Cyber-News von der dunklen Seite. Cyberheuchelei, ein Blick auf Mirai, GCHQ is watching you und BlueKeep wird im Schach gehalten.

Hallo zusammen!

Legen wir mit ein paar guten Neuigkeiten los…

„Am häufigsten getestet und ausgezeichnet“ – noch immer ).

Erst kürzlich hat das angesehene unabhängige Testlabor AV-Comparatives die Ergebnisse seiner jährlichen Umfrage veröffentlicht. Ende 2018 wurden in dieser weltweit 3 000 Befragte ähm befragt. Unter den 19 gestellten Fragen war eine: „Welche Desktop-Anti-Malware-Sicherheitslösung verwenden Sie hauptsächlich?„. Und raten Sie mal, wer bei den Antworten für Europa, Asien und Süd- und Zentralamerika ganz vorne lag! Ganz genau: K! In Nordamerika kamen wir auf Platz zwei (ich bin mir sicher, dass sich das bald ändern wird). Daneben wurden wir in Europa als die am häufigsten verwendete Sicherheitslösung für Smartphones gewählt. Auch auf der Liste für Unternehmen, deren Produkte am häufigsten getestet werden sollen, stehen wir ganz oben. Und das sowohl bei den Heimlösungen als auch unter den Antivirusprodukten für Unternehmen. Genial! Wir lieben Tests und es ist ganz klar, warum! Und übrigens, hier finden Sie Details zu den unabhängigen Tests und Reviews unserer Produkte.

„Heuchler, zieh zuerst den Balken aus deinem Auge!
Und dann wirst du klar sehen, um den Splitter aus deines Bruders Auge zu ziehen.“
– Matthäus 7,5

Im Mai wurde eine weitere Hintertür mit Funktionen gefunden, die extrem nützlich für Spionage ist. Und wer hat die Hintertür erfunden? Russland? China? Nein, es war wirklich Cisco (schon wieder)! Ging das groß durch die Medien? Eine endlose Titelstory und Diskussionen über Bedrohungen der nationalen Sicherheit? Cisco-Geräte zurück an die USA gehen lassen? Ach was, das haben Sie auch verpasst? Zur gleichen Zeit wird Huawei nicht nur international durch die Mangel gedreht, nein, es wird auch ohne solche Hintertüren und ohne irgendwelche überzeugenden Beweise gemangelt.

Quelle

HiddenWasp DetectedWasp.

Um beim Thema Hintertüren zu bleiben: Es wurde neue Malware entdeckt: HiddenWasp. Was ist daran interessant?

Nun, erstmal ist diese Malware für Linux (Kinnlade hoch!). Zweitens wurde sie anfänglich von den meisten Anivirussystemen nicht erkannt. Diese neue Malware wird bei gezielten Angriffen auf zuvor infizierte Linux-Computer verwendet. Ihre Funktionsweise unterscheidet sich von der moderner Linux-Malware (DDoS-Angriffe und Krypto-Mining): Sie verbirgt Dateien, die auf einen infizierten Computer geladen wurden, kopiert den Inhalt von Festplatten, führt Programme aus und zwingt aktive Prozesse auf dem infizierten System zum Abbruch. Die Malware verwendet Speicher in Hongkong und die Dateinamen waren auf Chinesisch. Da können Sie sich jetzt Ihren eigenen Reim raus machen. Aber in der Zwischenzeit möchte ich unseren Benutzern versichern, dass wie diese Malware und all ihre Modifikationen erkannt haben.

Quelle

Auwei, auwei, au Mirai.

Jedem, der sich gerne in die Welt der neusten Cyberbedrohungen begeben möchte, rate ich zu unserem Quartalsbericht. Da finden Sie einiges über finanzielle Bedrohungen, die zunehmende Anzahl von mobilen Ransomware-Trojanern, den Verschlüsselungs-Malware-Angriff von LockerGoga auf Großunternehmen und die Analyse des Mirai-IoT-Botnet.

Zu Letzterem gibt es einige interessante Entdeckungen. Zunächst hat Mirai sein Opfernetzwerk erweitert und gelernt, wie IoT-Geräte von Unternehmen angegriffen werden können. Wenn der Wurm dann entdeckt, dass er in einer Sandbox (einer künstlichen isolierten Umgebung für die sichere Ausführung von Computerprogrammen) ausgeführt wird, stellt er einfach seine Funktion ein. Darüber hinaus wurde in einer Version von Mirai ein Mechanismus zum Reinigen der Umgebung anderer Bots erkannt. Sieh mal einer an! Also versteckt er sich nicht nur, sondern entledigt sich auch aller Konkurrenz!

LockerGoga-Dance.

Im März dieses Jahres wurde der norwegische Metallriese Norsk Hydro schwer von dem Verschlüsselungsvirus LockerGoga getroffen (und das war nicht alles: Der Virus infizierte auch die Systeme mehrerer anderer Industrieunternehmen). Die Infektion legte praktisch das ganze IT-System des Unternehmens flach, was zu einem Zusammenbruch der Produktionsanlagen und -büros führte. Anfang Juli veröffentlichte das Unternehmen seinen Finanzbericht für das erste Quartal 2019, in dem der finanzielle Schaden des Cyberangriffs schwarz auf weiß ans Licht kam: rund 70 Millionen Dollar!

Quelle

Big Brother: Update 1: GCHQ is watching you!

Kürzlich kritisierten in einem offenen Brief 47 Großunternehmen, Assoziationen und NROs (einschließlich Microsoft, Apple, Google, WhatsApp und Human Rights Watch) den Vorschlag des britischen Government Communications Headquarters (GCHQ), verschlüsselte Nachrichten an den Staat weiterzuleiten. In dem Brief wurde angemerkt, dass die Pläne des GCHQ die Glaubwürdigkeit von Verschlüsselungsdiensten untergrübe und das Recht auf Privatsphäre und Meinungsfreiheit der Nutzer bedrohe. Der Vorschlag des GCHQ wurde Ende 2018 in einer offenen Abhandlung veröffentlicht. Die Autoren schlugen vor, dass der Geheimdienstler Nachrichten in verschlüsselten Chats liest und die Nutzer nicht erfahren, dass sie ausspioniert werden. Angeblich entspricht diese Lösung „aktuellen Überwachungspraktiken“ und unterscheidet sich nicht vom Abhören unverschlüsselter Telefongespräche. Solche Vorschläge von Regierungen sind keine Einzelfälle, sondern ein weltweiter Trend. Die Zeitschrift „Der Spiegel“ berichtete kürzlich über ein bereits entworfenes Gesetz. Dies besagt, dass verbreitete Instant-Messenger wie WhatsApp gezwungen werden würden, bei Gerichtsbeschluss mit Strafverfolgungsbehörden zusammenarbeiten und unverschlüsselte Chat-Texten bereitstellen zu müssen. Ähnliche Versuche werden durch Staatssicherheitsbehörden in Russland unternommen, die sich an den verbreiteten Yandex-E-Mail-Anbieter und die Instant-Messenger-Dienste von Telegram richten.

Big Brother: Update 2: BlueKeep im Schach halten.

Noch kürzlich wurde eine ernste Schwachstelle namens BlueKeep in Windows entdeckt, die alte Versionen des Betriebssystems, die nicht länger von Microsoft unterstützt werden, bedroht. Für die, die wie ich kein großer Fan von Windows 10 sind, sind das sehr unerfreuliche Nachrichten. Ganz davon abgesehen war es unser Team, das als erstes einen Schutz für diese Lücke entwickelte und ihn mit unseren Kollegen der Branche teilte, sodass alle Antiviren den Angriff schnell abwehren konnten. Microsoft selbst verstand, wie schwerwiegend diese Schwachstelle war und veröffentlichte sogar einen Patch für das „nicht unterstützte“ Windows XP. Aber…!

Denke Sie etwa, dass XP-Nutzer weltweit keine Zeit für das Patch und ein Update verloren hätten? Ganz genau: Nein.. Das heißt, dass ein Hacker die Lücke ausnutzen und „einen Wurm auf seinen Weg durch Millionen PCs schicken könnte“. Ups. Ach du Schande! Also, bleiben Sie auf dem Laufenden und drücken Sie die Daumen…

Earth 2050: Zukunftsvisionen von heute

In der letzten Woche haben Sie vermutlich schon von unserer „großen Veränderung“ gehört. Große Veränderungen sind für uns allerdings nichts Neues! Seit wir vor 22 Jahren mit unserem Business begonnen haben, gab es ununterbrochen Veränderungen, Veränderungen und noch mehr Veränderungen – und selbstverständlich immer zum Besseren. Veränderungen sind sozusagen zu unserem Beruf geworden!

Würden wir bei Kaspersky die Entwicklung der Technologie nicht verstehen, wäre das vermutlich ein ziemlich schlechtes Omen für die Zukunft – und das meine ich nicht im Bezug auf Verkäufe oder Umsätze. Ich meine damit, dass es wahrscheinlich niemanden mehr auf dieser Welt geben würde, um unsere Produkte überhaupt zu kaufen.

