20.000 Schadprogramme, die eine digitale Unterschrift tragen, hat das finnische IT-Sicherheitsunternehmen F-Secure in jüngster Zeit entdeckt. Unterschrieben worden sind sie zum Teil von Dienstleistern, die die Kryptografiearbeit für Softwarehäuser übernehmen. Und Hackern ist es oft ein Leichtes, solchen Dienstleistern auch Schadprogramme unterzuschieben. Die tragen dann legale Unterschriften. Und der Anwender wird, wenn er von seinem Rechner gefragt wird, ob er ein solches Programm installieren möchte, dem in der Regel zustimmen.
Einen anderen Trick haben sich Hacker ausgedacht, die eine bösartige Browsererweiterung verbreiten. Auch sie ist digital unterschrieben – von den Hackern selbst, scheinbar aber von Microsoft. Denn das bestätigt ein Zertifikat, das der digitale Schädling mitbringt und bei den anderen auf dem Rechner meist vorinstallierten Zertifikaten etwa von Verisign oder der Deutschen Telekom ablegt. Howard Fraser von Sophos:
"In dem speziellen Fall funktioniert das so: Der Trojaner, der das Schadprogramm in Form eines sogenannten Browser Helper Object installiert, installiert auch ein Wurzel-Zertifikat. Mit dem zugehörigen Schlüssel wurde das Schadprogramm unterschrieben. Dem Anwender wird so ein scheinbar vertrauenswürdiges Browser Helper Object präsentiert: Es sieht so aus, als stamme es aus einer zuverlässigen Quelle, im dem Fall von Microsoft. "
Eine andere – mehr theoretische – Möglichkeit, wie Schad-Programmierer ihre üblen Erzeugnisse mit vertrauenserweckenden Unterschriften versehen können, besteht darin, dass sie die Rechner von seriösen Softwarehäusern mit Trojanern infizieren und so digitale Schlüssel zum Signieren stehlen. Hacker gehen mit Computern, derer sie habhaft geworden sind, um, wie früher die Indianer mit den Büffeln, sagt Jarno Niemelä von F-Secure, sie verwerten alles.
"Wir wissen, dass es Trojaner wie Ursnif und andere gibt, die Schlüssel stehlen können. Aber es sieht nicht so aus, dass bislang jemand diese Schlüssel missbrauchen würde."
Denn darauf sind Virenschreiber auch gar nicht angewiesen. Sie können sich sehr viel einfacher Schlüssel und die zugehörigen Zertifikate besorgen – auf demselben Weg, auf dem es auch seriöse Softwareentwickler tun. Sie holen sie sich von den Zertifizierungsstellen im Namen einer nicht existierenden oder einer Briefkastenfirma. Das ist leicht möglich, sagt Howard Fraser, ohne dass die Hacker dazu ihre Anonymität aufgeben müssten.
"Von einigen Zertifizierungsstellen ist bekannt geworden, dass sie als Identitätsnachweis lediglich eine E-Mail-Adresse verlangen. Deshalb ist es für Malware-Entwickler leicht, ein legales Zertifikat zu bekommen und ihre Schadprogramme zu signieren."
Es sind also meist keine gefälschten Zertifikate oder gestohlene Schlüssel, mit denen Hacker Seriosität vorgaukeln, sondern digitale Unterschriftsstifte und Ausweise, die nicht von Behörden verteilt werden, sondern von privaten Unternehmen. Die arbeiten – in ihrem Sinne - effizient und gewinnbringend, aber eben nicht sicher. Dass digitales Ungeziefer immer häufiger unterschrieben daherkommt, deutet auf einen Systemfehler hin, findet Jarno Niemelä:
"Das kommt daher, dass die Zertifizierungsstellen kommerzielle Unternehmen sind. Und wie jedes andere Wirtschaftsunternehmen auch sind sie dazu da, ihren Eigentümern Geld einzubringen. Das heißt, um so viel Geld wie möglich zu verdienen, wollen sie mit geringsten Kosten so viele Zertifikate wie möglich verkaufen."
