Sonntag, 14. Oktober 2012


Topthema

Donnerstag, 15. April 2010 | Topthema

About Security #250: Ein Blick in die Zukunft

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/054955)
  • Teilen
  • kommentieren
  • empfehlen
  • Bookmark and Share

Dies ist die 250. Folge "About Security", dazu kommen jeweils fünf nicht nummerierte Weihnachts-Special und CeBIT-Berichte. Damit handelt es sich um ein doppeltes Jubiläum: Die Serie wird gleichzeitig 5 Jahre alt, #1 erschien am 14.4.2005. 5 Jahre - das ist im IT-Bereich eine halbe Ewigkeit.

Fast genau das gleiche habe ich schon vor einem Jahr anlässlich der 200. Folge geschrieben. Damals ging es weiter mit "Da lohnt es sich, mal einen Blick auf die Entwicklungen seit dem Erscheinen der alten Folgen zu werfen." Diesmal möchte ich in die andere Richtung blicken: Was erwartet uns wohl in den nächsten 5 Jahren?

Der Wurm ist tot - zumindest stark angeschlagen

Fangen wir mit der Verbreitung von Schadsoftware an. Vor fünf Jahren erfolgte die noch ganz klassisch über Würmer, die sich über Schwachstellen in Netzwerkdiensten ausbreiteten, oder über Viren, die sich über die Infektion vorhandener Dateien fortpflanzten. Heutzutage sind diese Würmer und Viren zwar keine aussterbende Spezies, aber sie haben sich in Nischen zurückgezogen. Stattdessen wird Schadsoftware vor allem über Drive-by-Infektionen verbreitet. Drive-by-Infektionen - wer hätte vor 5 Jahren an so etwas gedacht? Damals galt noch der u.a. von Microsoft verbreitete Rat "Besuchen Sie nur vertrauenswürdige Websites" bzw. "Besuchen sie keine zweifelhaften Websites", um vor Angriffen auf Schwachstellen im Webbrowser und dessen Plugins geschützt zu sein. Heutzutage gilt das nicht mehr, inzwischen können auch eigentlich vertrauenswürdige Websites zu Drive-by-Infektionen führen. Sei es, weil der Webserver kompromittiert wurde, sei es, weil der Schadcode über persistentes Cross-Site Scripting in die Seite eingefügt wurde, sei es, weil eine der eingeblendeten Werbeanzeigen den Schadcode enthält - vor Drive-by-Infektionen ist man nirgends mehr sicher.

Wie mag es in der Hinsicht wohl in fünf Jahren aussehen? Warum sind denn die Würmer (fast) verschwunden? Die Verbreitung von Firewalls hat ihnen schlicht und ergreifend den Verbreitungsweg versperrt. Die Zeiten, als jeder Windows-PC zig völlig überflüssige Dienste im Netz anbot und jeder darauf zugreifen konnte, sind vorbei, und damit fehlt den Würmern der Angriffspunkt. Selbst der als RPC-Wurm gestartete Conficker wurde bald um weitere Verbreitungswege erweitert: Das Kopieren auf Netzwerk-Laufwerke und die Nutzung der AutoRun-Funktion von USB-Sticks. Ein Wurm, der sich über Netzwerkdienste verbreitet, kommt heutzutage i.A. nicht weit, und mit den Änderungen, die Microsoft an der AutoRun-Funktion vorgenommen hat, wird auch die Verbreitung über USB-Sticks nahezu unmöglich.

Programme infizierende Viren wurden bereits vor 5 Jahren durch die sich selbst verbreitenden Würmer verdrängt, inzwischen sind sie eine verschwindend geringe Minderheit unter der Schadsoftware. Evtl. ändert sich das noch einmal, aber das ist eher unwahrscheinlich. Warum sollte ein Schädling andere Dateien infizieren, wenn es andere Verbreitungswege gibt?

Wie könnte die Verbreitung von Schadsoftware in Zukunft aussehen? Erst mal bleibt es bei den Drive-by-Infektionen, aber je weiter verbreitet und ausgefeilter entsprechende Schutzprogramme werden, desto weniger können die Cyberkriminellen damit erreichen. Irgend wann werden sie neue Wege gehen müssen. Im Fall der RPC-Schwachstelle kam erstmals eine Art "Zwitter" zum Einsatz: Gimmiv.A verbreitet sich über das Internet als Trojaner, im lokalen Netz nutzt er dann die RPC-Schwachstelle. Das könnte sich in Zukunft als mögliche neue Bedrohung erweisen, denn klassische Trojaner bleiben immer eine Bedrohung, da die Schwachstelle dabei vor der Tastatur sitzt und sich nicht durch einen einfachen Patch beheben lässt. Womit wir zum nächsten Punkt kommen:

