Die Liste der Top 10 Sicherheitsbedrohungen für 2007 im Einzelnen:
1. Die Zahl der Webseiten, die Anwender zur Eingabe ihrer Passwörter verleiten sollen – beispielsweise über gefälschte Login-Seiten für bekannte Online-Dienste wie Ebay - wird zunehmen.
2. Das Volumen von Spam, insbesondere bandbreitenintensivem Bilder-Spam, wird größer werden.
3. Das Verteilen und gemeinsame Nutzen von Videodateien über das Web wird immer populärer. Hacker werden deswegen mit hoher Wahrscheinlichkeit dazu übergehen, MPEG-Dateien als Multiplikator für Schadcode zu nutzen.
4. Die Angriffe auf Mobiltelefone werden einen höheren Stellenwert einnehmen als bisher. Mobile Geräte verfügen über einen immer größeren Funktionsumfang und sind immer direkter an das Internet angebunden.
5. Adware wird sich mit der Zunahme von potentiell unerwünschten Programmen (PUPs) weiter verbreiten.
6. Identitätsdiebstähle und Datenverlust werden weiterhin für Aufsehen sorgen. Ausgangspunkt solcher Verbrechen ist oft der Diebstahl von Computersystemen, der Verlust von Backups oder von Systemen mit vertraulichen Daten.
7. Hacker werden verstärkt Bots zur Ausübung ihrer automatisierten Attacken benutzen.
8. Parasitärer Schadcode oder Viren, die bestehende Dateien auf einem Datenträger modifizieren, werden ein Comeback erleben.
9. Die Zahl der Rootkits auf den 32-Bit-Plattformen wird weiter ansteigen. Die Maßnahmen zum Schutz und zur Sanierung der Systeme erreichen aber ebenfalls einen höheren Leistungsgrad.
10. Vulnerabilities und deren professionelle Vermarktung im Untergrund bleiben eine ernstzunehmende Bedrohung.
Jeff Green, Senior Vice President von McAfee Avert Labs and Product Deployment, zu den Prognosen der Avert Labs für 2007: „Computer sind in vergleichsweise kurzer Zeit zu einem elementaren Teil unseres täglichen Lebens geworden. Gerade daraus resultieren aber auch lukrative Verdienstmöglichkeiten für Malware-Autoren. Im Rahmen unserer Erhebung fällt daher auf, dass die Angriffstechnologien immer ausgefeilter werden, was es für die normale Benutzerbasis immer schwieriger macht, Infektionen durch Schadcode festzustellen oder zu vermeiden."
Derzeit sehen die McAfee-Forscher zahlreiche Anhaltspunkte für eine zunehmend professionalisierte und organisierte Szene von Schadcode-Entwicklern. Dabei programmieren ganze Programmiererteams Malware, testen sie und automatisieren deren Herstellung und Verbreitung. Ausgefeilte Techniken wie Polymorphie, d.h. das mehrmalige Auftreten parasitärer Attacken, Rootkits oder das automatisierte zyklische Verschlüsseln von Systemen, die somit kontinuierlich weitere Malware-Builds herausgeben, gewinnen immer mehr an Bedeutung. Anwendungen werden in zunehmendem Maße komprimiert oder verschlüsselt, um ihren eigentlichen Zweck schnell und gründlich zu verbergen.
Im Juli 2006 hatte McAfee den Schutz für die 200.000ste Bedrohung in seiner Datenbank für Virendefinitionen herausgegeben. Seit Anfang des Jahres hat McAfee etwa 50.000 neue Bedrohungen erkannt und rechnet bis zum Jahresende mit einer Überschreitung der 225.000er-Marke. Unter Berücksichtigung der gegenwärtigen Trends erwartet der Sicherheitsspezialist die Identifizierung der 300.000sten Bedrohung bis zum Ende des nächsten Jahres, was das Wachstumspotential in diesem Bereich deutlich macht.
