Trojaner, Viren, Cyber-Security und der Staatstrojaner
Transcription
Trojaner, Viren, Cyber-Security und der Staatstrojaner
Tro janer, Viren, Cyber-Security und der Staatstrojaner Antony R. Neu antony.richard.neu@gmail.com Seminar am Lehrstuhl für Kommunikationssysteme Albert-Ludwigs-Universität Freiburg Zusammenfassung Schadprogramme bieten Angreifern seit Jahrzehnten die Möglichkeit der Spionage, Kontrolle und Manipulation fremder Systeme. In dieser Ausarbeitung werden sowohl die technischen Konzepte der unterschiedlichen Schadprogramme erläutert, als auch konkrete Implementierungen anhand von historischen Beispielen vorgestellt. Im historischen Kontext wird der Wandel hin zu wachsender Cyberkriminalität und Cyberkrieg präsentiert. Botnets verdeutlichen die technische Ausgereiftheit und vielfältigen Möglichkeiten moderner Schadprogramme. Neben Kriminellen setzten im letzten Jahrzehnt Staaten Schadprogramme zunehmend ein. Die Darstellung des staatlichen Einsatzes solcher Schadprogramme erfolgt anhand des Wurms Stuxnet, sowie des deutschen Backdoors BckR2D2-I. Abschlieÿend werden mögliche Gegenmaÿnahmen auf technischer und staatlicher Ebene erläutert. 1 Einleitung Cyber-Security bezeichnet die Sicherheit eines Informationssystems in Bezug auf die Merkmale Vertraulichkeit, Erreichbarkeit und Konsistenz [1]. Vertraulichkeit bezieht sich auf die Möglichkeit Daten vor unbefugtem Zugri zu schützen. Die Erreichbarkeit eines Systems gewährleistet, dass die Leistung ohne Einschränkung zur Verfügung steht. Konsistente Systeme ermöglichen eine dauerhafte Speicherung der Daten, ohne, dass sie durch Fehler oder Sabotage manipuliert werden. Die Sicherheit (engl. security) ist in diesem Fall nicht als Zustand, sondern als ein Prozess anzusehen, der angesichts neuer Bedrohungen ständig geprüft und erneuert werden muss. Systeme bestehen aus Hard- und Software, wobei Letztere für Angrie häuger missbraucht wird, da sie manipuliert, deaktiviert oder gelöscht werden kann. Komplexe Systeme bestehen aus verschiedenen Software-Programmen: Datenbanken, Anwendungssoftware, Kommunikationsprogramme sind nur wenige Beispiele. Da jedes Programm Fehler enthalten kann, sind die Nutzer der Software abhängig von deren Entwickler. Software ist heutzutage so komplex, dass sie nicht immer von einem Unternehmen allein geschrieben wird, sondern beinhaltet Softwarebibliotheken anderer Hersteller. Dadurch entsteht eine Kette von Abhängigkeiten. Zwar können Softwarehersteller durch moderne Softwareentwicklungsverfahren die Fehleranzahl minimieren. Fehler können jedoch nie ausgeschlossen werden. Dies wird bereits am Beispiel des Testens der Software deutlich: Durch das Testen der Software kann ein Fehler nachgewiesen werden, der Entwickler kann jedoch nie beweisen, dass die Software sich genau so verhält, wie die Anforderungen verlangen, und keine weitere Funktionalität beinhaltet. Hinzu kommen externe Bedrohungen, die die Software absichtlich auf unvorhersehbare Weise verwenden, und somit Schaden anrichten. Wenn es möglich ist Fehler der Software auszunutzen, um eine schädliche Wirkung zu erzielen, entsteht aus einer Schwachstelle (engl. vulnerability) eine Bedrohung (engl. threat). Um diese Schwachstellen zu verhindern, müssten Entwickler die Software für jeden möglichen Input testen. Da dies unmöglich ist, wird moderne Software nach der Auslieferung durch sogenannte Patches nachträglich repariert und so die Fehleranzahl kontinuierlich minimiert. Schadprogramme sind eine mögliche externe Bedrohung. Sie bieten Angreifern die Möglichkeit durch Ausnutzen solcher Schwachstellen in Software, Computersysteme zu schädigen. Schadprogramme (engl. malware) sind Softwareprogramme, die bewusst unerwünschte Funktionen auf dem System des Opfers ausführen. Sie bedrohen alle drei Merkmale der Cyber-Security. Nachdem Apple 1977 den ersten Personal Computer vorstellte, entwickelte bereits wenige Jahre später ein 15-jähriger Schüler den ersten Virus, der sich auÿerhalb eines wissenschaftlichen Labors verbreitete [2]. Quelle [3] dokumentiert den ersten Wurm bereits ein Jahr später. Mit der gröÿeren 2 Antony Neu technischen Möglichkeiten der Schadprogramme wuchs das Interesse der Programmautoren mit ihrer Software nanziellen Prot zu erlangen. Die Bezeichnung des Schadprogramms richtet sich entweder nach dem Verbreitungsweg des Schädlings oder nach seiner Funktion [1]: Virus: Älteste Klassizierung von Schädlingen, die sich selbst replizieren, indem sie sich in Dateien, Programme und Datenträger schreiben. Trojaner: Ähnlich wie ein Virus, gelangt ein Trojaner als gutartiges Programm getarnt auf den Rechner des Opfers und richtet dort Schaden an. Wurm: Ein Wurm grenzt sich von den anderen Schädlingen dadurch ab, dass er sich selbst- ständig über das Netzwerk verbreiten und Computersysteme inltrieren kann, ohne, dass eine Interaktion seitens des Opfers notwendig ist. Dabei werden Sicherheitslücken, z.B. schlecht gewartete Software ausgenutzt, um sich zu verbreiten. Bot: Ein Bot (auch Robot) ist eine Software, die selbstständig Aufgaben abarbeitet. Es muss sich dabei nicht immer um Schadsoftware handeln. Beispielsweise setzt Google sogenannte Webcrawler ein, um die Webseiten zu besuchen und zu indizieren. Im Gegensatz zum Wurm, der ebenfalls selbstständig agiert, kann der Urheber des Bots die Software kontrollieren. Der Bot kommuniziert dazu mit einem Command&Control-Server. Die Installation erfolgt entweder über andere Malware, Ausnutzen von Sicherheitslücken oder der direkten Installation auf dem System des Opfers durch physischen Zugri auf das System. Andere Schadprogramme werden nach ihrer Funktion klassiziert: Backdoor: Eigenständiges Programm oder Teil eines Programmes, der externen Zugri auf ein System oder geschützte Bereiche erlaubt. Scareware: Bei diesem Schädling wird die Angst des Opfers ausgenutzt, indem Fehlermel- dungen bekannter Programme nachgeahmt werden. Beispielsweise wird die Warnung vor einer vorhandenen Virusinfektion nachgeahmt. Zur Lösung des Problems soll ein kostenpichtiges Programm heruntergeladen werden. Ransomware: Diese Schädlingsart übernimmt den Rechner des Opfers, sperrt ihn und fordert das Opfer zur Zahlung eines Geldbetrags zur Freischaltung auf. Die Zahlung erfolgt in den meisten Fällen anonym über Prepaidkarten. In kritischen Fällen werden Dateien verschlüsselt, sodass sie auch nach Behebung der Infektion nur schwer wiederhergestellt werden können. Spy- und Adware: Software, die unerwünscht Daten über den Nutzer sammelt oder Werbung einblendet, wird als Spy- bzw. Adware bezeichnet. Die Begrie der Schädlingsarten wurden Ende des 20. Jahrhunderts benannt, als die Schadprogramme das erste Mal entdeckt worden sind. Es ist festzustellen, dass die Schädlinge heutzutage mehrere Eigenschaften und Verbreitungswege vereinen und somit der Übergang der Klassizierungen ieÿend und nicht eindeutig ist 2 1 [5]. Geschichte der Malware Schadprogramme gibt es seit der Einführung der ersten Personal-Computer selbst. Anfänglich verbreiteten sich die Viren und Würmer über Disketten, da die meisten Personal-Computer nicht an ein Netzwerk oder das Internet angeschlossen waren. Bei den Schadprogrammen dieser Zeit handelte es sich um Bootviren und dateiinzierende Viren, deren Schadcode beim Booten des Rechners in den Arbeitsspeicher geladen wird oder in einer Programmdatei versteckt wird [2]. 