Die Top-5 der K-Technologien, die uns ins Global Top-100-Innovators-Ranking katapultiert haben

Wir haben es schon wieder geschafft! Zum zweiten Mal gehören wir zu den Derwent Top 100 Global Innovators und damit zu einer renommierten Auswahl an globaler Unternehmen, die auf der Grundlage ihres Patentportfolios erstellt wurde. Renommiert, da auf der Liste Unternehmen wie Amazon, Facebook, Google, Microsoft, Oracle, Symantec und Tencent stehen. Die Liste ist nicht nur eine Auswahl scheinbar patenttechnisch starker Unternehmen: Sie wurde auf der Grundlage der hervorragenden analytischen Arbeit von Clarivate Analytics erstellt, die mehr als 14.000 (!) Firmenkandidaten nach allen möglichen Kriterien bewertet haben. Das wichtigste Kriterium die Zitierhäufigkeit, auch „Einfluss“ genannt, ist. Und als ob das noch nicht streng genug wäre, ist in fünf Jahren die Mindestanforderung für die Aufnahme in die Top-100 bei diesem Kriterium um etwa 55% gestiegen:

Die Zitierrate ist, um etwas genauer zu sein, der Grad des Einflusses von Erfindungen auf die Innovationen anderer Unternehmen. Für uns geht es darum, wie oft wir von anderen Erfindern in ihren Patenten erwähnt werden. Und formell in einem Patent eines anderen Unternehmens erwähnt zu werden, bedeutet, dass Sie sich etwas Neues, wirklich Innovatives und Hilfreiches ausgedacht haben, was wiederum von der von anderen Firmen für deren „etwas Neues, wirklich Innovatives und Hilfreiches“ genutzt wird. Natürlich handelt es sich hierbei um ein solch etabliertes System der Anerkennung von Innovationen, d. h. hier ist kein Platz für diejenigen, die mit bloßen Mist-Patenten daherkommen. Und das ist der Grund, warum keiner von ihnen auch nur annähernd in die Top-100 kommt. Inzwischen sind wir direkt drin – unter den Top 100 der weltweit innovativsten Unternehmen, die den technologischen Fortschritt wirklich vorantreiben.

Wow, das fühlt sich gut an. Es ist wie ein Schulterklopfen für all unsere harte Arbeit: eine echte Anerkennung für die Beiträge, die wir geleistet haben. Hurra!

Sie wissen ja wie ich bin, immer innovativ und neugierig. Deshalb fragte ich mich, welche unsere fünf meist-zitierten, patentierten Technologien (und deshalb auch die einflussreichsten Patente) sind. Also habe ich einen Blick darauf geworfen. Und hier die Ergebnisse:

Fünfter Platz – 160-mal zitiert: US8042184B1 – „Schnelle Analyse des Datenstroms auf Malware“

Dieses Patent umfasst unsere Technologie, die Datenströme, die über Netzwerk-Gateways laufen, schnell scannt. Sie führt eine Echtzeit-Analyse von Datenstrom-Inhalten getrennt, Segment für Segment, pro Format durch (z.B. Webseiten, Dateien, E-Mails mit Anhängen usw.) und überträgt dann jedes einzelne Element für die entsprechende spezialisierte Verarbeitung. Das bedeutet, dass das gesamte übertragene Datenobjekt nicht zusammengesetzt werden muss. Dies schont die Hardwareressourcen und die Scan-Geschwindigkeit wird stark erhöht, was die Wahrscheinlichkeit erhöht, Cyber-Bedrohungen zu finden. Diese K-Technologie ist lizenziert an Allied Telesis, D-Link, Nokia, ZyXEL und viele andere Entwickler und Anbieter. Außerdem wird sie in den Patenten von IBM, Webroot, FireEye, Trend Micro, HP, Juniper und anderen zitiert.

Nicht übel, oder? Und das kommt alles aus dem Nordwesten Moskaus und nicht aus Palo Alto.

 

Vierter Platz – 170-mal zitiert: US8214905B1 – „System und Verfahren zur dynamischen Zuteilung von Rechenressourcen zur Verarbeitung von Sicherheitsinformationen“

Cybersicherheit – das geht jeden etwas an, in jeder Hinsicht. Ohne anonymisierte Signale von Benutzern über verdächtige Aktivitäten können Entwickler keinen angemessenen Schutz bieten. Und je mehr Benutzer desto besser: Bei großen Datenmengen sind Anomalien viel leichter auszumachen, was dazu beiträgt, bisher unbekannte Cyberangriffe aufzudecken.

Aber nicht alle Daten sind gleich, und auch nicht alle Nutzer sind gleich. Es gibt verschiedene Niveaus von Fachkenntnissen in der Computernutzung auf Seiten der Benutzer (einschließlich der Gewandtheit in Sachen Computersicherheit). Und je anspruchsvoller ein Benutzer ist, desto wahrscheinlicher werden die Signale, die er (natürlich anonym) sendet, zu einem möglichen Hinweis auf Cyberattacken führen.

Diese K-Technologie bewertet den Grad der Versiertheit der Benutzer anhand der Art und Weise, wie sie ihre Computer benutzen. Zum Beispiel: die Art der Installation des Antivirusprogramms (regulär oder fortgeschritten), ob der interaktive Modus gewählt wird, und andere Software und Ausrüstung, die verwendet wird. Auf der nächsten Ebene wird dann die Benutzeraktivität analysiert, einschließlich der Quantität und Qualität der erkannten Bedrohungen, des Anteils der Fehlermeldungen, der Reaktionsgeschwindigkeit usw. Und je höher die Bewertung der Quelle, desto mehr Gewicht wird ihrer Bewertung beigemessen, und entsprechend wird der Verarbeitung ihrer Daten eine höhere Priorität eingeräumt. Details dazu finden Sie hier.

Dieses Patent wird von NEC, Dell, IBM, FireEye, Symantec, HP, und anderen Unternehmen zitiert. 

 

Dritter Platz – 170-mal zitiert: US8365297B1 – „System und Verfahren zur Erkennung von Malware, die auf den Boot-Prozess eines Computers unter Verwendung der Boot-Prozess-Emulation abzielt“ (Spiegelpatente in Russland: RU2472215C1, in Europa: EP2610774B1, und in China: CN103065094B).

Dabei handelt es sich um eine der besten Technologien der Welt zur Erkennung von Bootkits, gefährlichen bösartigen Programmen, die verdeckt aktiviert werden, noch bevor das Betriebssystem hochfährt, d.h. idR. noch bevor die Sicherheitslösung aktiviert wird. Um Bootkits zu fangen, haben wir eine künstliche Umgebung (einen Emulator) geschaffen, der den Ladevorgang eines Computers nachahmt und darin verdächtige Objekte startet. Die Malware denkt, es sei an der Zeit, sich an die Arbeit zu machen, und startet ihr Standardverfahren… und zack! Gefangen.  Mehr dazu finden Sie hier.

Zitiert von Huawei, Intel, Tencent, Trend Micro, FireEye, Symantec, Palo Alto Networks, und anderen Unternehmen.

 

Zweiter Platz – 179-mal zitiert: US8370939B2 – „Schutz vor Malware auf Web-Ressourcen“ (Spiegelpatente in Russland: RU2446459C1, Europa: EP2410452B1, und China: CN102147842B).

Hier ist die Quintessenz dieser Technologie: Viele Websites (und FTP-Sites) können ohne Zugriffsrechte nicht auf Cyber-Bedrohungen gescannt werden. Die Lösung ist einfach und effektiv: Die AV verwendet Informationen aus dem Admin-Panel der Website, die vom Benutzer zur Verfügung gestellt werden, um die Webressourcen (einschließlich Dateien) zu erreichen. Auf diese Weise kann der AV dann seinem üblichen Tätigkeiten nachgehen und sie auf Malware scannen.