Der Threat Forecast der McAfee Avert Labs für 2007
Die Bedeutung der Phishing-Webseiten nimmt zu
Im Jahr 2007 werden verstärkt Angriffe unternommen werden, die versuchen, durch die Anzeige einer gefälschten Login-Seite (zum Beispiel von populären Online-Diensten wie E-Bay) an Benutzer-IDs und Passwörter zu kommen. Außerdem haben die Phishing-Angriffe, die nach dem Hurrikan Katrina aufgetaucht sind, gezeigt, dass Kriminelle in Zukunft zunehmend versuchen werden, Profit aus der Hilfsbereitschaft von Menschen für Katastrophenopfer und andere Bedürftige zu schlagen. Im Gegensatz dazu wird die Zahl der Angriffe auf ISPs voraussichtlich zurückgehen, während die Attacken auf Einrichtungen im Finanzsektor auf einem stabilen Niveau bleiben.
Vor allem Image-Spam nimmt zu
Im November 2006 machte Image-Spam etwa 40 Prozent des gesamten Spam-Volumens aus. Ein Jahr zuvor lag dieser Wert noch bei etwa zehn Prozent. Die Zahl der Image-Spam-Aussendungen hat in den letzten paar Monaten gewaltig zugenommen, und verschiedene Spam-Arten werden jetzt in Bildform statt als Text verschickt. So werden vor allem zweifelhafte Angebote für Aktienanoptionen, pharmazeutische Produkte und akademische Grade verbreitet. Image-Spam verbraucht typischerweise etwa das dreifache Datenvolumen von textbasiertem Spam. Die Bandbreite, die Spam-Nachrichten verbrauchen, nimmt deutlich zu.
Die Popularität von Videos im Netz als attraktives Hacker-Ziel
Die zunehmende Nutzung von Videos auf Social-Networking-Sites wie MySpace, YouTube und VideoCodeZone wird immer mehr Malware-Autoren auf den Plan rufen. Sie werden versuchen, diese großen Anwendergemeinschaften auf einfache Art und Weise für ihre Zwecke zu missbrauchen. Die meisten Anwender öffnen Mediendateien - anders als E-Mail-Anhänge - ohne jedes Zögern. Darüber hinaus lässt sich das Video-Format einfach nutzen, was dazu führt, dass Funktionen wie Padding, Pop-Up-Werbung und URL-Umleitungen zu idealen Werkzeugen für Malware-Programmierer werden. Gemeinsam sorgen beide Methoden mit hoher Wahrscheinlichkeit dafür, dass Schadcode in Verbindung mit solchen Inhalten äußerst effektiv sein wird.
Der von den McAfee Avert Labs Anfang November 2006 entdeckte W32/Realor-Wurm ist ein aktuelles Beispiel für Media-Malware. Der Wurm konnte ohne jegliche Mithilfe des Opfers schädliche Websites aufrufen. Dadurch waren die Anwender Bots oder Passwort-Stealern ausgesetzt. Andere Media-Malware, wie etwa Exploit-WinAmpPLS, konnte Spyware mit verhältnismäßig wenig Interaktion im Hintergrund installieren. Die Zahl der Video-Sharing-Netzwerke im Web nimmt ständig zu. Die Möglichkeit, eine große Zahl von Anwender auf einmal angreifen zu können, wird Malware-Autoren auf der Suche nach Profit dazu motivieren, diesen Verbreitungsweg weiter auszubauen.
Mehr Attacken auf mobile Endgeräte
McAfee geht weiterhin davon aus, dass mobile Bedrohungen zahlenmäßig stark zunehmen werden, da die Plattformen in diesem Bereich immer konvergenter werden. Der Einsatz der Smartphone-Technologie hat eine wesentliche Rolle dabei gespielt, die Bedrohungen von stationären PC-Systemen auf tragbare, mobile Geräte zu verlagern. Aufgrund der verbesserten Konnektivität durch Bluetooth, SMS, Instant Messaging, E-Mail, Wifi, USB, Audio, Video und Web ergeben sich auch mehr Möglichkeiten für geräteübergreifende Attacken.
Im Jahr 2006 haben die Autoren mobiler Malware versucht, von PCs auf Telefone und umgekehrt neue Übertragungswege für Malware zu schaffen. Von PCs auf das Telefon geschah dies durch MSIL/Xrove.A. Dabei handelte es sich um eine .NET-Malware, die Smartphones über ActiveSync infizierte. Infektionswege in der umgekehrten Richtung sind zurzeit noch relativ primitiv. Dies geschieht beispielsweise über Speicherkarten, die sowohl in PCs wie mobiler Hardware zum Einsatz kommen. McAfee geht aber davon aus, dass es auch in diesem Bereich im nächsten Jahr zu unerwünscht großen Fortschritten kommen wird.
