G Data: eCrime-Ausblick 2010

Cloud-Dienste und Social Networks im Visier der eCrime-Industrie

12/18/2009 | Bochum 

Das Jahr 2009 neigt sich dem Ende zu und die Online-Community blickt auf ein bewegendes eCrime-Jahr zurück, das geprägt war von einem weiteren Anstieg krimineller Aktivitäten und einer deutlichen Zunahmen von Attacken auf PC-User. Die weiter vorangeschrittene Professionalisierung der Schattenwirtschaft sorgte auch 2009 für enorme finanzielle Schäden. Die Cyberbanden haben ihrerseits die realisierten Gewinne in immer bessere Infrastrukturen und in neue Angriffstechniken investiert. Vor diesem Hintergrund ist für 2010 nichts Gutes zu erwarten. Doch womit werden wir 2010 zu rechnen haben? Die Experten der G Data SecurityLabs wagen einen Ausblick und haben ihre Prognosen für das kommende Jahr zusammengetragen.

Massivere Attacken auf Webserver

Immer mehr Infektionen erfolgen über Webseiten, die zuvor von Kriminellen gekapert wurden. Sites mit schwachen Passwörtern und Sicherheitslücken in Webapplikationen werden automatisiert aufgespürt und kompromittiert. Wenn sich Angreifer Zugang zu einem Webserver verschafft haben, können sie dort Schadprogramme zum Download anbieten. Noch hinterhältiger ist es aber, wenn bei sog. Drive-by-Downloads im Hintergrund versucht wird, Sicherheitslücken des Browsers bzw. seiner Komponenten auszunutzen, um den Rechner unbemerkt zu übernehmen.

Obwohl einige Betreiber von Webseiten die Zeichen der Zeit erkannt haben, gibt es weiterhin zahllose nur schwach gesicherte Websites, die im kommenden Jahr verstärkt im Visier der Malware-Society stehen werden.

 

Soziale Netzwerke und Web 2.0

Die vielen neuen Möglichkeiten des Web 2.0 bringen dem Internet-Surfer Routenplanung, Textverarbeitung, Internetradio, Spiele und soziale Netzwerke. Mit der zugrundeliegenden Technologie AJAX (Asynchronous Javascript And XML) muss die Seite nicht mehr bei jedem Klick neu aufgebaut werden, denn im Hintergrund sorgt ein konstanter Datenstrom für die gewünschten Informationen. Leider bietet dieser Mechanismus auch eine Reihe von Angriffspunkten. Ähnlich wie bei Desktopprogrammen sind auch die Webanwendungen nicht frei von Programmierfehlern, die dazu genutzt werden können, Schadcode zu verbreiten. Der Internet-Wurm Koobface macht davon seit Anfang des Jahres ausgiebig bei Facebook, MySpace und vielen weiteren sozialen Netzwerken Gebrauch, um sich an alle gespeicherten Kontakte zu versenden. Das hier vorhandene Potenzial für Schadcode ist noch lange nicht ausgeschöpft und wird im kommenden Jahr weiter ansteigen.

 

Datendiebstahl & Phishing

Die Anzahl der Datenvorfälle steigt ständig. Etliche Banken mussten im Verlauf des Jahres vorsorglich die Kreditkarten von Kunden austauschen, deren Daten gestohlen wurden.

Das klassische Phishing ist nicht die einzige Ursache für Datenverlust. Insbesondere Bankdaten werden mittlerweile von Spionageprogrammen und Keyloggern eingesammelt und an die Angreifer versendet.

Das klassische Phishing wendet sich derzeit vom Online-Banking ab. Es kommt immer seltener vor, dass der Empfänger einer massenhaft versendeten Mail unter einem Vorwand auf eine Seite gelockt wird, die dem Original oft sehr gut nachempfunden ist, und er dort seine Zugangsdaten eingeben soll. Ausnahmen sind englische und amerikanische Banken und PayPal, denn hier reichen Anmeldename und Passwort aus, um vollständigen Zugang zur Seite zu erhalten.

