Die Evolution von OS-X-Schadprogrammen.

Gibt es Schadprogramme für Macs und OS X?

Oh, ja. Doch aus irgendeinem Grund habe ich über dieses Thema schon länger nicht mehr gesprochen… Das letzte Mal war vor zweieinhalb Jahren. Ja, so lange ist es her, dass der Flashback-Wurm sein Unwesen trieb und weltweit 700.000 Macs infizierte. Die Sicherheitsbranche hat viel Wirbel darum gemacht (und das Flashback-Botnet recht schnell geschlossen), doch seitdem – ist es recht still… Es mag einigen so vorkommen, dass seit damals auf der Mac-Schadprogramm-Front nichts mehr los ist und kein Stückchen iSchädling die ruhigen Wasser der Apple-Bucht gestört hat…

Aber das ist falsch…

Mac malware is not amyth, they do exist

Sicher, wenn Sie die Bedrohung durch Schadprogramme auf verschiedenen Plattformen vergleichen, steht mit viel Abstand ganz oben, so wie immer, die weitverbreitetste Plattform – Microsoft Windows. Weit dahinter liegt Android – immer noch relativ neu. Tja, in den vergangenen drei Jahren bombardierten die Cyberganoven den armen, kleinen, grünen Roboter mit immer mehr Schädlingen. In der Zwischenzeit gab es in der Welt der iPhones und iPads, abgesehen von sehr seltenen Cyberspionage-Angriffen, kaum erfolgreiche Attacken (obwohl einige exotische Methoden angewendet wurden). Mit Macs ist es recht ähnlich – auch hier ist es, verglichen mit anderen Plattformen, recht friedlich; doch in letzter Zeit gab es… einige Unruhe – über die ich in diesem Beitrag sprechen möchte.

Doch zunächst kurz ein paar Zahlen – so eine Art Zusammenfassung:

  • Die Zahl der neuen Mac-Schadprogramme, die in den letzten Jahren entdeckt wurden, geht in die Tausende
  • In den ersten acht Monaten des Jahres 2014 wurden 25 verschiedene Mac-Schadprogrammfamilien entdeckt
  • Die Wahrscheinlichkeit, dass ein ungeschützter Mac von Mac-spezifischen Schädlingen infiziert wird, ist um drei Prozent gestiegen

Im Jahr 2013 entdeckte @kaspersky ~1.700 Schädlinge für OS XTweet
Read on: Die Evolution von OS-X-Schadprogrammen.

Internet Security 2015: Unter der Haube

Hier bei Kaspersky Lab gibt es eine Tradition (abgesehen von den jährlichen Sommer-Geburtstagspartys und den Weihnachts-/Neujahrsfeiern). Jedes Jahr im Spätsommer bringen wir die neuen Versionen unserer Heimanwenderprodukte auf dem Markt. Tja, der Sommer ist schon fast wieder vorbei (Was? Wie schnell ging das denn?) Darum möchte ich Ihnen einige der Highlights der neuen Funktionen unserer 2015er Versionen vorstellen – oder anders gesagt: die neuesten schlauen Tricks der Cyberkriminellen, die wir mit den neuen Technologien zunichte machen :).

Also, legen wir los…

Read on: Internet Security 2015: Unter der Haube

Cyber-News von der dunklen Seite – 4. Juni 2014.

Wie versprochen, kommt hier die zweite Folge meiner neuen wöchentlichen (oder so) Serie „Dunkle News von der Cyber-Seite“ oder so ähnlich…

Das Hauptthema heute ist die Sicherheit kritischer Infrastrukturen; genauer gesagt geht es um die Probleme und Gefahren, die man im Auge haben sollte. Dinge wie Angriffe auf Produktions- & nukleare Anlagen, Transport- & Verkehrswesen, Elektrizitätsversorgung und andere industrielle Kontrollsysteme (ICS).

Im Grunde sind das keine richtigen „News“, sondern nur eine Art News – von letzter Woche: Zum Glück tauchen nicht wöchentlich Probleme mit kritischen Infrastrukturen auf – zumindest nicht die wirklich interessanten Dinge, die es wert sind, erwähnt zu werden. Aber das liegt wohl daran, dass die meisten Probleme geheim gehalten werden (verständlich, aber dennoch besorgniserregend) oder sie einfach niemand bemerkt (Attacken können recht still durchgeführt werden – das ist sogar noch besorgniserregender).