SMiShing basiert auf E-Mail-Phishing-Technologien, überträgt diesen bekannten Mechanismus aber auf das SMS-Medium. Aus Phishing wird SMiShing. Auch diese Angriffsmethode wird an Bedeutung gewinnen. Im August 2006 entdeckten die McAfee Avert Labs das erste Beispiel. VBS/Eliles verschickte als Mass-Mailing-Wurm SMS-Nachrichten auch an mobile Telefone. Bis Ende September 2006 traten bereits vier Varianten dieses Wurms auf.
Darüber hinaus wird im kommenden Jahr auch die Bedrohung durch profitorientierte mobile Malware zunehmen. Der größte Teil der Malware, den die Avert Labs in diesem Zusammenhang detektieren konnten, bestand aus relativ einfachen Trojanern. Der J2ME/Redbrowser-Trojaner hat diese Situation verändert. Dieser Trojaner gibt vor, mit Hilfe von SMS-Nachrichten auf WAP-Websites (Wireless Access Protocol) zuzugreifen. In Wirklichkeit sendet er stattdessen SMS-Mitteilungen an kostenpflichtige Dienste. Die Handy-Rechnung steigt. Wesber, ein zweiter jüngst entdeckter J2ME-Trojaner, sendet ebenfalls SMS-Nachrichten an eine kostenpflichtige Nummer.
Zum Ende dieses Jahres existiert in der mobilen Welt bereits eine Vielzahl unterschiedlicher Spyware-Angebote. Die meisten davon überwachen Telefonnummern und SMS-Call-Logs, manche stehlen auch SMS-Nachrichten, indem sie Kopien davon an ein anderes Telefon weiterleiten. Die Spyware-Lösung SymbOS/Flexispy.B kann bereits heute das Mikrofon im Handy seines Opfers aktivieren und es damit einem Angreifer ermöglichen, die Person zu belauschen. Andere Spyware-Produkte nutzen zu diesem Zweck die Kamera des mobilen Geräts. McAfee geht davon aus, dass die Zahl der kommerziellen Spyware-Angebote, die mobile Geräte zum Ziel haben, im nächsten Jahr ansteigen wird.
Adware wird zum Mainstream
Die Avert Labs haben 2006 eine Zunahme der Zahl der kommerziellen PUPs (Potentially unwanted programs) festgestellt. Das Wachstum war in diesem Bereich noch größer bei den Trojanern, also bei Keyloggern, Passwort Stealers, Bots und Backdoors. Darüber hinaus steigt auch der Missbrauch kommerzieller Software durch Malware. Systeme verteilen ferngesteuert Adware, Keylogger und Remote-Control-Software auf die Rechner der Opfer. Trotz der damit zusammenhängenden sozialen, rechtlichen und technischen Risiken besteht aber ein so großes kommerzielles Interesse an den Umsätzen mit werblichen Umsätzen, dass McAfee davon ausgeht, dass immer mehr Unternehmen Werbungssoftware in einer Art und Weise einsetzen werden, die für die Kunden weniger störend ist als die überwiegende Mehrheit der derzeitig eingesetzten Adware.
Identitätsdiebstahl und Datenverlust weiterhin akut
Nach Informationen der US-Federal-Trade-Commission sind jedes Jahr etwa zehn Millionen Amerikaner Opfer von Identitätsfälschungen. Solche Verbrechen beginnen oft mit Computerdiebstählen, dem Verlust von Backup-Medien oder von Einzelsystemen mit vertraulichen Informationen. McAfee erwartet zwar keinen sprunghaften Anstieg der Opferzahlen, das Thema wird aber trotzdem von öffentlichem Interesse sein. Dafür sorgen Meldungen über verlorene oder gestohlene Daten, eine Zunahme der Cybertheft-Fälle, Berichte über gestohlene Laptops mit vertraulichen Informationen und das Hacken von Händler- beziehungsweise Verbrauchersystemen sowie Geldautomaten.
