Bedrohung

Malware

Neue Wege für Viren und Würmer

Von Gerald Maronde, Ratingen

Malware beschränkt sich schon lange nicht mehr auf Viren, die sich im Kopf von ausführbaren Dateien einnisten. Makrofähige Applikationen, Skriptsprachen und bald auch mobile Endgeräte liefern üppigen Nährboden. Um Gegenmaßnahmen und eine angemessene Sicherheitsstrategie zu entwickeln, sollte man die Vorgehensweise aktueller und zukünftiger Malware genau kennen.

Im August 2002 waren über 61 871 Computerviren und -würmer bekannt und täglich kommen bis zu 15 neue hinzu. Dabei nimmt der Anteil der klassischen Computerviren deutlich ab. In letzter Zeit standen vorwiegend skriptbasierte Viren und Würmer auf der Tagesordnung. Auch Hybridangriffe rücken vermehrt in den Blickpunkt: Sie vereinen Virenmethodik mit Hackerangriffen und besitzen dadurch ein noch höheres Schadenspotenzial. Die Malware-Gefahren werden sich in Zukunft noch verschärfen und allmählich auf drahtlose Systeme übergreifen. Durch den Trend hin zur mobilen Kommunikation entstehen völlig neue Plattformen und Netzwerke; parallel dazu entwickeln sich auch neue Bedrohungen. Erste Sicherheitsvorfälle sind in diesem Bereich bereits aufgetreten.

Skriptbasierte Viren und Würmer sind vor allem deshalb so populär, weil sie auch von weniger erfahrenen Personen leicht zu schreiben und dennoch sehr effektiv und zerstörerisch sind. Fast alle gängigen Würmer arbeiten sogar mit Beispielcode, der direkt von Microsofts Webseiten stammt. Die dominierende Verbreitung der Windows-Betriebssysteme und Office-Programme wie Outlook, Word und Excel liefert eine wohlbekannte Plattform für die Virenautoren und garantiert, dass die schädliche Wirkung bei möglichst vielen Opfern eintritt. Oft besteht bei Anwendern der Irrglaube, dass durch E-Mails nur die Benutzer von Outlook gefährdet seien. Tatsächlich kann jedoch jedes E-Mail-Programm, das Dateianhänge verwaltet, auch die schädlichen Komponenten eines Wurms übertragen. Jeder Mail-Client, der HTML-Code und aktive Inhalte (besonders unter Zuhilfenahme des Internet Explorers) auswertet, läuft Gefahr riskante Befehle in der Vorschau oder beim Lesen von Nachrichten auszuführen.

Grundsätzlich lassen sich drei Typen skriptbasierter Viren und Würmer unterscheiden: Bei Standalone-Skripts wie etwa VBS.Loveletter befindet sich der schädliche Code in einem Dateianhang. Er wird erst wirksam, wenn das Opfer die entsprechende Datei öffnet (Doppelklick). Eingebettete Skripts sind hingegen in HTML-Code auf einer Webseite oder im Textteil einer HTML-Mail integriert. Solcher Code kann – je nach Einstellungen und vorliegenden Sicherheitslöchern – bereits bei der Anzeige zur Ausführung kommen. In ungepatchten Standardinstallationen genügt es häufig wie bei VBS.Bubbleboy, wenn das Opfer die HTML-Nachricht in einem Outlook-Vorschaufenster betrachtet. Im dritten Fall ist der Skriptcode in OLE-Mischdokumente eingebettet. Auf diese Weise lassen sich Würmer zum Beispiel auch in Hilfedateien einschleusen.

Bis November 1999 waren Meldungen über Viren, die sich ohne Benutzeraktion einfach durch Öffnen der Nachricht verbreiten, nur Gerüchte – VBS.BubbleBoy hat das geändert. Zum ersten Mal konnte eine E-Mail-Nachricht einen Rechner infizieren, indem sie einfach gelesen oder auch nur im Vorschaufenster angezeigt wurde. Der Betroffene bleibt dabei ahnungslos, solange der Mail-Client keine Sicherheitsmeldung einblendet. VBS.BubbleBoy macht sich eine Sicherheitslücke und einen Design-Fehler im Objekt Scriptlet.TypeLib zunutze, um eine Datei in einem beliebigen Ordner zu erzeugen. Dann nutzt er die Sicherheitsregeln von Microsoft für skriptfähige Objekte, um sie ohne die normalerweise übliche Warnung zu aktivieren.

