Schlüsselwort-Archiv: malware\

Schützen Sie mit KICS industrielle Kontrollsysteme

Hurra!

Wir haben KICS (Kaspersky Industrial CyberSecurity) auf den Markt gebracht. Die spezielle Cyberimpfung gegen Cyberkrankheiten, die Fabriken, Kraftwerke, Krankenhäuser, Flughäfen, Hotels, Kaufhäuser, Ihr Lieblingsdelikatessengeschäft und Tausende anderer Unternehmensarten schützt, die industrielle Kontrollsysteme (Industrial Control Systems ICS) verwenden. Wenn man es aus einem anderen Blickwinkel betrachtet, gibt es unter den heutigen Unternehmen kaum welche, die ein derartiges System nicht verwenden. Wir haben also eine Cyberlösung für Millionen von großen, mittleren und kleinen Produktions- und Dienstleistungsunternehmen auf der ganzen Welt auf den Markt gebracht!

Aber was ist dieses KICS ganz genau? Wofür ist es gut? Zunächst ein kleiner Rückblick …

Vor den 2000er Jahren waren Cyberattacken auf Industrieanlagen lediglich eine Inspirationsquelle für Science-Fiction-Autoren. Aber am 14. August 2003 wurde aus Science-Fiction in den nordöstlichen USA und im südöstlichen Kanada Wirklichkeit.

Aufgrund einer Panne im Stromversorgungsnetz mussten 50 Millionen Nordamerikaner — einige für mehrere Stunden, andere mehrere Tage — ohne Strom auskommen. Es wurden viele mögliche Gründe für diese von Menschenhand geschaffene Katastrophe vorgebracht, wie umgestürzte Bäume, Blitzeinschläge, bösartige Eichhörnchen und … sie wurde als Nebeneffekt eines Cyberangriffs mithilfe des Computerwurms Slammer (Blaster) ausgelegt.

Read on: Schützen Sie mit KICS industrielle Kontrollsysteme

Gesamtüberblick

Letztes Frühjahr (2015) haben wir Duqu 2.0 aufgedeckt — einen hochprofessionellen, sehr teureren Cyberspionage-Einsatz. Wahrscheinlich staatlich unterstützt. Wir sind auf den Einsatz aufmerksam geworden, als wir eine Betaversion von Kaspersky Anti Targeted Attack (KATA) getestet haben — unsere Sicherheitslösung, die vor komplexen gezielten Angriffen wie Duqu 2.0 schützt.

Und jetzt, ein Jahr später, kann ich stolz ausrufen: Hurra! Das Produkt ist nun offiziell veröffentlicht und voll einsatzbereit!

Kaspersky Anti-Targeted Attack Platform

Aber lassen Sie mich zunächst einmal einen Schritt zurückgehen, um Ihnen zu erklären, wie es so weit gekommen ist — wieso wir es jetzt mit staatlich unterstützter Cyberspionage zu tun haben und warum wir einen sehr spezifischen Schutz entwickeln mussten.

(Diejenigen, die lieber direkt zum Punkt kommen wollen, können die Einleitung über diesen Link abkürzen.)

So oft wird von der „guten alten Zeit“ gesprochen — gerade so, als wären in der Vergangenheit keine schlechten Dinge passiert. Die Musik war besser, die Gesellschaft gerechter, die Straßen sicherer, das Bier hatte eine schönere Schaumkrone und so weiter und so fort. In Bezug auf manche Dinge war es früher allerdings wirklich besser; ein Beispiel ist, dass es in vergangenen Jahren relativ einfach war, Cyberplagen zu bekämpfen.

Damals habe ich das natürlich nicht so gesehen. Wir haben 25 Stunden am Tag gearbeitet, 8 Tage die Woche, und die Virenschreiber und ihre beeindruckende Vermehrungsrate verflucht. Jeden Monat (und mitunter häufiger) gab es weltweite Wurmepidemien und wir dachten die ganze Zeit über, dass die Situation wohl kaum viel schlechter werden kann. Wie wir uns geirrt haben…!

