Nutzer von PocketPCs und Smartphones erhalten auf dem neuen InformationsPortal stets aktuelle Nachrichten von Kaspersky Lab, erfahren mehr über die mobile Virologie und können Testversionen herunterladen. Zudem bietet die Seite eine mobile Version der Kaspersky-Viren-Enzyklopädie, die Beschreibungen der auf mobilen Geräten am weitesten verbreiteten Schadprogramme enthält. BLOG Stilblüten in der Diskussion um den Bundestrojaner Die Diskussion um die OnlineDurchsuchung – auch als „Bundestrojaner“ bekannt – erfreut sich ungebremster Beliebtheit. Für alle, die hier den Anschluss verpasst haben, in aller Kürze der aktuelle Stand: Die Software scheint einsatzbereit, die Behörden warten nur noch auf die gesetzliche Grundlage, um sie auch einzusetzen. Dabei würde das Programm laut Jörg Zirke, Präsident des Bundeskriminalamts, vermutlich zwischen fünf und zehn Mal pro Jahr zum Einsatz kommen. Um einer Entdeckung zu entgehen, würde vor der Verteilung ein Test mit allen gängigen AntivirenProgrammen durchgeführt (wobei ich persönlich Zweifel habe, dass bei vollständig aktiviertem proaktivem Schutz kein Warnhinweis erscheinen würde). Der Installationsweg wäre dabei ebenso wie die verwendete Software von Fall zu Fall auf den Verdächtigen angepasst – möglich wäre der klassische Versand per E-Mail (natürlich unter falschem Absender), aber auch eine direkte Installation über physischen Zugriff auf den Computer. Angeblich gab es in der Vergangenheit sogar schon einmal den Versuch, einen Trojaner als Werbe-CD getarnt im Briefkasten des Verdächtigen einzuschleusen. Kurz darauf die Antwort eines anderen Forum-Besuchers: „Auch Du solltest nichts zu verbergen haben. Bitte teile mir Deine Kontoverbindung, Deine PIN-Nummer, Deine zuletzt angesurften, wenn möglich kostenpflichtigen Webseiten und deren Login und Passwort mit.“ Unfassbar, aber wahr: Wenig später veröffentlichte der Herausgeforderte seine komplette Anschrift, Telefonnummer und Kontoverbindung – wenigstens PIN und TAN behielt er für sich. Doch die veröffentlichten Daten reichten dank Google für andere Leser aus, um das Persönlichkeitsprofil zu vervollständigen: Hobbies (Fußball), verwendeter Browser (Opera), E-MailAdressen (GMX und Google-Mail), Musikgeschmack (Independent und Rockmusik) und vieles mehr. Wären doch nur auch alle MalwareAutoren so offen wie er – die Welt wäre ein sicherer Ort. In Österreich ist die Online-Durchsuchung derweil beschlossene Sache – spätestens im Herbst 2008 soll es soweit sein. Dabei wird in jedem Einzelfall eine richterliche Genehmigung benötigt, die wiederum nur bei konkretem Verdacht auf schwere Straftaten (Strafmaß mindestens 10 Jahre) erteilt werden soll. MAGNUS KALKUHL, Virenanalyst bei Kaspersky Lab in Ingolstadt lab.mag FUNDSTÜCKE Das Thema an sich ist schon interessant genug für einen Kommentar – deutlich unterhaltsamer sind aber die Diskussionen, die in Online-Foren mit jeder neuen Meldung zu diesem Thema einhergehen: Da schreibt ein Leser einen provokanten Kommentar, in dem er die zahlreich vertretenen Gegner des „Bundestrojaners“ fragt, ob sie etwa die Entdeckung ihrer Kinderpornos und Raubkopien fürchten würden. 