kümmert sich um Ihre Sicherheit
english deutsch français polski russian magyar
Produkte
Kaufen
Support
Partner
Presse
Agnitum

Presse

Home
Pressemitteilungen
Agnitum Newsletter
Auszeichnungen
Presseraum
PR-Kontakt

Exploits – vom Problem bis zur Lösung

Zusammenfassung

Dieser Artikel befasst sich mit dem Problem der Exploits und der mit ihnen verbundenen Risiken. Darüber hinaus beschreibt er die notwendigen Schritte, die Anwender ergreifen sollten, um die durch Exploits bestehenden Risiken zu minimieren.

Einleitung

Die Verbreitung von schädlicher Software ist eines der größten Probleme der heutigen Internetnutzung. Im Gegensatz zu früheren "auffälligen" Viren ist die heutige Schadsoftware eher still und heimlich. Nachfolgend wird eine vielen Computeranwendern nur allzu bekannte Erfahrung beschrieben:

Nachdem Sie ein paar Monate lang mit einem neuen Laptop oder Desktop – oder einem alten Computer mit einer neuen Windows-Installation – im Internet gesurft haben, fällt Ihnen auf, dass sich der Rechner merkwürdig verhält: Er blendet Pop-Up-Fenster einn, meldet Windows- und Programmfehler, hat Probleme beim Hochfahren und zeigt eine Reihe anderer seltsamer Aktivitäten, die Sie vorher nie erlebt haben. Unglücklicherweise haben Sie das Gerät nicht mit irgendeiner Sicherheitssoftware ausgestattet, bevor Sie mit dem Surfen begonnen haben; Sie versuchen jedoch, die verlorene Zeit und Sicherheit durch die Installation eines Antiviren-Programms wieder aufzuholen. Es überrascht wohl kaum, dass der erste Scan aktive Bedrohungen im Arbeitsspeicher und mehrere Instanzen von Malware auf Ihrer Festplatte zeigt. Sie versuchen herauszufinden, was Sie getan haben oder woher diese ganzen Schadprogramme kommen. Haben Sie (oder ein anderes Familienmitglied oder ein Kollege) ausführbare Dateien von verdächtigen Seiten heruntergeladen, sich an einem Peer-to-Peer-Datenaustausch beteiligt, auf Spam oder Phishing-Nachrichten geantwortet? Die Infektion hätte durch alles, überall, durch jede Person, die Ihren Computer benutzen darf, verursacht werden können. Das eigentliche Problem ist es, dafür zu sorgen, dass solche versteckten Infektionen nie wieder vorkommen können.

Eine Einführung in das Thema Exploits

Es gibt keine allgemeingültige Definition des Begriffs Exploits, im Grunde genommen handelt es sich um eine beliebige Art von Software, die dazu entwickelt wurde, Sicherheitslücken in anderen Programmen auszunutzen. Exploits profitieren von Sicherheitslücken in einem Browser, einem Browser-Plug-In und anderen internetfähigen Anwendungen, einschließlich Word, Acrobat und anderen "Standard"-Programmen.

Exploits können die unterschiedlichsten Bezeichnungen haben - Drive-By-Downloads, Hintergrund-Malware-Installation, stille Infektionen oder Infektionen ohne Unterstützung. All diese Namen bedeuten jedoch dasselbe: Ihr Computer wird infiziert, wenn Sie einfach nur im Internet surfen, ohne dabei tatsächlich z.B. eine Datei herunterzuladen oder sonstige Aktivitäten durchzuführen. Exploits ermöglichen es Malware, sich heimlich ohne Ihr Wissen auf Ihrem Computer zu installieren und können so Datendiebstahl, eine Botnet-Rekrutierung, Computer-Fehlfunktionen und andere ernsthafte Probleme verursachen.

Gefährdungszyklus

Das nachfolgende Diagramm stellt den Zyklus einer Software-Sicherheitslücke und den eines davon abhängigen Exploits dar1.

