U S E R - A R C H I V

Seite: Sicherheit - alles

Schwachstellen-Hinweise des DFN-CERT-Portal (via NIFIS)

DFN-CERT-2017-0714: Apache Log4j: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes (Linux, Fedora)

Wird der TCP- oder der UDP-Socketserver für den Empfang von Log-Daten von anderen Anwendungen...

DFN-CERT-2017-0405: Linux-Kernel: Eine Schwachstelle ermöglicht u.a. das Erlangen von Administratorrechten (Linux, RedHat, SuSE)

Ein lokaler, einfach authentisierter Angreifer kann die Schwachstelle ausnutzen, um einen...

DFN-CERT-2017-0713: Linux-Kernel: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme (Linux)

Mehrere Schwachstellen im Linux-Kernel ermöglichen einem entfernten, nicht authentisierten...

DFN-CERT-2017-0713: Linux-Kernel: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme (Linux)

Mehrere Schwachstellen im Linux-Kernel ermöglichen einem entfernten, nicht authentisierten...

DFN-CERT-2017-0712: Linux-Kernel: Zwei Schwachstellen ermöglichen u.a. die Übernahme eines Systems (Linux, Fedora)

Zwei Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung...

DFN-CERT-2017-0712: Linux-Kernel: Zwei Schwachstellen ermöglichen u.a. die Übernahme eines Systems (Linux, Fedora)

Zwei Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung...

DFN-CERT-2017-0712: Linux-Kernel: Zwei Schwachstellen ermöglichen u.a. die Übernahme eines Systems (Linux, Fedora)

Zwei Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung...

DFN-CERT-2017-0712: Linux-Kernel: Zwei Schwachstellen ermöglichen u.a. die Übernahme eines Systems (Linux, Fedora)

Zwei Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung...

DFN-CERT-2017-0687: Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes (Linux, Debian, Fedora, RedHat, SuSE, Apple, Windows)

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem entfernten, nicht...

DFN-CERT-2017-0687: Mozilla Firefox, Firefox ESR, Tor Browser: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes (Linux, Debian, Fedora, RedHat, SuSE, Apple, Windows)

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen einem entfernten, nicht...

Alle Einträge zum Thema Sicherheit (Tutorials, Einführungen, Kurse, FAQs, Bugsammlungen, Diskussionsforen, Referenzen, Portale, Onlinetools)

http://www.elektronik-kompendium.de/sites/net/index.htm#5
Rubrik: ; Typ: Tutorials
http://www.elektronik-kompendium.de/sites/sic/index.htm#1
Rubrik: ; Typ: Tutorials
http://www.comsafe.de/wireless.html
Rubrik: ; Typ: Portal
http://us.mcafee.com/root/wsc/default.asp
Rubrik: ; Typ: Onlinetools
http://www.bluemerlin-security.de/
Rubrik: ; Typ: Portal
http://www.tu-berlin.de/www/software/hoax.shtml
Rubrik: ; Typ: Portal
http://www.paules-pc-forum.de/phpBB2/index.php
Rubrik: ; Typ: Diskussionsforen
http://www.informationsarchiv.net/foren/
Rubrik: ; Typ: Diskussionsforen
http://www.free-av.de/cgi-bin/ubb/ultimatebb.cgi
Rubrik: ; Typ: Diskussionsforen
http://www.trojaner-board.de/
Rubrik: ; Typ: Diskussionsforen
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
Rubrik: ; Typ: Sonstige_Literatur
http://www.sysinfo.org/startuplist.php
Rubrik: ; Typ: Referenzen
http://board.protecus.de/
Rubrik: ; Typ: Diskussionsforen
http://www.buha.info/board/
Rubrik: ; Typ: Diskussionsforen
http://pcwelt.de/forum/
Rubrik: ; Typ: Diskussionsforen
http://groups.google.de/groups?hl=de&lr=lang_de&ie=UTF-8&newwindow=1&group=microsoft.public.security
Rubrik: ; Typ: Diskussionsforen
http://www.heise.de/security/foren/go.shtml?list=1&forum_id=44157
Rubrik: ; Typ: Diskussionsforen
http://www.heise.de/security/foren/go.shtml?list=1&forum_id=44156
Rubrik: ; Typ: Diskussionsforen
http://www.paules-pc-forum.de/phpBB2/forum,8.html
Rubrik: ; Typ: Tutorials
http://www.internet-und-sicherheit.de/
Rubrik: ; Typ: Portal
http://www.debacher.de/pdf/sicherheittcpip.pdf
Rubrik: ; Typ: Sonstige_Literatur
http://www.virtualuniversity.ch/telekom/routing/0.html
Rubrik: ; Typ: Tutorials
http://www.virtualuniversity.ch/telekom/ssl/0.html
Rubrik: ; Typ: Tutorials
http://www.sec-world.net/news/66815-tutorial-viren-und-wuermer-loswerden.html
Rubrik: ; Typ: Tutorials
http://www.php-snippet.de/artikel/webserver_sicherheit.php
Rubrik: ; Typ: Sonstige_Literatur
http://www.oreilly.de/catalog/progphpger/chapter/index.html
Rubrik: ; Typ: Sonstige_Literatur
http://www.golem.de/0102/12612.html
Rubrik: ; Typ: Sonstige_Literatur
http://www.pcgo.de/common/page/page.php?table=pg&id=65
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/win98/fehler.html
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/win2000/tools.html#sfp
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/win2000/fehler.html#zertifikate
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/internet.html#moles
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/viren.html
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/viren.html
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/viren.html
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/viren.html#Makroviren
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/viren.html#HTML-Viren
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/viren.html#telefonica
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/viren.html#mime
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/viren2.html
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/troyaner.html
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/zonealarm/zone.htm
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/sonstiges.html
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/symantec/symantec.htm
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/internet.html
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/internet.html
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/internet.html#Hoaxes
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/internet.html#E-Mail-Bomben
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/internet.html#Spyware
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/internet.html#aol
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/internet.html#mails
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/pqtuning/sicherheit/internet.html#anonym
Rubrik: ; Typ: Sonstige_Literatur
http://www.verbrauchernews.de/computer/internet/online-shopping/0000001765.html
Rubrik: ; Typ: Sonstige_Literatur
http://www.iks-jena.de/mitarb/lutz/pgpnews.html
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/TschiTschi/java_activex.htm
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/TschiTschi/spyware.htm
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/TschiTschi/cookies.htm
Rubrik: ; Typ: Sonstige_Literatur
http://home.t-online.de/home/TschiTschi/trojan.htm
Rubrik: ; Typ: Sonstige_Literatur
http://www.verbrauchernews.de/computer/internet/0000001220.html
Rubrik: ; Typ: Sonstige_Literatur
http://www.bsi.bund.de/gshb/_start.htm
Rubrik: ; Typ: Sonstige_Literatur

Buchempfehlung


Internetsicherheit

Dieser Artikel basiert auf dem Artikel aus der freien Enzyklopädie Wikipedia und steht unter der GNU-Lizenz für freie Dokumentation. In der Wikipedia ist eine Liste der Autoren verfügbar.



Informationssicherheit hat zum Ziel, die Verarbeitung, Speicherung und Kommunikation von Informationen so zu gestalten, dass die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen und Systeme in ausreichendem Maß sichergestellt wird (siehe auch Schutzziele). Zur Zielerreichung müssen verschiedene Teilaspekte (s. dort) integriert betrachtet werden. Informationssicherheit bezeichnet in diesem Zusammenhang das Ziel, diese Systeme vor Gefahren bzw. Bedrohungen zu schützen, Schaden zu vermeiden und Risiken zu minimieren.

Dabei umfasst die Informationssicherheit, neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten, auch die Sicherheit von nicht elektronisch verarbeiteten Informationen.

Inhaltsverzeichnis

Verbergen

Schutzziele

  • Datenschutz
    • Vertraulichkeit: Dateien dürfen nur von autorisierten Benutzern gelesen werden.
    • Übertragungssicherheit: Das Ausspähen der übertragenen Informationen zwischen Rechnern, Geräten und Benutzern soll verhindert werden.
    • Privatsphäre: Persönlichkeitsdaten bzw. Anonymität müssen gewahrt bleiben.
    • Einhaltung des Bundesdatenschutzgesetzes
  • Datensicherheit
    • Funktionalität: Hardware und Software sollen erwartungsgemäß funktionieren.
    • Integrität: Daten dürfen nicht unbemerkt verändert werden.
    • Verfügbarkeit: Der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet werden.
    • Authentizität: Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein.
    • Verbindlichkeit: Urheber von Veränderungen müssen erkennbar sein und dürfen Veränderung nicht abstreiten können.
  • Randthemen
    • Verbindlichkeit
    • Nicht-Anfechtbarkeit: der Nachweis, dass eine Nachricht versendet und empfangen worden ist
    • Zugriffssteuerung: Reglementierung des Zugriffes von außen
    • Verfügbarkeit: Verhinderung von Systemausfällen und Datenverlusten
    • Nachweisbarkeit
    • in bestimmtem Kontext (z.B. im Internet) auch Anonymität zu nennen.

Teilaspekte

Folgende Aspekte sind in einer umfassenden Informationssicherheit zumindest teilweise enthalten:

Grundsätzlich wird unter IT-Sicherheit der Zustand eines IT-Systems (oder auch einer Organisation) verstanden, in dem die Risiken, die bei jedem IT-Einsatz bestehen, durch angemessenen Maßnahmen auf ein tragbares Maß reduziert wurden.

Verwandte Begriffe sind:

  • Computersicherheit: die Sicherheit eines Computersystems vor Ausfall und Manipulation (Datensicherheit) sowie vor unerlaubtem Zugriff (Datenschutz)
  • Netzwerksicherheit (Eher ein Teilaspekt der Computersicherheit)
  • Datensicherheit ist ein aus dem Datenschutz stammender Begriff mit dem Ziel, Daten jeglicher Art in ausreichendem Maße vor Verlust, Manipulationen, unberechtigter Kenntnisnahme durch Dritte und anderen Bedrohungen zu schützen. Dabei sind auch nicht dem Datenschutz unterliegende Daten eingeschlossen. Hinreichende Datensicherheit ist eine Voraussetzung für effektiven Datenschutz. Nur wenn geeignete Schutzmaßnahmen getroffen werden, kann man davon ausgehen, dass vertrauliche bzw. personenbezogene Daten nicht in die Hände von Unbefugten gelangen. Hierbei spricht man in der Regel von technischen und organisatorischen Maßnahmen zum Datenschutz, welche in der Anlage zum § 9 BDSG und in den Landesdatenschutzgesetzen beschrieben sind.
  • Betriebssystemsicherheit (Mehr Teilaspekt der Computersicherheit)
  • Datensicherung ist ein Synonym für Backup. Er war jedoch der ursprüngliche Datenschutzrechtliche Begriff für Datensicherheit!

