Monatliches Archiv: Mai 2019

Mit Kaspersky Lab vom Startup zum globalen Unternehmen!

Vor ungefähr fünf Jahren haben wir mit unserem eigenen so genannten „Business Incubator“ ein sehr interessantes Projekt ins Leben gerufen. Warum? Weil es in der freien Natur unzählige tolle Ideen gibt, die gepflegt werden müssen, um sich zu etwas Großartigem entwickeln zu können. Und wir haben die Ressourcen, um genau dabei zu helfen! Also haben wir nach coolen und innovativen Ideen Ausschau gehalten und einigen Startups ihre ganz persönlichen Flügel zum Fliegen verliehen.

Eines der erfolgreichsten Beispiele für Projekte unseres „Business Incubator’s“ ist Polys; Ein Projekt, das im Jahr 2017 gestartet wurde. Polys ist eine Online-Plattform für auf der Blockchain basierende elektronische Wahlverfahren. Ich habe es bereits in diesem Blog erwähnt. Aber kurz gesagt: Die Plattform ist sicher, anonym, unhackbar und, was meiner Meinung nach am allerwichtigsten ist: Unglaublich einfach in ihrer Handhabung und für jede Art von Wahlverfahren geeignet. Ich persönlich glaube, dass man die Zukunft der Wahlen tatsächlich in den Worten „online“ und „Blockchain“ zusammenfassen kann. Polys wurde bereits offiziell von russischen politischen Parteien, Studentenorganisationen und regionalen Regierungsorganisationen eingesetzt. Und ich bin mir absolut sicher, dass dies bislang nur die ersten Schritte eines langen Weges dieses KL-Nesthäkchens waren.

Wir haben allerdings noch ein weiteres aufstrebendes „Incubator“-Projekt an Bord – Verisium. Hierbei handelt es sich um eine IoT-Plattform, die beim Kundenengagement und der Produktauthentifizierung hilft. Letzteres wird insbesondere in der Modebranche benötigt, um der Fälschung von Luxusprodukten entgegenzuwirken, und Marken die Möglichkeit zu geben, den Lebenszyklus eines Produktes zu verfolgen und Einblicke in Marketingmaßnahmen zu erhalten, um zu erfahren, wie Produkte „leben“ und performen. Verisium hat bereits mehrere gemeinsame Projekte mit russischen Designermarken gestartet – dazu gehören beispielsweise Kleidungsstücke mit auf der Blockchain basierenden NFC-Chips.

Quelle

Und obwohl unser Incubator wirklich spitzenmäßig funktioniert, wollten wir mehr. Also haben wir uns dazu entschieden, die Zusammenarbeit mit Startups und innovativen Unternehmen zu erweitern und uns dabei auf einen Bereich zu konzentrieren, den wir „relativ gut“ kennen … Cybersicherheit!

Ende Mai (also in wenigen Tagen) starten wir ein vollkommen neues Programm, das weltweit vertreten sein wird – das Kaspersky Open Innovations Program. Warum wir das tun? Ganz einfach! Um ein Ökosystem aufzubauen, das transparente Gespräche und eine fruchtbare Zusammenarbeit zwischen Unternehmen und innovativen Cybersicherheitsunternehmen auf der ganzen Welt ermöglicht.

Beginnen werden wir mit einer globalen Startup-Challenge. Dabei suchen wir nach Startups, die bereits über Produkte, MVPs oder sogar Prototypen verfügen. Wir werden nach denjenigen Ausschau halten, die bereits etwas in der Hand haben, das zum Verkauf geeignet ist, oder vielleicht sogar bereits etwas verkauft haben und ihre Verkaufszahlen steigern möchten. Da wir diese Unternehmen weder akquirieren noch in sie investieren, konzentrieren wir uns weiterhin darauf, Lösungen zu finden, die wirklich von der Einbettung oder Integration in unsere Technologien profitieren können, um jegliche Schutzfunktionen zu maximieren.

Ein weiteres Ziel wird es darüber hinaus sein, die Ergebnisse unserer Startup-Zusammenarbeit – und ihren zahlreichen neuen innovativen Produkten, Lösungen, Dienstleistungen usw. – an Unternehmen unterschiedlicher Größe auf der ganzen Welt weiterzugeben.