5 HOSTED SECURITY Schützen Sie sich vor Eindringlingen Sicherheit im Abo Hosted Security schützt aus der Ferne Die besten Bedrohungen sind die, die gar nicht erst bis zum eigenen Netzwerk kommen. So gesehen sind die Kaspersky Hosted Security Services (KHSS) perfekt: Die Suche nach Viren, Trojanern und bösartigen Websites findet in den Rechenzentren des russischen Sicherheitsanbieters statt – den Kunden erreichen nur überprüfte und unbedenkliche Inhalte. KHSS ist ein neues Angebot von Kaspersky Lab. Es ergänzt die bekannten Produkte, die direkt beim Kunden installiert werden, um eine reine Dienstleistung. Eine sehr simple noch dazu: Die drei KHSSAngebote mailDefend, webDefend und imDefend kommen ohne Installation aus: Wenige Einstellungen genügen, um den Service zu aktivieren. „Im Internet gibt es unterschiedliche Bedrohungsvektoren“, erklärt Günter Fuhrmann, Director Hosted Security. „Da ist es nur sinnvoll, auch unterschiedliche Abwehrstrategien anbieten zu können. Wenn die Philosophie des Kunden dazu passt, sind die KHSS ein ideales Angebot“. Ausgefeilte Ergänzung lab.mag statt Konkurrenz 6 Die Philosophie oder vielmehr die Strategie des Kunden ist auch die entscheidende Frage: Sind genug Ressourcen und technisches Know-how vorhanden, dann können die herkömmlichen Abwehrmaßnahmen wie Antivirus-Programme am Gateway und auf dem Mailserver zumeist alle Sicherheit bieten, die ein Unternehmen braucht. Will sich die Firma hingegen nicht mit der Verwaltung und Überwachung der Virus- und Spamabwehr belasten, spielt KHSS seine Trümpfe aus. Ein Hosted Security Service benötigt keine Hardware, ist praktisch beliebig skalierbar, und die kompetente Betreuung durch Sicherheitsprofis gehört ebenfalls zum Leistungsumfang. Die Integration in die bestehende Infrastruktur ist denkbar einfach. Für webDefend, den Schutz vor bösartigen Websites, Cross-Site Scripting, Spyware oder Sicherheitslücken im Browser genügt das Eintragen einer Proxy-Adresse in den Web-Browser. Das kann per Gruppenrichtlinie passieren, quasi automatisch. Die E-Mail-Abwehr mailDefend ist noch schneller integriert: Dazu werden lediglich die MX-Records, also die Verweise auf die Unternehmens-Mail-Server in einer Internet-Domain, auf den Kaspersky-Service umgeleitet. Damit sind Spam, Viren und andere Schadprogramme, Phishing sowie DoSund DHA-Attacken auf den E-Mail-Server kein Thema mehr. „Heute sind zwischen 70 und 90 Prozent der Mailnachrichten Spam“, weiß Günter Fuhrmann aus eigener Erfahrung. „Wenn die gar nicht erst beim Mailserver des Unternehmens und damit bei den Benutzern ankommen, spart das viel Arbeitszeit und damit bares Geld.“ Features Neben webDefend und mailDefend bietet Kaspersky Lab auch imDefend an, einen Schutz der Instant-Messaging-Kommunikation. Die schnellen Text-Messages werden heute in vielen Firmen neben der privaten auch für die geschäftliche Kommunikation eingesetzt. Oft zum Ärger der Administratoren, denn die Instant-MessagingVerbindung überträgt problemlos auch Bilder und Dateien – meist am Virenscanner und der Firewall vorbei. Mit KHSS kann die ITAbteilung klare Regeln definieren und durchsetzen, ohne sich mit verschiedenen IM-Clients herumzuschlagen. Der Service erlaubt es, IM-Nutzungsregeln für verschiedene Mitarbeitergruppen zu definieren und durchsucht die Kommunikation nach definierten Schlüsselwörtern oder Phrasen. Dadurch kann die unerlaubte oder fahrlässige Weitergabe vertraulicher Informationen verhindert werden. Damit sich Kunden auf KHSS verlassen können, gibt es Service Level Agreements für die Leistungsfähigkeit und Verfügbarkeit der Services. Zusätzlich springt Kaspersky Lab auch ein, wenn die Infrastruktur beim Kunden schwächelt. Fällt