Bedeutung der Informationssicherheit

In den Kindertagen des (Personal-)Computers verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von z.B. Bandlaufwerken oder anderen mechanischen Bauteilen) und Software (richtige Installation und Wartung von Programmen). Mit der Zeit änderten sich die Anforderungen an die Computer (Internet, Speichermedien); die Aufgaben zur Computersicherheit mussten anders gestaltet werden. Somit bleibt der Begriff der Computersicherheit wandelbar und Spiegel der momentanen technologischen Welt.


Private und öffentliche Unternehmen sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen. Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen i. d. R. größer sind als für Computer und Netzwerke in privaten Haushalten, wird Informationssicherheit überwiegend in Unternehmen betrieben. Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten. Dort stellt Informationssicherheit einen Baustein des Risikomanagements dar. International spielen Vorschriften wie Basel II und der Sarbanes-Oxley Act eine wichtige Rolle.

Bedrohungen

Zu den Bedrohungen für die IT-Sicherheit gehören unter anderem:

Viren, Würmer, trojanische Pferde

Während im Firmenumfeld die ganze Themenbreite der Computersicherheit Beachtung findet, verbinden viele Privatanwender mit dem Begriff primär den Schutz vor Viren oder Spyware.

Die ersten Computerviren waren noch recht harmlos und dienten lediglich dem Aufzeigen diverser Schwachstellen von Computersystemen. Doch recht bald erkannte man, dass Viren zu weitaus mehr in der Lage sind. Es begann eine rasante Weiterentwicklung der Schädlinge und der Ausbau ihrer Fähigkeiten – vom simplen Löschen von Dateien über das Ausspionieren von Daten (z. B. von Passwörtern) bis hin zum Öffnen des Rechners für entfernte Benutzer (Backdoor).

Mittlerweile existieren diverse Baukästen im Internet, die neben einer Anleitung auch alle notwendigen Bestandteile für das einfache Programmieren von Viren liefern. Nicht zuletzt schleusen kriminelle Organisationen Viren auf PCs ein, um diese für ihre Zwecke (UBE/UCE, DoS-Attacken, etc.) zu nutzen. So entstanden bereits riesige Bot-Netze, die auch illegal vermietet werden.

Angriffe und Schutz

Ein System wird dann als sicher bezeichnet, wenn der Aufwand für das Eindringen in das System höher ist als der daraus resultierende Nutzen für den Angreifer. Deshalb ist es wichtig, die Hürden für einen erfolgreichen Einbruch möglichst hoch zu setzen und damit das Risiko zu reduzieren.

Der Mangel an Computersicherheit ist eine vielschichtige Bedrohung, die nur durch eine anspruchsvolle Abwehr beantwortet werden kann. Der Kauf einer Software ist kein Ersatz für eine umsichtige Untersuchung der Risiken, möglicher Verluste, der Abwehr und von Sicherheitsbestimmungen.

Ist einmal die Sicherheit eines Systems verletzt worden, muss es als kompromittiert betrachtet werden, was Maßnahmen zur Verhinderung weiterer Schäden und zur Datenrettung erfordert.

Maßnahmen

Die Maßnahmen müssen im Rahmen der Erstellung eines Sicherheitskonzeptes an den Wert der zu schützenden Daten angepasst werden. Zuviele Maßnahmen führen zu Kosten- und Akzeptanzproblemen, bei zuwenig Maßnahmen bleiben "lohnende" Sicherheitslücken offen.

Management

Informationssicherheit ist grundsätzlich eine Aufgabe der Leitung einer Organisation oder eines Unternehmens und sollte nach einem Top-Down Ansatz organisiert sein. Insbesondere die Verabschiedung von Informationsschutz- und Sicherheitsrichtlinien (Security Policy) ist Aufgabe des obersten Managements. Weitere Aufgabe des Managements ist die installation eines Sicherheitsmanagementsystems. Dieses ist für die operative Umsetzung und Kontrolle der Security Policy zuständig. Durch diese Maßnahmen sollen geeignete Organisations- und Managementstrukturen geschaffen werden. Hauptartikel: ISMS

Operative Maßnahmen

Maßnahmen sind unter anderem physische bzw. räumliche Sicherung von Daten, Zugriffskontrollen, das Aufstellen fehlertoleranter Systeme und Maßnahmen der Datensicherung und die Verschlüsselung. Wichtige Voraussetzung ist die Sicherheit der verarbeitenden Systeme. Ein effektives Sicherheitskonzept berücksichtigt jedoch neben technischen Maßnahmen auch organisatorische und personelle Maßnahmen.

Zu den Sicherheitsmaßnahmen, die von jedem Verantwortlichen für die Informationssicherheit in Unternehmen, aber vor allem auch von jedem privaten Nutzer von Computern und Netzwerken in Privathaushalten im Hinblick auf die IT-Sicherheit getroffen werden können, gehören unter anderem die folgenden Punkte.

Software aktualisieren

Für viele Programme werden Aktualisierungen angeboten. Diese bieten nicht immer nur eine erweiterte oder verbesserte Funktionalität, sondern beheben häufig auch schwere Sicherheitslücken. Besonders betroffen sind alle Programme, die Daten mit dem Internet austauschen, wie zum Beispiel Betriebssysteme, Browser, Schutzprogramme oder E-Mail-Programme. Die Aktualisierungen sollten so schnell wie möglich auf den entsprechenden Rechnersystemen installiert werden. Viele Programme bieten eine automatische Funktion an, die die Aktualisierung im Hintergrund ohne das Eingreifen des Benutzers bewerkstelligt, indem die neue Software direkt aus dem Internet geladen wird. Bei langsamen Datenverbindungen oder sehr großen Datenmengen ist es ratsam, die Aktualisierungen von Massenspeichern, wie zum Beispiel CDs oder DVDs, zu laden.

Antiviren-Software verwenden

Wenn Daten aus dem Internet oder von E-Mail-Servern heruntergeladen oder von Datenträgern kopiert werden, besteht immer die Möglichkeit, dass sich darunter auch schädliche Dateien befinden. Um dies zu vermeiden, muss eine sogenannte Antiviren-Software installiert werden. Auch bei dieser Software ist darauf zu achten, dass sie regelmäßig (unter Umständen sogar mehrmals täglich) aktualisiert wird. Schadprogramme sind in der Regel auf spezielle Betriebssysteme oder Browser ausgerichtet.

Diversifikation

Eine weitere Maßnahme zur Reduktion der Gefahren besteht in der Diversifizierung von Software, also darin, Software von verschiedenen, auch nicht marktführenden Anbietern zu verwenden. Die Angriffe von Hackern zielen oftmals auf Produkte von großen Anbietern, weil sie damit den größten Effekt erzielen und gegebenenfalls den größten, wenn auch zweifelhaften, Ruhm erlangen. Insofern kann es ratsam sein, auf Produkte von kleineren und weniger bekannten Unternehmen oder zum Beispiel auf Open-Source-Software zurückzugreifen.

Firewalls verwenden

Für Angriffe, die ohne das aktive Zutun des Nutzers drohen, ist es unerlässlich eine Netzwerk-Firewall oder Personal Firewall zu installieren. Viele unerwünschte Zugriffe auf den Computer und unbeabsichtigte Zugriffe vom eigenen Computer, die vom Benutzer meist gar nicht bemerkt werden, können auf diese Weise verhindert werden. Die Konfiguration einer Firewall ist nicht trivial und erfordert eine gewisse Kenntnis der Vorgänge und Gefahren.

Eingeschränkte Benutzerrechte verwenden

Der System-Administrator darf tiefgehende Änderungen an einem Computer durchführen. Dies erfordert es entsprechende Kenntnis der Gefahren, und es ist für normale Benutzer alles andere als ratsam, mit den Rechten eines Administrators im Internet zu surfen, Dateien oder E-Mails herunterzuladen. Moderne Betriebssysteme verfügen daher über die Möglichkeit, die Benutzerrechte einzuschränken, so dass zum Beispiel Systemdateien nicht verändert werden können. Von diesen Möglichkeiten ist unbedingt Gebrauch zu machen.

Aktive Inhalte deaktivieren

Bei aktiven Inhalten handelt es sich um Funktionalitäten, die die Bedienung eines Computers vereinfachen sollen. Das automatische Öffnen beziehungsweise Ausführen von heruntergeladenen Dateien birgt jedoch die Gefahr, dass diese schädlichen Code ausführen und den Rechner infizieren. Um dies zu vermeiden, sollten aktive Inhalte, wie zum Beispiel ActiveX, Java oder JavaScript, soweit wie möglich deaktiviert werden.

Sensible Daten verschlüsseln

Daten, die nicht in die Hände Dritter geraten sollen, sollten durch geeignete Maßnahmen, wie zum Beispiel PGP, verschlüsselt werden (siehe auch Kryptographie). Dies betrifft nicht nur Daten die zwischen zwei bestimmten Rechnern ausgetauscht werden, sondern auch entsprechende Daten, die sich auf Massenspeichern befinden, und beim Übertragen sensibler Daten, wie zum Beispiel Kreditkartennummern, während des Surfens im Internet (siehe auch https). Ein Zugriff auf die Inhalte darf nur dann möglich sein, wenn die Beteiligten über den richtigen Schlüssel verfügen. Besonders gefährdet sind unverschlüsselte, kabellose Netze, wie zum Beispiel nicht konfigurierte WLANs, da hierbei Unbefugte unbemerkt Zugriff auf die Daten und sogar die Kontrolle über den ungeschützten Computer erlangen können.

Passwörter, persönliche Identifikationsnummern (PIN) und Transaktionsnummern (TAN) dürfen auf keinen Fall unverschlüsselt gespeichert oder übertragen werden.

Sicherungskopien erstellen

Von jeder Datei, die wichtig ist, muss mindestens eine Sicherungskopie auf einem separaten Speichermedium angefertigt werden. Hierzu gibt es zum Beispiel Backup-Software, die diese Aufgaben regelmäßig und automatisch erledigt. Es können ebenso RAID-Systeme verwendet werden, die besonders bei großen Datenmengen und häufig sich ändernden Daten eine gute Alternative darstellen.

Protokollierung

Automatisch erstellte Protokolle oder Logdateien können dabei helfen, zu einem späteren Zeitpunkt zu ermitteln, wie es zu Schäden an einem Rechnersystem gekommen ist.

Sichere Entwicklungs- und Laufzeitumgebungen verwenden

Entwickler von Software, die zum sicheren Datenaustausch zwischen Rechnern eingesetzt wird, müssen moderne Entwicklungssysteme und Programmiersprachen einsetzen, da ältere Systeme häufig Sicherheitslücken haben und nicht über die entsprechende Sicherheitsfunktionalität verfügen. Sichere Software ist nur in entsprechenden, modernen und sicheren Laufzeitumgebungen lauffähig und sollte mit Entwicklungswerkzeugen (wie zum Beispiel Compilern) erstellt werden, die ein möglichst hohes Maß an inhärenter Sicherheit (zum Beispiel Typsicherheit und Vermeidung von Pufferüberläufen) bieten.