Spaß beiseite 🙂

Ich bin sicher, dass auch die Zukunft Großartiges für uns bereithalten wird. Darüber hinaus verändert die Technologie unsere Welt zum Besseren. Sicher, neue Möglichkeiten bringen neue Risiken mit sich, aber das war schon immer so und wird vermutlich auch immer so bleiben.

Unsere Aufgabe ist es deshalb, Risiken zu erkennen, zu beseitigen und zu verhindern, dass diese erneut auftreten. Andernfalls wären Angriffe der Verteidigung immer einen Schritt voraus, was im Grunde genommen mit „keiner Verteidigung“ auf eine Stufe gestellt werden kann. In unserer Branche muss man in der Lage sein, vorhersehen zu können, was Cyberkriminelle im Schilde führen, um die entsprechenden Fallen zu platzieren und Köder auszulegen. Tatsächlich ist es genau diese Fähigkeit, die uns schon immer von unseren Mitbewerbern unterschieden hat (und dies auch immer noch tut). Erinnern Sie sich noch an NotPetya – eine der berüchtigtsten globalen Epidemien der letzten Jahre? Wir bei Kaspersky haben den Erpressungstrojaner proaktiv erkannt, ohne die Notwendigkeit irgendwelcher Updates.

Zurück zum eigentlichen Thema: Wir fanden die Idee der Zukunftsvorhersage so gut, dass wir uns deshalb dazu entschieden haben, ein gesamtes Social-Media-Projekt vor diesem Hintergrund zu starten: Earth 2050.

Earth 2050  ist eine vollkommen öffentliche Crowdsourcing-Plattform (entschuldigen Sie den Trend-Jargon), die es Nutzern erlaubt, in die Zukunft zu blicken. Damit meine ich, dass auf dieser Plattform jeder – und das meine ich tatsächlich wortwörtlich –  seine Zukunftsvision in Schrift, Malerei, Grafik oder wie auch immer mit der Öffentlichkeit teilen kann. Wenn Sie selbst keine hellseherischen Fähigkeiten besitzen, können Sie die Prognosen von anderen Nutzern auch lediglich verfolgen, liken und kommentieren. Wir haben für jeden etwas im Angebot 😉

Aber warum ist uns eine öffentliche Plattform überhaupt so wichtig?

Nun ja: Die Zukunft ist nur schwer vorherzusagen und die Prognosen einer einzigen Person haben leider eine relativ hohe Chance, sich im Nachhinein als falsch zu erweisen – verständlich und völlig natürlich. Aber die Zukunftsvorhersagen einer breiteren Personengruppe – auch wenn diese nur sehr ungenau, etwas lückenhaft oder sogar widersprüchlich sind – tragen zu einer wesentlich höheren Genauigkeit bei. Es ist ein bisschen so, wie das Prinzip des maschinellen Lernens. Je mehr eine Maschine lernt, desto besser kann sie etwas tun – in diesem Fall die Zukunft vorhersagen.

Read on: Earth 2050: Zukunftsvisionen von heute

Flickr Foto-Stream

Instagram

Unser neues Wir

Vor geraumer Zeit hat mir mal jemand gesagt, dass man im „Leben Veränderungen braucht, damit es nicht langweilig wird“.

Das wir bei KL eines Tages in Langeweile versinken ist nun wirklich relativ unwahrscheinlich – schließlich sind wir in einer Branche tätig, die schnelllebiger nicht sein könnte. Dennoch ist es manchmal sehr hilfreich, einen kurzen Moment innezuhalten, sich selbst durch fremde Augen zu betrachten, darüber nachzudenken, was uns zukünftig bevorsteht, und das gesamte Erscheinungsbild des Unternehmens dementsprechend anzupassen. Und mit dieser wunderbar lyrischen Einführung möchte ich offiziell unser Rebranding ankündigen!

Wir sind in den 90ern geboren. Als wir das Unternehmen damals im Jahr 1997 gegründet haben, hatten wir lediglich ein einfaches Ziel vor Augen: das weltweit beste Antivirenprogramm zu entwickeln. Damals dachten wir über Dinge wie „Positionierung“, „Markenimage“ oder „Markenphilosophie“ gar nicht erst nach. Ehrlich gesagt wussten wir nicht einmal, was diese Begriffe überhaupt bedeuteten! Aber das war vor 22 Jahren. Mittlerweile hat sich diesbezüglich einiges geändert …

Mittlerweile beschäftigen wir mehr als 4000 Mitarbeiter und schützen Hunderte von Millionen Privatpersonen und Unternehmen weltweit, sodass selbst das Konzept des „Virenschutzes“, mit dem wir einst begonnen haben, bereits vollkommen obsolet geworden ist. Die Welt ist im Laufe der Zeit so cyber-abhängig geworden, dass es in unserem modernen Leben so gut wie keinen „cyber-freien“ Bereich mehr gibt. Und genau deshalb sind wir bereit, allem und jedem einen angemessenen Schutz zu bieten – angefangen bei Heimanwendern bis hin zu großen Unternehmen, Regierungen, Industrietechnologien und Infrastrukturen. Eine Sache ist jedoch (seit Beginn) immer gleichgeblieben: Wir produzieren (immer noch) die allerbesten Sicherheitslösungen auf dem Markt.

Angesichts der vielen Veränderungen, war es wirklich höchste Zeit, darüber nachzudenken, wie unser „Aussehen“ überhaupt auf Außenstehende wirkt, um auch hier mögliche Anpassungen in Erwägung zu ziehen. Immerhin wurde unser aktuelles Logo 1997 entworfen, als das Unternehmen noch in Babyschuhen steckte. Damals entschieden wir uns für den Gebrauch des griechischen Alphabets – mit vielen ausgefeilten Details, wohlgemerkt – aber stolze 22 Jahre später ist von der ursprünglichen Relevanz nicht viel übriggeblieben.

Nach jeder Menge Arbeit hinter den Kulissen, aktualisieren wir also heute offiziell unser Logo! Dieses Mal werden geometrische, mathematisch präzise Buchstabenformen verwendet, die Werte widerspiegeln, die wir als selbstdefinierend betrachten – dazu gehören beispielsweise höchste technische Standards. Eine weitere Neuerung, die einem vermutlich sofort ins Auge sticht, ist die Abwesenheit des Wortes „Lab“. Ein Thema, das bereits seit einigen Jahren zur Debatte stand, da wir auf der ganzen Welt größtenteils und schlichtweg mit meinem Nachnamen bekannt sind. Darüber hinaus haben wir selbst aus Gründen der Bequemlichkeit, Einfachheit, Kürze oder aufgrund der fehlenden Notwendigkeit das „Lab“ oft einfach weggelassen. Deshalb sind wir ab sofort nur noch „Kaspersky“. Kürzer, einfacher, klarer, nützlicher, simpler, einprägsamere (ich könnte noch ewig so weitermachen) …

Aber wenn Sie genauer hinsehen, werden Sie feststellen, dass sich nicht nur unser Logo, sondern auch das gesamte Unternehmen erneuert hat.

In den letzten Jahren hat sich, abgesehen von unserer Zukunftsvision, auch unsere gesamte Einstellung zum Business, zu unseren Produkten und zu uns selbst gewandelt. In all den Jahren haben wir die Welt gerettet und Cybersünden in all ihren Ausführungen bekämpft. Aber, wie ich oben bereits erwähnt habe, haben auch wir uns während unseres Wachstums verändert. Und jetzt glaubenwissen wir, dass es in unserer Macht steht, nicht nur die Welt zu retten, sondern von Grund auf eine geschütztere und sicherere Welt aufzubauen. Ich bin fest davon überzeugt, dass das Konzept der „Cybersicherheit“ bald völlig überholt sein wird und stattdessen dem Konzept der „Cyber-Immunität“ weicht.

Informationssysteme sollten a priori sicher entworfen werden und keine Add-Ons in Form von (nie ganz sicheren) Sicherheitslösungen erfordern. Und an eben dieser Zukunft arbeiten wir. Eine reale, greifbare Zukunft, die Schritt für Schritt und Tag für Tag Gestalt annimmt, um das Leben einfacher, bequemer und interessanter zu gestalten – keine blumige, imaginäre Zukunft, die aus irgendeinem Science-Fiction-Blockbuster stammt. Und ich bin mir absolut sicher, dass in dieser sichereren Welt, die wir mitgestalten, Technologien nicht länger eine konstante Bedrohung darstellen, sondern uns unzählige neue Möglichkeiten, Chancen und Entdeckungen bieten werden.

Also: Da haben Sie es nun – unser neues … K!?! (WAS? Kein KL mehr?) Nun ja, Fortschritt erfordert immer kleine Opfer!

Gib deine E-Mail-Adresse

Mit Kaspersky Lab vom Startup zum globalen Unternehmen!

