17 Sep 2012
Die Gefahren von Exploits und Zero-Days, und wie man sie verhindert.
Ich muss Ihnen nicht erst sagen, dass das Internet ein sehr interessantes Phänomen, und für alle, die es verwenden, äußerst nützlich ist. Gleichzeitig bedeutet seine Offenheit und Unkontrollierbarkeit aber, dass auch ein Haufen Unangenehmes den Nutzer dort erwartet – nicht nur auf diesen dubiosen Porno/Warez-Seiten, sondern auch auf den legitimen, netten, könnte-keiner-Fliege-was-zu-Leide-tun-Seiten. Und schon seit mehreren Jahren hat das Internet einen festen Platz auf der Liste der Quellen für Cyber-Infektionen: Unseren Daten zufolge wurden 33 Prozent aller Nutzer im Jahr 2012 mindestens einmal über das Web angegriffen.
Wenn man tiefer gräbt und bis zur Wurzel des Problems vordringt, trifft man immer auf die drei gleichen Kategorien der Bedrohungen: Trojaner, Exploits und schädliche Anwendungen. Unserem Cloud-basierten Kaspersky Security Network (KSN-Video, Details) zufolge, sieht die Situation so aus:
Die zehn Prozent in der Grafik gehören zu den so genannten Exploits (ihre Zahl ist eigentlich noch höher, da viele Trojaner eine Schwäche dafür haben, ebenfalls Schwachstellen – also Exploits – auszunutzen). Exploits sind für nicht-Profis meist exotische Besonderheiten, für Sicherheitsspezialisten dagegen ein richtiger Albtraum. Diejenigen von Ihnen, die eher der zweiten Kategorie angehören, können jetzt nach unten scrollen. Für die anderen, hier eine kleine Lektion über Exploits…
Software wird von Menschen geschrieben, und Menschen vergessen Dinge und machen Fehler. Zudem wurde bis jetzt noch keine „perfekte“ Programmiermethode erfunden. Daher hat praktisch jedes Stück Software Schwachpunkte – das sind Fehler im Code, durch die Angreifer die Kontrolle eines Systems übernehmen oder es durcheinander bringen können. Und der Code, der solche Schwachpunkte im Programm ausnutzt heißt… welch Wunder: Exploit.
Und welche Programme werden am häufigsten von Exploits angegriffen? Hier unsere Liste für 2011:
(So viel Stress mit Adobe Reader, ne? Der eigentlich nichts macht, außer PDFs anzuzeigen, wie viele andere Programme auch… ach, es ist so unmenschlich.)
Schwachpunkte können von Exploits benutzt werden oder auch nicht, das kommt auf Verbreitung und die Fuktion der Software an – und darauf, ob die Cyber-Halunken ihr Aufmerksamkeit schenken. Ein typisches Beispiel ist der im April entdeckte Mac-Trojaner Flashback. Der Schwachpunkt lag in Java, wurde gleich Anfang des Jahres entdeckt, aber der Exploit für Mac tauchte erst einen Monat später auf. Nur weil man keine Schwachpunkte in einem Programm findet, bedeutet das nicht, dass es keine gibt. Es bedeutet nur, dass i) das Programm von zu wenig Menschen benutzt wird, als dass dort ein Schwachpunk gefunden werden kann, oder ii) es ist ein so unwichtiges Programm, dass es die Mühe nicht Wert ist (die der Cyber-Bösewichte), dort nach Fehler zu suchen.
Das typische Szenario verläuft so: Ein Schwachpunkt wird von einem Forscher entdeckt; dieser wendet sich an die Entwickler. Der Entwickler flickt den Schwachpunkt so schnell wie möglich mit – ja, genau: einem „Flicken“. In der IT englisch als „Patch“ bezeichnet. Erst danach bemerkt die Cyber-Unterwelt das Problem, schreibt einen Exploit und versucht jene Nutzer anzugreifen, die den Patch noch nicht installiert haben.
Ich beschreibe damit ein „typisches“ Szenario, aber vielleicht sollte ich es eher als ein Szenario beschreiben, wie wir es gerne jedes Mal hätten (insbesondere mit einem Zeitunterschied zwischen der Entdeckung des Schwachpunkts und dem Auftauchen des Exploits). Ich sage dies, denn meist tauchen der Exploit und die ersten Meldungen über den Schwachpunkt gleichzeitig auf. Oder der Entwickler (wie zum Beipiel Apple im Fall von Flashback) braucht zu lange bei der Veröffentlichung des Patches, und so taucht der Exploit in freier Wildbahn auf, bevor ein Patch dafür erhältlich ist. Ein Exploit für den es noch keinen Patch gibt, nennt sich Zero-Day Exploit (null Tage nach dem Patch, also vor Veröffentlichung eines Patches). Zero-Day Exploits (auch 0-Day) sind Exploits/Angriffe der schlimmsten Sorte.
