Donnerstag, 28. März 2024

Archiv


Virtueller Einbruch

IT-Sicherheit.- Es müssen nicht immer Großrechner sein: Auch Computerprogramme aus dem Privatnutzer-Segment bergen nicht selten Sicherheitslücken, für die es noch keine Lösung gibt – sogenannte Zero-Day-Exploits.

Von Achim Killer | 30.10.2010
    Nachdem es keine Bootsektorviren mehr gibt und kaum noch Mail-Würmer, ist der Exploit der wichtigste Helfer des digitalen Ungeziefers geworden. "to exploit" heißt auf Deutsch "ausnutzen". Und der Exploit nutzt Sicherheitslücken in Programmen aus. Die Ergänzung "Zero Day" bezieht sich auf die Zeit, die verstreicht, nachdem eine Lücke entdeckt worden ist, bis sie ausgenutzt werden kann. Zero Day – null Tage – null Chance, sich gegen entsprechende Schadprogramme zu wappnen. Ein Exploit ist eine Art Einbruchswerkzeug für Malware, sagt der Technikchef des Anti-Virenhauses F-Secure, Mikko Hypönnen:

    "Schadprogramme brauchen eine Möglichkeit, in den Computer zu gelangen. Ein Beispiel sind diese sogenannten Drive-by-Downloads. Man surft eine Web-Site mit einem Exploit an, der auf eine Schwachstelle im PC abzielt, im Betriebssystem, dem Browser oder den Browser-Plug-ins. Der Exploit wird dann dazu verwendet, das tatsächliche Schadprogramm zu installieren. Oft sind Exploit und Schadprogramm ganz verschiedene Komponenten. Das Schadprogramm verwendet den Exploit, um ausgeführt zu werden."

    Wie das funktioniert, erläutert Professor Claudia Eckert vom Lehrstuhl für Sicherheit in der Informatik der Technischen Universität München

    "Ein Klassiker, der immer wieder auch für die Zero-Day-Exploits ausgenutzt wird, ist der sogenannte Puffer-Überlauf – Buffer-overflow-Angriff."

    Also ein Programm erwartet Daten aus dem Internet. Und der Entwickler hat dafür denn auch einen Puffer einer bestimmten Größe vorgesehen. Tatsächlich aber kommen mehr Daten an. Das Programm verwirft die überzähligen Bits nicht. Der Puffer läuft über. Und die zuviel empfangenen Daten stehen irgendwo im Arbeitsspeicher, wo sie nicht hingehören.

    "Da kann man sagen: Na und? Aber das Problem ist eben, dass man auf diese Weise einbringen kann durch diese überlangen Zeichenketten eignen Schad-Code, der dann im Speicher abgelegt wird, aufgerufen und ausgeführt werden kann und dann beliebigen Unfug treiben kann."

    Natürlich gehört dazu schon ein gehöriges Expertenwissen, einem Programm eben mal ein paar Bits zuviel unterzuschieben, die der Rechner dann als Schadsoftware interpretiert und ausführt. Und auch die Sicherheitslücken zu entdecken, die so etwas ermöglichen, ist äußerst schwierig. Oft spielt der Zufall mit. Softwarehäuser sind daher auf gutmeinende Hacker angewiesen, die sie auf Sicherheitsprobleme hinweisen. Im Internet vermitteln Agenturen zwischen Anbietern, die etwas entdeckt haben, und zahlungswilligen Unternehmen. Ohne diese Agenturen ginge es nicht, sagt Morton Swimmer vom IT-Sicherheitsunternehmen Trend Micro.

    "Früher war das Problem für die Leute, die solche Exploits entdeckt haben, dass wenn sie versucht haben, die Hersteller der entsprechenden Software zu benachrichtigen, sie gleich eine Klage am Hals hatten wegen einer möglichen Erpressung."

    Daneben existieren noch der graue und natürlich der Schwarzmarkt. Auf dem grauen Markt decken sich Dienstleistungsunternehmen ein, die Sicherheitsprobleme nicht lösen wollen, sondern nur ihre Kunden exklusiv davor bewahren. Je stärker die Bedrohung im allgemeinen empfunden wird, desto besser läuft ihr Geschäft. In allen drei Segmenten gilt das Gesetz von Angebot und Nachfrage. Es gibt Massenware und Premium-Angebote:

    "Wir haben in den verschiedenen Foren, die wir beobachten, Preise gesehen, die zum Beispiel bei 79 Dollar anfangen für relativ einfache Geschichten bis hoch zu Preisen von 1500 Dollar für sogenannte Exploit-Kits, wo also mehrere Exploits in einem Paket quasi weiterverkauft werden."

    Die höchsten Preise werden natürlich auf dem Schwarzmarkt erzielt, wo Kriminelle einkaufen gehen. Informationen über eine Sicherheitslücke in einem weitverbreiteten Programm können da schon einmal für ein paar zehntausend Dollar verkauft werden.