Microsoft arbeitet mit Sicherheits-Bits, um die Nutzung von ActiveX-Objekten zu verhindern, wenn sie von Quellen außerhalb des lokalen Rechners gestartet werden. Kommt der Code über eine externe Web-Seite oder eine HTML-E-Mail, müssen die Objekte als "Safe for Scripting" markiert sein. Anderenfalls zeigt das System einen Warndialog mit der Möglichkeit zum Abbruch an. Deshalb sollen eigentlich nur Objekte für spezielle, eingeschränkte Zwecke diese Markierung tragen. VBS.BubbleBoy nutzt das ActiveX-Objekt Scriptlet.TypeLib aus, das von Microsoft fälschlicherweise als "Safe for Scripting" markiert wurde, obwohl es Type Libraries für Objekte erzeugen kann.

Mit seiner Hilfe erzeugt der Wurm eine HTML-Applikations-Datei (.HTA) im Ordner C:\Windows\Startmenü\Programme\Autostart, die beim nächsten Systemstart ausgeführt wird. Obwohl es nicht auf allen Rechnern diesen Autostart-Ordner gibt, ist er ausreichend verbreitet, um VBS.BubbleBoy genug Nährboden zu liefern. Hätte sich das Script beim Scripting.FileSystemObject (FSO) nach dem spezifischen Windows-Ordner eines Systems erkundigt, hätte das einen Alarm ausgelöst.

Durch den Umweg über den Autostart-Ordner lief die Datei jedenfalls nicht in der Internet-Sicherheitszone, sondern innerhalb der lokalen Sicherheitszone, wo sie – auch auf sorgfältig administrierten Systemen – nahezu alles tun kann, ohne Warnhinweise auszulösen. So konnte VBS.BubbleBoy dann alle anderen Objekte uneingeschränkt nutzen, um sich selbst zu verbreiten.

Bei VBS.Bubbleboy hätte – wie so oft – ein etliche Wochen vor dem Auftreten erhältlicher Microsoft-Patch die Sicherheitslücke geschlossen, die der Wurm zur Infektion des Computers genutzt hat, vorausgesetzt man hatte sie zeitgerecht eingespielt. Generell können Anwender die Malware-Risiken verringern, wenn Sie in gefährdeten Mail-Clients auf HTML-Mails verzichten und gegebenenfalls die automatische Vorschau deaktivieren. Falls der Autostart-Ordner auf den Clients nicht wirklich benötigt wird, sollte er entfernt, zumindest aber gegenüber der Standardinstallation verschoben werden.

In der Regel bilden bestimmte Objekte auf Windows-Rechnern die Grundlage für die zerstörerischen Aktivitäten skriptbasierter Viren und Würmer. Der oft pauschal als Ursache genannte Windows Scripting Host (WSH) ist allein nicht in der Lage, Änderungen am Dateisystem, der Registry oder an Outlook vorzunehmen. Er regelt lediglich den Zugriff auf andere Komponenten des Common Object Model (COM) und ActiveX-Steuerelemente. Viele dieser Objekte sind Bestandteil des Betriebssystems oder ausreichend weit verbreitet, sodass sich Virenautoren ein Objekt nahezu beliebig aussuchen können.

Das Scripting.FileSystemObject (FSO) bietet kompletten Zugang zum Dateisystem und dient fast allen Würmern dazu, eine Kopie ihres Codes auf dem betroffenen Rechner abzulegen. Wscript.Shell schafft Zugriff auf die Registry und ermöglicht dem Wurm zusätzliche Einträge, mit denen er sich selbst bei jedem Systemstart aktiviert. Die Methode SendKeys gestattet sogar die weitere Steuerung der Anwendung nach ihrem Start. Mit den Methoden RegWrite oder RegDelete kann der Wurm große Zerstörungen in der Registry bewirken und den PC unbrauchbar machen. Wscript.Network liefert Zugriff auf Netzlaufwerke: Damit kann ein Wurm zusätzliche Netzlaufwerke verbinden und sich auch ohne E-Mail völlig selbstständig im LAN verbreiten. Da das ohne menschliche Komponente auskommt, erfolgt die Ausbreitung sogar wesentlich schneller.