Anfang dieses Jahrhunderts wurden Viren noch vorwiegend von Studenten und Cyberrowdys geschrieben. Diese hatten weder die Absicht, noch die Fähigkeiten, ernstzunehmende Malware zu entwickeln, so dass die Epidemien, für die sie verantwortlich waren, oftmals mit proaktiven Methoden, binnen weniger Tage ausgelöscht wurden. Sie hatten schlichtweg keine Motivation, um tatsächlich bedenkliche Malware auszutüfteln; sie haben nur zum Spaß Schadprogramme geschrieben, wenn DOOM und Duke Nukem anfingen, sie zu langweilen J.

Mitte der 2000er Jahre kamen auf einmal große Geldsummen im Internet ins Spiel und neue Technologien, über die sich alles vernetzen ließ, von MP3-Playern bis hin zu Atomkraftwerken. Professionelle cyberkriminelle Gruppierungen traten in Erscheinung und machten Jagd auf das große Geld, das im Internet zu holen ist, während Cybergeheimdienste von den technologischen Möglichkeiten angezogen wurden. Diese Gruppen hatten die Motivation, die Mittel und das Know-how, um hochkomplexe Malware zu entwickeln, ausgefeilte Angriffe auszuführen und dabei nicht auf dem Radar erfasst zu werden.

Etwa um diese Zeit herum „starb die Antivirensoftware“: traditionelle Schutzmethoden konnten keine ausreichende Sicherheit mehr bieten. Es begann ein regelrechtes Cyberwettrüsten — eine moderne Interpretation des ewigen Modells der auf Gewalt basierenden Macht — entweder man greift an oder man verteidigt sich. Cyberattacken wurden selektiver/zielgenauer in Bezug auf die gewählten Angriffsziele, diskreter und weitaus fortgeschrittener.

„Grundlegende“ Antivirensoftware, (die zu diesem Zeitpunkt schon weitaus mehr als nur Antivirensoftware war), war inzwischen zu komplexen Mehrkomponentensystemen weiterentwickelt worden, mit mehrstufigen Sicherheitsmechanismen und vollgepackt mit verschiedenen Schutztechnologien, während fortgeschrittene Firmensicherheitssysteme noch eindrucksvollere Waffenlager zur Zugangskontrolle und zur Erkennung von Eingriffen aufgebaut hatten.

Allerdings hatte diese Herangehensweise, obgleich sie oberflächlich betrachtet sehr eindrucksvoll erschien, einen kleinen aber entscheidenden Nachteil für große Unternehmen: das Verfahren war nicht in der Lage, proaktiv die professionellsten gezielten Angriffe zu erkennen — die einzigartige Malware nutzen, in Zusammenhang mit spezifischem Social Engineering und Zero-Days. Malware, die sich vor Sicherheitstechnologien versteckt halten kann.

Ich spreche von Attacken, die sorgfältig über Monate, wenn nicht Jahre hinweg von Topexperten geplant wurden, mit schier unerschöpflichen Budgets und zum Teil sogar mit staatlicher Förderung. Angriffe wie diese können mitunter jahrelang unerkannt bleiben; der Einsatz der Equation Group beispielsweise, den wir 2014 aufgedeckt haben, hatte seine Anfänge bereits 1996!

Banken, Regierungen, kritische Infrastrukturen, Hersteller — Zehntausende große Organisationen unterschiedlicher Bereiche und mit unterschiedlichen Besitzformen (im Grunde die Basis der heutigen Weltwirtschaft und -ordnung) — es hat sich gezeigt, dass sie alle anfällig sind für diese extrem professionellen Bedrohungen. Und die Nachfrage nach Daten, Geld und geistigem Eigentum des Angriffsziels ist groß und steigt kontinuierlich weiter an.

Was also ist zu tun? Sollen wir diese modernen Extremgefährdungen als unvermeidlichen Teil des modernen Lebens akzeptieren? Den Kampf gegen gezielte Angriffe aufgeben?

Nein, ganz und gar nicht!