Vor ungefähr fünf Jahren haben wir mit unserem eigenen so genannten „Business Incubator“ ein sehr interessantes Projekt ins Leben gerufen. Warum? Weil es in der freien Natur unzählige tolle Ideen gibt, die gepflegt werden müssen, um sich zu etwas Großartigem entwickeln zu können. Und wir haben die Ressourcen, um genau dabei zu helfen! Also haben wir nach coolen und innovativen Ideen Ausschau gehalten und einigen Startups ihre ganz persönlichen Flügel zum Fliegen verliehen.

Eines der erfolgreichsten Beispiele für Projekte unseres „Business Incubator’s“ ist Polys; Ein Projekt, das im Jahr 2017 gestartet wurde. Polys ist eine Online-Plattform für auf der Blockchain basierende elektronische Wahlverfahren. Ich habe es bereits in diesem Blog erwähnt. Aber kurz gesagt: Die Plattform ist sicher, anonym, unhackbar und, was meiner Meinung nach am allerwichtigsten ist: Unglaublich einfach in ihrer Handhabung und für jede Art von Wahlverfahren geeignet. Ich persönlich glaube, dass man die Zukunft der Wahlen tatsächlich in den Worten „online“ und „Blockchain“ zusammenfassen kann. Polys wurde bereits offiziell von russischen politischen Parteien, Studentenorganisationen und regionalen Regierungsorganisationen eingesetzt. Und ich bin mir absolut sicher, dass dies bislang nur die ersten Schritte eines langen Weges dieses KL-Nesthäkchens waren.

Wir haben allerdings noch ein weiteres aufstrebendes „Incubator“-Projekt an Bord – Verisium. Hierbei handelt es sich um eine IoT-Plattform, die beim Kundenengagement und der Produktauthentifizierung hilft. Letzteres wird insbesondere in der Modebranche benötigt, um der Fälschung von Luxusprodukten entgegenzuwirken, und Marken die Möglichkeit zu geben, den Lebenszyklus eines Produktes zu verfolgen und Einblicke in Marketingmaßnahmen zu erhalten, um zu erfahren, wie Produkte „leben“ und performen. Verisium hat bereits mehrere gemeinsame Projekte mit russischen Designermarken gestartet – dazu gehören beispielsweise Kleidungsstücke mit auf der Blockchain basierenden NFC-Chips.

Quelle

Und obwohl unser Incubator wirklich spitzenmäßig funktioniert, wollten wir mehr. Also haben wir uns dazu entschieden, die Zusammenarbeit mit Startups und innovativen Unternehmen zu erweitern und uns dabei auf einen Bereich zu konzentrieren, den wir „relativ gut“ kennen … Cybersicherheit!

Ende Mai (also in wenigen Tagen) starten wir ein vollkommen neues Programm, das weltweit vertreten sein wird – das Kaspersky Open Innovations Program. Warum wir das tun? Ganz einfach! Um ein Ökosystem aufzubauen, das transparente Gespräche und eine fruchtbare Zusammenarbeit zwischen Unternehmen und innovativen Cybersicherheitsunternehmen auf der ganzen Welt ermöglicht.

Beginnen werden wir mit einer globalen Startup-Challenge. Dabei suchen wir nach Startups, die bereits über Produkte, MVPs oder sogar Prototypen verfügen. Wir werden nach denjenigen Ausschau halten, die bereits etwas in der Hand haben, das zum Verkauf geeignet ist, oder vielleicht sogar bereits etwas verkauft haben und ihre Verkaufszahlen steigern möchten. Da wir diese Unternehmen weder akquirieren noch in sie investieren, konzentrieren wir uns weiterhin darauf, Lösungen zu finden, die wirklich von der Einbettung oder Integration in unsere Technologien profitieren können, um jegliche Schutzfunktionen zu maximieren.

Ein weiteres Ziel wird es darüber hinaus sein, die Ergebnisse unserer Startup-Zusammenarbeit – und ihren zahlreichen neuen innovativen Produkten, Lösungen, Dienstleistungen usw. – an Unternehmen unterschiedlicher Größe auf der ganzen Welt weiterzugeben.

Wenn wir Unternehmen also weder akquirieren noch in sie investieren, was bieten wir dann tatsächlich an? Als globales Unternehmen unterstützen wir Startups bei der globalen Skalierung, indem wir ihre weitere Produkt- und Geschäftsentwicklung unterstützen. Aber was wahrscheinlich am wichtigsten ist: Wir bieten Startups die Möglichkeit, eine Partnerschaft mit uns aufzubauen und auf diese Weise mit den weltweit größten Unternehmen am selben Tisch zu sitzen.

Nehmen Sie jetzt teil und gewinnen Sie weltweite Unternehmenspräsenz!

Quelle

 

Unsere neue Emulations-Technologie: Der schlimmste Alptraum für gewiefte Malware

Haben Sie sich jemals gefragt, warum Computerviren überhaupt „Viren“ genannt werden? Tatsächlich wird das Wort „Viren“ heutzutage etwas irreführend verwendet, um sich auf so gut wie alle „Arten eines Schadprogrammes“ zu beziehen, oder um jegliche schädliche Aktivität zu beschreiben, die ein Programm auf einem Computer ausführt. Diese Informationen habe ich übrigens unserer Enzyklopädie entnommen.

Genau genommen wird ein Virus jedoch als Programmcode definiert, der sich repliziert und ausbreitet – also im Grunde genommen wie ein biologischer Virus, beispielsweise ein Grippevirus.

Das Seltsame an der ganzen Sache ist jedoch, dass der obigen Definition entsprechende Viren als solche bereits vor einigen Jahren in freier Wildbahn verschwunden sind. Heutzutage dreht sich alles um Schadprogramme, deren Fokus nicht mehr auf der Replikation, sondern vielmehr auf schädlichen Funktionen liegt, mit denen Daten von einem Computer gestohlen oder vollständig gelöscht werden können, wie zum Beispiel ein Trojaner. Doch selbst wenn man heutzutage jemanden darum bittet, „Computersicherheitstechnologien“ in Bildern darzustellen, zeigen diese Bilder häufig Dinge wie Wissenschaftler in Laborkitteln Schutzanzügen mit Reagenzgläsern in der Hand, die irgendwelche Quarantänemaßnahmen ausführen – obwohl diese nur im Umgang mit biologischen Viren benötigt werden.

Naja, ich denke, Sie haben es bereits verstanden: Computerviren sind ausgestorben. Aber die Analysemethoden, die zu ihrer Entdeckung und Desinfektion (übrigens eine weitere Entlehnung aus der Mikrobiologie!) verwendet wurden, sind erhalten geblieben, haben sich weiterentwickelt und helfen auch heute noch enorm im Kampf gegen moderne Viren Malware. Zu einer solchen „Alte Schule“-Technologie zählt beispielsweise der Emulator.

Der Emulator in Produkten von Kaspersky Lab: Deshalb ist er für jedes Antivirenprogramm unbedingt notwendig

Kurz gesagt handelt es sich bei der Emulation um eine Methode zur Erkennung zuvor unbekannter Bedrohungen, bei der eine Datei, die sich verdächtig (ungewöhnlich, atypisch) verhält, in einer virtuellen Umgebung („emulierte“ Umgebung), die einen realen Computer simuliert, ausgeführt wird. In dieser Umgebung beobachtet das Antivirus* das Verhalten der Datei; Wenn es dabei gefährliche Aktivitäten feststellt, isoliert es die Datei für weitere Untersuchungen.

Können Sie die Analogie zur mikrobiologischen Virologie erkennen? Warum sollte man einem Patienten, der möglicherweise an einer bestimmten Krankheit leidet, ein starkes Gegenmittel mit vielen Nebenwirkungen verabreichen, wenn der Patient eventuell von einer völlig anderen Erkrankung betroffen ist? Eine deutlich bessere Alternative ist es, den Virus in vitro zu emulieren, um zu sehen, was wirklich im Gange ist, um dann das entsprechende Medikament verabreichen zu können.

Die größte Herausforderung ist die gleiche wie auch in der Mikrobiologie: Es ist unglaublich wichtig, die emulierte Umgebung so real wie möglich zu gestalten. Anderenfalls könnten schädliche Dateien in der Lage sein, zu erkennen, dass es sich lediglich um ein Set-up handelt, und sich folglicherweise wie ein frommes Lamm verhalten. Wir führen bereits seit einigen Jahren Jahrzehnten Emulationen durch und sind der Konkurrenz in dieser Hinsicht wirklich um Längen voraus.

Der erste Emulator der Welt wurde 1992 von mir höchstpersönlich entwickelt. Und bereits kurze Zeit später schwärmten Experten auf der ganzen Welt von der Erkennungsrate unseres AV-Programms (ja – damals war es tatsächlich noch ein reines „Antivirus“), das die Konkurrenz in unabhängigen Tests, unter anderem dank des Emulators, weit hinter sich ließ.