2 Ein Virus verbreitet sich, indem er seinen Code in eine Wirtdatei (engl. host le) oder andere Speicherbereiche schreibt [6]. Der Teil des Virus, der Funktionalität unabhängig der Verbreitung 1 2 Beispielsweise wird der bekannte ILOVEYOU-Virus, der als Email-Anhang verschickt wurde, in Quelle [4] als ILOVEYOU-Wurm bezeichnet Die Viren dieser Zeit konnten mit simplen Skripten verbreitet werden, sodass auch viele Jugendliche (umgsprl. script kiddies) aus Spaÿ solche Viren verbreiteten. Trojaner, Viren, CyberSecurity und der Staatstrojaner 3 enthält, wird als Payload bezeichnet. Das Platzieren des Codes alleine stellt noch keine Gefahr dar. Virenautoren müssen zusätzlich sicherstellen, dass der Virus ausgeführt wird. Bootviren schreiben sich dazu in den 512 Byte groÿen Master Boot Record (MBR), der erste Sektor auf der Festplatte oder dem Wechseldatenträger, der vom BIOS automatisch geladen wird, um das Betriebssystem zu booten. Die Viren platzieren ihren Code vor dem ursprünglichen MBR, sodass das Betriebssystem nach dem Virus gestartet wird, um eine Entdeckung zu vermeiden. Dateiinifzierende Viren inzieren typischerweise ausführbare Programmdateien, da diese mit hoher Wahrscheinlichkeit ausgeführt werden. Würde dabei die ganze Datei überschrieben, wäre der Schaden am System maximal, allerdings könnte sich der Virus nicht mehr verbreiten und der Virus könnte schnell als solcher identiziert werden. Stattdessen wird der ursprüngliche Code des Programms behalten und durch Sprungbefehle nach dem Schadcode ausgeführt. Programme bestehen aus Bytefolgen von Maschinenbefehlen und haben einen Einstiegspunkt (engl. main entry point), an dem der erste auszuführende Befehl des Programms steht. Sprungbefehle (JUMP-Befehle) erlauben es den Programmuss an einer bestimmten Stelle fortzusetzen. Simple Viren platzieren einen JUMP-Befehl am Einstiegspunkt des inzierten Programms und hängen den Schadcode am Anfang oder am Ende des Programms an, was durch die Veränderung der ursprünglichen Dateilänge enttarnt werden kann. Cavity- Viren umgehen die Änderung der Dateigröÿe, indem sie sich in freie Programmcodestücke (Lücken) schreiben, beispielsweise bei Aneinanderreihungen von x0 im Binärcode. Kompressionsviren platzieren ihren Code am Anfang oder Ende des Programms, komprimieren aber zusätzlich das ursprüngliche Programm, um die Dateigröÿe beizubehalten. Abbildung 1 veranschaulicht die Verfahren graphisch. Abbildung 1. (A) Ursprüngliches Programm (B) Prepending-Virus (C) Appending-Virus (D) Cavity- Virus (E) Kompressionsvirus Die bisher vorgestellten Virentypen haben den Nachteil, dass sich ihr Code immer aus den gleichen Maschinenbefehlen zusammensetzt. Das bedeutet, dass sie leicht beim Durchsuchen der Dateien nach solchen Maschinenbefehlen gefunden werden können. Verschlüssende Viren bestehen aus zwei Teilen [7]: einer Entschlüsselungsroutine und einem verschlüsselten Hauptteil, der eine verschlüsselte Form der bisher vorgestellten Viren darstellt. Die Entschlüsselungsroutine wird am Haupteinstiegspunkt des Programms platziert und entschlüsselt die eigentlichen Befehle des Virus. Dadurch sind die Maschinenbefehle des Programms nur im Arbeitsspeicher sichtbar und nicht auf der Festplatte. Bei jeder Neuinfektion wird zusätzlich ein anderer Schlüssel generiert. Damit erfüllen die Viren die gleiche Funktionalität, sehen aber auf Byteebene verschieden aus. Das Konzept hat jedoch einen Nachteil: Die Entschlüsselungsroutine besteht immer aus den gleichen wenigen Maschinenbefehlen und kann entdeckt werden. Polymorphe Viren beheben diesen Fehler, indem sie mit einer Mutation-Engine bei jeder Inzierung neue Ver- und Entschlüsselungsroutinen generieren. Mit der Einführung der Win32-API und Windows 95, wurde auch das PE-Dateiformat (portable executable) eingeführt. Ziel war es, dass Programme zu bisherigen, sowie zukünftigen WindowsPlattformen kompatibel waren. Damit dies funktioniert, muss die Datei verschiedene Informationen der Plattform am Anfang des Programms denieren, wie beispielweise die verwendeten Bibliotheken. Diese Komplexität konnte allerdings von Virenautoren missbraucht werden. Das Laden bestimmter Programmbibliotheken (meist .dll-Dateien) wurde beispielsweise genutzt, um stattdessen 4 Antony Neu den Virus selbst zu laden [6]. Anders als in den Jahren zuvor, waren solche Viren selbst auf den verschiedenen Windows-Plattformen lauähig. Neben ausführbaren Dateien beelen Mitte der 1990er Jahre Makroviren Microsoft-Oce-Dokumente, die sehr häug unter Benutzern ausgetauscht wurden. Dabei wurde die Makro-Funktion ausgenutzt, die es erlaubt in einer Skriptsprache häug benutzte Bearbeitungsschritte zu speichern und im Dokument einzubetten. Der eingebette Virus wurde mit dem Önen des Dokuments automatisch ausgeführt. Die Verbreitung solcher Viren nahm mit der stärkeren Vernetzung des Internets zum Ende des 20.Jahrhunderts zu und erreichte beispielsweise mit dem ILOVEYOU-Virus im Jahre 2000 ihren Höhepunkt [2]. Die Ziele der Hacker und Entwickler der Schadsoftware bis zum Jahr 2000 dienten hauptsächlich dem Ansehen des Urhebers. Vor allem die ersten Viren dieser Zeit dienten entweder dem Beweis der technischen Möglichkeit (engl. proof of concept), dem Erregen von Aufmerksamkeit, Spaÿ, Freude am Vandalismus oder dem Ansehen in der Black-Hat-Community. Selbst der bekannte ILOVEYOU-Virus, der mehrere zehn Millionen Rechner weltweit inzierte und durch das Löschen von Nutzerdaten hohen Schaden anrichtete, verfolgte weder wirtschaftliche noch politische Ziele. Dennoch stellt Bruce Schneier in [8] fest, dass sich die Schadprogramme durch das Internet rascher als in den Jahrzehnten zuvor ausbreiten und sowohl die Systemadministratoren, als auch die Softwarehersteller zu langsam auf die steigende Verbreitungsgeschwindigkeit der damaligen Zeit reagieren. 2.1 Trends der letztens Jahre Technologisch gab es in den darauf folgenden Jahren vermehrt Computerwürmer, die sich im Gegensatz zu Viren selbstständig ausbreiten konnten und somit nicht mehr auf Nutzerinteraktion des Opfers angewiesen waren [4], [9], [10]. Ein Wurm besteht typischerweise aus zwei Hauptkomponenten: Die Target-Locator-Komponente sammelt potenzielle Ziele, die vom Host erreichbar sind. Email-Adressen werden entweder über Adressbücher des Email-Clients gesammelt oder aus durchsuchten Dateien geltert. Durch vorhandene Netzwerkdienste können weitere Netzwerkteilnehmer des Netzwerks ermittelt werden. Einige Würmer verschicken Datenpakete an zufällige IP-Adressen auf bestimmte Ports, um die erreichbaren Systeme und die laufenden Netzwerkdienste festzustellen. Dieses Verfahren nennt sich Fingerprinting. Die zweite Komponente ist verantwortlich für die Art und Weise der Verbreitung des Wurms. Würmer und andere Malware nutzen häug einen Puerüberlauf (engl. buer overow) im jeweiligen Programm aus, um Schadcode innerhalb von Prozessen zu platzieren. Dieses Verfahren wird als Code-Injection bezeichnet [11]. Antivirenprogramme oder Firewalls bieten keinen wirksamen Schutz, da ein Fehler in der Speicherverwaltung des Programms ausgenutzt wird. Das Programm muss dafür