Alles, was — auf wie auch immer komplexe Art und Weise — angegriffen werden kann, kann zu einem hohen Grad geschützt werden, wenn eine ernstzunehmende Menge an Zeit und Verstand investiert wird. Es wird nie zu 100% sicheren Schutz geben, aber eben maximalen Schutz, der verhindert, dass Angriffe ausgeführt werden können: Hindernisse, die so beeindruckend sind, dass die Angreifer sich dafür entscheiden, keine weiteren Anstrengungen mehr zu unternehmen und stattdessen ein anderes, weniger gut geschütztes Opfer angreifen. Natürlich gibt es auch Ausnahmen, insbesondere wenn es um politisch motivierte Angriffe auf bestimmte Personen geht. Solche Attacken werden hartnäckig bis zum bitteren Ende durchgezogen — einem siegreichen Ende für den Angreifer. Aber das ist kein Grund, den Kampf gar nicht erst aufzunehmen.

Ok, so viel zum geschichtlichen Kontext. Nun zum wichtigsten Teil: dem Hausmittel gegen fortgeschrittene gezielte Attacken — unsere neue Plattform Kaspersky Anti Targeted Attack (KATA).

 

Was genau ist KATA, wie funktioniert es, und wie viel kostet es?

Zunächst einmal zur grundlegenden Struktur einer gezielten Attacke…

Ein gezielter Angriff ist immer einzigartig: maßgefertigt für eine bestimmte Organisation oder Einzelperson.

Die Kriminellen, die hinter einem gezielten Angriff stehen, beginnen damit, gewissenhaft bis ins kleinste Detail alle Informationen zu ihren Angriffszielen zusammenzusuchen, da eine gründliche Vorarbeit fast genauso entscheidend für den Erfolg eines Angriffs ist, wie das verfügbare Budget. Alle Einzelpersonen, die sie ins Visier nehmen, werden ausspioniert und analysiert: Lifestyle, Familie, Hobbies und so weiter. Auch die Unternehmensstruktur wird gründlich untersucht. Anhand dieser Informationen wird schließlich eine Angriffsstrategie ausgewählt.

Als nächstes (i) dringen die Angreifer in das Netzwerk ein und verschaffen sich aus der Ferne (unentdeckt) Zugriff, einschließlich aller Berechtigungen. Anschließend (ii) gefährden sie die kritischen Infrastruktur-Knotenpunkte. Und schließlich — „geht die Bombe hoch!“ — (iii): sie stehlen oder vernichten Daten, brechen Geschäftsvorgänge ab — was auch immer Ziel des Angriffs ist. Und was gleichermaßen wichtig ist: sie verwischen ihre Spuren, so dass sie nicht zur Rechenschaft gezogen werden können.

Die Motivation, die Dauer der verschiedenen Vorbereitungs- und Durchführungsschritte, die Angriffsvektoren, die Eingriffstechnologie und die angewendete Malware selbst — alles ist individuell unterschiedlich. Aber unabhängig davon wie einzigartig ein Angriff ist, gibt es immer eine Schwachstelle. So dass der Blick aus der Vogelperspektive Gesamtüberblick, der sich aus verschiedenen Quellen im ganzen Netzwerk ergibt, es möglich macht, einen Eingriff zu erkennen.

Um alle Daten über derartige Anomalien zu sammeln und ein Gesamtbild zu erstellen, benutzt KATA Sensoren — spezielle „E-Agenten“ — die fortlaufend den IP-/Web-/E-Mail-Verkehr analysieren und die Vorgänge auf den Workstations und Servern überwachen.

Wir fangen beispielsweise IP-Verkehr (HTTP(s), FTP, DNS) mittels TAP/SPAN ab; der Websensor vernetzt sich über ICAP mit dem Proxyserver, und der Mailsensor wird über POP3(S) mit dem E-Mail-Server verbunden. Die E-Agenten sind richtige Leichtgewichte (für Windows etwa 15 Megabytes), sie sind mit anderer Sicherheitssoftware kompatibel und haben so gut wie keinen Einfluss auf Netzwerk- oder Endpunktressourcen.