Zitiert von: Dell, IBM, FireEye, Microsoft, Rockwell Collins, F-Secure, PayPal, Trend Micro, Gemalto, Symantec, und anderen Unternehmen.

 

Und zu guter Letzt…

 

Erster Platz – 181-mal zitiert (*): US8713631B1 – „System und Verfahren zur Erkennung von bösartigen Codes, die von einer virtuellen Maschine ausgeführt werden“ (Spiegelpatente in Russland: RU2522019C1 und China: CN103593608B).

Es gibt bestimmte programmierte Anwendungen, die zur Ausführung des Codes eine virtuelle Maschine benötigen. Klassisches Beispiel: Java. Dies wird getan, damit ein Entwickler den Code leicht auf andere Plattformen (Windows, Linux…) portieren kann: der Code ist derselbe, Sie brauchen nur eine virtuelle Maschine, um ihn aufzusetzen.

Cyberbösewichte nutzen Schwachstellen in virtuellen Maschinen aus, um in Computer einzudringen. Darüber hinaus handelt es sich für andere Anwendungen (einschließlich dem Virenschutz) auf der virtuellen Maschine um eine Black Box und einen vertrauenswürdigen Prozess. Die patentierte Technologie ist ein wirksames Mittel, um die Ausführung von Codes auf virtuellen Maschinen mit Hilfe ihrer Änderungen und des Empfangs von Ereignissen zu kontrollieren.

Zitiert von: Intel, FireEye, IBM, ESET, Check Point, Bitdefender, Symantec, und anderen Unternehmen.

 

Abschließend noch ein paar Statistiken, um die oben genannten Innovationen abzurunden:

Die Top-100: beschäftigen 10 Millionen Menschen; erfanden 145.000 Innovationen; gaben 316 Milliarden Dollar für die Forschung aus; und erzielten insgesamt 4,5 Billionen Dollar an Einnahmen!

Sie werden mir sicher zustimmen, einen Platz in den Top-100 zu verdienen, ist nicht nur eine Ehre, auf die man stolz sein kann, sondern auch nur mit Fleiß und Mühe erreicht werden kann. Deshalb ist es umso angenehmer, wenn man es tatsächlich schafft. Es bestätigt, dass wir Innovationen auf globalem Niveau entwickeln, dass wir uns die Rechte sichern und dass wir entsprechende neue Produkte auf den Markt bringen. Und wir verdienen dafür die verdiente Anerkennung. Toll! Wir arbeiten, wir gewinnen. Weiter so mit der guten Arbeit (und dem Gewinnen!).

 

 

(*) Gemäß der Patentdatenbank von Derwent Innovation vom 9. Mai 2020. Die Zitierhäufigkeit nimmt ständig zu; Beispiel: seit dem Verfassen dieses Beitrags wurde erste Platz von FireEye zitiert, so dass die Gesamtzahl der Zitate von 181 auf 182 gestiegen ist.

 

 

Ein Frühwarnsystem für Cyber-Förster (Adaptive Kontrolle von Anomalien)

Wenn Sie normalerweise in einem Büro arbeiten, ist es höchstwahrscheinlich immer noch ziemlich leer oder völlig leer, wie unseres. In unserem Hauptgeschäftssitz sind die einzigen Leute, die Sie gelegentlich sehen werden, die Sicherheitskräfte, und das einzige Geräusch, das Sie hören werden, ist das Summen der Kühlsysteme unserer Server, die mit voller Geschwindigkeit arbeiten, da  alle Mitarbeiter von zu Hause aus angeschlossen sind.

Read on: Ein Frühwarnsystem für Cyber-Förster (Adaptive Kontrolle von Anomalien)

Flickr Foto-Stream

  • Hampton Court
  • Hampton Court
  • Hampton Court
  • Hampton Court

Instagram Photostream

Sie mögen ressourcenintensive Spiele? Dann wird Sie unser Gaming-Modus interessieren!

Vor fast 30 Jahren, im Jahr 1993, erschien die erste Inkarnation des Kult-Computerspiels Doom. Und es war eben diesem Spiel zu verdanken, dass die wenigen (stellen Sie sich vor!) damaligen Heimcomputerbesitzer herausfanden, dass man sich am besten mit Schrotflinten und Kettensägen vor Monstern schützen kann.

Read on: Sie mögen ressourcenintensive Spiele? Dann wird Sie unser Gaming-Modus interessieren!

Cybersicherheit: Wie alles begann – Teil 8: 1998-2000 (Umstrukturierung, Auslandsbüro, Partnerkonferenz).

Die ersten Jahre nach der Firmengründung waren die härtesten überhaupt; wir mussten wirklich alle Stunden darauf verwenden, uns wortwörtlich den Arsch aufzureißen. Es fühlte sich so an, als würden wir konstant eine Springfeder zusammenhalten, nur um diese erst einige Zeit später wieder freizugeben, um das Unternehmen hoch und weit über den Horizont hinaus in die richtige Richtung unserer Wunschvorstellungen schnellen zu lassen (überlegen Sie sich daher gut, welche Luftschlösser Sie bauen 😉). Nach der formellen Registrierung von KL im Jahr 1997 konnten wir mit sehr geringen Ressourcen sehr viel bewegen. Wir hatten kaum Geld (geschweige denn die Mittel), aber das Cybersicherheitsförderband lief (und läuft immer noch) unentwegt weiter: Neue Technologien wurden benötigt, und der Markt forderte neue Produkte. Also arbeiteten wir ununterbrochen, auch an Wochenenden, und hatten kaum einen freien Tag. Aber, woran haben wir eigentlich so hart gearbeitet? Hier ein Beispiel …

Juni 1998: die globale Chernobyl (CIH) Virus-Epidemie. Alle anderen AV-Unternehmen hatten diese Gruppe der Computerviren entweder nicht bemerkt oder sich schlichtweg nicht darum gekümmert – oder waren im Urlaub. Wir hingegen waren eines der einzigen Unternehmen mit einem Produkt auf dem Markt, das den Virus nicht nur fangen, sondern infizierte Systeme darüber hinaus auch heilen konnte. Das gesamte WWW (nein, nicht nur Runet) war mit Links zu unserer Website übersät. Auf diese Weise wurden wir für unsere extrem schnelle Bedrohungsreaktion belohnt – dafür und für unsere Fähigkeit, schnelle Updates mit Verfahren zur Behandlung spezifischer Bedrohungen in die Wege zu leiten. All das, während sich diese spezifische Virengruppe unglaublich geschickt auf Windows-Speichern installierte und ausführbare Dateien infizierte. Diese Tatsache erforderte einen maßgeschneiderten Dissektionsprozess, der ohne die flexible Funktionalität von Updates nicht möglich gewesen wäre.

Also, ja: es war hart. Aber wir konnten tolle Ergebnisse und sind an uns selbst und als Unternehmen gewachsen. Und dann, zwei Monate später, wurde uns eine helfende Hand (des Schicksals?!) der unerwartetsten Art und Weise gereicht …

August 1998: die Russlandkrise, die die Abwertung des Rubels und die Zahlungsunfähigkeit Russlands zur Folge hatte. Für die meisten Russen war das eine besonders schlimme Zeit, aber wir hatten wirklich vieeeel Glück: All unsere ausländischen Partner zahlten uns im Voraus in Fremdwährung. Wir waren Exporteure. Während sich unsere Betriebs- bzw. Arbeitswährung auf einen stark abgewerteten Rubel belief, erreichte uns unser Einkommen in Dollar, Pfund Sterling, Yen usw. Wir waren also nicht nur im Geschäft, sondern auch gut bei Kasse!