Die Zeit verging und die Bedrohungslandschaft wurde immer komplizierter: Viren machten nach und nach Platz für Netzwerkwürmer, Trojaner und andere komplexe Schädlinge. In der Zwischenzeit steigerte sich auch die Vielfalt der Computer/Mobilgeräte/IoT-Gadgets und aller anderen digitalen Technologien; ebenso wie die Kompetenz des Emulators. Wir integrierten ihn in unsere KSN Sicherheitscloud, brachten ihm neue Programmiersprachen bei, und machten ihn mit neuen Browsern und anderen OS-Objekten bekannt – und das alles, um noch nie zuvor gesehenen Arten von Malware automatisch auf die Schliche zu kommen. Keine AI BS, lediglich viel und vor allem intelligente Arbeit – also alles, was es braucht, um echte HuMachine-Innovationen zu entwickeln :).

Was ist HuMachine: Maschinelles Lernen in Kombination mit Big Data, Threat Intelligence und Expertenanalysen

Heutzutage können sich nur wenige Mitbewerber mit einer solchen Technologie rühmen, was nicht verwunderlich ist: Die Emulation ist eine sehr schwierige Aufgabe, die ein langjähriges Know-how, eine zeitaufwändige Produktintegration und eine ständige Weiterentwicklung erfordert. Viele Neulinge in der Cybersicherheitsbranche investieren jedoch lieber in Bla-bla-bla-bla-Marketing. Kurzfristig kann dieser Ansatz die Geschäftsentwicklung erheblich vorantreiben; Doch Nutzer lassen sich nur eine gewisse Zeit etwas vorgaukeln. Früher oder später wird es zu einem gehörigen Missgeschick kommen – und das war’s. Anders ausgedrückt: Wenn ein Cybersicherheitsunternehmen über einen eigenen Emulator verfügt, können Sie defintiv davon ausgehen, dass sowohl das Know-how als auch die Reife des Entwicklers beeindruckend sind. Und umgekehrt: Kein Emulator = wenig Know-how und wenig Erfahrung.

Aber ich schweife vom Thema ab …

Obwohl unser Emulator kontinuierlich verbessert wurde, haben auch die Cyberschurken auf der anderen Seite der Barrikaden leider keine Däumchen gedreht. Ganz im Gegenteil: Sie haben ihre Geschäfts- und Cyberspionage-Operationen aktiv geschützt, und dazu gehört auch der Versuch, sich gegen unseren Emulator zu schützen.

Die fortschrittlichsten Bedrohungsakteure verwenden eine Reihe von Anti-Emulator-Tricks, um die „Reagenzglas“ -Umgebung zu erkennen – beispielsweise durch das Ausführen einer undokumentierten Funktion, die Authentizitätsüberprüfung von Anforderungen zum Ändern von Prozessor-Registern, die Analyse von Fehlercodes, die Suche nach spezifischem Code im Speicher, den Einsatz von „logischen Bomben“, die den Emulator in eine Endlosschleife versetzen, und so weiter. Sobald die Malware etwas Verdächtiges vernimmt, stoppt sie jegliche schädliche Funktionen.

Da wir uns diesen Taktiken aber sehr wohl bewusst sind, bleiben wir Cyberkriminellen weiterhin einen Schritt vorraus, indem wir unseren Emulator ständig optimieren und auch auf andere Art und Weise stetig verbessern (hauptsächlich durch die Reduzierung der Ressourcenintensität). Um ihn zu beschleunigen, verwenden wir beispielsweise verschiedene Begrenzer, Optimierer und Konfigurationsprofile, die den Emulator unter bestimmten Bedingungen sogar vollständig deaktivieren können, wenn es sich bei der Verzögerung um einen BSoD handelt.

In der Zwischenzeit haben uns unsere Patent-Krieger neulich gute Nachrichten von der Emulationsfront überbracht: Wir haben ein Patent (US10275597) für einen Programmcode-Emulator erhalten, der unbekannte Objekte interpretieren kann! Soweit ich weiß, gibt es ein solches Feature in keinem unserer Konkurrenzproduke: Um vor den Anti-Emulator-Tricks von Malware zu schützen, müssen Wettbewerber ihren gesamten Emulator überarbeiten, was selbstverständlich kein schneller Prozess ist. Wir haben unseren Emulator allerdings darauf geschult, sich aus einer lokalen Datenbank einfach selbst zu aktualisieren! Eine sehr nützliche Funktion, und es gibt keinen Grund, Ihnen nicht davon zu berichten :).

Einige Dateien werden allerdings nicht im Maschinencode, sondern direkt im Quellcode verteilt. Um sie auf einem Computer ausführen zu können, ist deshalb ein Interpretierprogramm notwendig (z. B. JavaScript oder VBA), das den Code in Echtzeit in eine maschinenfreundliche Sprache übersetzt. Und auch in derartigen Dateien befindet sich häufig Malware.

Um unbekannte Bedrohungen dieser Art zu erkennen, haben wir vor vielen Jahren einen Programmcode-Emulator entwickelt, der Dateien „in einem Reagenzglas“ überprüft, bevor sie ausgeführt werden. Das gesamte Interpretierprogramm zu emulieren ist jedoch zu ressourcenintensiv: Die Verzögerung bei der Verarbeitung von Webseiten mit Skripten würde gleichzeitig auch viele frustrierte Internetnutzer bedeuten. Daher erstellen Emulatoren in der Regel eine Kompromissversion, die auch in Hinsicht auf Leistung und Qualität des Schutzes akzeptabel ist. Aber was passiert, wenn der Emulator auf ein unbekanntes Objekt, eine unbekannte Methode oder eine unbekannte Funktion im Code stößt, deren Interpretation für eine vollwertige Analyse der Datei unbedingt erforderlich ist?

Wir haben dieses Problem alternativ gelöst – und zwar mithilfe eines intelligenten Interpretierprogramms, das in der Lage ist, schnell zu lernen, wie man solche Objekte emuliert. Während eines Updates via KSN-Cloud erhält das Produkt Hilfscode in der Sprache des zu analysierenden Objekts (JavaScript, VBA, VB Script, AutoIt …) und kehrt dann mit seinem neuen Wissen zur Überprüfung der Datei zurück. In besonders schwierigen Fällen, wird die Aufgabe automatisch an unsere Analysten weitergeleitet, die den notwendingen Hilfscode entwickeln und dann umgehend zur Datenbank hinzufügen.

Auf diese Weise steht den Benutzern nicht nur eine leistungsstarke, sondern auch eine extrem schnelle Technologie zur Verfügung, die im Handumdrehen auf Cyberbedrohungen reagieren kann – ohne auf den Re-Release des gesamten Emulators zu warten. Bingo!

* „Antivirus“ ist ein weiterer Archaismus der Computerviren-Ära. Moderne Virenschutzprogramme schützen nicht nur vor Viren, sondern vor allen Arten von Malware. Sie enthalten darüber hinaus viele andere nützliche Sicherheitsfunktionen: zum Beispiel einen Passwort Manager, ein VPN, einen angemessenen Kinderschutz, Back-ups und vieles mehr. Im Grunde genommen sollte ein gutes „Antivirus“ heutzutage eigentlich als „Anti-Dies, Anti-Das, Anti-Alles, das mich, meine Familie, all unsere Geräte und all unsere Daten schützt – und dazu mit jeglichem Schnickschnack ausgestattet ist“, heißen.

Cyber-News von der dunklen Seite – SAS 2019.

Hallo zusammen!

Es folgt ein weiterer Beitrag aus meiner Serie „gelegentliche iNews, alias „Cyber-News von der dunklen Seite“ – dieser Artikel beschäftigt sich mit einigen der Vorträge, die ich mir letzten Monat auf unserem jährlichen Security Analyst Summit in Singapur ansehen durfte.

Unsere jährliche SAS-Konferenz zeichnet sich vor allem durch die höchstinteressanten Vorträge unserer geladenen Experten aus aller Welt aus, bei der Analysten, im Gegensatz zu anderen geopolitisch korrekten Konferenzen, Entdeckungen über jede beliebige Cyberbedrohung mit dem Publikum teilen; und das völlig unabhängig von dem Ursprung dieser Bedrohungen. Denn Malware ist und bleibt Malware, und Nutzer haben ein Recht darauf, vor allen ihrer Arten geschützt zu werden, ohne Rücksicht auf die erklärte Bedeutung der Absichten der dahinterstehenden Organisationen, Gruppen etc. Erinnern Sie sich noch an den „Bumerangeffekt„?

Und wenn bestimmte Medienkanäle als Reaktion auf diese prinzipientreue Position offensichtlich Lügen über uns verbreiten, dann sei es so. Und es sind nicht nur unsere Prinzipien, die angegriffen werden, weil wir praktizieren, was wir predigen: Wir sind der Konkurrenz weit voraus, wenn es um die Anzahl gelöster Cyberspionage-Operationen geht. Und wir planen nicht, unsere Einstellung und Position in irgendeiner Weise zum Nachteil unserer Nutzer zu ändern.