Sensibilisierung der Mitarbeiter

Ein wichtiger Aspekt in der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter, die Bildung von sogenannter IT-Security Awareness. Hier fordern die ersten Arbeitsrichter den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien. Mitarbeitersensibilisierung variiert typischerweise von Unternehmen zu Unternehmen. Ausgehend von Präsenzveranstaltungen über web basierte Seminare bis hin zu Sensibilisierungskampagnen.

Audits/Überprüfung

Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht. Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.

Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetration-Tests erreicht werden, um evtl. bestehende Sicherheitsrisiken im Bereich von IT-Systemen, Applikationen und/oder IT-Infrastruktur zu erkennen und zu beseitigen.

Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. Beispielsweise können vordefinierte Testschritte bzw. Kontrollpunkte eines Prozesses während eines Audits getestet werden.

Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung bzw. -dezimierung ableiten. Eine Methodik wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO 27001, BS7799 oder gesetzlichen Vorschriften. Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.

Standards und "best practices" im Überblick

Zur Bewertung und Zertifizierung (Qualitätsmanagement) der Sicherheit von Computersystemen existieren internationale Normen. Wichtige Normen in diesem Zusammenhang sind vor allem die amerikanischen TCSEC- und die europäischen ITSEC-Standards sowie der neuere Common Criteria-Standard. Die Zertifizierung erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik.

Das IT-Grundschutzhandbuch definiert für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel). Das Grundschutzhandbuch ist primär in Deutschland bekannt, liegt allerdings auch englischsprachig vor.

Lückenhaft Dieser Artikel oder Abschnitt weist folgende Lücken auf: Unvollständige Auflistung

Hilf Wikipedia, indem du die fehlenden Informationen recherchierst und einfügst!

sich mittlerweile der British Standard BS7799 "Leitfaden zum Management von Informationssicherheit" durchgesetzt, der 1995 zum ersten Mal veröffentlicht wurde.

Entwicklung der ISO/IEC-Standards

Aus Teil 1 des British Standard BS7799 ist mittlerweile der ISO/IEC-Standard 17799:2000 hervorgegangen, der nun in revidierter Fassung als ISO/IEC 17799:2005 vorliegt.

Die ISO 17799 führt verschiedene Aufgabenfelder der IT-Sicherheit auf. Sie ist eher abstrakt, ohne auf konkrete Maßnahmen einzugehen. Im Bereich der technischen Sicherheitsmassnahmen lässt sich die ISO/IEC 17799 sinnvoll durch das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik ergänzen.

Aus Teil 2 von BS7799 hat sich der ISO/IEC Standard 27001:2005 entwickelt. Er spezifiziert die Anforderungen an ein ISMS (Information Security Management System) und ist, vergleichbar zu ISO 9001, ein Management-Standard, nach dem auch zertifiziert werden kann. Die ISO/IEC-Standards zur Informationssicherheit sollen sukzessive erweitert werden: vier weitere Standards der der 27000-er Reihe sind bereits in Entwicklung, weitere in Planung.

Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften. Als wichtigste sind zu nennen die Zertifizierungen der ISACA (Information Systems Audit and Control Association), z.B. CISM (Certified Information Security Manager), CISA (Certified Information Security Auditor), des ISC² z.B. CISSP (Certified Information System Security Professional),sowie die GIAC-Zertifizierungen des SANS Institute.

Umsetzungsbereiche

Privathaushalte

Programmierfehler in fast jeder Software machen es quasi unmöglich, Sicherheit vor jeder Art von Angriffen zu erreichen. Durch den Anschluss von Computern mit sensiblen Daten (z.B. Homebanking, Bearbeitung der Dissertation) an das (Breitband-)Internet sind diese Schwachstellen auch von Außen nutzbar. Der Standard an IT-Sicherheit in Privathaushalten ist geringer, da kaum ausreichende Maßnahmen zur Absicherung der Infrastruktur(z.B. unterbrechungsfreie Stromversorgung, Einbruchsschutz) ergriffen werden.

Aber auch in anderen Bereichen besteht in privaten Haushalten weiterhin ein Defizit.

Viele private Benutzer haben noch nicht verstanden, dass es wichtig ist die Konfiguration der genutzten Software an die jeweiligen Bedürfnisse anzupassen. So ist es bei vielen an das Internet angeschlossenen Rechnern nicht nötig, dass auf ihnen Server-Programme laufen. Da Server-Dienste von vielen Betriebssystemen in der Standardinstallation geladen werden, schließt man mit deren Deaktivierung eine Reihe wichtiger Angriffspunkte.

Sicherheitsaspekte wie zum Beispiel die Einrichtung von Zugriffsbeschränkungen, sind Benutzern ebenfalls fremd. Außerdem ist es von Bedeutung, sich über Schwachstellen in der eingesetzten Software zu informieren und regelmäßig Aktualisierungen einzuspielen.

Zur Computersicherheit gehört nicht nur der präventive Einsatz technischer Werkzeuge wie beispielsweise Firewalls, Intrusion-Detection-Systeme etc., sondern auch ein organisatorischer Rahmen in Form durchdachter Grundsätze (Policy, Strategie), die den Menschen als Anwender der Werkzeuge in das System einbezieht. Allzu oft gelingt es Hackern, durch Ausnutzung eines zu schwachen Kennworts oder durch so genanntes Social Engineering Zugang zu sensiblen Daten zu erlangen.

IT-Sicherheit bei Sparkassen und Banken

Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von Basel II, die Vorschriften von BaFin und des KWG sowie der einzelnen Verbandsrevisionen der Sparkassen und Banken beigetragen. Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt. Gleichzeitig entstand ein umfangreiches Dienstleistungsangebot zur Durchführung verschiedener Projekte, die einen IT-Sicherheitsprozesses in Unternehmen etablieren sollen. Anbieter sind sowohl innerhalb der jeweiligen Unternehmensgruppe als auch auf dem externen Markt zu finden.

IT-Sicherheit bei anderen Unternehmen des Finanzdienstleistungssektors

Bei anderen Finanzdienstleistungsinstituten, Versicherungsunternehmen und den Unternehmen des Wertpapierhandels wird das Konzept im Allgemeinen identisch sein, wobei hier zum Beispiel auch andere Gesetze eine Rolle spielen können.

IT-Sicherheit bei anderen Unternehmen

In den weiteren Sektoren der Wirtschaft sind weniger relevante Aufsichtsbehörden, Gesetzgebungen u.ä. aber auch weniger prüfende Stellen wie zum Beispiel Revisionen zu finden. Die Bedeutung von IT-Sicherheit behält trotzdem auch hier ihren Stellenwert. Hilfestellung gewährt hier das IT-Grundschutzhandbuch des BSI, dessen Nutzung kostenfrei ist.

IT-Sicherheit in öffentlichen Einrichtungen und Behörden

In diesem Bereich ist das IT-Grundschutzhandbuch des BSI das Standardwerk. In großem Maße erhalten diese Stellen das zugehörige GSTOOL, welches die Durchführung deutlich vereinfacht, kostenlos.

Strafrechtliche Aspekte

Wikipedia:Deutschlandlastige Artikel
Deutschlandlastige Artikel
Dieser Artikel oder Absatz stellt die Situation in Deutschland dar. Hilf mit, die Situation in anderen Ländern zu schildern.

Die Sabotage von Computersystemen, also die "Datensachbeschädigung" bei der Daten verändert werden ist nach § 303b StGB ("Computersabotage") strafbar und wird mit Haftstrafe von bis zu fünf Jahren oder Geldstrafe bestraft. Das Ausspähen von Daten (§ 202a StGB), also das bloße Verschaffen, wird mit Haftstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Jegliches rechtswidrige Verändern, Löschen, Unterdrücken oder Unbrauchbar machen fremder Daten erfüllt den Tatbestand nach § 303a StGB (Datenveränderung).

Daten sind nach § 202a Abs. 2 i.V.m. Abs. 1 aber nur vor dem Ausspähen geschützt, wenn sie "besonders gesichert" sind, um ein Ausufern des Tatbestandes zu vermeiden. Das heisst, erst wenn der Nutzer seine Daten technisch schützt geniesst er auch den strafrechtlichen Schutz. Besonders umstrittene Bereiche des § 202a StGB: Ob das bloße Hacken eines Rechners einen Straftatbestand darstellt ist rechtlich umstritten (schließlich erlangt man dadurch noch keine Daten, auch wollte die gesetzliche Konzeption dies (wohl) nicht erfassen. Weiter ist umstritten, ob die Verschlüsselung zur besonderen Sicherung zählt. (Sie ist zwar sehr effektiv, aber es wird argumentiert, die Daten seien ja nicht gesichert sondern lägen nur in "unverständlicher" bzw. schlicht "anderer" Form vor.

Siehe auch

Betriebssystemsicherheit

Dieser Artikel basiert auf dem Artikel aus der freien Enzyklopädie Wikipedia und steht unter der GNU-Lizenz für freie Dokumentation. In der Wikipedia ist eine Liste der Autoren verfügbar.



Betriebssystemsicherheit

aus Wikipedia, der freien Enzyklopädie

Wechseln zu: Navigation, Suche

Ein Betriebssystem muss zwei grundlegende Sicherheitsaspekte abdecken:

  • Es hat die alleinige Kontrolle über die Hardware, auf der es läuft, jedes Anwendungsprogramm muss folglich Funktionen des Betriebssystemes nutzen, wenn es auf die Hardware zugreifen möchte.
  • Es hat die alleinige Kontrolle über alle Programme, und muss diese vor dem nicht genehmigten Zugriff aufeinander schützen.

Auf denen im Hausgebrauch meistgenutzten Prozessoren der x86-Architektur gibt es 4 verschiedene Ringe (0 bis 3) zur Realisierung dieser Aufgabe. Während die beiden mittleren nicht genutzt werden, wird Ring 0 exklusiv vom Betriebssystem belegt, Ring 3 hingegen führt die Anwendungsprogramme aus. Um nun Betriebssystemfunktionen wie das Auslesen der Uhrzeit, Schreibzugriffe auf Festplatten oder Grafikausgaben an den Monitor durchführen zu können, müssen Programme kurzzeitig Betriebssystem-Funktionen in Ring 0 ausführen, und benötigen dafür einen Eintritt aus dem Nutzermodus (Ring 3) in den Kernmodus (Ring 0). Der Kern kann an diesem definierten Punkt Prüfungen der Eingabewerte sowie, vor dem Rücksprung, der Ausgabewerte vornehmen.

Jedes Programm wird in einem separaten Bereich des Hauptspeichers (RAM) ausgeführt, wobei es selbst stets immer einen eigenen, meist sehr viel größeren virtuellen Speicherbereich sieht. Das verhindert das versehentliche oder absichtliche Überschreiben von Speicherstellen, aber auch das Auslesen von geheimen Daten aus anderen Programmen. Siehe auch Speicherschutz.