in einer Programmiersprache geschrieben sein, die dem Programmierer die Speicherverwaltung überlässt, beispielsweise C oder C++. Jedem Prozess wird zur Ausführungszeit ein virtueller Adressraum im Arbeitsspeicher zugeordnet, der aus Code- Stack- und Heap-Segment besteht. Die Maschinenbefehle des Programms, die im statischen Code-Segment gespeichert sind, werden so lange sequentiell ausgeführt, bis ein Sprungbefehl auftritt, z.B. bei einem Funktionsaufruf. Im Stack-Bereich werden lokale Variablen, sowie die Rücksprungadresse, d.h. die Adresse an dem das Programm nach dem Sprungbefehl fortsetzen soll, gespeichert. Immer dann, wenn ein fest reservierter Bereich mit Daten variabler Länge gefüllt wird, kann ein Puerüberlauf stattnden. Ein Beispiel wäre ein String oder Array, das mit Eingabedaten des Nutzers gespeichert wird. Dem Angreifer gelingt es den Puer so mit zu vielen Daten zu füllen, dass er überläuft. Dabei werden nachfolgende Speicherbereiche überschrieben. Bei einem stackbasierten Angri wird die Rücksprungadresse überschrieben, sodass das Programm in der Eingabe platzierten Code ausführt. Wenn der injizierte Code in den Speicherbereichen mangels Gegenmaÿnahmen ausführbar ist, kann der Angreifer durch den beliebig platzierten Code root-Zugri auf den Rechner bekommen. Im Heap-Bereich werden globale Variablen, sowie dynamisch gespeicherte Variablen, die mit Befehlen wie 'new' und 'malloc' erzeugt werden. Ein heapbasierter Angri ist konzeptuell zwar schwieriger, nutzt aber das gleiche Prinzip, dass ein xer Speicherbereich durch eine zu groÿe Ein- Trojaner, Viren, CyberSecurity und der Staatstrojaner 5 gabe überfüllt wird. [11]. Der Rechner steht nach einem solchen Angri unter der Kontrolle des Angreifers und kann Teil eines Botnets werden. Wirksamer Schutz bietet nur das Entdecken und Beheben der Schwachstelle durch den Softwarehersteller mit anschlieÿender Installation des Patches beim Kunden. Der CodeRed-Wurm nutzte 2001 eine Schwachstelle in Microsofts Webserver IIS aus, um die Webseiten des Hosts stillzulegen und kompletten Zugri auf den Server zur Verfügung zu stellen. Auÿerdem enthielt er Schadcode, der eine Denial-of-Service-Attacke auf die Webseite des Weiÿen Hauses starten sollte. Ebenfalls 2001 wurde der Wurm NIMDA entdeckt, der die technologischen Fortschritte der Würmer dieser Zeit verdeutlicht: Er verbreitete sich von Client-zu-Client via Email und gemeinsam genutzter Netzwerkordner, von Webserver zu Client über kompromittierte Webseiten, sowie von Client zu Webserver durch Ausnutzung von IIS-Schwachstellen. Dabei scannt der Wurm zusätzlich, ob bereits ein Backdoor der Würmer CodeRedII oder sadmin/IIS vorhanden ist und nutzt diesen aus. Einen Wurm, der Eekte anderer Würmer ausnutzt, gab es zu dem Zeitpunkt noch nicht [9]. Auÿerdem enthielt er seinen eigenen SMTP-Client um sich unabhängig vom System des Clients via Email zu verbreiten. Andere Würmer der nachfolgenden Zeit verbreiten sich zusätzlich über P2P-Netzwerke oder nutzen Social-Engineering-Angrie aus. Bei einem solchen Angri wird das Vertrauen der Nutzer oder deren Furcht ausgenutzt, um an Daten heranzukommen. Beispiele für solche Angrie sind z.B. das Phishing beim Online-Banking. Optional können Würmer einen Backdoor zur Fernsteuerung enthalten, was eine Voraussetzung für Botnets ist. Über eine Update-Komponente können Würmer neue Infektionswege im zeitlichen Verlauf nutzen. Der in Abschnitt 3.1 beschriebene Stuxnet-Wurm beinhaltet mehrere Komponenten zur Verbreitung auf unterschiedlichen Angrisvektoren und implementiert sowohl eine Update- als auch Backdoor-Komponente. Drive-By-Download-Angrie stellen ebenfalls eine neue technologische Verbreitungsform für Malware der letzten Jahre dar. Sie nutzen Schwächen in Hilfprogrammen, insbesondere des Browsers der Anwender aus, um Schadcode, beispielsweise Trojaner, auf dem Opfersystem zu platzieren. Häug wird eine Schwäche in Adobe Flash durch Schadsoftware auf dem Rechner ausgenutzt. Der Besuch einer vom Angreifer präparierten Seite reicht aus, um den Schädling zu installieren. Das Opfer lädt den Schädling nicht aktiv herunter, sondern metaphorisch im Vorbeifahren (engl. drive by download) [12]. Aufgrund des leichten Verteilens von Inhalten im Web2.0 können präparierte Links problemlos in Blogs oder Wikipedia platziert werden. Ausgereifte manipulierte Webseiten protokollieren die IP-Adressen des Besuchers. Ist bereits eine Inzierung des Nutzers erfolgt, wird eine harmlose Webseite ohne Schadcode angezeigt. Dadurch können auch Bots der Suchmaschinen oder Antivirenhersteller ausgetrickst werden [13]. Es können aber auch legitime Webseiten inziert sein, wenn im Vorfeld FTP-Passwörter der Webseite gestohlen wurden. Würmer und Viren verbreiteten sich in den Jahren darauf in den neu geschaenen Plattformen des Web 2.0: 2004 beel der Santy-Wurm 40000 Internetforen, die mit der Software phpBB liefen [14]. Seit dem Jahr 2005 verbreiten sich Viren und Würmer auÿerdem vermehrt über Instant-Messaging Dienste wie ICQ, MSN oder AOL Messenger [15]. Hierbei wird meistens ein Link verschickt, der zum Beispiel zum Download eines Updates auordert. Einige Trojaner greifen auf die internen Funktionen des Messengers zu und können somit den Nutzerdialog, der den Nutzer über die Installation informiert, schlieÿen. In den Jahren nach der Jahrtausendwende nutzten Konsumenten das Internet vermehrt zur Abwicklung von Einkäufen, Buchungen und neuen Kommunikationsformen, was eine Verschiebung der Ziele von Cyberkriminellen zu prot-orientierter Malware zur Folge hatte. Sie verfolgten nun wirtschaftliche Ziele. Der Begri der Cyberkriminalität entstand: Firmen, Banken und Privatpersonen weltweit erlitten vermehrt nanziellen Schaden durch Angrie aus dem Internet. Kreditkartennummern und Kontodaten werden aus inltrierten Internetshops geklaut. Dialer-Programme, die sich meist als Trojaner installierten, verstellten die Einwahl der Providerprogramme auf dem Rechner des Opfers, sodass er sich über teure Service-Nummern einwählte. Der Angri wurde erst mit der Telefonrechnung zum Monatsende bemerkt. In 2005 verbreitete sich der Wurm Zotob, der Werbung im Browser des Opfers anzeigte. Dies gelang, indem die hosts-Datei des Opfers manipuliert 6 Antony Neu wurde, sodass Anfragen an die Google-Webseite auf die Werbeseiten umgeleitet wurden, an dessen Werbeeinnahmen sich die Autoren des Wurms bereicherten. Im jährlichen Cybercrime-Bericht, schätzt der Security-Softwarehersteller Symantec 2012 den jährlichen Schaden von Konsumenten durch Cyberkriminalität auf 110 Milliarden Dollar, wobei der Anteil nicht bemerkter bzw. nicht gemeldeter Angrie zusätzlich betrachtet werden müsste [16]. 15 Prozent der Nutzer sozialer Netzwerke haben bereits einen Identitätsklau verzeichnet und jeder fünfte online agierende Erwachsener wurde bereits Opfer von sozialer oder mobiler Cyberkriminalität. 