Wenn wir Unternehmen also weder akquirieren noch in sie investieren, was bieten wir dann tatsächlich an? Als globales Unternehmen unterstützen wir Startups bei der globalen Skalierung, indem wir ihre weitere Produkt- und Geschäftsentwicklung unterstützen. Aber was wahrscheinlich am wichtigsten ist: Wir bieten Startups die Möglichkeit, eine Partnerschaft mit uns aufzubauen und auf diese Weise mit den weltweit größten Unternehmen am selben Tisch zu sitzen.

Nehmen Sie jetzt teil und gewinnen Sie weltweite Unternehmenspräsenz!

Quelle

 

Unsere neue Emulations-Technologie: Der schlimmste Alptraum für gewiefte Malware

Haben Sie sich jemals gefragt, warum Computerviren überhaupt „Viren“ genannt werden? Tatsächlich wird das Wort „Viren“ heutzutage etwas irreführend verwendet, um sich auf so gut wie alle „Arten eines Schadprogrammes“ zu beziehen, oder um jegliche schädliche Aktivität zu beschreiben, die ein Programm auf einem Computer ausführt. Diese Informationen habe ich übrigens unserer Enzyklopädie entnommen.

Genau genommen wird ein Virus jedoch als Programmcode definiert, der sich repliziert und ausbreitet – also im Grunde genommen wie ein biologischer Virus, beispielsweise ein Grippevirus.

Das Seltsame an der ganzen Sache ist jedoch, dass der obigen Definition entsprechende Viren als solche bereits vor einigen Jahren in freier Wildbahn verschwunden sind. Heutzutage dreht sich alles um Schadprogramme, deren Fokus nicht mehr auf der Replikation, sondern vielmehr auf schädlichen Funktionen liegt, mit denen Daten von einem Computer gestohlen oder vollständig gelöscht werden können, wie zum Beispiel ein Trojaner. Doch selbst wenn man heutzutage jemanden darum bittet, „Computersicherheitstechnologien“ in Bildern darzustellen, zeigen diese Bilder häufig Dinge wie Wissenschaftler in Laborkitteln Schutzanzügen mit Reagenzgläsern in der Hand, die irgendwelche Quarantänemaßnahmen ausführen – obwohl diese nur im Umgang mit biologischen Viren benötigt werden.

Naja, ich denke, Sie haben es bereits verstanden: Computerviren sind ausgestorben. Aber die Analysemethoden, die zu ihrer Entdeckung und Desinfektion (übrigens eine weitere Entlehnung aus der Mikrobiologie!) verwendet wurden, sind erhalten geblieben, haben sich weiterentwickelt und helfen auch heute noch enorm im Kampf gegen moderne Viren Malware. Zu einer solchen „Alte Schule“-Technologie zählt beispielsweise der Emulator.

Der Emulator in Produkten von Kaspersky Lab: Deshalb ist er für jedes Antivirenprogramm unbedingt notwendig

Kurz gesagt handelt es sich bei der Emulation um eine Methode zur Erkennung zuvor unbekannter Bedrohungen, bei der eine Datei, die sich verdächtig (ungewöhnlich, atypisch) verhält, in einer virtuellen Umgebung („emulierte“ Umgebung), die einen realen Computer simuliert, ausgeführt wird. In dieser Umgebung beobachtet das Antivirus* das Verhalten der Datei; Wenn es dabei gefährliche Aktivitäten feststellt, isoliert es die Datei für weitere Untersuchungen.

Können Sie die Analogie zur mikrobiologischen Virologie erkennen? Warum sollte man einem Patienten, der möglicherweise an einer bestimmten Krankheit leidet, ein starkes Gegenmittel mit vielen Nebenwirkungen verabreichen, wenn der Patient eventuell von einer völlig anderen Erkrankung betroffen ist? Eine deutlich bessere Alternative ist es, den Virus in vitro zu emulieren, um zu sehen, was wirklich im Gange ist, um dann das entsprechende Medikament verabreichen zu können.

Die größte Herausforderung ist die gleiche wie auch in der Mikrobiologie: Es ist unglaublich wichtig, die emulierte Umgebung so real wie möglich zu gestalten. Anderenfalls könnten schädliche Dateien in der Lage sein, zu erkennen, dass es sich lediglich um ein Set-up handelt, und sich folglicherweise wie ein frommes Lamm verhalten. Wir führen bereits seit einigen Jahren Jahrzehnten Emulationen durch und sind der Konkurrenz in dieser Hinsicht wirklich um Längen voraus.