Kliken Sie

  1. Die Anwendung wird für die Öffentlichkeit freigegeben.
  2. Ein unethischer Forschungsmitarbeiter oder ein böswilliger Hacker entdeckt eine Sicherheitslücke in der Anwendung, benachrichtigt den Hersteller jedoch nicht. Stattdessen gibt er/sie gegen finanzielle oder sonstige Belohnungen diese Information an Malware-Autoren weiter. Die Malware-Autoren schreiben einen Schadcode, um diese Sicherheitslücke auszunutzen. Diese Bedrohungen sind den Anti-Malware-Herstellern nicht bekannt, also gibt es auch noch keine entsprechende Erkennung dafür; das wird allgemein als Zero-Day-Malware bezeichnet.
  3. Der Hersteller der angreifbaren Anwendung erfährt durch öffentliche Kanäle von der Sicherheitslücke. Das ist auf mehrere Arten möglich, normalerweise durch das Durchsickern der Entdeckung des Hackers in Untergrund-Foren, durch Kommunikation mit Anwendern oder Partnern oder durch parallele Nachforschungstätigkeiten von ethisch einwandfreien Forschungsmitarbeitern.
  4. Ein Proof-of-Concept-Code hat keine schädliche Ladung, sondern dient lediglich als Beweis für die Echtheit dieser Entdeckung und dafür, dass die Sicherheitslücke ohne Patch von echter Malware ausgenutzt werden könnte. Ein POC (Proof of Concept - Machbarkeitsnachweis) dient hauptsächlich dazu, den Hersteller davon zu überzeugen, dass die Sicherheitslücke ausgenutzt werden kann.
  5. Nachdem der Hersteller den Angreifbarkeitsbericht beurteilt und daraus geschlossen hat, dass ein Patch erforderlich ist, beginnt er mit der Herstellung einer Lösung für das Sicherheitsproblem.
  6. Der Hersteller erstellt einen Patch, der die Sicherheitslücke schließt. Über den Standard-Aktualisierungsvorgang für diese Anwendung wird ein Sicherheitsupdate verteilt.
  7. Der Anwender installiert den Patch des Herstellers, um die Anwendung vor einer Ausnutzung der Sicherheitslücke zu schützen.

Irgendwo zwischen Phase 2 und Phase 7 taucht der Exploit auf und beginnt mit der Infektion von angreifbaren Anwendern. Diese Phase wird "Window of Opportunity" (einmalige Gelegenheit) genannt, in ihr kann sich ein Hacker die Systeme der Anwender ohne deren Wissen "zu Eigen machen", indem er die entdeckten und noch ungepatchten Sicherheitslücken ausnutzt.

1Wenn ein Sicherheits-Forschungsmitarbeiter einem Software-Hersteller eine Sicherheitslücke meldet, ohne diese Informationen irgendjemand anders mitzuteilen, wird die Wahrscheinlichkeit, dass diese Sicherheitslücke ausgenutzt wird, erheblich verringert. Nachdem der Hersteller die Sicherheitslücke mit einem Patch geschlossen hat, können Informationen über die nun behobene Lücke öffentlich bekanntgegeben werden, ohne die Sicherheit der Anwender zu gefährden. Das setzt jedoch voraus, dass die Anwender ihre Systeme mit dem Patch aktualisiert haben. Studien haben gezeigt, dass für Anwender, die ihre Rechner nicht mit den aktuellen Patches versehen, das Risiko einer Infektion mit web-basierten Exploits erheblich höher ist.

Wie Exploits funktionieren

Sobald Hacker von der Existenz einer Sicherheitslücke erfahren, beginnen sie mit dem Schreiben von Malware, um sie auszunutzen. Dabei kann es sich um eine Zusammenarbeit einer Gruppe aus mehreren Hackern oder um einen einzelnen, äußerst fähigen Hacker handeln; diese letztgenannte Einzelperson kann auch der ursprüngliche Entdecker der Sicherheitslücke sein.

Manchmal werden Exploit-Toolkits herausgebracht und auf dem Untergrundmarkt verkauft. Sie kosten zwischen 500 und 1.000 US-Dollar und werden mit kostengünstigen Updates unterstützt, die immer dann an die Käufer geschickt werden, wenn neue Exploits für neue Sicherheitslücken verfügbar sind und dem Paket hinzugefügt werden (also eigentlich genauso, wie es auch bei einem legitimen Software-Hersteller abläuft). Bekannte Beispiele für solche Toolkits sind die in Russland hergestellten Programme WebAttacker und MPack. Sie enthalten einen Satz von Exploits, die bekannte Sicherheitslücken von Drittanbieter-Plug-Ins und Browser-Funktionen ausnutzen, von der Sicherheitslücke durch animierte Cursor bis hin Apple QuickTime-Pufferüberlauf, mehreren Sicherheitslücken in den ActiveX-, Java-Script- und andern Internet-Explorer-Erweiterungen.