Die McAfee Avert Labs gehen davon aus, dass unautorisierte Informationsübertragung für Unternehmen zu einem immer größeren Risiko wird. Datenverlust sowie die Nichterfüllung staatlicher Vorgaben für den Datenschutz sind die dazugehörigen Schlagworte. Verluste von Kundendaten, persönlichen Informationen der Mitarbeiter und geistigen Eigentums spielen eine große Rolle. Dies erfolgt meist durch ungesicherte Übertragungskanäle wie Anwendungen, Netzwerke oder auch über eine direkte Verbindung physikalischer Transferwege mit Hilfe von USB-Geräten, Druckern, Fax-Maschinen und tragbaren Speichermedien. McAfee erwartet außerdem als Konsequenz eine Zunahme der Nutzung von Archivierungs- und Verschlüsselungslösungen, da der Markt für Data-Loss-Prevention-Produkte (DLP) immer größere Bedeutung erlangt.
Die Zahl der Bots wird steigen
Bots sind weiter im Vormarsch. In den letzten zwei Jahren wuchs das Interesse der Virenautoren an IRC-Threats, was zum einen an der Leistungsfähigkeit der IRC-Skriptsprache, zum anderen an der einfachen Koordination der infizierten Rechner über eine Chat-Room-ähnliche Struktur liegt. Bots werden sich von reinen Kommunikationsmechanismen auf Basis des Internet-Relay-Chats (IRC) weg hin zu weniger auffälligen und raffinierten Methoden entwickeln.
So genannte "Mules" (Maultiere) spielen eine wichtige Rolle bei der Abwicklung der durch Bots generierten Daten-, Waren- und Geldströme. Mules werden für die Heimarbeit über professionell gestaltete Websites, regelrechte Stellenanzeigen und sogar über Instant Messaging (IM) angeworben. Mules sind von zentraler Bedeutung für den weltweiten Betrieb von Bots. Dank gestohlener Kreditkarteninformationen erworbene Güter für den Weiterverkauf oder Bargeldbeträge werden ofiiziell über Landesgrenzen transferiert und müssen sich an strikte Zollanforderungen halten. Gesetzliche Bestimmungen können leichter erfüllt oder umgangen werden, wenn in den Ursprungsländern Mules agieren.
Parasitäre Malware schafft das Comeback
Obwohl parasitäre Malware weniger als zehn Prozent der gesamten Malware ausmacht (90 Prozent der Malware sind statisch), scheint diese Technik ein Comeback zu erleben. Parasitäre Schädlinge sind Viren, die existierende Dateien auf einem Datenträger modifizieren und ihren Code dort in eine Datei einfügen. Wenn der Anwender dann eine infizierte Datei aufruft, startet parallel der Virus. W32/Bacalid, W32/Polip und W32Detnat waren in 2006 drei häufig auftretende polymorphe parasitäre Malware-Programme. Sie verfügen über "Tarnkappenfähigkeiten" und versuchen, Trojaner von kompromittierten Webseiten herunterzuladen.
Die McAfee Avert Labs haben unlängst auch den Payload von W32/Kibik.a identifiziert und überwacht. Diese Malware ist ein parasitärer Zero-Day-Exploit mit Rootkit-Heuristiken, Verhaltenserkennung und IP-Blacklists – allesamt wichtige Themen der letzten Jahre. W32/Kibik.a ist rein von der Funktionsweise her betrachtet ein bemerkenswertes Beispiel für das „Überleben“ von IT-Schädlingen in der von starkem Wettbewerb geprägten Umgebung von heute. Mit der unauffälligen Installation über ein Zero-Day-Exploit, dem unbemerkten Vorhandensein auf dem befallenen Rechner sowie der unauffälligen und harmlos aussehenden selbstständigen Google-Suche, könnte diese Malware möglicherweise im nächsten Jahr einen neuen Trend bei den skalierbaren und remote gesteuerten Schädlingen (Botnets) starten. Es ist aufgrund der Stealth-Elemente der Lösung daher kein Wunder, dass viele Sicherheitsspezialisten bis jetzt nicht dazu in der Lage waren, W32/Kibik.a zu erkennen und zu beseitigen.
