Schlüsselwort-Archiv: Technologie\

11.11: Zwanzig Jahre auf den Tag genau!

Hallo zusammen!

Wir haben ein weiteres Jubiläum zu feiern. Hurra!…

Unser cyber-immunes Betriebssystem – KasperskyOS – ist heute… Moment. Nein, das ist nicht ganz richtig…

Vor genau 20 Jahren – am 11. November 2002 – begann unsere lange, bedeutsame Reise; eine Reise, auf der wir uns tatsächlich immer noch befinden. Ein großes, grandioses Projekt, das noch so vieles im Bereich der globalen Cybersicherheit verändern wird (und bereits verändert!). Und nein, das ist wirklich keine Übertreibung, sondern nichts als die Wahrheit. Aber um die ganze Geschichte unseres cyber-immunen Betriebssystems zu erfahren, müssen wir zunächst einen großen Sprung zu seinen bescheidenen Anfängen in den frühen 2000er Jahren machen…

Bevor wir jedoch 20 Jahre zurück in die Vergangenheit reisen, möchte ich noch ein paar Worte zur Gegenwart verlieren. Heutzutage weiß jeder, der nicht hinter dem Mond lebt, wie wichtig Cybersicherheit wirklich ist. Billionen von US-Dollar werden heute für die Behandlung der Symptome von Cyberproblemen ausgegeben; für die Beseitigung ihrer Ursachen ist das Budget jedoch knapp. Und die einzige Möglichkeit, den Kreislauf der ständigen Symptombekämpfung zu durchbrechen, besteht in einer Überarbeitung der Architektur von Computersystemen. Stimmen Sie mir in diesem Punkt zu? Ja? Gut, das freut mich!…

Das ist mir bereits vor mehr als 20 Jahren – im Herbst 1989! – bewusst geworden. Zu diesem Zeitpunkt wurde mein PC mit dem Cascade-Virus infiziert, der mich sofort neugierig stimmte und mich dazu bewegte, einen Schutz gegen diese und alle anderen Cyber-Viren entwickeln zu wollen.

Für uns war Neugierde also der Anfang von allem. Sie war der Grund, warum unser Antivirenprogramm -V überhaupt erschien, warum später Kaspersky Lab gegründet wurde und warum wir am Ende rund um den Globus expandierten.

12 Jahre nach Cascade realisierte ich schließlich, dass bestehende Betriebssysteme unvollkommen sind und in mir wuchs der stetige Drang, etwas dagegen zu tun (sollten das für Sie zu viele Details der Geschichte sein, tut es mir leid, aber das ist schließlich unser Werdegang😊…). Diese Erkenntnis kristallisierte sich als Ergebnis der folgenden logischen Kette heraus:

1) Die digitale Bösartigkeit war auf dem Vormarsch – und sie würde nur noch schlimmer werden, d. h. weiterverbreitet, vielfältiger und komplexer. Es bestand sogar die Gefahr, dass die globale Cybersicherheitsindustrie irgendwann nicht mehr in der Lage sein würde, mit der Situation fertig zu werden.

2) Das Hauptproblem war die grundsätzlich fehlende Sicherheit von Betriebssystemen: Sie wiesen mehr Löcher als Schweizer Käse auf, mit anderen Worten: sie waren verwundbar. Und es war einfach unmöglich, ihnen ein ausreichend hohes Maß an garantierter Sicherheit zu bieten.

3) Die beiden oben genannten Punkte führten zu folgender Frage: Wäre es möglich, ein Betriebssystem zu entwickeln, das von Grund auf sicher ist? Damit meine ich, per Definition sicher und architektonisch und mathematisch erwiesenermaßen sicher. Ein Betriebssystem, das überhaupt keinen Virenschutz benötigt: ein cyber-immunes Betriebssystem.

Dieser dritte Punkt führte zu einer Reihe von Treffen, an denen unser Team von Spitzeningenieuren/Architekten/Visionären teilnahm. Und das erste Treffen dieser Art fand damals am 11. November 2022 in meinem kleinen Büro in der Hauptgeschäftsstelle statt – ganz einfach deshalb, weil wir zu diesem Zeitpunkt noch nicht über Meetingräume verfügten.

Ich kann mich nicht erinnern, wie hitzig die Diskussion war. Aber ich erinnere mich, dass wir zu sechst waren (und wir alle unverletzt blieben!). Ich erinnere mich auch, dass wir alle sehr fasziniert von der Idee waren und dies auch in den darauffolgenden Treffen blieben. Und das, obwohl wir zu dieser Zeit alle so beschäftigt waren wie nie zuvor. Aber Rom wurde nicht an einem Tag gebaut, und auch nicht unser sicheres Betriebssystem. Daher setzten wir derartige Treffen mehrere Jahre lang so fort. Wir beschlossen übrigens auch, unseren Treffpunkt zu verlegen… und zwar in die Kneipe Fox & Pheasant in der Twerskaja-Straße im Zentrum Moskaus (Sie brauchen nicht danach suchen, die Kneipe gibt es schon lange nicht mehr). So kam es dazu, dass unsere ersten Ideen zu den Plänen für unser OS kurzerhand auf die Papierservietten der Kneipe gekritzelt wurden. Sehr wissenschaftlich. Aber ich schweife vom Thema ab…

2005 ging unser OS-Projekt dann von der konzeptionellen in die praktische Phase über: Andrey „Petrovich“ Dukhvalov und seine Truppe kamen eines Tages in mein Büro und verkündeten, dass sie mit der konzeptionellen Planung fertig seien und es an der Zeit sei, nach geeigneten Talenten für die Entwicklung zu suchen. Eine gewagte Ankündigung, wenn man bedenkt, dass wir überhaupt keine Erfahrung mit der Architektur von Betriebssystemen hatten! Und dann ging es auch schon los. Zunächst Schritt für Schritt, später mit zunehmender Intensität. Versuche, Forschung und viele Fehler. 2006 erhielten wir unser erstes Patent auf eine Betriebssystemtechnologie (heute sind es weltweit bereits 90). 2013 begannen wir mit Beta-Tests des Prototyps. Im März 2015 brachten wir die Kaspersky Security System-Plattform auf den Markt, und ein Jahr später kam unser erstes kommerzielles Produkt dazu – der Kraftway-Network-Switch powered by KasperskyOS. Und so weiter und so fort… Als Nächstes kam unser Industrial/IoT Secure Gateway, dann unsere Automotive Adaptive Platform und erst kürzlich unser Thin Client, der in der vergangenen Woche auf der World Internet Conference in China die prestigeträchtige Auszeichnung „World Leading Internet Scientific and Technological Achievement“ erhielt.

Und wir machen immer weiter, weiter und weiter: Wir haben weitere grandiose KOS-Projekte geplant; wir arbeiten an der Entwicklung eines Ökosystems für Entwickler (sollten Sie daran interessiert sein, werfen Sie einen Blick auf die Community Edition des Betriebssystems) und sehen, dass daran weltweit großes Interesse besteht. Das Projekt ist also nicht umsonst gewesen. Ebenso wie die Treffen im Fox & Pheasant. Eigentlich alles, was mit KOS zu tun hatte. Nicht vergeblich war das ganze 20-jährige visionäre Projekt, das bestätigt, woran ich wirklich glaube: weiterzumachen – komme was wolle! Oder, wie Winston Churchill einst in den schwierigsten Zeiten sagte: „Niemals aufgeben!“.

https://youtu.be/0C87eKEUYtk

3 Zutaten für Cybersicherheit auf höchstem Niveau: Analyse der Vergangenheit, Testen der Gegenwart & Vorhersage der Zukunft.