Dennoch ruhten wir uns nicht auf unseren „glücklichen“ Lorbeeren aus. Wir nutzten die Zeit, um neue, professionelle – und vor allem teure! – Manager einzustellen. Und schon bald glänzten wir mit kaufmännischen, technischen und finanziellen Direktoren. Wenig später stellten wir dann auch Manager auf mittlerer Ebene ein. Das war unsere erste geschäftliche „Umstrukturierung“ – als das „Team“ zum „Unternehmen“ wurde und freundschaftliche, organische Beziehungen durch eine formellere Organisationsstruktur, Unterordnung und Rechenschaftspflicht ersetzt wurden. Die Umstrukturierung hätte schmerzhaft sein können; war sie aber nicht.

Für weitere Informationen über diese ganze Umstrukturierungssache empfehle ich das Buch Reengineering the Corporation von Michael Hammer und James Champy. Es ist wirklich gut. Andere nützliche Bücher – hier.

1999 eröffneten wir unser erstes Büro im Ausland – um genau zu sein, in Cambridge in Großbritannien. Aber, galt der britische Markt nicht damals schon als einer der schwierigsten Märkte? Also, warum ausgerechnet dort? Eigentlich war es reiner Zufall (mehr dazu weiter unten). Trotzdem mussten wir irgendwo anfangen, und unsere ersten Erfahrungen –einschließlich vieler Fehler und gewonnener Erkenntnisse – in Großbritannien haben dazu beigetragen, dass die Geschäftsentwicklung in anderen Ländern im Anschluss deutlich reibungsloser verlief.

Unsere erste Pressetour fand in London statt, da wir ohnehin für eine IT-Sicherheitskonferenz (InfoSecurity Europe) in der britischen Hauptstadt waren. Und auf eben dieser Pressetour verkündeten wir stolz unsere Absicht, unser erstes Auslandsbüro in Großbritannien zu eröffnen. Aber anstatt uns mit endloser Begeisterung und offenen Armen zu empfangen, fragten die Journalisten uns lediglich: Warum? Schließlich waren Unternehmen wie Sophos, Symantec, McAfee usw. bereits bequem im Land etabliert. Uns blieb in diesem Moment also nichts anderes übrig, als in den totalen Geek-Modus zu wechseln: Wir erzählten den Anwesenden alles über unser wirklich innovatives Unternehmen; über unsere einzigartigen Technologien und Produkte und warum wir genau deshalb um einiges besser waren (und es noch immer sind) als die zuvor genannte Konkurrenz. All dies wurde mit viel überraschtem Interesse zur Kenntnis genommen (ein weiterer Vorteil war übrigens, dass uns seither nie wieder eine wirklich dumme Frage gestellt wurde). Währenddessen hielt ich bei InfoSecurity Europe meine erste Rede vor einem englischsprachigen Publikum, das sich aus zwei Journalisten zusammensetzte, die sich als Freunde unserer Freunde im Virus Bulletin herausstellten und bereits so einiges über uns wussten! Das war übrigens das erste und letzte Mal, dass eine unserer Präsentationen nicht vollständig ausgebucht war (mehr Details hier).

So kam übrigens unsere erste Partnerkonferenz zustande:

Irgendwann im Winter 1998-1999 wurden wir zur Partnerkonferenz unseres OEM-Partners F-Secure (Data Fellows) eingeladen. Auf diese Weise wurde uns das gesamte Partnerkonferenz-Format nähergebracht; eine großartige Idee: alle zusammenzubringen, die neuesten Informationen über Technologien und Produkte auszutauschen, die Anliegen und Probleme der Partner zu erfahren und neue Ideen zu diskutieren. Kein ganzes Jahr später (1999) veranstalteten wir unsere erste eigene Partnerkonferenz; mit rund 15 Partnern aus Europa, den USA und Mexiko, die wir nach Moskau einluden. Auf dem Foto unten können Sie uns alle sehen; neben dem Roten Platz und dem Kreml:

Einige Bilder von unserem Event:

Eines unserer Mottos lautet: Work hard, play hard. Hier erstmals auf einer Partnerkonferenz umgesetzt.

Und das, liebe Leser, glaube ich, vervollständigt meine Chroniken bis zum Jahr 2000. Was nach 2000 geschah? … Ich glaube, ich muss meinem Gedächtnis erst einmal eine Pause gönnen. Lassen wir zunächst anderen Teilnehmern unserer faszinierenden Reise dorthin, wo wir heute sind, mit einigen ihrer persönlichen Erinnerungen, Emotionen und Anekdoten, den Vortritt. Von mir war es das vorerst. Vielen Dank für Ihr Interesse, ich hoffe, es hat Ihnen gefallen!

CYBERSICHERHEIT: WIE ALLES BEGANN – TEIL 1: 1989-1991

CYBERSICHERHEIT: WIE ALLES BEGANN – TEIL 2: 1991-1992

CYBERSICHERHEIT: WIE ALLES BEGANN – TEIL 3: 1991-199x

CYBERSICHERHEIT: WIE ALLES BEGANN – TEIL 4: CeBIT

CYBERSICHERHEIT: WIE ALLES BEGANN – TEIL 5: 1996 (der Wendepunkt)

CYBERSICHERHEIT: WIE ALLES BEGANN – TEIL 6: Die Medien

CYBERSICHERHEIT: WIE ALLES BEGANN – TEIL 6: 1997

Cybersicherheit: Wie alles begann – Teil 7: 1997 (Wir gründen Kaspersky Lab)

Ich bin zurück – und zwar mit noch mehr K-Cyber-Nostalgie. In diesem Beitrag versetzen wir uns zurück in ein ganz besonderes Jahr für das Unternehmen – das Jahr seiner Gründung! Und wie Sie dem Datum unserer Firmenregistrierung entnehmen können, fand diese Gründung am 26. Juni 1997 statt:

Read on: Cybersicherheit: Wie alles begann – Teil 7: 1997 (Wir gründen Kaspersky Lab)

Das Versteckspiel… mit Fileless-Malware.

Bösartige Codes… irgendwie gelangen Sie überall…

Sie verhalten sich ein bisschen wie Gas, denn auch Gas möchte sich immer ausbreiten. Denn wie auch das Gas, finden bösartige Codes immer wieder „Löcher“ (Schwachstellen), durch die Sie entweichen können und unsere Computersysteme angreifen. Unsere Aufgabe (eher gesagt eine davon) ist es also, solche Löcher zu finden und zu stopfen. Dabei soll dies proaktiv geschehen, d.h. noch bevor die Malware die Schlupflöcher entdeckt. Somit können wir auf Malware lauern und sie gegebenenfalls abfangen.

Tatsächlich ist es gerade der proaktive Schutz und die Fähigkeit, die Angriffsmuster vorauszusehen und im Voraus eine effektive Schutzbarriere zu schaffen, die wirklich ausgezeichnete, hochtechnologische Cybersicherheit von dem Marketingmist anderer unterscheidet.