Ein beliebtes Angriffsziel ist auch die Office-Komponente Outlook. Die Programmierung dafür ist leicht zu erlernen und bietet leistungsfähige Methoden für Skripts. Durch den bequemen Zugriff auf gültige E-Mail-Adressen und variierende Betreffzeilen kann das Virus leicht neue Opfer finden und sich dort mit bekannten Absenderadressen und gebräuchlichen Betreffzeilen als normale Nachricht tarnen. Außerdem stellt Microsoft zahlreiche Beispiele zur Verfügung, wie sich Outlook via Visual Basic for Applications (VBA) und Skripts steuern lässt.

Skript-Firewalls

Im Prinzip ist es denkbar, den Zugriff von Skripts auf das System durch spezielle Software zu überwachen und zu begrenzen. Skripts entfalten ihre Wirkung durch den Zugriff auf Objekte, die per COM aktiviert werden. Dadurch ist eine weite Abstraktion von der einzelnen Implementierung möglich, sodass eine Anwendung nur noch den Namen oder Identifikator des Objekts kennen muss. Da Skripting interpretiert abläuft, muss der Interpreter zunächst die unterstützten Methoden und Eigenschaften eines COM-Objektes ermitteln. Diese IDs werden dann gemeinsam mit den gewünschten Parametern an eine Invoke-Prozedur zur Ausführung übergeben. Ein fertig kompiliertes Programm ruft hingegen die Methoden eines Objektes direkt auf. Falls ein Zugriff mit der Invoke-Methode erfolgt, kann deshalb mit hoher Wahrscheinlichkeit von einem Skriptzugriff ausgegangen werden, was einen Ansatzpunkt für eine spezielle Firewall liefert.

An der Invoke-Schnittstelle lässt sich feststellen, welche Methode des Objekts aufgerufen und welche Parameter dabei übergeben werden. An dieser Stelle könnten dann detaillierte Regeln entscheiden, welche Aktivitäten zulässig sind und welche nicht. Ein entscheidender Hinderungsgrund für den breiteren Einsatz aktiver Schutzsoftware ist jedoch die Anfälligkeit für Fehlalarme. Bei häufigem Fehlalarm ignorieren Anwender erfahrungsgemäß mit der Zeit alle Warnhinweise und der Schutz bleibt wirkungslos.

Hybridangriffe

Viren und Hackerangriffe waren lange Zeit zwei völlig getrennte Bedrohungsarten. Hacker versuchten über Sicherheitslücken oder Konfigurationsfehler unbefugt in fremde Systeme einzudringen, um dort Schaden anzurichten oder Daten zu stehlen. Viren haben sich selbstständig ausgebreitet, um dann Veränderungen oder Schäden an befallenen Computern anzurichten. Wegen der fehlenden Kontrolle über ein Virus waren Hacker bisher kaum daran interessiert, Viren zu schreiben. Mobile Code hat diese Situation verändert. Ohne Zutun des Hackers breitet sich dieser Code wie ein Virus selbst weiter aus und erforscht Sicherheitslücken. Später kann der Hacker diese Schwachstellen gezielt ausnutzen, indem er mit einer Fernsteuerkomponente des Mobile Code kommuniziert.

Für die Ausbreitung nutzen Hybridangriffe typischerweise verschiedene Sicherheitslücken. Eine besondere Gefahr geht von der Analyse fremder Systeme aus. Dadurch erhalten Hacker oft administrativen Zugriff auf eine große Zahl von Servern. Selbst wenn das Opfer eine bestimmte Sicherheitslücke schließt, kann der Hybridangriff häufig weiterhin über eine andere Lücke fortgesetzt werden. Die Kombination dieser Eigenschaften eröffnet ein wesentlich größeres Schadenspotenzial als bei anderer Malware.