2.2 Botnets Bots stellen eine Hybridform aus Viren und Würmern dar, die zusätzlich eine Command&CotrolKomponente zur Steuerung enthalten [17]. Sie verbreiten sich wie Würmer über Sicherheitslücken, tarnen sich allerdings mit von Viren bekannten Techniken. Mehrere mit Bots inzierte Systeme formen ein Botnet oder zombie army, das von einem Botneteigentümer gesteuert wird. Botnets zeigen deutlich den Wandel zu prot-orientierter Malware, da sie dem Eigentümer verschiedene Möglichkeiten Geld direkt oder indirekt zu aquirieren bieten [18]: Botnets werden zur Erpressung von Geld online-tätiger Unternehmen eingesetzt. Eine DistributedDenial-Of-Service-Attacke (DDoS-Attacken) wird verwendet, um die Server des Unternehmens lahmzulegen. Dabei wird ein Server mit so vielen Anfragen gleichzeitig belastet, sodass er unter der Last zusammenbricht und nicht mehr erreichbar ist. Eine verbreitete Technik ist das SYN-Flooding, bei dem der TCP-Handshake missbraucht wird. Der Angreifer schickt in kürzester Zeit sehr viele SYN-Pakete an den Server, der diese bestätigt (SYN-ACK) und die Bestätigung des Angreifers (ACK) abwartet. Dazu hält der Server die Verbindungen oen, was Systemressourcen verbraucht. Da der Angreifer keine Bestätigungen schickt, verbrauchen die halb-oenen Verbindungen so viele Ressourcen, dass das System überlastet und keine weitere Anfragen entgegennehmen kann. Um weitere Angrie zu verhindern, soll das Unternehmen eine Art Schutzgeld leisten. Botnets können Services eines Servers bzw. Serverclusters erbringen. Botneteigentümer können für eigene Zwecke oder gegen Bezahlung für Dritte SPAM-Mails verschicken, geklaute Software oder Filmen verbreiten oder verschlüsselte Daten im Brute-Force Verfahren entschlüsseln. Beim click fraud werden die Systeme ausgenutzt, um auf Banner-Werbung, die auf Webseiten des Botneteigentümers geschaltet wird, zu klicken. Da ein legitimer Klick nur schwer von dem der Bots zu unterscheiden ist, verdienen die Botneteigentümer an den Werbeeinnahmen. Neuere Bots enthalten eine Spyware-Komponente, um Passwörter und Kreditkartendaten zu klauen. Botnets können verkauft werden, wobei der Preis für einen inzierten Rechner bei $0.05 - $0.10 liegt. Während es am Anfang Botnets bestehend aus bis zu 100.000 Rechner gab, sind heute kleinere Botnets ausreichend, da die Einzelleistung jedes Teilnehmers und die Datenleitungen sich verbessert haben [17]. Die inzierten Teilnehmer des Botnets lassen sich weltweit verteilt in Privathaushalten, Schulen und Firmen nden. Wie von Würmern bekannt, enthalten Bots Komponenten, die Systeme auf Schwachstellen analysieren. Ein zentraler Vorteil von Botnets ist, dass der Urheber von Angrien nicht nachvollzogen werden kann. Dazu muss die Kommunikation zum Command&ControlServer des Eigentümers anonymisiert erfolgen. Die Kommunikation erfolgt zu diesem Zweck am häugsten indirekt über IRC (internet relay chat), da dieser nur geringe Verzögerungszeiten aufweist, eine Infrastruktur bereits vorhanden ist und gut mit zahlreichen Tools anonymisiert werden kann. Alternativ kann die Kommunikation über HTTP erfolgen. Ein PHP-Skript wird verwendet, bei dem sich die Bots bei der Inzierung im Netzwerk registrieren. Danach überprüft der Bot in regelmäÿigen Abständen ein weiteres Webdokument, das die Befehle an die Netzwerkteilnehmer enthält, auf Änderungen und führt bei Vorhandensein neue Befehle aus. Daneben gibt es Bots, die über ein Peer-To-Peer-Verfahren miteinander kommunizieren. Dies hat den Vorteil, dass das Botnet durch Deaktivierung des zentralen Command&Control-Servers nutzlos wird (single point of failure). Einzelne Teilnehmer des Netzwerks fungieren zusätzlich als Proxy, sodass der Datenverkehr durch mehre Länder geleitet wird, bevor er beim Command&Control-Server ankommt. Da es Trojaner, Viren, CyberSecurity und der Staatstrojaner 7 global keine Kooperation bei der Herausgabe von IP-Adressen gibt, führt dies zur Anonymisiserung des Datenverkehrs. Via FTP, HTTP und TFTP können die Bots beliebige Dateien laden und somit ihre Inzierungstechniken aktualisieren. Um die Integrität des Netzwerks zu wahren, wird ein Domainname statt einer statischen IP-Adresse als Adresse des Servers im Bot-Programm verwendet. Dadurch bleibt der Server erreichbar, auch wenn seine IP-Adresse, z.B. aufgrund von Sperren und Filtern, geändert werden muss. Damit das Botnet nicht von anderen Angreifern übernommen wird (engl. botnet hijacking), werden die für die Inzierung verwendeten Schwachstellen geschlossen, evtl. vorhandene Malware gelöscht und die Zugänge zum System mit Passwort gesichert [18]. In seinem Artikel Where have the worms and viruses gone? - new trends in malware [15] misst Eugene Schultz Botnets die stärkste Bedeutung unter den Malwarearten in der heutigen Zeit bei. Zwar seien Viren und Würmer vor allem im mobilen Bereich vorhanden, jedoch richten Bots viel gröÿeren Schaden an und seien für die Entwickler weitaus protabler. Botnet-Besitzer können diese vermieten oder Auftragsangrie anbieten. Als Gründe für diese Entwicklung führt der Autor den Wandel der Ziele von Schadsoftwareentwickler, die Verbreitung von Antivirus-Software, Langeweile der Entwickler, sowie der Rückgang an Schwachstellen in moderner Software an. Botnets werden nicht nur für DoS-Angrie verwendet, sondern können als Computercluster fungieren, um Verschlüsselungen per Brute-Force-Verfahren zu knacken. Seit 2011 werden Botnets von Gruppen wie Anonymous und Lulzec eingesetzt, um Ihre politischen Ziele durchszusetzen. Die Angrie dieser Gruppen auf Softwarehersteller, Banken und staatlichen Institutionen, zum Beispiel das FBI oder die CIA, prägten den Begri des Hacktivismus [19]. 3 Staatlicher Einsatz von Schadsoftware Bereits 2003 drangen die USA in die Computersysteme des irakischen Verteidigungsministeriums ein, um unmittelbar vor dem Irakkrieg Emails an irakische Ozielle zu verschicken [20]. Israel hat 2008 mutmaÿlich mit einem Cyberangri die syrischen Verteidigungssysteme vor einem Luftangri ausgeschaltet [20]. Nachdem Estland eine russische Bronzestatue in Tallin entfernte, folgte im April 2007 eine dreiwöchige Denial-Of-Service-Attacke gegen estländische Webseiten. Ohne Beweise vermuteten estländische Minister die russische Regierung als Drahtzieher [21]. Ähnliche Technologien werden auch zur Spionage eingesetzt. 2009 grien chinesische Hacker Berichten zufolge durch Email und Instant-Messaging über 30 Groÿunternehmen, darunter z.B. Google und Yahoo, an. Durch Anonymisiserungsmethoden ist es schwer zu beweisen, wer verantwortlich für bestimmte Angrie im Internet ist [22], sodass häug spekuliert werden muss. Falsche Anschuldigungen können entstehen, wenn Datenverkehr absichtlich durch bestimmte Länder geleitet werden, um den Verdacht auf sie zu lenken. 