Alle gesammelten Daten (Objekte und Metadaten) werden dann an das Analysezentrum übertragen, zur Verwertung und Archivierung mittels verschiedener Methoden (Sandbox, Antivirenscanner und anpassbaren YARA-Regeln, Überprüfung von Dateien und URLs, Abtastung auf Sicherheitsschwachstellen, etc.). Es ist außerdem möglich, das System mit unserer Cloud, dem Kaspersky Security Network, zu verbinden, oder es zur besseren Nutzung intern zu belassen, mit Hilfe einer internen Kopie über das Kaspersky Private Security Network.

Sobald das Gesamtbild erkennbar wird, ist es Zeit für den nächsten Schritt. KATA deckt verdächtige Aktivitäten auf und kann die Administratoren und SIEM (Splunk, Qradar, ArcSight) über jedwede unerfreuliche Entdeckung informieren. Und was sogar noch besser ist: je länger das System in Betrieb ist, und desto mehr Daten über das Netzwerk angesammelt werden, umso effektiver ist es, da atypisches Verhalten leichter zu erkennen wird.

Mehr Details darüber wie KATA funktioniert, gibt es hier.

Und ja; fast hätte ichs vergessen… wie viel kostet das?

Nun ja, darauf gibt es keine einfache Antwort. Der Servicepreis ist von einer Vielzahl Faktoren abhängig; dazu gehört unter anderem die Größe und die Topologie des Unternehmensnetzwerks, wie die Sicherheitslösung konfiguriert ist, und wie viele zusätzliche Services genutzt werden. Eine Sache ist allerdings klar: die Kosten sind unbedeutend verglichen mit dem potenziellen Schaden, den die Plattform abwendet.

AV-SCHUB.

Es war einmal… (selbst die Älteren können sich nicht mehr erinnern, wann). Rund um die Jahrhundertwende (also vor fast 15 Jahren) veröffentlichten wir die am wenigsten erfolgreiche Version unserer Antivirus-Lösung. Sie war mega-leistungsfähig, wenn es um den Schutz vor Schadprogrammen ging, hatte eine riesige Menge an Einstellmöglichkeiten, war aber zu groß und zu langsam, vor allem verglichen mit ihren Vorgängerversionen.

Ich könnte nun Fragen stellen wie „Wer ist daran schuld?“, „Was muss getan werden?“, usw. Aber das mache ich nicht (ich erwähne nur nebenbei, dass wir damals einige einschneidende Personalentscheidungen getroffen haben). Wer könnte sagen, wo wir ohne diesen alten Schluckauf heute als Firma ständen. Das Wichtige ist, dass wir realisiert haben, dass wir einen Fehler gemacht haben. Wir haben unsere Hausaufgabe gemacht und die nächste Version war ihren Mitbewerbern in allen Bereichen überlegen. Es war die Antivirus-Engine, die uns zur Dominanz bei den weltweiten Antivirus-Verkäufen brachte, und unser Anteil wächst nach wie vor.

Es stimmt schon, unsere neuen Produkte waren denen aller anderen in jeder Hinsicht überlegen, inklusive bei der Leistung. Aber dennoch verfolgte uns der Gestank der Langsamkeit viele Jahre… Nun, ehrlich gesagt, stinkt dieses Thema immer noch ein bisschen. Damals taten unsere Mitbewerber viel für das Internet-Trolling – und sie können immer noch nicht damit aufhören. Vielleicht weil es sonst nichts gibt, mit dem sie uns trollen könnten :).

Doch jetzt ist Zeit für den Frühjahrsputz. Wir werfen den Bullsh*t raus, der sich über die Jahre angestaut hat!

Hier einige Testergebnisse aktueller Leistungstests von Antivirus-Produkten. Einfach nur die klaren Fakten einiger respektierter Testlabors – etwas zum Nachdenken. Sehen Sie sich die Ergebnisse anderer Hersteller an, vergleichen Sie und bilden Sie sich Ihre eigene Meinung.

1. AV-Test.org

Ich habe es schon oft gesagt, dass man, wenn man ein objektives Bild bekommen möchte, eine möglichst breite Reihe von Tests mit der größtmöglichen historischen Perspektive ansehen sollte. Es gibt berüchtigte Fälle, in denen Hersteller „aufgemotzte“ Versionen ihrer Programme für spezifische Tests zur Verfügung gestellt haben, anstatt der regulären Versionen.