Im Anschluss folgt eine Zusammenfassungen der großartigsten Untersuchungen und Analysen, die Cyber-Experten aus aller Welt auf dem diesjährigen SAS vorgetragen haben. Darf ich vorstellen? Die interessantesten, schockierendsten, gruseligsten und verrücktesten Vorträge der SAS-Konferenz 2019:

1. TajMahal

Im vergangenen Jahr haben wir einen Angriff auf eine diplomatische Organisation aus Zentralasien entdeckt. Natürlich sollte es für eine solche Organisation keine Überraschung sein, dass Cyberkriminelle besonderes Interesse an ihr zeigen. Es ist kein Geheimnis, dass Informationssysteme von Botschaften, Konsulaten und diplomatischen Vertretungen für andere Staaten und ihre Geheimdienste oder generell für Bösewichte mit ausreichenden technischen Fähigkeiten und finanziellen Mitteln schon immer von Interesse waren. Ja, wir alle haben Spionageromane gelesen. Aber in diesem Fall gab es eine interessante Neuigkeit: Und zwar wurde für die Angriffe auf diese Organisation ein zweiter, wahrhaftiger ‚TajMahal‘ errichtet – und zwar in Form einer APT-Plattform mit unzähligen Plug-ins (das Ausmaß war selbst für uns überraschend), die für jegliche Arten von Angriffsszenarien unter Verwendung verschiedener Tools verwendet wurden.

Die Plattform besteht aus zwei Hauptpaketen: Tokyo und Yokohama. Bei Tokyo handelt es sich um die primäre Backdoor, die darüber hinaus die Zustellfunktion des letzteren Schadprogramms erfüllt. Yokohama hat eine sehr umfangreiche Funktionalität: den Diebstahl von Cookies, das Abfangen von Dokumenten aus der Druckerwarteschlange, die Aufzeichnung von VoIP-Anrufen (einschließlich WhatsApp und FaceTime), das Erstellen von Screenshots und vieles mehr. Das TajMahal-Framework ist seit mindestens fünf Jahren aktiv und seine Komplexität lässt vermuten, dass es entweder noch weitere, bisher unbekannte Opfer oder weitere Versionen dieser Malware gibt – oder möglicherweise beides.

Weitere Details zu diesem ausgereiften APT-Framework finden Sie hier.

2. Gaza-Cybergang

Wir haben erstmals im Jahr 2015 über die Gaza-Cybergang berichtet, obwohl dieses arabischsprachige, politisch motivierte Kollektiv interagierender Gruppen von Cyberkriminellen bereits seit 2012 aktiv ist. Ihren Fokus legt(e) die Cybergang dabei hauptsächlich auf Ziele im Nahen Osten und in Zentralasien. Die Mehrheit der Angriffe fanden in den palästinensischen Gebieten, Jordanien, Israel und dem Libanon statt. Besonderes Interesse zeigte die Gaza-Cybergang bislang an Botschaften, Regierungsstellen, Medien und Journalisten, Aktivisten, politischen Parteien und Einzelpersonen sowie Bildungseinrichtungen, Banken, Gesundheitsorganisationen und Vertragsunternehmen.

Die Gruppe besteht aus mindestens drei Untergruppen, die ähnliche Absichten und Zielsetzungen verfolgen, aber unterschiedliche Werkzeuge und Techniken einsetzen. Über zwei der Gruppen – mit erstzunehmenden technischen Fähigkeiten – haben wir bereits hier und hier berichtet. Die dritte Untergruppe – MoleRATs – wurde erstmals auf dem SAS 2019 vorgestellt und ist maßgeblich an der Operation SneakyPastes beteiligt gewesen (SneakyPastes leitet sich von der starken Nutzung von Paste-Sites durch die Angreifer ab).

Ihre mehrstufigen Angriffe beginnen mit maßlosem Phishing: eine E-Mail zu einem aktuellen politischen Thema, die scheinbar irgendeine Art von Verhandlungsprotokollen oder Korrespondenzen einer scheinbar legitimen, respektierten Organisation enthält. Ein ungeschulter Büroangestellter öffnet derartige Anhänge, ohne darüber nachzudenken. Sobald dieser Fall eintritt, startet die auf den ersten Blick harmlose (aber tatsächlich mit Malware versehene) Datei eine Reihe von Infektionsversuchen. Sobald sich die Cyberkriminellen im System befinden, verbergen sie die Präsenz der Malware vor AV-Lösungen und gehen dann schrittweise in weitere Angriffsstadien über.

Schlussendlich wird auf dem Zielgerät ein RAT installiert, der nicht nur ein Ass im Ärmel hat: er kann Dateien ganz einfach herunter- und hochladen, Anwendungen ausführen, nach Dokumenten suchen und Daten verschlüsseln. Er findet zudem alle .pdf-, .doc-, .docx-, und .xlsx-Dateien auf dem System, speichert diese in Ordnen für temporäre Dateien, klassifiziert, archiviert und verschlüsselt diese und sendet sie dann über Domain-Strings an den C&C-Server. Und so, meine Damen und Herren, funktioniert Spionage im Jahr 2019!

Sie möchten mehr darüber erfahren? Kein Problem!

3. Finanzbetrug und digitale Klone

Wenn Sie glauben, dass all unsere Untersuchungen lediglich Angriffe betreffen, die scheinbar direkt aus einem Detektiv-, Spionage- oder Sci-Fi-Roman stammen, denken Sie noch einmal genauer darüber nach. Denn die dritte Untersuchung, von der ich Ihnen erzählen möchte, betrifft unglaublich viele Menschen. Eine ganz simple Form des Cybercrimes, die so alltäglich geworden ist, dass die Medien einfach nicht mehr darüber berichten. Obwohl das mehr als angebracht wäre! Die Rede ist vom guten alten Finanzbetrug. Laut einer zuverlässigen Quelle beliefen sich die Verluste durch Kreditkartenbetrug im Jahr 2018 auf rund 24 Milliarden US-Dollar. Ja -Sie haben richtig gelesen : M-I-L-L-I-A-R-D-E-N! Zum Vergleich: Das jährliche Budget der NASA liegt bei rund 21,5 Milliarden US-Dollar, während die Olympischen Spiele in Tokio 25 Milliarden Dollar kosten!

Für den heutigen, modernen Kreditkartenbetrug wurde ein neuer Begriff erfunden: Carding. Obwohl Banken und Zahlungssysteme dem Thema Sicherheit besondere Aufmerksamkeit schenken, entwickeln die Betrüger ständig neue Tools, um Geld über Bankkarten zu stehlen.

Unser Experte Sergey Lozhkin berichtete auf dem SAS 2019 über eine völlig andere Art des Finanzbetrugs. Er entdeckte einen ganzen Markt namens Genesis im Darknet, auf dem gestohlene „digitale Fingerabdrücke“ gekauft und verkauft werden. Hierbei handelt es sich im Wesentlichen um Datenpakete mit dem Online-Verhalten eines Nutzers sowie seinem digitalen Fingerabdruck – der Verlauf besuchter Seiten, Informationen über das Betriebssystem, den Browser und so weiter. Wofür all das benötigt wird? Nun ja, es sind eben Daten wie diese, die von verschiedenen Online-Systemen zur Nutzerverifizierung zum Schutz vor Betrug verwendet werden. Wenn also ein digitaler Fingerabdruck mit dem vorher verwendeten Fingerabdruck übereinstimmt, „erkennt“ die Sicherheitslösung die Person und genehmigt die Transaktion – beispielsweise einen Kauf im Onlineshop oder eine Überweisung via Online-Banking. Der Preis für einen solchen digitalen Fingerabdruck variiert je nach Datenvolumen zwischen fünf und 200 US-Dollar.

Wie werden solche Fingerabdrücke gesammelt ? Mit der Verwendung verschiedener Schadprogramme. So kann sich Malware beispielsweise auf Ihrem Computer einschleichen und unbemerkt alle erreichbaren Daten sammeln – während Sie davon rein gar nichts bemerken.

Zudem haben Betrüger eine andere Methode entwickelt, um Schutzlösungen zu täuschen und zu umgehen: sie geben sich vor dem System als völlig neuer Nutzer aus. Dies kann mithilfe eines speziellen Dienstes namens Sphere erfolgen, mit dem eine digitale ID samt ihrer Parameter zurückgesetzt werden kann. Somit ist der Kriminelle in den Augen der Schutzlösung völlig „clean“.