Wirft man einen Blick auf die Vergangenheit, kann man sich ein detailliertes Bild von der Gegenwart machen; der analytische Verstand vieler Experten kann Warnungen für die absehbare Zukunft aussprechen oder letztere sogar vorhersagen. Auf diese Weise können auch wir bei K oft genau prognostizieren, in welche Richtung sich die digitale Landschaft entwickeln wird. Zudem halten wir uns über die neuesten Cybertrends auf dem Laufenden, um rechtzeitig die entsprechenden Technologien entwickeln zu können, die wir im Kampf gegen bevorstehende Cyberangriffe benötigen. Ja, tatsächlich hat es auch Zeiten gegeben, in denen wir uns mit unserer auf Fachwissen basierenden Cyber-Prophezeiung geirrt haben – dennoch waren solche Fälle immer die Ausnahme; meistens lagen wir goldrichtig.

Aber wie genau machen wir das? Stecken hinter unseren Cyber-Prophezeiungen ausschließlich superschlaue Typen und Typinnen? Nein, ganz im Gegenteil! Vieles davon ist automatisiert und das ist auch gut so: Menschen können mit der heutigen Rechenleistung, den Algorithmen, Robotern, KI und maschinellem Lernen nicht mehr mithalten. Natürlich wird die humane Denkkapazität noch immer benötigt, aber warum sollte der Mensch die ganze Arbeit allein machen?

In diesem Beitrag möchte ich Ihnen von der technologisch wissenschaftlich fundierten Schwerstarbeit berichten, die es uns ermöglicht, die Zukunft vorherzusagen (bei der es sich übrigens nicht um eine mystische Wahrsagerei à la Wanga handelt).

Lassen Sie mich Ihnen zunächst von der Entwicklung unserer Threat Intelligence Platform (TIP) erzählen.

Aufschlüsseln möchte ich das Thema wie im Titel bereits angedeutet: In die Analyse der Vergangenheit, das Testen der Gegenwart testen und die Vorhersage der Zukunft.

Die Vergangenheit analysieren

Als wir 2016 mit der Entwicklung unserer TIP begonnen haben, befassten sich die ersten Tools mit der Analyse der Vergangenheit. Dies waren (und sind immer noch) die sogenannten Threat Data Feeds. Wie der Name schon sagt, handelt es sich dabei um Daten-Feeds über bereits bekannte Bedrohungen: Angriffsindikatoren, Adressen von Malware-Websites, Adressen von Botnet-Kontrollzentren und vieles mehr. Sie können sich für diese Feeds anmelden, um Updates in Echtzeit zu erhalten.

Auf der nächsten Stufe stehen unsere detaillierten Bedrohungsberichte. Zum Beispiel: analytische Berichte über APT-Bedrohungen, die sich auf zielgerichtete Angriffe und kriminelle Gruppierungen beziehen; Crimeware Intelligence Reporting, das neue Varianten von Schadprogrammen beschreibt; und ICS TI Reporting, bei dem es um die Erfassung neuer Bedrohungen für industrielle Kontrollsysteme geht.

Da wir die Daten, die wir im Laufe des letzten Vierteljahrhunderts gesammelt haben, wahrscheinlich niemals vernichten werden, haben wir jetzt Bedrohungsdaten in Form von unendlichen Petabytes, Exabytes, Zettabytes gespeichert. Und es wäre eine Schande, diese Daten unter Verschluss zu halten. Deshalb haben wir beschlossen, unseren Kunden (wir sprechen hier eindeutig von Unternehmen, d. h. deren IT-/IT-Sicherheitsabteilungen) die Möglichkeit zu geben, unsere Datenbank selbst zu durchsuchen. So entstand unser Threat Lookup Service, eine Art Google Threats, der bereits von Hunderten bekannter und hoch angesehener Unternehmen aus der ganzen Welt genutzt wird.

Die Gegenwart testen

Wenden wir uns nun der Gegenwart zu…

Stellen Sie sich vor, Sie haben irgendwo in Ihrem Unternehmensnetzwerk eine verdächtige Datei gefunden, die Sie umgehend analysieren müssen. Will heißen, dass Ihre Threat Intelligence (TI)-Plattform unverzüglich die notwendigen Analysetools bereitstellen muss.

Als Erstes ist eine statische Code-Analyse fällig. Damit haben wir uns schon vor langer Zeit befasst, als wir mit klassischen Antiviren-Methoden (Hashes, Heuristiken) begannen, die sich im Laufe der Jahre zu einem hochmodernen System für die Bedrohungsanalyse entwickelt haben. Unser System ist jetzt in der Lage, den Ursprung von Malware zu ermitteln, selbst wenn es sich um eine weitgehend umgeschriebene Version von bereits bekannter Malware handelt.

Bestimmte „Gene“ – charakteristische Teile des Computercodes – sind so etwas wie die Signatur eines Hackers und bleiben daher unveränderbar. Und genau solche Gene werden von unserer Threat Attribution Engine erkannt, die darauf trainiert wurde, die Hunderte Millionen von guten und schlechten Genen zu erkennen, die wir in den letzten 25 Jahren gesammelt haben. Das Ergebnis ist, dass wir in der Lage sind, neue Malware bekannten Autoren zuzuordnen.

Danach werfen wir die verdächtige Datei in unsere Cloud-Sandbox. Dabei handelt es sich buchstäblich um eine kontinuierliche dynamische Analyse einer Datei bei ihrer Ausführung in einer isolierten Umgebung. Denn Dateien können unter bloßer Betrachtung ihres Codes vollkommen harmlos erscheinen, aber in der Sandbox ausgeführt versucht die Datei ganz plötzlich etwas zu verschlüsseln! Wer hätte das gedacht?

Nun stellt sich die Frage: Woher kommt diese Hinterlist? Und sollten wir uns in der Umgebung umsehen, um herauszufinden, ob dort noch etwas anderes lauert? Ja, das sollten wir!…

Dazu werfen wir einen Blick auf unseren Research Graph, der die Verbindung der untersuchten Datei zu anderen Objekten darstellt: Domains, mit denen sie interagiert hat, Dateien, die sie geladen hat sowie Verbindungen zu anderen Bedrohungen und Indikatoren, die in unserer Datenbank aufgeführt sind. Diese Indikatoren können dann vom Kunden selbst im Internet gesucht werden.