Im Folgenden finden Sie also eine Kollektion kurioser Fakten, die die aktuelle Situation sowie Trends im Bereich kritischer Infrastrukturen und ihrer Sicherheitsprobleme aufzeigen, und Hinweise darauf, was im Angesicht der Bedrohungen zu tun ist.

Es zeigt sich, dass es genügend Gründe gibt, von den Problemen kritischer Infrastrukturen überwältigt zu sein…

Wenn industrielle Kontrollsysteme ans Internet angeschlossen sind, hat man eine fast hundertprozentige Garantie, dass das System gleich am ersten Tag gehackt wird

Das Motto der Ingenieure, die industrielle Kontrollsysteme bauen und installieren ist, eine „stabile, konstante Funktion sicherzustellen und das Ganze alleine laufen zu lassen“! Wenn also eine Sicherheitslücke in einem Controller gefunden wird, über die ein Hacker die Kontrolle des Systems übernehmen kann, oder wenn das System an das Internet angeschlossen ist, oder das Passwort nun einmal, wirklich, ganz ernsthaft… 12345678 lautet –ist denen das egal! Ihnen ist nur wichtig, dass das System konstant und geschmeidig läuft, und das immer auf der gleichen Temperatur!

Denn immerhin können die Installtion von Patches oder andere Eingriffe das zweitweise Aussetzen des Systems zur Folge haben, und das ist für ICS-Ingenieure ein Gräuel. Tja, das ist heute mit kritischen Infrastrukturen immer noch so – man sieht die Grautöne zwischen dem Schwarz und Weiß nicht. Oder steckt man einfach nur seinen Kopf tief in den Sand?

Im letzten September haben wir einen Honeypot aufgestellt, der mit dem Internet verbunden war und vorgab, ein voll arbeitendes industrielles System zu sein. Das Ergebnis? Innerhalb eines Monats wurde er 422 mal erfolgreich gehackt, und die Cyber-Bösewichte kamen sogar mehrmals bis zur Speicherprogrammierbaren Steuerung (SPS) durch, und einer hat diese sogar umprogrammiert (genau wie Stuxnet). Unser Honeypot-Exepriment zeigte eines ganz eindeutig: Wenn industrielle Kontrollsysteme mit dem Internet verbunden sind, hat man eine fast hundertprozentige Garantie, dass das System gleich am ersten Tag gehackt wird. Und was man mit einem gehackten ICS alles anstellen kann… da kann man nur sagen „OMG“. Das ist wie in einem Hollywood-Film. Und industrielle Kontrollsysteme kommen in allen möglichen Formen und Größen. Hier ein Beispiel:

Nukleares Schadprogramm

KernkraftwerkQuelle

Read on: Cyber-News von der dunklen Seite – 4. Juni 2014.

Cyber-News von der dunklen Seite – 26. Mai 2014

Hallo zusammen!

Es scheint ewig her zu sein, dass ich hier über Cyber-Schädliches geschrieben haben – über heiße Themen und darüber, was gerade „in“ ist, und so weiter… Nicht, dass Sie denken, wir würden hier nur Däumchen drehen, weil ich nichts zu den Themen sage, die unsere Raison d’être sind…

Lassen Sie mich Ihnen versichern, dass Sie über ALLES, was im Cyber-Dschungel passiert, gut informiert sind; wir schreiben detailliert über all das auf speziellen technischen News-Seiten.

Das Problem ist nur, dass recht wenige Menschen diese Artikel lesen! Das ist vielleicht auch verständlich: All die technischen Details können etwas ermüdend sein – vor allem für technisch weniger versierte Leser. Aber das ist für uns kein Grund, die Artikel nicht zu veröffentlichen. Doch hier auf diesem Blog möchte ich die Leser nicht mit zu viel Technik nerven. Ich beschränke mich darauf, Ihnen die seltsamsten, amüsantesten und unterhaltsamsten Häppchen der weltweiten Cyber-News zu präsentieren.

Alsooo, was war in der letzten Woche Seltsames, Unterhaltsames und Bizarres los?…

 

„Er hat mich geschlagen!“ „Er hat angefangen!“

Das Ringen zwischen den USA und China zum Thema Cyberspionage hat eine neue Wendung genommen…

Diesmal haben die Amerikaner mit Fotos und Namen einiger „Schuldiger“ losgeschlagen: Fünf chinesische Militärspezialisten sind auf das neueste Wildwest-inspirierte „Wanted“-Poster gekommen, da sie in die Netzwerke von US-Firmen eingedrungen sein und Geheimnisse gestohlen haben sollen.