Die Hybridangriffe Nimda und Code Red haben gezeigt, wie facettenreich und schnell Ausbreitung und Angriff erfolgen können. Nimda hat zum Beispiel innerhalb von 24 Stunden weltweit 1,4 Millionen Server sowie 770 000 PCs infiziert. Der Wurm verwendet abwechselnd vier verschiedene Ausbreitungsmethoden: Erst suchen infizierte Systeme im Netzwerk nach dem Microsoft Internet Information Server (IIS) ohne aktuellen Patchlevel und versuchen, per Unicode-Web-Traversal-Exploit die Kontrolle über den Zielserver zu erlangen. Der zweite Ausbreitungsweg erfolgt via E-Mail. Nimda durchsucht dazu Adressbücher und HTML-Dokumente und versendet infizierte Mails mit seinem eigenen SMTP-Server. Nach dem Eintreffen beim nächsten Opfer kann durch die MIME-Kapselung der schädliche Code eventuell bereits bei der Vorschau zur Ausführung kommen. Der dritte Ausbreitungsweg verläuft über infizierte Webserver und eine zum Download angebotene EML-Datei für Outlook Express. Schließlich verbreitet sich Nimda auch über Netzlaufwerke. Dabei gibt der Wurm weitere Bereiche für den Dateiaustausch frei und legt einen Gastbenutzer mit Administratorrechten an, der das System für einen bequemen externen Zugriff durch Hacker öffnet.

Code Red war ein regelrechter Schock für Anwender und Anti-Virus-Software-Anbieter. Erstmals hat sich ein Wurm nicht als Datei oder Teil von Dateien ausgebreitet, sondern ausschließlich im Arbeitsspeicher "gelebt". Viele Virenschutzprogramme konnten ihn deshalb selbst mit neuen Signaturen nicht abwehren, weil sie den Arbeitsspeicher nicht prüfen. Für die Infektion nutzt Code Red einen Pufferüberlauf (Buffer Overflow) der ersten Generation, der durch eine bekannte Sicherheitslücke in der Datei LDQ.DLL möglich war. Dadurch befällt der Wurm Computer mit Windows 2000 und dem Internet Information Server (IIS), sofern kein entsprechender IIS-Patch vorhanden ist. Der Wurm überträgt sich selbst durch eine HTTP-GET-Anfrage, die einen unzulässigen Body-Teil mit dem schädlichen Code enthält.

Während klassische Virenscanner diesen Hybridangriff nicht abwehren können, wäre eine richtig konfigurierte Firewall auch ohne Update dazu in der Lage, sofern sie die unzulässige Form der GET-Anfrage verhindert. Dieses Beispiel unterstreicht daher die Bedeutung einer komplexen mehrschichtigen Abwehrstrategie sowie die Notwendigkeit des konsequenten Schließens von Sicherheitslücken.

----------Anfang Textkasten----------

Sicherheitslücken durch Pufferüberlauf

Ein Pufferüberlauf (Buffer Overflow) ist häufig die Ursache für Sicherheitslücken und bietet Hackern und Würmern gute Angriffsmöglichkeiten. Ein Puffer ist ein reservierter Speicherbereich von festgelegter Größe. Wenn ein Programm versucht, größere Datenmengen in den Puffer zu schreiben, kommt es zum Überlauf. Die zusätzlichen Informationen können dann angrenzende Speicherbereiche überschreiben, in denen andere Variablen, Programmsegmente oder wichtige Sprungadressen abgelegt sind. Durch gezielte Manipulation solcher Speicherbereiche können Angreifer zusätzlichen Code auf dem Zielrechner ablegen und den Programmablauf verändern (vgl. KES 2001/5, S. 6).

Am leichtesten kann ein Angriff über den Überlauf eines Stack-Puffers erfolgen. Hier legt beispielsweise das Virus seinen schädlichen Code im Stack ab und überschreibt schließlich die direkt nach diesem Puffer stehende Rücksprungadresse mit der Anfangsadresse des Stacks. Auf diese Weise setzt die Programmausführung direkt mit einem Sprung zum Viruscode fort.