Heute möchte ich Ihnen hier ein weiteres Beispiel vorstellen, anhand Sie sehen werden, wie unser proaktiver Schutz vor einer weiteren, besonders raffinierten Art von Malware schützt: sogenannte Fileless-Malware (aka – dateilose Malware). Bei dieser gefährlichen Art von Geister-Malware handelt es sich um einen ausgeklügelten Schadcode, der gelernt hat, die architektonischen Nachteile von Windows zu nutzen, um Computer zu infizieren. Doch auch hier bietet unsere patentierte Technologie einen Schutz und eine effektive Bekämpfung dieser speziellen Cyber-Krankheit. Wie gewohnt erkläre ich Ihnen die komplexen technischen Zusammenhänge in verständlichen Sätzen ohne Fachchinesisch, und zwar genau so, wie Sie es wünschen: als leichten, packenden Cyber-Thrillers mit Spannungselementen.

Zunächst einmal, was bedeutet Fileless?

Nun, sobald Fileless-Malware einmal in ein Computersystem gelangt ist, kopiert sie sich nicht von selbst in Form von Dateien auf der Festplatte und vermeidet somit die Erkennung durch herkömmliche Methoden, zum Beispiel mit einem Antiviren-Monitor.

Wie kann also solche „Geister-Malware“ in einem System existieren? Tatsächlich befindet sie sich im Arbeitsspeicher von vertrauenswürdigen Prozessen! Schrecklich, oh ja!

Unter Windows (eigentlich nicht nur unter Windows) gab es schon immer die Möglichkeit, dynamische Codes auszuführen, die insbesondere für die Just-in-Time-Kompilierung verwendet werden, d.h. die Umwandlung von Programmcode in Maschinencode, und zwar nicht sofort, sondern nach Bedarf. Dieser Ansatz erhöht bei einigen Anwendungen die Ausführungsgeschwindigkeit. Und um diese Funktionalität zu unterstützen, erlaubt Windows Anwendungen, Codes im Arbeitsspeicher (oder sogar in einen anderen vertrauenswürdigen Prozessspeicher) zu platzieren und auszuführen.

Vom Sicherheitsstandpunkt aus kaum eine gute Idee, aber was kann man dagegen tun? Auf diese Weise funktionieren seit Jahrzehnten Millionen von Anwendungen, die in Java, .NET, PHP, Python und anderen Sprachen und für andere Plattformen geschrieben wurden.

Irgendwie war es zu erwarten, dass die Cyberbösewichte den dynamischen Code ausnutzen und dadurch Missbrauchsmöglichkeiten erschaffen würden. Eine der bequemsten und daher am weitesten verbreiteten Angriffsmethoden ist die so genannte „reflective PE Injection“. Hört sich kompliziert an, deshalb erkläre ich es Ihnen (Es ist eigentlich ziemlich interessant!).

Um eine Anwendung zu starten, muss man nur auf das Anwendungssymbol auf dem Desktop klicken: Einfach und unkompliziert, oder? Es sieht zwar einfach aus, aber in Wirklichkeit geht unter der Haube alles Mögliche vor sich: Es wird ein Systemlader aufgerufen, der die jeweilige Datei von der Festplatte nimmt, in den Speicher lädt und ausführt. Und dieser Standardprozess wird von Antiviren-Programmen kontrolliert, die die Sicherheit der Anwendung überprüfen.

Bei einer „Reflexion“ wird der Code ohne den Systemladers (und damit auch unter Umgehung des Antiviren-Monitors) geladen. Der Code wird direkt in den Speicher eines vertrauenswürdigen Prozesses platziert, wodurch eine „Spiegelung“ des ursprünglichen ausführbaren Moduls erzeugt wird. Eine solche Reflexion kann wie ein echtes Modul ausgeführt werden, das mit einer Standardmethode geladen wird, aber es ist nicht in der Liste der Module registriert und hat, wie oben erwähnt, keine Datei auf der Festplatte.

Im Gegensatz zu anderen Techniken der Code-Injection (z.B. über Shellcode) erlaubt eine Reflexions-Injektion zudem die Erzeugung von funktional fortgeschrittenen Codes in höheren Programmiersprachen und Standard-Entwicklungsframeworks ohne jegliche Einschränkungen. Man erhält also: (i) keine Dateien, (ii) eine Verschleierung hinter einem vertrauenswürdigen Prozess, (iii) Unsichtbarkeit für traditionelle Schutztechnologien und (iv) freie Hand, um Schaden anzurichten.

So waren natürlich die reflektierten Injections bei den Entwicklern von bösartigen Codes ein Megahit: Zuerst tauchten sie in Exploit-Packs auf, dann kamen Cyber-Spione ins Spiel (z.B. Lazarus und Turla), dann fortgeschrittene Cyber-Kriminelle (da es eine nützliche und legitime Art der Ausführung von komplexen Codes ist!), dann kleine Cyber-Kriminelle.

Auf der anderen Seite der Tatsachen sind Fileless-Infektionen nicht so einfach zu besiegen. Es ist also eigentlich kein Wunder, dass die meisten Cybersicherheitsmarken nicht allzu heiß darauf sind. Einige können es kaum schaffen.

Read on: Das Versteckspiel… mit Fileless-Malware.

Ein Update der Quarantäne-Cybernachrichten: März 92, 2020

Die meisten Menschen auf der ganzen Welt sind seit etwa drei Monaten eingesperrt! Sie gehören bestimmt auch dazu, daher bin ich mir sicher, dass Sie in den letzten Monaten vieles über einen konkreten Film gehört haben: Und täglich grüßt das Murmeltier ist nämlich keine Komödie mehr! Dann das Wetter: Wenn es noch nass und winterlich ist, ist es deprimierend für alle (abgesehen von der Erfahrung, zuhause eingesperrt zu sein). Wenn es besser und sommerlich wird, bleibt es auch weiterhin eine Enttäuschung für alle, da niemand hinausgehen kann, um das prima Wetter zu genießen!

Dennoch nehme ich an, dass es vielleicht ein Trost ist, dass wir alle im selben Boot sitzen. Vielleicht. Aber wir sind gesetzestreue Menschen. Was ist mit den Cyberkriminellen? Wie geht es ihnen wohl zu Hause? Nun, ich habe neulich einige Statistiken und Trends dazu veröffentlicht. Heute möchte ich weitere Daten veröffentlichen, denn ja, Cyberkriminelle handeln schnell. // Ach ja, und übrigens, wenn Sie an weiteren Cyber-Nachrichten von der dunklen Seite interessiert sind, verpassen Sie nicht diesen Tag, der alle Beiträge sammelt.

Zuerst einmal ein paar mehr Statistiken – aktualisierte und beruhigende dazu…

Im März und vor allem im April sprang die gesamte Cyberkriminalität sprunghaft an; im Mai ist sie jedoch wieder stark zurückgegangen – bis etwa auf das Niveau vor der Coronakrise im Januar-Februar:

Gleichzeitig haben wir einen stetigen Rückgang aller Malware, die mit dem Coronavirus in Verbindung stehen, verzeichnet:

// Mit „Malware, die mit dem Coronavirus in Verbindung stehen“ sind Cyberattacken gemeint, die das Coronavirus-Thema in irgendeiner Weise dazu benutzt haben, um kriminellen Ziele zu erreichen.

Es scheint also, dass die Nachrichten vielversprechend sind. Die Cyberschurken treiben weniger als früher ihr Unwesen. Was die Statistiken jedoch nicht zeigen, ist das warum; oder – was tun sie stattdessen? Sicherlich haben sie sich nicht den ganzen Monat Mai freigenommen, der in vielen Teilen der Welt eine recht hohe Zahl von freien Tagen hat, einschließlich der Tage, an denen das Ende des Zweiten Weltkriegs gefeiert wird. Nein, das kann nicht sein. Was dann?…

Leider weiß ich es nicht. Sie erzählen mir ja nichts über ihre kriminellen Geschäftspläne. Aber ich habe meine eigene Hypothese: Vielleicht haben sie es im April so sehr übertrieben, dass sie sich im Mai eine Auszeit nehmen mussten, um ihren „Fang“, also die Masse an Daten, zu analysieren. Es braucht nämlich durchaus etwas Zeit, um sie zu sichten und richtig zu monetarisieren. Das ist nur eine Vermutung, aber durchaus möglich.