3.1 Stuxnet - Eine neue Form von Cyberwaen Im Juni 2010 wurde der Wurm Stuxnet entdeckt, der als erster Wurm gezielt die Steuersysteme von Industrierechnern sabotierte. Es wird davon ausgegangen, dass der Wurm bereits seit 2009 im Einsatz war. Laut New York Times [23] wurde der Wurm von den USA und Israel entwickelt und getestet, um das iranische Atomprogramm zu stören. Der Wurm wurde so entwickelt, dass er sich selbstständig ausbreitet und den Schadcode erst ausführt, wenn er das Zielsystem, mutmaÿlich Industrierechner der iranischen Urananlage in Natanz, erreicht. Er grenzt sich dadurch von anderen Würmern des 21. Jahrhunderts, z.B. Slammer, Blaster oder Sobig ab, die darauf abzielten so viele Systeme wie möglich zu sabotieren. Obwohl der iranische Staat eine erfolgreichen Angri auf sein Atomprogramm abstreitet, wurden Produktivitätseinbuÿen von 15 Prozent im Zeitraum der Ausbreitung Stuxnets festgestellt [21]. Industrierechner (engl. industrical control systems ICS) werden über speicherprogrammierbare Steuerungen SPS (engl. programmable logic controller PLC) gesteuert. Sie werden mit WindowsRechnern programmiert, die aus Sicherheitsgründen nicht mit dem Internet oder LAN verbunden sind. Auÿerdem ist die Konguration der SPS für jedes System einzigartig, sodass die Entwickler 8 Antony Neu des Wurms Zugri auf die Pläne der Industrierechner haben mussten, mit denen sie eine Kopie der Netzwerkumgebung für Testzwecke aufbauten [24]. Der Wurm wurde dann in das Zielnetzwerk oder dem Netzwerk eines Vertragspartners platziert. Von hier aus verbreitete sich Stuxnet zunächst auf Windows-Rechnern über das LAN via Netzwerkressourcen, eine noch nicht entdeckte Schwachstelle im Windows Print-Spooler, sowie über einer weiteren Zero-Day-Schwachstelle im Windows-Server-Service. Windows-CC-Systeme wurden ebenfalls durch SQL-Injection in die Windows-CC-Datenbank inltriert. Die extrahierte dll-Bibliothek, die den Kern von Stuxnet darstellt, wird bei diesem Angri als SQL-Prozedur gespeichert, ausgeführt und zur Tarnung gelöscht. Die inzierten Systeme, die über eine Internetverbindung verfügten, verbindeten sich mit einem Command&Control-Server, der Updates zur Verfügung stellte. Die Kommunikation mit dem Server erfolgte über HTTP auf Port 80, sodass die Firewalls umgangen werden konnten. Die erhaltenen Updates verteilten sich auf die einzelnen Systeme mit einem Peer-to-Peer-Mechanismus. Die inzierten Systeme kommunizierten über RCP miteinander, um die Versionen des Wurms abzugleichen und zu verbreiten [24]. Diese Funktionalität weist starke Ähnlichkeit mit den bereits angesprochenen Botnets auf. Im zweiten Schritt verbreitete sich der Wurm über Wechseldatenträger, um die nicht vernetzten Zielsysteme zu erreichen. Hierbei wurden zwei Schwachstellen ausgenutzt: die LNK-Vulnerability und die Autorun.inf-Vulnerability. Bei Ersterer, der von neueren Versionen von Stuxnet verwendet wird, werden vier .LNK-Dateien (Verknüpfungen) neben den Dateien WTR4141.tmp und WTR41.32.tmp, die zum Laden von Schadcode verwendet werden, auf dem Medium platziert. Dabei werden bereits vorhandene Infektionen auf dem Medium gelöscht. Jede der vier LNK-Dateien beinhaltet einen Exploit, der auf der jeweiligen Windows-Version (2000, XP, 2003 Server und Vista bzw. Windows 7) funktioniert und die automatische Ausführung der Datei WTR4141 beim Betrachten des Ordners auf dem Medium verursacht. Diese Datei lädt mit anderen Dateien den Schadcode. Nachdem über ein Medium drei Rechner inziert hat, löscht sich der Wurm zur Verschleierung selbsständig vom Medium [24]. Bei Letzerem wird eine manipulierte autorun.inf-Kongurationsdatei auf dem Medium platziert. Diese Datei wird verwendet, um Befehle auszuführen, die beim Einsetzen des Mediums ausgeführt werden sollen. Stuxnet versteckt ausführbaren Code am Anfang dieser Datei, der beim Parsen aufgrund von Syntaxfehlern übersprungen wird. Im Footer der Datei wird der eigentliche AutorunCode platziert, der wiederum anweist die autorun.inf als ausführbare Datei zu betrachten, und somit den Code, der am Anfang platziert wurde, auszuführen. Mit diesem Trick lässt sich alles in einer Datei platzieren [24]. Die Möglichkeit der Verbreitung über mehrere Angrisvektoren und die Ausnutzung mehrerer Zero-Day-Schwachstellen verdeutlichen die technische Ausgereiftheit des Wurms, die neben dem speziellen Angriziels als Alleinstellungsmerkmal Stuxnets anzusehen sind. Mehrere Quellen [20], die kurz nach Bekanntwerden des Wurms entstanden sind, sprechen daher von einem game changer im Cyberwarfare mit weitreichenden Konsequenzen für die Zukunft. Quelle [20] sieht Stuxnets gröÿten Einuss auf zukünftige Entwicklung in den Bereichen Cyberwaen, Cyberkriegsführung, sowie Abwehrmaÿnahmen von Staaten gegen Cyberangrie. Der in März 2012 entdeckte Flame Virus weist technische Ähnlichkeiten mit Stuxnet auf, wurde jedoch zur Spionage gegen Länder im Mittleren Osten entwickelt. Hier wird ebenfalls eine Verwicklung der Staaten USA und Israel vermutet [25]. Gleiches gilt für den Wurm Duqu, der 2011 entdeckt wurde. Er weist groÿe Übereinstimmungen mit Stuxnet auf. 3.2 Staatsinterner Einsatz von Schadsoftware - BckR2D2-I in Deutschland Staaten setzen Schadsoftware nicht nur gegen andere Staaten ein, sondern auch im Innern gegen die eigene Bevölkerung. Im Oktober 2011 machte der in Deutschland ansässige Chaos Computer Club (CCC) auf einen Trojaner aufmerksam, der von deutschen Strafverfolgungsbehörden zur Überwachung von Verdächtigen eingesetzt wurde. Obwohl das Durchsuchen von Rechnern auf richterliche Anordnung bereits in der Vergangenheit stattgefunden hatte, stellte die Onlinedurchsuchung mittels Trojaners eine neue Dimension dar. Der Infektionsweg des Trojaners ist bis heute Trojaner, Viren, CyberSecurity und der Staatstrojaner 9 nicht bekannt, der CCC vermutet jedoch eine Infektion via physischen Zugri, Email oder DriveBy-Download [26], [27] [28]. Der Trojaner, auch bekannt unter dem Namen BckR2D2-I oder Staatstrojaner, diente dem Abhören von VOIP-Gesprächen via Skype, sowie dem Anfertigen von Bildschirmaufnahmen (engl. screenshot). Dazu injiziert er sich in die Prozesse des VOIP-Programms Skype und explorer.exe. Der Trojaner nimmt die Rolle einer Skypeerweiterung ein und zeichnet den Ton mithilfe der Windows Multi-Media-Library und dem Audiocodec libspeex auf [26]. Auÿerdem konnten weitere Module über ein Backdoor nachgeladen werden, um bei Bedarf weitere Überwachungsmethoden zur Verfügung zu stellen. Die Kommunikation erfolgt dazu verschlüsselt mit einem Command&ControlServer, der im Falle des deutschen Staatstrojaners, in den USA lokalisiert war. Die IP-Adresse des Servers war fest im Quellcode einprogrammiert und konnte daher aufgedeckt werden. Die Kommunikation erfolgt mit einem propriäteren Protokoll über Port 443 [27] . Der Trojaner hinterlieÿ somit eine Sicherheitslücke auf dem betroenen Rechner, die auch von anderen Hackern genutzt werden konnte. Der Backdoor zum Laden weiterer Programmmodule und Empfangen von Befehlen beinhaltet zwar eine Authentizierung, die allerdings nur in eine Richtung wirksam ist: Der Trojaner authentiziert sich beim Server mit einem fest einprogrammierten symmetrischen Schlüssel (AES) und dem Banner-String C3PO-R2D2-POE, der am Anfang jeder Nachricht gesendet wird. Der Trojaner selbst überprüft aber eingehende Befehle nicht auf Authentizität. Dadurch kann ein Angreifer den Trojaner für eigene Zwecke ausnutzen, indem er dem Programm manipulierte Befehle schickt. Ein Man-in-the-middle-Angri, bei dem der Angreifer zwischen Server und Trojaner den Datenverkehr abhört, überwacht und manipuliert ist ebenfalls denkbar. Dritte könnte also auch gefälschte Beweise platzieren, um Andere zu belasten. Durch den fest einkodierten Bannerstring, ist es möglich trotz Verschlüsselung die Datenpakete, die vom Trojaner gesendet werden, durch geeignete Sicherheitssysteme zu erkennen und zu ltern [27]. Der Trojaner beinhaltet auÿerdem ein nicht-signiertes Kernelmodul namens winsys32.sys, das als Rootkit für 32-Bit-Windows-Systeme dient. Damit können beliebige