Die Zukunft vorhersagen

Wir haben also unser Wissen aus der Vergangenheit genutzt, um einen Vorgang in der Gegenwart zu untersuchen. Aber was ist mit der Zukunft? Selbstverständlich ist die Zukunft noch nicht geschrieben – aber wir können bereits Anzeichen dafür erkennen, wie sie höchstwahrscheinlich aussehen könnte. Dinge wie Schwachstellen im Schutz Ihrer Infrastruktur, Schwachstellen in Software und Einstellungen sowie potenzielle Einfallstore für Cyberangriffe gehören zu solchen Indikatoren. In den oben erwähnten abonnementbasierten Berichten (Threat Intelligence Reporting) finden Sie derartige Informationen. Hier beschreiben wir detailliert, welche kriminellen Gruppierungen es auf der Welt gibt, welche Tools und mit welchen Absichten sie diese verwenden. D. h., wir decken ihre TTPs (Tactics, Techniques, and Procedures) – Taktiken, Techniken und Verfahren – auf. Wenn man all dies weiß, kann man sich viel besser auf mögliche zukünftige Angriffe vorbereiten.

Die Methoden der Kriminellen können sich jedoch in verschiedenen Kontexten unterscheiden, und unsere Kunden bitten uns oft um weitere Daten darüber, wie bestimmte Angriffstechniken in einer für sie typischen Situation angewendet werden können. Eine solche Beratung durch Analysten erhalten Sie nun in Echtzeit über unseren Dienst Ask the Analyst.

Weitere Anzeichen, über das, was in der Zukunft passieren könnte, bieten verdächtige Aktivitäten „irgendwo im Internet“, bei denen die Daten eines Unternehmens verwendet werden, was als Planung eines Angriffs angesehen werden kann. Diesen Anzeichen widmet sich unser Dienst Digital Footprint Intelligence (DFI).

Funktionieren tut dies folgendermaßen: Mit Hilfe von speziellen Robotern erstellt unser Expertenteam ein „digitales Porträt“ der jeweiligen Organisation und verfolgt dann, wie diese Daten im Internet genutzt werden, um mögliche Angriffe voraussagen zu können.

Wird beispielsweise eine Domain registriert, die der eines bestimmten Unternehmens sehr ähnlich ist (z. B. durch Änderung eines Buchstabens oder Hinzufügen eines Bindestrichs), und eine Website ins Leben gerufen, die dem „Original“ zum Verwechseln ähnlich sieht, warnt der DFI-Dienst Sie vor solchen Phishing-Seiten, während der Takedown Service bei der raschen Sperrung der Fake-Seite hilft.

Außerdem gibt es in der neuen Version unseres TI-Portals jetzt eine spezielle Internet-Suchfunktion. Was Sie früher in unserer internen Bedrohungsdatenbank fanden, wird nun durch frische Daten aus geprüften offenen Quellen ergänzt, darunter Medien zur Cybersicherheit, Informationssicherheitsforen und Expertenblogs.

Abschließend kann unser TIP auch dazu verwendet werden, die dunkelsten Ecken des Webs (Dark Web, Deep Web) zu durchsuchen. Sie können überprüfen, ob Daten eines Unternehmens einem Leck zum Opfer gefallen sind, ob es Gerüchte über die Schwachstellen eines Unternehmens oder andere Anzeichen für die Vorbereitung eines Angriffs gibt.

Jetzt fragen Sie sich vielleicht, ob wir vorhersagen können, wer in 3 Jahren einen Angriff auf Ihr Unternehmen plant. Und die Antwort ist selbstverständlich nein! Was wir tun können, ist, den Nutzern unserer Analyseplattform die wichtigsten Informationen über die Bedrohungen zu geben, mit denen sie realistischerweise konfrontiert werden können: von wem und warum sie angegriffen werden können, wie solche Angriffe durchgeführt und wie sie sich davor schützen können.

Ich nenne dies ganz gerne unsere „Zeitmaschinen-Cybersicherheit“ bei der Vergangenheit, Gegenwart und Zukunft miteinander verwoben sind! Aber trotz dieser Science-Fiction-Formulierung hoffe ich, dass Sie jetzt erkennen, dass dies alles andere als Science-Fiction ist. Nicht Wanga, nicht Sauron, keine Wahrsager, keine Astrologie, keine Magie. Nur pure Wissenschaft und Technologie!

Wer hätte gedacht, dass man die Vergangenheit analysieren, die Gegenwart erforschen und die Zukunft vorhersagen muss, um im Jahr 2022 erstklassige Cybersicherheit zu gewährleisten? Wir! Und wir tun dies mit Kaspersky Threat Intelligence.

Ein Paradigmenwechsel im Bereich IT-Sicherheit in der Industriebranche: Die Immunisierung von Fabriken

Zehn Jahre sind in der Cybersicherheitbranche viel Zeit. Hätten wir 2011 in die Zukunft sehen und voraussagen können, wie sich die Technologien für Cybersicherheit bis 2022 weiterentwickeln werden – bin ich mir ziemlich sicher, dass niemand es geglaubt hätte. Noch nicht einmal ich! Paradigmen, Theorien, Praktiken, Produkte (Virenschutz, was sonst?) – alles hat sich grundlegend verändert und es wurden große Fortschritte erzielt.

Aber gleichzeitig und trotz all dem Fortschritt – den leeren Versprechungen der künstlichen Intelligenz, den angeblichen Wundern der neuen Technologien und allerlei fragwürdigen  Cybersicherheit-Hypes – sind einige der Probleme im Bereich industrieller Cybersicherheit von vor 10 Jahren immer noch nicht gelöst:

Wie können Daten vor Augen mit bösen Absichten geschützt, ohne Sanktionen geändert und gleichzeitig die reibungslose Kontinuität der Geschäftsabläufe gewährleistet werden?

Tatsächlich stellt die Kombination von zuverlässigem Schutz, Integrität und unkomplizierten Zugang auch heute noch eine große Herausforderung für so ziemlich alle Cybersicherheit-Fachleute dar.

Egal auf welcher Ebene bedeutet „digital“ grundsätzlich ein und dasselbe Problem. Trotzdem möchte kein Unternehmen auf die Digitalisierung verzichten, weil die Vorteile auf der Hand liegen. Selbst scheinbar konservative Bereiche, wie Maschinenbau, Erdölraffination, Transport oder die Energiebranche haben bereits vor vielen Jahren mit dem digitalen Wandel begonnen. Die Vorteile sind offensichtlich, aber wie sieht es mit der Sicherheit aus?

Die Digitalisierung beschleunigt das Unternehmenswachstum. Aber es darf nicht vergessen werden, dass alles, was digital ist, gehackt werden kann und in vielen Fällen auch tatsächlich gehackt wird – an Beispielen in der Industriebranche fehlt es auf jeden Fall nicht. Vollkommen auf Digitalisierung zu setzen ist sehr verlockend – insbesondere die Gewinnsteigerung, die dadurch erzielt wird. Allerdings sollte der Wandel schmerzlos ablaufen und vor allem die Geschäftsabläufe nicht unterbrechen. Und genau dabei kann unser neues, innovatives „Schmerzmittel“ weiterhelfen – das KISG 100 (Kaspersky IoT Secure Gateway).

