Symantec warnt vor Apps mit Trojanern

Die Tablet-Attacken kommen

15.04.2011 von Nicolas Zeitler

Angriffswellen auf mobile Geräte sind längst überfällig, so Symantec. Bester Schutz gegenüber Cyberattacken sei Misstrauen - das zeigten Fälle wie Stuxnet.

Simpel, aber effektiv: Der Sicherheitsbericht von Symantec zeigt, dass drei von vier Kurz-Links auf bösartige Seiten elf Mal oder öfter angeklickt wurden. Diese Methode für Online-Angriffe sei gerade in sozialen Netzwerken weit verbreitet.
Foto: Symantec

Vertrauen zu Kollegen kann fatal sein. Die Angriffe auf Computersysteme durch den Wurm Stuxnet voriges Jahr waren wohl nur möglich, weil Unternehmen Mitarbeiter eigene USB-Sticks an Firmenrechner anstecken ließen. Blindes Vertrauen nutzte auch ein anderer Schädling aus, der 2010 im Wirbel um Stuxnet fast unterging: Hydraq. Programmiert in der Absicht, geistiges Eigentum von Unternehmen zu stehlen, kam er daher in Form vertrauenswürdig erscheinender E-Mails mit Links und Anhängen, die sich als Falle entpuppten.

Für die Experten des US-amerikanischen Sicherheitsanbieters Symantec zeigen die beiden Beispiele, dass Arglosigkeit gegenüber Arbeitskollegen und Bekannten der am leichtesten nutzbare Schlüssel für Cyber-Kriminelle ist, um die Tür zu IT-Systemen von Firmen zu öffnen. Mit gezielten Attacken, die diesen Weg nutzen, sei daher für die Zukunft wiederholt zu rechnen, schreiben sie in ihrem jetzt erschienenen Sicherheitsbericht, der die Bedrohungslage des Jahres 2010 zusammenfasst.

USB-Ports sperren

Gezielte Angriffe auf Firmen waren laut den Beobachtungen der Sicherheitsexperten einer der Schwerpunkte der kriminellen IT-Aktivitäten. Die bei solchen Attacken genutzte Schad-Software sei zunehmend darauf ausgelegt, sich über Wechselmedien wie USB-Sticks zu verbreiten. Sie hängt sich in den meisten Fällen an ausführbare Dateien an und gelangt auf andere Computer, wenn ein Nutzer ein Programm auf einem Datenträger weitergibt. Eine Lehre daraus müsse sein, auch auf den ersten Blick isolierte Netzwerke ähnlich zu schützen wie typische Anwender-Umgebungen. Das bedeute zum Beispiel, USB-Schnittstellen zu sperren und mobile Geräte streng zu kontrollieren.

Als zweiten Brennpunkt der Internet-Sicherheit identifiziert der "Symantec Internet Security Threat Report - Trends for 2010" soziale Netzwerke. Wer immer sich in ihnen bewegt, hinterlässt Spuren, mit deren Hilfe Verbrecher ihre Angriffe gezielt auf ihr Opfer zuschneiden können. Sie informieren sich über private Interessen, Arbeitgeber, Freundeskreis. Vorbei seien folglich die Zeiten, als Phishing-Versuche von auf den ersten Blick verdächtigen Mail-Adressen aus verschickt wurden, in schlechtem Englisch daherkamen und den Empfänger auf offensichtlich bösartige Webseiten lenkten. Für nahezu aussichtslos halten es die Verfasser der Symantec-Studie demgegenüber, einen gut gemachten Angriff zu entlarven, der aufbaut auf "Social Engineering" - so das Fachwort für das Ausnutzen von Informationen, die Menschen in sozialen Netzwerken preisgeben.

Die kriminelle Internet-Aktivität nimmt laut Symantec weiter zu. Ausschläge nach oben wie unten sind sichtbar, ebenso die grundsätzliche Tendenz: steigend.
Foto: Symantec

Als spezielle Gefahr in sozialen Netzwerken hat Symantec verkürzte Links ermittelt. Ein Angreifer schreibt den Link an die Pinnwand im Profil eines Opfers, gleichzeitig erscheint er dadurch auch bei dessen Kontakten. Symantec wertete eine Dreimonats-Periode des Jahres 2010 aus und fand, dass fast zwei Drittel der auf diese Weise verbreiteten bösartigen Links verkürzte Links waren. Obwohl diese Links verbergen, wohin sie führen, ist das Misstrauen ihnen gegenüber gering: 73 Prozent der Kurz-Links wurden mindestens elf Mal angeklickt.