der eigene Mail-Server aus, werden die Nachrichten von Kaspersky Lab bis zu sieben Tage lang zwischengespeichert. IM NETZ Kaspersky Hosted Security Services www.hostedsecurity.de AKTUELL Blue-Pill-Rootkit missbraucht Virtualisierung Es war eine Schlüsselszene im ersten Teil von „Matrix“. Laurence Fishburn als „Morpheus“ stellt „Neo“ Keanu Reeves vor die Wahl: Entweder die blaue oder die rote Pille. Rot steht für die Wahrheit, Blau dafür, so weiterzuleben wie bisher, ohne die Wahrheit zu kennen. So ist die Wahl des Namens „Blue Pill“ für eine der Aufsehen erregendsten Schadsoftware-Konzepte der letzten Jahre mehr als verständlich. Blue Pill wurde im Sommer 2006 von der polnischen Sicherheitsexpertin Joanna Rutkowska als Rootkit-Konzept vorgestellt. Die Presse sprach von einer Sensation: Blue Pill sollte sich so gründlich im System eingraben, dass die Malware nicht mehr entdeckt werden könnte. Diese Behauptung zusammen mit dem unkonventionellen Konzept sorgte für wochenlange Schlagzeilen in der Fachpresse. Mittlerweile haben sich die Wogen etwas geglättet, wohl auch, weil Blue Pill nie über den experimentellen Proof-of-Concept-Status hinausgekommen ist. Das besondere an der blauen Pille ist das schamlose Ausnutzen von AMDs Virtualisierungstechnik „Pacifica“, die auf allen aktuellen Prozessorkernen eingebaut ist. Rutkowskas Schadsoftware sollte angeblich in der Lage sein, das Betriebssystem und alle Anwendungen im laufenden Betrieb in eine virtuelle Maschine verschieben zu können, ohne dass es der Benutzer oder die installierte Antiviren-Software bemerkt. Blue Pill ist also eine Art Zwangs-Hypervisor, der sich danach unsichtbar macht. Im Prinzip hat Blue Pill durchaus Aussicht auf Erfolg. Durch die PacificaVirtualisierungs-Engine auf dem Prozessor stehen alle Schnittstellen zum Eindeckeln von Windows Vista in eine virtuelle Maschine zur Verfügung. Und wenn sich Vista erst einmal innerhalb der VM befindet, kann der Hypervisor, also Blue Pill, dem Betriebssystem vorgaukeln, was er möchte. Also keine Chance? Neo nimmt die blaue Pille und wählt das Vergessen? Mitnichten. Schon bei der Vorstellung des Konzepts meldeten sich Profis zu Wort, die an der Praktikabilität von Blue Pill und vor allem an der Unsichtbarkeit der Malware zweifelten. Als sie zu einem Shoot-Out gegen einen Rootkit-Scanner eingeladen wurde, forderte Joanna Rutkowska Funding im Wert von etwa 400.000 US-Dollar, um zwei Personen für ein halbes Jahr Vollzeit mit der Programmierung zu beauftragen. Auch an ihrer wichtigsten Behauptung, der Unsichtbarkeit, schieden sich die Geister. Sehr schnell war klar, dass es Timing-Unterschiede bei der Ausführung von Befehlen geben musste. Ein Blue-Pilled-Betriebssystem, das seine Anfragen an die Hardware durch das Rootkit schleusen musste, wäre langsamer als ein unbeeinträchtigtes Betriebssystem. Auch wenn die Unterschiede minimal sind – durch die häufige Ausführung ließe sich statistisch in kurzer Zeit die Anwesenheit eines aktiven IM NETZ www.blackhat.com/presentations/bh-usa-06/BH-US-06-Rutkowska.pdf Rutkowskas Blogeintrag zu Blue Pill http://theinvisiblethings.blogspot.com/2006/07/blue-pill-hype.html Blue Pill und die Matrix http://en.wikipedia.org/wiki/Bluepill Hypervisors nachweisen. Rutkowska verneinte das zunächst und hielt die Methode zum Nachweis ungeeignet. Im Sommer 2007 musste sie allerdings eingestehen, dass ein Detektor des Sicherheitsexperten Tom Ptacek in der Lage wäre, Blue Pill zu finden – zumindest im jetzigen Entwicklungsstadium, wie sie sofort nachschob. Vorläufiger Höhepunkt der Entwicklung war schließlich die komplette Offenlegung eines überarbeiteten Quellcodes auf ihrer Website im August – sehr zur Überraschung vieler Sicherheitsexperten. Es bleibt spannend, ob Virtualisierung der blauen Pille auch in Zukunft widerstehen kann. SAGT „Die Aktion Blue Pill ist sicher nicht so verlaufen, wie Joanna Rutkowska es sich gewünscht hätte. Mit der uneingeschränkten Veröffentlichung des Quellcodes hat sie Aufmerksamkeit gewonnen, im AV-Bereich jedoch an Vertrauen verloren. Die einzigen Gewinner sind letztlich alle Rootkit-Entwickler, die an dem kostenlosen Studienmaterial sicher ihre Freude haben.“ MAGNUS KALKUHL, Virenanalyst lab.mag Ursprüngliche Blue-Pill-Präsentation 7 PARTNERTHEMA Bei Anruf Virus Handy-Attacken auf dem Vormarsch Telefone und Computer wachsen zusammen. Doch was mit Voice over IP wünschenswert und positiv begann, setzt sich nun leider mit Schadsoftware für Handys fort. Nachdem die ersten mobilen Gefahren um 2004 herum auftraten und noch experimentellen Charakter hatten, nehmen die Bedrohungen mittlerweile deutlich zu. Zurzeit existieren bereits mehr als 200 verschiedene Malware-Programme, Mobilfunk-Provider berichten von mehreren 10.000 infizierten MMS-Nachrichten pro Woche. Die Bandbreite der mobilen Malware beschränkt sich bei weitem nicht auf Bedrohungen für Mobiltelefone und Smartphones, sondern nimmt generell drahtlose Technologien wie WLAN und Bluetooth ins Visier. Noch sind es hauptsächlich MMS-Nachrichten, die – getarnt als Foto – eine ausführbare Datei einschleusen. „Im Prinzip wiederholt sich die Evolution traditioneller Viren“, beobachtet Alexander Gostev, als Senior Virus Analyst bei Kaspersky Lab für Bedrohungen für mobile und drahtlose Technologien zuständig. „Im Moment sind die Schadprogramme meistens noch auf die Mitwirkung des Benutzers angewiesen. So muss der Handy-Besitzer eine infizierte SMS oder MMS öffnen, damit der Virus aktiviert wird“, so Gostev weiter. SAGT „Noch stellen die Schadprogramme keinen übermäßig großen Grund zur Besorgnis dar. Doch HandyViren sind nur eine Frage der Zeit. Sobald sich Angebote wie Bezahl-Dienste und Online-Banking per Handy durchsetzen, werden Handy-Viren wie Pilze aus dem Boden schießen.“ lab.mag EUGENE KASPERSKY, CEO Kaspersky Lab 8 Doch einmal aktiviert, schlagen die Angreifer selbständig zu. Cabir oder Lasco nutzen Bluetooth, um sich an alle anderen Handys im Empfangsbereich zu verschicken. Mobile Viren haben so schon lokale Epidemien bei großen Menschenansammlungen hervorgerufen – in Sportstadien, Flughäfen oder U-Bahnen. Die meisten Virenautoren konzentrieren sich auf Smartphones mit Symbian-Betriebssystem. Wie bei Windows in der Computerwelt hat Symbian einen hohen Marktanteil bei Mobiltelefonen, so dass Schadprogramme mit großer Wahrscheinlichkeit ein passendes Telefon finden. Im Moment schätzt man die Zahl der Smartphone-Nutzer auf etwa 100 Millionen weltweit. Nachdem die Schutzmechanismen von Symbian nach Ansicht von Viren-Spezialist Eugene Kaspersky nicht ausreichen, kommt der Sicherheitsstrategie des Mobilfunk-Providers eine besondere Bedeutung zu. Im Netzwerk des Mobile Operators, dort, wo die Viren aus der IP-Welt in die Mobilfunkwelt überwechseln, kann ein Gateway-Schutz besonders viel bewirken. BlueCoat, ein führender Anbieter für Proxy-Lösungen, setzt daher bei seiner Mobile-Operator-Solution auf Software von Kaspersky Lab. Die BlueCoat ProxyAV- und ProxySG-Appliances werden weltweit von Providern eingesetzt, um Web-Inhalte zu kontrollieren und zu beschleunigen. Dabei erlaubt die speziell für hohen Durchsatz ausgelegte Version der Antiviren-Engine von Kaspersky Lab das Bedienen von sehr vielen Anfragen bei niedrigen Verzögerungszeiten. Die nahtlose Integration der Scan-Engine in die Proxy-Appliances bringt einige Vorteile mit sich: So werden die Inhalte im Cache des Proxies nach dem Update der Virensignaturen automatisch erneut gescannt. Zudem schützt die Engine vor allen bekannten Arten mobiler Schadsoftware, unter anderem in Java Applets, ActiveX Controls, JavaScripts und ausführbaren Dateien. Damit sind Smartphones umfassend vor Angriffen über diesen Weg geschützt. INFOS UND ANALYSEN Vorsicht, fauler Apfel – das iPhone als Viren-Ziel Ein TOR, wer Geheimes damit schickt Wenn ein Internet-Neuling zum ersten Mal gehackt wird, ist die Schadenfreude groß. Doch schlecht fühlen muss sich der Newbie nicht, denn er ist bei weitem nicht allein. Die amerikanische Sicherheitsfirma NGSS testete im Rahmen eines groß angelegten Checks mehr als eine Million zufällig ausgewählte IP-Adressen auf aktive SQL-Datenbanken von Oracle oder Microsoft. Das Ergebnis: Knapp eine halbe Million davon war direkt aus dem Internet zugänglich, keine Firewall verwehrte den Weg zu den Daten. Es kommt Jeder wollte es, viele bekamen es – um als einer der ersten ein Apple iPhone in Händen zu halten, übernachteten viele Kaufwillige vor den Toren der Elektronikmärkte. Die Absatzzahlen sind beachtlich – wenn auch nicht so gut, wie Apple das gern hätte. Das hat einen unangenehmen Nebeneffekt: Schon Ende des Jahres dürfte der Marktanteil des Smartphones so groß sein, dass sich der Aufwand für die Entwickler lohnen wird, Schadsoftware zu entwickeln. Bereits jetzt zeigt die Entsperrung des AT&T-Provi- Das Netzwerk-Projekt TOR gilt als der heilige Gral der Anonymisierung. Das schrittweise Weiterreichen von verschlüsselten Datenpaketen verschleiert den Absender so gründlich, dass er auch mit forensischen Methoden nicht mehr ermittelt werden kann. Allerdings hilft das wenig, wenn die Benutzer elementare Sicherheitsregeln missachten. Denn natürlich muss der TOR-Server, an dem das Datenpaket wieder in das „normale“ Internet eintaucht, wissen, wohin er die Informationen schicken soll. Der schwe- noch schlimmer: Die 368.000 MicrosoftSQL-Server waren zu 82 Prozent SQL-Server2000-Versionen. Den letzten verfügbaren Patch-Level SP4 hatten nur 46 Prozent der Admins eingespielt, vier Prozent verwendeten ein komplett ungepatchtes Produkt, 50 Prozent befanden sich auf dem Patch-Level SP3a oder älter. Damit ist mehr als die Hälfte der Datenbanken nicht nur direkt aus dem Internet angreifbar, sondern weist auch noch Schwachstellen auf, für die bereits Exploits existieren. Seit der letzten Untersuchung 2005 hat sich die Zahl der verwundbaren SQL-Server damit deutlich erhöht. der-Zwangs, dass ein iPhone prinzipiell angreifbar ist. Immerhin: Statt mit klassischen Wurm-Attacken ist aufgrund eingeschränkter Verbreitungswege – das iPhone verfügt nicht über Bluetooth – mit einfachen Dateiviren, Trojanern und dem Ausnutzen von ungepatchten Sicherheitslücken zu rechnen. Erste Malware für das iPhone, so schätzen die Virenanalysten von Kaspersky Lab, dürfte Anfang 2008 auftauchen. dische Sicherheitsexperte Dan Egerstad bot dem TOR-Netzwerk drei solcher Server an und analysierte die Kommunikation. Weil es viele Benutzer nicht für nötig hielten, ihre E-Mails zu verschlüsseln, lagen die Daten am Ausgang des TOR-Servers im Klartext vor. Egerstad fand militärische und Industriegeheimnisse sowie über 1.500 E-MailZugangsdaten von Beamten, Angestellten und Privatpersonen. Egerland veröffentlichte 100 der Datensätze, allesamt von Regierungsangestellten, um auf das Problem aufmerksam zu machen. lab.mag Leichtes Spiel mit Datenbanken 9 ERFOLGSGESCHICHTE Jetzt wird abgerechnet – virenfrei Einem Mitarbeiter von Minol ist praktisch jeder schon einmal begegnet. Im Hausgang, im Heizungskeller oder sogar in der eigenen Wohnung. Minol ist in mehr als 1,3 Millionen Haushalten in Deutschland für die Erfassung und Abrechnung von Heizkosten und Wasserverbrauch zuständig – und setzt auf Kaspersky Lab. Das mittelständische Unternehmen mit Hauptsitz in Leinfelden-Echterdingen bei Stuttgart gilt als typische Erfolgsstory eines deutschen Traditionsunternehmens. 1952 gegründet, bot Minol zunächst das Ablesen von Verbrauchsanzeigern als Dienstleistung an. Bald wurden jedoch eigene Messgeräte entwickelt und vertrieben, heute hat das Unternehmen 650 Mitarbeiter, produziert in Deutschland und China und verfügt mit 18 Niederlassungen und 600 Service-Stationen über ein flächendeckendes Servicenetz. Die abgelesenen Daten müssen natürlich auch verarbeitet werden, deshalb steht bei Minol eine leistungsfähige und vor allem sichere IT-Infrastruktur ganz oben auf der Prioritätenliste. Neben anderen Sicherheitsmaßnahmen legt Minol viel Wert auf den Schutz vor Schadsoftware: Viren, Trojaner, Spyware und ähnliches haben im Netz nichts verloren. lab.mag Auch wenn die bestehende Software bislang ihren Zweck erfüllt hatte, war Joachim Freudenmann, Systemadministrator bei Minol, mit der Erkennungsleistung der AV-Lösung unzufrieden. „Wir mussten immer wieder feststellen, dass die Updates für neue Schadsoftware zu spät kamen. Passiert war noch nichts, aber darauf wollten wir es nicht ankommen lassen.“ So wurde Mitte 2006 nach einer neuen Lösung gesucht, zunächst anhand einer Marktstudie, dann sprachen die ITProfis mit den Herstellern und versuchten, die beste Lösung auszusieben. Die drei Finalisten, darunter Kaspersky Anti-Virus, wurden schließlich in einer Testumgebung installiert und vor Ort geprüft. Ein Kandidat fiel recht schnell aufgrund seines horrenden Ressourcenhungers heraus, der zweite, die bereits eingesetzte Lösung, konnte immer noch nicht bei der Erkennungsleistung überzeugen. So blieb Kaspersky Anti-Virus als eindeutiger Sieger übrig, nicht einfach nur nach Punkten, sondern sogar durch K.O. 10 „Positiv fiel uns auch die Managementsoftware, das Kaspersky Administration Kit, auf“, so Freudenmann. „Damit konnten wir die Software auf alle 600 Arbeitsplätze und 60 Server verteilen.