DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Viren­schutz chancenlos

Vierenschutz chancenlos

Wird der Tro­janer nicht bei der Instal­lation ent­deckt, treibt er sein Unwesen – und löscht sich dann selbst. Die Ver­än­de­rungen sind mit einem spä­teren Virenscan nicht mehr festzustellen.

 

 

Kürzlich habe ich einen inter­es­santen Beitrag gelesen, bei dem der klas­sische Viren­schutz nahezu keine Chance hat: Nach der Instal­lation werden Kon­fi­gu­ra­tionen am System vor­ge­nommen, die zunächst harmlos erscheinen, das System aber schwer kom­pro­mit­tieren. Im Anschluss löscht sich der Tro­janer wieder.

Nun muss man wissen, dass der DNS-Server eine besondere Aufgabe im Internet wahr­nimmt: Seine Haupt­aufgabe ist die Beant­wortung von Anfragen zur Namens­auf­lösung. Er spielt also den Über­setzer von bei­spiels­weise der nut­zer­freund­lichen Form der URL  in die maschi­nen­lesbare Form „193.27.50.5“. Grund­sätzlich: Wenn Rechner mit­ein­ander kom­mu­ni­zieren müssen sie ihre Daten­pakete adres­sieren. Und diese Adress­auf­kleber werden nach der Infektion grund­sätzlich gefälscht, so dass die Daten­pakete an den Server der Angreifer gesendet werden.

Was also erst einmal nach nichts Großem aus­sieht, führt dazu, dass ein Angreifer ALLES mit­lesen kann, was das eigene Netzwerk ver­lässt. Also einer der Mecha­nismen, die auch von Geheim­diensten ein­ge­setzt werden.

Zeit ist einer der wich­tigsten Fak­toren der aktu­ellen Virenerkennung

Für die, die es noch nicht mit­be­kommen haben, warum gerade Symantec die Anti­vi­ren­software für tot erklärt: In einer Zeit, in der täglich mehr als 220.000 (!) neue Vari­anten von Schäd­lingen pro­du­ziert werden – für deren Ver­teilung mit­unter Bot-Netze nur für ein paar Stunden ange­mietet werden – ist es für jeden seriösen Anti­­viren-Her­steller prak­tisch nicht mehr möglich eine zeitnahe Erkennung sicher­zu­stellen. Die früher üblichen 6 — 8 Stunden Inku­ba­ti­onszeit bis zur Erstellung von Signa­turen zeigen ein­drucksvoll, dass bei diesem Auf­kommen rund 35.000 Vari­anten nicht zeitnah erkannt werden können.

Wenn ein Bot-Netz eine SPAM-Welle mit einem neuen Schädling ver­breitet kommen damit Signa­turen und War­nungen immer zu spät.

Neue Wege der Erkennung

Nun gibt es aller­dings auch recht aus­ge­fuchste Mecha­nismen, die nicht auf den klas­si­schen Virenscan setzen, um neue Schäd­linge auf­grund ihres Ver­haltens oder ihrer Her­kunft (URL, also Server bzw. Web-Site) zu ent­decken. Diese sind deutlich schneller als die Signa­turen – haben jedoch mit­unter auch einen Zeitversatz.

Symantec bei­spiels­weise möchte in Zukunft Angreifer erst bekämpfen, wenn diese bereits in eine Infra­struktur ein­ge­brochen sind und setzt damit vor­wiegend auf Intrusion Detection Software (IDS), mit der z.B. bös­ar­tiger Code oder Hacker­an­griffe im Netzwerk erkannt werden soll. Reagieren (Cyber-Response) statt Prä­vention lautet jetzt die Stra­tegie. Der Wachhund im Garten wird durch eine Alarm­anlage im Haus­innern ersetzt.

Mit dem Ansatz sich selbst zu löschen, laufen jedoch auch einige dieser Maß­nahmen ins Leere. Gerade die, die den Virus selbst ins Visier nehmen. An erster Stelle den Viren­scanner, der mit­unter erst 6 Stunden nach der Infektion die Signa­turen erhält. Zu diesem Zeit­punkt hat der Virus seine Arbeit getan, ist aber selbst nicht mehr vor­handen. Die Hin­ter­las­sen­schaften dagegen, Kon­fi­gu­ra­tionen oder ein unter­ge­scho­benes Zer­ti­fikat, stellen keinen Schädling mehr dar, der gefunden werden könnte.
Wer also nicht mehr auf­zu­weisen hat, als eine ein­fache Firewall und einen Viren­scanner, kann in Zukunft nicht mehr punkten.

Aus­blick:

Auf­grund der Ver­än­de­rungen auf dem Schä­d­­lings-Markt ist es geschickt, auf ein Bündel an Ver­tei­di­gungs­stra­tegien zu setzen.

Selbst beim Berei­nigen eines Systems ist man gut beraten erst einmal zu recher­chieren, welcher Schädling sein Unwesen getrieben hat. Hier­durch bekommt man einen Ein­blick in die vom Schädling bekannten Hin­ter­las­sen­schaften. Ob dies tat­sächlich umfassend ist, wage ich auf­grund der schieren Anzahl täglich neuer Viren (220.000) zu bezweifeln.

Dieser Angriff führt damit einmal mehr vor Augen, dass es kei­neswegs genügt, zur Rei­nigung eines infi­zierten Windows-Systems alle Tro­­janer-Dateien zu löschen. Auch Hin­ter­las­sen­schaften wie mani­pu­lierte DNS-Ein­­träge und zusätz­liche Zer­ti­fikate stellen erheb­liche Sicher­heits­pro­bleme dar, die eine ober­fläch­liche Rei­nigung oft nicht berücksichtigt.

Die meines Erachtens beste Kom­bi­nation ist die Verwendung

  • eines klas­si­schen Viren­scanners, der dennoch Wirkung zeigt,
  • einer gut gepflegten Hardware-Firewall, die auch Listen ver­wendet, auf denen die so genannten Malware-URLs  gelistet sind, also bekannte, besonders gefähr­liche Seiten
  • Intrusion Detection  und Intrusion Pre­vention Software (IDS, IPS) als Teil der Firewall
  • einen Mecha­nismus, der einen halben bis einen Tag lang alle auf­ge­ru­fenen Internet-Sei­­ten/URLs und E‑Mails (Mit  Anhang) mit unter­schied­lichen Viren-Scannern prüft
  • Auf­­­kommens- oder Ver­hal­tens­ba­sierte Mecha­nismen ver­wendet, die typisch für Schäd­linge sind.
  • Und „last but not least“: Einen Mit­ar­beiter, der gerade bei E‑Mails imstande ist „mit­zu­denken“ und nicht jede E- Mail öffnet; weil er ein Gefühl ent­wi­ckelt hat, von wem welche Inhalte kommen könnten…

Bild: © Martin Gentner / Pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.