Hier ein paar interessante Infos über die geographische Verteilung der Quellen von Web-Angriffen, von denen die meisten Exploits benutzen:
Der Ursprung eines Angriffs zeigt nicht unbedingt an, dass der Angreifer auch von dort ist. Im Gegenteil. Die Cyberkriminellen können auch aus dem Ausland leicht eine Seite für eine Tarnfirma oder eine nicht-existierende Person registrieren und ihre kriminellen Machenschaften von dort aus leiten.
Nun, zwei der wichtigsten Angriffmethoden, die von Exploits ausgenutzt werden sind:
- Drive-by-Downloads (85 Prozent aller Angriffe kommen aus dem Internet). Dabei werden Sie auf eine Webseite gelockt, mit der die Cyberkriminellen den Browser auf Schwachpunkte absuchen. Wenn sie eine Lücke finden, infizieren sie darüber den Computer. Diese Methode wird oft in Massenangriffen für maximalen Schaden benutzt. Ungefähr in einem Drittel der Fälle ist die angreifende Seite sogar legitim und von einer respektablen Organisation, allerdings gehackt und mit einem besonderen bösartigen Code infiziert.
- Gezielte Angriffe, so genannte Targeted Attacks. Hier öffnet ein Nutzer ahnungslos (törichterweise? :)) eine infizierte Datei (etwa eine PDF-Datei), die dann die installierte Software mit der sie geöffnet wird nach Schwachpunkten durchsucht (bei einem PDF zum Beispiel der Adobe Reader). Findet sie eine Lücke, infiziert sie den Computer darüber. Die Datei selbst kann über verschiedene Wege abgeliefert werden – per E-Mail, aus einem Web-Archiv, über USB-Sticks, etc. Gezielte Angriffe sind auf Präzisionsattacken mit einem ganz bestimmten Ziel – wie die Raketen, die diese Range Rovers am Ende von Syriana auslöschen – keine Massenangriffe auf alles und jeden (wie Flächenbombardement). Gezielte Angriffe werden manchmal auch als Advanced Persistent Threats (kurz APT) bezeichnet. Sie zielen auf bestimmte Personen oder Organisationen ab und unterscheiden sich von anderen Angriffen durch den Einsatz anspruchsvoller Social-Engineering-Techniken.
Und jetzt kommt’s: Unseren Daten zufolge ist der Schaden durch die 10 Prozent an Exploits genauso hoch wie der Schaden, den die 83 Prozent Trojaner anrichten! Zum Beispiel gibt es den Exploit Blackhole, der momentan am weitesten verbreitet ist und die Fähigkeit hat, über 30 Prozent der Computer, die eine bestimmte Seite besuchen, zu infizieren (je nach Traffic, installierter Software und der Sicherheitseinstellungen auf dem Computer). Kein einziger Trojaner könnte von solchen Zahlen auch nur träumen!
Wir kämpfen seit Jahren gegen Exploits, mit einer beeindruckenden Erfolgsquote. Unsere Produkte nutzen spezielle Datenbanken mit den Signaturen bekannter Exploits und bösartiger URLs, durch die Computer infiziert werden, aber auch besondere heuristische und proaktive Technologien, um auch zukünftige Herausforderungen durch diese Schädlinge aufzuspüren. Wird diese Art bösartiger Code gefunden, wird das Programm blockiert, der Nutzer und der Systemadmin werden gewarnt, und die Akitivitäten des Schädlings auf dem Computer werden rückgängig gemacht. Wir bieten auch ein sehr nützliches Feature für die On-Demand-Suche nach Schwachstellen:
Und jetzt kommt ein Spoiler über ein richtig leckeres Häppchen bei der neuen Version von KIS/KAV. Und mit der Veröffentlichung der neuen Versionen unserer Unternehmens-Lösungen (Endpoint Security) wird es auch für Firmennutzer erhältlich sein. Wie Sie sich denken können, hat diese Feature etwas mit dem Schutz vor Exploits zu tun. Um genau zu sein, vor unbekannten Exploits – genau: Zero-Days!