Diese kleine Box (der empfohlene Verkaufspreis für das Gerät beträgt knapp über 1.000 €) wird zwischen der industriellen Ausrüstung (folgend „Maschinen“) und dem Server installiert, der die diversen Signale dieser Maschinen erhält. Die Art der Daten, die über diese Signale übertragen wird, ist unterschiedlich: Informationen zur Produktion, Systemfehler, Ressourcenverbrauch, Vibrationsstufen, Emissionsmesswerte von Kohlenstoffdioxid (CO2), Stickstoffoxide (NOx) usw. – aber alle diese Daten sind notwendig, um einen lückenlosen Überblick über den Herstellungsvorgang zu erhalten und Entscheidungen treffen zu können, die auf Daten basieren.

Wie Sie sehen, ist das Gerät zwar klein, aber sehr leistungsstark. Zu den wichtigsten Funktionen zählt, dass dieses Gerät ausschließlich die Übertragung von „zugelassenen“ Daten genehmigt. Darüber hinaus können die Daten nur in eine Richtung übertragen werden. Damit schlägt KISG 100 gleich eine ganze Menge Fliegen mit einer Klappe: Angriffe, wie Man-in the-Middle-Angriffe, Man-in-the-Cloud-Angriffe, DDoS-Angriffe und viele andere internetbasierte Bedrohungen unseres digitalen Zeitalters bereiten mit diesem „Schmerzmittel“ keine Kopfschmerzen mehr.

Read on: Ein Paradigmenwechsel im Bereich IT-Sicherheit in der Industriebranche: Die Immunisierung von Fabriken

MLAD – Fabriken mit Machine Learning for Anomaly Detection am Laufen halten

Uff, Gott sei Dank ist es vorbei! Das grässlichste Jahr für die meisten von uns ist endlich zu Ende gegangen, over, finito, passé. Wir hoffen einfach mal, dass die Menschen recht haben, die ständig wiederholen, dass 2021 nur besser werden kann, denn schlimmer ist unmöglich, nicht wahr?

Letztes Jahr stand die ganze Welt quasi zehn Monate lang unter Schock. Und damit meine ich nicht nur die Weltbevölkerung – auch private Unternehmen und die verschiedenen Wirtschaftsräume wurden sehr hart getroffen. Leider gibt es einen Sektor, der gar nicht unter der Pandemie gelitten hat und tatsächliche sogar im letzten Jahr aufgeblüht ist – richtig, es handelt sich um Cyberverbrechen. Durch den Lockdown wechselten viele Menschen vom Büro zum Homeoffice und verbrachten viel mehr Zeit online, dementsprechend befanden sich deutlich mehr potenzielle Opfer von Cyberkriminalität im Internet. Das betraf nicht nur individuelle Benutzer, sondern auch Unternehmen – die Mitarbeiter mussten plötzlich zu Hause arbeiten und viele Unternehmensnetzwerke wurden angegriffen, weil sie nicht ausreichend geschützt waren. Im Frühling 2020 war es vorrangig den abrupten Wechsel zu Remote Work schnell über die Bühne zu bringen und demzufolge war Sicherheit nicht immer die oberste Priorität. Kurz gefasst, der digitale Status quo der Welt wurde auch tüchtig von Covid-19 gebeutelt, ein Virus der direkt aus der Hölle zu kommen scheint.

Aufgrund der stark zunehmenden Anzahl von Cyberverbrechen – besonders Angriffe, die es auf die Sicherheitslücken der Unternehmensnetzwerke abgesehen haben – haben Cybersicherheitsunternehmen mehr denn je zu tun. Ja, das betrifft auch uns! 2020 stellte sich für unser Unternehmen als eines der produktivsten Jahre heraus. Beispielsweise haben wir eine beeindruckende Anzahl an neuen Versionen unserer Sicherheitstechnologien herausgebracht, besonders für Unternehmen.

Wir haben auch neue Versionen der Sicherheitslösungen für industrielle Cybersicherheit entwickelt und in meinem heutigen Blogbeitrag geht es um eine dieser Lösungen, und zwar um MLAD. Bitte nicht mit witzigen Online-Videos verwechseln. Auch nicht mit der Abkürzung MLAD, die für Minimum Local Analgesic Dose (Mindestdosis für Schmerzmittel) steht, noch mit MLAD als Abkürzung für Mid Left Anterior Descending Artery (absteigender Ast der linken Koronararterie). MLAD in diesem Kontext bedeutet Machine Learning for Anomaly Detection, eine Technologie die mehr Sicherheit durch maschinelles Lernen bietet.

Wenn Sie unsere Blogbeiträge regelmäßig lesen, erinnern Sie sich eventuell an die eine oder andere Information zu dieser Technologie, die wir bei Kaspersky anwenden. Vielleicht auch nicht. Aber kein Grund zur Sorge, vorsichtshalber folgt eine kurze Auffrischung zu diesem Thema.

Unser MLAD ist ein System, das maschinelles Lernen zur Analyse von Telemetriedaten der Industrieanlagen verwendet, um Anomalien, Angriffe oder Störungen festzustellen.

Stellen Sie sich vor, Sie besitzen eine Fabrik in der tausende von Sensoren installiert sind – einige messen den Druck, andere die Temperatur usw. Jeder Sensor generiert einen konstanten Informationsfluss. Für einen Mitarbeiter wäre es unmöglich all diese Information im Auge zu behalten, aber für maschinelles Lernen ist diese Aufgabe ein Kinderspiel. Wenn vorweg ein neuronales Netzwerk trainiert wurde, kann MLAD, basierend auf direkten oder indirekten Wechselbeziehungen feststellen, dass etwas in einem bestimmten Bereich der Fabrik nicht richtig funktioniert. Es können Schäden in Millionenhöhe und sogar Verluste von mehreren Millionen vermieden werden, wenn mögliche Vorfälle frühzeitig im Keim erstickt werden.

So, das war die Kurzbeschreibung von MLAD. Jetzt werde ich versuchen die MLAD- Analysen anhand einer medizinischen Metapher detaillierter zu erklären.

Einige von Ihnen besitzen eventuell ein Fitness-Armband. Darauf können Sie Ihren Puls, die Anzahl der getätigten Schritte und ein paar mehr Dinge ablesen. Das Gerät ist mit einigen Sensoren ausgestattet und das war’s auch schon. Nehmen wir an, dass Ärzte über fortschrittlichere Geräte verfügen, die außerdem auch den Blutdruck, die Anzahl von weißen Blutkörperchen usw. messen. Jetzt lassen Sie uns einen Schritt weitergehen und von dem hypothetischen Fall ausgehen, dass Ärzte über ein Gerät verfügen, das mit Zigtausend Sensoren verbunden ist, die am ganzen Körper angebracht sind und jedes Blutgefäß, jede Nervenzelle und alles andere überwachen und kontinuierlich diese Telemetriedaten übertragen. Diese enorme, detaillierte Datenmenge hilft dem Arzt garantiert bei der Untersuchung des Patienten und er kann mithilfe dieser Daten das eine oder andere diagnostizieren und eine Behandlung verordnen. Allerdings würde der Arzt bei der Analyse der großen und komplexen Datenmenge bestimmt Kopfschmerzen bekommen (die auch von einem Sensor festgestellt werden) – Und schwuppdiwupp mit einem im Wind flatternden Umhang und enger Unterhose über den Leggings kommt etwas angeflogen, um dem überlasteten Arzt aufzuhelfen. Sie haben richtig geraten, es ist nicht Supermann, es sind unsere TeKhnologien!