Der erste Emulator der Welt wurde 1992 von mir höchstpersönlich entwickelt. Und bereits kurze Zeit später schwärmten Experten auf der ganzen Welt von der Erkennungsrate unseres AV-Programms (ja – damals war es tatsächlich noch ein reines „Antivirus“), das die Konkurrenz in unabhängigen Tests, unter anderem dank des Emulators, weit hinter sich ließ.

Die Zeit verging und die Bedrohungslandschaft wurde immer komplizierter: Viren machten nach und nach Platz für Netzwerkwürmer, Trojaner und andere komplexe Schädlinge. In der Zwischenzeit steigerte sich auch die Vielfalt der Computer/Mobilgeräte/IoT-Gadgets und aller anderen digitalen Technologien; ebenso wie die Kompetenz des Emulators. Wir integrierten ihn in unsere KSN Sicherheitscloud, brachten ihm neue Programmiersprachen bei, und machten ihn mit neuen Browsern und anderen OS-Objekten bekannt – und das alles, um noch nie zuvor gesehenen Arten von Malware automatisch auf die Schliche zu kommen. Keine AI BS, lediglich viel und vor allem intelligente Arbeit – also alles, was es braucht, um echte HuMachine-Innovationen zu entwickeln :).

Was ist HuMachine: Maschinelles Lernen in Kombination mit Big Data, Threat Intelligence und Expertenanalysen

Heutzutage können sich nur wenige Mitbewerber mit einer solchen Technologie rühmen, was nicht verwunderlich ist: Die Emulation ist eine sehr schwierige Aufgabe, die ein langjähriges Know-how, eine zeitaufwändige Produktintegration und eine ständige Weiterentwicklung erfordert. Viele Neulinge in der Cybersicherheitsbranche investieren jedoch lieber in Bla-bla-bla-bla-Marketing. Kurzfristig kann dieser Ansatz die Geschäftsentwicklung erheblich vorantreiben; Doch Nutzer lassen sich nur eine gewisse Zeit etwas vorgaukeln. Früher oder später wird es zu einem gehörigen Missgeschick kommen – und das war’s. Anders ausgedrückt: Wenn ein Cybersicherheitsunternehmen über einen eigenen Emulator verfügt, können Sie defintiv davon ausgehen, dass sowohl das Know-how als auch die Reife des Entwicklers beeindruckend sind. Und umgekehrt: Kein Emulator = wenig Know-how und wenig Erfahrung.

Aber ich schweife vom Thema ab …

Obwohl unser Emulator kontinuierlich verbessert wurde, haben auch die Cyberschurken auf der anderen Seite der Barrikaden leider keine Däumchen gedreht. Ganz im Gegenteil: Sie haben ihre Geschäfts- und Cyberspionage-Operationen aktiv geschützt, und dazu gehört auch der Versuch, sich gegen unseren Emulator zu schützen.

Die fortschrittlichsten Bedrohungsakteure verwenden eine Reihe von Anti-Emulator-Tricks, um die „Reagenzglas“ -Umgebung zu erkennen – beispielsweise durch das Ausführen einer undokumentierten Funktion, die Authentizitätsüberprüfung von Anforderungen zum Ändern von Prozessor-Registern, die Analyse von Fehlercodes, die Suche nach spezifischem Code im Speicher, den Einsatz von „logischen Bomben“, die den Emulator in eine Endlosschleife versetzen, und so weiter. Sobald die Malware etwas Verdächtiges vernimmt, stoppt sie jegliche schädliche Funktionen.

Da wir uns diesen Taktiken aber sehr wohl bewusst sind, bleiben wir Cyberkriminellen weiterhin einen Schritt vorraus, indem wir unseren Emulator ständig optimieren und auch auf andere Art und Weise stetig verbessern (hauptsächlich durch die Reduzierung der Ressourcenintensität). Um ihn zu beschleunigen, verwenden wir beispielsweise verschiedene Begrenzer, Optimierer und Konfigurationsprofile, die den Emulator unter bestimmten Bedingungen sogar vollständig deaktivieren können, wenn es sich bei der Verzögerung um einen BSoD handelt.