Deshalb glaube ich, dass es noch zu früh ist, um sich in der neuen „Normalität“ in Sicherheit zu wiegen. Cyber-Bösewichte haben schon immer gehackt, hacken immer noch und werden auch in der Zukunft hacken. Und alle verschiedenen Arten von Hacks nutzen immer noch die Panik rund um Corona aus, um ihnen bei ihren bösen Taten zu helfen. Viele APT-Gruppen haben es zum Beispiel in Phishing-E-Mails verwendet. Es gibt jedoch einige besondere Verwendungen des Coronavirus als Leitmotiv (apropos, es gibt auch einige Angriffe, die das Coronavirus nicht als Köder verwenden), die besonders hervorgehoben werden müssen:

So hat in letzter Zeit zum Beispiel die Hackergruppe Transparent Tribe (über die wir kürzlich einen APT-Bericht geschrieben haben), die sich auf Angriffe auf indische Unternehmen, den öffentlichen Sektor und militärische Einrichtungen spezialisiert, noch weitere, dunklere Schritte gewagt. Sie haben sich als die offizielle indische Coronavirus-App, die auf allen Geräten im Land installiert werden muss, ausgegeben, um Android-Backdoors zu verbreiten. Und es sieht so aus, als würden sie Ziele angreifen, die beim Mlitär arbeiten.

Am 20. April wurde auf dem 4chan-Forum ein Beitrag über ein Leak von Logins und Passwörtern des Instituts für Virologie von Wuhan veröffentlicht. Kurz darauf gab es in vielen Beiträgen auf verschiedenen Social-Media-Plattformen einen Aufschrei (und auch viel Medientrubel) über angeblich durchgesickerte Daten nicht nur vom Wuhan-Institut, sondern auch von der WHO, der Weltbank, der Gates Foundation und anderen Organisationen. Unsere eigene interne Untersuchung des Leaks ergab, dass die meisten Daten aus älteren Leaks stammten. Darüber hinaus wurden die Informationen, die in verschiedenen Foren gepostet wurden, meist als vermutlicher Beweis für eine absichtliche Verbreitung von SARS-CoV-2 / COVID-19 herangezogen. Im Großen und Ganzen sieht es nach echten gefälschten (!) Nachrichten mit politischen Untertönen aus. Wer da wohl dahintersteckt?

Quelle

Die nächste Nachricht steht nicht direkt mit dem Coronavirus in Verbindung; allerdings wurden viele der gehackten Supercomputer zur Erforschung von COVID-19 genutzt, so dass die Forschung verlangsamt wurde. Wie auch immer…

Eines Tages, Anfang Mitte Mai, wurden mehrere Supercomputer weltweit gleichzeitig gehackt. Archer in Edinburgh, das deutsche bwHPC, das Swiss National Supercomputing Centre (das derzeit das Coronavirus-Protein analysiert) und viele weitere Hochleistungsrechenzentren in Europa, Nordamerika und China. Unsere Analyse zeigte, wie die Cyberkriminellen Backdoors benutzten, um… Krypto-Währung zu minen! All das Superhacken von Supercomputern nur deswegen? Sicherlich nicht. Da Cryptomining heutzutage wohl kaum der profitabelste Bereich der Cyberkriminalität ist, bleibt die Frage nach einem Grund: Was hatten sie wirklich vor? Ein Testlauf für etwas viel Größeres, das noch kommen wird? Und wieder einmal bleibt das Wer und Warum ein Rätsel.

Eine interessante, in Forbes veröffentlichte Untersuchung behauptet, dass Xiaomi-Smartphones die Internet-Links und Suchanfragen aller Benutzer zusammen mit Metadaten über ihre Geräte an… die Server von Alibaba gesendet haben! Jepp, der Forscher installierte seinen eigenen Browser auf seinem Telefon und das hat er entdeckt. Xiaomi dementiert natürlich alles, versprach aber trotzdem ein Software-Update und fügte ein Kontrollkästchen hinzu, mit dem die Benutzer sich gegen das Senden von Daten entscheiden können.

Source

Und zu guter Letzt noch ein weiteres Unternehmen, dessen Ruf kürzlich aufgrund von Sicherheitsproblemen einen weiteren Imageschaden erlitt: Zoom. Die Probleme waren so eklatant schlimm, dass ich beschloss, ihre Software (seit Beginn des Corona-Lockdowns) nur auf einem „leeren“ Computer zu verwenden, sofern ich zur Benutzung von Zoom gezwungen wurde. Trotzdem muss man es Zoom lassen – in zwei Monaten haben sie die Dinge wirklich geändert. Mit jedem Patch verbessern sie die Sicherheit, und sie haben ein gutes Bug-Bounty-Programm gestartet (unter der Leitung von Katie Moussouris, die ein solches Programm zuvor bei Microsoft eingeführt hatte). Und erst kürzlich gab Zoom bekannt, dass es den Kryptodienst Keybase zum Schutz der übermittelten Daten kaufen wird. Ich hoffe also, dass Zoom ein gutes Beispiel dafür wird, wie eine gute Einstellung zur Sicherheit zum Geschäftserfolg führt – und dass sogar Zoom den Weg auf meinen „Kampf“-Laptop findet). Gut gemacht, Zoom!

Und das war’s für heute. Wenn weitere Cyber-Meldungen von der Quarantäne-Front auftauchen, werde ich Sie bald darauf auf den neuesten Stand bringen. Und jetzt… zurück an die Arbeit!

Der Cyberpuls der Welt während der Pandemie

Eine der häufigsten Fragen, die mir in diesen schwierigen Zeiten gestellt wird, ist, wie sich die cyber-epidemiologische Situation verändert hat. Wie sich die Cybersicherheit im Allgemeinen durch den massenhaften Übergang zum Homeoffice (oder zur Arbeitslosigkeit, für die Unglücklichen, die es getroffen hat) verändert hat. Konkret auch welche neuen listigen Tricks sich Cyberkriminelle ausgedacht haben und was man tun sollte, um sich weiterhin vor ihnen zu schützen.

Lassen Sie mich daher die Antwort(en) auf diese Frage(n) in diesem Blogpost zusammenfassen…

Wie immer beobachten Kriminelle – auch Cyberkriminelle – die sich ändernden Bedingungen genau und passen sich ihnen an, um ihr kriminelles Einkommen zu maximieren. Wenn also der größte Teil der Welt plötzlich praktisch zu einem vollwertigen „Bleib-zu-Hause“-Regime übergeht (Homeoffice, Home-Entertainment, Home-Shopping, soziale Interaktion zu Hause usw.), adaptieren auch Cyberkriminelle diese Taktik.

Cyberkriminelle haben bemerkt, dass die meisten Menschen, die sich in Quarantäne befinden, viel mehr Zeit im Internet verbringen. Dies bedeutet eine größere allgemeine „Angriffsfläche“ für ihre kriminellen Taten.

Viele der Arbeitnehmer, die jetzt leider von zu Hause aus arbeiten müssen, werden von ihren Arbeitgebern nicht mit einem hochwertigen, zuverlässigen Cyber-Schutz ausgestattet. Das bedeutet, dass es jetzt mehr Möglichkeiten für Cyberkriminelle gibt, sich in die Unternehmensnetzwerke zu hacken, mit denen die Mitarbeiter verbunden sind, und die für die Bösewichte eine potenziell sehr ertragsreiche kriminelle Beute darstellen.

Natürlich sind die Bösewichte hinter dieser verlockenden Beute her. Bestätigt wird dies durch die starke Zunahme von Brute-Force-Angriffen auf Datenbankserver und RDP (Remote Desktop Technologie, die es beispielsweise einem Angestellten erlaubt, vollen Zugang zu seinem Arbeitsrechner – seine Dateien, seinen Desktop, also alles – aus der Ferne, z.B. von zu Hause aus, zu erteilen).

 

Passwort-Kombinationen, die durch Brute-Force entschlüsselt wurden, werden verwendet, um in Unternehmensnetzwerke einzubrechen und dort Ransomware, also Erpressungstrojaner wie Crusis-, Cryakl– und Phobos-Malware einzuschleusen. Seit Anfang des Jahres stieg die durchschnittliche tägliche Zahl der mit dieser Technik angegriffenen Einzelbenutzer um 23%. Betrachtet man das Diagramm jedoch in absoluten Zahlen, so wird klar, dass die Angriffe sprunghaft angestiegen sind. Diese plötzlichen Zunahmen waren praktisch auf der ganzen Welt einheitlich.

Bestätigt wird die diese Tendenz durch den weltweiten Anstieg der Web-Bedrohungen: 25% mehr in vier Monaten. Doch besonders auffällig war vor allem der starke Anstieg der Anzahl der 1.) Modifikationen von Browser-Skripten, die an schlecht geschützte Websites angehängt werden und den Bösewichten die Bankkartendaten der Opfer zukommen lässt, und 2.) Cookie-Dropping-Angriffe (dabei handelt es sich um die versteckte Installation von Cookie-Dateien, die nichts mit einer besuchten Website zu tun haben).

 

Und schließlich gab es einen, wenn auch nicht besonders starken, Anstieg der durchschnittlichen täglichen Warnmeldung von Antivirenprogrammen (+8% seit Jahresbeginn). Malware-Skripte sind zusammen mit böswilligen Verknüpfungen (.js, .vbs) am häufigsten daran schuld (sie ermöglichen die schnelle Entwicklung neuer Malware, indem sie einfach einen PowerShell-Befehl in eine Verknüpfung integrieren). Oh, und noch etwas: Ein unerwarteter, nicht willkommener Gast aus der Vergangenheit ist wieder aufgetaucht: die Reinkarnation des ziemlich alten polymorphen Virus (oh ja!) Sality! Unsere Produkte erkennen täglich etwa 50.000 einzigartige Dateien, die damit infiziert sind.

Aber Moment! Im Februar gab es bereits eine ähnliche Meldung, als wir die Infizierung durch KBOT registriert haben (ja, das fiese Parasitenvirus, das bösartige Codes in ausführbare Dateien injiziert: das erste „lebende“ Computervirus, das wir vor Jahren in freier Wildbahn entdeckt haben). Aber wir glauben, dass es noch etwas zu früh ist, um zu behaupten, dass es wirklich eine Rückkehr in die Ära der Viren geben wird. Die Anzahl der Malware der „alten Schule“ ist in der Gesamtheit der täglichen Infektionen, immer noch sehr gering.

Insgesamt stieg der Anteil neuer Malware (von allen Malware-Programmen) im April um 7,9 %. Ich möchte Sie daran erinnern, dass wir täglich (!) mehr als 340.000 neue (!) Malware-Instanzen abfangen und in unsere Datenbank aufnehmen! Und im April war das ein Anstieg von fast 10 %.

Merkwürdig ist, dass in den ersten beiden Maiwochen fast alle aufgelisteten Zunahmen von Schwachstellen, die wir festgestellt haben, tatsächlich zurückgegangen sind: durchschnittlicher Alarm von Antivirenschutzprogrammen: -7,2%; Web-Virenschutzprogramme -5,27%; und neue Malware -31%. Die einzigen Zunahmen konnten bei Brute-Force-Angriffen auf Datenbankserver und RDP (+0,27%) verzeichnet werden. Ich frage mich, warum? An den Maifeiertagen war es sonnig, vielleicht haben sich die Cyberkriminellen ein paar Tage frei genommen?! Mal sehen, ob der Trend für den Rest des Monats anhält…

Zusammenfassung

Die cyber-epidemiologische Situation verläuft wie erwartet, und hier bei K und auf den Computern, Geräten, Servern und Netzwerken unserer Nutzer ist alles unter Kontrolle.

Dennoch schlage ich vor, dass jeder die Grundregel der Cybersicherheit befolgt – nämlich die Cyber-Hygiene aufrechtzuerhalten! 🙂 Die wichtigste Regel lautet: Klicken Sie nicht auf Dinge, die Sie zum anklicken verleiten (die Hände nach dem Klicken mit Seife zu waschen hilft nicht); installieren oder starten Sie keine Programme, auf die Sie zufällig gestoßen sind; verwenden Sie einen VPN-Dienst, ebenso wie die Zwei-Faktor-Authentifizierung, und verwenden Sie immer – auch bei der Heimarbeit – einen guten Cyber-Schutz. Mehr über effektives Homeoffice erfahren Sie unter unserem Tag Homeoffice auf unserem Blog.

Cybersicherheit: Wie alles begann – Teil 2: 1991-1992

Mit diesem Beitrag setze ich meine Reihe der Cyber-Old-School-Geschichten fort. Der erste Teil – über den Fang meines ersten Fisches Virus, über unser erstes Antivirenprogramm und meine Entscheidung, einen Berufsweg einzuschlagen, den es damals so noch gar nicht wirklich gab (als freiberuflicher Antiviren-Analyst) – ist bereits auf meinem Blog online.

Nach ein paar Wochen als Freiberufler – in denen ich im Grunde genommen überhaupt nichts zu tun hatte, da ich keine Kunden finden konnte – entschied ich mich, wieder einen „normalen“ Job bei einem Unternehmen auszuüben. Die Wahl stand zwischen drei privaten Unternehmen, die mir Arbeit angeboten hatten.

Eines von ihnen (KAMI) verdient einen eigenen Beitrag, deshalb möchte ich mich hier nur auf die Hauptfunktionen des Unternehmens konzentrieren. KAMI war ein ziemlich großes und sehr facettenreiches Import-Export-Unternehmen – Teil der Firma war auch eine Computerabteilung, die langsam aber sicher anfing, sich von KAMI abzuzweigen, um auf eigenen Beinen zu stehen. Chef des Unternehmens war Alexey Remizov, ein großartiger Kerl, der an mich glaubte und mir viele Jahre lang helfend zur Seite stand.

Aber zurück zu den Stellenangeboten. Zwei der Unternehmen sagten mir etwas wie: „Sicher, kommen Sie einfach nächste Woche vorbei, um genauer über das Angebot zu sprechen“, während Alexey mir vorschlug, direkt am nächsten Morgen in sein Büro zu kommen. Am Tag darauf zeigte er mir bereits wo sich mein Schreibtisch und Computer befanden, gab mir einen kleinen Geldvorschuss, suchte nach einem Namen für meine „Abteilung“ – die „Anti-Virus-Abteilung“ (oder so ähnlich) und stellte mir zwei Angestellte zur Verfügung.