Unix-Systeme und deren Derivate haben grundsätzlich einen derartigen Mechanismus implementiert. Auf DOS-Systemen sowie Windows 3.x und 95-ME fehlt er.

Die aktuellen Entwicklungen im Bereich Betriebssystemsicherheit umfassen komplexe Techniken wie zufällige Positionierung von Code im Hauptspeicher, um gezielte Angriffe unwahrscheinlich werden zu lassen, rollenbasierte Zugriffssysteme, Sandkästen (virtuelle abgeschottete Umgebungen mit vorgekaukeltem eigenen Prozessor und Speicherplatz), Erkennungssysteme für Angriffe und die (gleichwohl in ihrer derzeitigen Umsetzung umstrittene) sichere Programmausführung.

Da Rechner mehr und mehr Angriffen aus dem Internet (aber auch lokalen Netzen) ausgesetzt sind, werden Betriebssysteme auch verstärkt mit Werkzeugen zur Netzwerksicherheit ausgestattet.

Die Sicherheit von Betriebssystemen ist Gegenstand internationale Normen zur Qualitätssicherung. Wichtige Normen in diesem Zusammenhang sind vor allem die amerikanische TCSEC und die europäische ITSEC-Standards sowie der neuere Common Criteria Standard. Die Zertifizierung der Sicherheit erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik.

Computervirus

http://de.wikipedia.org/wiki/Computerviren

Dieser Artikel basiert auf dem Artikel aus der freien Enzyklopädie Wikipedia und steht unter der GNU-Lizenz für freie Dokumentation. In der Wikipedia ist eine Liste der Autoren verfügbar.



Ein Computervirus (Singular: das Computervirus; Plural: die Computerviren) ist ein sich selbst vermehrendes Computerprogramm, welches sich in andere Computerprogramme einschleust und sich damit reproduziert. Die Klassifizierung als Virus bezieht sich hierbei auf die Verbreitungs- und Infektionsfunktion.

Einmal gestartet, kann es vom Anwender nicht kontrollierbare Veränderungen am Status der Hardware (zum Beispiel Netzwerkverbindungen), am Betriebssystem oder an der Software vornehmen (Schadfunktion). Computerviren können durch vom Ersteller gewünschte oder nicht gewünschte Funktionen die Computersicherheit beeinträchtigen und zählen zur Malware.

Der Ausdruck Computervirus wird auch fälschlich für Computerwürmer und Trojanische Pferde genutzt, da der Übergang inzwischen fließend und für Anwender oft nicht zu erkennen ist.

Inhaltsverzeichnis

Verbergen

Arbeitsweise

Wie sein biologisches Vorbild benutzt ein Computervirus die Ressourcen seines Wirtes und schadet ihm dabei häufig. Auch vermehrt es sich meist unkontrolliert. Durch vom Virenautor eingebaute Schadfunktionen oder auch durch Fehler im Virus kann das Virus das Wirtssystem bzw. dessen Programme auf verschiedene Weisen beeinträchtigen, von harmloseren Störungen bis hin zu Datenverlust.

Viren brauchen, im Gegensatz zu Computerwürmern, einen Wirt um ihren Schadcode auszuführen. Viren haben keine eigenständigen Verbreitungsroutinen, d. h. ein Computervirus kann nur durch ein infiziertes Wirtsprogramm verbreitet werden. Wird dieses Wirtsprogramm aufgerufen, wird – je nach Virentyp früher oder später – das Virus ausgeführt, das sich dann selbst in noch nicht infizierte Programme weiterverbreiten oder seine eventuell vorhandene Schadwirkung ausführen kann.

Heutzutage sind Computerviren fast vollständig von Würmern verdrängt worden, da fast jeder Rechner an Rechnernetze (lokale Netze und das Internet) angeschlossen ist und die aktive Verbreitungsstrategie der Würmer in kürzerer Zeit eine größere Verbreitung ermöglicht. Viren sind nur noch in neuen Nischen von Bedeutung.

Unterschied zwischen Virus und Wurm

Computerviren und -Würmer verbreiten sich beide auf Rechnersystemen, doch basieren sie zum Teil auf vollkommen verschiedenen Konzepten und Techniken.

Ein Virus verbreitet sich, indem es sich selbst in noch nicht infizierte Dateien kopiert und diese ggf. so anpasst, dass das Virus mit ausgeführt wird, wenn das Wirtsprogramm gestartet wird. Zu den infizierbaren Dateien zählen normale Programmdateien, Programmbibliotheken, Skripte, Dokumente mit Makros oder anderen ausführbaren Inhalten sowie Bootsektoren (auch wenn Letztere normalerweise vom Betriebssystem nicht als Datei repräsentiert werden).

Die Verbreitung auf neue Systeme erfolgt durch versehentliches (gelegentlich auch absichtliches) Kopieren einer infizierten Wirtsdatei auf das neue System durch einen Anwender. Dabei ist es unerheblich, auf welchem Weg diese Wirtsdatei kopiert wird: Früher waren die Hauptverbreitungswege Wechselmedien wie Disketten, heute sind es Rechnernetze (z. B. via E-Mail zugesandt, von FTP-Servern, Web-Servern oder aus Tauschbörsen heruntergeladen). Es existieren auch Viren, die Dateien in freigegebenen Ordnern in LAN-Netzwerken infizieren, wenn sie entsprechende Rechte besitzen.

Im Gegensatz zu Viren warten Würmer nicht passiv darauf, von einem Anwender auf einem neuen System verbreitet zu werden, sondern versuchen, aktiv in neue Systeme einzudringen. Sie nutzen dazu Sicherheitsprobleme auf dem Zielsystem aus, wie z. B.:

  • Netzwerk-Dienste, die Standardpasswörter oder gar kein Passwort benutzen
  • Design- und Programmierfehler in Netzwerk-Diensten
  • Design- und Programmierfehler in Anwenderprogrammen, die Netzwerkdienste benutzen (z. B. E-Mail-Clients)

Ein Wurm kann sich dann wie ein Virus in eine andere Programmdatei einfügen; meistens versucht er sich jedoch nur an einer unauffälligen Stelle im System mit einem unauffälligen Namen zu verbergen und verändert das Zielsystem so, dass beim Systemstart der Wurm aufgerufen wird (wie etwa die Autostart-Funktion in Microsoft-Windows-Systemen).

In der Umgangssprache werden Computerwürmer wie „I Love You“ oft fälschlicherweise als Viren bezeichnet, da der Unterschied für Anwender oft nicht ersichtlich ist.

Gefährdungsgrad unterschiedlicher Betriebssysteme

Das verwendete Betriebssystem hat großen Einfluss darauf, wie hoch die Wahrscheinlichkeit einer Virusinfektion ist bzw. wie hoch die Wahrscheinlichkeit für eine systemweite Infektion ist.

Grundsätzlich sind alle Betriebssysteme anfällig, die einem Programm erlauben, eine andere Datei zu manipulieren. Ob Sicherheitssysteme wie z. B. Benutzerrechte-Systeme vorhanden sind (und auch benutzt werden), beeinflusst, in wie weit sich ein Virus auf einem System ausbreiten kann.

Betriebssysteme ohne jegliche Rechtesysteme wie z. B. MS-DOS, Windows 9x oder Amiga-Systeme sind die anfälligsten Systeme. Wenn der Benutzer ausschließlich als Administrator arbeitet und somit das Rechtesystem nicht eingreifen kann, sind jedoch auch Unix und Unix-ähnliche Systeme wie Linux und Mac OS X theoretisch genauso anfällig. Genau das ist auch das Hauptproblem von aktuellen Microsoft-Windows-Systemen, die über ein gutes Benutzerrechtesystem verfügen, dieses aber normalerweise eine systemweite Virusverbreitung nicht verhindern kann, da die meisten Anwender aus verschiedenen Gründen als Administrator arbeiten oder ihr Benutzerkonto Administratorrechte besitzt. Ein Grund dafür ist, das nach der Installation von Windows das automatisch eingerichtete Benutzerkonto Administratorenrechte besitzt und weitere Konten erst vom Benutzer eingerichtet werden müssen. Die meisten Linux Distributionen richten bei der Installation ein Nutzerkonto mit eingeschränkten Rechten ein, so das beim ersten Start zunächst nur beschränkte Rechte zur Verfügung stehen und der so genannte Root-Nutzer, der Administratorenrechte besitzt, erst gezielt gestartet werden muss.

Wenn ein Anwender mit einem Benutzerkonto mit eingeschränkten Rechten arbeitet, kann ein Virus sich nur auf Dateien verbreiten, auf die der Benutzer die entsprechenden Rechte zur Manipulation besitzt. Das heißt in der Regel, dass Systemdateien vom Virus nicht infiziert werden können, solange der Administrator oder mit Administratorrechten versehene Systemdienste nicht Dateien des infizierten Benutzers aufrufen. Eventuell auf dem gleichen System arbeitende Benutzer können meist ebenfalls nicht infiziert werden, so lange sie nicht eine infizierte Datei des infizierten Benutzers ausführen oder die Rechte des infizierten Benutzers erlauben, die Dateien von anderen Benutzern zu verändern.

Da Windows-Systeme heute die weiteste Verbreitung haben, sind sie derzeit das Hauptziel von Virenautoren. Die Tatsache, dass sehr viele Windows-Anwender mit Konten arbeiten, die Administratorrechte haben, sowie die Unkenntnis von Sicherheitspraktiken bei der relativ hohen Zahl unerfahrener Privatanwender macht Windows-Systeme noch lohnender als Ziel von Virenautoren.

Während für Windows-Systeme über 60.000 Viren bekannt sind, liegt die Zahl der bekannten Viren für Linux und dem klassischen Mac OS jeweils bei etwa 50, für das seit einiger Zeit aktuelle (auf dem Unix-Subsystem Darwin basierende) Mac OS X sind bisher unter 10 Viren bekannt (aktuell zwei im Februar 2006). In „freier Wildbahn“ werden allerdings weitaus weniger verschiedene Viren beobachtet als theoretisch bekannt sind. Das erste Virus für Apples Mac-OS-X-Betriebssystem wurde am 13. Februar 2006 im Forum einer US-amerikanischen Gerüchteseite veröffentlicht. Bis dahin galt das Betriebssystem der Macintosh Computer als gänzlich von Viren und Würmern unbelastet. Der Hersteller von Windows Antivirenprogrammen Sophos stellt in seinem Security Report 2006' öffentlich fest, dass Mac OS X sicherer ist als Windows.[1]

Die meist kommerzielle Nutzung von Apple- und Unix-Computern allgemein führt unter anderem auch dazu, dass der Sicherheitsstandard höher ist, weil professionell betreute Computersysteme oft gut geschützt werden. Außerdem macht die geringe Verbreitung von Macintosh-Rechnern die Virenentwicklung weniger lohnend.