Was können wir dagegen tun? Zum einen müssen sich Banken kontinuierlich über die neuesten Cyber-Betrugsmethoden informieren und ausnahmslos die Zwei-Faktor-Authentifizierung verwenden. In Zukunft werden sie wahrscheinlich auch noch biometrische Daten, Fingerabdrücke, Iriserkennung usw. als zusätzliche Schutzmaßnahme auf ihre Liste schreiben müssen. In der Zwischenzeit möchten wir Ihnen zum wahrscheinlich zehntausendsten Mal folgenden Rat mit auf den Weg geben: Gehen Sie vorsichtig mit Ihren Daten (Passwörter, Bankkartennummern, Verwendung von Computern an öffentlichen Orten und Gebrauch von öffentlichen WLAN-Hotspots) um. Und verwenden Sie eine gute Sicherheitslösung, die alle schädlichen Faktoren erkennt, die es möglicherweise auf Ihre digitale Identität abgesehen haben.

4. „The secret power of YARA“

Gegen Ende des diesjährigen SAS hielt Vitaly Kamluk eine Pecha-Kucha-Präsentation (20 Folien á 20 Sekunden) über die Fähigkeiten von YARA (eine Art Suchmaschine, die nach Attributen in ausführbaren Dateien sucht).

In diesem Vortrag namens „The Secret Power of YARA“ wandte er seine speziellen Jedi-Kräfte auf dieses spezifische Tool an… das Endergebnis war ein ASCII-Art-Kunstwerk! Das Publikum konnte seinen Augen kaum trauen. Aber das war noch längst nicht alles – unter Anwendung zusätzlicher Magie, übernahm im selben ASCII-Regime plötzlich der erste Teil der Computerspiel-Serie DOOM den Bildschirm! Das Publikum war gebannt, hypnotisiert, fasziniert … Sehen Sie selbst!

5. Was, wenn …

Im abschließenden SAS-Vortrag gab der Direktor unseres GReAT, Costin Raiu, dem Publikum die Gelegenheit, über theoretisch mögliche Methoden der Malware-Penetration und über mögliche Verschleierungsmethoden auf tiefster Hardwareebene nachzudenken. Was machen wir, wenn diese Hypothesen tatsächlich zur Realität werden? Und wie kann die Cybersicherheitsbranche darauf reagieren? Darum ging es bei Costins Präsentation – eine Art Benutzerhandbuch für Start-ups auf diesem Terrain.

Das waren die „Greatest Hits“ des SAS 2019. Wir freuen uns schon auf nächstes Jahr!

PS: Auf der SAS-Konferenz 2019 wurden rund 70 Präsentationen gehalten, und dies hier waren lediglich die „Auserwählten“, die es ins Finale geschafft haben. Ich könnte Ihnen nicht von allen Vorträgen auf diesem Blog berichten, aber in Kürze sollte das vollständige Konferenzvideo auf unserem YouTube-Kanal zur Verfügung stehen!

Wir eröffnen unser zweites Transparenzzentrum in Madrid!

Hola, amigos!

Ende letzten Jahres haben wir bereits unser erstes Transparenzzentrum und Rechenzentrum in der Schweiz (Zürich) eröffnet, das sich der Datenverarbeitung für unsere Kunden in Europa widmet. Obwohl das Ganze erst fünf Monate her ist, wurde deutlich, dass dieses Großprojekt die aktuellen Bedenken in Bezug auf die Cybersicherheitsbranche im heutigen geopolitischen Klima perfekt widerspiegelt.

Momentan zeigen sowohl die Geschäftswelt als auch die Regierungsbehörden großes Interesse an einer ganz bestimmten Sache: und zwar an glasklarer Transparenz. Kein Wunder! In Zeiten, in denen ein Unternehmen auf höchster behördlicher Ebene jeglicher Dinge beschuldigt werden kann – und das ohne Beweise (verfolgen Sie die aktuelle Huawei-Saga?) – haben sowohl die geschäftlichen als auch die staatlichen Regulierungsbehörden weltweit keine andere Wahl als eigene Analysen durchzuführen und die wahren Fakten auf den Tisch zu legen (und das unter Verwendung einer Sache, die in letzter Zeit alarmierend vielen Menschen zu fehlen scheint: gesunder Menschenverstand).

Aus diesem Grund hat sich unser erstes Transparenzzentrum als sehr nützlich erwiesen und wird regelmäßig von unseren Partnern sowie Beamten europäischer Behörden besucht. Was soll ich sagen. Ich freue mich wirklich sehr, dass wir mit unserer globalen Offenheitsinitiative zu Pionieren in der Cybersicherheitsbranche geworden sind.

Aufgrund der frühen Erfolge unserer Zentren in Zürich und um den Marktanforderungen gerecht zu werden, haben wir nun ein weiteres Transparenzzentrum eröffnet – und zwar in Madrid. Hola, amigos! Und so viel sei gesagt: Bis Ende des Jahres planen wir bereits die Eröffnung eines weiteren Zentrums – dieses Mal in Asien!

Die Funktion dieser Zentren bleibt gleich: wir möchten Außenstehenden den Zugriff auf unseren Quellcode sowie unsere Updates ermöglichen. Darüber hinaus dient die neue Einrichtung in Spanien als Briefing-Center, in dem sich Gäste über unsere Technologien, Produkte und Datenverarbeitungsmethoden informieren können.

In Kürze werden wir auf diesem Blog einige der zahlreichen Fotos unserer großen Eröffnungsfeier in Madrid zur Schau stellen. Halten Sie also die Augen offen!

Kaspersky Lab’s Rechenzentrum in Zürich

Darüber hinaus veröffentlichen wir derzeit einige der Forschungsergebnisse eines renommierten unabhängigen Experten in russischen Rechtsfragen – Prof. Dr. Kaj Hobér von der Universität Uppsala in Schweden. Er beschäftigt sich seit über 30 Jahren mit den Feinheiten des russischen Rechtssystems. Damit angefangen hat er bereits als Russland noch Teil der Sowjetunion war. Ein weiterer interessanter Fakt: der Professor war  Schiedsrichter in über 400 Schiedsverfahren. Kurz gesagt: ein sehr beeindruckender Lebenslauf einer noch beeindruckenderen Person, deren absolute Professionalität nur schwer zu bezweifeln ist.

Seine Untersuchung bezieht sich auf drei russische Gesetze bezüglich der Verarbeitung und Speicherung von Daten; denn auf diese nehmen einige der „Experten“ und Journalisten häufig Bezug, wenn sie über uns berichten. Meiner Meinung nach nicht nur völlig unangebracht, sondern zudem auch noch falsch. Mit dieser unabhängigen Analyse wird nämlich ein für alle Mal belegt, dass wir (KL) nicht an ein einziges dieser drei Gesetze gebunden sind – aus einem einfachen Grund: wir sind weder ein Internet- noch ein Mobilfunkanbieter! Denn nur diese beiden Arten von Anbietern sind an die Gesetze gebunden, mit denen wir, warum auch immer, so oft in Verbindung gebracht werden.

Also, liebe Experten, Journalisten und Blogger: bitte begründen Sie Ihre Urteile anhand von logischen Fakten und unabhängigen, unwiderlegbaren Expertenanalysen – und nicht anhand des Herkunftslandes eines Unternehmens, um dann auf den Zug der falschen Anschuldigungen, die heutzutage an der geopolitischen Tagesordnung zu stehen scheinen, aufspringen zu können.

Endlich! Unser SAS findet in Singapur statt!

Hallo miteinander!

Mit Sicherheit wissen Sie bereits, dass wir jedes Jahr im Spätwinter oder Frühjahr eine unglaublich internationale Cybersicherheitskonferenz – unseren SAS (Security Analyst Summit) – veranstalten. Mittlerweile ist es bereits Frühling (obwohl es hier in Moskau letzte Nacht noch geschneit hat!); deshalb möchte ich die Gelegenheit nutzen und Ihnen ein bisschen mehr über das diesjährige Event verraten, das bereits in 3 Wochen stattfindet!

Der SAS ist aus 3 Gründen einzigartig:

Zum einen berichten auf dem SAS sowohl unsere Top-Experten von Kaspersky als auch weltbekannte Gast-Experten von ihren neuesten Untersuchungen, Forschungsergebnissen und anderen Cyber-News.

Zum anderen versuchen wir für unser Event auf absolut eintönige (und vor allem langweilige) Hotels oder Konferenzzentren in irgendwelchen Haupstädten zu verzichten; stattdessen fällt unsere Wahl meist auf spektakuläre und exotische Resort-Anlagen, die unseren Gästen mit jeder Menge Sonne, Strand, Meer, Sangria, Cocktails uvm. den Aufenthalt versüßen.

Und drittens: Wir haben, trotz der ernsten Themen, die sich rund um Cybersicherheit drehen, immer unglaublich viel Spaß!