Die Jungs von AV-Test.org aus Magdeburg haben sehr gute Arbeit geleistet, die Ergebnisse von 23 Antivirus-Lösungen aus dem letzten Jahr (01/2014 – 01/2015) zu analysieren, um festzustellen, wie stark jedes Produkt den Computer verlangsamt.

Nun, es war schön, die kleine „Medaille“ für die Entwicklung der schnellsten Antivirus-Lösung zu bekommen 🙂 

Read on: AV-SCHUB.

Die Evolution von OS-X-Schadprogrammen.

Gibt es Schadprogramme für Macs und OS X?

Oh, ja. Doch aus irgendeinem Grund habe ich über dieses Thema schon länger nicht mehr gesprochen… Das letzte Mal war vor zweieinhalb Jahren. Ja, so lange ist es her, dass der Flashback-Wurm sein Unwesen trieb und weltweit 700.000 Macs infizierte. Die Sicherheitsbranche hat viel Wirbel darum gemacht (und das Flashback-Botnet recht schnell geschlossen), doch seitdem – ist es recht still… Es mag einigen so vorkommen, dass seit damals auf der Mac-Schadprogramm-Front nichts mehr los ist und kein Stückchen iSchädling die ruhigen Wasser der Apple-Bucht gestört hat…

Aber das ist falsch…

Mac malware is not amyth, they do exist

Sicher, wenn Sie die Bedrohung durch Schadprogramme auf verschiedenen Plattformen vergleichen, steht mit viel Abstand ganz oben, so wie immer, die weitverbreitetste Plattform – Microsoft Windows. Weit dahinter liegt Android – immer noch relativ neu. Tja, in den vergangenen drei Jahren bombardierten die Cyberganoven den armen, kleinen, grünen Roboter mit immer mehr Schädlingen. In der Zwischenzeit gab es in der Welt der iPhones und iPads, abgesehen von sehr seltenen Cyberspionage-Angriffen, kaum erfolgreiche Attacken (obwohl einige exotische Methoden angewendet wurden). Mit Macs ist es recht ähnlich – auch hier ist es, verglichen mit anderen Plattformen, recht friedlich; doch in letzter Zeit gab es… einige Unruhe – über die ich in diesem Beitrag sprechen möchte.

Doch zunächst kurz ein paar Zahlen – so eine Art Zusammenfassung:

  • Die Zahl der neuen Mac-Schadprogramme, die in den letzten Jahren entdeckt wurden, geht in die Tausende
  • In den ersten acht Monaten des Jahres 2014 wurden 25 verschiedene Mac-Schadprogrammfamilien entdeckt
  • Die Wahrscheinlichkeit, dass ein ungeschützter Mac von Mac-spezifischen Schädlingen infiziert wird, ist um drei Prozent gestiegen

Im Jahr 2013 entdeckte @kaspersky ~1.700 Schädlinge für OS XTweet
Read on: Die Evolution von OS-X-Schadprogrammen.

Cyber-News von der dunklen Seite – 26. Mai 2014

Hallo zusammen!

Es scheint ewig her zu sein, dass ich hier über Cyber-Schädliches geschrieben haben – über heiße Themen und darüber, was gerade „in“ ist, und so weiter… Nicht, dass Sie denken, wir würden hier nur Däumchen drehen, weil ich nichts zu den Themen sage, die unsere Raison d’être sind…

Lassen Sie mich Ihnen versichern, dass Sie über ALLES, was im Cyber-Dschungel passiert, gut informiert sind; wir schreiben detailliert über all das auf speziellen technischen News-Seiten.

Das Problem ist nur, dass recht wenige Menschen diese Artikel lesen! Das ist vielleicht auch verständlich: All die technischen Details können etwas ermüdend sein – vor allem für technisch weniger versierte Leser. Aber das ist für uns kein Grund, die Artikel nicht zu veröffentlichen. Doch hier auf diesem Blog möchte ich die Leser nicht mit zu viel Technik nerven. Ich beschränke mich darauf, Ihnen die seltsamsten, amüsantesten und unterhaltsamsten Häppchen der weltweiten Cyber-News zu präsentieren.