In der Zwischenzeit haben uns unsere Patent-Krieger neulich gute Nachrichten von der Emulationsfront überbracht: Wir haben ein Patent (US10275597) für einen Programmcode-Emulator erhalten, der unbekannte Objekte interpretieren kann! Soweit ich weiß, gibt es ein solches Feature in keinem unserer Konkurrenzproduke: Um vor den Anti-Emulator-Tricks von Malware zu schützen, müssen Wettbewerber ihren gesamten Emulator überarbeiten, was selbstverständlich kein schneller Prozess ist. Wir haben unseren Emulator allerdings darauf geschult, sich aus einer lokalen Datenbank einfach selbst zu aktualisieren! Eine sehr nützliche Funktion, und es gibt keinen Grund, Ihnen nicht davon zu berichten :).

Einige Dateien werden allerdings nicht im Maschinencode, sondern direkt im Quellcode verteilt. Um sie auf einem Computer ausführen zu können, ist deshalb ein Interpretierprogramm notwendig (z. B. JavaScript oder VBA), das den Code in Echtzeit in eine maschinenfreundliche Sprache übersetzt. Und auch in derartigen Dateien befindet sich häufig Malware.

Um unbekannte Bedrohungen dieser Art zu erkennen, haben wir vor vielen Jahren einen Programmcode-Emulator entwickelt, der Dateien „in einem Reagenzglas“ überprüft, bevor sie ausgeführt werden. Das gesamte Interpretierprogramm zu emulieren ist jedoch zu ressourcenintensiv: Die Verzögerung bei der Verarbeitung von Webseiten mit Skripten würde gleichzeitig auch viele frustrierte Internetnutzer bedeuten. Daher erstellen Emulatoren in der Regel eine Kompromissversion, die auch in Hinsicht auf Leistung und Qualität des Schutzes akzeptabel ist. Aber was passiert, wenn der Emulator auf ein unbekanntes Objekt, eine unbekannte Methode oder eine unbekannte Funktion im Code stößt, deren Interpretation für eine vollwertige Analyse der Datei unbedingt erforderlich ist?

Wir haben dieses Problem alternativ gelöst – und zwar mithilfe eines intelligenten Interpretierprogramms, das in der Lage ist, schnell zu lernen, wie man solche Objekte emuliert. Während eines Updates via KSN-Cloud erhält das Produkt Hilfscode in der Sprache des zu analysierenden Objekts (JavaScript, VBA, VB Script, AutoIt …) und kehrt dann mit seinem neuen Wissen zur Überprüfung der Datei zurück. In besonders schwierigen Fällen, wird die Aufgabe automatisch an unsere Analysten weitergeleitet, die den notwendingen Hilfscode entwickeln und dann umgehend zur Datenbank hinzufügen.

Auf diese Weise steht den Benutzern nicht nur eine leistungsstarke, sondern auch eine extrem schnelle Technologie zur Verfügung, die im Handumdrehen auf Cyberbedrohungen reagieren kann – ohne auf den Re-Release des gesamten Emulators zu warten. Bingo!

* „Antivirus“ ist ein weiterer Archaismus der Computerviren-Ära. Moderne Virenschutzprogramme schützen nicht nur vor Viren, sondern vor allen Arten von Malware. Sie enthalten darüber hinaus viele andere nützliche Sicherheitsfunktionen: zum Beispiel einen Passwort Manager, ein VPN, einen angemessenen Kinderschutz, Back-ups und vieles mehr. Im Grunde genommen sollte ein gutes „Antivirus“ heutzutage eigentlich als „Anti-Dies, Anti-Das, Anti-Alles, das mich, meine Familie, all unsere Geräte und all unsere Daten schützt – und dazu mit jeglichem Schnickschnack ausgestattet ist“, heißen.

Flickr Foto-Stream

Instagram

Cyber-News von der dunklen Seite – SAS 2019.

Hallo zusammen!

Es folgt ein weiterer Beitrag aus meiner Serie „gelegentliche iNews, alias „Cyber-News von der dunklen Seite“ – dieser Artikel beschäftigt sich mit einigen der Vorträge, die ich mir letzten Monat auf unserem jährlichen Security Analyst Summit in Singapur ansehen durfte.