SAS-2018 (Cancún)

Ich denke nicht, dass ich übertreibe, wenn ich Ihnen sage, dass der SAS bestens für seine unglaublich top-aktuellen Untersuchungs- und Forschungsberichte, die jedes Jahr aufs Neue auf dem Event geteilt werden, bekannt ist. Ich muss zugeben, dass einige Leute davon alles andere als begeistert sind und glauben, dass wir präsentierte Ergebnisse aufgrund einer spezifischen geografischen Lage oder einer möglichen Attribuierung wählen. Aus diesem Grund würden es viele tatsächlich bevorzugen, wenn wir skandalöse und beschämende Forschungsergebnisse (wie Cyber-Spionage, Cyber-Sabotage oder staatlich finanzierte Angriffe) nicht publik machen und einfach unter den Teppich kehren würden. Nein. Das kommt definitiv nicht infrage. Nur für den Fall, dass Sie die Nachricht nicht ganz verstanden haben: wir teilen Details über jeden Cybervorfall, den wir aufdecken. Ganz egal, woher er stammen mag oder welche Sprache er spricht. Die Veröffentlichung von zielgerichteten Angriffen und Cybervorfällen ist die einzige Möglichkeit, die (Cyber)Welt sicherer zu machen. Aus diesem Grund wurden auf dem SAS auch Stuxnet’s Cousin Duqu (der heimlich Informationen über europäische Industriesysteme gesammelt hat), Red October (ein Cyber-Spion, der Spionage auf diplomatische Vertretungen in Europa, den USA und der ehemaligen Sowjetunion betrieben hat) und OlympicDestroyer (ein raffinierter APT, der versucht hat, die Olympischen Spiele 2018 in Korea zu sabotieren) öffentlich gemacht. Und ich bin mir 100%ig sicher, dass es auch beim diesjährigen SAS äußerst interessant werden wird.

SAS-2016 (Teneriffa)

Wir haben unsere bisherigen SAS-Veranstaltungen bereits in Kroatien, Zypern, Málaga, Cancún, Teneriffa, Puerto Rico, der Dominikanischen Republik und St. Martin ausgerichtet (an einigen dieser Orte sogar wiederholte Male).

Da es sich dieses Jahr bereits um den 11. SAS handelt, haben wir uns gedacht, dass einige organisatorische Veränderungen angebracht wären:

Zum einen findet der diesjährige SAS in einer Metropole statt! Ja, ich weiß, was ich zu Beginn des Beitrags über typische Veranstaltungslocations gesagt habe, deshalb handelt es sich bei unserer Location auch nicht um irgendeine Stadt, sondern um eine Gartenstadt. Der diesjährige SAS findet in Stadtstaat Singapur statt! Ja, Sie haben richtig gehört. Ich bin unglaublich glücklich darüber, denn ich habe wirklich mehr als nur ein Faible für Singapur!

Zum anderen haben wir uns dazu entschieden, den SAS für ein breiteres Publikum als gewöhnlich zugänglich zu machen. Normalerweise ist das Event nämlich ausschließlich für geladene Gäste und exklusive, weltbekannte Cyberexperten gedacht. Dieses Mal möchten wir einen Teil der Konferenz – im Rahmen unserer Transparenzinitiative – für jeden zugänglich machen, der Lust darauf hat.

Vorträge, Trainingseinheiten und Workshops von führenden Experten – alles inklusive. Also, an alle, die großes Interesse daran haben, den Kampf gegen Cyberschurken selbst in die Hand zu nehmen: Melden Sie sich schnellsten an, denn einige unserer Trainingseinheiten sind bereits vollkommen ausgebucht.

PS: Ich habe die Erlaubnis bekommen, Ihnen einen kleinen Vorgeschmack auf einen der bestätigten Vorträge zu geben. Es handelt sich um eine Präsentation unseres Experten, Sergey Lozhkin, die mit 100%iger Sicherheit ein absolutes Highlight werden wird. Seltsamerweise geht es in dem Vortrag um eine der ältesten Formen der Cyberkriminalität; aber alt muss nicht gleichzeitig irrelevant heißen. Ganz im Gegenteil. Cyberkriminelle verdienen mit dieser Art des Cybercrime jährlich immer noch Milliarden von Dollar! Möchten Sie wissen, worum es geht? Ganz einfach: um Finanzbetrug! Sergey wird uns in seinem Vortrag erzählen, wie sich diese Betrugsart im Laufe der Jahre entwickelt hat, was digitaler Identitätsdiebstahl ist, wie viel eine digitale Identität im Darknet kostet, was ein „Carder“ ist und vieles mehr.

PPS: Ich kann es wirklich kaum noch abwarten und bin unglaublich gespannt, wie der diesjährige SAS werden wird!

Willkommen zum SAS-2019!

Cyber-News von der dunklen Seite: Japanische Regierung legalisiert Hacking, Forscher finden USB-Stick in Robben-Kot und vieles mehr.

Privyet alle zusammen!

Willkommen zu einem weiteren meiner gelegentlichen Cyber-News-bzw. Cyber-Schauer-Bulletins mit interessanten, brandaktuellen und manchmal auch absurden Geschichten aus der Cybersicherheitsbranche …

Staatlich geduldetets Hacking!

Seit einiger Zeit kursieren zahlreiche Behauptungen im Netz, denen zufolge die japanische Regierung plant, ganze 200 Millionen IoT-Geräte ihrer Bürger zu hacken. Ja, Sie haben richtig gelesen; und nein, dies ist kein schlechter Science-Fiction-Spielfilm. Es sieht ganz so aus, als würde die japanische Regierung Ernst machen, um sich auf diese Weise so gut wie möglich auf die Olympischen Spiele in Tokio im Jahr 2020 vorbereiten zu können. Da die Regierung hinter dem Plan steckt, gilt dieser – wie sollte es auch anders sein – natürlich als völlig legitim. Die Gadgets japanischer Bürger sollen also in Zukunft mithilfe einer der beliebtesten Methoden von Cyberkriminellen weltweit gehackt werden: mit Standardpasswörtern und Kennwortverzeichnissen. Wird also ein Gerät mit einem schwachen Passwort ausfindig gemacht, nehmen Bürokraten dieses in eine „Liste unsicherer Gadgets“ auf, die dann an den jeweiligen Internetanbieter übergeben wird. Dieser muss seine Kunden über den Vorfall informieren und sie dazu bewegen, die betroffenen Geräte durch einen Passwortwechsel sicherer zu machen. Im Vorfeld der Olympischen Spiele wird so auf die Probe gestellt, ob IoT-Geräte im Land ausreichend geschützt sind, um zu verhindern, dass sie bei Angriffen auf die Infrastruktur der Olympischen Spiele eingesetzt werden können. Die für diesen „Test“ praktizierten Methoden können selbstverständlich infrage gestellt werden, aber die Tatsache, dass die Behörden im Vorfeld etwas Konkretes für die Sicherheit des Landes tun, ist sicherlich eine gute Sache. Denn wir sollten nicht vergessen, dass die Olympischen Spiele bereits schon einmal von Cyberkriminellen ins Visier genommen wurden.

Hoopla!

Ein 18-jähriger Hacker namens Linus Henze hat ein Video veröffentlicht, in dem er auf eine alarmierende Schwachstelle in MacOS aufmerksam macht – genauer gesagt, auf eine Sicherheitslücke im Schlüsselbund-System, das die Passwörter eines Benutzers speichert und sichert. Der Teenager nutzte einen Zero-Day-Exploit zur Entwicklung einer eigenen App, mit der der gesamte Inhalt des Schlüsselbundes gescannt werden kann.

Interessanterweise möchte Linus Henze weder seine Forschungsergebnisse noch die eigene App mit dem Technologieriesen teilen, da Apple noch immer kein Bug-Bounty-Programm ausführt. Das Unternehmen hat also zwei Möglichkeiten: Entweder es verhandelt mit dem Experten (was für Apple ein beispielloser Schritt wäre), oder es zieht in Erwägung, das Problem selbst zu beheben.

In der Zwischenzeit müssen Sie, liebe Leser, keine Angst um die Sicherheit Ihrer Passwörter haben, da es absolut sichere, plattformübergreifende Passwortmanager gibt; und selbstverständlich auch Software-Unternehmen, die Bug-Bounty-Programme ausführen.

Selbst die 2FA ist vor Hackern nicht sicher

Bankkonten werden zunehmend erfolgreicher von Cyber-Dieben geplündert, wie auch der jüngste Vorfall auf Kundenkonten der britischen Metro Bank zeigt. Bei der für die Raubüberfälle verwendeten Methode wurden Textnachrichten, die zur Zwei-Faktor-Authentifizierung an die Smartphones der Kontoinhaber übermittelt wurden, abgefangen. An sich ist die 2FA zweifellos eine gute Sache, da sie Nutzern eine zusätzliche Sicherheitsebene bietet. SMS hingegen sind bei Weitem nicht die sicherste Art der Datenübertragung. So können beispielsweise Schwachstellen im SS7-Protokoll ausgenutzt werden, das von Telekommunikationsbetreibern auf der ganzen Welt verwendet wird, um die Weiterleitung von Texten und Anrufen zu koordinieren. Wenn Cyberkriminelle Zugriff auf das Mobilfunknetz eines Anbieters erlangen, können sie Nachrichten und Anrufe umleiten, ohne dass der Benutzer davon Wind bekommt. Natürlich müssen sie abgesehen vom 2FA-Code auch die Online-Banking-Anmeldedaten des Opfers kennen, aber das geht bei weitem nicht über die Fähigkeiten moderner Cyberkrimineller hinaus, die mit ausgeklügelten Techniken zur Tastatur-Spionage, Phishing-Taktiken oder Banking-Trojanern so gut wie jede Hürde meistern.

