Die Analyse der Internet-Bedrohungen lässt für das zweite Quartal 2007 zusammenfassend zwei Schlüsse zu. Zuerst die gute Nachricht: Neue Malware mit neuartigen intelligenten Schadroutinen taucht von April bis Juni praktisch nicht auf – und steht auch nicht für die kommenden Wochen zu erwarten. Besitzer aktueller Antiviren- und Firewall-Lösungen können also entspannen, die Hersteller von Sicherheitsprogrammen sind hervorragend gegen die vielen, aber alt bekannten Angriffe gewappnet. Die Bedrohungen werden zwar nicht raffinierter, doch erschwert die "kreative Pause" der Malware-Autoren die Voraussage der Internet-Angriffe der nächsten Generation.

Schlechte Nachrichten für iPhone-Nutzer…

Die schlechte Nachricht: Neue Mobil- und Internet-Technologien lassen auch neue Schwachstellen erwarten, die von Hackern ausgenutzt werden. So wird vermutlich das Apple iPhone eines der nächsten Angriffsziele, da Betriebssystemplattform (MacOS X) und CPU-Architektur (ARM) gut dokumentiert sind und bereits Ende des Jahres der Marktanteil des Smartphones mit 13,5 Millionen Nutzern so groß ist, dass sich für Kriminelle Angriffe darauf lohnen. Statt mit klassischen Wurm-Attacken ist jedoch aufgrund eingeschränkter Verbreitungswege (kein Bluetooth) mit einfachen Dateiviren, Trojanern und dem Ausnutzen von ungepatchten Sicherheitslücken zu rechnen. Erste Malware für das iPhone wird nach Einschätzung von Kaspersky Lab Anfang 2008 auftauchen.

…und für Symbian-basierte Smartphone-Anwender

Mitte Mai entdeckten die Experten von Kaspersky Lab gleich drei Varianten eines neuen Trojaners für SymbianOS-basierte Mobiltelefone. Das Programm Trojan-SMS.SymbOS.Viver versendet ohne Wissen des Opfers kostenpflichtige SMS an Premium-Nummern. Dadurch wird einmal mehr deutlich, dass moderne Mobilfunktechnologien immer häufiger die Aufmerksamkeit von Cyberkriminellen auf sich ziehen. Derzeit liegen zwar noch keine Statistiken zu ähnlichen Fällen außerhalb Russlands vor, doch es ist zu erwarten, dass die Angriffswelle bald auch auf Westeuropa überschwappt.

Exploit-Sammlungen immer populärer

Beim Entwickeln von Schadprogrammen verlegen sich Virenautoren immer mehr auf das Ausnutzen von Sicherheitslücken, um in Systeme einzudringen. Besonders einfach wird es Angreifern damit gemacht, dass ganze Sammlungen von Codes zum Missbrauchen dieser Sicherheitslücken (sog. Exploits) im Internet verfügbar sind – wie zum Beispiel Mpack.

Doch wie funktioniert das genau? Verschiedene Exploits, die Schwachstellen in Browsern und Betriebssystemen ausnutzen, werden zu einem Paket gebündelt. Der Kriminelle platziert diese Sammlung auf seiner Site. Um Anwender auf diese Site zu locken, verschafft er sich Zugriff auf fremde Sites, indem er Zugangsdaten verwendet, die vorher mit Hilfe eines Trojaners gestohlen wurden. Daraufhin wird allen Seiten der entsprechenden Websites der Tag <iframe> hinzugefügt, der auf die infizierte Site mit den Exploits führt. Schließlich wird auf den angegriffenen Systemen in der Regel ein Trojan-Downloader installiert, der dann zum Nachladen von Viren, Würmern, Bankern und Spionage-Tools genutzt werden kann. Mitte Juni wurden innerhalb weniger Tage mehr als sechstausend italienische Server entdeckt, deren Seiten von Kriminellen eingeschleusten HTML-Code nach diesem Muster enthielten:

<iframe src=’...’ width=5 height=5> </iframe>

Strafverfolgung noch schwierig

Mpack hat sich inzwischen von Russland, seinem Geburtsort, bis nach Italien verbreitet. Es ist nur eine Frage der Zeit, bis auch deutsche Server betroffen sein können. Andere Exploit-Sammlungen wie Q406 Roll-up package, MDAC und WebAttacker sind Mpack sogar noch an Durchschlagskraft überlegen. Eines der größten Probleme dieser Hacker-Strategie ist, dass sie sehr schnell agieren können, aber schwer zu verfolgen und kaum juristisch zur Verantwortung zu ziehen sind. Denn sie entnehmen lediglich offen zugänglichen Quellen Exploits, die auf Hunderten von Sites zur Informationssicherheit veröffentlicht sind, bündeln diese Exploits und tragen keine Verantwortung dafür, wofür sie verwendet werden.

Dabei lässt sich diskutieren, ob man aus diesem Grund auf das Veröffentlichen von Sicherheitslücken ganz verzichten sollte und wie das Verhältnis von "Blackhat"- und "Whitehat"-Hackern bewerten ist.