Zahl der Rootkits auf 32-Bit-Plattformen steigt
Glücklicherweise steigt nicht nur die Zahl der Rootkits, sondern auch die Leistungsfähigkeit der Schutz- und Wiederherstellungsprogramme. Auf 64-Bit-Plattformen, und hier vor allem bei Vista, sind die Malware-Trends schwierig vorauszusagen, da sie von der Gesamtakzeptanz der 64-Bit-Systeme abhängen. Generell erwarten die McAfee Avert Labs aber
• einen zumindest kurzfristigen Rückgang bei den Kernel-Mode-Rootkits - Malware-Autoren werden aber neue Techniken entwickeln, um PatchGuard auszuhebeln.
• eine Zunahme der Verbreitung von User-Mode-Rootkits und von User-Mode-Malware im Allgemeinen, zumindest aber eine größere Bedeutung von 64-Bit-Malware, da PatchGuard die weit entwickelten heuristischen und Verhaltenstechnologieansätze unterbindet, mit denen die meisten Sicherheitssoftwarelösungen arbeiten. Diese Situation wird bis zum Erscheinen des Vista Service Packs 1 anhalten, mit dem Microsoft neue APIs einführen will. Dieser Prozess kann aber auch durchaus länger dauern, je nachdem wie groß der Aufwand ist, den die Sicherheitsanbieter beim Re-Engineering betreiben müssen. Auch die Akzeptanz das Service Pack 1 durch den Kunden wird dann bei der Verbreitung neuer Schutzfunktionen eine große Rolle spielen.
Vulnerabilities weiterhin das Damoklesschwert
Die Zahl der erkannten Vulnerabilities wird aller Wahrscheinlichkeit nach im nächsten Jahr erneut zunehmen. Bislang hat Microsoft im Jahr 2006 140 Verwundbarkeiten im Rahmen seines monatlichen Patchprogramms bekannt gegeben. Die McAfee Avert Labs gehen davon aus, dass diese Zahl weiter aufgrund von Prämienprogrammen steigt, das Forscher dafür belohnt, Vulnerabilities zu finden. Ein weiteres Argument, das für diese Annahme spricht, ist der verstärkte Einsatz von Fuzzern. Fuzzer ermöglichen das Testen von Anwendungen im großen Stil. Dieses Jahr hat Microsoft bereits mehr kritische Vulnerabilities beseitigt als in den Jahren 2004 und 2005 zusammen. Die Gesamtsumme der Jahre 2004 und 2005 von 62 kritischen Verwundbarkeiten wurde bereits im September 2006 überschritten.
Die McAfee Avert Labs stellen außerdem einen Trend zu Zero-Day-Angriffen kurz nach den monatlichen Patch-Tagen von Microsoft fest. Seitdem die Patches nur noch einmal monatlich veröffentlicht werden, haben Hacker die Möglichkeit, Zero-Day-Microsoft Exploits kurz nach dem monatlichen Patch-Dienstag herauszugeben, um so das "Window of Exposure" der Vulnerability zu maximieren.
Empfehlungen der McAfee Avert Labs
Um sich gegen die genannten Bedrohungen und Schadprogramme zu schützen, empfehlen die McAfee Avert Labs sowohl Unternehmen als auch Endnutzern, stets die aktuellsten Data Definition Files (DATs) zu nutzen, die neuesten Patches einzuspielen und einen mehrschichtigen Ansatz zum Erkennen und Abwehren von Angriffen zu implementieren. Weitere Informationen zu bestimmten Threats und zusätzliche Details und Meinungen zu den aktuellsten Sicherheitsuntersuchungen finden sich ständig im Sicherheits-Blog der McAfee Avert Labs unter http://www.avertlabs.com/research/blog/.
Die McAfee Avert Labs gehören zu den renommiertesten Forschungseinrichtungen für Sicherheitsbedrohungen. Sie beschäftigen Mitarbeiter in 17 Städten und zwölf unterschiedlichen Ländern. Die McAfees Avert Labs verbinden dabei wegweisende Forschung zur Abwehr von bösartigem Code und zur Verteidigung gegen Virenangriffe mit der Expertise in den Bereichen Intrusion Prevention sowie Vulnerability Research.