 

Bei vielen Banken sind mittlerweile umfangreichere Schutzvorkehrungen getroffen. Aber es gibt immer noch viele Dienste im Internet, deren einziger Zugangsschutz ein Log-in Name und ein Passwort ist. Häufige Angriffsziele sind nun E-Mail-Accounts (z.B. MSN, Yahoo, Google), soziale Netzwerke (z.B. Facebook, Twitter, MySpace) Onlineauktionen (z.B. eBay) und Onlinespiele (z.B. WoW). Diese Angriffe haben einen klaren Bezug zur Schattenwirtschaft:

 

• Öffentliche E-Mail-Accounts bereiten reputationsbasierten Spamfiltern Probleme

• Die Daten aus sozialen Netzwerken haben auf dem Schwarzmarkt Wert

• Spam in Foren bleibt weiterhin eine Plage

• Die Accounts aus und Gegenstände in Onlinespielen können unter anderem mit gekaperten eBay Accounts verkauft werden.

 

Das breit angelegte Phishing ist aber nicht die einzige Gefahr. Die Informationen, die auf öffentlichen Webseiten und in sozialen Netzwerken über Firmen und deren Mitarbeiter angeboten werden, können dazu dienen, gezielte Angriffe auf bestimmte Personen einer Firma vorzubereiten. Man nennt diese Methode Spear-Phishing oder auch Whale-Phishing. So kann z.B. der Vertriebsleiter eine auf ihn angepasste E-Mail bekommen, die ein manipuliertes PDF namens „Angebot.pdf“ im Anhang enthält. Derartige gezielte Angriffe auf vermeintlich dicke Fische eines Unternehmens können zu schwerwiegenden Datenverlusten führen.

 

Für beide Arten des Phishings, wie auch für alle anderen Formen des Datendiebstahls, gibt es einen großen Markt. Wir gehen davon aus, dass 2010 noch mehr Daten gestohlen werden als in diesem Jahr.

 

Windows 7

Mit Windows 7 hat Microsoft die „Kinderkrankheiten“ von Vista weitestgehend beseitigt. Seit der Markteinführung im Oktober 2009 sind nur wenige kritische Stimmen erklungen und es ist absehbar, dass Windows 7 seinen Weg auf die Rechner der Kunden finden wird. Leider sind die Sicherheitseinstellungen von Windows 7 etwas schwächer als die von Windows Vista. Es ist also wahrscheinlich, dass auch Malware den Umstieg schafft. Die ersten Scareware-Attacken im angepassten Windows7 Design wurden schon gesichtet.

 

Der frühe Vogel ...

Schon die allerersten Computerschädlinge haben versucht, sich vor der Virenerkennung zu verstecken. Eine Taktik der Schädlinge ist, beim Systemstart vor ihrem Gegner aktiv zu sein. Nur wenn ein Schädling zuerst aktiv wird, kann er die Aktionen des Schutzprogramms unterlaufen. Der Bootsektor war hier schon für die ersten Viren ein beliebtes Angriffsziel. Neuere Rootkits residieren im Bootsektor der Festplatte und werden so lange vor dem Betriebssystem und dem Virenschutz geladen. Das MBR-Rootkit war zunächst nur eine Studie, doch mittlerweile ist es Bestandteil von einigen weit verbreiteten Virenfamilien. Und die nächsten Generationen stehen schon in den Startlöchern. Im kommenden Jahr werden wir mehr Malware sehen, die mit hoher technischer Komplexität Sicherheitslücken in den Hardware- und Softwarekomponenten nutzt, die beim Booten benutzt werden.

 

Virtuelle Wolken

Die Virtualisierung von Software, Betriebssystemen und Hardware wird mittlerweile auch von den gängigen Chipsätzen der CPUs unterstützt. Dadurch lassen sich virtuelle Maschinen immer einfacher und effektiver nutzen. Die abgeschotteten Umgebungen bieten auch neue Möglichkeiten, um Rechner und dessen Daten zu schützen. Darauf werden die Angreifer reagieren müssen und wir erwarten mehr Malware, die gängige Virtualisierungsprogramme attackieren.