Ich werde oft gefragt, wie es überhaupt möglich ist, sich vor etwas Unbekanntem zu schützen. Meine Antwort ist immer: Indem wir die sich entwickelnden Bedrohungen genau beobachten. Wir haben ungefähr 1.000 herausragende Forscher und Entwickler in der ganzen Welt, die Bedrohungen simulieren, Trends erforschen und generell schräge und wunderbare Wege gehen, um über die Welt von Morgen und die Sicherheit Ihres Computers darin nachzudenken.
Wir haben bereits eines der fortschrittlichsten, auf mehreren Ebenen agierenden Arsenale für den Kampf gegen zukünftige Bedrohungen – Emulationen, Heuristik, HIPS, Behaviour-Blocker, Cloud-basierte Reputationsdienste, White-Listing, Anwendungsfilter und eine ganze Reihe anderer vorbeugender Technologien. Und zudem ist „unbekannt“ in der Computer-Sicherheitssprache nicht so mysteriös und unvorstellbar wie im wirklichen Leben!
Natürlich gibt es immer die Möglichkeit, dass eine vollkommen neue Epidemie auftaucht, die niemand vorhersehen und gegen die man auch nicht vorbeugen konnte. Aber meistens handelt Bösartiges nach einem bestimmten Verhaltensmuster und nutzt spezifische Werkzeuge. Und dadurch können wir sie ertappen! Und wie die Erfahrung zeigt, tun wir das mit einigem Erfolg.
Also, was ist dieses leckere Häppchen Schutz vor unbekannten Exploits in KIS/KAV 2013?
Das hier: Wir haben das Modul System Watcher zur Systemüberwachung (beziehungsweise zur Überwachung der Aktivität von Programmen) mit der neuen Automatic-Exploit-Prevention-Technologie (AEP) stark verbessert. Der Name selbst sagt schon alles: Exploits werden automatisch verhindert. Aber wie das gemacht wird, bedarf einer Erklärung.
Eigentlich ist AEP eine Dachmarke für ein ganzes Spektrum von Anti-Exploit-Funktionen. Erstens haben wir unserer Datenbank besondere Verhaltensmuster von Exploits hinzugefügt. Der System Watcher nutzt diese Schablonen, um die Tätigkeit bestimmter Programme (wie zum Beispiel des Browsers) zu überwachen, verdächtige Aktivität aufzuspüren und sie zu blockieren. Zweitens verfolgt das System Daten bis zu deren Quelle zurück und wirkt damit Drive-by-Downloads entgegen. Zudem integrieren wir den Attachment Execution Service (AES) und können unterscheiden, ob Dateien mit oder ohne dem Wissen des Nutzers erstellt wurden. Drittens nutzen wir bei den kritischsten Programmen und Extra-Modulen, (etwa bei Plugins für Browser) die ASLR-Technologie. Bei jedem Einsatz verändert ASLR die Struktur des Adressraums von angegriffenen Programmen per Zufall. Dadurch können Exploits, selbst wenn sie durch eine Schwachstelle eindringen, den bösartigen Code nicht installieren, da sie seinen Speichereort nicht kennen!
In unseren Tests zeigt AEP beeindruckende Resultate. Wir haben es mit allen möglichen Exploits für Flashplayer, QuickTime, Adobe Reader, Java und andere Programme bombardiert – und 100 Prozent davon wurden entdeckt! Besonders toll war die Entdeckung eines kürzlich veröffentlichten, bekannten Exploits für den Windows Media Player: Der Exploit ermöglicht die Infizierung eines Computers durch speziell erstellte MIDI-Musikdateien und funktioniert auf allen Versionen von Windows ab Windows XP. Dank AEP fangen wir 100 Prozent der Exploits von Blackhole ab, während der Industrie-Durchnschitt nur bei 94 Prozent liegt.
Zum Abschluss noch ein paar Sicherheits-Tipps – zustätzlich zu den oben erwähnten Technologien.
Wie es so schön heißt: Vetrauen Sie ihrem Anti-Virus, aber riskieren Sie trotzdem nichts. Damit gemeint sind ganz einfache Regelen wie „vor dem Essen die Hände waschen“. Ein Malware-Angriff oder ein Exploit wie oben beschrieben ist über jede dubiose Seite möglich. Denken Sie zweimal darüber nach, bevor Sie auf diese Porno- oder Warez-Seiten gehen – sind sie das Risiko Wert? Und vergesssen Sie nie die goldene Regel der Computerhygiene: Öffnen Sie niemals verdächtige Dateien.