Alsooo, was war in der letzten Woche Seltsames, Unterhaltsames und Bizarres los?…

 

„Er hat mich geschlagen!“ „Er hat angefangen!“

Das Ringen zwischen den USA und China zum Thema Cyberspionage hat eine neue Wendung genommen…

Diesmal haben die Amerikaner mit Fotos und Namen einiger „Schuldiger“ losgeschlagen: Fünf chinesische Militärspezialisten sind auf das neueste Wildwest-inspirierte „Wanted“-Poster gekommen, da sie in die Netzwerke von US-Firmen eingedrungen sein und Geheimnisse gestohlen haben sollen.

Wanted cybercriminals

Read on: Cyber-News von der dunklen Seite – 26. Mai 2014

Zurück aus dem Totenreich: die Original-Virenautoren.

Hallo zusammen!

Es gibt weltweit viele Veranstaltungen zur IT-Security, doch die RSA Conference ist die wichtigste. Ich will nicht groß darüber schreiben, was hier alles los ist, stattdessen teile ich ein paar Fotos. Die Fotos wurden am Tag vor der Eröffnung gemacht, während noch der ein oder andere Stand aufgebaut wurde – aber dennoch können Sie die fast-fertigen Messehallen sehen, und das ohne Besuchermassen…

RSA Conference 2013

Read on: Zurück aus dem Totenreich: die Original-Virenautoren.

Wann wird Apple an Security glauben?

Meine Erwähnung von Apple in einer Rede bei der CeBIT in Australien sorgte für das übliche aufgeregte Geschwätz und Veröffentlichungen über die Einstellung des Unternehmens zur Sicherheit (hier ein Beispiel).

Da Apples Sicherheit zur Zeit ein heißes Thema zu sein scheint (zumindest seit Flashfake), halte ich es für einen guten Moment, ein paar vernünftige Sachen über das Thema zu sagen. Wie Sie wissen, bemerken wir heute eine wachsende Kluft zwischen Apples Langzeitkampagne „Macs sind für Malware unbesiegbar“ auf der einen Seite, und der Realität auf der anderen Seite. Denn diese Kampagne verliert immer mehr Glaubwürdigkeit, um es milde zu formulieren.

Doch werden die Nutzer den Grips haben, die tatsächliche Sachlage zu verstehen, trotz dessen, was Apple ihnen weiterhin sagt? Was stimmt nicht an Apples Einstellung zur Sicherheit? Gibt es irgendetwas, was Apple von Microsoft und anderen Anbietern über Sicherheit lernen kann?

Vor einem Jahrzehnt trieben Würmer wie Blaster und Sasser ihre Umtriebe auf Microsofts Windows- Plattform und zwangen die Firma, einige schwere – und teure – Entscheidungen zu treffen. Das wichtigste waren die Erschaffung der Trustworthy-Computing-Initiative, die Einführung einer Firmenrichtlinie, die eine weitreichende Neuprogrammierung von Windows XP SP2 einschloss, eine verbesserte Reaktion auf Sicherheitslücken (Patch Tuesday, Sicherheitshinweise) und das obligatorische SDL-Programm (Security Development Lifecycle), mit dem das Betriebssystem bei Hackangriffen widerstandsfähiger wurde.

Das MacOS-X-Flashback-Botnet war Apples Version der Netzwerk-Wurm-Ära. Es war ein Alarmsignal für eine Firma, die Sicherheit bisher traditionell ignoriert hat.

Um Apples Fahrlässigkeit bei der Sicherheit auf den Grund zu gehen, müssen wir zurück ins Jahr 2006 zu dem berühmten Werbespot „Mac gegen PC“ gehen, in dem ein PC wegen einer Vireninfektion nießt und der Mac dem PC ein Taschentuch reicht, aber jeden Schutz ablehnt, da Viren für Mac OS keine Bedrohung sind.

Der Spot war klever und witzig, aber irreführend…