Nachdem die Angreifer einen Exploit in die Finger bekommen haben, müssen sie ihn so platzieren, dass Anwender, die bewusst oder zufällig eine bestimmte Website besuchen, automatisch ohne ihr Wissen infiziert werden. Es gibt zahlreiche Beispiele für derartig sicherheitsgefährdete Websites, normalerweise verwenden Hacker jedoch einen oder mehrere der folgenden Ansätze:

  • Verwendung von Spam, um die Anwender auf eine vom Hacker betriebene Website zu locken. Zu den Methoden, die Anwender zum Besuch der infizierenden Website zu bewegen, zählen unter anderem auch hochentwickeltes DNS-Spoofing, Social-Engineering-Angriffe und andere kriminelle Taktiken.
  • Erstellen einer Reihe von infizierenden Websites, deren Namen völlig legitimen Einrichtungen ähneln, z.B. die Registrierung einer Internetadresse mit einem kleinen Schreibfehler (z.B. microsooft.com, dowload.com)
  • Sicherheitsbeeinträchtigung von Websites, die legitimen Einrichtungen gehören, und Einbetten von schädlichem Code, bevor der Betreiber der Website das Eindringen verhindern kann. Das geschah vor Kurzem mit der Website der Bank of India.
  • Einbetten von Links zu Medienelementen auf Websites sozialer Netzwerke wie FaceBook oder MySpace, die auf externen, präparierten Code verweisen. Damit werden Sicherheitslücken in den Drittanbieter-Plug-Ins ausgenutzt, die zur Ausführung dieses Codes notwendig sind.

Mit Exploits Geld verdienen - das Geschäftsmodell

Exploits können für ihre Hersteller ein beträchtliches Einkommen bedeuten. Einige Quellen schätzen, dass Cyberverbrechen in punkto Profit den illegalen Drogenhandel inzwischen überholt haben, und ein großer Teil dieses Geldes stammt aus dem Verkauf von Exploits. Exploits können ihrem Hersteller in mehrfacher Hinsicht Vorteile bringen:

  1. durch die Infektion von Anwender-Computern mit allen Arten von Malware, die dazu verwendet werden können, Einkünfte aus Erpressung, dem Verkauf gefälschter Anti-Spyware-Rogramme oder dem Verkauf von durch Keylogger erworbenen persönlichen Informationen usw. zu erzielen,
  2. durch deen Verkauf von Exploits an andere Kriminelle,
  3. als Druckmittel zur Erpressung eines Software-Herstellers.

Bekämpfung der Exploit-Bedrohung

Es gibt eine Reihe einfacher Schritte, die Sie ergreifen können, um Ihr System vor Exploits zu schützen:

  1. Installieren Sie immer die neuesten Patches auf Ihrem System und verwenden Sie immer die aktuellsten Browser-Versionen.
  2. Deaktivieren Sie unnötige Programmierungsfunktionen wie ActiveX, oder erlauben Sie sie nur für vorab überprüfte und vertrauenswürdige Websites.
  3. Besuchen Sie keine unbekannten oder möglicherweise nicht vertrauenswürdigen Websites.
  4. Verwenden Sie Programme, die die Inhalte einer Website in Echtzeit überprüfen, bevor sie dem Anwender den Zugriff darauf erlauben. Programme wie Link Scanner Pro überprüfen den HTLM-Code der Ziel-Website, um sicherzustellen, dass hier keine versteckten Bedrohungen eingebettet sind. Die Erweiterung Finjan SecureBrowsing setzt die Code-Überprüfung zusammen mit einer Einschätzung des Rufes der Website ein, um eine mögliche Bedrohung abzuschätzen.
  5. Verwenden Sie eine Firewall, die vor Zero-Day-Malware schützt, indem sie unangemessene Netzwerk- und lokale Programmaktivitäten blockiert. Outpost Firewall Pro 2008 beinhaltet die Möglichkeit, eine Datenbank mit einer schwarzen Liste von Websites aufzubauen und anzupassen, auf die der Zugriff blockiert wird.

Schlussfolgerung

Exploits stellen für Ihren Computer ein echtes und quantitativ bestimmbares Risiko dar; solange Sie jedoch mit dem entsprechenden Wissen, gesundem Menschenverstand und der richtigen Software ausgestattet sind, können Sie sicher sein, dass Ihr digitales Leben nicht von Exploits beeinträchtigt wird.

Lernen Sie den Autor

 

Igor Pankov war schon immer von Computern, dem Internet und der Freiheit fasziniert, sich mit wenigen Mausklicks durch die weltweite Wissensdatenbank zu klicken.
Lesen Sie mehr...

Sicherheitgeschichten
Melden sie sich noch heute an!
Beziehen Sie unsere kostenlosen monatlichen Newsletter:
Agnitum Newsletter (Neuigkeiten)

Geben Sie hier bitte Ihre EMailadresse ein:

RSS feed
Nutzungsbedingungen   Suche   Site map   Kontakt   Datenschutzerklärung   PR-Kontakte   
Outpost Security Suite PRO   Outpost Firewall PRO   Outpost Antivirus PRO   Outpost Network Security
Alle Rechte vorbehalten © 1999–2012 Agnitum Ltd.