Wanted cybercriminals

Read on: Cyber-News von der dunklen Seite – 26. Mai 2014

Drei Möglichkeiten für den Schutz virtueller Maschinen.

Virtuelle Maschinen schützen oder nicht schützen – das war die Frage, die viele stellten. Die Antwort war allerdings immer schon die gleiche: schützen.

Die schwerere Frage ist, wie man virtuelle Maschinen schützen kann.

Ich habe auf diesen Cyber-Seiten schon einiges über das Konzept einer agentenlosen Antivirus-Lösung für VMware geschrieben. Doch die Technologie bleibt nicht stehen und entwickelt sich immer weiter. Während sich die Virtualisierung weiterentwickelt und immer mehr Firmen und Organisationen die eindeutigen Vorteile erkennen, werden immer mehr Programme und Einsatzmöglichkeiten dafür entwickelt, die den Schutz der virtuellen Maschinen vor neue Herausforderungen stellen.

Es gibt natürlich einen speziellen Sicherheitsansatz für virtuelle Maschinen, einen anderen für Datenbanken, einen weiteren für Webseiten und so weiter. Und natürlich ist ein agentenloser Antivirus nicht die einzige Schutzmöglichkeit, und VMware ist nicht die einzige Virtualisierungsplattform, wenn auch die beliebteste.

Es gibt drei Möglichkeiten, virtuelle Infrastrukturen zu schützen: agentenlos, light agent und full agent

Welche Alternativen gibt es also für den Schutz virtueller Systeme?

Agentenlos

Beginnen wir kurz mit einem „bisher in Eugene Kasperskys Blog“, da hierüber schon mit aller Tiefe gesprochen wurde (hier)…

Dieser Ansatz benötigt eine spezielle virtuelle Maschine mit Antivirus-Engine, die Security Virtual Appliance. Diese Maschine scannt den Rest der virtuellen Infrastruktur auf Schadprogramme, indem sie sich über die native VMware-vShield– Technologie mit den anderen virtuellen Maschinen verbindet. vShield interagiert auch mit dem Antivirus-System-Management, so dass es die Einstellungen der Policies kennt und weiß, wann der Schutz ein- und ausgeschaltet werden muss, wie er optimiert werden kann und so weiter.

Kaspersky Security for Virtualization - Agentless ImplementationDie Security Virtual Appliance schützt alle anderen virtuellen Maschinen

Read on: Drei Möglichkeiten für den Schutz virtueller Maschinen.

AVZ: Heuristik ohne Fehlalarme – für den den Kampf gegen zukünftige Bedrohungen.

Wie kann man ALLE Schädlinge entdecken und entschärfen, die sich tief in Ihrem Computer verstecken? Vor allem diese fiesen Exemplare, die man noch gar nicht kennt, und die dann auch noch einen verdammt hohen Boshaftigkeits-IQ haben (und oftmals durch eine Regierung gesponsort wurden)?

Ganz einfach: Das geht nicht.

Nun ja, man kann es zumindest versuchen; aber um die sprichwörtliche schwarze Schadprogramm-Katze in einem stockfinsteren Raum zu finden, braucht man schon eine ganze Handvoll erstklassiger Experten, die die Aufgabe manuell lösen. Und das ist teuer. Das Ganze mit einem Antiviren-Produkt automatisch zu tun, ist schon etwas Anderes: Normalerweise kommt man nur soweit, dass man den Geruch solcher hochentwickelter Infizierungen bemerkt – aber das war’s dann auch schon. Wobei das in erster Linie für die alte Herangehensweise mit klassischen Virensignaturen und Datei-Scannern gilt.

Was ist also die Lösung?

Auch das ist wieder ganz einfach: Man gibt ein paar Superhirnen die Aufgabe, diese anspruchsvolleren Such- und Entschärfungsfunktionen eines Antiviren-Produkts zu automatisieren.

Wie wir bei Kaspersky Lab das geschafft haben?

Read on: AVZ: Heuristik ohne Fehlalarme – für den den Kampf gegen zukünftige Bedrohungen.

Löchriges Java.

Juhuu! Ein weiteres Torpedo der Cyberkriminellen gegen Microsoft Office wurde von unserem schlauen und hartnäckigen Cyber-Schutz abgewehrt.