Dateien erstellt, geändert oder gelöscht werden. Eine nicht genutze Keylogging-Funktionalität war ebenfalls vorhanden und bot Angreifern die Möglichkeit die Tastatureingaben des Nutzers abzuhören. Die Autoren des CCC stellen in [27] vor, wie Dritte die Keylogging-Funktionalität aktivieren und missbrauchen könnten. Es gibt eine neuere Variante des Trojaners mit der Bezeichnung BckR2D2-II, der nach Analyse des Kompilierdatums mindestens 1,5 Jahre neuer ist als die erste Version. Sie enthält folgende wesentliche Unterschiede [26]: 1. BckR2D2-II beinhaltet eine Dropper-Anwendung, eine .exe-Datei, die der Installation der Softwarebibliothek dient. Nach dem Überprüfen der Schreibberechtigung wird die Datei mfc42ul.dll in das Systemverzeichnis geschrieben, wonach durch Code-Injection die Bibliothek in die Prozesse Explorer.exe, Skype.exe und SkypePM.exe injiziert wird. Zur Verschleierung werden die Daten der Zugrie auf das Änderungsdatum der Datei mfc42.dll gesetzt. Zusätzlich wird der beschriebene Treiber winsys32 in das Systemverzeichnis geschrieben, sowie eine ebenfalls neue Anwendung Remover, die beliebige Dateien löschen kann. 2. Der Kernel-Level-Treiber gibt es in der neueren Version auch als 64-bit Version, der von der ktiven Firma Goose Cert signiert ist, wodurch die Installation bei Windows 7 bestätigt werden muss. Die Funktionalität ist identitätsch zu der 32-Bit-Version. 3. Sollten auf dem System keine Administratorrechte erlangt werden können, gibt es zusätzlich eine Anwendung, die vom Dropper als versteckte Datei in das Nutzerverzeichnis geschrieben wird. Zum einen überprüft sie die Installation regelmäÿig auf Fehler, zum anderen injiziert sie die Softwarebibliothek in die bereits genannten Prozesse. 4. Der Austausch der Daten erfolgt mit einem Server aus Deutschland. Die Kommunikation erfolgt über AES im Electronic-Codebook-Verfahren: Der Server authentiziert sich zwar beim Client, allerdings besteht das Verfahren lediglich aus dem Schicken von fest einkodierten Werten, sodass die Authentizierung leicht umgangen werden kann. Heutige Virenscanner erkennen BckR2D2-II und löschen ihn. Security-Software-Hersteller lehnen es ab staatliche Malware zu ignorieren, da Malware immer eine Gefahr für das System der Kunden 10 Antony Neu darstellt. Der Autor verzichtet auf die nähere juristische Bewertung und weist lediglich auf die Quelle [29] hin, die die den Sachverhalt in Hinblick auf Landes- und Bundesgesetze näher beleuchtet. 4 Gegenmaÿnahmen Neben den nachfolgend präsentierten technischen Gegenmaÿnahmen ist das Schaen eines Bewusstseins bei Privatanwendern und Mitarbeitern notwendig, um einen ausreichenden Schutz zu bieten. Scareware und Social-Engineering-Angrie sind ohne das Vertrauen oder die Angst des Nutzers gar nicht möglich. Die technischen Möglichkeiten sind ohne die richtige Verwendung und Konguration der Nutzer ebenso wirkungslos. Security darf also nicht als rein technisches Gebiet aufgefasst werden, sondern umfasst ebenso die Menschen, die geschützt werden sollen selbst [1]. 4.1 Technische Gegenmaÿnahmen Eine häug eingesetzter Schutz gegen Malware ist ein Antivirenprogramm, das die Abhängigkeit eines Virus von einer Wirtsdatei ausnutzt [6]. Ziel des Programmes ist es, Viren zu erkennen und die inzierten Dateien wiederherzustellen (desinzieren). Heutzutage erkennen Antivirenprogramme nicht nur Viren, sondern auch andere Schadprogrammarten. Die ersten Antivirenprogramme setzten das String-Scanning-Verfahren ein, dessen Grundprinzip immer noch in aktuellen Programmen zu nden ist. Dabei werden die Dateien oder der Speicher nach typischen Bytefolgen der Viren durchsucht, die in einer Datenbank des Antivirusprogrammes gespeichert sind. Diese typischen Bytefolgen werden so ausgewählt, dass sie eindeutig den Virus identizieren und nicht in unschädlichen Programmen vorkommen. False-Positives gefährden ebenso das System wie die Desinzierung einer Datei, die von einer anderen Variante des Virus befallen ist. Um mehrere Varianten des Virus zu erkennen, wurden Techniken der fehlertoleranten Suche eingesetzt. Um die Datenbank nicht zu belasten und die Suchlaufzeit zu verringern, wurden Hashing- und Checksumverfahren eingesetzt, um längere Bytefolgen abzuspeichern. Beim Nearly-Exact-Identication-Verfahren werden zwei Stringfolgen pro Virus gehashed abgespeichert. Wird nur ein String erkannt, gilt ein Virus als erkannt, aber durch die mangelnde Indentizierung wird keine Desinzierung eingeleitet. Typischerweise wird der erste String so gewählt, dass er eine Virusart erkennt, während der zweite String einen Teil des Virus beinhaltet, der bei der Desinzierung eine Rolle spielt. Manche Viren können nur durch auf sie abgestimmte Algorithmen identiziert werden. Dafür werden Routinen, die in einer plattformunabhängigen Sprache in der Datenbank gespeichert. Um die kostspielige Algorithmenausführung zu begrenzen, werden zusätzlich häug inzierte Dateinamen oder Speicherbereiche gespeichert. Bei der Code-Emulation bzw. der generischen Entschlüsselung wird das Host-System in einer virtuellen Maschine emuliert und die Auswirkungen der Dateiausführung auf den Arbeitsspeicher beobachtet [6]. Dadurch können auch verschlüsselte und polymorphe Viren erkannt werden, deren Signatur erst bei Ausführung des Virus im Arbeitsspeicher erkannt werden können [7]. Das grundsätzliche Problem bei dem Verfahren, bei dem sich der Virus selbst entschlüsselt, ist, dass die Antivirussoftware nie wissen kann, wann die Entschlüsselung abgeschlossen ist. Man kann also eine unvollständige Entschlüsselung nicht von einem virenfreien Programm unterscheiden. Jeder Antivirus-Hersteller hat sein eigenes Verfahren, um dieses Problem zu lösen. Eine ähnliche Vorgehensweise wird bei heuristischen Verfahren eingesetzt, die noch nicht entdeckte Malware identizieren sollen. Dabei werden die Dateien auf bestimmte strukturelle Auälligkeiten untersucht. Beispielsweise könnten bei PE-Dateien von Windowssystemen untersucht werden, auf welchen Bereich der Einstiegspunkt der Datei zeigt. Zeigt er auf keinen der Sections, sondern auf einen Bereich zwischen PE-Header und Sections, so wäre dies ein Hinweis auf platzierten Schadcode. Unabhängig der eigentlichen Maschinenbefehle wird anhand des Verhaltens des Virus analysiert. Die Desinzierung der Dateien Bedarf aufgrund der steigenden Anzahl an Viren und ihren Varianten generischer Verfahren. Primitive Antivirenprogramme nutzten für jeden Virus eine Desinzierungsroutine, die sorgfältig durch Debugging und Analyse des Virus erstellt wurde. Dabei muss der inzierte Dateibereich, die Länge des Virus und die Länge des ursprünglichen Programms bekannt sein. Bei der heutigen Virenanzahl wäre die Datenbank zu groÿ. Generische Verfahren nutzen Trojaner, Viren, CyberSecurity und der Staatstrojaner 11 die Viren selbst,indem sie sie virtuell emulieren bis zu dem Zeitpunkt an dem das ursprüngliche Programm geladen wird. Dieses Programm wird dann wiederhergestellt. Eine inzierte Datei kann nicht immer wiederhergestellt werden. Backups sind ein wichtiger Bestandteil der IT-Sicherheit, da sie im Falle eines Systemausfalls mit den Datenkopien ein System wiederhergestellt werden kann, auch wenn andere Sicherheitsmaÿnahmen scheitern. Wichtig ist, dass