Ein Pufferüberlauf der zweiten Generation arbeitet im Heap, auf Funktions-Pointern und mit so genannten Off-by-One-Exploits (Überlauf um ein einziges Byte, häufig durch Unachtsamkeit des Programmierers bei Array-Grenzen oder Vergleichsoperatoren). Dabei überschreibt der Angriff keine Rücksprungadresse, sondern nutzt andere Variablen, um indirekt in den Programmablauf eingzureifen.

Nochmals komplizierter ist die Situation bei Pufferüberläufen der dritten Generation, die Programmierfehler in Befehlen mit Formatanweisungen zur Ausgabe ausschöpfen (z. B. die C-Funktion printf): Diese Befehle erfordern laut Spezifikation eine Zeichenkette zur Formatierung, sie sind aber auch ohne diese Angabe funktionsfähig. Nachlässige Programmierer verzichten aus Bequemlichkeit häufig auf die Formatierungsangaben. Beim Befehlsaufruf können Angreifer dann Argumente übergeben, die falsch interpretiert werden und schädlichen Code im Stack platzieren sowie Rücksprungadressen im Speicher auf diesen Code "verbiegen" können.

----------Ende Textkasten----------

Wireless Wurm

Gegenwärtige Entwicklungen sind vom Trend hin zu drahtlosen Netzwerken und dem mobilen Internetzugang geprägt. Bereits beim Fortschritt bisheriger Kommunikationstechnologien von LAN, über E-Mail zum Internet ist die richtige Balance zwischen Nutzung und Sicherheit immer komplizierter geworden. Deshalb muss bei neuen Technologien wie Bluetooth oder Wireless LAN höchste Priorität auf die Sicherheit gelegt werden. Drahtlose Netzwerke gliedern sich primär nach ihrer Reichweite in verschiedene Kategorien, die jeweils spezielle Technik einsetzen und somit auch spezifischen Risiken unterliegen.

Die geringste Reichweite von einigen Metern besitzen persönliche drahtlose Netzwerke (Personal Area Networks, PAN). In diesem Bereich arbeiten Geräte wie Laptops, Handheld-Computer (PDA) und einige Mobiltelefone. Sie ermöglichen die drahtlose Kommunikation über Infrarotschnittstelle (IR-DA) oder per Funk über Bluetooth. Während Infrarot die direkte Kommunikation zwischen zwei Geräten realisiert, kann Bluetooth zeitlich begrenzt variable Netze mit bis zu 256 Geräten aufbauen. Viele Bluetooth-Geräte lassen sich so einstellen, dass sie sich in ihrem Funkbereich automatisch gegenseitig erkennen und je nach Konfiguration ihre Systemressourcen mit den anderen Geräten teilen. Diese wechselnde drahtlose Vernetzung erfolgt dann vollautomatisch und unbemerkt vom Anwender. Eventuell könnte sich auch ein fremdes Bluetooth-Gerät in dieses PAN einschalten. So könnten neben direkten Angriffen (Ressourcenmissbrauch, Spionage usw.) auch Viren und Würmer eingeschleppt werden.

Smartphones und PDAs sind schon heute von Viren bedroht. Diese Geräte arbeiten mit Betriebssystemen wie Windows CE, Palm OS oder dem neuen Handy-Betriebssystem Stinger von Microsoft. Zudem läuft auf ihnen PC-ähnliche Software und die Anwender spielen zusätzliche Programme ein. Dabei können leicht auch Viren dorthin gelangen und ähnliche Schäden wie auf dem PC anrichten. Analog zum PC gab es bereits "Proof-of-Concept"-Viren für den Palm wie Phage und Liberty sowie Trojanische Pferde wie Palm Vapor. Zur Abwehr existieren von einigen Herstellern spezielle Versionen von Virenschutzsoftware.