Bei Unix- und Linux-Systemen sorgen die höheren Sicherheitsstandards und die noch nicht so hohe Verbreitung dieser Systeme bei Endanwendern dafür, dass sie für Virenautoren momentan kein lohnendes Ziel darstellen und Viren „in freier Wildbahn“ praktisch nicht vorkommen. Anders sieht es bei Computerwürmern aus. Unix-/Linux-Systeme sind wegen der hohen Marktanteile bei Internet-Servern mittlerweile ein häufiges Ziel von Wurmautoren.

Der Quellcode von Linux sowie der meisten anderen Unix-Betriebssysteme liegt offen und ist frei verfügbar, was die erfolgreiche Virenentwicklung für diese Betriebssysteme erschwert, da Sicherheitslücken meist sehr schnell geschlossen werden, nachdem sie entdeckt wurden.

Allgemeine Prävention

bei Microsoft-Betriebssystemen

Anwender sollten niemals unbekannte Dateien oder Programme aus unsicherer Quelle ausführen und generell beim Öffnen von Dateien Vorsicht walten lassen. Das gilt insbesondere für Dateien, die per E-Mail empfangen wurden. Solche Dateien – auch eigentlich harmlose Dokumente wie Bilder oder PDF-Dokumente – können durch Sicherheitslücken in den damit verknüpften Anwendungen auf verschiedene Weise Schadprogramme aktivieren. Daher ist deren Überprüfung mit einem aktuellen Antivirenprogramm zu empfehlen.

Betriebssystem und Anwendungen sollten regelmäßig aktualisiert werden und vom Hersteller bereitgestellte Service Packs und Patches/Hotfixes eingespielt werden. Dabei ist zu beachten, dass es einige Zeit dauern kann, bis Patches bereitgestellt werden. [2] Einige Betriebssysteme vereinfachen diese Prozedur, indem sie das automatische Herunterladen und Installieren von Updates unterstützen. Manche unterstützen sogar das gezielte Herunterladen und Installieren nur derjenigen Updates, die sicherheitskritische Probleme beheben. Dazu gibt es auch die Möglichkeit, die Service Packs und Hotfixes für Windows 2000 und Windows XP via „Offline-update“ (siehe Weblinks) einzuspielen. Diese Offline-updates sind besonders bei neuen PCs zu empfehlen, da andernfalls der PC bereits beim ersten Verbinden mit dem Internet infiziert werden könnte.

Die eingebauten Schutzfunktionen des Betriebssystems sollten ausgenutzt werden. Dazu zählt insbesondere, nicht als Administrator mit allen Rechten, sondern als Nutzer mit eingeschränkten Rechten zu arbeiten, da dieser keine Software systemweit installieren darf.

Das automatische Öffnen von Dateien aus dem Internet sowie das automatische Ausblenden von bekannten Dateianhängen sollte deaktiviert werden, um nicht versehentlich Dateien auszuführen, die man sonst als getarnten Schädling erkennen würde. Auch durch die Autostartfunktion für CD-ROMs und DVD-ROMs können Programme bereits beim Einlegen eines solchen Datenträgers ausgeführt und damit ein System infiziert werden.

Es empfiehlt sich, die auf den meisten Privatrechnern vorinstallierte Software von Microsoft zu meiden oder sicherer zu konfigurieren, da sie meist so konfiguriert sind, dass sie für den Anwender den höchsten Komfort und nicht die höchste Sicherheit bieten. Auch bieten sie durch ihren extrem hohen Verbreitungsgrad eine große Angriffsfläche. Vor allem Internet Explorer (IE) und Outlook Express sind hier zu nennen. Sie sind die am häufigsten von Schädlingen angegriffenen Anwendungen, da sie extrem weit verbreitet und in den Standardeinstellungen leicht angreifbar sind. Die zur Zeit bedeutendsten Alternativen zum Internet Explorer sind Firefox sowie Opera, die beide mehr Sicherheit versprechen. Alternativen zu Outlook Express sind beispielsweise Mozilla Thunderbird oder The Bat.

bei sonstigen Betriebssystemen

Es existieren auch Computerviren für Nicht-Microsoft Betriebssysteme. Bekannte Beispiele dafür sind Symbian OS, Linux, Mac OS und Betriebssysteme der BSD-Reihe. Da diese Viren jedoch kaum verbreitet sind, stellen sie für den Benutzer keine große Gefahr da. Ein Grund dafür ist einerseits die geringere Verbreitung dieser Plattformen, sodass Virenschreiber diese Systeme in der Vergangenheit eher verschont haben und es andererseits für die Schadprogramme eine erhebliche Schwierigkeit bietet, weitere Infektionsopfer zu finden. Ein weiterer, technischer Grund ist die explizite Rechtetrennung vieler anderer Betriebssysteme. Bei quelloffenen Betriebssystemen kommt noch hinzu, dass es viele verschiede Distributionen gibt, was wiederum eine Einschränkung für Viren darstellt.

Personal Firewall

Personal Firewalls zeigen gegen Viren keine Wirkung, da ihre Arbeitsweise nichts mit der der Viren zu tun hat, sondern auf die von Würmern zugeschnitten ist.

Antivirensoftware

Ein Online-Scanner erkennt einen Virus.
Ein Online-Scanner erkennt einen Virus.

Antivirenprogramme schützen (mit Ausnahmen) nur vor bekannten Viren. Daher ist es bei der Benutzung eines solchen Programms wichtig, regelmäßig die von den Herstellern bereitgestellten aktualisierten Virensignaturen einzuspielen. Viren der nächsten Generation (Tarnkappenviren) können von Antivirensoftware fast nicht mehr erkannt werden.

Mit Hilfe dieser Programme werden Festplatte und Arbeitsspeicher nach schädlichen Programmen durchsucht. Antivirenprogramme bieten meist zwei Betriebsmodi: einen manuellen, bei dem das Antivirenprogramm erst auf Aufforderung des Benutzers alle Dateien einmalig überprüft (on demand) und einen automatischen, bei dem alle Schreib- und Lesezugriffe auf die Festplatte (teilweise auch auf den Arbeitsspeicher) und damit auch E-Mail-Anhänge und sonstige Downloads überprüft werden (on access). Es gibt Antivirenprogramme, die mehrere (für das Scannen nach Viren verantwortliche) „Engines“ nutzen. Wenn diese unabhängig voneinander suchen, steigt die Erkennungswahrscheinlichkeit.

Antivirenprogramme bieten nie vollständigen Schutz, da die Erkennungsrate selbst bei bekannten Viren nicht bei 100% liegt. Unbekannte Viren können von den meisten dieser Programme anhand ihres Verhaltens entdeckt werden („Heuristik“); diese Funktionen arbeiten jedoch sehr unzuverlässig. Auch entdecken Antivirenprogramme Viren oft erst nach der Infektion und können das Virus unter Umständen nicht im normalen Betrieb entfernen.

Besteht der berechtigte Verdacht einer Infektion, sollten nacheinander mehrere On-Demand-Programme eingesetzt werden. Dabei ist es sinnvoll, darauf zu achten, dass die Programme unterschiedliche „Engines“ nutzen, damit die Erkennungsrate steigt. Es gibt Antivirenprogramme verschiedener Hersteller, welche die gleichen Scan-Methoden anwenden, also im Grunde eine ähnlich hohe Erkennungswahrscheinlichkeit haben und damit auch ein ähnliches Risiko, bestimmte Viren zu übersehen. Verschiedene On-Access-Antivirenprogramme („Wächter“, „Guard“, „Shield“, etc.) sollten nie gleichzeitig installiert werden, weil das zu Fehlfunktionen des PC führen kann: Da viele dieser On-Access-Scanner bereits beim Hochfahren des Betriebssystems nach Bootsektorviren suchen, werden sie quasi gleichzeitig gestartet und versuchen einen alleinigen und ersten Zugriff auf jede zu lesende Datei zu erlangen, was naturgemäß unmöglich ist und daher zu schweren Systemstörungen führen kann bzw. muss.

Werden mehrere On-Demand-Scanner installiert und – auch unabhängig, also nicht gleichzeitig – gestartet und ausgeführt, sind falsche Virenfunde häufig, bei denen das eine Programm die Virensignaturen des anderen auf der Festplatte oder im Arbeitsspeicher als Virus erkennt bzw. schon gesicherte Virendateien im so genannten „Quarantäne-Ordner“ des anderen Programms findet. Auch ein On-Access-Scanner kann deshalb bei einem zusätzlich gestarteten On-Demand-Scanvorgang eines anderen Virensuchprogramms im Konkurrenzprodukt also fälschlich eine oder mehrer Viren finden.

Grundsätzlich sollte gelegentlich, aber regelmäßig der gesamte PC on demand auf Viren untersucht werden, da – mit Hilfe neuer Virensignaturen – alte, früher nicht erkannte Virendateien entdeckt werden können und darüber hinaus auch die „Wächtermodule“ ein und desselben Herstellers manchmal anders suchen und erkennen als der zugehörige On-Demand-Scanner.

Schutz durch Live-Systeme

Live-Systeme wie Knoppix, die unabhängig vom installierten Betriebssystem von einer CD gestartet werden, bieten nahezu vollständigen Schutz, wenn keine Schreibgenehmigung für die Festplatten erteilt wird. Weil keine Veränderungen an Festplatten vorgenommen werden können, kann sich kein schädliches Programm auf der Festplatte einnisten. Speicherresidente Malware kann aber auch bei solchen Live-Systemen Schaden anrichten, indem diese Systeme als Zwischenwirt bzw. Infektionsherd für andere Computer dienen können. Malware, die direkt im Hauptspeicher residiert, wird erst bei einem Reboot unschädlich gemacht.

Computervirentypen

Bootviren

Bootviren zählen zu den ältesten Computerviren. Diese Viren waren bis 1995 eine sehr verbreitete Form von Viren. Ein Bootsektorvirus infiziert den Bootsektor von Disketten und Festplattenpartitionen oder den Master Boot Record (MBR) einer Festplatte.

Der Bootsektor ist der erste physische Teil einer Diskette oder einer Festplattenpartition. Festplatten haben außerdem einen so genannten Master Boot Record oder MBR. Dieser liegt wie der Bootsektor von Disketten ganz am Anfang des Datenträgers. Bootsektoren und MBR enthalten mit den Boot-Loadern die Software, die von einem Rechner direkt nach dessen Start ausgeführt wird, sobald die Firmware bzw. das BIOS den Rechner in einen definierten Startzustand gebracht hat. Üblicherweise laden Boot-Loader das installierte Betriebssystem und übergeben diesem die Kontrolle über den Computer.