Backups regelmäÿig und auf unterschiedlichen Medien gespeichert werden . Um sich gegen Angrie von Würmern zu schützen, gibt es zwei Arten von Gegenmaÿnahmen: Zuerst sollte verhindert werden, dass Schwachstellen im System exisitiern, die beispielsweise einen Buer-Overow-Angri ermöglichen [11]. Dies kann durch regelmäÿige Updates, dem Verwenden bestimmter Programmiersprachen, die den Speicher selbst verwalten, sowie dem Einsatz moderner CPU-Technologien wie NX-Bit verhindert werden. Letzteres ermöglicht dem Programmierer, Speicherbereiche als ausführbar und nicht-ausführbar durch setzen eines Bits (non executable bit) zu markieren. Der Code kann in diesem Fall vom Angreifer eingeschleust, aber nicht ausgeführt werden. Sollte ein Wurm trotzdem das System inziert haben, bieten Firewalls, Angrierkennungssysteme (engl. intrusion detection systems, ids) einen wirksamen Schutz auf der Netzwerkebene. Eine Firewall sperrt bestimmte Ports im Netzwerk und verhindert auf diese Weise, dass sich Würmer über oene Ports weiter verbreiten. Optimalerweise werden nur die Ports freigegeben, die von den Anwendungen im Netzwerk benötigt werden. Dieser Schutz wird unwirksam, wenn z.B. der Prozess des Browsers vom Wurm angegrien wird, da eine Firewall keine legitime Kommunikation des Browsers von Netzwerkpaketen, die von dem Wurm gesendet werden, unterscheiden kann. Hier helfen Intrusion-Detection-Systeme (IDS), die mit bestimmten Heuristiken den Netzwerkverkehr auf Anomalien analysieren. Dabei werden entweder Signaturen verwendet, um bestimmte Pakete, z.B. HTTP-Pakete zu erkennen, oder es werden bestimmte Protokolle analysiert und gemeldet, falls sich untypische Daten ergeben. Ein Beispiel ist ein HTTP-Paket mit sehr langem HTTP-Header. Honeypotsysteme verfolgen den Ansatz leicht angreifbare Systeme im Netzwerk zu simulieren. Dies lockt Angreifer und Würmer an und ermöglicht die Analyse der Malware oder lenkt die Angreifer von realen Netzwerkressourcen ab [6]. Nach Quelle [17] gibt es folgende Gegenmaÿnahmen gegen Botnets: Die Infektion mit dem Bot muss mit Virenscanner und Firewall verhindert werden (siehe oben). Da der Bot mit dem C&C-Server kommunizieren muss, könnten die Kommunikationspakete, die an typischen IRC Ports geschickt werden (default: 6667), auf Botnet-Befehle analysiert werden. Bots weisen auÿerdem charakteristisches Verhalten im Netzwerk auf, das zur Erkennung genutzt werden kann. Zum Beispiel antworten sie schneller als Menschen auf IRC-Anfragen und sind die meiste Zeit untätig. Das sich Bots ähnlich wie Würmer verbreiten, können Honeypotsysteme zum Ablenken verwendet werden. Um ganze Botnets zu stören, sollten einzelne Teilnehmer zunächst bewacht und erst nach Aufdecken der Netzwerkstruktur deaktiviert werden. 4.2 Staatliche Abwehrmaÿnahmen Weltweit gründen Staaten zur Abwehr von Cyberangrien spezialisierte Abwehrzentren, die mit anderen Behörden der inneren Sicherheit zusammenarbeiten, um Straftaten und Angrie zu verhindern. Nur selten werden technische Maÿnahmen, die das ganze Land schützen sollen, implementiert. Ein Beispiel einer solchen Ausnahme ist die Great Firewall of China, ein nationales Firewall- und Zensursystem, das chinesische Bürger nach innen und auÿen schützen soll. Im Februar 2011 wurde in Deutschland das Nationale Cyber-Abwehrzentrum gegründet. Das Zentrum besteht aus 10 Mitarbeitern unter der Leitung des Bundesamts für Sicherheit in der Informationstechnik (BSI), das mit weiteren Polizeibehörden und der Bundeswehr zusammenarbeitet. Das BSI stellt sechs Mitarbeiter zur Verfügung. Die vier restlichen Mitarbeiter stammen vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK) und vom Bundesamt für Verfassungsschutz (BfV). Beim Zentrum handelt es sich nicht um eine eigenständige Behörde, sondern um eine langfristige Kooperation der beteiligten Behörden [30]. Dadurch konnte das Zentrum ohne Zustimmung des Bundestags eingerichtet werden. BDK-Chef Klaus Jansen (Bund Deutscher Kriminalbeamter) kritisierte die geringe Mitarbeiterzahl des Zentrum, das einem echten Cyberangri nicht standhalten könne [31]. Verfassungsrechtliche Probleme gab Konstantin von Notz, Mitglied 12 Antony Neu der Partei Bündnis 90/Die Grünen, zu bedenken, da Polizei und Nachrichtendienste zusammenarbeiten und vermischt würden. Am 11.01.2013 wurde das European Cybercrime Center (EC3) in Brüssel erönet [32]. Als Teil des Europäischen Polizeiamts (Europols) sollen Straftaten im Internet verfolgt werden, wobei ein Fokus auf Onlinebanking-Betrug und Kinderpornograe gelegt wird. Zu Beginn nahmen 30 europäische Polizisten ihren Dienst auf. Das United States Computer Emergency Readiness Team (kurz US-CERT) ist eine Unterorganisation des Ministeriums für Innere Sicherheit der USA [33]. Es leistet zum einen Aufklärung- und Informationsarbeit zum sicheren Umgang mit Informationssystemen, zum anderen wirkt es auf nationaler Ebene Cyberangrien entgegen. Neben vielen Onlinedokumenten werden für Firmen und Privatanwender auch Newsletter bereitgestellt, um über aktuelle Bedrohungen zu informieren. INDECT steht für Intelligent information system supporting observation, searching and detection for security of citizens in urban environment. Es ist ein durch die EU gefördertes Forschungsprojekt mehrerer europäischer Universitäten und Strafverfolgungsbehörden zur Verbesserung der Überwachung des öentlichen Raums, sowie des Internets. Das Projekt umfasst folgende Ziele [34]: 1. Automatisches Aufspüren vermeintlich verdächtigen Verhaltens auf Videokameras oder Mikrofonen im öentlichen Raum: Beispiele verdächtigen Verhaltens sind Hilfeschreie oder liegen gelassenes Gepäck am Flughafen. 2. Identizierung vermeintlich verdächtiger Personen mithilfe des Internets: Ein verteiltes Computersystem dient dabei der Beschaung, Speicherung und Verteilung der Daten aus sozialen Netzwerken, Foren und anderen Webseiten. 3. Aufspüren krimineller Tätigkeiten im Internet: Webseiten sollen gezielt nach illegalen Inhalten wie Kinderpornograe oder terroristischen Aktivitäten durchsucht werden und mit den anderen Daten verknüpft werden. Hierbei soll auch nach Botnets und Malware gesucht werden. Das Forschungsprojekt ist eine Kooperation mehrerer europäischer Universitäten mit Strafverfolgungsbehörden aus Nordirland und Polen. Der Datenschutz soll durch digitale Wasserzeichen auf den Aufnahmen, die im Falle einer illegalen Verteilung der Daten auf die Quelle schlieÿen lassen, gewahrt werden. Kritiker bemängeln die umfassende Überwachung und die nicht eindeutige Festlegung verdächtigen oder abnormen Verhaltens. Das Bundeskriminalamt lehnte aus diesen Gründen eine Mitarbeit am Forschungsprojekt ab. 5 Ausblick Die Bedrohungen durch Malware und Hacker werden in den nächsten Jahren weiter existieren. Es handelt sich um ein ständiges Gegenspiel zwischen Malware-Autoren, Softwarehersteller und Security-Experten. Neue Technologien werden entwickelt, Sicherheitslücken entdeckt, ausgenutzt und wieder geschlossen. Statistiken zeigen einen Trend zum Angri auf soziale Netzwerke und mobilen Plattformen. Nach [35] sei das Android Betriebssystem das für Angrie am häugsten genutzte Betriebssystem und werde voraussichtlich weiterhin das primäre Angrisziel bleiben. Dies sei auf die wachsende