Unsere jährliche SAS-Konferenz zeichnet sich vor allem durch die höchstinteressanten Vorträge unserer geladenen Experten aus aller Welt aus, bei der Analysten, im Gegensatz zu anderen geopolitisch korrekten Konferenzen, Entdeckungen über jede beliebige Cyberbedrohung mit dem Publikum teilen; und das völlig unabhängig von dem Ursprung dieser Bedrohungen. Denn Malware ist und bleibt Malware, und Nutzer haben ein Recht darauf, vor allen ihrer Arten geschützt zu werden, ohne Rücksicht auf die erklärte Bedeutung der Absichten der dahinterstehenden Organisationen, Gruppen etc. Erinnern Sie sich noch an den „Bumerangeffekt„?

Und wenn bestimmte Medienkanäle als Reaktion auf diese prinzipientreue Position offensichtlich Lügen über uns verbreiten, dann sei es so. Und es sind nicht nur unsere Prinzipien, die angegriffen werden, weil wir praktizieren, was wir predigen: Wir sind der Konkurrenz weit voraus, wenn es um die Anzahl gelöster Cyberspionage-Operationen geht. Und wir planen nicht, unsere Einstellung und Position in irgendeiner Weise zum Nachteil unserer Nutzer zu ändern.

Im Anschluss folgt eine Zusammenfassungen der großartigsten Untersuchungen und Analysen, die Cyber-Experten aus aller Welt auf dem diesjährigen SAS vorgetragen haben. Darf ich vorstellen? Die interessantesten, schockierendsten, gruseligsten und verrücktesten Vorträge der SAS-Konferenz 2019:

1. TajMahal

Im vergangenen Jahr haben wir einen Angriff auf eine diplomatische Organisation aus Zentralasien entdeckt. Natürlich sollte es für eine solche Organisation keine Überraschung sein, dass Cyberkriminelle besonderes Interesse an ihr zeigen. Es ist kein Geheimnis, dass Informationssysteme von Botschaften, Konsulaten und diplomatischen Vertretungen für andere Staaten und ihre Geheimdienste oder generell für Bösewichte mit ausreichenden technischen Fähigkeiten und finanziellen Mitteln schon immer von Interesse waren. Ja, wir alle haben Spionageromane gelesen. Aber in diesem Fall gab es eine interessante Neuigkeit: Und zwar wurde für die Angriffe auf diese Organisation ein zweiter, wahrhaftiger ‚TajMahal‘ errichtet – und zwar in Form einer APT-Plattform mit unzähligen Plug-ins (das Ausmaß war selbst für uns überraschend), die für jegliche Arten von Angriffsszenarien unter Verwendung verschiedener Tools verwendet wurden.

Die Plattform besteht aus zwei Hauptpaketen: Tokyo und Yokohama. Bei Tokyo handelt es sich um die primäre Backdoor, die darüber hinaus die Zustellfunktion des letzteren Schadprogramms erfüllt. Yokohama hat eine sehr umfangreiche Funktionalität: den Diebstahl von Cookies, das Abfangen von Dokumenten aus der Druckerwarteschlange, die Aufzeichnung von VoIP-Anrufen (einschließlich WhatsApp und FaceTime), das Erstellen von Screenshots und vieles mehr. Das TajMahal-Framework ist seit mindestens fünf Jahren aktiv und seine Komplexität lässt vermuten, dass es entweder noch weitere, bisher unbekannte Opfer oder weitere Versionen dieser Malware gibt – oder möglicherweise beides.

Weitere Details zu diesem ausgereiften APT-Framework finden Sie hier.

2. Gaza-Cybergang

Wir haben erstmals im Jahr 2015 über die Gaza-Cybergang berichtet, obwohl dieses arabischsprachige, politisch motivierte Kollektiv interagierender Gruppen von Cyberkriminellen bereits seit 2012 aktiv ist. Ihren Fokus legt(e) die Cybergang dabei hauptsächlich auf Ziele im Nahen Osten und in Zentralasien. Die Mehrheit der Angriffe fanden in den palästinensischen Gebieten, Jordanien, Israel und dem Libanon statt. Besonderes Interesse zeigte die Gaza-Cybergang bislang an Botschaften, Regierungsstellen, Medien und Journalisten, Aktivisten, politischen Parteien und Einzelpersonen sowie Bildungseinrichtungen, Banken, Gesundheitsorganisationen und Vertragsunternehmen.