Read on: MLAD – Fabriken mit Machine Learning for Anomaly Detection am Laufen halten

OpenTIP, Staffel 2: Machen Sie mit!

Vor gut einem Jahr habe ich mich an Cybersicherheitsspezialisten gewandt, um ihnen ein neues Tool vorzustellen, das wir entwickelt haben. Unser Open Threat Intelligence Portal (OpenTIP) bietet die gleichen Tools zur Analyse komplexer Bedrohungen (oder lediglich verdächtiger Dateien), die auch unsere GReAT-Cyberninjas verwenden. Und viele andere Leute benutzen sie jetzt auch und testen jeden Monat Milliarden von Dateien.

Aber es hat seit dem vergangenen Jahr viel geändert, da praktisch die ganze Welt wegen des Coronavirus ins Homeoffice gehen musste, was wiederum das Leben der Cybersicherheitsexperten bis heute erschwert. Die Aufrechterhaltung der Sicherheit von Unternehmensnetzwerken ist hundertmal schwieriger geworden. Der Zeitfaktor war dabei schon vor COVID-19 wichtig, heute ist sie umso kostbarer geworden. Deshalb erhielten wir von unseren versierten Benutzern eine einfache und direkte Bitte: API-Zugang und eine höhere Durchsatzratenbegrenzung.

Sie fragten, wir lieferten.

Die neue Startseite des Open Threat Intelligence PortalsDie neue Startseite des Open Threat Intelligence Portals

 

Mit der neuen Version von OpenTIP können sich Benutzer jetzt auf dem Portal registrieren und ich empfehle regelmäßigen Besuchern dringend, sich anzumelden, da bei der Nutzung eines Benutzerkontos ein großer Teil der Tools des bezahlten Open Threat Intelligence Portals verfügbar wird.

Wussten Sie, dass man die API dazu verwenden kann, um Objekte hochzuladen, die man testen möchte? Analyseprozesse können jetzt in OpenTIP schnell und bequem integriert werden.  Neben unbegrenzten Mengen von Dateien können auch andere verdächtige Objekte wie URLs, IPs und Hashes getestet werden.

Jetzt liefert OpenTIP bei ausführbaren Dateien zusätzlich zur Bewertung mehr Rohmaterial für die Analyse, d.h. nicht nur Daten über die Struktur von PE-Dateien, sondern auch aus ihnen extrahierte Textstrings. Unsere supercoole Sandbox, die eigentlich ein eigenständiges, kostenpflichtiges Produkt ist, ist ebenfalls verfügbar. Außerdem haben wir den anonymen Upload von Objekten in den Einstellungen freigeschaltet, der eine Überprüfung der Objekte ermöglicht. Von Anfang an haben wir niemandem erlaubt, die Dateien anderer einzusehen, jetzt ist es aber möglich, getestete Objekte im öffentlichen Verlauf auszublenden.

 

Kaspersky OpenTIP: Öffentlicher VerlaufKaspersky OpenTIP: Öffentlicher Verlauf

 

Auch ohne Registrierung sind die Verbesserungen von OpenTIP spürbar.

Das Interface ist bequemer, zeitsparender und augenfreundlicher, während die Analyseergebnisse viel aussagekräftiger sind.

Wir haben auch zusätzliche Technologien zur Verhaltensanalyse in der zweiten Version von OpenTIP integriert. OpenTIP fällt kein einfaches „infiziert/sauber“-Urteil wie beim traditionellen Endpunktschutz, sondern erstellt vielmehr eine detaillierte Analyse verdächtiger Eigenschaften, auf deren Grundlage ein Analyst entscheiden kann, ob man die Datei näher untersuchen muss. Für verdächtige URLs wird auch eine Kategorisierung der gefährlichen Eigenschaften verfügbar sein.

 

Kaspersky OpenTIP: Zusammenfassung der dynamischen AnalyseKaspersky OpenTIP: Zusammenfassung der dynamischen Analyse

 

 

Für diejenigen, die weitere Funktionen benötigen, lohnt sich die kostenpflichtige Version des Threat Intelligence Portals, die unter anderem Zugang zu detaillierten Berichten unserer Top-Analysten über entdeckte Cyberbedrohungen gewährt.

Genug mit den abstrakten Beschreibungen: Überzeugen Sie sich selbst! Analysieren Sie eine verdächtige Datei auf OpenTIP.

An diejenigen, die unsere Threat Intelligence-Dienste noch nicht abonniert haben: Ich bin mir sicher, dass Sie das Portal als unverzichtbar erachten werden (ja, ich erinnere mich an VirusTotal, aber darüber habe ich das letzte Mal gesprochen). Vor allem aber wird OpenTIP essentiell für diejenigen sein, die es an ihre täglichen Analyseprozesse aller Arten von Cyber-Angriffen anpassen werden.

Ein Frühwarnsystem für Cyber-Förster (Adaptive Kontrolle von Anomalien)

Wenn Sie normalerweise in einem Büro arbeiten, ist es höchstwahrscheinlich immer noch ziemlich leer oder völlig leer, wie unseres. In unserem Hauptgeschäftssitz sind die einzigen Leute, die Sie gelegentlich sehen werden, die Sicherheitskräfte, und das einzige Geräusch, das Sie hören werden, ist das Summen der Kühlsysteme unserer Server, die mit voller Geschwindigkeit arbeiten, da  alle Mitarbeiter von zu Hause aus angeschlossen sind.

Read on: Ein Frühwarnsystem für Cyber-Förster (Adaptive Kontrolle von Anomalien)

Sie mögen ressourcenintensive Spiele? Dann wird Sie unser Gaming-Modus interessieren!

Vor fast 30 Jahren, im Jahr 1993, erschien die erste Inkarnation des Kult-Computerspiels Doom. Und es war eben diesem Spiel zu verdanken, dass die wenigen (stellen Sie sich vor!) damaligen Heimcomputerbesitzer herausfanden, dass man sich am besten mit Schrotflinten und Kettensägen vor Monstern schützen kann.

Read on: Sie mögen ressourcenintensive Spiele? Dann wird Sie unser Gaming-Modus interessieren!

YARA: Wie man schwarze Schwäne voraussagt und fängt

Es ist schon lange her, dass die Menschheit ein Jahr wie dieses hatte. Ich glaube nicht, dass ich jemals ein Jahr mit einer so hohen Konzentration von schwarzen Schwänen verschiedener Arten und Formen erlebt habe. Und ich meine nicht die Art von Schwänen mit Federn: Ich beziehe mich damit auf unerwartete Ereignisse mit weitreichenden Folgen. Die Theorie stammt von Nassim Nicholas Taleb, die in seinem im Jahr 2007 veröffentlichten Buch Der Schwarze Schwan: Die Macht höchst unwahrscheinlicher Ereignisse behandelt wird. Einer der Hauptgrundsätze der Theorie basiert auf der Annahme, dass überraschende, schwerwiegende Ereignisse, die bereits eingetreten sind, im Nachhinein offensichtlich und vorhersehbar erscheinen. Doch ehe sie geschehen, sagt sie niemand voraus.

Ein Beispiel: der schreckliche Coronavirus, der die Welt seit März unter Verschluss hält. Es stellt sich heraus, dass eine ganze Corona-Virenfamilie existiert und dass regelmäßig neue Stränge gefunden werden. Katzen, Hunde, Vögel, Fledermäuse und Menschen können sich mit den Viren anstecken. Bei uns verursachen einige Coronaviren gewöhnliche Erkältungen. Andere manifestieren sich jedoch… anders. Deshalb müssen wir für sie Impfstoffe entwickeln, wie wir sie auch für andere tödliche Viren wie Pocken, Polio und andere getan haben. Sicher, aber ein Impfstoff kann nicht immer viel helfen. Schauen Sie sich die Grippe an, wir haben immer noch keinen Impfstoff und das seit… unzähligen Jahrhunderten? Wie dem auch sei, selbst um einen Impfstoff zu entwickeln, muss man wissen, wonach man sucht, und das ist offensichtlich mehr Kunst als Wissenschaft.

Also, warum erzähle ich Ihnen das? Nun, wenn ich schreibe, wird es wohl zwangsläufig entweder mit Cybersicherheit oder exotische Reisen zu tun haben. Heute handelt es sich jedoch um Ersteres.

Eine der gefährlichsten Cyber-Bedrohungen unserer Zeit sind Zero-Day-Schwachstellen. Hierbei handelt es sich um seltene, (u. a. für Cyber-Sicherheitsexperten) unbekannte Schwachstellen in Software, die großflächige Schäden anrichten können. Die Zero-Day-Schwachstellen neigen aber dazu, solange unentdeckt zu bleiben, bis sie entweder für Angriffe ausgenutzt werden oder vorher entdeckt und gepatcht werden.

Cybersicherheitsexperten haben jedoch Tools, um mit solchen Unsicherheiten umzugehen und schwarze Schwäne vorherzusagen.

In diesem Beitrag möchte ich über ein solches Hilfsmittel sprechen: YARA.
YARA unterstützt die Malware-Erforschung und -Erkennung durch die Identifizierung von Dateien, die bestimmte Bedingungen erfüllen. Es bietet einen regelbasierten Ansatz zur Erstellung von Beschreibungen von Malware-Familien auf der Grundlage von Text- oder Binärmustern. (Das klingt kompliziert, deshalb erkläre ich es Ihnen). Daher wird es zur Suche nach ähnlicher Malware durch die Identifizierung von Mustern eingesetzt. Man möchte damit bestimmte Schadprogramme aufdecken, die so aussehen, als seien sie von denselben Machern und für ähnliche Ziele konzipiert worden.

Costin Raiu von GReAT untersuchte den geleakten E-Mail-Verkehr von Hackern Teams und erstelle aus dem Nichts eine YARA-Regel zusammen, die einen Zero-Day-Angriff entdeckte.

Nun, wenden wir uns einer anderen Metapher zu. Und da ich ja schon über schwarze Schwäne gesprochen habe, möchte ich eine weitere Wasser-basierte Metapher verwenden: das Meer.

Nehmen wir an, Ihr Netzwerk wäre der Ozean, der voll von Tausenden von Fischarten ist. Sie sind ein Industriefischer, der mit seinem Schiff auf dem Meer unterwegs ist und riesige Netze auswirft, um die Fische zu fangen. Für Sie als Fischer sind aber nur bestimmte Fischarten von Interesse (bei den Fischarten handelt es sich um Malware von bestimmten Hackergruppen). Nun, das Netz ist besonders, da es quasi Trennwände besitzt und nur Fische einer bestimmten Fischart (also nur bestimmte Malware-Merkmale) in jeder dieser Kammern gefangen wird.

Am Ende Ihres Seegangs haben Sie eine Menge Fische, die alle innerhalb des Netzes sortiert sind. Einige gefangene Exemplare haben Sie noch nie zuvor gesehen (neue Malware-Proben). Aber wenn Sie sich Ihren sortierten Fang ansehen, können Sie diesen neuen Fisch mit den sonst üblichen Fischen vergleichen: „Sieht aus wie Fisch [Hackergruppe] X aus“ oder „Sieht aus wie Fisch [Hackergruppe] Y aus“.

Dieser Artikel bezieht sich auf einen Fall, der die Fisch/Fischerei-Metapher gut veranschaulicht. Im Jahr 2015 spielte unser YARA-Guru und Chef von GReAT, Costin Raiu, den Cyber-Sherlock, um einen Exploit in Microsofts Silverlight-Software zu finden. Ich empfehle Ihnen, diesen Artikel zu lesen, dennoch resümiere ich kurz den Sachverhalt: Raiu untersuchte sorgfältig den geleakten E-Mail-Verkehr zwischen Hackern, um daraus praktisch wie aus dem Nichts eine YARA-Regel zusammenzustellen. Diese trug dazu bei, die Schwachstelle zu finden und so die Welt vor großen Problemen zu schützen. (Die geleakte E-Mail-Korrespondenz wurde von der italienischen Firma HackingTeam zur Verfügung gestellt. Hierbei handelt es sich um Hacker, die böse Hacker hacken!)

Und was diese YARA-Regeln angeht…

Wir lehren seit Jahren die Kunst der Erstellung von YARA-Regeln. Die Cyber-Bedrohungen, die durch YARA entdeckt werden, sind ziemlich komplex. Deshalb haben wir die Kurse immer vor Ort, persönlich, offline und nur für eine kleine Gruppe von Spitzenforschern im Bereich der Cybersicherheit durchgeführt. Natürlich ist das Abhalten der Offline-Schulung seit März wegen der verschiedenen Distanzierungsmaßnahmen sehr schwierig geworden, aber die Notwendigkeit der Ausbildung ist kaum verschwunden, und wir haben in der Tat keinen Rückgang des Interesses an unseren Kursen festgestellt.

Die Kursabsolventen erhalten ein Zertifikat, das ihren neuen Status als YARA-Ninja bestätigt. Frühere Absolventen sind der Meinung, dass dies ihrer beruflichen Karriere zugute kam.

Das ist natürlich selbstverständlich: Cyber-Bösewichte denken sich immer raffiniertere Angriffe aus, erst recht, wenn sie zuhause eingesperrt sind. Dementsprechend wäre es schlichtweg falsch gewesen, unser spezielles YARA-Know-How während der Quarantäne für uns zu behalten. Deshalb haben wir uns entschlossen, (1) unser Trainingsformat auch online anzubieten und (2) es für jeden zugänglich zu machen. Es ist nicht kostenlos, aber für einen solchen spezialisierten Kurs ist der Preis sehr wettbewerbsfähig und auf Marktniveau.

 

Wir stellen vor:

Jagen Sie APTs mit YARA wie ein GReAT Ninja.

 

Was noch? Ah, ja.