Meine erste Aufgabe – diese beiden Mitarbeiter zu entlassen! Es hat einfach nicht gepasst. Und ehrlich gesagt habe ich diese erste Aufgabe wirklich gut gemeistert – ohne Hysterie und ohne Konflikte.

Die Computerabteilung von KAMI bestand aus rund zwei Dutzend Leuten. Aber es gab buchstäblich kein Geld für Computer! Das Startkapital stammte daher aus dem Verkauf von aus Indien importierten Schuhen, Schokoladenkeksen, der Herstellung eines Autoalarmsystems und Systemen zur Codierung von TV-Signalen (für Pay-TV). Die einzigen tatsächlichen ComputerIT-Projekte waren meine Antivirenabteilung sowie eine Transputerabteilung; damals die beiden erfolgreichsten Abteilungen von KAMI.

Woran kann ich mich noch erinnern?

Eigentlich nicht an wirklich viel, da ich täglich rund 12 bis 14 Stunden mit der Arbeit beschäftigt war: Ich hatte keine Zeit, mich um andere Dinge zu kümmern (auch nicht um politische). Lassen Sie mich trotzdem kurz nachdenken …

Wir mieteten unser erstes Büro in … einem Kindergarten (!) in Strogino, einem nordwestlichen Moskauer Vorort. Später bezogen wir einige der Räumlichkeiten des Polytechnischen Museums, dann wechselten wir an die staatliche Universität Moskaus, dann zogen wir in ein Forschungsinstitut usw. Wir haben immer damit gescherzt, dass das Unternehmen alle Bildungsebenen durchlaufen hat – nur die Sekundärstufe hat gefehlt.

Unser erstes "Büro" in StroginoUnser erstes „Büro“ in Strogino

Übrigens: Warum all diese seltsamen Veranstaltungsorte als unsere Büroräume? Nun, damals war es nicht ganz einfach, an „Büroflächen“ zu kommen – es gab kaum „gewerbliche Büroflächen“, wie wir sie heute kennen (bedenken Sie, dass „gewerblich“ ein sehr neues Konzept in den letzten Monaten der UdSSR war. Die verfügbaren Büroflächen, waren vieeeeel zu teuer und wurden meist von der Öl- und Gasindustrie und großen multinationalen Unternehmen, die sich in Russland ansammelten, beansprucht. Also mussten wir uns für andere Alternativen entscheiden – Schulen, Universitäten, Forschungsinstitute; Letztere verwandelten sich damals bereits langsam in „Business Center“, wie wir sie heute kennen.

Ich erinnere mich an mein erstes Auto – ein alter Saporoshez, für den ich ungefähr genauso viel bezahlt habe wie für die eigentliche Fahrzeuganmeldung.

Ich erinnere mich … an eine Wette zwischen Alexey (meinem Chef) und seinem Stellvertreter – der Gewinn? Ein US-Dollar. Sein Stellvertreter hatte darauf gewettet, dass es meine Antivirenabteilung zu nichts bringen würde; Alexey hingegen stand immer hinter mir!

In der Zwischenzeit machten wir unsere ersten richtigen Schritte in Richtung Erfolg: Die nächste Version unseres Dienstprogramms „-V“ wurde kompiliert und auf den Markt gebracht (ohne jegliche Tests!). Und eines Abends – genauer gesagt am 19. August 1991 – stiegen wir in die U-Bahn und fuhren zu den Demonstrationen am Weißen Haus.

Einige Monate später, im Oktober 1991, stieß Alexey De Mont De Rique als „Spezialist für eine breite Palette von Fragen zu Computern“ in mein Team :). Alexey und ich kannten uns bereits seit unserem gemeinsamen Studium an der Kolmogorov School of Physics and Mathematics, dem heutigen Advanced Educational Scientific Center – Kolmogorovs Internat der Staatlichen Moskauer Universität. Oh, ich habe übrigens ein Bild von damals gefunden: Alexey und ich an unserer Abschlussfeier.

Ich glaube, es war im Frühjahr des folgenden Jahres – April 1992 -, als auch Vadim Bogdanov zu uns stieß, den ich kurz zuvor über einen gemeinsamen Bekannten kennengelernt hatte. Auch er arbeitete an der Lösung von Problemen, die durch Computerviren verursacht wurden. Vadim hatte zu dieser Zeit sein eigenes Antivirenprojekt – Anti-Ape – aber wir waren uns einig, in einem Team zusammenzuarbeiten. Vadim gab Anti-Ape schlussendlich auf.

Und so kamen die Dinge langsam ins Rollen: Ich habe wie wild nach Viren gesucht, Alexey hat an Aspekten der Benutzeroberfläche gearbeitet (wofür er ein großes Talent hat), und Vadim – der „Jedi of Assembler“ – hat sich mit der Entwicklung der Dienstprogramme und Verhaltensanalyse-Technologie beschäftigt. Selbstverständlich gab es von diesem Punkt an kein „Ich“ mehr, sondern nur noch ein „Wir“ und „Uns“.

Spulen wir ein paar Monate zurück (ungefähr bis Januar/Februar 1992): Zu dieser Zeit hatten Alexey und ich ein Meeting von historischem Ausmaß (wir möchten hier keine falsche Bescheidenheit an den Tag legen!). Ich glaube, ich habe Ihnen kürzlich in einem Beitrag davon erzählt, aber ich werde es noch einmal wiederholen: Wir standen an einer Straßenbahnhaltestelle und Alexey hat mich gefragt, was meiner Meinung nach unser Ziel oder unsere Mission als Unternehmen sein sollte, woraufhin ich antwortete: „Das beste AV-Programm der Welt zu entwickeln!“ Alexey lachte übrigens nur, der kleine Schlingel! 😊

Es dauerte nicht lange, bis eine neue, überarbeitete Version unseres Antivirenprogramms das Licht der Welt erblickte – Antiviral Toolkit Pro – die allererste Version des Produkts, die später die Grundlage des Unternehmens bildete. Bis zu diesem Zeitpunkt hatten wir lediglich Dienstprogramme veröffentlicht – bloße Prototypen dieser vollwertigen Version.

AVP 1.0 war wirklich innovativ. Neben der mehrstufigen Benutzeroberfläche und dem Hilfesystem mit Demonstrationen der Auswirkungen von Viren (nur bei der MS-DOS-Version) und dem „kugelsicheren“ Überwachungsmechanismus zum schnellen Abfangen von Viren, verfügte es zudem über die weltweit erste externe Antiviren-Datenbank, die die Aktualisierung von AVP ermöglichte, ohne den Betrieb zu unterbrechen und das Produkt neu zu installieren (zuvor befand sich eine Datenbank im „Kernteil“ des Produkts). Darüber hinaus befanden sich in den Antiviren-Datenbanken neben den statischen Signaturen auch Mikroverfahren zur Erkennung von Viren und zur Bereinigung infizierter Dateien, die das Produkt sehr flexibel und anpassbar machten, um praktisch jeder neuen Art von Bedrohung zu begegnen.

Übrigens: Eine sehr ähnliche Technologie in Dr. Solomons Antivirus wurde 1993 mit dem Queen’s Award for Technological Achievement ausgezeichnet – eine ziemlich prestigeträchtige Auszeichnung.

Updates wurden über FidoNet verteilt (es gab damals noch kein Internet!). Darüber hinaus wurde in das Produkt ein Antiviren-Datenbankeditor integriert, mit dem andere Sicherheitsexperten selbst Antivirensignaturen hinzufügen konnten. Leider blieb diese einzigartige Funktion größtenteils unbemerkt – praktisch niemand half uns bei der Ergänzung unserer Updates. Das Produkt war das erste in der Antivirenbranche, das polymorphe Viren mithilfe der Maschinencode-Emulationstechnologie erkennen konnte.