Die Gruppe besteht aus mindestens drei Untergruppen, die ähnliche Absichten und Zielsetzungen verfolgen, aber unterschiedliche Werkzeuge und Techniken einsetzen. Über zwei der Gruppen – mit erstzunehmenden technischen Fähigkeiten – haben wir bereits hier und hier berichtet. Die dritte Untergruppe – MoleRATs – wurde erstmals auf dem SAS 2019 vorgestellt und ist maßgeblich an der Operation SneakyPastes beteiligt gewesen (SneakyPastes leitet sich von der starken Nutzung von Paste-Sites durch die Angreifer ab).

Ihre mehrstufigen Angriffe beginnen mit maßlosem Phishing: eine E-Mail zu einem aktuellen politischen Thema, die scheinbar irgendeine Art von Verhandlungsprotokollen oder Korrespondenzen einer scheinbar legitimen, respektierten Organisation enthält. Ein ungeschulter Büroangestellter öffnet derartige Anhänge, ohne darüber nachzudenken. Sobald dieser Fall eintritt, startet die auf den ersten Blick harmlose (aber tatsächlich mit Malware versehene) Datei eine Reihe von Infektionsversuchen. Sobald sich die Cyberkriminellen im System befinden, verbergen sie die Präsenz der Malware vor AV-Lösungen und gehen dann schrittweise in weitere Angriffsstadien über.

Schlussendlich wird auf dem Zielgerät ein RAT installiert, der nicht nur ein Ass im Ärmel hat: er kann Dateien ganz einfach herunter- und hochladen, Anwendungen ausführen, nach Dokumenten suchen und Daten verschlüsseln. Er findet zudem alle .pdf-, .doc-, .docx-, und .xlsx-Dateien auf dem System, speichert diese in Ordnen für temporäre Dateien, klassifiziert, archiviert und verschlüsselt diese und sendet sie dann über Domain-Strings an den C&C-Server. Und so, meine Damen und Herren, funktioniert Spionage im Jahr 2019!

Sie möchten mehr darüber erfahren? Kein Problem!

3. Finanzbetrug und digitale Klone

Wenn Sie glauben, dass all unsere Untersuchungen lediglich Angriffe betreffen, die scheinbar direkt aus einem Detektiv-, Spionage- oder Sci-Fi-Roman stammen, denken Sie noch einmal genauer darüber nach. Denn die dritte Untersuchung, von der ich Ihnen erzählen möchte, betrifft unglaublich viele Menschen. Eine ganz simple Form des Cybercrimes, die so alltäglich geworden ist, dass die Medien einfach nicht mehr darüber berichten. Obwohl das mehr als angebracht wäre! Die Rede ist vom guten alten Finanzbetrug. Laut einer zuverlässigen Quelle beliefen sich die Verluste durch Kreditkartenbetrug im Jahr 2018 auf rund 24 Milliarden US-Dollar. Ja -Sie haben richtig gelesen : M-I-L-L-I-A-R-D-E-N! Zum Vergleich: Das jährliche Budget der NASA liegt bei rund 21,5 Milliarden US-Dollar, während die Olympischen Spiele in Tokio 25 Milliarden Dollar kosten!

Für den heutigen, modernen Kreditkartenbetrug wurde ein neuer Begriff erfunden: Carding. Obwohl Banken und Zahlungssysteme dem Thema Sicherheit besondere Aufmerksamkeit schenken, entwickeln die Betrüger ständig neue Tools, um Geld über Bankkarten zu stehlen.

Unser Experte Sergey Lozhkin berichtete auf dem SAS 2019 über eine völlig andere Art des Finanzbetrugs. Er entdeckte einen ganzen Markt namens Genesis im Darknet, auf dem gestohlene „digitale Fingerabdrücke“ gekauft und verkauft werden. Hierbei handelt es sich im Wesentlichen um Datenpakete mit dem Online-Verhalten eines Nutzers sowie seinem digitalen Fingerabdruck – der Verlauf besuchter Seiten, Informationen über das Betriebssystem, den Browser und so weiter. Wofür all das benötigt wird? Nun ja, es sind eben Daten wie diese, die von verschiedenen Online-Systemen zur Nutzerverifizierung zum Schutz vor Betrug verwendet werden. Wenn also ein digitaler Fingerabdruck mit dem vorher verwendeten Fingerabdruck übereinstimmt, „erkennt“ die Sicherheitslösung die Person und genehmigt die Transaktion – beispielsweise einen Kauf im Onlineshop oder eine Überweisung via Online-Banking. Der Preis für einen solchen digitalen Fingerabdruck variiert je nach Datenvolumen zwischen fünf und 200 US-Dollar.