Social Engineering in und Dank Social Networks

Bei Social Engineering dachte man vor 5 Jahren vor allem an die üblichen Anrufe des angeblichen Kollegen aus der IT-Abteilung, der mal eben nach dem Passwort fragt. Im Zuge von Social Networks fallen solche Angriffe noch leichter, da viele Nutzer reichlich Anhaltspunkte für Angriffe liefern, die die Cyberkriminellen nur noch auswerten müssen. Aber meist müssen sie gar nicht so viel Aufwand treiben. Der ist nur für gezielte Angriffe notwendig, soll Schadsoftware einfach nur irgend welchen Benutzern untergeschoben werden, geht das einfacher und vor allem nahezu automatisch. Der Wurm Koobface ist ein gutes Beispiel für diesen Verbreitungsweg: Der verschickt nach der Infektion eines Rechners Links an alle Facebook-Kontakte des Opfers, die diesen von einem Freund stammenden Link oft folgen. Der führt sie z.B. zu einer Seite, auf der sie einen neuen Codec installieren müssen, um ein Video zu sehen. Das hat ihr Freund ja auch schon gemacht, also stimmen sie zu - und installieren den Wurm. Hat der erst mal den Fuß in der Tür bzw. den Downloader im Rechner, wird weiterer Schadcode nachgeladen und der Link an alle Kontakte des neuen Opfers geschickt. Dieses Verbreitungsprinzip wird auch in 5 Jahren noch funktionieren, allerdings wird es an die immer raffinierter werdenden Schutzmaßnahmen angepasst werden müssen. Aber wenn die Social Networks verhindern, dass bekannte bösartige Links über sie verschickt werden, kann man die ja immer raffinierter tarnen - oder die Links bzw. Schädlinge werden irgend wie anders verbreitet. Vielleicht, in dem die potentiellen Opfer aufgefordert werden, nach einem bestimmten Video zu googlen? Vielleicht werden die Links dann auch über E-Mails statt direkt über das Social Network versendet, irgend einen Weg werden die Cyberkriminellen sicher finden.

Wozu Schadcode, wenn Werbung reicht?

Eine weitere Entwicklung, mit der vor 5 Jahre wohl niemand gerechnet hat, ist Scareware, die den Benutzern Angst einjagt, um ihnen etwas zu verkaufen oder sie zu einer Aktion zu bewegen. Ein typisches Beispiel dafür sind Fake-Virenscanner, die z.B. über Drive-by-Infektionen verbreitet werden. Ist diese Infektion wirklich notwendig? Eigentlich nicht: Eine Flash-Animation, die einen Virenscan vortäuscht, erzielt meist den gleichen Effekt, und danach installiert das Opfer dann freudig den ihm angebotenen "Virenscanner". Danach hat es dann wirklich Schadcode auf dem Rechner. Sollten Drive-by-Infektionen irgendwann an Schutzmaßnahmen scheitern, bleibt der Weg über Flash-Animationen (oder was auch immer in 5 Jahren deren Platz eingenommen hat) offen.

Schutzmaßnahmen gegen Exploits

Schutzmaßnahmen wie ASLR (Address Space Layout Randomization) und DEP (Data Execution Prevention), die die Ausnutzung von Pufferüberlauf-Schwachstellen erschweren sollen, waren vor 5 Jahren weitgehend Theorie. Inzwischen sind sie schon fast üblich, und das ist auch gut. Es führt aber leicht zu einem falschen Sicherheitsgefühl: Diese Maßnahmen sollen die Ausnutzung der Schwachstellen nur so schwer wie möglich machen und nicht verhindern, sie können es i.A. auch gar nicht - irgend eine Möglichkeit, sie aus zu tricksen, werden die Angreifer immer finden. Zu behaupten, eine Schwachstelle könne auf keinen Fall ausgenutzt werden, weil es ja ASLR und DEP gibt, ist sehr gewagt. Es gibt inzwischen genug Beispiele, bei denen diese Maßnahmen unterlaufen wurden. Das gleiche gilt auch für zukünftige, noch zu entwickelnde Schutzmaßnahmen. Irgend einen Weg, sie zu umgehen oder zu unterlaufen, wird es immer geben. Die Frage ist nur, wie aufwendig das ist und ob sich dieser Aufwand für die Cyberkriminellen lohnt: Solange sie über Trojaner ihren Schadcode mit den Rechten des Benutzers ausführen lassen können, sind sie nicht zwingend auf die Ausnutzung von Schwachstellen angewiesen. Die werden in diesem Szenario erst interessant, wenn die normalen Benutzerechte nicht ausreichen und sich der Schadcode über eine Schwachstelle höhere Privilegien beschaffen muss.

Und nun alles zusammen:

Ohne mich darauf festnageln zu lassen, wage ich mal folgende Prognose, die ich dann ja in Folge 500 überprüfen kann: Schutzmaßnahmen werden die Ausnutzung von Schwachstellen weiter erschweren. Die Verbreitung von Schadsoftware wird in Zukunft zunehmend über Trojaner erfolgen. Die Trojaner werden über Social Netzworks verbreitet, sofern die in 5 Jahre noch jemand nutzt und Mark Zuckerberg, Eric Smith und Co. ihnen ihre Missachtung der Privatsphäre ihrer Nutzer nicht das virtuelle Genick gebrochen hat. Trojaner können aber auch als Fake-Codecs, Flash-Animationen o.Ä. daher kommen. Schwachstellen werden dann nur noch ausgenutzt, um dem eingeschleusten Code höhere Privilegien zu beschaffen. Evtl. wird es aber auch Schädlinge geben, die sich über das Internet als Trojaner verbreiten und im lokalen Netz dann Schwachstellen in Netzwerkdiensten ausnutzen. Notfalls könnten die Cyberkriminellen auch wieder auf Programme infizierende Viren setzen, aber die scheitern dann an signierten Dateien. Obwohl es auch dabei Schwachstellen gibt, eine hat Microsoft ja gerade erst behoben.

Für Überlegungen, wie es in 5 Jahren im Web aussieht, ist diesmal kein Platz mehr. Aber darüber kann ich dann ja in Folge 300 spekulieren. In der nächsten Woche geht es mit dem Überblick über die Schwachstellen-Suche in Webanwendungen weiter.

Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

Kommentare

Folgende Links könnten Sie auch interessieren