Wie beschrieben sind Boot-Loader Programme, die vor dem Betriebssystem ausgeführt werden und deshalb für Viren sehr interessant: Bootviren können in das Betriebssystem, das nach ihnen geladen wird, eingreifen und dieses manipulieren oder dieses komplett umgehen. Dadurch können sie sich z. B. auf Bootsektoren eingelegter Disketten verbreiten.

Lädt ein Rechner nicht den MBR der Festplatte sondern den infizierten Bootsektor einer Diskette, versucht das enthaltene Bootvirus meist, sich in den MBR der Festplatte zu verbreiten, um bei jedem Start des Computers ohne Diskette aktiv werden zu können.

Bootviren haben jedoch mit den technischen Limitierungen, die mit dem Speicherort „Bootsektor“ bzw. vor allem „MBR“ einhergehen, zu kämpfen: sie können maximal 444 Bytes groß sein, sofern sie nicht noch weitere Teile auf anderen Teilen der Festplatte verstecken. (Der MBR ist nach Industrienorm einen Sektor, also 512 Byte groß, aber einige Bytes werden für die Hardware- und BIOS-Kompatibilität verbraucht.) Außerdem müssen sie die Aufgaben des Boot-Loaders übernehmen, damit das System funktionsfähig bleibt, was von dem ohnehin schon sehr geringen Platz für die Virenlogik noch weiteren Platz wegnimmt. Da sie vor einem Betriebssystem aktiv werden, können sie außerdem nicht auf von einem Betriebssystem bereitgestellte Funktionen wie das Finden und Öffnen einer Datei zurückgreifen.

Seit 2005 gibt es auch Bootsektorviren für CD-ROMs. Diese infizieren bootfähige CD-ROM-Image-Dateien (ISO-Images). Es ist technisch möglich, ein Bootsektorvirus für einen USB-Stick oder für ein LAN-Netzwerk zu erstellen, dies ist aber bis 2005 noch nicht geschehen.

Heutzutage gibt es beinahe keine Bootsektorviren mehr, da BIOS und Betriebssysteme meistens einen gut funktionierenden Schutz vor ihnen haben. Zwar gibt es Bootsektorviren, die diesen Schutz umgehen können, doch ist ihre Verbreitung im Allgemeinen sehr langsam. Durch die technischen Probleme, die mit diesem Virentyp einhergehen, fordern sie vom Virenautor außerdem deutlich mehr Wissen und Programmierfertigkeiten, während sie zugleich seine Möglichkeiten stark einschränken.

Dateiviren/Linkviren

Teil der Infektionsroutine eines Dateivirus, das PE-Dateien infiziert.
Teil der Infektionsroutine eines Dateivirus, das PE-Dateien infiziert.

Linkviren oder Dateiviren sind der am häufigsten anzutreffende Virentyp. Sie infizieren ausführbare Dateien oder Programmbibliotheken auf einem Betriebssystem.

Um eine ausführbare Datei zu infizieren, muss das Virus sich in diese Wirtsdatei einfügen (oft direkt am Ende, da dies am einfachsten ist). Außerdem modifiziert das Virus die Wirtsdatei so, dass das Virus beim Programmstart aufgerufen wird. Eine spezielle Form von Linkviren wählt eine andere Strategie und fügt sich in eine bestehende Programmfunktion ein.

Zu den verschiedenen Arten von Linkviren siehe Infektionsarten.

Makroviren

Makroviren benötigen Anwendungen, die Dokumente mit eingebetteten Makros verarbeiten. Sie befallen Makros in nicht-infizierten Dokumenten oder fügen entsprechende Makros ein, falls diese noch nicht vorhanden sind.

Makros werden von den meisten Office-Dokument-Typen verwendet, wie z. B. in allen Microsoft-Office- sowie OpenOffice.org-Dokumenten. Aber auch andere Dokument-Dateien können Makros enthalten. Sie dienen normalerweise dazu, in den Dokumenten wiederkehrende Aufgaben zu automatisieren oder zu vereinfachen.

Häufig unterstützen Anwendungen mit solchen Dokumenten ein spezielles Makro, das automatisch nach dem Laden des Dokuments ausgeführt wird. Dies ist ein von Makroviren bevorzugter Ort für die Infektion, da er die höchste Aufruf-Wahrscheinlichkeit hat. Wie Linkviren versuchen auch Makroviren, noch nicht infizierte Dateien zu befallen.

Da die meisten Anwender sich nicht bewusst sind, dass z. B. ein Textdokument ausführbare Inhalte und damit ein Virus enthalten kann, gehen sie meist relativ sorglos mit solchen Dokumenten um. Sie werden sehr oft an andere Anwender verschickt oder sogar auf öffentlichen Servern zum Herunterladen angeboten. Dadurch können sich Makroviren recht gut verbreiten. Um das Jahr 2000 herum stellten sie die größte Bedrohung dar, bis sie darin von den Computerwürmern abgelöst wurden.

Ein Schutz gegen Makroviren besteht darin, dafür zu sorgen, dass nur zertifizierte Makros von der Anwendung ausgeführt werden. Dies ist insbesondere für (größere) Unternehmen und Behörden von Interesse, wo eine zentrale Zertifizierungsstelle Makros zum allgemeinen Gebrauch vor deren Freigabe überprüft und akzeptierte Makros zertifiziert.

Es empfiehlt sich weiterhin, das automatische Ausführen von Makros in der entsprechenden Anwendung auszuschalten.

Skriptviren

Teil des Source-Codes von Html.Lame, einem Skriptvirus, das HTML-Dateien infiziert.
Teil des Source-Codes von Html.Lame, einem Skriptvirus, das HTML-Dateien infiziert.

Ein Skript ist ein Programm, welches nicht durch einen Kompilierer in Maschinensprache übersetzt wird, sondern durch einen Interpreter Schritt für Schritt ausgeführt wird. Ein Skript wird häufig auf Webservern verwendet (z. B. in Form der Skriptsprache Perl oder PHP) bzw. durch in Webseiten eingebettet Skriptsprachen (z. B. JavaScript).

Ein Skript wird gerne in Webseiten zusätzlich zu normalem HTML oder XML eingesetzt, um Funktionen zu realisieren, die sonst nur unter Zuhilfenahme ausführbarer Programme auf dem Server (CGI-Programme) realisierbar wären. Solche Funktionen sind zum Beispiel Gästebücher, Foren, dynamisch geladene Seiten oder Webmailer. Skriptsprachen sind meist vom Betriebssystem unabhängig. Um ein Skript auszuführen, wird ein passender Interpreter – ein Programm, das das Skript von einer für den Menschen lesbaren Programmiersprache in eine interne Repräsentation umsetzt und dann ausführt – benötigt. Wie alle anderen Viren auch sucht das Skriptvirus eine geeignete Wirtsdatei, die es infizieren kann.

Im Falle von HTML-Dateien fügt sich das Skriptvirus in einen speziellen Bereich, dem Skriptbereich, einer HTML-Datei ein (oder erzeugt diesen). Die meisten Browser laden diesen Skriptbereich des HTML-Dokuments um ihn schließlich ausführen. Diese speziellen Skriptviren verhalten sich also fast genauso wie die oben beschriebenen Makroviren.

Unix-, Mac-OS-X- und Linux-Systeme benutzen für die Automatisierung vieler Aufgaben ein Skript, welches z. B. für eine Unix-Shell wie bash, in Perl oder in Python geschrieben wurde. Auch für diese Skriptsprachen gibt es Viren, die allerdings nur Laborcharakter haben und in der „freien Wildbahn“ so gut wie nicht anzutreffen sind. Auch können sie nicht wie in HTML eingebettete Skriptviren versehentlich eingefangen werden, sondern man muss – wie bei einem Linkvirus – erst ein verseuchtes Skript auf sein System kopieren und ausführen.

Mischformen

Nicht alle Computerviren fallen eindeutig in eine spezielle Kategorie. Es gibt auch Mischformen wie zum Beispiel Viren, die sowohl Dateien als auch Bootsektoren infizieren (Beispiel: Kernelviren) oder Makroviren, die auch Programmdateien infizieren können. Bei der Zusammensetzung ist beinahe jede Variation möglich.

Testviren

Meldung der Eicartestdatei nach der Ausführung
Meldung der Eicartestdatei nach der Ausführung

Die Eicar Testdatei ist eine Datei, die benutzt wird um Virenscanner zu testen. Sie ist kein Virus und enthält auch keinen „viralen“ Inhalt, sondern ist nur per Definition als Virus zu erkennen. Jeder Virenscanner sollte diese Datei erkennen. Sie kann deswegen benutzt werden, um auf einem System – das von keinem Virus infiziert wurde – zu testen, ob der Virenscanner korrekt arbeitet.

Infektionsarten

Companion-Viren

Companion-Viren infizieren nicht die ausführbaren Dateien selbst, sondern benennen die ursprüngliche Datei um und erstellen eine Datei mit dem ursprünglichen Namen, die nur das Virus enthält, oder sie erstellen eine Datei mit ähnlichem Namen, die vor der ursprünglichen Datei ausgeführt wird. Es handelt sich also nicht um ein Virus im eigentlichen Sinne, da kein Wirtsprogramm manipuliert wird.

Unter MS-DOS gibt es beispielsweise Companion-Viren, die zu einer ausführbaren EXE-Datei eine versteckte Datei gleichen Namens mit der Endung „.com“ erstellen, die dann nur das Virus enthält. Wird in der Kommandozeile von MS-DOS ein Programmname ohne Endung eingegeben, sucht das Betriebssystem zuerst nach Programmen mit der Endung „.com“ und danach erst nach Programmen mit der Endung „.exe“, so dass der Schädling vor dem eigentlichen Programm in der Suchreihenfolge erscheint und aufgerufen wird. Der Schädling führt, nachdem er sich meist im Arbeitsspeicher festgesetzt hat, das ursprüngliche Programm aus, so dass der Benutzer oft nichts von der Infektion bemerkt.

Überschreibende

Überschreibende Computerviren sind die einfachste Form von Viren, wegen ihrer stark zerstörenden Wirkung allerdings auch am leichtesten zu entdecken. Wenn ein infiziertes Programm ausgeführt wird, sucht das Virus nach neuen infizierbaren Dateien und überschreibt entweder die ganze Datei oder nur einen Teil derselben (meist den Anfang) mit einer benötigten Länge. Die Wirtsdatei wird dabei irreparabel beschädigt und funktioniert nicht mehr oder nicht mehr korrekt, wodurch eine Infektion praktisch sofort auffällt.

Prepender

Diese Art von Computerviren fügt sich am Anfang der Wirtsdatei ein. Beim Ausführen der Wirtsdatei wird zuerst das Virus aktiv, das sich weiterverbreitet oder seine Schadwirkung entfaltet. Danach stellt das Virus im Arbeitsspeicher den Originalzustand des Wirtsprogramms her und führt dieses aus. Außer einem kleinen Zeitverlust merkt der Benutzer nicht, dass ein Virus gerade aktiv wurde, da die Wirtsdatei vollkommen arbeitsfähig ist.