Wie werden solche Fingerabdrücke gesammelt ? Mit der Verwendung verschiedener Schadprogramme. So kann sich Malware beispielsweise auf Ihrem Computer einschleichen und unbemerkt alle erreichbaren Daten sammeln – während Sie davon rein gar nichts bemerken.

Zudem haben Betrüger eine andere Methode entwickelt, um Schutzlösungen zu täuschen und zu umgehen: sie geben sich vor dem System als völlig neuer Nutzer aus. Dies kann mithilfe eines speziellen Dienstes namens Sphere erfolgen, mit dem eine digitale ID samt ihrer Parameter zurückgesetzt werden kann. Somit ist der Kriminelle in den Augen der Schutzlösung völlig „clean“.

Was können wir dagegen tun? Zum einen müssen sich Banken kontinuierlich über die neuesten Cyber-Betrugsmethoden informieren und ausnahmslos die Zwei-Faktor-Authentifizierung verwenden. In Zukunft werden sie wahrscheinlich auch noch biometrische Daten, Fingerabdrücke, Iriserkennung usw. als zusätzliche Schutzmaßnahme auf ihre Liste schreiben müssen. In der Zwischenzeit möchten wir Ihnen zum wahrscheinlich zehntausendsten Mal folgenden Rat mit auf den Weg geben: Gehen Sie vorsichtig mit Ihren Daten (Passwörter, Bankkartennummern, Verwendung von Computern an öffentlichen Orten und Gebrauch von öffentlichen WLAN-Hotspots) um. Und verwenden Sie eine gute Sicherheitslösung, die alle schädlichen Faktoren erkennt, die es möglicherweise auf Ihre digitale Identität abgesehen haben.

4. „The secret power of YARA“

Gegen Ende des diesjährigen SAS hielt Vitaly Kamluk eine Pecha-Kucha-Präsentation (20 Folien á 20 Sekunden) über die Fähigkeiten von YARA (eine Art Suchmaschine, die nach Attributen in ausführbaren Dateien sucht).

In diesem Vortrag namens „The Secret Power of YARA“ wandte er seine speziellen Jedi-Kräfte auf dieses spezifische Tool an… das Endergebnis war ein ASCII-Art-Kunstwerk! Das Publikum konnte seinen Augen kaum trauen. Aber das war noch längst nicht alles – unter Anwendung zusätzlicher Magie, übernahm im selben ASCII-Regime plötzlich der erste Teil der Computerspiel-Serie DOOM den Bildschirm! Das Publikum war gebannt, hypnotisiert, fasziniert … Sehen Sie selbst!

5. Was, wenn …

Im abschließenden SAS-Vortrag gab der Direktor unseres GReAT, Costin Raiu, dem Publikum die Gelegenheit, über theoretisch mögliche Methoden der Malware-Penetration und über mögliche Verschleierungsmethoden auf tiefster Hardwareebene nachzudenken. Was machen wir, wenn diese Hypothesen tatsächlich zur Realität werden? Und wie kann die Cybersicherheitsbranche darauf reagieren? Darum ging es bei Costins Präsentation – eine Art Benutzerhandbuch für Start-ups auf diesem Terrain.

Das waren die „Greatest Hits“ des SAS 2019. Wir freuen uns schon auf nächstes Jahr!

PS: Auf der SAS-Konferenz 2019 wurden rund 70 Präsentationen gehalten, und dies hier waren lediglich die „Auserwählten“, die es ins Finale geschafft haben. Ich könnte Ihnen nicht von allen Vorträgen auf diesem Blog berichten, aber in Kürze sollte das vollständige Konferenzvideo auf unserem YouTube-Kanal zur Verfügung stehen!

Gib deine E-Mail-Adresse