Cyberkriege werden real

Vermutlich gehören die Ereignisse in Estland Ende April, Anfang Mai schon jetzt zu den umstrittensten Themen des Jahres 2007. Dutzende von Servern im estnischen Internetsegment fielen politisch motivierten DDos-Attacken zum Opfer, nachdem die estnische Polizei eine Versammlung in Tallin gewaltsam aufgelöst hatte, deren Teilnehmer gegen die von der estnischen Regierung beschlossene Demontage eines russischen Denkmals protestierten. Die Websites des estnischen Präsidenten, des Premierministers, des Parlaments, der Polizei und einer Reihe von Ministerien wurden mit einer gigantischen Menge von Datenanfragen überfrachtet, die von Tausenden Computern ausgingen. Neben den DoS-Attacken, die sich im Wesentlichen gegen Websites der Regierung richteten, kam es auch zu Hacks Dutzender anderer estnischer Websites.

Estnische Politiker gaben russischen Nachrichtendiensten an all diesen Vorkommnissen die Schuld. Erstmals fiel auf hoher politischer Ebene das Wort "Cyberkrieg". Estland schlug der NATO vor, Cyberattacken als kriegerische Aktionen anzuerkennen und forderte damit faktisch militärischen Schutz vor den Bedrohungen aus dem Internet.

Partisanenkampf im Internet

Warum aber "Cyberwar"? Weil im vorliegenden Fall internationaler politischer Protest zum Auslöser kriegerischer Handlungen im Internet wurde. Da viele russische Internet-User nicht in der Lage waren, ihrem Protest persönlich Ausdruck zu verleihen, nutzten sie das Internet, um sich freiwillig an Botnetzen und DDoS-Attacken zu beteiligen. In Foren und auf Sites tauchte eine Vielzahl von Programmen auf, die unzählige Datenanfragen an estnische Sites sendeten. Jeder User konnte sich ein solches Programm downloaden und auf seinem Computer starten. Sicherlich ging ein Teil der Attacken auch von echten, also unfreiwilligen Botnetzen mit zuvor heimlich infizierten Rechnern aus, doch die Kapazität manueller, also freiwilliger Attacken ist keineswegs zu unterschätzen. Der vermeintliche Cyberkrieg stellt sich also bei näherer Betrachtung eher als Partisanenkampf dar.

Tatsächliche Beweise für die Beteiligung russischer Regierungsstrukturen an den Attacken wurden nicht erbracht. Allerdings werden nun die Themen Cyberkrieg und Cyberterrorismus weltweit nicht mehr ausschließlich von IT-Experten, sondern auch von Politikern und Militärs diskutiert. Dabei werden im Rahmen verschiedener Angriffsszenarien Ängste geschürt und Cyberterroristen auf neue Ideen gebracht, statt dass man sich primär darum bemüht, gültige Sicherheitsvorkehrungen zu treffen und entsprechende Attacken grundsätzlich zu vermeiden.

Wie es weiter gehen wird

Die im vorliegenden Bericht dargestellten Ereignisse des zweiten Quartals geben ausreichend Anlass zum Nachdenken, sie geben allerdings keine Antwort auf die Frage, in welche Richtung sich Virus- und IT-Bedrohungen zukünftig entwickeln werden. Ungeachtet des Erscheinens neuer Betriebssysteme (Vista), neuer Dienste (mobiler Content) und neuer Geräte (iPhone), nutzen die Virenschreiber über Jahre erprobte Methoden, um den Anwendern Schaden zuzufügen. Vielmehr lässt sich gar eine Rückkehr zu den "Ursprüngen" beobachten, denn erneut werden im großen Maßstab DDoS-Attacken eingesetzt und Schwachstellen in den Browsern zum Eindringen ins System ausgenutzt. Der einzige Unterschied in der Verwendung dieser Methoden im zweiten Quartal 2007 zu der drei Jahre zurückliegenden Phase besteht darin, dass E-Mails als Verbreitungsweg von Viren immer mehr an Bedeutung verlieren und Instant-Messaging-Systeme an deren Stelle treten. Zudem ist ein explosionsartiger Anstieg von Trojanern zu verzeichnen, die es auf Spieler von Online-Games abgesehen haben.

Die Antivirus-Hersteller haben ihre Technologien entscheidend verbessert und neue Entwicklungen wie zum Beispiel proaktive Sicherheitstechnologien eingeführt. Zum gegenwärtigen Zeitpunkt sind die Kunden von Antivirus-Herstellern wesentlich besser geschützt als noch vor einigen Jahren. Die durchschnittliche Überlebenszeit der meisten neuen Schadprogramme in "freier Wildbahn" misst sich heute in Stunden – seltener in Tagen.

Deshalb werden sich die Kriminellen bemühen, sich dem Schutzbereich der Antivirus-Lösungen zu entziehen. Dabei werden sie zum einen versuchen, Antiviren-Programme zu umgehen, zum anderen werden sie in Bereichen aktiv, die bisher noch nicht von hochwertigem Antiviren-Schutz abgedeckt sind, oder für die ein solcher Schutz aus verschiedenen Gründen nicht umsetzbar ist. Aller Wahrscheinlichkeit nach wird gerade hier die neue Frontlinie im IT-Krieg verlaufen: Im so genannten Web 2.0 und auf den Servern von Online-Games, Blogs, Instant-Messaging-Systemen und von Dateitausch-Netzen.