Appender

Ein Appender-Virus fügt sich an das Ende einer zu infizierenden Wirtsdatei an und manipuliert die Wirtsdatei derart, dass es vor dem Wirtsprogramm zur Ausführung kommt. Nachdem das Virus aktiv geworden ist, führt es das Wirtsprogramm aus, indem es an den ursprünglichen Programmeinstiegspunkt springt. Diese Virusform ist leichter zu schreiben als ein Prepender, da das Wirtsprogramm nur minimal verändert wird und es deshalb im Arbeitsspeicher nicht wieder hergestellt werden muss. Da Appender einfach zu implementieren sind, treten sie relativ häufig auf.

Entry Point Obscuring

Der Fachbegriff „Entry Point Obscuring“ (kurz: EPO) heißt übersetzt „Verschleierung des Einsprungspunkts“. Viren, die diese Technik benutzen, suchen sich zur Infektion einen bestimmten Punkt in der Wirtsdatei, der nicht am Anfang oder am Ende liegt. Da dieser Punkt von Wirt zu Wirt variiert, sind Viren dieses Typs relativ schwierig zu entwickeln, da u.a. eine Routine zum Suchen eines geeigneten Infektionspunktes benötigt wird. Der Vorteil für diesen Virentyp besteht darin, dass Virenscanner die gesamte Datei untersuchen müssten, um EPO-Viren zu finden – im Gegensatz zum Erkennen von Prepender- und Appender-Viren, bei denen der Virenscanner nur gezielt Dateianfang und -ende untersuchen muss. Sucht ein Virenscanner also auch nach EPO-Viren, benötigt er mehr Zeit – wird der Virenscanner so eingestellt, dass er Zeit spart, bleiben EPO-Viren meist unentdeckt.

Für das Entry Point Obscuring sucht sich das Virus einen speziellen Ort, wie etwa eine Programmfunktion, irgendwo in der Datei, um diese zu infizieren. Besonders lohnend ist z. B. die Funktion zum Beenden des Programms, da sie meist ein leicht zu identifizierendes Erkennungsmuster hat und genau einmal aufgerufen wird. Würde das Virus eine zeitkritische Funktion oder eine sehr häufig aufgerufenen Funktion infizieren, fiele es leichter auf. Das Risiko für EPO-Viren besteht darin, dass sie sich unter Umständen einen Punkt in einem Wirt aussuchen können, der nie oder nicht bei jeder Ausführung des Wirtes aufgerufen wird.

Techniken

Arbeitsspeicher

Speicherresidente Viren verbleiben auch nach Beendigung des Wirtprogramms im Speicher. Unter MS-DOS wurde eine Technik namens TSR (Terminate and Stay Resident) verwendet, in Betriebssystemen wie Windows, Unix oder Unix-ähnlichen Systemen (Linux, Mac OS X) erzeugt das Virus einen neuen Prozess. Das Virus versucht dem Prozess in diesem Fall einen unverdächtig wirkenden Prozessnamen zu geben oder seinen Prozess komplett zu verstecken. Gelegentlich versuchen diese Viren auch Funktionen des Betriebssystems zu manipulieren oder auf sich umzuleiten, sofern das Betriebssystem dieses ermöglicht bzw. nicht verhindert.

Selbstschutz der Viren

Stealthviren

Computerviren dieser Art ergreifen besondere Maßnahmen, um ihre Existenz zu verschleiern. So werden Systemaufrufe abgefangen, so dass zum Beispiel bei der Abfrage der Größe einer infizierten Datei die Größe vor der Infektion angegeben wird (manche Viren verändern die ursprüngliche Größe auch gar nicht, weil sie sich in unbenutzte Bereiche der Datei kopieren) oder auch beim Lesen der Datei die Daten der ursprünglichen Datei zurückgeben.

Teil eines polymorph verschlüsselten JavaScript-Virus.
Teil eines polymorph verschlüsselten JavaScript-Virus.

Verschlüsselte Viren

Dieser Typ von Viren verschlüsselt sich selbst. Der Schlüssel kann dabei von Infektion zu Infektion variieren. Das soll Antivirenprogramme daran hindern, einfach nach einer bestimmten Zeichenfolge in Dateien suchen zu können. Die Routine zum Entschlüsseln muss aber naturgemäß in normaler Form vorliegen und kann von Antivirenprogrammen erkannt werden.

Polymorphe Viren

Diese Art von Viren ändern ihre Gestalt von Generation zu Generation, teilweise vollkommen. Das geschieht oft in Kombination mit Verschlüsselung – hierbei wird eine variable Verschlüsselung benutzt. Ein Teil des Virus muss jedoch in unverschlüsselter Form vorliegen, um bei der Ausführung den Rest zu entschlüsseln. Um auch diesen Teil variabel zu gestalten, wird die Entschlüsselungsroutine bei jeder Infektion neu erstellt. Die Routine, die die Entschlüsselungsroutine immer neu erstellt, befindet sich dabei selbst im verschlüsselten Teil des Virus und kann zum Beispiel voneinander unabhängige Befehle austauschen und Operationen mit verschiedenen Befehlssequenzen kodieren, so dass verschiedene Varianten entstehen.

Metamorphe Viren

Dieser Computervirentyp verändert bei einer Ausführung den eigenen Code. Im Gegensatz zu polymorphen Viren, die nur die Gestalt des Codes (durch variable Verschlüsselung oder Permutation) ändern, wird bei dieser Technik der Virus temporär in die Source-Code Form zurückgeschrieben (Disassembler), welcher verändert wird, und danach wieder kompiliert wird. Diese Technik ist möglich, da die Assemblersprache für einen Befehl verschiede Möglichkeiten bietet, diesen auszuführen. Zum Beispiel kann der Befehl mov eax, 0x0 in xor eax, eax oder sub eax, eax umgewandelt werden. Der Vorteil dieser Viren ist, dass sie am schwersten zu entdecken sind, da die Befehlsfolge des Virus sich vollkommen ändert. Da diese Technik sehr viel Arbeit und Wissen benötigt, sind diese Viren sehr selten. Beispiele sind Win32.ZMist, Win32.MetaPHOR, Win32.SK oder DOS.ACG.

Retroviren

Sie zielen darauf ab, Virenschutzprogramme und Personal Firewalls zu deaktivieren. Da sie sich dadurch nicht nur selbst vor Entdeckung schützen, sondern auch anderen Schadprogrammen Tür und Tor öffnen, gelten sie als sehr gefährlich, wenngleich sie 2005 noch nicht besonders weit verbreitet sind.

Mögliche Schäden/Payload

Computerviren sind vor allem gefürchtet, weil sie den Ruf haben, sämtliche Daten zu zerstören. Das ist aber nur in sehr wenigen Fällen richtig. Die meisten Computerviren versuchen hauptsächlich sich selbst möglichst weit zu verbreiten und deswegen nicht aufzufallen.

Harmlose Auswirkungen: Eine Eigenschaft, die jedes Virus hat, ist das Stehlen von Rechnerzeit und -speicher. Da ein Virus sich selbst verbreitet, benutzt es die Leistung des Prozessors und der Festplatten. Viren sind aber im Normalfall so geschrieben, dass sie für das System keine spürbare Beeinträchtigung darstellen, so dass sie der Benutzer nicht erkennt. Bei der Größe aktueller Festplatten fällt auch der zusätzlich benötigte Festplattenplatz nicht mehr auf.

Ungewollte Schäden – Programmierfehler: Viele Computerviren enthalten Fehler, welche unter gewissen Umständen zu fatalen Folgen führen können. Diese Fehler sind zwar meistens unbeabsichtigt, können trotzdem Dateien durch eine falsche Infektion zerstören oder gar in Einzelfällen ganze Datenbestände vernichten.

„Existenzbericht“ – Meldungen an den Benutzer:

Ein HTML-Virus gibt sich dem Opfer zu erkennen.
Ein HTML-Virus gibt sich dem Opfer zu erkennen.

Manche Viren geben dem Benutzer ihre Existenz bekannt. Beispiele für Meldungen von Viren können z. B. sein:

  • Piepsen/Musik
  • Meldungsboxen oder plötzlich auftauchende Texte auf dem Bildschirm mit oft (für den Virusautor) amüsanten Nachrichten oder gar politischem Inhalt
  • Manipulation des Bildschirminhaltes wie herunterfallende Buchstaben, Verzerrungen oder über den Bildschirm wandernde Objekte

Die meisten dieser Existenzmeldungen sind harmlos und erfolgen oft nur zu bestimmten Uhrzeiten oder nur an bestimmten Tagen, um nicht zu schnell aufzufallen und so eine höhere Verbreitung zu erlangen.

Datenzerstörung: Durch das Infizieren von Dateien werden die darin enthaltenen Daten manipuliert und möglicherweise zerstört. Da jedoch die meisten Viren vor Entdeckung geschützt werden sollen, ist eine Rekonstruktion der Daten in vielen Fällen möglich.

Einige wenige Viren wurden speziell zur Zerstörung von Daten geschrieben. Das kann vom Löschen von einzelnen Dateien bis hin zum Formatieren ganzer Festplatten führen. Diese Art von Payload wird von den meisten Menschen unmittelbar in Verbindung mit allen Viren gebracht. Da der Speicher der „Lebensraum“ von Viren ist, zerstören sie sich mit diesen Aktionen oft selbst.

Hardwarezerstörung: Direkte Hardwarezerstörung durch Software und somit durch Computerviren ist nur in Einzelfällen möglich. Dazu müsste dem Virenautor bekannt sein, wie eine bestimmte Hardware so extrem oder fehlerhaft angesteuert werden kann, dass es zu einer Zerstörung kommt. Einige (z. T. eher theoretische) Beispiele für solche Möglichkeiten sind:

  • Das Senden extremer Bildsignale an Bildschirme. Heute nicht mehr gebräuchliche Festfrequenzmonitore waren dafür anfällig, es gab Viren, die diese Angriffe auf solche Monitore tatsächlich durchgeführt haben. Heute ist eine Beschädigung durch fehlerhafte/extreme Bildsignale so gut wie ausgeschlossen.
  • Übertakten von Grafikkarten, die es erlauben, die Taktfrequenz der Bausteine per Software einzustellen. Bei einer zu hohen Übertaktung und nicht ausreichenden Kühlung können Bausteine überhitzen und beschädigt oder zerstört werden.
  • Übertakten von Bausteinen auf der Hauptplatine, die dadurch selbst überhitzen oder andere Bauteile überlasten können (Widerstände, Integrierte Bausteine).
  • Unbenutzbarkeit von Festplatten durch bestimmte inoffizielle ATA-Kommandos.

Da im heutigen PC-Bereich die Hardwarekomponentenauswahl sehr heterogen ist, gilt bisher die Meinung, dass es sich für Virenautoren nicht lohnt, solche Angriffe durchzuführen.