Kürzlich wurde eine neue, aber eigentlich ganz gewöhnliche Attacke entdeckt: Beim Öffnen von Word-Dokumenten wird heimlich Schadcode auf den Computer übertragen. Das alleine ist noch keine Schlagzeile wert, wenn es nicht eine Zero-Day-Attacke wäre, also ein Angriff, der eine bisher unbekannte Sicherheitslücke in Microsoft Office ausnutzt, für die es noch keine Patches oder Updates gibt, und die von den meisten Antiviren-Programmen nicht entdeckt wird. Sie können sich natürlich denken, dassunsereProgramme den Angriff dank ihres engmaschigen Netzes sofort entlarvt haben!

Unser automatischer Schutz vor Exploits hat das unnormale Verhalten aufgespürt und die dahinter steckenden Angriffe blockiert. Ohne Updates, ohne Wartezeit, ohne Ärger. Direkt abgeschossen.

Zero-Day-Angriffe sind heute eine ernste Gefahr.

Sie müssen mit voller Kraft abgewehrt werden. Allerdings sind viele Antiviren-Programme gegen diezukünftigen Risiken solcher Zero-Days machtlos, da sie vor allem mit Signaturen arbeiten, die „Schutz vor zukünftigen Bedrohungen“ nur auf dem Papier/auf der Schachte „bieten“ (allerdings auf schönem Papier/glänzender Schachtel  ). Aber das ist auch ganz klar! Denn schließlich benötigt echter – effektiver! – Schutz vor zukünftigen Gefahren ziemliches Hirnschmalz und große Entwicklungsressourcen. Nicht jeder Hersteller hat Ersteres, und wenn ein Hersteller das Zweite hat, reicht das nicht immer.Und wir reden hier von Technologien, die überhaupt nicht einfach zu kopieren sind…

Und auch wenn Buddha und die New-Age-Jünger in Bezug auf Individuen vielleicht recht haben, wenn sie sagen, man solle im Heute leben, im Moment – für die IT-Sicherheit gilt das nicht, wie wir uns sicher sind. IT-Sicherheit muss ständig in die Zukunft blicken und vorhersehen, was in den Köpfen der Cyber-Straftäter vor sich geht – bevor etwas passiert. Ein bisschen wie in Minority Report. Deshalb war „proaktiv“ schon Anfang der 1990er Jahre auf unserer Agenda – damals haben wir in der IT-Security-Branche für Furore gesorgt, da wir unter anderem eine Heuristik und unseren Emulator entwickelt hatten.Vorausdenken liegt bei Kaspersky Lab einfach im Blut!

Seit damals hat sich die Technologie neu erfunden, wurde verbessert und erweitert, bis vor etwa zweieinhalb Jahren alle Funktionen zum Schutz vor dem Ausnutzen bekannter und unbekannter Sicherheitslücken unter dem Dach des automatischen Exploit-Schutzes zusammengefasst wurden. Und das war gerade rechtzeitig. Denn damit konnten wir proaktiv eine ganze Menge zielgerichteter Attacken aufdecken, inklusive RedOctoberMiniDuke und Icefog.

Dann kam ein plötzlicher Ausbruch ungesunden Interesses an Oracles Java, doch der Exploit-Schutz war auch hier zur Stelle: Er hat das ganze ungesunde Zeug bekämpft. In den Kampf geführt hat den Exploit-Schutz das Java2SW-Modul – das extra für das Aufspüren von Angriffen über Java entwickelt wurde.

Und über dieses Modul möchte ich Ihnen heute etwas mehr erzählen.

Die Software-Landschaft in einem typischen Computer ist ein bisschen wie eine alte Patchworkdecke: Viele Flicken und genau so viele Löcher! Sicherheitslücken in Software werden regelmäßig gefunden (und je beliebter ein Programm ist, desto mehr und desto öfter werden welche darin aufgespürt), und die Hersteller der Software müssen diese schließen, indem sie Patches veröffentlichen…

…Aber Nummer 1: Software-Entwickler veröffentlichen Patches nicht sofort; manche sitzen monatelang untätig herum!

Aber Nummer 2: Die meisten Anwender vergessen (oder kümmern sich nicht darum), Patches zu installieren, und arbeiten mit der löchrigen Software weiter.

Allerdings: Die große Mehrheit der weltweiten Computer ist mit Antiviren-Software ausgestattet!

