|
Die Zeit
zwischen dem Bekanntwerden einer Sicherheitslücke und ihrem Missbrauch -
insbesondere durch Malware - ist im Laufe der Jahre immer kürzer
geworden. Wenn es sich gar um eine Sicherheitslücke handelt, die bislang
unbekannt war, wird vielfach von einem Zero-Day-Exploit
(1) gesprochen.
Gemeint ist damit, dass den Entwicklern keine Zeit geblieben ist, um
eine bekannt gewordenen Schwachstelle zu schließen.
Igor Muttik von den McAfee-Labs -
- rät die
Fachleute von der Verwendung dieses Begriffs ab
(2).
Der Begriff habe keine Aussagekraft, weil er nichts über die
Verbreitungswege, über die Umgebungen (PDF, SQL-Injection usw), die
bevorzugten Plattformen (PC, Webserver, iPhone oa) oder Wirkungsweise
einer Malware aussagt. Er spricht sich für eine eingehende Analyse der
Malware und für eine klare Benennung aus, die dabei helfen, sie zu
bekämpfen.
Muttik wendet sich auch gegen die Methoden, die zur Bestimmung des
Zeitabstandes "0" eingesetzt werden, weil sie auf eine genaue
historische Betrachtung verzichten und auch die Anzahl der betroffenen
Benutzer ausblenden. Er lobt die Strategie seines eigenen Hauses,
aufgrund ständiger Feldbeobachtungen Gefahrenbereiche und Gefährlichkeit
zu bewerten, die von Sicherheitssoftware bewacht oder geschlossen
werden, bevor eine Schwachstelle wirklich missbraucht werden kann.
Ich teile
Muttiks Vorstoß auch aus weiteren Gründen. Die beschränkte Sicht auf das
Zeitfenster zwischen der Entdeckung und dem Schließen einer
Schwachstelle entspringt der noch heilen Hackerwelt, als es nur drei
Gruppen waren, die sich an dem Spielchen beteiligten: Die guten Hacker,
die den Exploit nicht nur benennen, sondern auch Werkzeuge zu seinem
Missbrauch entwickeln, die trödeligen Entwickler, die nicht nur Fehler
machen, sondern auch nicht schnell genug nachbessern, und die Malware-Schreiber,
die staunend zu den Hackern aufblicken und nur das verwenden, was sie herausgefunden
und großzügig veröffentlicht haben.
|
Dieses Bild aus der untergegangenen Scheibenwelt wird der Underground Economy nicht gerecht, in der sich
auch professionelle Exploit-Händler tummeln. Ihr Geschäft besteht darin, wie
die "guten" Hacker Schwachstellen zu entdecken, Angriffswerkzeuge zu
entwickeln und teuer zu verkaufen. Ihr Geschäftsmodell beruht darauf,
unbekannte Schwachstellen in Programmen oder Geräten zu entdecken oder
für bekannte, aber bislang nicht geknackte Schwachstellen die geeigneten
Werkzeuge zu entwickeln.
Hinzu kommen die Rootkit-Händler, die zum Beispiel auf Muttiks
Strategie eingehen. Sie entwickeln nicht nur Tarnkappen, die das
Erkennen von Malware erschweren, sondern auch aggressive Programme, die
Sicherheitssoftware und Virenscanner erkennen, täuschen oder abschalten.
Bei der Entwicklung von Malware kommt alles zusammen: Sie bindet die
Infektionssoftware (Exploit-Werkzeuge) und die Rootkits ein und
verbindet sie mit den Funktionen, die die Malware ausführen soll.
Das ist noch nicht alles: Moderne Malware setzt darauf, sich
langfristig einzunisten (Homebankingtrojaner, Botware), möglichst
unauffällig zu bleiben (Sturmwurm ua) und sich zu aktualisieren, um auch von
verfeinerten Erkennungsmethoden unerkannt zu bleiben. Dazu müssen vor
allem die Rootkits und die Malware selber immer wieder angepasst und
aktualisiert werden.
Paget
(3)
schätzt, dass zum Betrieb eines professionellen Botnetzes drei
hauptamtliche Programmierer benötigt werden, die sich alleine um die
"Pflege" des Botnetzes und der Botware kümmern. Hinzu kommen die Leute,
die Kontakte zu den Zulieferern von Exploits und Rootkits suchen und
halten, und die Kaufleute, die die Abwicklung mit den Kunden und die
interne Beuteverteilung betreiben. Insgesamt ist ein kleines
kriminelles Unternehmen nötig.
|