Die zweite drahtlose Netz-Kategorie umfasst Wireless LANs (WLAN). Administratoren können solche Netze sehr schnell und einfach aufbauen und modifizieren. Diese Flexibilität bringt aber auch Sicherheitsrisiken mit sich. Die Grenzen des WLAN richten sich nicht nach physischen Grenzen der Gebäude, sondern bedienen Geräte in einem Umkreis von bis zu 100 Metern. Auch Anwender außerhalb der beabsichtigten Reichweite des LAN haben bei fehlerhafter Konfiguration Netzwerkzugriff. So werden einerseits die berühmten Hackerangriffe im Vorbeifahren (Drive-by-Hacking) möglich, zugleich könnte aber auch Malware die Kontrollen an den Außengrenzen eines Unternehmens umgehen und direkt in das Intranet eingeschleust werden.

Weitreichende drahtlose Netzwerke machen die dritte Kategorie aus. Sie umfasst vor allem die verschiedenen Mobilfunknetze und alle Geräte, die darauf zugreifen können. General Packet Radio Service (GPRS) und Universal Mobile Telecommunication System (UMTS) bieten Anwendern hohe Übertragungsgeschwindigkeiten im drahtlosen Netz und ermöglichen völlig neuartige Anwendungen auf mobilen Geräten. Komplexe Mobiltelefone und PDAs nutzen dementsprechend mittlerweile hochentwickelte Betriebssysteme, mit denen Internetzugriff, E-Mail-Austausch sowie M-Commerce analog zum Desktop-PC möglich werden.

Die vorherrschende Meinung, Mobiltelefone seien vor Viren sicher, stimmt bereits heute nur noch teilweise. Malware hat Handys zumindest schon als Opfer entdeckt. Bereits im Juni 2000 hatte der Computervirus Timofonica von infizierten PCs aus Textnachrichten (SMS) auf tausende Mobiltelefone gesendet. Zusätzlich gibt es zunehmend unerwünschte Werbe-SMS, die zum Rückruf teurer Sondernummern animieren. Bei solcher SMS-Malware handelt es sich zwar noch nicht um Viren auf der Plattform der Mobiltelefone selbst, sondern um einen externen Angriff auf das "System Handy". SMS-Malware stellt aber insofern eine neue Kategorie von Bedrohungen dar, weil vermeintlich sichere Plattformen dennoch durch externe Angriffe bedroht werden.

Neben den an sich unschädlichen Werbe-Nachrichten können per SMS auch so genannte Indicator Control Messages (ICM) eingehen, die als unerwünschte Zeichen im Handydisplay verbleiben und nur durch eine spezielle SMS der Provider wieder zu entfernen sind. Noch gefährlicher sind Attacken mit speziell formatierten SMS, welche die interne Software einiger Handymodelle aufgrund einer Fehlfunktion zum Absturz bringen können (erster Schritt zum Buffer Overflow?). In diesem Fall reagiert das Handy auf keinen Tastendruck mehr und ein laufendes Gespräch lässt sich mitunter nicht mehr beenden. Um der drohenden Kostenfalle zu entgehen, muss der betroffene Anwender den Akku von seinem Handy entfernen.

Mit der Einführung webfähiger Handys weitet sich nun auch eine "echte" Angriffsform auf die mobilen Geräte aus. Im Juni 2001 wurde in einer Region Japans die Notrufnummer durch einen Distributed-Denial-of-Service-Angriff (DDoS) außer Betrieb gesetzt. Ursache dafür war ein Virus, der sich auf möglicherweise über 13 Millionen webfähigen Handys von iMode-Kunden ausgebreitet und von dort aus gleichzeitig die Notrufnummer gewählt hat.

Auch die zweite Generation der GPRS-Handys bietet neue Angriffsflächen: Durch die Einführung von Version 1.2 der Wireless Markup Language (WML) lassen sich Programme auf WAP-Handys übertragen und auf diese Weise auch Viren oder Trojaner in das Handy einschleusen. Analog zu Javascript gibt es nun auch WMLScript als Skriptsprache für Handys. Damit eröffnet sich gleichzeitig eine neue Plattform für Skriptviren, die dann Manipulationen verschiedener Handyfunktionen sowie Änderungen am Telefonbuch vornehmen könnten.