Ein als Hardwareschaden missinterpretierter Schaden ist das Überschreiben des BIOS, das heute meist in Flash-Speichern gespeichert ist. Wird dieser Flash-Speicher böswillig überschrieben, kann der Rechner nicht mehr starten. Da der Rechner nicht mehr startet, wird oft fälschlicherweise ein Hardwareschaden angenommen. Der Flash-Speicher muss in diesem Fall ausgebaut und mit einem korrekten BIOS neu bespielt werden. Ist der Flash-Speicher fest eingelötet, ist das Ausbauen wirtschaftlich nicht rentabel und die gesamte Hauptplatine muss ausgetauscht werden.[3]

Wirtschaftliche Schäden

Der wirtschaftliche Schaden durch Computerviren ist geringer als der Schaden durch Computerwürmer. Grund dafür ist, dass sich Viren nur sehr langsam verbreiten können und dadurch oft nur lokal verbreitet sind.

Ein weiterer Grund, warum der wirtschaftliche Schaden bei Computerviren nicht so hoch ist, ist die Tatsache, dass sie den angegriffenen Computer oder die angegriffene Datei im Allgemeinen für einen längeren Zeitraum brauchen, um sich effektiv verbreiten zu können. Computerviren, die Daten sofort zerstören, sind sehr ineffektiv, da sie mit dieser Aktion auch ihren eigenen Lebensraum zerstören.

Im Zeitalter der DOS-Viren gab es trotzdem einige Viren, die erheblichen Schaden angerichtet haben. Ein Beispiel ist das Virus DataCrime, das gesamte Datenbestände vernichtet hat. Viele Regierungen reagierten auf dieses Virus und verabschiedeten Gesetze, die das Verbreiten von Computerviren zu einer Straftat machen.

Auch unter Windows gab es vereinzelt Fälle von Computer-Viren, die gravierende finanzielle Schäden für einzelne Unternehmen bedeuteten. So wurde Anfang 1998 der XM/Compat-Virus entdeckt, ein Makro-Virus, der Microsoft-Excel-Dateien mit einer äußerst bösartigen Schadfunktion befällt: Immer, wenn Excel beendet wird, durchforstet der Schädling ein zufälliges Dokument aus der Bearbeitungs-History nach ungeschützen Zellen mit numerischen Werten. In diesen Zellen ändert er die Werte mit einer einprozentigen Wahrscheinlichkeit zufällig in einem Rahmen von +5 bis −5% ab. Aufgrund der zunächst nur unwesentlichen Veränderungen fallen die so manipulierten Daten möglicherweise erst nach Wochen oder gar Monaten auf. Wird der Schaden entdeckt, lässt er sich nur durch die Einspielung eines Backups wieder beheben – dazu muss man natürlich aber wissen, wann der Erstbefall genau stattgefunden hat. Zwar hat der Schädling keine sonderlich hohe Verbreitung gefunden, aber es gab Fälle von Unternehmen, deren Geschäftsbilanzen und Umsatzberichte durch einen XM/Compat-Befall völlig unbrauchbar geworden sind.

Ein Virus mit hohem wirtschaftlichen Schaden war auch Win32.CIH, auch „Tschernobyl-Virus“ genannt (nach dem Atomunfall von Tschernobyl vom 26. April 1986), das sich großflächig verbreitete und am 26. April 2000 den Dateninhalt von mehr als 2000 BIOS-Chips in Südkorea zerstörte. Laut dem Antivirenhersteller Kaspersky sollen im Jahr davor sogar 3000 PCs betroffen gewesen sein.

Ein weiterer wirtschaftlicher Faktor war früher vor allem der Image-Schaden der betroffenen Unternehmen, heute ist dieser immaterielle Schaden nicht mehr so hoch, da ein Computervirus schon eher als normale und übliche Gefahr akzeptiert wird.

Aufbau

Computerviren haben viele unterschiedliche Formen, daher ist es nur schwer möglich zu beschreiben, wie ein Virus grundsätzlich aufgebaut ist. Der einzige nötige Bestandteil, der aus einem Computerprogramm per Definition einen Computervirus macht, ist die Vermehrungsroutine.

Die folgende Erklärung ist keineswegs ein Standard für alle Viren. Manche Viren können mehr Funktionen haben, andere wiederum weniger.

  • Entschlüsselungsroutine: Dieser Teil sorgt bei verschlüsselten Viren dafür, dass die verschlüsselten Daten wieder zur Ausführung gebracht werden können. Nicht alle Viren besitzen diesen Teil, da nicht alle verschlüsselt sind. Oft wird die Entschlüsslungsroutine der Viren von Antiviren-Herstellern dazu benützt, das Virus zu identifizieren, da dieser Teil oft klarer erkennbar ist als der Rest des Virus.
  • Vermehrungsteil: Dieser Programmteil sorgt für die Vermehrung des Virus. Es ist der einzige Teil, den jedes Virus hat (Definition).
  • Erkennungsteil: Im Erkennungsteil wird geprüft, ob die Infektion eines Programms oder Systembereichs bereits erfolgt ist. Jedes Wirtsprogramm wird nur einmal infiziert. Dieser Teil ist in fast allen nicht-überschreibenden Computerviren vorhanden.
  • Schadensteil: Im Verhältnis zur Zahl der Computerviren haben nur sehr wenige einen Schadensteil (Payload). Der Schadensteil ist der Grund für die Angst vieler Menschen vor Computerviren.
  • Bedingungsteil: Der Bedingungsteil ist dafür verantwortlich, dass der Schadensteil ausgeführt wird. Er ist in den meisten Computerviren mit einem Schadensteil enthalten. Viren ohne Bedingungsteil führen den Schadensteil entweder bei jeder Aktivierung oder – in ganz seltenen Fällen – niemals aus. Der Bedingungsteil (Trigger) kann zum Beispiel das Payload an einem bestimmten Datum ausführen oder bei bestimmten Systemvoraussetzungen (Anzahl der Dateien, Größe des freien Speicherplatzes, etc.) oder einfach zufällig.
  • Tarnungsteil: Ein Tarnungsteil ist nur in wenigen, komplexen Viren vorhanden. Er kann das Virus zum Beispiel verschlüsseln oder ihm eine andere Form geben (Polymorphismus, Metamorphismus). Dieser Teil dient zum Schutz des Virus vor der Erkennung durch Anti-Viren-Software. Es gibt aber nur eine sehr geringe Anzahl von Viren, die nicht vollständig erkannt werden können (z. B.: Win32.ZMist, ACG, Win32.MetaPHOR oder OneHalf).

Achillesferse eines Virus

Damit ein Virenscanner ein Virus identifizieren kann, benötigt er dessen Signatur. Ein Virus versucht, ein System zu infizieren, und dies geschieht z. B. bei einem Linkvirus durch das Anhängen an ein bestehendes Programm. Dabei muss es (abgesehen von überschreibenden Viren) zuerst prüfen, ob es dieses Programm bereits infiziert hat – sprich, es muss in der Lage sein, sich selbst zu erkennen. Würde es dies nicht machen, könnte es ein Programm theoretisch beliebig oft infizieren, was aufgrund der Dateigröße und der CPU-Belastung sehr schnell auffallen würde. Dieses Erkennungsmuster – die Signatur – kann unter gewissen Umständen auch von Virenscannern genutzt werden, um das Virus zu erkennen. Polymorphe Viren sind in der Lage, mit verschiedenen Signaturen zu arbeiten, die sich verändern können, jedoch stets einer Regel gehorchen. Daher ist es den Herstellern von Anti-Viren-Software relativ einfach und schnell möglich, ein neues Virus nach dessen Bekanntwerden zu identifizieren.

Viele Viren benutzen anstelle von polymorphen Signaturen sehr kleine Kennzeichnungen wie zum Beispiel ein ungenutztes Byte im Portable-Executable-Format. Ein Virenscanner kann dieses eine Byte nicht als Erkennungsmuster nutzen, da es zu viele falsch positive Treffer geben würde. Für ein Virus ist es jedoch kein Problem, wenn es unter ungünstigen Verhältnissen einige Dateien nicht infiziert.

Geschichte

Theoretische Anfänge: Bis 1985

John von Neumann veröffentlichte im Jahr 1949 seine Arbeit „Theory and Organization of Complicated Automata“. Darin stellt er die These auf, dass ein Computerprogramm sich selbst wiederherstellen kann. Das war die erste Erwähnung von computervirenähnlicher Software. Erst als Victor Vyssotsky, Robert Morris Sr. und Doug McIlroy, Programmierer bei Bell Labs, ein Computerspiel mit dem Namen Darwin erstellten, wurde die Theorie in die Praxis umgesetzt. Zwei Spieler ließen Software-Organismen um die Kontrolle über das System kämpfen. Die Programme versuchten dabei, einander zu überschreiben. Spätere Versionen des Spiels wurden als Core Wars bekannt. Breite Bekanntheit erfuhr das Konzept Core Wars durch einen Artikel von Alexander K. Dewdney in der Kolumne Computer Recreations der Zeitschrift Scientific American.

1972 veröffentlichte Veith Risak den Artikel Selbstreproduzierende Automaten mit minimaler Informationsübertragung. Darin wird über einen zu Forschungszwecken geschriebenen Virus berichtet. Dieser enthielt alle wesentlichen Komponenten. Er wurde im Maschinencode des Rechners SIEMENS 4004/35 programmiert und lief einwandfrei.

1975 veröffentlichte der englische Autor John Brunner den Roman Der Schockwellenreiter, in dem er die Gefahr von Internetviren vorausahnt. Sein Kollege Thomas J. Ryan schilderte 1979 in The Adolescence of P-1, wie sich eine Künstliche Intelligenz virenähnlich über das nationale Computernetz ausbreitet.

Im Jahr 1980 verfasste Jürgen Kraus an der Universität Dortmund eine Diplomarbeit mit dem Titel Selbstreproduktion bei Programmen, in welcher der Vergleich angestellt wurde, dass sich bestimmte Programme ähnlich wie biologische Viren verhalten können. Die Behörden wurden bei dieser Diplomarbeit hellhörig und ließen die Verbreitung des Werkes stoppen. Erst im Dezember 2006 wurde diese Arbeit wiederveröffentlicht und im Internet allgemein verfügbar.

1982 wurde von Rich Skrenta ein Computerprogramm geschrieben, das sich selbst über Disketten auf Apple-II-Systemen verbreitete. Das Programm hieß Elk Cloner und kann als das erste Bootsektorvirus bezeichnet werden. Die Grenze von Theorie und Praxis bei Computerviren verschwimmt jedoch, und selbst Experten streiten sich, was tatsächlich das erste war.

Professor Leonard M. Adleman verwendete 1984 im Gespräch mit Fred Cohen zum ersten Mal den Begriff „Computervirus“.

Praktische Anfänge: 1985–1990

Fred Cohen lieferte 1986 seine Doktorarbeit Theory and Experiments ab.[4] