Ein intErnEt, viele Welten
Transcription
Ein intErnEt, viele Welten
FEBRUAR 2008 Global Threat Report Point Global sur les Menaces Analyse Globaler Sicherheitsbedrohungen Rapporto Globale sulle Minacce Análisis de Amenazas Globales Jg. 2 • Ausgabe 1 Sicherheitsvision von McAfee® Avert® Labs Ein Internet, viele Welten gtr | Februar 2008 Inhalt WILLKOMMEN Wie wäre es mit einer Reise um die Welt? Ein Internet, viele Welten S. 2 S. 6 S. 10 S. 16 Die immer stärkere Verbreitung von Breitbandverbindungen führt zu einer Zunahme von landesspezifischen Malware-Angriffen. Japan: Malware verbreitet sich von Peer zu Peer Das beliebte Netzwerk Winny ist für seine Anfälligkeit für Infektionen bekannt. CHINA: Die Bedrohungsvielfalt im Reich der Mitte Online-Spiele haben einen riesigen Markt geschaffen, der von Malware-Autoren ausgenutzt werden kann. RUSSLAND: Die Wirtschaft und nicht die Mafia treibt Malware voran Exploits im Sonderangebot sind nur ein Teil dieser großen Produktpalette. S. 22 S. 28 S. 32 DEUTSCHLAND: Malware lernt die Sprache Weltmeisterschafts-Phishing und „von der Regierung unterstützte“ Phishing-Versuche. Brasilien: Zechprellerei bei der Bank Kunden-Phishing ist im Land des Samba sehr beliebt. USA: Der grosse MalwareSchmelztiegel HERAUSGEBER Dan Sommer BEITRAGENDE Patricia Ammirabile Christopher Bolin Pedro Bueno Toralv Dirro Jeff Green Shinsuke Honjo ABBILDUNGEN Carrie English Von Jeff Green Dirk Kollberg Yichong Lin Dr. Igor Muttik Allysa Myers Geok Meng Ong Joe Telafici Danksagung Der Herausgeber dieser Ausgabe möchten den Menschen danken, die diese Ausgabe möglich gemacht haben. Es haben zu viele zu dieser Ausgabe beigetragen, um sie alle nennen zu können. Wir möchten jedoch die leitenden Manager und Führungskräfte bei McAfee, Inc. und McAfee Avert Labs nennen, die uns unterstützt haben: unser Review Board – Zheng Bu, Hiep Dang, Dmitry Gryaznov, David Marcus, Igor Muttik und Joe Telafici; unsere Rechercheure und ihre Manager und Teamkollegen, die sie mit Ideen und Hinweisen unterstützt haben; die Marktkenner Gloria Kreitman, Wilkin Ho und Mary Karlton; den PRExperten Joris Evers, sein internationales Team und Red Consultancy Ltd.; unsere Produktionsfirma, Sic 'Em Advertising, Inc.; Julia Cohn und ihre Kollegen bei RR Donnelley, unser Drucker; und Derrick Healy und sein Team in unserem Lokalisierungsbüro in Cork, Irland, das diese Publikation in viele Sprachen übersetzt hat. Herzlichen Dank an alle, ohne deren Hilfe wir das nicht geschafft hätten! an Sommer D Herausgeber Die Amerikaner leiden nicht vorwiegend unter einem Exploit-Typ, sondern mehr oder weniger. Bei Kommentaren wenden Sie sich bitte an Sage-feedback@McAfee.com. S. 36 S. 37 Statistiken Das letzte Wort Der Technische Direktor von McAfee rekapituliert das globale Jahr. gtr | Februar 2008 Sicherheitsvision von McAfee® Avert® Labs • Jg. 2 • Ausgabe 1 McAfee, Inc. 3965 Freedom Circle, Santa Clara, CA 95054, USA, 888.847.8766, www.mcafee.com Copyright © 2008 McAfee, Inc. Diese Publikation darf in keiner Form und in keiner Weise ohne die schriftliche Genehmigung von McAfee, Inc. reproduziert werden. Die in diesem Dokument enthaltenen Informationen dienen lediglich Informationszwecken und stellen einen Service für Kunden von McAfee dar. Die hierin enthaltenen Informationen können ohne Vorankündigung geändert werden und werden „wie gesehen“ ohne Gewähr bezüglich ihrer Richtigkeit oder Anwendbarkeit in einer bestimmten Situation zur Verfügung gestellt. McAfee, Avert und Avert Labs sind Marken oder eingetragene Marken von McAfee, Inc. in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Das Windows Vista-Logo ist Eigentum der Microsoft Corporation. GTR ist eine Publikation von McAfee und steht in keiner Weise mit der Microsoft Corporation in Zusammenhang. McAfee® Avert® Labs ist stolz, die dritte Ausgabe des Sicherheitsjournals Analyse globaler Sicherheitsbedrohungen (GTR) zu veröffentlichen. Wir hoffen, dass Sie sie interessant und spannend finden. Sie möchten wissen, welches Ziel diese Analyse globaler Sicherheitsbedrohungen hat? Ganz einfach gesagt möchten wir mit dieser Publikation erreichen, dass Sie nach dem „Warum“ fragen. In der ersten Ausgabe haben wir die Vorteile und Nachteile des Open-Source-Modells und dessen Auswirkung auf Malware beschrieben. In der zweiten Ausgabe haben wir uns Gedanken über die Zukunft der Sicherheit gemacht. Ist Microsoft Windows Vista sicherer als XP? Welche Sicherheitsfragen stellen sich im Zusammenhang mit der RFID-Technologie (Radio Frequency Identification, Funkfrequenz-ID)? Werden Mobiltelefone zukünftig das Ziel von Spyware bilden? Wir haben diese und viele andere Fragen gestellt und beantwortet und damit Zustimmung, Verärgerung und in einigen Fällen sogar ein wenig Feindseligkeit geerntet. Unabhängig davon hat die Analyse globaler Sicherheitsbedrohungen ihr Ziel erreicht – Menschen dazu zu bringen, in Bezug auf Computersicherheit keine Scheuklappen zuzulassen. (Die vorherigen Ausgaben der Analyse globaler Sicherheitsbedrohungen finden Sie auf den Whitepaper-Seiten des McAfee Threat Center.) Die Gründe und Motivationen für das Schreiben von Malware haben sich in den letzten Jahren erheblich geändert. Das Internet ist heute noch größer und vielfältiger als je zuvor. Genau wie in einer Großstadt gibt es gute und schlechte Viertel, die die zahlreichen Kulturen in der Welt widerspiegeln. Malware hat – ebenso wie das Internet selbst – einen erheblichen Wandel erfahren. Und das nicht nur in Bezug auf die Gründe für die Erstellung, sondern auch in Bezug auf die Herkunft und Identität der Autoren. Im vergangenen Jahr gab es zum einen die Diskussion über den Cyber-Krieg (in Estland) und zum anderen das Wachstum einer Community globaler Benutzer, die bisher keinen Zugang zum Internet hatten. In Anbetracht solcher neuen Entwicklungen gab es Veränderungen dabei, wo Malware geschrieben wurde und an welche Zielgruppen sie gerichtet ist. http://www.mcafee.com/us/threat_center/white_paper.html Den Eckpfeiler von Avert Labs bildet unser weltweites Team von Sicherheitsforschern. Deren verschiedene Sichtweisen und Kulturen ermöglichen McAfee ein globales Verständnis von Malware und Bedrohungen vom ersten Tag eines Ausbruchs an. In dieser Ausgabe der Analyse globaler Sicherheitsbedrohungen vermitteln einige der erfahrensten Avert Labs-Forscher ihre Gedanken zur Globalisierung von Bedrohungen und Malware. In dieser Ausgabe reisen wir von Ost nach West: Unsere länderspezifischen Artikel beginnen in Japan und nehmen den Weg durch China, Russland, Deutschland, Brasilien und schließlich die USA. In jedem Land betrachten wir das jeweilige Bedrohungsszenario und besprechen die Arten von Malware und Social Engineering, die in diesen Kulturen besonders effektiv sind. Wir hoffen, dass Sie Spaß an unserer Reise mit den Experten von McAfee Avert Labs haben und freuen uns über Ihr Feedback unter Sage-feedback@mcafee.com. Jeff Green ist Senior Vice President bei McAfee Avert Labs und im Bereich der Produktentwicklung. Er trägt weltweit Verantwortung für den gesamten Forschungsbereich von McAfee in Amerika, Europa und Asien und leitet die Forscherteams, die sich auf Viren, Hacker und gezielte Angriffe, Spyware, Spam, Phishing, Schwachstellen und Patches sowie Host- und Netzwerkeindringungstechnologie spezialisiert haben. Green leitet außerdem die langfristige Sicherheitsforschung, um sicherzustellen, dass McAfee den entstehenden Bedrohungen immer einen Schritt voraus bleibt. gtr | Februar 2008 gtr | Februar 2008 Ein Internet, viele Welten Von Joe Telafici V or einigen Jahren kam ich zu der Erkenntnis, dass es sinnlos ist, den Ursprung oder das Ziel von Malware-Angriffen nachzuverfolgen – die Erkenntnisse waren lediglich für Marketingzwecke interessant und hatten keinerlei Wert für Vorhersagen oder Vorsorgemaßnahmen. Diese Auffassung wurde durch einige (damals) recht aktuelle Tatsachen gestützt: • Massen-Mailing-Würmer (insbesondere W32/SQLSlammer. worm) hatten bewiesen, dass praktisch das gesamte Internet innerhalb von Minuten infiziert werden konnte. • Malware-Autoren versuchten, die Ermittlungen von Strafverfolgungsbehörden zu erschweren, indem sie aus der Malware jegliche hilfreiche Hinweise über deren Ursprung entfernten. • Die Hauptmotivation für Malware-Autoren war zu diesem Zeitpunkt ein gestärktes Ego – je mehr infizierte Computer, desto berühmter. Dies steht im starken Gegensatz zur Situation Mitte der 1990er Jahre, als Bedrohungen von einem Teil der Welt ausgingen und erst innerhalb von Wochen in andere Teile gelangten. Außerdem enthielt die Bedrohung meist Zeichenfolgen oder Ressourcen, die sehr deutlich auf das Ursprungsland und die Absicht des Autors zeigten. In den Jahren 2002 bis 2004 wurden Bedrohungen wie Klez, Bugbear, SQLSlammer, Blaster, Sobig, Nachi, MyDoom, Netsky und Bagle zu globalen Phänomenen, die praktisch den gesamten Planeten innerhalb von Minuten bis wenigen Stunden trafen. Eine Zeit lang schien es, dass die weltweite Quasi-Monopolstellung von Microsoft Windows als Plattform, die weltweit explosionsartige Zunahme von Breitbandverbindungen, die Einfachheit, mit der Schwachstellen gefunden wurden und der Einsatz von Social-Engineering-Techniken dafür sorgen würden, dass kein Internetbenutzer längere Zeit vor Bedrohungen sicher sein könnte. Copyright © 2008 McAfee, Inc. gtr | Februar 2008 In dieser Zeit der intensiven Malware-Replizierung entwickelte sich ein Trend, der – offen gesagt – anfangs von der gesamten Antivirus-Community übersehen wurde. Wir haben dieses Phänomen in der vorherigen Ausgabe, „Die Zukunft der Cyber-Kriminalität“, beschrieben. Im Jahr 2004 gab es eine explosionsartige Zunahme neuer Malware, die zwar zahlreicher, aber nicht so vielfältig wie bisherige Malware war. Bots, Kennwortdiebe und andere statische Malware tauchten in alarmierenden Mengen auf. Im Unterschied zu den sich replizierenden Viren, die für den letzten Ausbruch der von mir gern als „digitale Graffiti-Phase“ bezeichneten Phase der Malware-Entwicklung typisch waren, erreichten diese Bedrohungen aus den verschiedensten Gründen sehr selten globale Ausmaße. Der Hauptgrund bestand darin, dass die Malware-Autoren kein Interesse an der Aufmerksamkeit hatten, wie sie die Virenautoren von Netsky und Sasser von Seiten der Strafverfolgungsbehörden erhielten. Ob nun als Nebenwirkung, Symptom oder Ursache dieses langsamen Paradigmenwechsels – aus den folgenden Gründen ist Malware in den letzten zwei bis drei Jahren regionaler bzw. lokal angepasster geworden: • Um Malware zu verbreiten und Benutzer auf böswillige Sites und Phishing-Sites zu locken oder von gehosteter Malware zu überzeugen, sind heute verbesserte Social-Engineering-Techniken erforderlich. Wenn vorsichtige Computerbenutzer von der Echtheit überzeugt werden sollen, sind die unglaublichen Schreibfehler von Nichtmuttersprachlern einfach zu offensichtlich. • Schwachstellen werden heute häufiger in exotischer Software gefunden, darunter auch einige lokalisierte Software wie das in Japan bekannte Textverarbeitungspaket Ichitaro. Ursache hierfür ist die Zunahme von Prämien für Schwachstellen, die von Sicherheitsanbietern und Angreifern ausgeschrieben werden. • Malware-Autoren zeigen ein verstärktes Interesse daran, die Quellen für die Angriffe auf Länder zu beschränken, in denen die Justiz wahrscheinlich weniger streng vorgeht. • Malware-Autoren greifen gern Nischenmärkte an – wahlweise, um bestimmte Ressourcen auszunutzen oder um die Justiz zu meiden. In dieser Ausgabe werden Sie einige Beispiele für diese landes-, sprachen-, firmen- oder softwarespezifischen Angriffe kennen lernen. Obwohl wir die Motivationen der Malware-Autoren beim Auswählen der Angriffsziele nicht ignorieren können, finden diese Aktivitäten in einer globalen Umgebung statt. Und diese Umgebung gestaltet sich ganz anders als noch vor wenigen Jahren. Politische, wirtschaftliche und soziale Kräfte bilden den Rahmen und haben zu einer Schattenwirtschaft und einem Markt mit noch nie gesehener Vielseitigkeit, Verbreitung und Bedeutung beigetragen. „Analyse globaler Sicherheitsbedrohungen“, April 2007. http://www.mcafee.com/us/threat_center/white_paper.html Copyright © 2008 McAfee, Inc. gtr | Februar 2008 Einer der wichtigsten Faktoren, die die Möglichkeiten für Angreifer verbessern, ist die weltweit zunehmende Verbreitung von Breitbandverbindungen. Bei Computern, die rund um die Uhr über Breitbandanschluss mit dem Internet verbunden sind, ist die Möglichkeit, Systeme in Echtzeit anzugreifen und nicht genutzte Bandbreiten kompromittierter Computer für weitere Angriffe zu nutzen, einfach zu verlockend, um sie ignorieren zu können. Die Verbreitung von Breitbandanschlüssen ist weltweit jedoch sehr unterschiedlich – sie liegt bei fast 90 Prozent in Südkorea, etwa 50 Prozent in den USA und erheblich weniger in einigen Entwicklungsländern. Denjenigen, die aus Cyber-Kriminalität Kapital schlagen wollen, erleichtert ein weiterer Faktor das Geschäft: die Ausweitung der Rolle des Computers in der heutigen modernen Gesellschaft. Von der erstaunlichen Zunahme der Mobiltelefonnutzung (mehr als 20 Prozent jährlich, mit schätzungsweise mehr als 3 Milliarden Mobilfunknutzern im Jahr 2010) bis zur Verwendung von OnlineBanking, Online-Spielen und E-Business im Allgemeinen – es gibt eine Unmenge an Geld, Möglichkeiten und Ziele, sodass die Skrupellosen immer ein lohnendes Ziel finden werden. Doch der Technologiesturm bewegt sich in den verschiedenen Teilen der Welt mit unterschiedlicher Geschwindigkeit vorwärts. So ist die Mobiltechnologie in Asien dem Rest der Welt um einige Schritte voraus, während Online-Banking in Brasilien am verbreitetsten ist und Online-Spiele in China eine Heimindustrie darstellen. Zu einem gewissen Teil ist Cyber-Kriminalität die natürliche Erweiterung eines der wahrscheinlich ältesten Gewerbe der Welt: Diebstahl. Wir können jedoch die wirtschaftliche Realität in vielen Teilen der Welt nicht ignorieren, die dafür sorgt, dass dies eine attraktive Möglichkeit ist. Besonders in Osteuropa, wo während des Kalten Krieges die technischen Fähigkeiten umfassend ausgebildet wurden und gleichzeitig wirtschaftliche Möglichkeiten fehlten, und in Asien, wo das Bevölkerungswachstum die Wirtschaftsleistung an die Grenzen getrieben hat, steigt die Motivation, sich mit fragwürdigen oder illegalen Optionen zu befassen. Wie sagte doch einst ein ehemaliger Virenautor zu mir: „Ich musste doch meine Familie ernähren.“ Wie sagte doch einst ein ehemaliger Virenautor zu mir: „Ich musste doch meine Familie ernähren.“ Und es müssen nicht zwingend immer Kriminelle sein. Wie ein kürzlich erfolgter und immer noch laufender verteilter Denial-of-Service-Angriff auf die Infrastruktur Estlands zeigt, haben politische „Hacktivisten“ (engl.: Hacktivists) möglicherweise ein steigendes Interesse am Internet – als Schlachtfeld oder möglichen Kriegsschauplatz. Ob Regierungs- oder Militärorganisationen ein ähnliches Interesse haben? Bisher bleibt dies eine Vermutung, wenn auch eine nahe liegende. In Anbetracht der Vielfalt der Rollen, Motivationen und Vorteile der Cyber-Kriminellen von heute spielt die Reaktion der Gesellschaft eine entscheidende Rolle dabei, wie Recht und Ordnung im „wilden Westen“ des Internets aufrecht erhalten werden können. Es ist sehr deutlich geworden, dass die menschliche Gesellschaft sehr unterschiedlich auf Cyber-Kriminalität vorbereitet ist und auf diese reagiert. Wir bei McAfee® Avert® Labs arbeiten mit Strafverfolgungsbehörden in zahlreichen Ländern aus aller Welt zusammen. Für uns ist offensichtlich, dass die juristischen, finanziellen und technischen Möglichkeiten der Ordnungshüter in den verschiedenen Teilen der Welt sich wie Tag und Nacht unterscheiden können. Da Angriffe selten innerhalb eines inzelnen Landes begonnen, durchgeführt und abgeschlossen werden, können wir Malware-Autoren und Cracker aufgrund dieser Situation selbst dann nur mit Mühe behindern oder stoppen, wenn die Beteiligten sehr gut bekannt sind. Diese mangelhafte internationale Koordination ist einer der Hauptgründe dafür, warum Cyber-Kriminalität heute als risikoarm gilt. Artikel lehrreich und informativ sind und zum Nachdenken anregen. Die Herausforderungen gestalten sich in der heutigen vernetzten Welt in jedem Land anders – und ihre Auswirkungen kennen keine Ländergrenzen. Joe Telafici ist Vice President of Operations bei McAfee Avert Labs. Er ist verantwortlicher Manager für Forscher in 16 Ländern auf fünf Kontinenten. Telafici kann auf mehr als 10 Jahre Erfahrung mit Sicherheitsprodukten für Privatanwender und Unternehmen bei Symantec, CyberMedia, Tripwire und McAfee zurückblicken und ist für die Koordinierung der Reaktion von McAfee auf Politische „Hacktivisten“ haben möglicherweise ein steigendes Interesse am Internet – als Schlachtfeld oder möglichen Kriegsschauplatz. globale Sicherheitsbedrohungen sowie für die tägliche Herstellung von Sicherheitsinhalten, Kundensupport-Tools und für die Forschung an den Bedrohungen und der Technologie von morgen verantwortlich. Er hat den USamerikanischen Kongress über Technologiefragen informiert, wird regelmäßig in der Presse zu Virus- und Spyware-bezogenen Fragen zitiert und hat bei Virus Bulletin Artikel veröffentlicht. Joe Telafici stammt aus New Jersey und vermisst zwar seine Heimat, möchte aber auf keinen Fall auf die wundervolle Auf den folgenden Seiten erfahren Sie Interessantes von einigen der kompetentesten Forscher, die in dem Land leben, über das sie schreiben, oder enge Beziehungen dazu haben. Ich hoffe, dass die Gelegenheit verzichten, bei McAfee in Beaverton, Oregon zu arbeiten. gtr | Februar 2008 gtr | Februar 2008 JAPAN: Malware verbreitet sich von Peer zu Peer J apan sieht sich vielen Gefahren gegenüber, die auch in anderen Ländern allgegenwärtig sind. Dazu gehören Bot-Netze, Kennwortdiebe, allgemeine Exploits und Massen-Mailing-Würmer. Es gibt jedoch einen Malware-Typ, der speziell Anwendungen und Netzwerke in Japan zum Ziel hat. In diesem Artikel gehen wir auf die für Japan typische Malware-Kultur ein. Netzwerkbedrohungen Von Shinsuke Honjo Verhöhnung der Opfer Winny ist eine der beliebtesten P2P-Netzwerkanwendungen (Peer-toPeer) in Japan. Sie ist für ihre Schwachstellen gegenüber MalwareInfektionen bekannt, die schwerwiegende Datenkompromittierungen zur Folge haben. Außerdem ist sie für das Verleiten zu Urheberrechtsverletzungen berüchtigt. Das weiterhin steigende Medieninteresse in Bezug auf Zwischenfälle mit Winny facht die Debatte über das Für und Wider von P2P-Anwendungen an. Winny Winny wurde 2002 von Isamu Kaneko entwickelt, einem wissenschaftlichen Mitarbeiter für Computertechnik an der Universität von Tokio. Sein Ziel war es, ein P2P-Netzwerk mit effektivem Dateiaustausch und einem anonymen Kommunikationskanal zu erreichen. Aufgrund dieser Anonymität gilt Winny als perfektes Mittel zum Austausch illegaler digitaler Inhalte und ist eine der am häufigsten verwendeten kostenlosen Anwendungen in Japan. Eine Studie zeigte im Zeitraum zwischen Dezember 2006 und Januar 2007 täglich 290.000 bis 450.000 Benutzer. Im Jahr 2004 wurde Kaneko von der Polizei von Kyoto unter dem Verdacht der Beihilfe zu Urheberrechtsverletzungen festgenommen. Im Dezember 2006 wurde er schuldig gesprochen und zur Zahlung von 1,5 Millionen Yen (etwa 13.136 US-Dollar) verurteilt. Seine Berufung beim Obersten Gerichtshof in Osaka steht noch aus. P2P-Malware Mit der zunehmenden Verbreitung von Winny steigt auch die Zahl der Malware, die auf P2P-Benutzer spezialisiert ist. Am häufigsten verbreitet sich W32/Antinny.worm über Winny. Dieser versucht, die Dateien auf dem befallenen Rechner im Netzwerk freizugeben. Aktuelle Varianten dieses Wurms verbreiten sich auch über andere P2P-Netzwerke, z. B. Share. Trojaner können über das Netzwerk heruntergeladen werden. Die Trojaner-Familie Del-500 löscht alle potenziell illegalen Dateien vom befallenen Rechner, z. B. Bilder sowie Musik- und Videodateien. Einige Varianten zeigen das Bild in Abbildung 1, um die betroffenen Winny-Benutzer zu verhöhnen. Abbildung 1: Der japanische Text lautet: „Obwohl Herr Kaneko schuldig gesprochen wurde, verwenden Sie Winny immer noch. Ich verabscheue solche Menschen zutiefst.“ Datenkompromittierungen nehmen zu Dateien freigebende Malware trifft die Betroffenen schwer, indem sie anderen Benutzern im P2P-Netzwerk vertrauliche oder persönliche Dateien zugänglich macht. In den letzten vier Jahren gab es zahlreiche Presseberichte zu solchen Datenkompromittierungen. Abbildung 2 zeigt die Anzahl der in den Medien erwähnten Zwischenfälle, die auf einer Website in japanischer Sprache aufgeführt sind. Die Anzahl der Vorfälle ist im Jahr 2006 dramatisch gestiegen. Datenkompromittierung nimmt rasant zu 300 250 200 150 100 50 0 2004 2005 2006 2007 Abbildung 2: Die Anzahl der in den Medien erwähnten Vorfälle von Datenkompromittierungen durch P2P-Malware ist zwischen 2005 und 2006 um das mehr als sechsfache gestiegen. „Winny“, Wikipedia. http://en.wikipedia.org/wiki/Winny „Änderungen in der Anzahl der Winny-Knoten“ (in japanischer Sprache), One Point Wall. http://www.onepointwall.jp/winny/winny-node.html Copyright © 2008 McAfee, Inc. „Winny – Kompromittierung persönlicher Daten“ (in japanischer Sprache), Winny Crisis. http://www.geocities.jp/winny_crisis/ gtr | Februar 2008 gtr | Februar 2008 Die folgende Liste führt die schwerwiegendsten bekannten Vorfälle von P2P-Datenkompromittierung auf. Datum Opfer Betroffene Daten 2005 Dezember Der Geschäftspartner eines Atomkraftwerks 3.000 Dateien des AKW 2006 Februar Japanische Meeresselbstverteidigungsstreitkräfte (JMSDF) Rufzeichen der JMSDF-Flotten, Musterungslisten, Signalbücher, Zufallszahlenliste Februar Justizministerium 10.000 Dateien, einschließlich persönlicher Daten von Häftlingen März Polizei von Okayama Persönliche Daten von 1.500 Opfern und Verdächtigen März Genossenschaftsbank Daten von 13.619 Kunden April Zeitungsverlag Daten von 65.690 Kunden Mai Japanische Bodenselbstverteidigungsstreitkräfte (JGSDF) Dokumente zu Land-See-Lenkraketen Mai Telekommunikationsfirmen Daten zu 8.990 Kunden und 1.800 Unternehmensdateien Juni Kabelfernsehunternehmen Daten von 15.400 Kunden November Krankenhaus Daten von 264.700 Patienten 2007 Februar Polizei von Yamanashi 610 Dateien zu Ermittlungen Juni Polizei von Tokio 10.000 Ermittlungsdokumente, einschließlich Daten zu Opfern von Sexualstraftaten Juni Schullehrer in Chiba Daten von 269 Schülern August Hotel Daten von 19.700 Kunden Die Medienberichte helfen beim Aufdecken von Sicherheitslücken, haben aber auch negative Effekte für die Opfer: Bevor die Presse am 22. Februar 2006 über den JMSDF-Fall berichtete, hatten gerade einmal 14 Benutzer pro Tag die zugänglich gemachten Dateien heruntergeladen. Nach dem Bericht stieg die Anzahl der Downloads am 23. Februar auf 627 und am 24. Februar auf 1.188. Bis zum 2. März hatten 3.433 Benutzer die Dateien heruntergeladen. Das Problem wurde zusätzlich dadurch verschärft, dass die herunterladenden Benutzer ohne ausreichende Sicherheitsprodukte selbst zu potenziellen Opfern der Malware wurden. Einige Angestellte wurden abgemahnt oder entlassen. Im schlimmsten Fall hatte ein Opfer Selbstmord begangen. Diese Benutzer infizierten nicht nur ihre eigenen Systeme mit der Malware und verbreiteten die Dateien im Netzwerk, sondern machten auch die Daten anderer sorgloser P2P-Benutzer zugänglich. Private Bilder, Filme und E-Mails wurden so dem öffentlichen Interesse freigegeben. Reaktion der Behörden Einige Zwischenfälle mit Winny führten zu politischen und diplomatischen Schwierigkeiten. Nach zahlreichen Vorfällen bei der JSDF (Japan Self-Defense Forces, Japanische Selbstverteidigungsstreitkräfte) wies der Premierminister die zuständigen Ministerien an, eine Wiederholung auszuschließen. Im Jahr 2006 forderte der Kabinettsminister, dass die Bevölkerung Winny nicht mehr benutzen solle. Verbündete Staaten Japans mit gemeinsamen militärischen Geheimnissen wurden beunruhigt, als Daten zum Marinekampfsystem Aegis vom Computer der Ehefrau eines Marineoffiziers veröffentlicht wurden. Die Sicherheitsmängel im Datenmanagement der JSDF sind ein dringliches Problem. Als eine der Folgen stellte die USA laut Medienberichten im August 2007 aufgrund der Vorfälle von Datenkompromittierung zeitweilig die Lieferung von Bauteilen für Aegis-Zerstörer ein, die der Geheimhaltung unterlagen. Motivation Es steht außer Frage, dass diese Malware-Autoren kein finanzielles Interesse haben, da ihre Malware die Dateien auf den betroffenen Rechnern lediglich kompromittiert oder löscht. Die Malware verfügt auch über keine zeitgemäßen Selbstschutzmaßnahmen. Im Gegenteil ist dieser Malware-Typ zu einfach aufgebaut, um dem Autor Ansehen oder Anerkennung zu verschaffen. Möglicherweise hat diese Malware-Klasse diejenigen P2P-Benutzer zum Ziel, die Urheberrechtsverletzungen begehen. Allerdings haben einige Varianten von W32/Antinny DoS-Angriffe (Denial of Service) auf die Website der Japanischen Gesellschaft für den Urheberrechtsschutz von Computersoftware (Japanese Association of Copyright for Computer Software) durchgeführt. Diese Organisation bemüht sich um den Schutz von Software-Urheberrechten. Daher kann über die Gründe der MalwareAutoren nur spekuliert werden, weshalb auch nicht ausgeschlossen werden kann, dass es sich lediglich um reine Neugier handelt. Gegenmaßnahmen Etwa 30 Prozent der P2P-Benutzer verwenden ihre P2P-Computer einer Studie zufolge für geschäftliche Zwecke. Diese Tatsache ist IT-Managern schon seit langem bekannt. Nach diesen Vorfällen der Datenkompromittierung haben zahlreiche Unternehmen ihre Sicherheitsbestimmungen dahingehend geändert, dass Angestellte ihre privaten Computer nicht mehr ins Büro mitnehmen dürfen. Eine der effektivsten Maßnahmen, um die Verwendung privater (und ungesicherter) Computer im geschäftlichen Alltag zu verhindern, ist die Bereitstellung einer ausreichenden Anzahl von Computern für Angestellte. Daher kaufte beispielsweise das Verteidigungsministerium im Jahr 2006 für 4 Milliarden Yen (35 Millionen US-Dollar) 56.000 Computer für seine Angestellten. Viele Unternehmen haben Tools eingeführt, mit denen die Computer der Angestellten überwacht und die Installation nicht genehmigter Software (einschließlich P2P-Anwendungen) verhindert werden soll. Gezielte Angriffe Gezielte Angriffe gegen Firmen und Behörden bilden eine weitere große Malware-Bedrohung in Japan. Bei diesen Angriffen erhalten die Betroffenen E-Mails mit Anlagen, die Schwachstellen in lokal installierten Anwendungen ausnutzen. Die Malware öffnet zudem eine nicht infizierte Ichitaro-Datei, die ebenfalls eingebettet ist, weshalb die Benutzer kein verdächtiges Verhalten erkennen können. Im Jahr 2006 gab es zwei ZeroDay-Angriffe gegen Ichitaro, und zwei weitere im Jahr 2007. In allen Fällen wurde der Schaden durch Backdoor-Trojaner verursacht. Diese Angriffe werden vom Diebstahl von Daten dieser Unternehmen und Regierungsorganisationen motiviert, da durch diese Hintertüren betroffene Computer gesteuert und Tastatureingaben aufgezeichnet werden können. Kostenlose Software und Office Seit kurzem beobachten wir Zero-Day-Angriffe, die die lokal installierten kostenlosen Dekomprimierungsprogramme Lhaca und lhaz zum Ziel haben. Diese Tools sind zwar nicht so beliebt wie kommerzielle Anwendungen, andererseits scheint es den Angreifern nicht auf die Anzahl der potenziellen Opfer anzukommen. Sie suchen sich alle Anwendungen oder Tools aus, die sie ausnutzen können. Microsoft Office ist ebenfalls gezielten Angriffen ausgesetzt: Wir haben bereits E-Mails mit japanischen Betreffs, Texten und Anlagen mit japanischen Dateinamen und Texten beobachtet. Die Zeiten, als sich weltweit verbreitende E-Mail-Malware nicht ins Japanische lokalisiert wurde, sind längst vorbei. Wie weit sind die Angriffe verbreitet? Diese manipulierten Dokumente sind nicht so weit verbreitet wie andere Malware-Typen. Nach den Erkenntnissen des JPCERT (Japan Computer Emergency Response Team, Reaktionsteam für Computernotfälle in Japan) haben 6,5 Prozent aller Unternehmen gefälschte E-Mails mit Anhängen erhalten, die von einem Geschäftspartner zu stammen scheinen. Außerdem haben acht Firmen eines der mit Malware infizierten Word-Dokumente erhalten, die laut Medienberichten auch an die Regierung gesendet wurden. Einige der Betroffenen sind sich über die Infektion möglicherweise überhaupt nicht im Klaren. Der Bericht besagt außerdem, dass 25 Prozent der Unternehmen keine Informationen darüber haben, ob sie jemals gefälschte E-Mails erhalten haben. Ein häufiges Malware-Ziel in Japan ist die Textverarbeitung Ichitaro, die vor allem in öffentlichen Einrichtungen sehr beliebt ist. Wenn Benutzer ein entsprechend manipuliertes Ichitaro-Dokument öffnen, wird der darin eingebettete Trojaner ausgeführt. „Umfrage zur Verwendung von P2P-Anwendungen durch Geschäftsbenutzer“ (in japanischer Sprache), NetSecurity. https://www.netsecurity.ne.jp/3_6308.html „Gezielte Angriffe“ (in japanischer Sprache), JPCERT/CC. http://www.jpcert.or.jp/research/2007/tar-geted_attack.pdf „Pressemitteilung: 3. Mai 2006“ (in japanischer Sprache), One Point Wall. http://www.onepointwall.jp/press/20060303.txt „Schullehrer, der Daten durch Winny kompromittiert hat, begeht Selbstmord“ (in japanischer Sprache), ITMedia. http://www.itmedia.co.jp/news/articles/0706/08/news086.html Copyright © 2008 McAfee, Inc. Ablegen von Trojanern McAfee® Avert® Labs wurden in den letzten zwei Jahren mehr als 40 Proben von identifizierten gezielten Angriffen auf japanische Kunden zugeschickt. Nur wenige dieser Trojaner wurden von manipulierten OLE-Dokumenten oder gefälschten Word-Dateien abgelegt. Die meisten konnten wir als BackDoor-CKB, BackDoor-DKI, BackDoor-DJD und BackDoor-CUX identifizieren. Uns liegen zwar nicht genügend stichhaltige Beweise vor, wir vermuten jedoch, dass diese Angriffe von nur wenigen Malware-Autoren stammen. Fazit Die wachsende Anzahl von Bedrohungen gegen Winny und andere P2P-Netzwerke hat das Sicherheitsbewusstsein der Benutzer gesteigert. Einige Firmen beschränken sich jedoch darauf, die Datenkompromittierung über P2P-Netzwerke lediglich oberflächlich zu behandeln. Japanische Unternehmen und Behörden müssten sich aber deutlich umfassender um diese Bedrohung kümmern und klare Richtlinien schaffen, die sie strikt durchsetzen, um den P2P-Schwachstellen ein Ende zu bereiten. Die gezielten Angriffe nutzen nicht nur Schwachstellen aus. Es wird versucht, ausführbare Dateien mit dem Microsoft Word-Symbol und langen Dateinamen mit zahlreichen Leerzeichen vor der EXEErweiterung zu tarnen. Wenn Benutzer die gefälschte Word-Datei öffnen, wird wie beim zuvor erwähnten Ichitaro der Trojaner ausgeführt und eine nicht infizierte Word-Datei geöffnet. Woher stammen die gefälschten Nachrichten? Es liegen nicht genügend Beweise vor, um diese Frage zu beantworten. Da die E-Mails gefälscht sind und über Bot-Netzwerke gesendet wurden, können ihre Ausgangspunkte nur schwer ermittelt werden. Ein Beispiel zeigt jedoch, dass mindestens einer von ihnen außerhalb Japans liegt: In einer der nicht infizierten Word-Dateien, die von diesen Trojanern als Täuschungsmaßnahme geöffnet wurde, Ichitaro war der Text zwar auf Japanisch, jedoch in der chinesischen Schriftart SimSum verfasst. Da diese Schriftart von Japanern nicht verwendet wird, ist das ein Beweis dafür, dass diese Dokumente in der chinesischen Version von Word erstellt wurden. Shinsuke Honjo ist Viren-Forscher für McAfee Avert Labs. Er ist Fachmann für Trojaner, Viren und Exploits und hat Zero-Day-Bedrohungen analysiert, die in Japan beobachtet wurden. Wenn er sich nicht mit Malware befasst, trainiert er zusammen mit seinen Söhnen Karate. 10 gtr | Februar 2008 gtr | Februar 2008 N ur wenige Ereignisse ändern die weltweite politische und wirtschaftliche Landschaft so sehr wie der rasante Aufstieg Chinas zu einer Großmacht. Im Jahr 2006 wuchs das Bruttoinlandsprodukt (BIP) Chinas um 10,7 Prozent und damit so stark, wie seit elf Jahren nicht mehr. Dies geschah übrigens nur ein Jahr, nachdem China an Großbritannien als viertgrößter Wirtschaft der Welt vorbeigezogen war. In dieser Phase gewaltigen Wachstums und Wandels verändert sich in China auch die Vielfalt der Bedrohungen aus dem Internet. Warum ist diese CHINA: Die Bedrohungsvielfalt im Reich der Mitte Von Geok Meng Ong und Yichong Lin Zunahme bei Malware zu beobachten, die aus China stammt und dorthin gelangt? Rasantes Internetwachstum Virtuelle Waren Im Jahr 2007 waren 12 Prozent der chinesischen Bevölkerung online – dies sind 37 Prozent aller Internetbenutzer Asiens bzw. 137 Millionen Menschen. Dr. Charles Zhang, Chairman und CEO des chinesischen Internetportals Sohu.com, gibt seine Einschätzung zur Bedeutung dieser Zahlen ab. Die chinesischen Internetbenutzer verbringen laut Zhang jede Woche fast zwei Milliarden Stunden online, also 15 Mal mehr Zeit als amerikanische Internetbenutzer. Dieses Phänomen führt er auf die fehlende Pressefreiheit in den herkömmlichen Medien Chinas zurück. Im September 2006 verabschiedete der chinesische Gesetzgeber einen neuen Erlass, der regelt, dass alle ausländischen Nachrichtenagenturen ihre Informationen nur noch über die staatliche Nachrichtenagentur Xinhua veröffentlichen dürfen. Mit einer effektiven Wachstumsrate von 509 Prozent ist die Anzahl der Internetbenutzer in China in den letzten fünf Jahren sprunghaft angestiegen. Zum Vergleich: Im gleichen Zeitraum betrug das effektive Wachstum weltweit 200 Prozent, in den USA belief es sich auf 121 Prozent. Real Money Trade (RMT) ist ein Konzept, bei dem virtuelles Gold oder virtuelle Waren aus Computerspielen mit echtem Geld gehandelt werden. Bei Online-Spielern wird es von Tag zu Tag populärer. Da sich Online-Spiele in China so großer Beliebtheit erfreuen, wurde auch RMT vom dortigen Markt sofort angenommen. Schätzungen von Branchenbeobachtern zufolge verbirgt sich darin ein Potenzial von bis zu 900 Millionen US-Dollar. Eine schnelle Suche nach den chinesischen Schlüsselwörtern „Gold“ und „World of Warcraft“ in Chinas größtem Auktionsportal, Taobao.com, lieferte 32.891 Treffer. Für „Power Leveling Service“ und „World of Warcraft“ wurden 19.982 Ergebnisse gefunden. Boom bei lokalen Internetanwendungen Im Zeitalter des Internetbooms steigt der Bedarf an lokalisierten Internetinhalten, weil die Internetbenutzer zu immer mehr Inhalten Zugang erhalten möchten. Zu den Verkäufern zählen professionelle Computerspieler in „virtuellen Sweatshops“, so genannte „Gaming Worker“ oder „Goldfarmer“, die Tag und Nacht Online-Spiele spielen, um virtuelle Währung, Waren oder Zauberkräfte aufzubauen. In jeder Goldfarm können Hunderte von jungen Arbeitern beschäftigt sein, die jeweils bis zu 250 US-Dollar pro Monat verdienen. Laut Schätzungen bedienen über 100.000 solcher Spieler in China die Nachfrage nach virtuellen Waren im In- und Ausland. Online-Spiele Ein Viertel aller chinesischen Internetbenutzer spielt Online-Spiele, und im April 2007 waren 33 Prozent der Spieler 19 bis 22 Jahre alt. Die Begeisterung für Online-Spiele hat inzwischen ganz China ergriffen, und das so stark, dass die chinesische Regierung ein einzigartiges Regulierungssystem gegen Spielsucht („Game Fatigue Regulation“) eingeführt hat: Seitdem dürfen Minderjährige pro Tag nur noch höchstens drei Stunden mit einem Online-Spiel verbringen – überschreiten sie dieses Zeitlimit, verlieren sie jedes Mal „Erfahrungspunkte“ im Spiel. Wer an einem Tag länger als fünf Stunden spielt, verliert alle Punkte. Heutzutage gibt es 31 Millionen Spieler. In diesem Markt hat das Geschäft mit Online-Spielen daher eine neue Bedeutung. „China Surpasses U.S. In Internet Use“ (Internetnutzung: China überflügelt die Vereinigten Staaten). Forbes.com. http://www.forbes.com/2006/03/31/china-internet-usage-cx_nwp_0403china.html „Handhabung der Veröffentlichung von Nachrichten und Informationen durch ausländische Nachrichtenagenturen in China“ (in chinesischer Sprache), Xinhua. http://news.xinhuanet.com/politics/2006-09/10/content_5072446.htm Copyright © 2008 McAfee, Inc. Die Begeisterung für OnlineSpiele greift so stark um sich, dass die chinesische Regierung ein einzigartiges Regulierungssystem gegen Spielsucht eingeführt hat. „Ogre to Slay? Outsource It to Chinese“ (Wie man Monster durch Outsourcing in China erlegen lässt). The New York Times. http://www.nytimes.com/2005/12/09/technology/ 09gaming.html?ex=1291784400&en=a723d0f8592dff2e&ei=5090 11 12 gtr | Februar 2008 gtr | Februar 2008 Instant Messaging Malware-Aktivitäten in China Organisiertes Verbrechen Der Handel von virtuellen Werten mit realem Geld (RTM) ist nicht auf Online-Spiele allein beschränkt. In China steht Instant Messaging (IM) für mehr als die sofortige Nachrichtenübermittlung, die der Begriff impliziert. Über reines Instant Messaging hinaus hat sich eine Plattform entwickelt, auf der Telefondienste, Unterhaltung, E-Mails, Spiele und Remoteunterstützung angeboten werden. Um bei chinesischen Internetbenutzern das Interesse an virtueller Unterhaltung zu wecken und den Vertrieb in diesem Bereich anzukurbeln, verkauft die Firma Tencent auf der Straße eine virtuelle QQ-Münze für 1 Yuan (etwa 0,13 US-Dollar). Da bei der Einführung der QQ-„Währung“ nur wenige Einschränkungen bestanden, wurde sie auf Schwarzmärkten in echter Währung gehandelt – und öffnete so Tür und Tor für Geldwäsche. Hierdurch wurde der RMT von QQ-Konten und -Währung zu einem einträglichen Geschäft. Selbst in Online-Kasinos und auf PornoWebsites werden QQ-Münzen gehandelt. In Anbetracht des erheblichen Missbrauchs der QQ-Währung sind die chinesischen Behörden alarmiert. Wir haben erfahren, wie sich der Handel mit virtuellen Waren zu einem viele Millionen Dollar schweren Geschäft entwickelt hat, und dabei gesehen, dass geschäftstüchtige Goldfarmer ihre Gewinne mit günstigen Arbeitskräften steigern. Da überrascht es nicht, dass diejenigen mit Zugang zu technischem Know-how Malware einsetzen, um ihre Ziele in größerem Stil und schneller zu erreichen. Wie sich herausgestellt hat, handelt es sich bei der von chinesischen Domänen stammenden Malware größtenteils um Software für den Kennwortdiebstahl. Derartige Kennwortdiebstahl-Programme zielten zunächst zwar nur auf die Hauptplattformen – QQ, World of Warcraft und Lineage – ab, sie erreichen heute aber jedes mögliche Ziel von RMT. Die Zunahme bei chinesischer Malware wird durch eine riesige Internet-Community und den RMT-Markt noch gefördert. Erhebliche Gewinne ebnen den Weg für immer intelligentere und umfassendere Exploits. Das chinesische Reaktionsteam für Computernotfälle (Computer Emergency Response Team, CNCERT) führte in seinem Halbjahresbericht an, dass chinesische Websites in wachsendem Maße für Phishing und die Hinterlegung von böswilligem Code missbraucht werden. Allein die hier verzeichnete Zunahme übersteigt schon die Gesamtzahl für 2006. Verteilung der HÄUFIGSTEN MALWARE 2006 und 2007 100 % 80 % 51,8 % 39,3 % 60 % Laut einer Umfrage der chinesischen Medien waren 70 Prozent der Benutzer bereits einmal von einem QQ-Kontendiebstahl betroffen. Tencent, Eigentümer des QQ-Netzwerks, hat diese wachsenden Bedrohungen erkannt und bietet auf der eigenen Website kostenlose Sicherheitsschulungen und -dienste an. Yahoo Messenger 2,1 % Verbreitung von IM in CHINA 40 % 20 % 0% 51,2 % 40,5 % 7,7 % 9,5 % 2006 2007 n Gray Pigeon-Backdoor- n Kennwortdiebe für Spiele, IM Trojaner n Würmer und DateiInfektionen Abbildung 2: Im letzten Jahr war im chinesischen Markt eine starke Zunahme an Kennwortdiebstahl-Software zu verzeichnen. Im Jahr 2007 ermittelte McAfee SiteAdvisor™, dass sich auf 0,2 Prozent aller in China registrierten Websites Exploits befanden. Dies ist mehr als das Doppelte des weltweiten Durchschnitts. Hierbei sind Websites mit den Domänen „.org.cn“, „.gov.cn“, „.com.cn“, „.net.cn“ und anderen Domänen gleichermaßen betroffen. Viele davon sind vermutlich sogar seriöse Websites, die von Kriminellen zur Unterbringung von böswilligem Code missbraucht werden, sodass unachtsame Benutzer beim Surfen auf den vermeintlich „sauberen“ Websites riskieren, dass ihr System infiziert wird. Noch alarmierender ist das häufige Vorkommen von Zero-Day-Exploits wie Exploit-AniFile.c. Als Katalysatoren für eine weite Verbreitung fungieren hierbei Würmer wie W32/Fujacks, die Dateien infizieren, und Bedrohungen durch Man-in-the-MiddleAngriffe oder Infektionen über ARP (Address Resolution Protocol), wie im Falle von NetSniff. Skype 7,5 % Taobao Wang Wang 29.1 % MSN 31,7 % QQ 96,1 % Abbildung 1: Im Jahr 2007 dominierte Tencent QQ den chinesischen Internet-Messaging-Markt. McAfee® Avert® Labs eine wachsende Bedrohung durch Kennwortdiebstahl-Software für Spiele. Dieser Trend hatte seinen Höhepunkt im Oktober 2006, und er setzt sich offensichtlich auch 2007 fort. Handelte es sich bei der Malware der ersten Generation in diesem Bereich noch um Trojaner wie PWS-QQPass, PWS-WoW und PWS-Lineage, so sind wir heute mit „pikanten Mischungen“ wie PWS-OnLineGames und PWS-MMORPG konfrontiert, die auf viele Online-Spiele und -Communitys abzielen. Würmer wie W32/Fujacks, die mehrere Verbreitungsstrategien haben, und Sicherheitslücken im Web eröffnen immer mehr Möglichkeiten für strafbare Handlungen. Abbildung 3: Das HackerÖkosystem in China Cyber-Kriminelle sind nicht zwangsläufig ausgezeichnete Hacker. Sie richten sich ganz klassisch nach Angebot und Nachfrage. Im Februar 2007 meldete Xinhua, dass eine Gruppe von 50 Händlern in der Provinz Zhejiang dabei half, von Li Jun (dem Autor von W32/Fujacks) und seinen Komplizen gestohlene Benutzerkonten und virtuelle Waren zu verkaufen. Dem Bericht zufolge waren sie auch Teil eines Syndikats, das in betrügerischer Absicht Phishing-Aktivitäten ausübte und Adware veröffentlichte. Keiner der Händler war Computerexperte; einer arbeitete sogar als Chef in einem Restaurant. In einer Kette organisierter Cyber-Kriminalität arbeiten verschiedene Tools und Rollen gewöhnlich Hand in Hand. Exploits zielen auf noch nicht behobene Schwachstellen ab, um Eindringlingen ein Schlupfloch zu öffnen. Bots und Backdoors sorgen für Steuerungsmöglichkeiten, und Software für den Kennwortdiebstahl sowie Spyware sammeln vertrauliche oder profitträchtige Daten. BackDoor-AWQ.b – oder „Gray Pigeon“, wie der Backdoor-Trojaner von seinen Autoren genannt wird – wird seit 2003 auf der Website als „Remoteverwaltungstool“ kommerziell vermarktet. Ein Jahresabonnement kostet 100 Yuan (13 US-Dollar). Die Benutzer erhalten aktualisierte Versionen mit erweiterten Merkmalen wie Rootkits, verteilte Steuerung oder Keylogging. Die Website wurde von ihren Inhabern im März 2007 nach der Verhaftung der W32/ Fujacks-Autoren deaktiviert. Sicherheitsanalytiker befürchten nun, dass diese Gruppe ihre Aktivitäten in den Untergrund verlagern könnte, wodurch ihre Überwachung noch schwieriger würde. Würmer/Viren Botnet Was: –Verbreitung über E-Mail, IM, File Sharing, USB-Laufwerke usw. –Oder Ausnutzung von Schwachstellen Wer: –Angreifer –Wurm-/Virenautoren Was: –DDoS –Spam/Phishing Wer: –Angreifer –Botnet-Autoren –Spammer Anonyme Zahlungsformen Zusätzlichen Spielraum für Geldwäsche und RMT ermöglicht die Tatsache, dass die meisten Menschen in China weder eine Kreditkarte noch einen PC besitzen, über die sie Online-Zahlungen tätigen könnten. Viele Chinesen gehen in Internetcafés, und nicht nur dort, sondern auch in Online-Shops und -Spielcentern sind so genannte Prepaid Game Cards die bevorzugte Zahlungsmethode. Da keine Registrierung erforderlich ist, sind diese Prepaid-Karten praktisch anonym. Es gibt immer wieder Fälle, in denen CyberDiebe die Prepaid-Karten über gestohlene Online-Bankkonten oder Kreditkartennummern kaufen und sie dann online wieder verkaufen. Cyber-Kriminelle sind zum Diebstahl von Prepaid-Kartennummern auch schon in Prepaid-Kartennetze eingedrungen. Wegen der Anonymität und der großen Verbreitung von Prepaid-Karten ist es für die Strafverfolgungsbehörden schwieriger geworden, nicht autorisierte Transaktionen und Cyber-Kriminalität aufzuspüren. „Tencent führt QQ-Sicherheitskarte ein“ (in chinesischer Sprache), Sohu.com. http://digi.it.sohu.com/20070906/n251998008.shtml „Tencent und die Sicherheit“ (in chinesischer Sprache), Tencent. http://safe.qq.com/ „QQ baut seine Marktführerschaft 2007 weiter aus“, „Taobao Wangwang holt im ersten Quartal gegenüber MSN auf“ (in chinesischer Sprache), iResearch. http://www.iresearchgroup.com.cn/Consulting/instant_messenger/DetailNews.asp?id=65222 Copyright © 2008 McAfee, Inc. Angreifer Cyber-Kriminelle sind nicht zwangsläufig ausgezeichnete Hacker. Sie richten sich ganz klassisch nach Angebot Hacking Was: –SQL-Injektion –Anwendungs schwachstellen –Zero-Day- Schwachstellen Wer: –Angreifer –Autoren von Hacker- Tools –Schwachstellenforscher Missbrauch über das Web Was: –Einbringung von böswilligem Code in Webseiten –Injektion von Rootkits Wer: –Backdoor-/Rootkit- Autoren –Angreifer Erlangung vertraulicher Informationen Was: –Online-Banking – Online-Handel – Online-Zahlungen – QQ-Konto – Spielkonto Wer: –Angreifer und Nachfrage. Informationen Was: –Quellcode –Commercial-Intelligence-Informationen –Server für Online-Spiele/Datenbankserver Wer: –Angreifer Geldwäsche Was: –Virtuelle Währung – Prepaid Game Cards –Schwarzmarkt Wer: –Angreifer –Händler $$$ 13 14 gtr | Februar 2008 gtr | Februar 2008 Talentpool und Arbeitslosigkeit Allein in Peking belief sich die Anzahl der Hochschulabsolventen im Jahr 2007 auf fast 200.000 – und damit auf mehr als je zuvor. Nur 43 Prozent davon können jedoch damit rechnen, Arbeit zu finden. In ländlichen Gebieten stellt sich die Beschäftigungssituation unter Umständen noch schlechter dar. Viele der „Goldfarmer“ stammen aus den ländlichen Regionen und Vorstädten Chinas. Sie arbeiten in 12-Stunden-Schichten für einen Monatslohn von rund 250 US-Dollar, was in den ärmsten Teilen des Landes eine recht gute Bezahlung ist. Nach seinem Abschluss an einer Computerschule im Jahr 2005 gelang es dem 25-jährigen Li Jun nicht, eine Arbeit zu finden. In dieser Situation benötigte er dringend Geld. Und er besaß die Fähigkeit, Malware zu schreiben. Diese Faktoren trugen dazu bei, dass er neben dem nun so berüchtigten Wurm W32/Fujacks. worm auch W32/QQPass.worm sowie W32/Lewor schrieb und veröffentlichte. Er verkaufte den Quellcode von W32/Fujacks an über 120 Interessenten und erzielte damit einen Gewinn von über 13.000 US-Dollar – in einer Stadt, in der das jährliche Pro-Kopf-Einkommen bei etwa 3.000 US-Dollar liegt. Es könnte gut sein, dass Li Jun kein Einzelfall bleibt, weil sich viele junge Menschen in China in einer ganz ähnlichen Situation befinden. Hackbase.com ist eine der größten „Hacker“-Schulungswebsites in China. Laut eigenen Angaben hat sie über 10.000 Mitglieder. Auf der Schwesterwebsite Hackerbase.net werden explizit Hacking-Dienste gegen Bezahlung angeboten. Richtlinien der Regierung Im September 2007 wurde Li Jun von einem chinesischen Gericht zu vier Jahren Haft verurteilt. Wird dies andere Malware-Autoren von Cyber-Kriminalität abhalten? Während der Verhandlung legte der Anwalt von Li Jun ein Schreiben von einer IT-Firma in Hangzhou vor, in dem Li Jun die Stelle des Technischen Direktors angeboten wurde. Er behauptete, es lägen zehn weitere Angebote von verschiedenen Firmen vor, die Li Jun ein Jahresgehalt von 1 Million Yuan (133.000 US-Dollar) zahlen würden. Nach der Festnahme Li Juns und seiner Komplizen Anfang 2007 ist die Verbreitung von Würmern in China nicht zurückgegangen. Hier half auch nicht die Tatsache, dass der Quellcode von W32/Fujacks verkauft wurde. 300 % WACHSTUM DER HÄUFIGSTEN MALWARE von 2006 zu 2007 250 % 200 % 150 % ICBC, die größte staatseigene Handelsbank, meldete ein E-Banking-Transaktionsvolumen, das allein im ersten Quartal 2005 die 170-Milliarden-Yuan-Marke (22,6 Milliarden US-Dollar) erreichte. Im Jahr 2000 belief sich das Volumen noch auf lediglich 15,4 Milliarden Yuan (2 Milliarden US-Dollar). Die chinesische Bankregulierungsbehörde (CBRC) gab im Jahr 2005 bekannt, dass die im Jahr 2000 verabschiedeten Richtlinien nicht ausreichten, um die Handhabung und Überwachung der zusätzlichen Risiken im Zusammenhang mit Internet-Banking zu regeln. Positiv ist: Die jüngste Verurteilung von Cyber-Kriminellen wie Li Jun zeigt, dass der chinesische Gesetzgeber die Cyber-Kriminalität ernst nimmt. Die Auswirkung lokaler Cyber-Bedrohungen hat die Entwicklung von Regierungsrichtlinien und lokalen Anwendungen beschleunigt, um neue Maßnahmen zur Verhinderung von CyberKriminalität einzuführen. Die einzige Möglichkeit zur Gewährleistung eines kontinuierlichen Wachstums dieses Marktes liegt darin, die erforderlichen Sicherheitsmaßnahmen zu entwickeln, um die Benutzer zu schützen. Analytikern zufolge hat die Beliebtheit der QQ-Währung einen Punkt erreicht, an dem der Yuan an Wert zu verlieren droht. Geok Meng Ong leitet für Die CBRC führte daher im Jahr 2006 neue Kriterien zur Bewertung von E-Banking-Geschäften und relevanten Sicherheitsmaßnahmen („E-Banking Business and Relevant Security Evaluation“) ein, um den neuen Risiken in der virtuellen Welt zu begegnen. Seit fünf Jahren ist die QQ-Währung nun verfügbar. Nachdem es wegen Missbrauchs und Geldwäsche Bedenken gab, haben die chinesischen Behörden schließlich Beschränkungen für den Umlauf dieser Währung angeordnet. Analytikern zufolge hat die Beliebtheit der QQ-Währung einen Punkt erreicht, an dem der Yuan an Wert zu verlieren droht. Was bringt die Zukunft? Wir haben gesehen, wie die chinesische Bedrohungsvielfalt durch die einzigartigen Ausprägungen lokaler Kultur sowie durch politische und wirtschaftliche Aspekte beeinflusst wurde. Auf dem Höhepunkt des Wachstums und der Veränderungen in China können Richtlinien und Kontrollen noch nicht mit dem Tempo der Entwicklung mithalten. Die Popularität des Internets, die weit verbreitete Arbeitslosigkeit und der große Talentpool sind für viele Grund genug, als Malware-Autoren ihr Glück zu versuchen. Die aktuellen Bedingungen haben diese Hacker dazu gebracht, sich für Geld als Cyber-Kriminelle zu verdingen. McAfee Avert Labs ein Team von Sicherheitsforschern für den asiatischpazifischen Raum und Japan. Er entdeckte zufällig die dunkle Seite der CyberWelt, die sein Engagement für die Sicherheitsforschung beflügelte. Er kam im Geiste des Singapurer Kiasuismus und mit dem ehrgeizigen Ziel zu McAfee, auf dem Weg zu Sicherheit auf Weltklasseniveau erfolgreich zu sein. Ong ist als Forscher selbst in der Praxis engagiert und konzentriert sich dabei auf die Erforschung von Malware-Heuristik und Schwachstellen. Er wird wegen seiner Analysen neuer Malware-Trends und -Exploits, die in dieser Region vorherrschen, oft in den Medien zitiert. 100 % Yichong Lin ist Sicherheitsforscher bei 50 % Positiv ist: Die jüngste Verurteilung 0% n Gray Pigeon-Backdoor- n Kennwortdiebe für Spiele, IM Trojaner n Würmer und DateiInfektionen Abbildung 4: Software für Kennwortdiebstahl verzeichnet höhere Wachstumsraten als andere Malware. Wurde China von den jüngsten Veränderungen „kalt erwischt“? Zumindest im Bereich der Internetsicherheit lässt sich sagen, dass die Technologie so schnell angenommen wurde, dass Regierungsrichtlinien, Unternehmen und die traditionelle Kultur derzeit noch erheblich hinterherhinken. Copyright © 2008 McAfee, Inc. McAfee Avert Labs. Er befasst sich vor allem mit Intrusion-Detection- von Cyber-Kriminellen wie Li Jun zeigt, dass der chinesische Gesetzgeber die Cyber-Kriminalität Technologie und der Erforschung von Schwachstellen. Beide Autoren untersuchen und beobachten den chinesischen Sicherheitsmarkt schon seit vielen Jahren. ernst nimmt. China Banking Regulatory Commission – Fragen und Antworten (in chinesischer Sprache). http://www.cbrc.gov.cn/chinese/home/jsp/docView.jsp?docID=2243 „Die Rechenleidenschaft von Menschen, die davon überzeugt sind, dass sie das Geld, die Zeit und die Leistung erhalten müssen, die sie wert sind (je mehr, desto besser!)“, freie Übersetzung der (englischsprachigen) Definition auf der Site Urban Dictionary. http://www.urbandictionary.com/define.php?term=kiasuism 15 16 gtr | Februar 2008 gtr | Februar 2008 V iele Menschen nehmen an, dass die Mafia und der Inlandsgeheimdienst (FSB, früher als KGB RUSSLAND: Die Wirtschaft und nicht die Mafia treibt Malware voran bekannt) hinter den aus Russland kommenden Angriffen stehen müssten. Doch sind diese Organisationen wirklich die Hauptantriebskräfte? In diesem Artikel geben wir eine Antwort auf diese Frage. Zuerst werfen wir aber einen kurzen Blick auf die Geschichte der Malware-Entwicklung in Russland und die Hauptkräfte, die dahinter stecken. Wir besprechen die aktuellen Gesetze sowie die Erfolge und Niederlagen der Strafverfolgungsbehörden. Außerdem tauchen wir in den Schwarzmarkt ein, um herauszufinden, welche Produkte angeboten werden und mit welchen Preisen man bei Von Dr. Igor Muttik Malware, Malware-Buildern und verwandten Tools rechnen muss und welche Funktionen sie bieten. Abschließend geben wir einige Prognosen über die wahrscheinliche Entwicklung dieser Problematik. Eine kurze Zusammenfassung zur Entwicklung von Malware In der Sowjetunion konzentrierte sich die Bildung traditionell mehr auf technische und angewandte Wissenschaften als auf Geisteswissenschaften. Daher gibt es in Russland und den anderen früheren Sowjetrepubliken sehr viele hochqualifizierte junge Menschen mit hervorragenden Kenntnissen in Mathematik, der IT und der Programmierung. Die Kombination aus relativ niedrigen Gehältern, einer hohen Arbeitslosenquote und der breiten Verfügbarkeit vernetzter Computer machen die Entwicklung von Malware für viele Menschen attraktiv. Zudem gelten in Russland – ebenso wie in vielen anderen Ländern – Hacker in der Bevölkerung als außergewöhnlich kluge Menschen. Dadurch umgibt MalwareAutoren die Aura des Besonderen. Früher haben russische Programmierer viele ausgefeilte Viren entwickelt. Einer der bemerkenswertesten Viren war ein mehrteiliger Virus namens Zaraza (auch 3APA3A genannt), der ein neuartiges Verfahren zur Infektion von Festplatten anwendete: Er erstellte ein Duplikat der DOS-Betriebssystemdatei „io.sys“. Aufgrund dieses Viruses mussten sogar Antivirenmodule geändert werden! Ein anderer bemerkenswerter Virus – W32/Zmist – wurde von einem berüchtigten, produktiven und sehr einfallsreichen Virenautor geschrieben, der sich selbst Z0mbie nennt. Dieser parasitäre Virus dekompiliert bei einer Infektion Dateien und setzt sie wieder zusammen, sodass der Virus nahtlos in den Host integriert wird. Sicherheitsforscher aller Antivirenfirmen sind einstimmig der Meinung, dass Viren mit diesem Verhalten am schwersten zu erkennen sind. Während der vergangenen Jahre haben immer öfter finanzielle Beweggründe zu einer vermehrten Erstellung von Malware geführt. Auch Spam und Spam-Tools sind gefragt. Gleichzeitig greifen diese Bereiche ineinander. So werden beispielsweise Botnets häufig für die Verbreitung von Spam verwendet. „Die Macht des Geldes“, Analyse globaler Sicherheitsbedrohungen, Jg. 1, Ausgabe 1, Seite 13. http://www.mcafee.com/us/local_content/white_papers/threat_center/mcafee_sage_v11_en.pdf. Lokalisierte Versionen sind unter http://www.mcafee.com/us/threat_center/ white_paper.html verfügbar. Copyright © 2008 McAfee, Inc. Gleichzeitig gibt es in Russland viele Unternehmen, die systemnahe Kenntnisse für legitime Zwecke wie erstklassige Schwachstellenforschung (www.securitylab.ru) oder häufig verwendete Kopierschutztechnologien (http://www.star-force.com) nutzen. IDApro, ein Softwareanalyse-Toolkit der Spitzenklasse (www.idapro.ru, www.idapro.com), ist das branchenweit führende Programm für Reverse Engineering. Und die Systeme zum Software-Schutz AsPack und AsProtect (www.aspack.com, www.star-force.ru) werden häufig zum Packen kommerzieller Software verwendet. Natürlich gibt es aber auch einige halblegale Sites (http://wasm.ru, www.xakep.ru), die sich dem Disassemblieren und Modifizieren von Software verschrieben haben und eine hervorragende Ressource für das Reverse Engineering bieten (http://www.cracklab.ru). Die in diesen Bereichen eingesetzten Kenntnisse und Fähigkeiten könnten für die Entwicklung von Malware sehr hilfreich sein. Und viele junge und unerfahrene Menschen könnten von der sehr hohen Rentabilität bei Computerkriminalität angezogen werden. Was hält diese jungen Programmierer also davon ab, sich der Kriminalität zuzuwenden? Mit welchen gesetzlichen Kontrollen müssten sie rechnen? Viele junge und unerfahrene Menschen könnten von der sehr hohen Rentabilität bei Computerkriminalität angezogen werden. 17 18 gtr | Februar 2008 Aktuelle Gesetzeslage In Russland traten Gesetze für Delikte im Zusammenhang mit Computern im Juni 1996 in Kraft (in Kapitel 28 des Strafgesetzbuchs der Russischen Föderation). Im November 2001 wurden dann einige Änderungen vorgenommen. Es gibt drei Hauptparagraphen, die die folgenden Delikte abdecken (hierbei handelt es sich nicht um eine offizielle Übersetzung): § 272) Nicht autorisierter Zugriff auf Computerdaten, wenn dadurch ein Verlust, Blockieren, Ändern, Kopieren oder Zusammenbrechen des Computerbetriebs, des Systems oder eines Netzwerks verursacht wird. § 273) Absichtliche Erstellung von Computerprogrammen oder Änderung vorhandener Programme, wenn dadurch ein Verlust, Blockieren, Ändern, Kopieren oder Zusammenbrechen des Computerbetriebs, des Systems oder eines Netzwerks verursacht wird. Dazu gehört auch die Verwendung und Verbreitung entsprechender Programme oder Computermedien mit solchen Programmen. § 274) Eingreifen in den normalen Betrieb eines Computers, Systems oder Netzwerks durch eine Person, die Zugriff auf einen Computer, ein System oder ein Netzwerk erlangt, wodurch ein Verlust, Blockieren, Ändern, Kopieren oder Zusammenbrechen des Computerbetriebs, des Systems oder eines Netzwerks verursacht wird und wenn dadurch erheblicher Schaden entsteht. Das Strafmaß beginnt bei reinen Bußgeldern oder gemeinnütziger Arbeit. Für Delikte mit ernsthaften Folgen (oder wenn sie von einer organisierten Bande begangen wurden) können auch Haftstrafen von vier bis sieben Jahren verhängt werden. Im Jahr 2006 erließ die russische gesetzgebende Kraft – die Duma – Gesetze zum Schutz persönlicher Daten (http://www.akdi.ru/gd/proekt/097697GD.SHTM) und zum Datenschutz (http://www.russianlaw.net/law/laws/t3.htm). Das erstere Gesetz verlangt die Zustimmung der betreffenden Person für die Verwendung personenbezogener Informationen und gibt nur sehr wenigen begründeten Ausnahmen Raum. Diese Regelung steht im Einklang mit der international üblichen Vorgehensweise. Im Juli 2006 verabschiedete der Gesetzgeber außerdem ein Gesetz, nach dem Inserenten das so genannte Opt-In-Modell befolgen müssen und Werbung somit nur mit ausdrücklicher Zustimmung der Nutzer versendet werden darf. In der Folge wurde in Russland vorübergehend weniger Spam versendet. Nach nur vier Monaten war jedoch alles wieder beim Alten – ca. 80 Prozent Spam im normalen E-Mail-Verkehr (http://www.cnews.ru/news/top/index.shtml?2007/02/19/236529). Die Gesetzgebung ist also im Aufwind und kümmert sich allmählich um die Krisenherde. Aber funktioniert das auch bei der Malware-Erstellung? gtr | Februar 2008 Erfolge und Niederlagen der Strafverfolgung Es gibt ein russisches Sprichwort, das besagt, dass die unbeugsame Härte des russischen Gesetzes nur durch die Unmöglichkeit ausgeglichen wird, es durchzusetzen. Wir müssen also den Härtetest machen und überprüfen, wie diese Gesetze in der Praxis angewendet werden. Wie bei High-Tech-Kriminalität üblich liegen die Gesetze immer ein wenig hinter den aktuellen Entwicklungen bei der missbräuchlichen Nutzung dieser Technologie zurück. Russische Gesetze zur Computerkriminalität sind jedoch ziemlich allgemein gehalten und konnten bereits eingesetzt werden, um einen Spammer zu verurteilen (http://www.ifap.ru/eng/projects/as02.pdf) – obwohl die Gesetzgeber nicht an die Folgen von Spam dachten, als sie die entsprechenden Gesetze erließen. Ein weiterer Hacker wurde nach Paragraph 273 wegen nicht autorisierter Änderung eines Computersystems verurteilt (www.internet-law.ru/intlaw/crime/tumen.htm), und gegen einen Studenten wurde wegen Betreibens einer Website Anklage erhoben, auf der er ca. 4.000 Malware-Beispiele zum Download anbot. Was die internationale Computerkriminalität betrifft, so verurteilte ein Gericht in der Oblast Saratow, etwa 850 Kilometer südöstlich von Moskau, drei russische Hacker zu jeweils acht Jahren Gefängnis sowie einer Geldstrafe von 3.700 US-Dollar (http://www. whatreallyhappened.com/archives/cat_computersinternetsecurity. html). Sie hatten versucht, 4 Millionen US-Dollar von globalen Internetfirmen zu erpressen. Computerbasierte Delikte sind häufig grenzüberschreitend. Und manchmal überqueren auch die Kriminellen die Grenze. Dann unterliegen sie den örtlichen Gesetzen und können festgenommen und verurteilt werden. Im August 2007 berichteten US-amerikanische Behörden über eine organisierte Bande, die es auf Identitätsdiebstahl und dabei speziell auf reiche Amerikaner abgesehen hatte. Der Kopf der Bande wurde in New York festgenommen, als er aus Russland in die USA flog, um Goldbarren im Wert von 7 Millionen US-Dollar in Empfang zu nehmen, von denen er dachte, dass sie mit dem gestohlenen Geld eines seiner Opfer erworben wurden (http://www.informationweek.com/security/ showArticle.jhtml?articleID=201800899). Die Ressourcen- und Mittelbeschaffung für Einheiten gegen Computerkriminalität ist ein weiteres – und alles andere als triviales – Problem für die Strafverfolgungsbehörden. (Dieses Problem stellt sich weltweit in vielen Ländern.) Da der Erfolg der Behörden gegen die Computerkriminalität hinter den Erwartungen der Bevölkerung zurück bleibt, eilten nichtstaatliche und internationale Institutionen zur Hilfe (http://www.crime-research.org/about/). Das Computer Crime Research Center (Zentrum zur Computerkriminalitätsforschung) hat ein Dokument herausgebracht, in dem der Status der Gesetze gegen Computerkriminalität in den früheren Sowjetrepubliken detailliert geschildert wird (http://www.crime-research.org/library/ Criminal_Codes.html). Das Open Forum of Internet Service Providers (ein offenes ISP-Forum) ist eine ähnliche nichtstaatliche Organisation und erstellte 2002 eine Reihe von Regeln für faire Netzwerknutzung. Diese Regeln dienten als Präzedenzfall (http://www.ofisp.org/documents/ofisp-008.html) für die Bestätigung eines Gerichtsurteils zum russischen Anbieter ISP MTUIntel, der den Internetvertrag für einen Spammer gekündigt hatte. Im Juli 2005 ging die Geschichte der Ermordung des berüchtigtsten russischen Spammers Vardan Kushnir durch die Medien. Die weit verbreitete Überzeugung, dass dieser Mord mit der Verbreitung von Spam zusammenhing, konnte sich nicht mehr halten, als die wahren Mörder im August 2005 festgenommen wurden. Es ist ironisch, vielleicht aber auch typisch für die Medienwelt, dass die unbegründeten Spekulationen weitaus mehr Schlagzeilen machten als die Fakten, die nach Abschluss des Mordfalls vorlagen. Schwarzmarktpreise Grenzüberschreitende Angriffe auf Webserver sind nicht außergewöhnlich. In der Regel werden dabei Server manipuliert und Malware (oder böswillige Links zu Malware) platziert. In einem Fall bemerkten Webadministratoren aus mehreren Ländern Angriffe von demselben in St. Petersburg registrierten Netzwerk. Ein solcher Zufall zeigt, dass diese Aktivitäten recht häufig sind. Auf der im August 2007 in Washington abgehaltenen Konferenz Internet Security Operations and Intelligence III hat einer meiner Kollegen erfahren, dass die überwältigende Mehrheit der größten Betrugsfälle von Kriminalität im Internet mit russischen oder ehemals sowjetischen Cyber-Kriminellen in Verbindung zu stehen scheint. „Go Away, Russian Business Network!“ (Lass mich in Ruhe, Russian Business Network!), Dusting My Brain. http://dustingmybrain.com/archives/002375.html und „More on the Russian Business Network!“ (Mehr zum Russian Business Network!), Dusting My Brain. http://dustingmybrain.com/archives/002379.html Copyright © 2008 McAfee, Inc. Im Juli 2007 hat das russische Exploit-Paket MPack Webserver in Italien massiv kompromittiert. (Eine grafische Beschreibung der Funktionsweise dieses Pakets finden Sie im Symantec-Blog.) Um solche Angriffe bewältigen zu können, müssen Gesetzgeber, Strafverfolgungsbehörden und Internetdiensteanbieter (Internet Service Provider, ISP) eng und grenzüberschreitend zusammenarbeiten – eine unglaublich schwierige Aufgabe. Abbildung 1: Auf dieser Site wird Malware zum Kauf angeboten und in einer kleinen Befragung sogar um Kundenfeedback gebeten. „MPack, Packed Full of Badness“ (MPack, ein Paket voller Schlechtigkeiten), Symantec Enterprise WebLog. http://www.symantec.com/enterprise/security_response/ weblog/2007/05/mpack_packed_full_of_badness.html „Vardan Kushnir“, Wikipedia. http://en.wikipedia.org/wiki/Vardan_Kushnir Auf der Suche nach individuell gefertigter Malware wird man schnell fündig. Es gibt sogar spezielle Websites, die diese Dienstleistungen anbieten. In einigen Foren sind wir auch auf verschiedene Anfragen nach Malware gestoßen. Da es Käufer und Verkäufer gibt, ist natürlich auch ein Markt für Malware vorhanden. Auf der in Abbildung 1 gezeigten Site haben wir Ergebnisse einer Befragung gefunden, in der Besucher angeben sollten, ob sie an Angeboten für Bankkonten, Tagebücher, PayPal, eBay usw. interessiert wären. Überraschenderweise antworteten 67 Prozent (das sind 149 Personen) mit „Ja“. Die Site bietet die folgenden „speziellen“ Absatzgebiete: • Bots • • Bruter (offensichtlich • Brute-Force-Cracker) • • Flooder • • Grabber • Infektionen • (Viren und Würmer) Keylogger Sniffer Spam-Software Sploits (Exploit-Demos und -Schwachstellen) Trojaner Finanz-Malware Abbildung 2: Malware-Einkauf: Was ist im Angebot? Diese Site bietet insgesamt sieben Einträge. Dazu gehören: • PG Universal Grabber (Power Grabber Version 1.8): unterstützt Microsoft Internet Explorer und kompatible Browser; installiert sich selbst und entfernt die Spuren der Installation; umgeht Firewalls; ist unsichtbar und wird nicht erkannt; sendet Protokolle sofort nach einem POST-Befehl; lädt externe Dateien; aktualisiert Bots; blockiert ausgewählte Sites; zerstört sich nach dem n-ten Neustart selbst; verschlüsselt URLs. • Grabber-Toolkit: „Alles für den Carding-Neuling“ – Builder; Schlüsselgenerator; stellt Statistiken über eine administrative Seite bereit. • Grabber Ghost Version 2.0: ändert im aktivierten Zustand URLs, die von Suchmaschinen zurückgegeben werden, oder wenn bestimmte Schlüsselwörter verwendet werden. 19 20 gtr | Februar 2008 gtr | Februar 2008 Bots und Builder Angepasste Malware DDoS-Angriff auf Estland Prognosen Auf dem Markt erhältliche Bots (Abbildung 3): • WDLX Version 1.1: enthält einen Downloader, der eine in einem Builder angegebene URL verwendet; installiert sich selbst und wartet auf eine bestehende Internetverbindung. Nach Ablauf einer vom Käufer festgelegten Zeit, wird das Programm ausgeführt, und alle Spuren seiner Aktivitäten werden entfernt. • Xloader: täuscht Firewalls; enthält detaillierte Statistiken über PHP-Scripting. • Mehrschichtiger DDoS-Angriff (Distributed Denial of Service): neue Mehrfachfunktion; Mehrschichtiger Bot für Unix, Linux und verwandte Betriebssysteme. Diese Anzeige (Abbildung 4) wurde in mehreren Foren geschaltet und bietet folgende Dienste an: • Eindringen in Websites und Foren: 50 US-Dollar • Garantiertes Eindringen in Postfächer von mail.ru und yandex.ru: 45 US-Dollar • Umfangreiches Ausbringen von Trojanern und Spionageprogrammen: 100 US-Dollar • Verbreiten von Spam: 70 US-Dollar Im April und Mai 2007 gab es einen großen DDoS-Angriff, der auf viele Regierungswebsites in Estland gerichtet war. Ermittler gehen davon aus, dass der Angriff durch die Umsetzung des „bronzenen Soldaten“ veranlasst wurde, einem Denkmal für einen unbekannten russischen Soldaten im Zweiten Weltkrieg. Estnische Behörden hatten beschlossen, das Monument vom Zentrum Tallins auf einen vorstädtischen Militärfriedhof zu versetzen. Dieser Beschluss löste unter der Bevölkerung Tallins Unruhen aus, bei denen eine Person getötet wurde. Später, kurz vor dem Jahrestag des Sieges (zur Beendigung des 2. Weltkriegs, der in Estland am 9. Mai gefeiert wird), begann ein mehrere Tage andauernder DDoS-Angriff. Viele große estnische Websites standen während dieser Zeit nicht zur Verfügung. Unter Sicherheitsexperten herrscht die Meinung vor, dass dieser Angriff von einer Gruppe von Einzelpersonen durchgeführt und von deren patriotischen Gefühlen angeheizt wurde. Weitere technische Informationen über den Angriff finden Sie im unten angegebenen Artikel. Es konnten keine Hinweise auf eine Beteiligung der russischen Regierung an diesen Angriffen gefunden werden, und selbst wenn es eine Verbindung gäbe, würde diese mit sehr großer Wahrscheinlichkeit nicht entdeckt werden., Nach dem Vorfall beschuldigten sich beide Seiten gegenseitig der Cyber-Angriffe.10 Mit Verbesserungen in der Gesetzgebung, einer Stärkung der Wirtschaft und Senkung der Arbeitslosigkeit sowie stärkerer Strafverfolgung in Russland erwarten wir einen allmählichen Rückgang bei der Malware-Erstellung. Andere frühere Sowjetrepubliken und sogar China werden voraussichtlich demselben Muster folgen. Gleichzeitig weisen aktuelle Trends bei den Malware-Zahlen deutlich auf eine beschleunigte Erstellung in fast allen Regionen weltweit hin. Selbst wenn die Malware-Produktion in Russland also auf „westliches Niveau“ sinken sollte, ist sie immer noch beträchtlich. Und die Preise in US-Dollar: • Bot-Builder mit DDoS-Funktionen: 250 US-Dollar • Bot-Build: 35 US-Dollar • Bot: 25 US-Dollar • Downloader (mit einer Größe von 5-6 K): 10 US-Dollar • Form-Grabber: 350 US-Dollar • Keylogger: 20-30 US-Dollar • WebMoney-Trojaner/Builder: 60 US-Dollar Spam-bezogene Dienste Auf dieser Site (Abbildung 5) werden „Spam-Dienste“ für E-MailAdressen-Sammlungen zu folgenden Preisen angeboten: • 400.000 Unternehmen: 55 US-Dollar •1.800.000 Einzelpersonen: 100 US-Dollar • 90.000 Unternehmen in St. Petersburg: 30 US-Dollar • 450.000 Einzelpersonen in der Ukraine: 50 US-Dollar • 6.000.000 russische Einzelpersonen: 150 US-Dollar • 4.000.000 Adressen bei@mail.ru: 200 US-Dollar Bei Bezahlung per WebMoney bietet der Dienst sogar großzügig Rabatte an. Fazit Wir werden in nächster Zeit wohl keinen allgemeinen Rückgang bei der Anzahl an Malware verzeichnen können. Computerkriminalität ist einfach zu gewinnbringend und birgt momentan zu wenige Risiken. Und entgegen der vorherrschenden Meinung ist sie nicht nur ein technologisches, sondern vielmehr ein soziales und wirtschaftliches Problem. So wie fast immer werden sich die Dinge wahrscheinlich erst einmal verschlechtern, bevor sie besser werden. Wir sind davon überzeugt, dass sich die Situation auf lange Sicht entscheidend ändern kann, wenn weltweite Vereinbarungen über die Internetnutzung gefunden werden (z. B. obligatorische InternetID-Karten). Eine Änderung zum Besseren wird jedoch eher durch Fortschritte bei der Computersicherheit – sowohl im Hardware- als auch im Softwarebereich – möglich sein. Wir von McAfee® Avert® Labs haben ein gutes Gefühl dafür, was die Erstellung von Computer-Malware vorantreibt. Alle Länder mit relativ armen Computerbenutzern mit guten Computerkenntnissen und einem gut verfügbaren Internet tragen zu diesem Problem bei. Dazu gehören Länder wie China, Russland, Brasilien und die Ukraine. Abbildung 3: Bots im Angebot Abbildung 4: Wählen Sie Ihr Exploit Für uns ist offensichtlich, dass die russische Mafia und der russische Inlandsgeheimdienst FSB nicht hinter dem Anstieg bei Malware-, Spam- und Phishing-Angriffen stecken, die von der früheren Sowjetunion ausgehen. Aufgrund der extrem hohen Gewinne und der niedrigen Risiken muss die Mafia jedoch ein Interesse daran haben, Computerkriminalität zu unterstützten. Gleichzeitig wäre es sehr überraschend, wenn die Neuauflage der Geheimpolizei keine auf Computersicherheit spezialisierte Abteilung hätte und nicht in die Erforschung des Computerkriegs investieren würde. Dasselbe gilt für das Militär. Nichtsdestotrotz sehen wir wirtschaftliche Faktoren als Hauptursache für die Entwicklung von Malware in Russland und den anderen früheren Sowjetrepubliken. „Bronze Soldier of Tallinn“ (Bronze-Soldat von Tallin), Wikipedia. http://en.wikipedia.org/wiki/Bronze_Soldier_of_Tallinn „Estonian DDoS—a final analysis“ (DDoS auf Estland – eine Abschlussanalyse), Heise Security. http://www.heise-security.co.uk/news/90461 „Estonian DDoS Attacks—a summary to date“ (DDoS-Angriffe auf Estland – eine Zusammenfassung der bisherigen Ereignisse), Arbor Networks. http://asert.arbornetworks.com/2007/05/estonian-ddos-attacks-a-summary-to-date/ „DDoS attacks on the Estonian servers were not a cyber war“ (DDoS-Angriffe auf estnische Server waren kein Cyber-Krieg), Heise Online. http://www.heise.de/english/newsticker/news/91095 Abbildung 5: Spam – Alles was Sie sich wünschen (und bezahlen können) „Massive DDoS attacks target Estonia; Russia accused“ (Massive DDoS-Angriffe auf Estland; Russland beschuldigt), Ars Technica. http://arstechnica.com/news.ars/ post/20070514-massive-ddos-attacks-target-estonia-russia-accused.html 10„Malware Evolution: April–June 2007“ (Malware-Entwicklung: April bis Juni 2007), Viruslist.com. http://www.viruslist.com/en/analysis?pubid=204791956 Copyright © 2008 McAfee, Inc. Dr. Igor Muttik arbeitet als Senior Architect für McAfee Avert Labs. Er ist Doktor der Physik und Mathematik. Aufgrund seiner Untersuchungen der ersten Computerviren begann er bei Dr. Solomon's Software, einem später von McAfee, Inc. erworbenen Unternehmen. Neben seinen Forschungen zu Malware hält Dr. Muttik rund um den Globus regelmäßig Vorträge auf Sicherheitskonferenzen. 21 22 gtr | Februar 2008 gtr | Februar 2008 DEUTSCHLAND: Malware lernt die Sprache Von Toralv Dirro und Dirk Kollberg S eit den 1990er Jahren unterscheidet sich das Bedrohungszenario von Europa (einschließlich Deutschland) und Nordamerika. Die Hauptursache dafür liegt in der Vielfalt der Sprachen – allein in der Europäischen Union gibt es 23 offizielle Sprachen. Außerdem ließ sich lange Zeit beobachten, dass die meisten Malware- und anderen Angriffe an der Sprachbarriere scheiterten. Diese Barriere machte sich zum Beispiel dann bemerkbar, wenn je nach der Sprachversion des Betriebssystems unterschiedliche Pfade im Dateisystem verwendet wurden. Malware bestimmte häufig mithilfe fest codierter Pfade, an welchen Stellen Dateien zu speichern oder Informationen zu suchen sind. Und das hat ganz schlecht funktioniert. (Wir finden immer wieder noch kommerzielle Software, die aus genau diesem Grund fehlerhaft arbeitet.) Einige sehr primitive Viren hatten Erfolg, weil sie kaum Text verwendeten. Davon war ein Teil mithilfe von VBSWG generiert, einem Toolkit zum Erstellen von Viren, mit dem Jeder einfache MassenMailing-Würmer erstellen konnte, die mit Visual Basic Script arbeiteten. Im folgenden Beispiel kommt es auf den Namen der Anlage an, damit die Sprachbarriere leicht überwunden werden kann. Die nächste Klasse von Malware, die mit der Sprachbarriere Probleme hatte, waren Microsoft Word-Makroviren. Die ersten Makroviren haben gar nicht funktioniert, und viele ihrer Nachfolger hatten auch so ihre Probleme, weil in den lokalisierten Versionen von Word auch die Funktionen lokalisiert wurden. Wenn sich ein Virus also in die Funktion FilePrint hätte einklinken wollen, hätte er bei einer deutschen Version von Word die Funktion DateiDrucken und bei einer französischen Version die Funktion FichierImprimer verwenden müssen. Diese Problematik veranlasste MalwareAutoren, Viren speziell für bestimmte Sprachversionen von Word (z. B. deutsch, französisch, spanisch) zu erstellen. Natürlich gibt es auch Makroviren, die keine der lokalisierten Funktionen benötigen – und diese Viren sind in Europa durchaus erfolgreich. Die nächste Welle bestand aus Mailing- und Massen-Mailing-Würmer, d. h. Viren, die zielgerichtet E-Mails erstellten, um sich selbst an andere Benutzer zu senden. Dieser Typ von Malware war für seinen Erfolg erstmals auf Social Engineering angewiesen. („Social Engineering“ bedeutet in diesem Zusammenhang, dass der Empfänger überzeugt sein muss, dass es sich lohnt, die E-Mail und die angefügte Datei zu öffnen.) Das Problem ist für heutige Angreifer dasselbe wie bei den ersten Mailing-Würmern: Sie müssen eine Nachricht erstellen, die echt aussieht und den Benutzer veranlasst, die Anlage zu öffnen. Ein guter Anfang besteht darin, den Nachrichtentext in der Muttersprache des Empfängers zu verfassen oder nur wenig oder gar keinen Text zu verwenden. Eine längere Nachricht, die angeblich von einem Freund oder Kollegen stammt, gleichzeitig aber auf Englisch dazu auffordert, unbedingt die Anlage zu öffnen, würde in Deutschland nicht funktionieren. Copyright © 2008 McAfee, Inc. Abbildung 1: Der Schlüssel für diese verlockende Dateianlage liegt in Social Engineering. Wenn Windows Explorer so voreingestellt ist, dass bekannte Dateierweiterungen ausgeblendet werden, würde diese Malware als Datei mit dem Namen „AnnaKournikova.jpg“ angezeigt werden. In diesem Fall könnte ein Benutzer den Virus fälschlicherweise für ein Bild halten. Bei anderen Bedrohungen wurde der E-Mail-Text in der lokalen Sprache geschrieben. Auch wenn eine Malware mit dieser Taktik im jeweiligen europäischen Sprachraum erfolgreich war, stellte sie 23 24 gtr | Februar 2008 gtr | Februar 2008 außerhalb dieses Gebiets kaum eine Bedrohung dar. Dadurch hat es eine Reihe lokaler Ausbrüche gegeben, bei denen ein einzelner Virus eine bestimmte Region abdeckte, außerhalb dieses Gebiets jedoch kaum Wirkung erzielte. Durch diese extreme regionale Fokussierung können Forscher nur sehr schwer abschätzen, wie groß die Bedrohung durch eine Malware wirklich ist. In solchen Fällen hat es sich als überaus hilfreich erwiesen, in einzelnen europäischen Ländern lokale Virenforschungslabore zu betreiben. Dies ist ein Beispiel für den berüchtigten Downloader-AAP-Trojaner, der in Deutschland sehr verbreitet ist. Diese Malware wurde massenhaft an Benutzer gesendet, deren E-Mail-Adressen mit „.de“ endeten. Der Text der E-Mail war auf deutsch geschrieben. Viele Monate lang wurden diverse Spam-Offensiven pro Woche beobachtet, die alle unterschiedliche Nachrichten im Textteil und unterschiedliche Varianten des Downloaders und des von ihm installierten Kennwörter stehlenden Trojaners enthielten. Nach dem deutlichen Kurswechsel in der Malware-Szene, der durch die im Botnet-Geschäft möglichen Profite ausgelöst wurde, werden nun Daten stehlende Trojaner und Phishing-Angriffe in E-MailNachrichten immer ausgefeilter. Anfangs waren Nachrichten noch in einem gebrochenen Deutsch verfasst, das sich las, als wäre es per Babelfish aus dem Englischen oder Russischen übersetzt wurden. Was wahrscheinlich auch der Fall war. Laut der Nachricht erhält der Empfänger eine Rechnung von einem Anwalt oder einem in Deutschland bekannten Unternehmen (z. B. Deutsche Telekom, eBay oder GEZ). Dieser „Absender“ sticht dem Empfänger ins Auge: Niemand erhält gern eine Rechnung, ganz besonders dann nicht, wenn es sich um einen Schwindel handeln könnte. Heute sind die Texte in perfektem Deutsch geschrieben, sie nehmen auf aktuelle Ereignisse Bezug und spielen mit der Erwartungshaltung der Benutzer. So konnten während der Fußballweltmeisterschaft im Sommer 2006 die Fans nur schwer Eintrittskarten bekommen. Daher gab es E-Mails, deren Anlagen angeblich detaillierte Informationen darüber enthielten, wie man diese seltenen Eintrittskarten kaufen konnte. Der illegale Tausch von Musik und Videos ist schon seit längerem ein Thema in den Nachrichten. Von deutschen Behörden stammt der Vorschlag, Computer mittels eines so genannten „Bundestrojaners“ online zu durchsuchen. Dieses Thema ist seit einiger Zeit heiß umstritten und hat zu der folgenden E-Mail geführt: Das Downloader-AAP-Beispiel nutzt den Angstfaktor: In diesem Fall geht es um das Tauschen von Dateien und die damit verbundenen juristischen Probleme in Deutschland. Die Nachricht besagt, dass der Benutzer beim Herunterladen von Dateien mit urheberrechtlich geschützten Inhalten in einem Dateitausch-Netzwerk erwischt und seine IP-Adresse protokolliert worden sei. Der PC des Benutzers wurde angeblich bereits von dem Bundestrojaner durchsucht, zulässiges Beweismaterial sei sichergestellt worden und das Bundeskriminalamt (BKA) würde die Straftat melden. Bei all diese Spam-Offensiven wurde in der E-Mail für weitere Informationen auf die Anlage verwiesen, die wie eine Rechnung aussah (oft mit dem Namen „Rechnung.pdf.exe“). Je nach den Systemeinstellungen sahen manche Benutzer nur die Erweiterung PDF und nahmen daher an, dass die Datei sicher ist. Diese war jedoch eine böswillige ausführbare Datei, der Downloader-AAP. Viele Empfänger dieser E-Mails bekamen es bei diesen Nachrichten mit der Angst zu tun und klickten ohne weiter nachzudenken auf die Anlage. Aufgrund dieser speziell auf Deutschland zutreffenden Situation funktioniert diese Angriffsmethode in anderen Ländern nicht. Schwerpunkt Deutschland Warum konzentrieren sich die Bösen nur auf ein einziges Land? Abbildung 2: Der Text behauptet, dass die IP-Adresse des Empfängers protokolliert wurde, während er illegal Dateien mit anderen Benutzern austauschte. Der Computer sei mithilfe des Bundestrojaners durchsucht und Beweismittel sichergestellt worden. Es sei Anzeige erstattet worden, und die Anlage enthalte ein Protokoll der auf dem Computer durchgeführten Online-Durchsuchung. Der Downloader-AAP-Trojaner lädt eine Textdatei herunter, die eine verschlüsselte URL enthält. Diese Datei wird entschlüsselt, und die unter der URL befindliche Datei wird heruntergeladen. Sie erweist sich als Spy-Agent.ba – ein Trojaner, der sich auf Kreditinstitute konzentriert und versucht, vertrauliche Kontoinformationen zu stehlen. Der Trojaner wurde entworfen, um Homebanking-Verbindungen zu „übernehmen“ und Benutzeranmeldeinformationen und Transaktionsnummern (TANs, Transaction Authentication Numbers) zu stehlen. Diese im Trojaner enthaltenen Funktionen sind für verschiedene deutsche Unternehmen optimiert. Der Trojaner schaltet sich selbst in die Kommunikation zwischen dem zu Hause befindlichen Benutzer und der Bank ein. Bei der Infiltration der Kommunikationswege geht der Trojaner je nach Kreditinstitut anders vor. Am 13. September 2007 gab das BKA bekannt, dass man eine international agierende Phishing-Gruppierung zerschlagen und dabei 10 Personen festgenommen und eine Reihe von Computern und anderen Beweismitteln sichergestellt hat. Der Pressemitteilung des BKA zufolge handelte es sich um eine Gruppe, die weltweit PhishingE-Mails mit angehängtem Downloader-AAP-Trojaner verbreitet hat. Aber das ist leider nicht das Ende von Downloader-AAP. Nur eine Woche nach den Festnahmen erhielt McAfee® Avert® Labs eine neue Probe, die sich auf eine ähnliche Weise verbreitet hat und Spy-Agent.ba herunterlädt. Von speziell auf Kreditinstitute abzielenden Trojanern ist nicht nur Deutschland betroffen. Sie treten ebenfalls in anderen europäischen Ländern auf und stellen auch in Brasilien eine große Bedrohung dar. Deutsche Kunden legen bei ihren Bankgeschäften sehr viel Wert auf Sicherheit und haben Technologien wie Homebanking nur sehr zögerlich akzeptiert. Phishing-Angriffe funktionieren in Deutschland schlechter als in vielen anderen Ländern. Und das liegt nicht nur an der Sprachbarriere. Die deutschen Kunden legen bei ihren Bankgeschäften sehr viel Wert auf Sicherheit und haben neue Technologien wie Homebanking nur sehr zögerlich akzeptiert. Aufgrund dieser zögerlichen Haltung wurden die Banken gezwungen, ein Sicherheitsschema anbieten, welches es erschwert, dass das eigene Bankkonto von Fremden übernommen werden kann. Bei dem aktuellen System ist zum Anmelden nicht nur ein Kontoname und eine PIN erforderlich, sondern zusätzlich auch zu jeder Transaktion eine TAN. Diese werden dem Benutzer von der Bank in gedruckter Form zugesendet. Bei jeder Transaktion muss eine noch nicht verwendete TAN angegeben werden. Diese starken Sicherheitsvorkehrungen haben Kriminelle gezwungen, für Homebanking-Angriffe auf andere Länder auszuweichen. TAN-Phishing Einige Trojaner sind so entworfen, dass sie auf fremden Computern TAN-Listen extrahieren, falls diese elektronisch gespeichert wurden. Und natürlich gab es gelegentlich auch primitive Phishing-Mails, mit denen versucht wurde, an solche TANs zu gelangen. „Erfolg gegen international organisierte Online-Kriminelle“, BKA. http://bka.de/pressemitteilungen/2007/pm070913.html Copyright © 2008 McAfee, Inc. Abbildung 3: In dieser Phishing-Mail wird außer nach vielen persönlichen Daten auch nach 10 unbenutzten TANs gefragt. In den letzten Monaten wurden Trojaner beobachtet, die speziell deutsche Banken angreifen, wobei sie sich in den Browser des Benutzers einklinken und das Verhalten der einzelnen OnlineBanking-Sites mit gefälschten Fehlermeldungen simulieren, um die vom Angreifer benötigte TAN zu erhalten. Solche Trojaner können Möchtegernkriminelle auf bestimmten Websites käuflich erwerben. Die Autoren haben Videos veröffentlicht, in denen deren Funktionen und Wirksamkeit demonstriert werden. Angriffe auf das deutsche Online-Banking sind in näherer Zukunft sehr wahrscheinlich. 25 26 gtr | Februar 2008 W32/Sober@MM ist ein Massen-Mailer, der in Deutschland, Österreich und der Schweiz viel Aufmerksamkeit auf sich gezogen hat. Die erste Variante wurde Ende 2003 gesichtet, die neueste im März 2007. Wie andere Massen-Mailer ruft W32/Sober E-Mail-Adressen auf dem lokalen System ab und versendet E-Mails in der entsprechenden Sprache der Top-Level-Domäne der einzelnen Empfängeradressen. gtr | Februar 2008 An englische Empfänger versendete W32/Sober eine andere E-Mail mit einer Kopie von sich selbst im Anhang: Infizierte Webserver Abbildung 6: Englischsprachigen Nachrichten gab W32/Sober ein allgemeineres Erscheinungsbild. Lokaler Touch Abbildung 4: W32/Sober@MM kann Nachrichten in verschiedenen Sprachen versenden. Die Sprache wird je nach der Top-Level-Domäne der Empfängeradresse gewählt. Bei einem anderen weit verbreiteten Angriff sendete W32/Sober.p@MM eine E-Mail an deutsche Benutzer, in der stand, dass der Empfänger Eintrittskarten für die Fußballweltmeisterschaft gewonnen hat: In Abbildung 7 können Sie sehen, wo es überall Opfer von Zunker gibt und wie sich der Spam ausbreitet. Dieselbe Webschnittstelle steuert die Trojaner und richtet die Nachrichten ein, die von den Trojanern verbreitet werden – entweder für alle Opfer oder für jedes Land eigene Nachrichten. Ein weiteres Beispiel für lokalisierte Malware ist der Trojaner Zunker. Dieser Kennwörter stehlende Trojaner versendet ebenfalls Spam-Nachrichten oder lenkt Benutzer auf böswillige Sites, um andere Benutzer zu infizieren. Das Unangenehme an diesem Trojaner ist, dass er eine Verbindung zu einem Server im Internet herstellt und dann je nach der IP-Adresse des Opfers die SpamNachrichten empfängt, die der Benutzer versenden soll. Zunker sendet Spam-E-Mails nicht nur so, wie man es erwarten sollte. Er bringt auch Text in den vom Benutzer gesendeten E-Mails unter. Zu diesem Zweck installiert Zunker auf dem kompromittierten Computer einen Mehrschicht-Dienstanbieter. Jedes Mal, wenn der Benutzer eine E-Mail sendet, verändert Zunker den Text und fügt einen böswilligen Link hinzu. Der Empfänger der E-Mail kennt wahrscheinlich den Absender und wird daher wohl Nachricht und Link als vertrauenswürdig ansehen. Diese Nachrichten platziert Zunker auch in Instant MessagingNachrichten für ICQ, AOL und Yahoo. Der zentrale Punkt in Sachen Lokalisierung ist in diesem Fall die platzierte Nachricht. Wenn die IP-Adresse des Opfers beispielsweise in Italien registriert ist, trägt Zunker eine italienische Notiz und den Link ein. In Schweden wäre es eine schwedische Notiz, usw. Ein anderer Verbreitungsweg für lokalisierte Malware ist die Verteilung über Webserver. Wenn ein Browser eine Datei von einem HTTP-Server anfordert, baut er eine TCP-Netzwerkverbindung auf. Der Server empfängt die Anforderung, lädt die Datei von der Festplatte und sendet sie zurück. Server, die als Host für böswillige Dateien dienen, verfügen über ein weiteres Feature: Nach dem Empfang der Anforderung überprüfen sie zuerst die IP-Adresse des anfragenden Systems und lösen dessen Landeshost mithilfe einer Datenbank auf. Mit dieser Information kann der infizierte Server für jedes einzelne Land lokalisierte Dateien übermitteln. Bei diesem System gibt es nur eine Verknüpfung zu einer Website. Je nachdem, wo ihre IP-Adresse registriert ist, empfangen Benutzer in den USA oder in Großbritannien einen englischsprachigen Trojaner, während Empfänger in Deutschland oder Österreich deutschsprachige Malware erhalten. Diese infizierten Server können von Antiviren-Anbietern kaum überwacht werden, da sie an die jeweilige URL unzählige Anfragen von unterschiedlichen IP-Adressen senden müssten, um an sämtliche Varianten der Malware zu gelangen. Abbildung 8: Ein Trojaner könnte durch Auswerten der Zeile „Accept- Außerdem wurden noch weitere Einzelheiten versprochen, in der als ZIP-Datei komprimierten Anlage befand sich jedoch die Datei „winzipped-text_data.txt.pif“. Diese enthielt natürlich keine weiteren Informationen – sie war nur eine Kopie des Wurms. Der Wurm trat zum idealen Zeitpunkt auf: Er schlug zu, als viele Deutsche auf eine E-Mail von der FIFA-Eintrittskarten-Lotterie warteten. Sogar die im deutschen Text aufgeführte Adresse und Telefonnummer stimmten perfekt. Der Wurm bewirkte dann in der Tat einen DDoS-Angriff (Distributed-Denial-of-Service) auf das FIFA-Büro, da dort so viele Empfänger des Wurms unter der angegebenen Nummer anriefen. Copyright © 2008 McAfee, Inc. Abbildung 7: Der Trojaner Zunker kann seine Nachrichten in verschiedenen Sprachen lokalisieren und damit Benutzer in vielen Ländern ansprechen. Vielen Angreifern ist inzwischen klar, dass sie regionale Aspekte berücksichtigen müssen, um erfolgreich zu sein. Wir haben gesehen, dass diese Lektion in Deutschland begriffen wurde, und der Trend zum Lokalisieren von Angriffen wird bestimmt weiter anhalten. Phishing-Angriffe werden immer raffinierter und schwieriger ausfindig zu machen. Betrügerische Jobanbieter, die Mittelsmänner für Geldgeschäfte suchen – ein kaum verhüllter Versuch, Unschuldige für schmutziges Geld zu engagieren – machen heutzutage einen sehr professionellen Eindruck und werden zukünftig wohl noch stärker auf lokale Gegebenheiten eingehen. Es ist wahrscheinlich, dass die Deutschen schon bald im selben Maße Phishing-Angriffen, per E-Mail verteilten Trojanern und Spam ausgesetzt sein werden wie Benutzer in englischsprachigen Ländern. Toralv Dirro ist Sicherheitsstratege in der Hamburger Niederlassung von McAfee Avert Labs. Dirro ist seit 1994 Forscher und ein namhafter Experte für Antivirus-Technologien der nächsten Generation und Netzwerk- Einen anderen Weg zur Übermittlung lokalisierter Dateien wird bei einem Blick auf die vom Browser an den Server gesendete Anforderung sichtbar: Abbildung 5: Diese Nachricht teilt dem glücklichen Empfänger mit, dass Fußballkarten verfügbar sind. Fazit Eindringungsschutz. Zu diesen Themen hält er oft Vorträge. Dirk Kollberg arbeitet als Leiter der Language“ (Sprache akzeptieren) die Nationalität dieser Clientanforderung Malware-Forschung in Hamburg für bestimmen, und für die Antwort die entsprechenden Sprache wählen. McAfee Avert Labs. Seit nunmehr Der Benutzer aus Abbildung 8 ist aus Deutschland (.de) und verwendet Internet Explorer 6 unter Windows 2000. AntiMalware-Forscher haben bei solchen Servern wenig Probleme: Sie senden einfach verschiedene Anforderungen von einer einzigen IP-Adresse an einen Server und erhalten die diversen Dateien, die der Trojaner anzubieten hat. acht Jahren analysiert er Würmer, Bedrohungen für Peer-to-Peer-Netzwerke und dienstausnutzende Bedrohungen sowie Trojaner, Bots und andere Viren. Kollberg hat seine Leidenschaft für Bits und Bytes dem Commodore PET zu verdanken. 27 28 gtr | Februar 2008 gtr | Februar 2008 BRASILIEN: Zechprellerei bei der Bank C Von Pedro Bueno und Patricia Ammirabile „PWS-Banker“ bezeichnet werden. Dabei steht „PWS“ für das englische Wort „Password Stealer“ yber-Kriminalität hat enorme Auswirkungen auf die Wirtschaft, die sich weltweit unterscheiden. Außerdem kann sich die Art der Cyber-Kriminalität von Land zu Land unterscheiden. In Südamerika leidet Brasilien seit einigen Jahren unter einer Plage in Form von Trojanern, die als (Kennwortdiebe). Diese Malware zielt also ganz besonders auf die Kennwörter von Bankkonten ab. Die Trojaner fallen über Phishing-E-Mails ein. Diese E-Mails zeigen gefälschte Anmeldeseiten an und treiben mit den Opfern Psychospiele. Und ihnen fallen in Brasilien und außerhalb Brasiliens jedes Jahr Tausende Benutzer zum Opfer. Ein Trick besteht dabei darin, die Hilfsbereitschaft der E-Mail-Empfänger nach Unglücken wie Unwettern oder Flugzeugabstürzen auszunutzen. Um zu verstehen, wie die PWS-Banker es dennoch schaffen, diese Sicherheitsmaßnahmen zu umgehen, müssen Sie zunächst die Funktionsweise des Internet-Banking-Systems verstehen. In Basilien ist der Finanzsektor mit Abstand das beliebteste Ziel für Cyber-Kriminalität. Allein im Jahr 2005 schätzte Febraban (die Bankenvereinigung Brasiliens) die Verluste durch virtuellen Betrug in Brasilien auf 300 Millionen Brasilianische Real (165 Millionen US-Dollar). • • • • • • In diesem Artikel werfen wir einen Blick auf die Organisation der brasilianischen Banken, die Arbeitsweise der Kennwortdiebe und die Bemühungen der brasilianischen Bundespolizei. Der Zustand von Online-Banking Febraban zufolge befassen sich die brasilianischen Banken mit diesem neuen Betrugs- und Hacking-Szenario. Sie seien sich aber bewusst, dass die Technologieentwicklung einen Punkt erreicht hat, an dem es kein Zurück geben wird: Einerseits ginge es um die unzweifelhaften Vorteile für die Kunden – die durch die Möglichkeit, überall und jederzeit Transaktionen tätigen zu können, Zeit und Flexibilität gewinnen – und das brasilianische Finanzsystem, das durch die neuen Kanäle erheblich effizienter geworden ist. Und daher würde auch so viel in die BankingTechnologie investiert: Im Jahr 2003 waren es 4,2 Milliarden Brasilianische Real (2,3 Milliarden US-Dollar) und 6 Milliarden Brasilianische Real (3,3 Milliarden US-Dollar) im Jahr 2006. Aufgrund dieser Maßnahmen hat Brasilien heute eines der effizientesten und sichersten Online-Banking-Systeme. Fast alle Internet-Banking-Sites verwenden HTTPS und zwei PINs (eine PIN zum Anmelden am System und eine weitere PIN zum Bestätigen eines Vorgangs). Einige Banken erhöhen die Sicherheit zusätzlich mit „Papier-Token“ und Token für einmalig einsetzbare Kennwörter. „Segurança“ (in portugiesischer Sprache), Febraban. http://www.febraban.org.br/seguranca_site/seg_compromisso_de_todos.asp http://www.febraban.org.br/seguranca_site/seg_investimento_seguranca_2007.asp Copyright © 2008 McAfee, Inc. Benutzer melden sich mit folgenden Schritten bei einer brasilianischen Bank an: Der Benutzer ruft die Bank-HTTP-Website auf. Der Benutzer gibt die Nummer der Filiale und die Kontonummer ein. Der Benutzer wird zur HTTPS-Site weitergeleitet. Der Benutzer gibt die Internet-PIN (oder Token-Nummer) ein. Der Benutzer startet eine Transaktion, z. B. eine Überweisung. Der Benutzer gibt die Bank-PIN/Token-Nummer ein, um die Transaktion zu bestätigen. Wie funktionieren PWS-Banker? Die Zunahme von Online-Betrug ist zum Teil darin begründet, dass die an die Benutzer gesendeten Nachrichten immer raffinierter werden. Sie unterscheiden sich sehr von denen aus den frühen Tagen des Phishing, als Phishing-Nachrichten noch häufig Grammatik- und Rechtschreibfehler enthielten und in einer unangemessenen Sprache verfasst waren. Die neuesten betrügerischen Nachrichten täuschen die Benutzer mit einem legitimen Aussehen und hochwertigen Bildern. Zusätzlich senden die Phisher fast perfekte Kopien der Texte, die von den jeweiligen Firmen verwendet werden. Die Angriffs-Tools sind sogar im Online-Untergrundmarkt verfügbar und ermöglichen es „Lamers“ (Hackern mit geringen technischen Kenntnissen), sich am Online-Betrug zu beteiligen. Die Phishing-E-Mails in den Postfächern der Opfer haben verschiedene Themen: • • • • • • Gefälschte Bestellungen von in Brasilien bekannten Online-Shops Gefälschte Grußkarten Gefälschte Sexbilder/-videos von Prominenten Gefälschte Steuer-Software Gefälschte Wahlberichte Gefälschte Fotos von Pkw-Unfällen oder Flugzeugunglücken „Lamer“, Wikipedia. http://en.wikipedia.org/wiki/Lamers 29 30 gtr | Februar 2008 gtr | Februar 2008 Die E-Mails enthalten Links, die dazu führen, dass die Opfer die Datei „PWS-Bankers.dldr“ herunterladen, die als Downloader für PWS-Banker dienen. Die Malware-Autoren setzen geschickt diese kleinen Downloader mit maximal 45 KB ein, damit die Benutzer nicht misstrauisch werden. Sobald sich diese kleinen Anwendungen einmal auf dem Computer befinden, laden sie im Hintergrund heimlich den eigentliche PWS-Banker herunter, der etwa 1-4 MB groß ist. einer dieser Banken aufruft, öffnet es ein gefälschtes Fenster, dass die Website der Bank imitiert. Sobald PWS-Banker installiert ist, bestätigt es seinem Autor im Hintergrund per E-Mail, dass ein weiterer Computer infiziert wurde. Der Hacker erhält die folgenden Informationen: Sobald die Malware diese Informationen erhalten hat, wird eine Fehlermeldung angezeigt, und der Benutzer wird zur wahren Internetseite der Bank weitergeleitet. Gleichzeitig sendet die Malware eine E-Mail mit den folgenden Informationen an den Hacker: • Kontoname • Kontonummer • Internet-PIN • Bank-PIN • Kennwort • Name des Kontobenutzers • Kreditkartennummer • Kreditkarten-PIN • Kreditkartendatum • Ablaufdatum der Kreditkarte • Name des Vaters (zur formellen Authentifizierung) Computer Name: MACHINE-SVR Computer User: Administrator IP: 192.168.241.100 Date: 9/6/2007 Hour: 7:19:03 AM Windows: Microsoft Windows XP (Version 5.1) Mac Address: 00-0C-29-3C-C7-A1 IE-Version: 6.0IE-Version: 6.0.2600.0000 Windows Key: xxxxx-xxxxx-xxxxx-xxxxx-xxxxx PWS-Banker bleibt im Speicher und überwacht, welche Webseiten der Benutzer besucht. Die Malware ist meist auf fünf bis acht Banken ausgerichtet. Wenn PWS-Banker feststellt, dass der Benutzer die URL Die meisten Banken in Brasilien fragen für die Anmeldung die Kontonummer, die Filialnummer und eine Internet-PIN ab. Der Trojaner fragt nach weiteren Informationen, z. B. die Bank-PIN, die Kreditkartennummer samt Prüfnummer und Ablaufdatum. PWS-Banker-Schnellaktualisierung Fazit Am 16. Juni 2007 veröffentlichte die größte brasilianische Bank Banco do Brasil eine neue Website für das Internet-Banking und veränderte dabei das Design grundlegend. Die Banco do Brasil ist eine der in Brasilien am häufigsten angegriffenen Banken, und die meisten PWS-Banker hatten das alte Webseitendesign der Bank bereits in ihren Datenbanken. Trotz der Zunahme an Phishing- und Kennwortdiebstahl-Trojanern ist die Sicherheit beim Online-Banking in Brasilien recht hoch. Dennoch geht der Kampf gegen Malware weiter. Innerhalb weniger Tage entdeckten wir ein Quellcode-Repository von PWS-Banker-Malware und fanden darin zahlreiche Dateien, die auf brasilianische Banken abzielten. Dabei fiel mir eine der Dateien ganz besonders ins Auge. Der Dateiname lautete „New Banco do Brasil Screen.jpg“. Die Datei hatte das Datum vom 21. Juni und zeigte den nur wenige Tage alten Kennwortbildschirm der neuen Website der Banco do Brasil! Vorausgesetzt, dass das Datum stimmt, hatten die Schurken innerhalb von weniger als fünf Tagen einen funktionierenden PWSBanker-Trojaner erstellt, der als neue Bank-Site durchgehen konnte. Bemühungen der Polizei In den vergangenen zwei Jahren konnte die brasilianische Bundespolizei mehr Hacker verhaften, die in Kennwortdiebstahl verwickelt waren. 250 % 250+ % 200 % 213 % 157 % 100 % Pedro Bueno ist Virenforscher bei 50 % McAfee® Avert® Labs in Brasilien. 0% 2001 - 2004 2005 2006 QUELLE: Brasilianische Bundespolizei Abbildung 3: Die brasilianische Polizei verhaftete 2005 mehr MalwareAutoren als in den vorherigen vier Jahren zusammen. Die Zahl der Verhaftungen ist 2006 weiter gestiegen. Abbildung 1: Der Online-Bildschirm einer echten Bank. Sie fragt nur Benutzername und Internet-PIN ab. Die koordinierten Bemühungen der Kreditinstitute, der Bundespolizei und der Sicherheitssoftware-Unternehmen und die Schulung der Endbenutzer führen dazu, dass die derzeit umfangreichen kriminellen Aktivitäten gegen Online-Banking zunehmend eingedämmt und unterbunden werden können. Anzahl der Festnahmen nimmt zu 150 % Diese Beispiele verdeutlichen die Unterschiede: Zum Schutz können wir Privatkunden und Unternehmen einige empfohlene Vorgehensweisen vorschlagen. Im Geschäftsbereich gehören beispielsweise das Festlegen von Richtlinien für die Nutzung von E-Mails und Webbrowsern sowie der Einsatz einer effizienten Sicherheitssoftware dazu. Privatkunden sollten Software verwenden, mit der Spam, Spyware und ausgehender Datenverkehr an böswillige Sites blockiert wird. Und: Misstrauen lohnt sich – wenn Sie sich nicht sicher sind, ob eine E-Mail echt ist, rufen Sie zum Überprüfen das Institut an, von dem die E-Mail angeblich stammt. Er arbeitet bereits seit mehr als 10 Jahren im Sicherheitsbereich, behebt Zwischenfälle in großen Telekommunikationsunternehmen und ist beim SANS Internet Storm Center als ehrenamtlicher Mitarbeiter tätig. Die Bundespolizei konnte im Wettbewerb gegen Hacker einige Erfolge verbuchen. Im Zeitraum von Juli bis September 2007 verhaftete die Polizei fast 100 Personen, die in den Diebstahl von Bankkontenkennwörtern verwickelt waren. Im Juli führte die Polizeioperation Nerds II zur Verhaftung von 29 Personen, die für die Abzweigung von mehr als 10 Millionen Brasilianischen Real (5,5 Millionen US-Dollar) in weniger als einem Jahr verantwortlich gemacht werden. Patricia Ammirabile ist Virenforschungsanalytikerin bei McAfee Avert Labs in São Paulo. Sie arbeitet bereits seit 12 Jahren für McAfee. Zu ihren Aufgabenbereichen gehörten der Support bei schwierigen Problemen für Unternehmens- und Privatkunden, die Bereitstellung von Sprachendiensten und das Analysieren von Malware. Abbildung 2: Dieser gefälschte Bildschirm wird vom PWS-Banker-Trojaner verwendet. Dieses Formular ist etwas neugieriger: Es fragt den Benutzer nach der Filialnummer, der Kontonummer und der Bank-PIN. „Anti-Phishing: Best Practices for Institutions and Consumers“ (Empfohlene Vorgehensweisen für Institute und Verbraucher), McAfee. http://www.mcafee.com/us/local_content/white_papers/wp_anti_phishing.pdf Copyright © 2008 McAfee, Inc. 31 32 gtr | Februar 2008 USA: Der grosse MalwareSchmelztiegel Von Allysa Myers gtr | Februar 2008 I n den USA gehört die Bedrohung durch Malware mittlerweile zum Internetalltag. Jeder Benutzer ist schon mindestens einmal mit Spam, Phishing und betrügerischen E-Mails zumindest in Berührung gekommen, auch wenn nicht jeder darauf hereinfällt. Viren und Trojaner werden in E-Mails verschickt, über scheinbar harmlose Websites verbreitet oder tauchen als Links in Sofortnachrichten auf und dringen durch Schwachstellen im Betriebssystem oder in beliebten Anwendungen ein. Beim Verfolgen illegaler finanzieller Ziele gibt es derart viele Möglichkeiten zum Eindringen in Computer, dass kein Malware-Typ als eindeutig amerikanisch oder im Vergleich mit anderen Ländern als in den USA besonders dominant angesehen werden kann. In diesem Artikel beschreiben wir, wie die USA die Entwicklung des Internets beeinflusst haben und dies die weltweite Malware-Szene geprägt hat. Malware – Alltag in den USA In vielerlei Hinsicht nehmen die USA heute in Bezug auf Malware keine Sonderstellung mehr ein. Die USA waren das erste Land überhaupt, in dem das Internet von privaten und geschäftlichen Benutzern gleichermaßen intensiv genutzt wurde. Die dabei geschaffenen Standards und Erwartungshaltungen haben die weltweite Wahrnehmung des Internets geprägt. Daher lässt sich sagen, dass die Ansichten zum Internet von den Amerikanern gestaltet wurden, die es geschaffen und bevölkert haben. Da das Internet in den USA seit (relativ) langer Zeit besteht, ist es für viele amerikanische Studenten und Staatsdiener schon frühzeitig zu einem Teil ihres Lebens geworden. Die Benutzer sahen den Nutzen dieser aufkommenden Technologie, und viele von ihnen erlangten schnell Zugang zum World Wide Web oder zu E-Mail. Noch bevor das Geld zum Hauptantrieb der Malware-Entwickler wurde, erkannten die Hacker, dass eine Verbreitung ihrer Malware in den USA den meisten Erfolg versprach. Nachdem andere Länder begannen, das Internet kommerziell zu nutzen, wurden auch sie zum Ziel von Malware. Im internationalen Geschäftsleben ist eine einzelne Sprache als Quasi-Standard außerordentlich hilfreich, was jedoch auch für das Malware-Geschäft gilt. Die meisten geschäftlichen Benutzer haben zumindest Grundkenntnisse in Englisch, wodurch die Erfolgswahrscheinlichkeit für Social-Engineering-Angriffe auf Englisch deutlich größer ist als für Betrügereien in anderen Sprachen. Diese allgemein gebräuchliche Sprache erleichtert gezielte Angriffe auf hochrangige Manager. Sie macht weitergehende Nachforschungen zur Sprache der Zielperson überflüssig, da diese sehr wahrscheinlich Englisch sprechen oder zumindest lesen kann. Wie Sie an anderer Stelle in dieser Publikation lesen konnten, sind die höchst individuellen Kulturen in anderen Ländern bereits zum Ziel von bestimmter Malware geworden. Obwohl die Infektionsrate in diesem Ländern möglicherweise langsamer verläuft als in den USA, sind bestimmte Arten von Malware typisch für sie. Viele Bedrohungen, darunter auch Malware und PUPs (potenziell unerwünschte Programme) wie Adware, haben ihren Ursprung in den USA. Andere Bedrohungen tauchten zuerst in anderen Ländern auf und dehnten sich später auf die USA aus, nachdem die Virenautoren erkannten, dass internationale Aktionen finanziell lohnender sind. Dazu gehören Kennwortdiebe für Bankkonten und Online-Spiele, die in anderen Ländern bereits verbreitet waren, bevor sie in den USA auftauchten. Das Internet – grenzenlos virtuell Beim Internet können Grenzen leicht überschritten werden. Dank technologischer Fortschritte wie Proxys ist es einfacher, den Standort einer Person zu verschleiern, und das Web 2.0 sorgt für eine „virale“ Verbreitung von Inhalten innerhalb von Stunden. Beinahe alle beliebten Web 2.0- und eCommerce-Websites wurden in den USA gegründet, mittlerweile haben sie jedoch eine große Anzahl von Benutzern aus anderen Ländern. Online-Auktions-Websites und Online-Bezahldienste sind häufig das Ziel von Phishing und sind bei Benutzern auch außerhalb der USA sehr beliebt. Laut Alexa.com gehören Google, Yahoo, Blogger.com, MySpace, Wikipedia, YouTube und Facebook zu den Top 15-Websites beinahe aller Länder weltweit. Die größte Schwachstelle von Web 2.0-Websites ist die Geschwindigkeit, mit der sich Inhalte verbreiten können. Das ganze Spektrum von Phishing, Spam, Malware und Adware wurde auf den beliebtesten Web 2.0-Websites gefunden. Malware-Autoren haben bereits wiederholt bewiesen, dass sie neue Technologien ausnutzen, sobald sie die Möglichkeit dazu bekommen. Proxys sind eine weitere für Malware-Autoren interessante Entwicklung. Ursprünglich wurden sie als Anonymisierer bekannt, mit denen die Benutzer Beschränkungen durch Filterung oder Überwachung umgehen konnten. „Top Sites“ (Beliebteste Sites), Alexa.com. http://www.alexa.com/site/ds/top_500 Copyright © 2008 McAfee, Inc. 33 34 gtr | Februar 2008 Die Malware-Community setzt diese Technik jedoch ein, um den geografischen Standort der Malware-Verbreiter zu verschleiern. Diese Proxys werden meist zum Tunneln und Anonymisieren verwendet und erschweren das Ermitteln der ursprünglichen Verbindung – entweder durch das Entfernen von ID-Informationen oder durch Hinzufügen weiterer „Sprünge“ in einer Traceroute. Üblicherweise werden Proxys von Bots eingesetzt, deren Zweck der „Besitz“ möglichst vieler remote gesteuerter Computer ist. Sobald sie die Kontrolle über die Computer erlangt haben, können die Botmaster zahlreiche weitere Tools auf ihnen installieren. IRCBots (Internet Relay Chat) kennen keinerlei Grenzen und nutzen Proxys häufiger als alle anderen Malware-Typen. Diese Bots sind zur Verbreitung nicht auf Social Engineering angewiesen. Stattdessen nutzen sie Schwachstellen in Softwareanwendungen aus, bei denen es keine Rolle spielt, in welchem Land der jeweilige Benutzer sitzt. Bots infizieren anfällige Computer in Sambia, Korea oder Liechtenstein ebenso bereitwillig wie die in den USA. Geld und Ganoven Im Jahr 2006 waren in den USA 5,8 Millionen Menschen im Technologiesektor beschäftigt, und das Gehalt des durchschnittlichen Technikers lag bei 75.500 US-Dollar im Jahr, das ist 86 Prozent mehr als das durchschnittliche Einkommen außerhalb dieser Branche. Die Arbeitslosigkeit liegt bei sehr niedrigen 2 Prozent, das bedeutet, dass es einen Mangel an Fachkräften gibt. Diese Zahlen unterscheiden sich kaum von denen der vergangenen Jahre: Die Zahl der Arbeitsstellen stieg zwischen 2005 und 2006 um 2,6 Prozent, und das Durchschnittsgehalt lag im Jahr 2000 sogar bei 78.691 US-Dollar. Mit anderen Worten: In den USA gibt es viele Menschen, die zu Hause und auf der Arbeit über gute Internetverbindungen verfügen und gut bezahlt sind. Da diese Menschen viel Geld verdienen, besitzen sie wahrscheinlich leistungsstarke Computer, die für betrügerische Zwecke genutzt werden könnten. Arbeitsfähige Fachkräfte haben jedoch gute Chancen, eine der legitimen Arbeitsstellen zu erhalten. In den USA gab es schon immer eine beachtliche Zahl junger Menschen, die sich mit der Programmierung von Viren befassen, und es ist auch nicht anzunehmen, dass der Anteil der Script-Kiddies jemals sinken wird. Da die Bemühungen der Ermittlungsbehörden bislang geringen Erfolg gezeigt und nur zu der Verhaftung einiger weniger Botmaster geführt haben, gilt die Verbreitung von Malware als risikoarme Möglichkeit, um in kurzer Zeit an große Summen zu kommen. Seit der Anfangszeit des Internets ist die Wirtschaftslage in den USA relativ stabil, und Computer-Arbeitsplätze sind recht gut verfügbar und lukrativ. Obwohl einige computerbegeisterte Kinder gelegentlich über die Stränge schlagen, so lange sie nicht alt genug für eine Arbeitsstelle sind – mit Erreichen des Mindestalters gtr | Februar 2008 wechseln sie meist in ein legitimes Arbeitsverhältnis in der Computerindustrie. Gefesselte Spam-Nachrichten und gegrillte Bots Mittlerweile wurde eine Reihe von Gesetzen erlassen, die sich mit Malware, Spam und Adware befassen. Das älteste und am häufigsten verwendete ist der U.S. Code Title 18, Abschnitt 1030. Zudem gab es auch einige große Anstrengungen, um CyberKriminelle zu schnappen (der jüngste Fall ist Bot Roast (Gegrillte Bots)), die auf die Festnahme von Botmastern abzielen. Zahlreiche erfolgreiche Gerichtsverfahren wurden gegen Spam-Versender, Botmaster und Adware-Firmen geführt, was jedoch nur geringe Auswirkungen auf deren Aktivitäten hat. Die Ermittler in den USA (wie auch in vielen anderen Teilen der Welt) beklagen die internationale Gesetzeslage im Umgang mit Computerkriminellen. Die Gesetze gegen Computerkriminalität unterscheiden sich von Land zu Land, daher kann in einem Land erlaubt sein, was im anderen illegal ist. Auch die Auslieferungsgesetze unterscheiden sich und können Auswirkungen darauf haben, wie mit Cyber-Kriminellen umgegangen wird. Selbst wenn diese beiden Probleme in einem konkreten Fall kein Hindernis bilden, kann immer noch die Bürokratie einen Strich durch die Rechnung machen. Häufig verwenden Strafverfolger Monate auf das Aufspüren eines Virenautors, nur um schließlich durch die Behörden in anderen Ländern behindert zu werden. In der Zeit, die das Zusammentragen der notwendigen Informationen oder das Kontaktieren der für einen Fall wichtigen Ansprechpartner in Anspruch nimmt, kann sich eine Spur vollständig verlieren. Trickbetrüger im 21. Jahrhundert Wenn von Malware die Rede ist, ist meist eine von zwei Kategorien von Social Engineering gemeint: Angst oder Nervenkitzel. In beiden Kategorien gibt es eine Vielzahl universeller Themen, die nur durch die Beherrschung der Sprache eingeschränkt sind, in der die Nachricht geschrieben ist. Themen wie Sex, Neugier oder Scham (z. B. durch eigene oder fremde Nacktbilder) sind kulturübergreifend. Die wichtigste Frage ist dabei, ob sich das Opfer des Social-EngineeringAngriffs genügend für das Thema interessiert. Der Reiz der amerikanischen Popkultur ist nicht auf die USA beschränkt. Selbst wenn eine Durchschnittsperson in irgendeinem Land die Namen der bekanntesten Stars aus Bollywood, Europa oder China nicht kennt, sind den meisten Menschen die Namen von Prominenten wie Britney Spears oder Angelina Jolie geläufig. Die Wahrscheinlichkeit, dass Computerbenutzer auf Social-EngineeringAngriffe hereinfallen, bei denen die Namen dieser Stars missbraucht werden, wird nur durch ihre Beherrschung der Sprache in den entsprechenden E-Mails und Sofortnachrichten eingeschränkt. „Fraud and Related Activity in Connection with Computers“ (Betrug und ähnliche Aktivitäten in Verbindung mit Computern), US-Justizministerium. http://www.usdoj.gov/criminal/cybercrime/1030_new.html „Over 1 Million Potential Victims of Botnet Cyber Crime“ (Mehr als 1 Million potenzieller Opfer von Botnet-Cyber-Kriminalität), FBI. http://www.fbi.gov/pressrel/pressrel07/botnet061307.htm „Number of U.S. tech jobs rises despite fears of outsourcing“ (Anzahl der Technik-Jobs in den USA steigt trotz Sorge vor Outsourcing), USA Today. http://www.usatoday.com/tech/techinvestor/industry/2007-04-24-techjobs_N.htm „Prosecuting Perpetrators of Malicious Software (Malware)“ (Anklage von MalwareKriminellen), Continuing Education of the Bar. http://ceb.ucop.edu/newsletterv7/criminal_Law.htm „Alleged Botnet Crimes Trigger Arrests on Two Continents“ (Ermittlungen bei BotnetVerbrechen führen zu Verhaftungen auf zwei Kontinenten), PC World. http://www.pcworld.com/article/id,123436-page,1/article.html „Impediments to the successful investigation of transnational high tech crime“ (Behinderung der Ermittlungen zu internationaler IT-Kriminalität), Computer Crime Research Center. http://www.crime-research.org/articles/trends-and-issues-in-criminal-justice/ Copyright © 2008 McAfee, Inc. Andererseits ist aufgrund der Größe der USA und der isolationistischen Haltung vieler Amerikaner die ungewöhnlich starke Tendenz zu beobachten, dass nur wenig Interesse an internationaler Politik oder Kultur besteht. Social-EngineeringAngriffe mit Informationen zu aufregenden Ereignissen in anderen Ländern werden sehr wahrscheinlich ignoriert, während in den meisten anderen Ländern der Welt eine Meldung über den Tod eines berühmten US-Amerikaners (wie im Falle von W32/Nuwar@MM) große Aufmerksamkeit erhalten würde. Nur wenige in den USA gebräuchliche Anwendungen werden nicht in anderen Ländern verwendet. Im Gegenteil ist es sogar so, dass die meisten beliebten Anwendungen in vielen Sprachen angeboten werden. Dies trifft jedoch nicht auf häufig verwendete Anwendungen in anderen Ländern – speziell im asiatischen Raum – zu. Es gibt viele Spiele, P2P-Clients und IM-Clients (Instant Messaging, Sofortnachrichten), die in China, Japan und Korea beliebt (und daher beliebte Ziele) sind. Diese Anwendungen sind zusammen mit einigen Adware-Programmen fast ausschließlich auf diese Länder beschränkt. Die Angst-Kategorie dieser Betrügereien wird von Bounce Messages (E-Mails mit der Meldung, dass die eigene E-Mail nicht zugestellt werden konnte) und anderen Fehlermeldungen bedient. Vor allem Bounce Messages sind sehr wirkungsvoll, da jeder Internetanbieter ab einer bestimmten Größe seine Benutzer benachrichtigt, wenn ihre E-Mails die Empfänger nicht erreicht haben. So lange der Absender eine echt aussehende Bounce Message sieht, ist dieses Exploit bei jedem beliebigen Benutzer in jedem beliebigen Land wirkungsvoll. Fazit In mindestens einem Fall wird beim Einsetzen von Social Engineering eine Anpassung an das jeweilige Land erforderlich: beim Fälschen von Behörden-E-Mails. Jeder US-Amerikaner wird besorgt sein, wenn er scheinbar eine E-Mail der US-amerikanischen Steuerbehörde IRS erhält, doch diese Taktik funktioniert in anderen Ländern nicht. Diese Art von Social Engineering ist zwar relativ häufig anzutreffen, doch es ist sehr unwahrscheinlich, dass der Virenautor nur diesen einen Trick im Ärmel hat. Die meisten massenhaft versandten Viren enthalten zahlreiche unterschiedliche Texte, und dies wird nur eine von ihnen sein. W32/Sober@MM!M681 ist ein sehr gutes Beispiel: Er enthält E-Mails, die angeblich von der CIA und dem FBI stammen, Nachrichten zu Paris Hilton und Nicole Richie, drei in deutscher Sprache verfasste E-Mails und einige weitere E-Mails, die andere Taktiken verfolgen. Da die USA schon immer ein „Schmelztiegel“ der verschiedensten Kulturen waren, liegt die Stärke dieses Landes darin, dass es keine wirklich homogene Gesellschaft hat. Diese vielfältige Umgebung teilt sich dem Rest der Welt durch „Popkultur“, durch das Internet, Filme, Fernsehen und Musik mit. Phishing, Spam, Adware, Kennwortdiebe und Bots werden hier ebenso wie im Rest der Welt zunehmend häufiger angetroffen. Malware setzt zur eigenen Verbreitung auch weiterhin auf Social Engineering und Schwachstellen. Teams von Malware-Entwicklern arbeiten gemeinsam daran, den Sicherheitsentwicklern einen Schritt voraus zu sein, und haben dabei bemerkenswerten Erfolg. Malware ist ein unglaublich großes internationales Unternehmen. Und solange die Kriminellen deutliche Gewinnsteigerungen verzeichnen, wird dieses Problem auch weiterhin bestehen. Wir lernen daraus, dass wir unabhängig von unserem Aufenthaltsort auf der Welt stets wachsam und mehrschichtig vor Malware geschützt sein müssen. Schlupflöcher für Malware stopfen Wenn sich Malware-Autoren nicht die Mühe machen möchten, effektive Social-Engineering-Exploits zu erstellen, können sie immer noch Schwachstellen angreifen – ein stetig wachsendes Ziel. Je weniger Benutzeraktionen zum Ausführen der Malware erforderlich sind, desto größer ist die Erfolgswahrscheinlichkeit. Dies war vor allem bei IRC-Bots einer der Hauptgründe für ihren Erfolg. Beim Angriff auf Schwachstellen gehören Betriebssysteme und beliebte Softwareanwendungen zu den häufigsten Zielen. Für einen Virenautor ist es meist nur dann sinnvoll, ein neues böswilliges Exploit zu erstellen, wenn diese Anwendung häufig genutzt wird. Und sobald dies der Fall ist, wird die Software sehr wahrscheinlich von Menschen in vielen Ländern verwendet. Allysa Myers ist Leitende Virenforscherin für McAfee Avert® Labs. Ihre Hauptaufgaben sind die Koordination der Forscher und die Erfassung globaler Malware-Trends. Sie diskutiert diese neuen Bedrohungen und Trends auch mit der Presse und im Avert Labs-Blog. Allysa genießt es, ihrem bissigen Sinn für Humor im Blog freien Lauf lassen zu können. Für sie gibt es kein besseres Forum, um die Sicherheitsaspekte von Würzschinken und Kleeblättern zu plaudern. 35 36 gtr | Februar 2008 gtr | Februar 2008 Die Zahlen: Eine globale Sicht auf die Bedrohungen Das weltweite Bedrohungsszenario Daten von Avert Labs zufolge hat sich die Zunahme von Schwachstellen und Malware im Jahr 2007 im Vergleich zu 2006 verdoppelt. Das US-amerikanische Institut für Standards und Technologie (National Institute of Standards and Technology) und das Computer Emergency Response Team Coordination Center (Koordinierungszentrum für Computernotfall-Reaktionsteams) hat in den letzten Jahren eine starke Zunahme der Schwachstellen beobachtet. 2.500 Schwachstellen in der US-amerikanischen Schwachstellendatenbank 1.000 Im November 2007 überprüfte Avert Labs die Malware eines einzelnen Tages aus sechs verschiedenen Ländern. Diese Diagramme zeigen, welche Malware (in Prozent) am häufigsten verbreitet ist. Sie sind sicherlich nicht überrascht, dass die meisten Spam-Nachrichten in englischer Sprache verfasst sind. Doch wie viel Spam wirdOthers in VBS/Psyme anderen Sprachen verschickt? Im letzten Tortendiagramm wird die durchschnittliche Verbreitung im zweiten Halbjahr des JahresJS/Exploit-BO.gen 2007 in JS/Wonka den fünf anderen in dieser Ausgabe berücksichtigten SprachenWinfixer gezeigt. Japan 1.617 60.000 VBS/Psyme 5,0 % JS/Exploit-BO.gen 2,0 % Exploit-MIME.gen.c 4,1 % JS/WonkaJS/Exploit-BO.gen 3,0 % Exploit-ANIfile.c Others Winfixer JS/Wonka 3,4 % 1,9 % JS/Downloader-AUD Exploit-ANIfile.c Exploit-MS06-014 Winfixer 2,9 % 1,8 % W32/Antinny.gen!p2p VBS/Psyme Exploit-MS06-014 Exploit-MIME.gen.c 3. Quartal 2006 3. Quartal 2007 Others JS/Downloader-AUD China ANZAHL AN VIREN UND TROJANERN 438 % Exploit-ANIfile.c 70,7Exploit-ANIfile.c % Andere New Malware.j JS/Downloader-AUD 2,3 % 5,4 % Exploit-ANIfile.c VBS/Psyme New Malware.z W32/Antinny.gen!p2p 2,2 % 4,6 % VBS/Psyme W32/HLLP.Philis.ini Tool-Evid Others Exploit-MS06-014 3,2 % W32/HLLP.Philis.ini 1,9 % PWS-QQPass W32/Wukill.worm.gen ObfuscatedHtml 3,0 % Exploit-MS06-014 1,9 % Exploit-ObscuredHtml New Malware.n New Win32 New Malware.z New Malware.j Tool-Evid 30.000 Russland 20.000 12.351 VBS/Psyme New Malware.z Others PWS-QQPass 3. Quartal 2006 ObfuscatedHtml 2,4 % W32/Antinny.gen!p2p New Malware.j 2,5 % ObfuscatedHtml 54.097 Tool-Evid Andere 75,2W32/Wukill.worm.gen % W32/Jeefo 2,4 % Exploit-IEPageSpoof PWS-QQPass W32/Wukill.worm.gen 2,3 % 2,9 % New Malware.n JS/Downloader-AUD Exploit-ObscuredHtml New Malware.n 2,9 % 2,3 % New Win32 JS/Exploit-ActXComp Others Exploit-ObscuredHtml VBS/Psyme New Win32 2,8 % 2,0 % Tool-TPatch IE Window Popper W32/Jeefo VBS/Psyme 2,7 % 1,8 % Keygen-XPStyle VBS/Psyme Exploit-IEPageSpoof W32/Jeefo 2,7 % 3. Quartal 2007 JS/Downloader-AUD JS/Downloader-AUD Exploit-IEPageSpoof JS/Wonka JS/Exploit-ActXComp JS/Downloader-AUD Gemeldete Schwachstellen Exploit-ByteVerify W32/HLLP.Philis.ini Exploit-ByteVerify Exploit-ANIfile.c 40.000 0 2,3 % Exploit-MIME.gen.c 50.000 10.000 Andere 71,9VBS/Psyme % Exploit-ByteVerify Exploit-MS06-014 2,6 % 500 0 Exploit-MS06-014 Others 2.084 JS/Exploit-BO.gen Tool-TPatch IE Window Popper 4,8 % VBS/Psyme 2,0 % Exploit-ByteVerify 8.000 Keygen-XPStyle VBS/Psyme 3,6 % JS/Downloader-AUD 1,8 % New Malware.j Others 7.000 JS/WonkaJS/Downloader-AUD 1,6 % 3,0 % Winfixer VBS/Psyme Downloader-AAP 2,8 % JS/Wonka New Malware.n Exploit-MS06-014 9.000 6.000 Keygen-XPStyle 1,6 % JS/Exploit-BO.gen 2,5 % Downloader-AAP 5.000 New Malware.j Exploit-ByteVerify JS/Exploit-BO.gen 4.000 3.000 Brasilien 2.000 1.000 0 '95 '96 '97 '98 '99 '00 '01 '02 '03 '04 '05 '06 '07 (Hoch- rechnung) CERT/CC NIST Exploit-ByteVerify PWS-Banker.gen.i New Malware.j Andere 70,2VBS/Psyme % 2,2 % Exploit-ANIfile.c Winfixer VBS/Psyme 6,3 % Exploit-MS06-014 2,1 % PWS-Banker.dldr New Malware.n 5,0 % Exploit-MS06-014 New Malware.j 2,1 % JS/Wonka Others JS/Exploit-BO.gen 2,9 % New Malware.j 1,7 % JS/Downloader-AUD VBS/Psyme PWS-Banker.gen.i 2,9 % JS/Exploit-BO.gen 1,6 % New Malware.n JS/Exploit-BO.gen New Malware.n Exploit-ANIfile.c 2,7 % PWS-Banker.gen.i JS/Wonka PWS-Banker.dldr Exploit-ANIfile.c RemAdm-PSKill JS/Wonka PWS-Banker.dldr Avert Labs-Fakten am Rande: ANZAHL 353.760 USA FAKT Gesamtanzahl der von McAfee Avert Labs identifizierten Bedrohungen (bisher insgesamt) 131.800 Von Avert Labs allein 2007 identifizierte Bedrohungen 50.000+ Täglich von Avert Labs analysierte Proben 325 Others JS/Downloader-AUD Täglich von Avert Labs identifizierte eindeutige Malware 53.567 Eindeutige neue Malware im Jahr 2006 131.862 Eindeutige neue Malware im Jahr 2007 246 % Malware-Wachstum von 2006 bis 2007 JS/Wonka Andere 67,9VBS/Psyme % New Malware.n Exploit-ANIfile.c 2,7 % WinFixer RemAdm-PSKill JS/Wonka 3,2 % 2,4 % Exploit-ByteVerify 1,9 % Puper Englisch 3,1 Exploit-MS06-014 JS/Downloader-AUD 3,1 % Exploit-ANIfile.c Andere WinFixer Deutsch Exploit-MS06-014 Exploit-ANIfile.c English Exploit-ByteVerify Spam Exploit-MS06-014 Malware.n JS/Exploit-BO.gen 4,5 % JS/WonkaNew WinFixer Others Englisch 67,0Puper % German Exploit-ByteVerify Andere 29,7 % Russian Puper Deutsch 2,5 % Japanese Russisch 0,60Spanish % Chinese Japanisch Spanisch Chinesisch Copyright © 2008 McAfee, Inc. JS/Downloader-AUD 3,0 % JS/Downloader-AUD VBS/Psyme 5,5 % 2,7 % JS/Exploit-BO.gen JS/Downloader-AUD RemAdm-PSKill % dramatische Änderungen erfahren hat. Die sich schnell ändernde Malware ist komplexer und raffinierter geworden. Zu den neuen Entwicklungen gehört, dass der Umfang und der Schweregrad der kriminellen Cyber-Aktivitäten stark zugenommen hat. Wir haben auch eine Flut von Datenkompromittierungen erlebt, die weit reichende Konsequenzen für Einzelpersonen und selbst für namhafte Organisationen hatten. Und wir haben beobachtet, wie von Regierungen erstmals Cyber-Spionage eingesetzt wurde, die die Sicherheit von ganzen Nationen aufs Spiel setzen kann. Dadurch sind neue Herausforderungen an die Sicherheit entstanden, die die Möglichkeiten von traditionellen Antivirentechnologien an ihre Grenzen bringen. Die Zeiten, in denen Cyber-Kriminalität und Datenkompromittierung einfach mit Antivirenlösungen auf Host-, Netzwerk- und Serverebene bekämpft werden konnte, sind eindeutig vorbei. Unter Berücksichtigung dieser Herausforderung besteht die beste Verteidigung in einem ganzheitlichen Ansatz, d. h. über das Konzept des Sicherheitsrisikomanagements (SRM), das Risiken und Konformität miteinander vereint. Ein Aspekt dieses Konzepts ist die Verteidigung der mehrschichtigen Infrastruktur vor den sich stets ändernden Bedrohungen und Exploits – Konformität ist jedoch ebenso wichtig. Gesetze zu Offenlegungspflichten und Konformitätsverpflichtungen haben dafür gesorgt, dass Sicherheit auch in den Vorständen thematisiert wird. Das derzeitige Schlagwort heißt „Integration“. Den aktuellen Bedrohungen können wir am besten mit mehreren Technologien entgegentreten, die über ein zentrales Verwaltungssystem zusammenarbeiten und kommunizieren. Gleichzeitig erstellt das System Konformitätsberichte, um auf Prüfungen reagieren zu können. der Informationsaustausch zwischen den Forschergruppen wichtig, die sich mit Netzwerk- und Host-Eindringungsschutz, Enveloping, Shielding und dem Schutz von Hostsystemen befassen. Auf diese Weise erweitern wir unsere Wissensbasis, und wir können unseren Kunden top-aktuelle Informationen zu den Bedrohungen zur Verfügung stellen. Wir veröffentlichen außerdem einen Jahresbericht über Vorhersagen, in dem Trends und Bedrohungsarten beschrieben werden, die wir für das nächste Jahr erwarten. Das Jahr 2007 war in dem Sinne fantastisch, als dass unsere Vorhersagen so genau waren wie nie zuvor. Diese hohe Genauigkeit war die Triebkraft hinter unseren Entwicklungsbemühungen und den kürzlichen Übernahmen. Unser Forscherteam stellt zudem sicher, dass unsere Kunden über die uns bekannt werdenden aktuellen Bedrohungen und Trends umgehend informiert werden, indem wir weitere Whitepaper, Artikel und BlogBeiträge veröffentlichen. Der Umfang unserer Veröffentlichungen in diesem Bereich ist um das zehnfache gestiegen. Unser Hauptaugenmerk liegt natürlich darin, dieses Wissen in unseren Produkten umzusetzen. Unser Ziel als Unternehmen war schon immer – und wird es auch stets sein – unseren Kunden einfachere und schnellere Sicherheitsentscheidungen zu ermöglichen, damit sie so schnell wie möglich Richtlinien festlegen, wertvolle Ressourcen und Daten sichern und ihren täglichen Geschäftsbetrieb mit Zuversicht durchführen können. Und wir werden unsere Fähigkeiten kontinuierlich immer noch weiter verbessern – damit Sie das schützen können, was Sie schätzen. JS/Exploit-BO.gen New Malware.j Others Winfixer R Downloader-AAP Others Tool-TPatch JS/Exploit-ActXComp 2,5 % 73,9IE%WindowAndere Popper Deutschland Von Christopher Bolin ückblickend wird deutlich, dass das weltweite Sicherheitsszenario im vergangenen Jahr Tortenstücke: Top 10 bei Malware und Spam nach Sprache 29 % 2.000 1.500 Das letzte Wort Russisch 0,13 % Japanisch 0,06 % Spanisch 0,05 % Chinesisch McAfee® Avert® Labs hat sich ebenfalls die Integration auf die Fahnen geschrieben. Dank der unermüdlichen Bemühungen von Jeff Green, Senior Vice President für Produktentwicklung und Avert Labs, hat unsere Gruppe eine Umwandlung erfahren, die unsere Position als eines der weltweit führenden Unternehmen im Bereich der Bedrohungsforschung stärkt. Green war die treibende Kraft bei vielen positiven Veränderungen. Unter seiner Führung erlebten wir die bisher geringste Fluktuation, und wir haben neue Fachleute mit soliden Branchenerfahrungen eingestellt. Außerdem haben wir unsere spezialisierten Forschungsteams integriert, um die Arbeitsweise und die Antwortzeiten zu optimieren. Zusätzlich nutzen wir zu einem beispiellosen Grad Automatisierungsmechanismen, die uns völlig neue Entdeckungsund Blockierungsmöglichkeiten verschaffen. Da viele Bedrohungen verbreitete Technologien verwenden, ist uns die Kooperation und Christopher Bolin ist Executive Vice President und Chief Technology Officer bei McAfee, Inc. und für die weltweite Entwicklung aller McAfeeProdukte verantwortlich. Bevor Bolin im Jahr1998 zu McAfee (damals Network Associates) stieß, war er Engineering Director bei CyberMedia, beteiligte sich an der Entwicklung von Antivirenprodukten bei Trend Micro und war als QA-Direktor bei Symantec Corp. tätig. 37 McAfee, Inc. 3965 Freedom Circle Santa Clara, CA 95054, USA 888.847.8766 www.mcafee.com McAfee und/oder weitere hier enthaltene Marken sind eingetragene Marken von McAfee Inc. und/oder seinen Tochterunternehmen in den USA und/oder anderen Ländern. Die Farbe McAfee-Rot in Verbindung mit Sicherheit ist ein Merkmal der McAfee-Produkte. Alle anderen eingetragenen und nicht eingetragenen Marken in diesem Dokument sind alleiniges Eigentum ihrer jeweiligen Besitzer. © 2008 McAfee, Inc. Alle Rechte vorbehalten. 12-avert-sage-rpt-003-0108