Angesichts der anhaltenden virenbedingten Probleme auf der ganzen Welt unterstützen wir weiterhin die Menschen, die an vorderster Front kämpfen. Seit dem Beginn der Corona-Pandemie vergeben wir kostenlose Lizenzen im Gesundheitsbereich. Jetzt wollen wir auch einer Vielzahl von gemeinnützigen NGOs einbinden, die in verschiedenen Bereichen für Rechte einstehen oder sich dafür einsetzen, den Cyberspace zu einem besseren Ort zu machen. Für sie wird unsere YARA-Schulung kostenlos sein (hier finden Sie eine Gesamtübersicht der NGOs).

Warum? Weil NGOs mit sehr sensiblen Informationen arbeiten, die bei gezielten Angriffen gehackt werden können. Nicht alle NGOs können sich den Luxus einer dezidierte IT-Sicherheitsabteilung leisten.

Online-Cybersicherheitstraining: Interaktive Praxis mit der YARA-Regel

 

Kurzbeschreibung des Kurses:

  • 100% online, selbstgesteuertes Lernen. Sie können den Kurs intensiv an ein paar Abenden oder über einen Monat verteilt absolvieren.
  • Eine Kombination aus Theorie und praktischen Aufgaben. Es gibt ein virtuelles Labor zur Schulung im Schreiben von Regeln und zur Suche nach Malware-Beispielen in unserer Sammlung.
  • Praktische Übungen anhand Fallbeispielen echter Cyberspionage-Angriffe.
  • Ein Modul über die Kunst der Recherche nach etwas Unbekanntem, wenn die Intuition auf ein verstecktes Cyberübel hinweist, aber man nicht genau weiß, wo es sein könnte.
  • Ein Abschlusszertifikat, das Ihren neuen Status als YARA-Ninja bestätigt. Frühere Absolventen bestätigten uns, dass das Zeugnis der Karriere hilft.

Online-Übung Cybersicherheit: BlueTraveller

Die Katze ist aus dem Sack: Ein weiteres äußerst nützliches Tool in Ihrem Repertoire zur Bekämpfung hoch entwickelter Cyber-Bedrohungen. In der Zwischenzeit geht hier bei K alles wie gewohnt weiter. Wir setzen unsere Cyber-Detektivarbeit fort, damit wir noch mehr von unserem allerneuesten Know-how und unserer praktischen Erfahrung im Kampf gegen das Böse weitergeben können.

Das Versteckspiel… mit Fileless-Malware.

Bösartige Codes… irgendwie gelangen Sie überall…

Sie verhalten sich ein bisschen wie Gas, denn auch Gas möchte sich immer ausbreiten. Denn wie auch das Gas, finden bösartige Codes immer wieder „Löcher“ (Schwachstellen), durch die Sie entweichen können und unsere Computersysteme angreifen. Unsere Aufgabe (eher gesagt eine davon) ist es also, solche Löcher zu finden und zu stopfen. Dabei soll dies proaktiv geschehen, d.h. noch bevor die Malware die Schlupflöcher entdeckt. Somit können wir auf Malware lauern und sie gegebenenfalls abfangen.

Tatsächlich ist es gerade der proaktive Schutz und die Fähigkeit, die Angriffsmuster vorauszusehen und im Voraus eine effektive Schutzbarriere zu schaffen, die wirklich ausgezeichnete, hochtechnologische Cybersicherheit von dem Marketingmist anderer unterscheidet.

Heute möchte ich Ihnen hier ein weiteres Beispiel vorstellen, anhand Sie sehen werden, wie unser proaktiver Schutz vor einer weiteren, besonders raffinierten Art von Malware schützt: sogenannte Fileless-Malware (aka – dateilose Malware). Bei dieser gefährlichen Art von Geister-Malware handelt es sich um einen ausgeklügelten Schadcode, der gelernt hat, die architektonischen Nachteile von Windows zu nutzen, um Computer zu infizieren. Doch auch hier bietet unsere patentierte Technologie einen Schutz und eine effektive Bekämpfung dieser speziellen Cyber-Krankheit. Wie gewohnt erkläre ich Ihnen die komplexen technischen Zusammenhänge in verständlichen Sätzen ohne Fachchinesisch, und zwar genau so, wie Sie es wünschen: als leichten, packenden Cyber-Thrillers mit Spannungselementen.

Zunächst einmal, was bedeutet Fileless?

Nun, sobald Fileless-Malware einmal in ein Computersystem gelangt ist, kopiert sie sich nicht von selbst in Form von Dateien auf der Festplatte und vermeidet somit die Erkennung durch herkömmliche Methoden, zum Beispiel mit einem Antiviren-Monitor.

Wie kann also solche „Geister-Malware“ in einem System existieren? Tatsächlich befindet sie sich im Arbeitsspeicher von vertrauenswürdigen Prozessen! Schrecklich, oh ja!

Unter Windows (eigentlich nicht nur unter Windows) gab es schon immer die Möglichkeit, dynamische Codes auszuführen, die insbesondere für die Just-in-Time-Kompilierung verwendet werden, d.h. die Umwandlung von Programmcode in Maschinencode, und zwar nicht sofort, sondern nach Bedarf. Dieser Ansatz erhöht bei einigen Anwendungen die Ausführungsgeschwindigkeit. Und um diese Funktionalität zu unterstützen, erlaubt Windows Anwendungen, Codes im Arbeitsspeicher (oder sogar in einen anderen vertrauenswürdigen Prozessspeicher) zu platzieren und auszuführen.

Vom Sicherheitsstandpunkt aus kaum eine gute Idee, aber was kann man dagegen tun? Auf diese Weise funktionieren seit Jahrzehnten Millionen von Anwendungen, die in Java, .NET, PHP, Python und anderen Sprachen und für andere Plattformen geschrieben wurden.

Irgendwie war es zu erwarten, dass die Cyberbösewichte den dynamischen Code ausnutzen und dadurch Missbrauchsmöglichkeiten erschaffen würden. Eine der bequemsten und daher am weitesten verbreiteten Angriffsmethoden ist die so genannte „reflective PE Injection“. Hört sich kompliziert an, deshalb erkläre ich es Ihnen (Es ist eigentlich ziemlich interessant!).

Um eine Anwendung zu starten, muss man nur auf das Anwendungssymbol auf dem Desktop klicken: Einfach und unkompliziert, oder? Es sieht zwar einfach aus, aber in Wirklichkeit geht unter der Haube alles Mögliche vor sich: Es wird ein Systemlader aufgerufen, der die jeweilige Datei von der Festplatte nimmt, in den Speicher lädt und ausführt. Und dieser Standardprozess wird von Antiviren-Programmen kontrolliert, die die Sicherheit der Anwendung überprüfen.

Bei einer „Reflexion“ wird der Code ohne den Systemladers (und damit auch unter Umgehung des Antiviren-Monitors) geladen. Der Code wird direkt in den Speicher eines vertrauenswürdigen Prozesses platziert, wodurch eine „Spiegelung“ des ursprünglichen ausführbaren Moduls erzeugt wird. Eine solche Reflexion kann wie ein echtes Modul ausgeführt werden, das mit einer Standardmethode geladen wird, aber es ist nicht in der Liste der Module registriert und hat, wie oben erwähnt, keine Datei auf der Festplatte.