Was muss man also tun? Ganz einfach: Java2SW auf die Bühne bringen. Warum? Weil es im Java-Bereich zwei Fliegen mit einer Klappe schlägt.

Allgemein kann man sagen, dass die Java-Architektur, vom Sicherheitsstandpunkt aus betrachtet, recht fortschrittlich ist. Jedes Programm wird in einer isolierten Umgebung ausgeführt (JVM – Java Virtual Machine), und zwar unter der Aufsicht eines Security Managers. Allerdings wurde Java leider zum Opfer seiner eigenen Popularität – egal wie gut das System geschützt war, wurden dennoch bald (direkt proportional zur Beliebtheit) Sicherheitslücken gefunden.Sicherheitslücken werden früher oder später immer gefunden, und jeder Software-Entwickler muss sich darauf vorbereiten. Vor allem durch (i) die frühzeitige Entwicklung schützender Technologien, (ii) schnelle Reaktion und (iii) die Information der Anwender, wie wichtig das Installieren von Patches ist.

Mit Blick auf Java, hat Oracle in Bezug auf die eben genannten Punkte keine tolle Arbeit geleistet. Sie haben sogar so  mies gearbeitet, dass Anwender en masse angefangen haben, Java von ihren Browsern zu deinstallieren – egal, wie umständlich das Öffnen bestimmter Webseiten dadurch wurde.

Urteilen Sie selbst: Die Zahl der Sicherheitslücken, die im Jahr 2010 in Java gefunden wurden, betrug52; 2011 waren es 59; 2012 waren es 60; im Jahr 2013 dann180 (und das Jahr ist noch nicht ganz vorbei)! Während die Zahl der Angriffe über diese Java-Sicherheitslücken ähnlich besorgniserregend stieg:

Java2SW

Read on: Löchriges Java.

K-LOVE UND KISSES 2014 – TEIL 3: GRÜNDE, SICH ZU FREUEN.

„Die Person muss dazu gebracht werden, sich von ihrem Geld zu trennen. Er muss moralisch entwaffnet werden, und seine grundlegenden Instinkte müssen unterdrückt werden.“

Nein, das ist nicht von Don Draper; das ist ein Zitat von Ostap Bender, einem klassischen fiktionalen Helden der russischen Literatur der 1930er Jahre. Und nein, er ist nicht mit dem anderen berühmten Bender verwandt!

Interessanterweise scheint es, als wüsste Herr Bender ein oder zwei Dinge über Kapitalismus, obwohl er aus einem kommunistischen Land stammt. Hmmm…

Wie auch immer, er wusste auf jeden Fall, dass es  manchmal möglich ist, Menschen dazu zu bringen, sich von ihren hartverdienten Schekeln zu trennen, wenn sie auf die richtige Art manipuliert werden – die Menschen, nicht die Schekel.

Schneller Vorlauf ins Heute… diese Art der Manipulation gibt es immer noch – auf eine moderne, HiTech-, Cyber-Art: Heute geben die Menschen Ihre grünen Scheinchen mehr oder weniger gerne den Kriminellen, die hinter Blockern, auch Ransomware genannt, stecken, die eine ganz besonders hintehältige Art der Computer-Schädlinge darstellen. Aber als Kaspersky-Anwender brauchen Sie keine Angst zu haben: In die  neue Version von Kaspersky Internet Security (KIS), haben wir eine schöne Überraschung für die blockierenden Blockheads und ihre Erpresserprogramme eingebaut.

Die kriminellen Ransomware-Programmierer machen einen Umsatz von über 15 Millionen Dollar, während die Zahl der Opfer in die Zig-Millionen geht.

Das Prinzip und die Technologie hinter Blockern/Ransomware ist recht einfach: Über einen der möglichen Infizierungswege (zum Beispiel über eine Sicherheitslücke in einem Programm), gelangt ein Schadprogramm auf den Computer, der dann ein (nicht) witziges Bild mit einem erschreckenden Text (nicht erschreckend mit KIS :)) anzeigt – und er blockiert den Computer und alle Programmfenster.