Experten befürchten, dass UMTS-Handys der dritten Generation der Malware den Weg ins Handy vollends ebnen: Die wesentlich höhere Rechenleistung der neuen Endgeräte, die hohe Übertragungsgeschwindigkeit im UMTS-Netz und die Fähigkeit, ausführbare Dateien auf dem Handy zu starten, bieten zusätzliche Angriffspunkte für Viren und Hacker. Derzeit erreicht ein Virenautor damit noch zu wenige Opfer, als dass sich die Programmierarbeit "bezahlt" machen würde. Aber spätestens mit der flächendeckenden Einführung von UMTS werden auch mobile Würmer unterwegs sein.

Abwehrstrategien

Die Abwehr der immer vielfältigeren und komplexeren Bedrohungen ist bereits heute für die meisten Unternehmen überlebenswichtig. Für ein richtiges Vorgehen mit adäquaten Maßnahmen ist eine Abwehrstrategie unumgänglich. Zu Beginn sollte zunächst jeder einzelne Anwender und Arbeitsplatz unter die Lupe genommen werden. Viele Gefahren lassen sich bereits durch aufmerksames Handeln und den konsequenten Einsatz vorhandener Sicherheitssysteme vermeiden. Dazu gehören zum Beispiel der Einsatz starker Passwörter, regelmäßige Softwareupdates zum Schließen bekannter Sicherheitslücken sowie ein vorsichtiger und gewissenhafter Umgang mit unerwarteten E-Mails und sensitiven Daten.

Dass sich die Sicherheitsvorfälle noch vorwiegend auf die klassischen Netze konzentrieren, sollte sich auch die Abwehr zunächst hierum kümmern und so eine solide Basis für den erfolgreichen und sicheren Einsatz drahtloser Netzwerke schaffen. Spezielle Schutzsysteme für PDAs oder Handys nutzen zum Beispiel wenig, solange Hacker und Viren direkt in ein Unternehmensnetz eindringen und die mobilen Geräte von "innen" über ein VPN angreifen können. Künftig wird man dann parallel zu neu aufkommenden Bedrohungen auch schrittweise neue Sicherungssysteme für mobile Geräte implementieren müssen. Erste Lösungen wie zum Beispiel Anti-Virus-Software für Palm OS sind bereits auf dem Markt.

Hochentwickelte Viren und Hybridangriffe erfordern mehrschichtige Abwehrsysteme an allen entscheidenden Stellen von Gateways über Server bis hin zu den Client-Rechnern. Der äußere Schutzwall des Unternehmens sollte dabei aus einer Unternehmensfirewall und einem VPN sowie Personal Firewalls für die Einbindung von mobilen Geräten und Heimarbeitsplätzen bestehen. Angriffe können jedoch auch intern von den eigenen Mitarbeitern (vgl. S. 17) oder eingedrungenen Hackern ausgehen. Zur ihrer Abwehr dient in der zweiten Verteidigungslinie ein Intrusion Detection System (IDS), welches verdächtige Aktivitäten und unerlaubte Verbindungen aufspürt und die Integrität der Systeme und Daten sichert. Ein IDS kann jedoch keine Firewall ersetzen, weil zum Beispiel durch Manipulationen eine Täuschung oder Überlastung derartiger Systeme möglich ist – bis hin zur Unwirksamkeit.

Komplettiert wird die mehrschichtige Sicherheitsstrategie durch Hilfsmittel zur Schwachstellenanalyse (Vulnerability Assessment). Damit lassen sich potenzielle Sicherheitslücken aufdecken und frühzeitig entsprechende Gegenmaßnahmen einleiten. Die Schwachstellenanalyse prüft zum Beispiel, ob Virusdefinitionen und Programmupdates für alle Sicherheitskomponenten an jedem einzelnen Ort jeweils auf dem aktuellen Stand sind und ob Software, Patches und Updates überall korrekt installiert sind, um bekannte und offensichtliche Sicherheitslücken zu schließen. Um die Komplexität dabei etwas zu verringern, liegen integrierte Hardwarelösungen (Appliances) im Trend. Solche Geräte vereinen verschiedene Komponenten mehrschichtiger Sicherheitssysteme in einem Gehäuse.