Signierte Schadprogramme sind verheerend für die IT-Sicherheit. Nachdem sich herausgestellt hat, dass Browser und Web-Server einfach nicht sicher gemacht werden können, setzt die Branche mehr und mehr auf Kryptografie. Bei Microsofts 64-Bit-Windows beispielsweise können nur noch unterschriebene Treiber installiert werden. Hacker aber sind bereits in der Lage, Krypto-Sicherheit auszuhebeln. Und sie mussten sich dazu nicht einmal besonders komplizierte Tricks einfallen lassen.
Einen anderen Trick haben sich Hacker ausgedacht, die eine bösartige Browsererweiterung verbreiten. Auch sie ist digital unterschrieben – von den Hackern selbst, scheinbar aber von Microsoft. Denn das bestätigt ein Zertifikat, das der digitale Schädling mitbringt und bei den anderen auf dem Rechner meist vorinstallierten Zertifikaten etwa von Verisign oder der Deutschen Telekom ablegt. Howard Fraser von Sophos:
"In dem speziellen Fall funktioniert das so: Der Trojaner, der das Schadprogramm in Form eines sogenannten Browser Helper Object installiert, installiert auch ein Wurzel-Zertifikat. Mit dem zugehörigen Schlüssel wurde das Schadprogramm unterschrieben. Dem Anwender wird so ein scheinbar vertrauenswürdiges Browser Helper Object präsentiert: Es sieht so aus, als stamme es aus einer zuverlässigen Quelle, im dem Fall von Microsoft. "
Eine andere – mehr theoretische – Möglichkeit, wie Schad-Programmierer ihre üblen Erzeugnisse mit vertrauenserweckenden Unterschriften versehen können, besteht darin, dass sie die Rechner von seriösen Softwarehäusern mit Trojanern infizieren und so digitale Schlüssel zum Signieren stehlen. Hacker gehen mit Computern, derer sie habhaft geworden sind, um, wie früher die Indianer mit den Büffeln, sagt Jarno Niemelä von F-Secure, sie verwerten alles.
"Wir wissen, dass es Trojaner wie Ursnif und andere gibt, die Schlüssel stehlen können. Aber es sieht nicht so aus, dass bislang jemand diese Schlüssel missbrauchen würde."
Denn darauf sind Virenschreiber auch gar nicht angewiesen. Sie können sich sehr viel einfacher Schlüssel und die zugehörigen Zertifikate besorgen – auf demselben Weg, auf dem es auch seriöse Softwareentwickler tun. Sie holen sie sich von den Zertifizierungsstellen im Namen einer nicht existierenden oder einer Briefkastenfirma. Das ist leicht möglich, sagt Howard Fraser, ohne dass die Hacker dazu ihre Anonymität aufgeben müssten.
"Von einigen Zertifizierungsstellen ist bekannt geworden, dass sie als Identitätsnachweis lediglich eine E-Mail-Adresse verlangen. Deshalb ist es für Malware-Entwickler leicht, ein legales Zertifikat zu bekommen und ihre Schadprogramme zu signieren."
Es sind also meist keine gefälschten Zertifikate oder gestohlene Schlüssel, mit denen Hacker Seriosität vorgaukeln, sondern digitale Unterschriftsstifte und Ausweise, die nicht von Behörden verteilt werden, sondern von privaten Unternehmen. Die arbeiten – in ihrem Sinne - effizient und gewinnbringend, aber eben nicht sicher. Dass digitales Ungeziefer immer häufiger unterschrieben daherkommt, deutet auf einen Systemfehler hin, findet Jarno Niemelä:
"Das kommt daher, dass die Zertifizierungsstellen kommerzielle Unternehmen sind. Und wie jedes andere Wirtschaftsunternehmen auch sind sie dazu da, ihren Eigentümern Geld einzubringen. Das heißt, um so viel Geld wie möglich zu verdienen, wollen sie mit geringsten Kosten so viele Zertifikate wie möglich verkaufen."
Signierte Schadprogramme sind verheerend für die IT-Sicherheit. Nachdem sich herausgestellt hat, dass Browser und Web-Server einfach nicht sicher gemacht werden können, setzt die Branche mehr und mehr auf Kryptografie. Bei Microsofts 64-Bit-Windows beispielsweise können nur noch unterschriebene Treiber installiert werden. Hacker aber sind bereits in der Lage, Krypto-Sicherheit auszuhebeln. Und sie mussten sich dazu nicht einmal besonders komplizierte Tricks einfallen lassen.