Das Freischalten ist nur möglich (naja, war nur möglich – siehe unten), durch die Eingabe eines einzigartigen Codes, den man natürlich nur von den Cyberbetrügern bekommen kann, die den Computer infiziert haben. Und natürlich muss man dafür eine Gebühr zahlen, entweder über eine Premium-SMS oder ein Online-Zahlungssystem. Bis zur Zahlung dieses Lösegelds bleibt der Computer gesperrt– egal, was Sie tun (inklusive dem Ctrl+Alt+Del-Griff), und egal, welche Programme Sie versuchen zu starten (inklusive dem Antiviren-Programm); alles was Sie sehen ist so etwas:

Read on: K-LOVE UND KISSES 2014 – TEIL 3: GRÜNDE, SICH ZU FREUEN.

„Zu leben ist – Krieg mit Trollen“*

Die Euphorie nach unserem kürzlichen Sieg über einen Patent-Troll hat sich gelegt – ein wenig. Es war schön, die verschiedenen Berichte der guten Nachricht (etwa diesen, diesen, diesen, diesen oder diesen) und die ermutigenden Kommentare von Anwendern zu lesen. Doch der eigentliche Kampf hat erst begonnen – vor uns liegen harte Arbeit und viele Mühen, wenn auch interessante Mühen. Also ist jetzt wohl eine gute Zeit, zu resümmieren.

Read on: „Zu leben ist – Krieg mit Trollen“*

K-LOVE UND KISSES 2014 – TEIL 2: ALPHA, BETA, ZETA.

Willkommen zurück!

Was es sonst noch Neues unter der Motorhaube von Kaspersky Internet Security 2014 (KIS) gibt? Der heutige Stargast ist dieZETA-Shield-Technologie.

Ich denke, ZETA Shieldkann man am besten als High-Tech-Antiviren-Mikroskop bezeichnen, mit dem die listigsten Schadprogramme entdeckt und eliminiert werden können, die sich tief im Inneren komplizierter Dateien verstecken. Kurz gesagt ist es unsere einzigartige Verteidigungstechnologie gegen bisher unbekannte Bedrohungen, die Cyber-Seuchen selbst an den unerwartetsten Orten findet.

Um das Konzept besser erklären zu können, stellen wir uns einmal traditionelle russische Puppen, die so genannten Matrioschkas, vor.

Ein Antivirus sollte dieverschachtelte Essenz eines Schadprogramms auspacken können, wie bei einer russischen Puppe. Doch das ist nicht so einfach.

Man macht eine auf und findet darin eine andere, und darin eine weitere, und so weiter. Und wenn man darüber spricht, wo und wie sich Schadprogramme verbergen, passt dieser Vergleich sehr gut. Schadprogramme versuchen mit aller Macht, sich in ihrer Umgebung zu verstecken und nutzen dafür sogar digitale „plastische Chirurgie“, um ihr Aussehen zu verändern und sich vor Antivirus-Programmen zu verstecken. Der Schädling schreibt sich selbst in Archive, Multimedia-Dateien, Office-Dokumente, Skripte, usw., usw. – die Möglichkeiten sind dabei endlos. Die Aufgabe des Antiviren-Programms ist es, in all diese verschiedenen Objekte hinein zu sehen, ihr Inneres zu durchleuchten und das Schadprogramm zu finden.

Und das ist alles? Nun… so einfach ist das Ganze leider nicht.

Antivirus-Programme können schon lange auch komplizierte Dateien auseinandernehmen. So haben andere Firmen zum Beispiel seit den frühen 1990er Jahren unsere Antivirus-Engine lizenziert, vor allem wegen ihrer Fähigkeit, Archive und gepackte Dateien auspacken zu können. Doch das Auspacken ist nur ein Teil der Arbeit. Man braucht auch ein Instrument, das schlau genug ist, solche komplizierten Dateien nicht nur auseinander zu nehmen, sondern diese „Matrioschkas“ auch analysierenkann und versteht, welche ihrer Inhalte was tun, welche Verbindungen zwischen unterschiedlichen Ereignissen bestehen, und das natürlich eine finale Diagnose stellen kann. Dies am besten proaktiv – also ohne klassische Signaturen und Updates. Das ist ein bisschen wie die Detektivarbeit beim Aufspüren potenzieller binärer Kampfstoffe. Solche Waffen bestehen aus individuellen Komponenten, die alle für sich genommen harmlos sind, aber zu einer tödlichen Waffe werden können, wenn man sie zusammenbringt.

Und genau da kommt ZETA Shield ins Spiel.

Und auch gerade rechtzeitig, da die Zahl und Verdorbenheit sowohl von zielgerichteten als auch von Zero-Day-Attacken immer mehr ansteigen. Und genau für den Umgang mit diesen Bedrohungen wurde ZETA Shieldentwickelt (ZETA = Zero-Day Exploits & Targeted Attacks).