Im Gegensatz zu anderen Techniken der Code-Injection (z.B. über Shellcode) erlaubt eine Reflexions-Injektion zudem die Erzeugung von funktional fortgeschrittenen Codes in höheren Programmiersprachen und Standard-Entwicklungsframeworks ohne jegliche Einschränkungen. Man erhält also: (i) keine Dateien, (ii) eine Verschleierung hinter einem vertrauenswürdigen Prozess, (iii) Unsichtbarkeit für traditionelle Schutztechnologien und (iv) freie Hand, um Schaden anzurichten.

So waren natürlich die reflektierten Injections bei den Entwicklern von bösartigen Codes ein Megahit: Zuerst tauchten sie in Exploit-Packs auf, dann kamen Cyber-Spione ins Spiel (z.B. Lazarus und Turla), dann fortgeschrittene Cyber-Kriminelle (da es eine nützliche und legitime Art der Ausführung von komplexen Codes ist!), dann kleine Cyber-Kriminelle.

Auf der anderen Seite der Tatsachen sind Fileless-Infektionen nicht so einfach zu besiegen. Es ist also eigentlich kein Wunder, dass die meisten Cybersicherheitsmarken nicht allzu heiß darauf sind. Einige können es kaum schaffen.

Read on: Das Versteckspiel… mit Fileless-Malware.

Unsichere Geldautomaten müssen auch in die Quarantäne!

Jedes Jahr fliege ich mit meinen Reisegefährten mehr als hundert Mal um die Welt. Und so gut wie überall zahlen wir ausnahmslos mit Karte oder per Telefon – und das fast immer kontaktlos via Apple Pay oder Google Pay. In China akzeptieren sogar die Alteingesessenen der lokalen Obst- und Gemüsemärkte die Zahlung per WeChat. Und die aktuelle COVID-19-Pandemie hat die Verwendung von virtuellem Geld nur noch populärer gemacht.

Auf der anderen Seite gibt es aber auch eine verblüffende und unerwartete Überraschung: Ausgerechnet in Hongkong muss man Taxifahrer beispielsweise immer in bar bezahlen! Auch bei zwei Restaurant-Besuchen in Frankfurt wurde nur Bargeld akzeptiert. Bitte was!? Anstatt unseren Feierabend-Brandy zu genießen, mussten wir erst lange nach einem Geldautomaten suchen, um ein paar Euros abheben zu können. Unfassbar! (Frage: Vermisse ich diese unbequemen Reiseüberasschungen? Antwort: Ja, sogar sehr!)

Jedenfalls beweist das alles nur, dass trotz der fortschrittlichen Zahlungssysteme rund um den Globus immer noch ein Bedarf für den guten alten Geldautomaten besteht. Und tatsächlich scheint es so, als ob dieser Bedarf auch nicht so schnell verschwinden wird.

Also, worauf möchte ich hinaus? Natürlich, Cybersicherheit!

Geldautomaten = Geld -> Sie wurden in der Vergangenheit gehackt, werden in der Gegenwart gehackt und sie werden auch in Zukunft gehackt werden. Und das Hacken von Geldautomaten wird nur schlimmer: Eine Studie besagt, dass die Zahl der durch Malware angegriffenen Geldautomaten zwischen 2017 bis 2019 sich mehr als verdoppelt hat (der Faktor liegt bei ca. 2.5).

Frage: Können Geldautomaten ständig überwacht werden? „Bestimmt!“ glauben Sie wohl… aber da muss ich Sie leider enttäuschen…

Es gibt immer noch viele Geldautomaten in den Straßen, in Geschäften, in Unterführungen, in U- und S-Bahnhöfen mit einer sehr langsam getakteten Verbindung. Sie haben kaum genug Breitband für die Abwicklung von Transaktionen. Da ist es fast unmöglich, dass man das Geschehen um sie herum im Auge zu behalten kann.

Angesichts dieser mangelnden Überwachung aufgrund der langsamen Netzwerkverbindung sind wir also eingeschritten, um die Sicherheitslücke zu schließen und das Sicherheitsniveau der Geldautomaten zu erhöhen. Wir wendeten die besten Optimierungsverfahren an (die wir dank der 25-jähirgen Expertise besitzen) und reduzierten auch den Datenverkehr  von unserer „Sicherheitsimpfung“ Kaspersky Embedded Systems Security (oder auch KESS) gegen Geldautomaten-Gefahren radikal.

Zur Info: Die Internet-Mindestgeschwindigkeit für unseren KESS beträgt… 56 Kilobit (!!!) pro Sekunde. Meine Güte! Das ist die Geschwindigkeit meines 56k-Modems aus dem Jahr 1998!

Nur zum Vergleich: Die durchschnittliche Geschwindigkeit des 4G-Internets liegt heute in den Ländern mit der nötigen Infrastruktur zwischen 30.000 und 120.000 Kilobit pro Sekunde. Und 5G verspricht 100 Millionen und mehr kbps (Hunderte von Gigabits) (Wenn nicht vorher alle Masten von der Masse an Daten in die Luft gehen). Aber lassen Sie sich nicht von den prähistorischen Internetgeschwindigkeiten täuschen: Der gebotene Schutz könnte nicht besser sein. In der Tat könnte so mancher effektive Manager ein oder zwei Dinge über Optimierung ohne Qualitätsverlust von uns lernen.

Nun ein paar Worte zu den Schutzfunktionen selbst…

Zusätzlich zu allen bestehenden Funktionen in KESS sind hier die neuen Funktionen aufgeführt. KESS blockiert:

  • Ports, die häufig von Cyber-Abschaum bei Angriffen benutzt werden: Sie scannen nach virtuellen Eingangspunkten auf dem Geldautomaten, um die verwundbarsten zu finden;
  • Brute forcing: Eine der einfachsten, aber auch beliebtesten Möglichkeiten, ein Passwort herauszufinden. Die Angreifer testen alle möglichen Kombinationen und erhalten leider oft die Richtige.
  • DoS-Angriffe und Exploits. Wenn sich die Bösewichte mit einem Geldautomaten verbinden, bombardieren sie ihn mit so vielen Daten, dass die arme alte Geldautomaten-Hardware einfach nicht mit all dem fertig wird und einfach aufgibt und nicht mehr funktioniert. Und deshalb nennt man sie DoS-Angriffe – Denial of Service ( etwa „Verweigerung des Dienstes“) -Sie hören einfach auf, den Dienst zu erbringen, den sie normalerweise anbieten.

Und jetzt noch ein bisschen Angeberei… KESS wird von großen Banken mit über Tausenden von Geldautomaten auf der ganzen Welt eingesetzt. Auch viele Transportunternehmen und Einzelhandelsgiganten verwenden unsere Lösung. Dementsprechend können Sie sehr bald mit einem Rückgang der Nachrichten über gehackte Geldautomaten rechnen – ganz gleich, wo auch immer Sie sich in der Welt befinden. Haben Sie noch Fragen? Dann besuchen Sie die KESS-Produktseite!

PS: Ich hoffe wirklich, dass das Thema der hektischen Suche nach einem Geldautomaten während eines Urlaubs bald wieder aktuell wird. BÄH: Nach zwei Monaten „Isolationshaft“ vermisst man selbst unangenehme Erfahrungen wie diese :).