Popularität, der starken Verbreitung, sowie der oenen Dokumentation zurückzuführen. Neben mobilen Endgeräten spielen eingebettete Systeme eine gröÿere Rolle und könnten ebenfalls das Ziel von Angrien werden. Die Automobilbranche entwickelt zum Beispiel Fahrzeuge, die selbstständig lenken und bremsen können und mit dem Internet verbunden sind. Stuxnet zeigte, dass auch sehr komplexe und spezielle Systeme von Malware betroen sind. Die Spezialität selbst bietet daher keinen Schutz, wodurch sich solche Entwicklungen kritisch hinterfragen lassen. Solange es Motivation für einen Angreifer gibt, wird er eine Schwachstelle nden. Der staatliche Einsatz von Schadprogrammen nach innen und auÿen könnte sich weiterentwickeln. Die vorgestellten Quellen sehen Stuxnet zwar als eine Revolution in der Cyberkriegsführung, stimmen aber überein, dass dies erst der Anfang einer neuer Generation an Waen ist. Am 13.01.2013 wurde ein groÿ angelegtes Spionage-Programm Roter Oktober entdeckt, das über fünf Jahre diplomatische und staatliche Einrichtungen weltweit ausspionierte [36]. Der Umgang von Staaten mit solchen Cyberangrien auf diplomatischer Ebene muss noch bestimmt werden. Aber auch Security-Software-Hersteller entwickeln neue Verfahren, um einen Schutz zu bieten. Reaktive Software wie sie oben beschrieben wurde, könnte durch Whitelisting-Verfahren bald ersetzt Trojaner, Viren, CyberSecurity und der Staatstrojaner 13 werden. Dabei wird eine Liste bekannter vertrauenswürdiger Programme (engl. known good) verwaltet und nur deren Ausführung erlaubt. Das Sandboxing-Prinzip lässt Programme getrennt vom Rest des Systems in einer virtuellen Umgebung laufen. Antivirenhersteller arbeiten an Techniken, um diese Möglichkeit ohne Einschränkungen des Nutzers in vorhandene Betriebssysteme einzubauen. Malware ist nur ein Teil der Cyber-Security. Web-Security, Angrie auf Netzwerkebene, wie beispielsweise das Abhören von WLAN-Netzwerken, stellen weitere Gefahren dar und bieten genug Material, um getrennt betrachtet zu werden. 14 Antony Neu Literatur 1. Peeger, C.P., Peeger, S.L.: Security in Computing (4th Edition). Prentice Hall PTR, Upper Saddle River, NJ, USA (2006) 2. Paquette, J.: A history of viruses. SecurityFocus, January 16 (2000) 2004 3. Shoch, J., Hupp, J.: The worm programs early experience with a distributed computation. Communications of the ACM 25(3) (1982) 172180 4. Kienzle, D.M., Elder, M.C.: Recent worms: a survey and trends. In: Proceedings of the 2003 ACM workshop on Rapid malcode. WORM '03, New York, NY, USA, ACM (2003) 110 5. Karresand, M.: Separating trojan horses, viruses, and worms - a proposed taxonomy of software weapons. In: Information Assurance Workshop, 2003. IEEE Systems, Man and Cybernetics Society. (2003) 127 134 6. Szor, P.: The art of computer virus research and defense. Addison-Wesley Professional (2005) 7. Nachenberg, C.: Computer virus-coevolution. Communications of the ACM 50(1) (1997) 4651 8. Schneier, B.: Inside risks: The trojan horse race. Communications of the ACM 42(9) (1999) 128 9. Fosnock, C.: Computer worms: past, present, and future. East Carolina University 8 (2005) 10. Sharma, V.: An analytical survey of recent worm attacks. IJCSNS 11(11) (2011) 99103 Seminarbarbeit, http://www.data.ks.uni-freiburg.de/download/praxisseminarSS11/ code-injection/Antony%20Neu%20-%20Code-Injection.pdf (2011) [Online; letzter Aufruf 11. Neu, A.R. 02.01.2013]. F.: Virenjäger Kaspersky. WWW-Dokument, http://www.spiegel.de/netzwelt/ tech/virenjaeger-kaspersky-apple-nutzer-tragen-hawaii-hemden-a-546619.html (2008) [Onli- 12. Patalong, ne; letzter Aufruf 02.01.2013]. http://www.heise.de/ security/meldung/Report-Boesartige-Webseiten-sind-waehlerisch-135381.html (2007) [Online; 13. Bachfeld, D.: Report: Bösartige Webseiten sind wählerisch. WWW-Dokument, letzter Aufruf 02.01.2013]. 14. Janowicz, K.: Sicherheit im Internet. O'Reilly Germany (2007) 15. Schultz, E.E.: Where have the worms and viruses gone? - new trends in malware. Computer Fraud & Security 2006(7) (2006) 4 8 16. unknown: Cybercrime costs 110bn a year - maybe more. Computer Fraud & Security 2012(9) (2012) 3 20 17. Cooke, E., Jahanian, F., McPherson, D.: The zombie roundup: Understanding, detecting, and disrupting botnets. In: Proceedings of the USENIX SRUTI Workshop. (2005) 3944 18. Ianelli, N., Hackworth, A.: Botnets as a vehicle for online crime. CERT Coordination Center (2005) 128 19. Raiu, C.: Cyber-threat evolution: the past year. Computer Fraud & Security 2012(3) (2012) 5 8 20. Denning, D.E.: Stuxnet: What has changed? Future Internet 4(3) (2012) 672687 21. Chen, T.: (Stuxnet, the real start of cyber warfare?[editor's note]) 22. Goel, S.: Cyberwarfare: connecting the dots in cyber intelligence. Communications of the ACM 54(8) (2011) 132140 23. Marko, J., Sanger, D.: Stuxnet worm used against iran was tested in israel. New York Times 15 (2011) 24. Falliere, N., Murchu, L., Chien, E.: W32. stuxnet dossier. White paper, Symantec Corp., Security Response (2011) 25. Fidler, D.: Recent developments and revelations concerning cybersecurity and cyberspace: Implications for international law. (2012) 26. Dewald, A., Freiling, F.C., Schreck, T., Spreitzenbarth, M., Stüttgen, J., Vömel, S., Willems, C.: Analyse und vergleich von bckr2d2-i und ii. Technical report, Universitätsbibliothek der Universität Erlangen-Nürnberg, Universitätsstraÿe. 4, 91054 Erlangen (2011) 27. ccc: Analyse einer regierungsmalware. online (2011) 28. Hudig, K.: State trojans: Germany exports spyware with a badge. Statewatch 21(4) (2011) 8 29. Fraenkel, R., Hammer, V.: Vom staats-zum verfassungstrojaner. Datenschutz und DatensicherheitDuD 35(12) (2011) 887889 30. C., M.: Cyber-Abwehrzentrum: Kooperation aber kaum Zu- http://www.gulli.com/news/ 16006-cyber-abwehrzentrum-kooperation-aber-kaum-zusammenarbeit-2011-05-03 (2011) [Onli- sammenarbeit. WWW-Dokument, ne; letzter Aufruf 03.01.2013]. Kritik am geplanten Cyber-Abwehrzentrum. WWW-Dokument, http://www. heise.de/newsticker/meldung/Kritik-am-geplanten-Cyber-Abwehrzentrum-1196787.html (2011) 31. Krempl, S.u.W.A.: [Online; letzter Aufruf 03.01.2013]. Trojaner, Viren, CyberSecurity und der Staatstrojaner 32. Reissmann, O.: EU-Kommissarin Malmström erönet 15 Cybercrime- http://www.spiegel.de/netzwelt/netzpolitik/ ec3-eu-kommissarin-malmstroem-eroeffnet-cybercrime-zentrum-a-877042.html (2013) [OnZentrum. WWW-Dokument, line; letzter Aufruf 03.01.2013]. 33. : US-CERT - United States Computer Emergency Readiness Team. (WWW-Dokument, us-cert.gov/) http://www. [Online; letzter Aufruf 07.01.2013]. Die volle Kontrolle. WWW-Dokument, http://www.spiegel.de/netzwelt/ netzpolitik/eu-ueberwachungsprojekt-indect-die-volle-kontrolle-a-866785.html (2011) 34. Lischka K., R.O.: [Online; letzter Aufruf 30.12.2012]. 35. Gostev, A.: Cyber-threat evolution: the year ahead. Computer Fraud & Security 2012(3) (2012) 9 12 36. Global An Research Advanced & Cyber Analysis Team Espionage (GReAT), Network K.L.: Targeting The RRed Diplomatic and OctoberCampaign Government - Agen- (WWW-Dokument, http://www.securelist.com/en/blog/785/The_Red_October_Campaign_ An_Advanced_Cyber_Espionage_Network_Targeting_Diplomatic_and_Government_Agencies) [Onlicies. ne; letzter Aufruf 15.01.2013].