ZETA Shield

ZETA Shield ist eine weitere Neuerung in KIS 2014, die von unseren Business-Lösungen übernommen wurde – die andere ist der Modus für vertrauenswürdige Programme. ZETA tauchte ebenfalls zunächst in unseren Firmenlösungen auf, wo sich die Technologie beweisen konnte und nun für unsere Heimanwender-Produkte adaptiert wurde. Und soweit ich weiß, ist dies die erste Anwendung so einer Technologie in einem Produkt für Heimanwender.

Die Arbeit von ZETA kann in zwei Ebenen eingeteilt werden:

Zuerst der mechanische Teil – das Ziel muss auseinandergenommen werden. Ein Word-Dokument kann zum Beispiel eingebettete Objekte enthalten – andere Dateien, Flash-Dateien, andere Dokumente und sogar Installationsdateien für Betriebssysteme oder eine Virensammlung – wirklich alles ist möglich! Unsere Aufgabe ist es, die Absichten all dieser Objekte herauszufindenund sie zu klassifizieren (und diese Dinger lieben es, sich zu verkleiden!).

Dann wird es richtig interessant… Die heuristische Analyse kommt hinzu – wägt die Inhalte ab, prüft die Verschachtelung und die Beziehung der Objekte untereinander, bewertet ihre Ähnlichkeit zu Bedrohungsbeispielen, die früher entdeckt wurden, findet Anomalien, und fällt eine Entscheidung darüber, wie gefährlich eine bestimmte Datei ist (also ob es sich um eine binäre Waffe handelt oder nicht).

ZETA Shield arbeitet eng mit anderen Schutztechnologien zusammen. Dadurch trifft es fundiertere (bessere) Entscheidungen.

Diese Entscheidung wird gemeinsam mit unserem Cloud-basierten Kaspersky Security Network (KSN) gefällt, das dem Antiviren-Programm Statistiken zu ähnlichen verdächtigen Symptomen auf den Computern anderer Nutzer gibt.Über das KSN erkennen wir das Ausmaß und die geographische Verteilung von Bedrohungen, können die typischen Anomalien einer zielgerichteten Attacke identifizieren und erhalten viele weitere nützliche Daten, die auch unseren Anwendern in Zukunft helfen können.

Noch ein Vergleich: Was ZETA Shieldzunächst macht, ähnelt dem Identifizieren eines Autos über seine Einzelteile. Plastik-Chassis? Motorrad-Motor? Deutsch? Muss ein Trabant sein. Ganz einfach!

Doch was als nächstes kommt – also das Zerlegen des Trabant in seine Einzelteile und deren Analyse, um zu sehen, wie jedes einzelne Teil funktioniert – benötigt schon mehr Hirnschmalz.

Nehmen wir als Beispiel die zielgerichtete Attacke vom März dieses Jahres: Den Opfern wurden RTF-Dokumente mit vielversprechenden Titeln wie „Finanzergebnis der ersten neun Monate 2012“ geschickt, angeblich von der Rubin Submarine Manufacturing Company (ja, diese Art des Social Engineering funktioniert immer noch). Tief in dem Dokument waren ein Exploit sowie ein Malware Dropper versteckt. Doch – und da liegt der Hund begraben – die Antivirus-Software, die von den Opfern benutzt wurde, erkannte diese Schädlinge nicht, da die Cyberkriminellen sie in einem ganzen Haufen Müll sehr gut versteckt hatten! ZETA Shield erkannte das fragliche RTF-Dokument andererseits sofort als schädlich!

ZETA Shield

Eine wichtige Funktion dieser Technologie in einer Firmen-Umgebung ist die Fähigkeit, nicht nur einzelne Dateien auseinander zu nehmen, sondern auch Datenströme. Am Ende des Tages ist jede Datei ein Teil des Gesamtbilds, und durch den Blick auf das Gesamtbild (aller Komponenten einer binären Waffe) ist es möglich, kompliziertere Beziehungen zu erkennen und fundiertere (bessere) Entscheidungen zu treffen.