Auch Anbieter von Sicherheitssoftware stehen vor neuen Herausforderungen, deren Umsetzung vom Anwender kritisch zu prüfen ist. Virenscanner müssen beispielsweise auch den Arbeitsspeicher eines Systems vollständig überprüfen. Unter Windows dürfen sie sich dabei nicht auf einen DOS-Speicherbereich beschränken. Parallel zur Entwicklung von Windows XP 64bit (vgl. Kasten) muss es auch entsprechende Sicherheitssoftware geben. Zusätzlich müssen Virenscanner künftig den Datenverkehr über angeschlossene Netzlaufwerke prüfen, um neue Ausbreitungswege von Hybridangriffen wie im Beispiel Nimda zu sichern. Dafür sind effiziente Prüfalgorithmen notwendig, um die Netzwerkleistung nicht zu stark zu beeinträchtigen. Parallel dazu sollten bereits IDS den ankommenden Datenverkehr prüfen, um Infektionen zu verhindern und diese nicht nur nachträglich durch Virenscanner feststellen lassen.

----------Anfang Textkasten----------

Neue Plattform: Windows 64bit

Für den Einsatz in anspruchsvollen technischen Umgebungen hat Microsoft eine spezielle 64-Bit-Edition seines Betriebssystems Windows XP entwickelt. Windows XP 64bit unterstützt bis zu 16 Gigabyte RAM und 16 Terabyte virtuellen Arbeitsspeicher sowie Intels neuen Itanium-Prozessor hinsichtlich Parallelverarbeitung und Gleitkommaberechnungen. Zur Integration von 64-Bit-Anwendungen mit bestehenden 32-Bit-Anwendungen sorgt auf der neuen Plattform die Windows on Windows 64 Emulation (WOW64). Dieses Subsystem trennt die verschiedenen Anwendungen und Registry-Bereiche und sorgt für Interoperabilität über diese Grenzen hinweg. Allerdings können Anwendungen jeweils nur mit den passenden DLL-Dateien zusammenarbeiten, 64/64bit oder 32/32bit.

Für Malware ergeben sich daraus einige Konsequenzen. Grundsätzlich läuft die bisherige 32-Bit-Malware auch auf der neuen Plattform. Das Hauptproblem für solche Programme ist aber die veränderte Header-Struktur der EXE-Dateien: Datei-Viren interpretieren diese Struktur dann vermutlich nicht richtig und fügen ihren Code deshalb falsch in die befallenen Anwendungen ein. In solchen Fällen funktioniert zwar die Infektion nicht wie geplant, dennoch wird die EXE-Datei dabei zerstört.

Außerdem hat die Kernel32.DLL unter Windows 64bit eine andere Basisadresse, sodass einige Viren nicht darauf zugreifen können. Und aufgrund der Dateiumleitung durch WOW64 kann 32-Bit-Malware zudem nicht auf die 64-Bit-Systemdateien zugreifen. Gleiches gilt jedoch auch für aktuelle Virenscanner. Die 64-Bit Systemdateien sind deshalb vorerst nicht bedroht, künftig wird es aber sicher auch spezielle Viren für die neue Plattform geben.

----------Ende Textkasten----------

Komponenten künftiger Sicherheitssoftware müssen zudem miteinander kommunizieren und anhand verdächtiger Kriterien "intelligent" entscheiden, wo Gefahr lauert. Diese Kommunikation sollte rechnerübergreifend im Intranet funktionieren. Wenn zum Beispiel ein heuristischer Virenscanner ein verdächtiges Skript erkennt, sollte er das Verhalten zunächst analysieren und bei einem Mailversand des Programmcodes den empfangenden Rechner warnen können. Falls sich der Code dort reproduziert und erneut versenden möchte, handelt es sich tatsächlich um ein Virus. Dann könnte der zweite Rechner weitere Aktivitäten stoppen und den ersten Rechner über die erkannte Infektion informieren. Ein solches übergreifendes System wäre in der Lage, verdächtige Aktivitäten besser zu analysieren und bei der schwierigen Unterscheidung zwischen nützlichen und schädlichen Skripts helfen. Es gibt also viel zu tun – packen wirs an.

Gerald Maronde ist Enterprise Technical Account Manager bei der Symantec (Deutschland) GmbH.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/5, Seite 10