Rootkit Tidserv befällt Windows-Rechner

Auf einer für einzelne Anwender weniger sichtbaren Ebene liegen die Schauplätze zweier weiterer Angriffswellen, die der Sicherheitsanbieter 2010 beobachtet hat. Zum einen seien sogenannte Zero-day-Schwachstellen in Verbindung mit Rootkits ein Sicherheitsrisiko. Bei dieser Art von Angriffen nutzen Kriminelle Sicherheitslücken in Programmen wie zum Beispiel Internet-Browsern aus, wenn diese noch nicht öffentlich und auch dem Hersteller der Software noch nicht bekannt sind. Rootkits helfen den Angreifern, dass ihr Tun unentdeckt bleibt. Sie sind Werkzeuge, die das Treiben eines Schadprogramms vor dem PC-Nutzer verbergen und auch verhindern, dass im Betriebssystem Unregelmäßigkeiten auffallen.

Eines der derzeit am häufigsten verwendeten Rootkits ist demnach Tidserv. Es verändert die Master Boot Record auf Windows-Rechnern und bemächtigt sich ihrer, bevor das Betriebssystem geladen wird. Eine Reihe Infektionen mit diesem Schädling wurden im Februar 2010 zufällig entdeckt, als Microsoft ein Sicherheits-Patch für Windows herausgab.

Handel mit Verbrecher-Werkzeug

Als vierten Gefahrenherd beschreibt der Symantec-Bericht den Handel mit Angreifer-Sets. Im Untergrund würden solche Sets verkauft, mit denen der gewöhnliche Cyber-Kriminelle sein Gefahrenpotenzial erhöhen könne. Vorher nur wenigen bekannte Zero-Day-Schwachstellen würden so weithin bekannt. Wer als Internetkrimineller aktiv sein, für den sei es kein Problem, an solche Werkzeuge zu kommen. Sie waren laut Symantec mit für die mehr als 286 Millionen neuen Schadcode-Varianten, die 2010 entdeckt wurden.

Der Handel mit Angriffs-Sets mache deutlich, dass Internet-Kriminalität ein Geschäft sei: Verbrecher investierten Geld, erwarteten dafür aber auch einen Ertrag. Diese Logik erkläre auch, warum der fünfte Schwerpunkt der Online-Kriminalität 2010 noch nicht so recht in Gang gekommen sei: Angriffe auf mobile Geräte.

Internet-Kriminalität funktioniert laut Symantec nach derselben Logik wie legale Wirtschaft: Verbrecher streben nach einem hohen ROI.
Foto: Frank Gärtner - Fotolia.com

Eigentlich seien alle Voraussetzungen für hohe Kriminalitätsraten auf diesem Feld vorhanden. Die Zahl der weltweit genutzten Smartphones und Tablet-PCs sei groß genug. Auf den Geräten liefen ausgefeilte Betriebssysteme mit ihren unvermeidlichen Schwachstellen. Außerdem gebe es eine simple und effektive Methode, Schädlinge in Umlauf zu bringen: Trojaner in Apps unterzubringen, die sich tausende Nutzer herunterladen.

Gefahr mobiler Angriffe wächst

Das einzige, was nach Ansicht von Symantec 2010 noch gefehlt habe, sei die Möglichkeit gewesen, dieses Szenario gewinnbringend auszunutzen. Sicherheitsanbieter Symantec rechnet allerdings damit, dass Angriffe auf mobile Geräte bald zum lohnenswerten Geschäftsmodell werden - Privatpersonen und Unternehmen, die Smartphones und Tablets wie das iPad nutzen, müssten daher auf der Hut sein und zur Vorbeugung beispielsweise nur Apps aus vertrauenswürdiger Quelle herunterladen und nutzen.

Der im April veröffentlichte "Symantec Internet Security Threat Report - Trends for 2010" ist die 16. Ausgabe des jährlichen Berichts des Sicherheitsanbieters. Die Erkenntnisse beruhen auf Auswertungen von Symantec. Nach Angaben der Autoren sammeln 240.000 Sensoren in mehr als 200 Ländern über Symantec-Lösungen Daten. Informationen über Schadcode sammelt Symantec von über 133 Millionen Systemen, die mit seinen Antiviren-Produkten ausgestattet sind. Angaben über Spam und Phishing trägt Symantec in 86 Ländern zusammen. Mehr als acht Milliarden E-Mails werden dafür jeden Tag ausgewertet.

Der vollständige Bericht kann hier gegen Angabe von Namen und Mail-Adresse heruntergeladen werden.