Diesen kleinen “Aufsatz” habe ich schon Anfang dieses Jahres geschrieben und wollte ihn schon immer mal auch auf die Website packen. Also habe ich ihn jetzt noch einmal ein klein wenig überarbeitet und für die Allgemeinheit zugänglich gemacht. Woher habe ich meine Informationen? Ich verdiene mit dem Wissen darüber mein Geld als Sicherheitsadministrator bei einem 3700 Personen großen Unternehmen und dazu gehört natürlich auch das Wissen um solche Dinge. Wo es damals auf die Schnelle ging habe ich damals entsprechende Verweise auf Quellen eingebaut, die nun auch hier zu finden sind.

Ausgang war die Frage eines Freundes, warum man keine Anhänge von unbekannten Absendern öffnen sollte auch wenn man einen funktionierenden Virenschutz hat. Er hatte das selber so weitergegeben und benötigte jetzt noch etwas Argumentationsgrundlage. Diese Ausgangsfrage führt mich zu Sicherheitslücken in Computerprogrammen, der Frage nach dem “Warum?” und dem Phänomen Spam. Eine Definition vorab: Heuristik ist das Erkennen von neuer unbekannter Schadsoftware durch Virenscanner ohne entsprechende Signaturen, also quasi das bloße Einschätzen, ob eine Software schädlich sein könnte oder nicht.

Solche Sätze höre ich immer wieder im Bekanntenkreis. Außerdem hat man ja sogar dafür bezahlt und das muss ja dann auch gut sein. Oder man möchte generell nichts bezahlen, erwartet aber dennoch 100-prozentige Sicherheit. Die bekommt man doch auch, oder?

Hier die ganze Frage, die hier natürlich anonymisiert ist:

1. Heuristik
Auf Heuristik kann man sich nicht verlassen! In Tests, wie sie für die Zeitschrift c’t regelmäßig z.B. von AV-Test.org durchgeführt werden, wurden auf Virenscanner mit etwa 3 Monate alten Signaturen aktuelle Schadsoftware losgelassen. Vieles wurde gar nicht erkannt, einiges teilweise. Die besten (!) Virenscanner schafften eine Erkennungsrate von ca. 80%. Einige Heuristiken schaffen es nicht einmal, 50% neuer unbekannter Schadsoftware zu erkennen. Erkennen heißt dabei übrigens nicht entfernen! Relativ einfach haben es Heuristiken, wenn es sich nur um eine neue Variante einer existierenden Schadsoftware handelt, sehr schwer, wenn sie noch gar nichts davon kennen. Aber selbst bei Varianten wird es schwierig. In selbigem erwähnten Test wurde neue Schadsoftware mit leichten Abweichungen von existierender Schadsoftware über im Internet ganz öffentlich verfügbare Viren-Baukästen erstellt. Erkennungsrate: katastrophal. Und merke: Neue Viren/Würmer/Trojaner erstellen und in Umlauf bringen kann jedes Kind. siehe Neujahrswurm: http://www.heise.de/security/news/meldung/83030

2. Sicherheitslücken und Zero-Day-Exploits
Gerne ausgenutzt werden Sicherheitslücken von Programmen. Wenn alles gut geht hat der Entdecker der Lücke den Hersteller informiert, dieser einen Patch/Update/Flicken veröffentlicht, der die Lücke schließt und erst dann wird die Lücke bekanntgemacht. Dies findet häufig jedoch nicht statt, entweder, weil Hersteller nicht reagieren oder weil Personen unverantwortlich handeln oder weil es ihrer Philosophie entspricht, Lücken sofort publik zu machen. Das ist aber alles nur der Fall, wenn die “Guten” die Lücken entdecken. Meist wird zeitnah ein sogenannter Exploit veröffentlicht, ein Beispielprogramm, wie man die Lücke ausnutzt. Wenn die “Bösen” die Lücken finden werden die Schwachstellen erst dann bekannt, wenn ein Exploit veröffentlicht wird, der dann aber schon wirkliche Schadsoftware enthält, dieses ist der schlimmste Fall und nennt sich Zero-Day-Exploit, weil er am Tag 0, nämlich bei der Entdeckung der Lücke durch den Hersteller oder andere nette Leute diese schon ausnutzt. Die Opfer sind dem dann erst einmal schutzlos ausgeliefert. Oft findet dabei auch der Versuch statt, (über Email) potentielle Opfer gezielt auf eine bestimmte Webseite zu locken, über die dann die Infektion stattfindet. Das ist vor allem meist dann der Fall, wenn es darum geht, Lücken im Internet Explorer oder Firefox oder einem anderen Webbrowser auszunutzen.

Pages: 1· 2· 3· 4