 

Die Virtualisierung von Rechnern in Unternehmen bietet auch für die Administration und die Nutzbarkeit einige Vorteile - auch pekuniärer Art. Eine neue Dimension nimmt das aber an, wenn die Virtualisierung nicht mehr auf einzelnen Rechnern stattfindet, sondern ein Server viele virtualisierte Rechner verwaltet. Ein Schädling, der es hier schafft, aus der virtuellen Maschine auszubrechen, und auf das zugrundeliegende System zuzugreifen, kann nun auf allen an den Server laufenden Rechnern Daten auslesen, manipulieren oder unzugänglich machen. Dies gilt auch für Dienstleister, die Rechenleistung auf Anfrage anbieten. Die günstige und flexibel verfügbare Rechenleistung ist insbesondere für Unternehmen interessant und einige denken ernsthaft darüber nach, bestimmte Berechnungen an solche Dienstleister auszulagern. Die Sensibilität von Daten wird dabei oft nur unzureichend berücksichtigt. Die Infrastruktur dieser Dienstleister basiert ebenfalls auf virtuellen Maschinen. Sollte hier ein Schädling ausbrechen, kann er Zugriff auf die Daten von mehreren Unternehmen erlangen.

Ähnlich liegt der Fall bei Privatpersonen. Wer die Bildbearbeitung, die Textverarbeitung und die Tabellenkalkulation auf einen anonymen Server im Internet auslagert, muss sich nicht wundern, wenn seine E-Mails, Texte und Berechnungen in fremden Händen landen.

 

Je mehr Unternehmen und Privatpersonen die Dienste aus der Cloud in Anspruch nehmen, desto attraktiver werden diese Plattformen für Angriffe. Möglicherweise sehen wir hier im kommenden Jahr die ersten ernst zu nehmenden Angriffe.

 

Kampf gegen die Untergrund-Wirtschaft

Viele Internetnutzer haben sich mittlerweile an die Schattenseiten der Internetnutzung gewöhnt: Spam, Internetwürmer, Phishingseiten uvm. Es haben sich jedoch mittlerweile auch etliche Gegenbewegungen etabliert, die immer mehr an Schlagkraft gewinnen. Ein beeindruckendes Beispiel für deren Effektivität war das Ende von McColo: Nachdem die Server dieser Firma Ende 2008 im Internet nicht mehr erreichbar waren, sank von einem auf den anderen Tag das Spamvolumen auf 1/3 und hat sich erst nach mehreren Monaten erholt. Es formieren sich immer mehr Initiativen und Kooperationen, die auf Kernkomponenten der Infrastruktur der Online-Kriminellen zielen - insbesondere die Botnetze.

Botnetze, zu großen Netzwerken zusammengeschlossene Zombie-Rechner, sind in ca. 80% aller Fälle privat genutzte Rechner. Leider ist vielen Nutzern nicht klar, welche Konsequenzen eine Infektion für andere Internetnutzer hat. Die Internetnutzer, Strafverfolger, Politiker und IT-Security-Spezialisten werden im kommenden Jahr hoffentlich ausgiebiger zueinander finden. Vielleicht gelingt es schon im kommenden Jahr durch konzertierte Aktionen das Bewusstsein der Internetnutzer zu schärfen und den Kriminellen ihr wichtigstes Werkzeug, die Botnetze, zu entziehen.

 

 

Prognosen für 2010:

• Social Networks: Mehr Angriffe auf Anwendungen des Web 2.0

• Cloud-Services: Der Ausbau der Cloud-Dienste wird 2010 verstärkt von Cyberkriminelle für Ihre Zwecke genutzt

• Angriffe auf Webseiten: Die Malware-Society wird ihre Aktivitäten in diesem Bereich verstärken und diese vermehrt kompromittieren und Schadcode einbinden

• Datendiebstahl: Phishing bleibt interessant für die Untergrundwirtschaft. Speziell das Spear-Phishing könnte verstärkt werden

• Windows 7: Malware wird technisch und optisch an Microsofts neues Betriebssystem angepasst

• Malware: Rootkit-Schädlinge werden 2010 technisch komplexer

 

 


Thorsten Urbanski