Abschließend (zumindest für heute) meldeten andere (meist US-amerikanische) Unternehmen für viele der oben genannten Technologien dutzende Patente an. Damals waren wir leider nicht in der Lage, uns auf die gesamte Patentsache einzulassen: Wir hatten weder die Ressourcen noch das Know-how für die Anmeldung von Patenten, und wir hatten nicht einmal eine Ahnung, dass sie uns dabei helfen würden unser Business zu schützen. (Wie sich die Zeiten ändern.)

Das war’s für heute! Seid gespannt auf weitere Beiträge!

Sicherheitsanalysten aus der ganzen Welt miteinander vereint!

Die Welt scheint nach und nach zur Normalität zurückzukehren – auch, wenn das Tempo dabei von Land zu Land unterschiedlich ist. Tatsächlich öffnen einige Länder aber bereits ihre Grenzen. Wer hätte das gedacht?

Selbstverständlich werden einige Branchen deutlich mehr Zeit benötigen als andere – dazu zählen auch großangelegte Offline-Events, -Konzerte und -Konferenzen. Auch unsere Konferenzen wurden stark durch das Virus beeinflusst und haben einen Übergang von offline zu online erfahren – auch unser Megaprojekt Security Analyst Summit (SAS).

Die diesjährige SAS sollte im April in einer unserer beliebtesten (für andere K-Events) Gastgeberstädte, Barcelona, stattfinden. Jedes Jahr – abgesehen von diesem – findet unsere Konferenz an einem anderen tollen Ort statt (normalerweise dort, wo es ziemlich heiß ist :); 2019 fand die SAS beispielsweise in Singapur und 2018 in Cancún, Mexiko, statt. Barcelona wäre dieses Jahr das erste Mal unsere Wahl gewesen, da wir bisher immer dachten, dass es dort vielleicht nicht „lustig“ oder „exotisch“ genug wäre. Aber angesichts der Tatsache, dass unzählige Leute immer wieder die Hauptstadt Kataloniens als Veranstaltungsort vorgeschlagen haben, gaben wir den vielen Bitten schlussendlich nach. Heute, im Mai 2020, hat unsere SAS in Barcelona aus offensichtlichen Gründen noch nicht stattgefunden; jedenfalls nicht, wie geplant, offline. Dennoch haben wir im April unsere völlig neuartige Online-SAS abgehalten! Außergewöhnliche Zeiten erfordern nun mal außergewöhnliche Maßnahmen.

Und obwohl die Online-Konferenz ein voller Erfolg war, befinden wir uns noch immer inmitten der Planung für unsere Offline-SAS in Barcelona – natürlich nicht in allzu naher Zukunft, aber besser spät als nie.

Übrigens hat sich herausgestellt, dass eine Online-Konferenz extrem viele Vorteile hat. Sie müssen nirgendwo hinfliegen und können beliebige Vorträge und Podiumsdiskussionen vom Bett aus mitverfolgen (wenn Sie das wirklich wollen würden)! Und auch die Zeit- und Geldersparnis ist enorm. Ich selbst habe die gesamte SAS von einem ruhigen Eckchen in meiner Wohnung aus verfolgt (selbstverständlich mit meinem Event-T-Shirt, um mich in SAS-Stimmung zu bringen). Es gab allerdings auch Skeptiker: Ein wichtiges Element jeder Konferenz – insbesondere einer solchen wie SAS – ist die Live-Interaktion zwischen den Teilnehmern, die niemals durch Videokonferenzen ersetzt werden kann.

Ich war wirklich sehr begeistert von dem Verlauf der Konferenz. Zum Auftakt verzeichneten wir mehr als 3000 registrierte Teilnehmer, von denen pro Tag mehr als tausend Leute live zuschalteten – manchmal waren es sogar über 2000. Auch die neu eingeführten Schulungen waren mit rund 700 Besuchern gut besucht – definitiv ein Zeichen dafür, dass die Zuschauer es interessant fanden.

Zudem wurde für unsere SAS@Home ein Spezialprogramm vorbereitet – und das alles in nur zwei Wochen! Warum? Nun, das Herzstück unserer Konferenz ist hartgesottenes, freakiges technisches Zeug: sehr detaillierte Untersuchungen und Berichte der weltweit führenden Cybersicherheitsexperten. Für die SAS@Home wollten wir jedoch ein deutlich breiteres Publikumsprofil ansprechen – nicht nur Tech-Vernarrte. Also haben wir experimentiert – wir haben einen Schwerpunkt auf ein Lernprogramm gelegt, nicht anstelle der detaillierten Untersuchungen und Berichte, sondern zusätzlich zu diesen.

Und es scheint, als hätten wir genau die richtige Balance gefunden. Zum einen gab es da die Geschichte des Android-Trojaners PhantomLance in Google Play, der mehrere Jahre lang vietnamesische Android-Nutzer angriff. Es gab Präsentationen zur Netzwerksicherheit und zu Zero-Day-Schwachstellen. Am zweiten Tag fand dann der außerordentlich interessante Vortrag unseres GReAT-Chefs Costin Raiu über die YARA-Regeln statt.

Nicht zu vergessen der Vortrag von Denis Makrushkin, in dem es um Bug-Hunting und Web-Anwendungen ging. Am dritten Tag wurde es dann ziemlich außergewöhnlich – denn nicht bei jeder Cybersicherheitskonferenz erfahren Sie Genaueres über die menschliche Körpersprache; aber unsere SAS ist nun mal etwas ganz Besonderes.

An dieser Stelle möchte ich erneut ein großes Dankeschön an alle, die an der Durchführung der Show mitgewirkt haben, aussprechen: Danke an alle Redner, Organisatoren, Partner von SecurityWeek, Zuschauer, Online-Chatter und Twitterer. Und vergessen wir nicht den Flashmob, den wir während der SAS gestartet und all denjenigen gewidmet haben, die während der Ausgangssperre völlig neue Welten für sich entdeckt haben.

Ja, alles in allem war die SAS@Home ein großer Erfolg. Zugegebenermaßen ein eher unerwartetes Format, aber eines, das funktioniert hat. Und noch eine weitere Sache: Wir hatten ein Meeting und ich habe beschlossen (!), dass dieses Online-Format auch nach Covid erhalten bleibt!

Und zum Abschluss noch ein bisschen mehr Positivismus (das letzte Mal, versprochen :)). Wie unsere Experten David Jacoby und Maria Namestnikova während des letzten Vortrags betonten, gibt es viele positive Dinge, die sich aus der Quarantäne zu Hause ergeben haben: Immer mehr Menschen finden die Zeit, um mithilfe von Home Workouts fit zu bleiben. Allgemein wird deutlich mehr Wert auf die körperliche Gesundheit gelegt (weniger Stress, Sandwiches und Imbissbuden). Auch die Solidarität der Menschen hat sich positiv entwickelt; ebenso wie die Kreativität. (In der Tat habe ich all diese Dinge auch bei mir selbst feststellen können.)

Für heute war es das erst einmal von mir und von unserer SAS (bis wir endlich ins sonnige Barcelona reisen können). Ach, und vergessen Sie nicht unsere SAS@Home 2021 bereits in Ihrem Kalender zu markieren.

PS: Abonnieren Sie unbedingt unseren YouTube-Kanal und aktivieren Sie die Glocke, um über Benachrichtigungen informiert zu werden! Dort laden wir nach und nach die Aufzeichnungen aller Sitzungen hoch. Gestern wurde die erste bereits veröffentlicht!