Wenn sich die Betrüger erst einmal bei einem beliebigen Banking-Account angemeldet haben, beantragen sie eine Geldüberweisung, fangen die Textnachricht mit dem Einmalcode der Bank ab und geben diesen dann ganz einfach zur Bestätigung ein; die Bank überweist das Geld dann ohne weitere Fragen, da sowohl das Passwort als auch der Code korrekt eingegeben wurden.

Was können Sie tun, um ein solches Szenario zu vermeiden? Hier ein paar hilfreiche Tipps:

  • Teilen Sie Ihre Anmeldedaten mit niemandem – nicht einmal mit einem Bankangestellten.
  • Schützen Sie Ihre Geräte mit einer zuverlässigen Antivirus-App vor Malware. Ich wüsste da eine hervorragende Lösung … aber nein, die Entscheidung überlasse ich ganz allein Ihnen.

Cyber-Spionage ausländischer Diplomaten im Iran – aber wer ist schuld?

Unsere Forscher haben kürzlich mehrere Versuche, ausländische diplomatische Vertretungen mit einer ziemlich primitiven Cyber-Spionage-Malware zu infizieren, entdeckt. Die Backdoor wird ganz offensichtlich mit der unter dem Namen „Chafer“ bekannten Hackergruppe in Verbindung gebracht. Die Gruppe „spricht“ Farsi und soll in der Vergangenheit für die Cyberüberwachung von Personen im Nahen Osten verantwortlich gewesen sein. Dieses Mal nutzten die Cyberkriminellen eine verbesserte Version der Remexi-Backdoor, die zur Fernsteuerung von Computern (als Administrator) entwickelt wurde.

Die Remexi-Software wurde erstmals 2015 entdeckt, als sie zur illegalen Überwachung von Einzelpersonen und Organisationen in der gesamten Region eingesetzt wurde. Die Windows-Targeting-Überwachungssoftware kann Tastatureingaben, Screenshots und browserbezogene Daten wie Cookies und Verlaufsdaten filtern.

In der Region wird häufig „hauseigene“ Malware verwendet – oftmals in Kombination mit öffentlichen Dienstprogrammen. Aber wer ist für die Angriffe verantwortlich? Die Verantwortlichen ausfindig zu machen wird durch die Tatsache der „hauseigenen“ Malware zusätzlich erschwert; es könnte buchstäblich jeder hinter dem Angriff stecken: Iraner oder Nicht-Iraner, die eine Operation unter falscher Flagge durchführen. Leider sind Operationen unter falscher Flagge weiterhin auf dem Vormarsch.

„Eine Seerobbe hat meinen USB-Stick gefressen“

An einem neuseeländischen Strand machte ein Tierarzt vor Kurzem einen Seeleopard ausfindig, dem es ganz offensichtlich gar nicht gut ging. Gegebene Umstände ermöglichten es dem besorgten Tierarzt, der armen Robbe eine Stuhlprobe zu entnehmen, die er zur Analyse einreichte. Anstatt des erwarteten Parasiten- oder Virenbefalls konnte er jedoch lediglich einen USB-Stick finden. Nach (hoffentlich) umfassender Desinfektion schloss der Tierarzt den USB-Stick an seinem Computer an (machen Sie das bitte nicht Zuhause nach), und raten Sie mal, was er darauf fand? Unzählige Fotos der wunderschönen Landschaft Neuseelands! Nun suchen Tierarzt & Co. den Besitzer des USB-Sticks – mit diesem Video hier. Kommen Ihnen die Bilder eventuell bekannt vor?

KL-2018: Wir wachsen weiter; ganz egal, was passiert.

Hallo zusammen!

Es ist an der Zeit, unsere Finanzergebnisse für das Jahr 2018 mit Ihnen zu teilen. Ich muss zugeben; das vergangene Jahr war nicht ganz einfach für uns: Das Nachbeben der geopolitischen Turbulenzen, die uns mit voller Wucht getroffen haben und 2017 ihren Höhepunkt erreichten, haben uns mit Sicherheit eingeholt. Aber genau an dieser Stelle wird es interessant …

Wir können Ihnen verzeihen, wenn Sie denken, dass das vergangene Jahr nur Schlechtes für uns bereithielt – denn da irren Sie sich gewaltig. Unsere Nutzer weltweit haben auch 2018 erneut auf uns gesetzt und dazu beigetragen, dass unser Business weiter gewachsen ist! Die weltweiten IFRS-Einnahmen des Unternehmens für 2018 lagen mit 726 Millionen US-Dollar ganze 4% über denen des Jahres 2017 *.

Wir können Ihnen auch verzeihen, wenn Sie denken, dass wir mit der unfairen, koordinierten Informationskampagne, die gegen uns geführt wird, ein wenig nachgelassen haben und sozusagen wieder in unseren Schützengraben zurückgezogen haben, um keine Aufmerksamkeit zu erregen. Auch in diesem Punkt haben Sie sich geirrt! Ganz im Gegenteil: Wir haben ständig neue Produkte, neue Technologien und neue Dienstleistungen entwickelt, von denen unsere Konkurrenten nur träumen können!

Aber was lief besonders gut? Nun, genau wie im vergangenen Jahr verzeichneten wir das größte Wachstum im Bereich Business, basierend auf vielversprechenden neuen Lösungen und Technologien, die Schutz vor den komplexesten Cyberbedrohungen bieten – dem sogenannten „Non-Endpoint“-Segment (+ 55%). Der Umsatz im Unternehmenssegment stieg ebenfalls um stolze 16%; beim Online-Verkauf waren es 4%.

Geografisch gesehen verzeichneten wir das größte Umsatzwachstum (27%) in der META-Region (Mittlerer Osten, Türkei und Afrika). Gefolgt von den drei Regionen (i) Russland, Zentralasien und der GUS **, (ii) APAC (Asien-Pazifik) und (iii) Europa mit einem Umsatzwachstum von jeweils 6%.

Ein Umsatzrückgang, der größtenteils auf nationale Kursverluste in der Region zurückzuführen ist, war in Lateinamerika (-11%) zu verzeichnen. Wie bereits erwartet, ging der Umsatz in Nordamerika um 25% zurück. Trotzdem können nordamerikanische Nutzer relativ gut zwischen den Zeilen lesen, wenn es darum geht, was ihnen die lokalen Medien versuchen auf die Nase zu binden. Wie sonst ließe sich der Anstieg der Online-Verkäufe von neuen Lizenzen in den USA um 8% erklären? Ich werde oft gefragt, ob wir unsere Büros in den USA schließen und den Markt ganz verlassen möchten. Auf keinen Fall! Ganz im Gegenteil: Wir planen, wieder zu wachsen und den Markt zu entwickeln.

Warum schenken uns Nutzer also ihr Vertrauen? Vielleicht liegt es daran, dass wir uns im letzten Jahr zum transparentesten Cybersicherheitsunternehmen der Welt entwickelt haben. Wir haben unseren Quellcode der Öffentlichkeit zur Verfügung gestellt und im Grunde genommen neue Transparenzstandards für die gesamte Branche gesetzt. Und egal, wie viel Quatsch die Presse über uns schreibt, bislang hat noch niemand Beweise dafür gelieftert, das wir unsererseits etwas falsch gemacht haben (Achtung, Spoileralarm! Sie werden auch nie Beweise liefern, da es keine gibt!). Mein Leben wird auf diesem Blog praktisch jeden Tag vor Ihnen offenbart. Ich habe nichts zu verbergen; meine Firma hat nichts zu verbergen! Nutzer sehen, denken, verstehen und unterstützen uns, indem sie unsere Produkte kaufen.

Abschließend möchte ich mich, wie immer, bei unseren Nutzern und Partnern bedanken, die uns glauben – und die an uns glauben! Und natürlich auch bei allen Mitarbeitern von KL, die unsere Produkte und Dienstleistungen seit vielen Jahren zu den Besten überhaupt machen. Ein Hoch auf uns! Und jetzt … zurück an die Arbeit!

* Nicht testierte IFRS-Umsatzdaten. Der angegebene Umsatz wurde auf die nächste Million gerundet. Tatsächlicher Umsatz: 725,6 Millionen US-Dollar.
** Die Region Zentralasien und GUS setzt sich aus Aserbaidschan, Armenien, Weißrussland, Georgien, Kasachstan, Kirgisistan, der Mongolei, Russland, Tadschikistan, Turkmenistan und Usbekistan zusammen.