“ Das Administration Kit kommt auch für die Verwaltung aller KasperskyProdukte zum Einsatz und reduziert den Zeitaufwand für das Management auf etwa zwei bis vier Stunden pro Woche. Mittlerweile ist man bei Minol wieder völlig beruhigt, was die Gefahr durch Schadsoftware angeht. Ob in der Produktionsanlage in China oder in der Zentrale in Stuttgart, die extrem schnellen Updates der Antivirus-Software schützen die sensiblen Kunden- und Entwicklungsdaten. „Effizienz und Anwenderfreundlichkeit der Kaspersky-Lösung haben uns voll und ganz überzeugt“, bestätigt Joachim Freudenmann. IM NETZ Kaspersky Open Space Security www.openspacesecurity.de EUGENES WELT eulich hatte ich wieder einmal das große Vergnügen, in Deutschland sein zu dürfen. Genauer gesagt in München, wo jedes Jahr im September (?) das Oktoberfest (??) stattfindet. An diesem letzten September-Donnerstag veranstalten wir traditionell eine Pressekonferenz mit anschließendem Wies‘n-Besuch. In diesem Jahr war die Konferenz mit „Kaspersky-Dojo“ betitelt, und unser deutscher Virenanalyst Magnus Kalkuhl hat den zahlreich erschienen IT-Journalisten die neuesten Trends und Aktivitäten im Cyberspace vermittelt. Jetzt fragen Sie sich wahrscheinlich: Was hat das mit Dojo zu tun?? Na, ganz einfach: Kaspersky ist das russische Synonym für „ITSicherheit“, und Do ist japanisch für „der Weg“. ;-) Nein, im Ernst: „Sempai“ Magnus hat den Journalisten für den Schutz vor allen möglichen Alltagsbedrohungen Tipps und Tricks an die Hand gegeben. So ist im letzten Halbjahr die Anzahl der Trojaner enorm angestiegen, die man sich über gefährliche Webseiten einfangen kann. Ebenso gefährlich ist das Online-Banking, bei dem Kriminelle zum Beispiel PIN und TAN mitlesen und fremde Konten plündern können. Zudem ist das Spam-Volumen mittlerweile stark gestiegen: 80 bis 90 Prozent aller E-Mails sind unerwünschte Werbenachrichten. Ich, als „Sensei“ Eugene, habe über unsere neuen Firmenstrukturen gesprochen – also über das Board of Directors, in dem die Geschäftsführer unserer wichtigsten Niederlassungen vertreten sind, und den geplanten Börsengang. Nach getaner Arbeit haben wir den Abend dann in der Käfer-Wies’n-Schänke ausklingen lassen, gut gespeist und bestes deutsches Bier getrunken (dafür liebe ich unsere deutsche Niederlassung ;-) ). Im Dezember treffe ich wieder einige deutsche Journalisten – bei der alljährlichen internationalen Pressereise. Aber darüber mehr in der nächsten Ausgabe. lab.mag Viele Grüße von irgendwo auf der Welt, Ihr Eugene Kaspersky 11 NEU Wir lotsen Ihre Daten sicher ans Ziel! Die Kaspersky Hosted Security Services Ihre Vorteile: schützen Unternehmens-Netzwerke jeder Größe • Bester Schutz durch Einsatz neuester Sicherheits-Technologien zuverlässig vor Bedrohungen – inklusive Kontrolle der Internet-Nutzung. • Verringerung des eingehenden Traffics durch Filter- und Quarantäne-Regeln Verlagern Sie die Administration Ihrer E-Mail- und • Höhere Mitarbeiter-Produktivität sowie Zeitersparnis, da das Aussortieren von Spam und Schadprogrammen entfällt Websicherheit an das Expertenteam der Kaspersky Hosted Security Services. So steigern Sie die Produktivität Ihrer Mitarbeiter und senken den Administrations-Aufwand sowie die Kosten für Hardware. Zudem profitieren Sie von automatischen Updates und dem Einsatz modernster Technologien. • Flexible Skalierbarkeit durch problemlose Integration neuer Mitarbeiter und Niederlassungen mit minimalem Zeitaufwand • Optimale Ressourcen-Nutzung durch Auslagerung der Wartung und Pflege an die Kaspersky-Sicherheitsexperten • Garantierte Leistungsfähigkeit und Verfügbarkeit der Dienste (Service Level Agreements) Wie auch Ihr Unternehmen optimal von den Kaspersky Hosted Security Services profitieren kann, erfahren Sie durch eine kostenlose Evaluierung unseres Services unter www.hostedsecurity.de w w w . k a s p e r s k y . d e