Leider musste ZETA Shield bei KIS 2014 etwas eingeschränkt werden – aus Gründen der Leistungsfähigkeit: Die Heimanwenderversion arbeitet nur mit Dateien und nur im On-Demand-Modus. Doch für die richtige Computer-Hygiene (d.h. die regelmäßige vollständige Überprüfung des Computers) ist sie immer noch ein wichtiges Element zur Verteidigung der Heimanwender vor zielgerichteten Angriffen. (Zum Beispiel werden hochrangige Manager nicht nur im Büro, sondern auch auf ihren privaten Computern angegriffen. Zu Hause haben sie aber leider nicht den Schutz wie im Unternehmensnetzwerk. Und genau da ist ZETA Shieldperfekt, da es zusammen mit demModus für vertrauenswürdige Programmeund dem automatischen Schutz vor Exploits zuverlässig alle Angriffe blockiert, die Sicherheitslücken ausnutzen.)

Die logischen Fragen dabei sind (i) warum packen wir diese clevere Server-Technologie in ein Heimanwender-Produkt, und (ii) wer zielt mit einer zielgerichteten Attacke auf einen privaten Computer (oder auch auf Computer in einer kleinen Firma)?

Zunächst ein wichtiger Punkt:

Zielgerichtete Attacken werden nicht nur gegen Regierungen, Politiker und große Unternehmen durchgeführt. Jederkann zum Opfer werden. Und deshalb denken wir, dass Schutzmaßnahmen gegen zielgerichtete Attacken auch in Produkten für Heimanwender enthalten sein sollten.

Viele glauben, dass sich zielgerichtete Attacken immer gegen Regierungen, militärische Einrichtungen, kritische Infrastrukturen oder Politiker richten. Und wenn sie auf Firmen abzielen, dann zumindest auf große Konzerne wie Microsoft. Und oft herrscht auch der Glaube, dass die unglaubliche Komplexität solcher Attacken es wert ist… von Hollywood unsterblich gemacht zu werden.

Nein. Und nein.

Der Grund für die erste falsche Annahme kann dadurch erklärt werden, dass die Medien nur über Angriffe auf höchster Ebene berichten. Und der Grund für die zweite Fehlannahme kommt von der Menge unverständlicher technischer Ausdrücke, oder – im Gegensatz dazu – der fehlenden Information über solche Vorfälle. Damit ist es nur logisch, dass viele denken „Aha, sie haben ein Ministerium angegriffen, und für Ministerien arbeiten Top-Sicherheitsspezialisten mit guten Schutztechnologien, also müssen zielgerichtete Attacken von echten Computer-Genies entwickelt werden“.

Doch in Wirklichkeit kann jeder Anwender und jede Organisation zum Opfer einer zielgerichteten Attacke werden, wie die Possen der Winnti-Hacker-Gruppe oder die Existenz kommerzieller Spyware wie FinSpy beweisen. Vergessen Sie nicht, dass Computer-Bedrohungen manchmal so unkontrollierbar wie eine Grippe sind – eine zielgerichtete Attacke kann leicht außer Kontrolle geraten und viele Unschuldige treffen (manchmal sogar jemanden aus dem eigenen Lager!).

Und wenn es um die anscheinende Komplexität zielgerichteter Attacken geht, trifft das Wort ‚anscheinend‘ den Nagel auf den Kopf. Es ist schon richtig, dass es komplizierte Cyber-Operationen gibt (etwa Stuxnet und Flame). Doch die große Mehrheit der Angriffe besteht aus Kombinationen bekannter Methoden, gewürzt mit ein bisschen Social Engineering. Und es wird sogar leichter und billiger. Sie können sich heute für etwa 1.000 Dollar Exploit-Kits kaufen und wie bei einem Baukasten zusammenstellen.

Mit ZETA Shield sind wir für die Zukunft gerüstet. Und Sie sind es mit uns.

Kommen wir zum Schluss noch zum Hauptgrund, warum wir eine „clevere Server-Technologie“ und den Schutz auf mehreren Ebenen in unsere Heimanwender-Produkte eingebaut haben: Jede Erfindung, auch eine böse, hat eine bestimmte Lebensdauer. Früher oder später werden viele Cyber-Bösewichte eine Möglichkeit finden, auch die kompliziertesten Attacken anzuwenden, die vorher nur den absoluten Spezialisten vorbehalten waren (ja, das ist die Kommerzialisierung zielgerichteter Attacken). Doch darauf sind wir vorbereitet: KIS kann schon heute den stärksten Angriffen von Morgen widerstehen!

Zusammengefasst kann man sagen: Wir sind für die Zukunft gerüstet. Und Sie sind es mit uns.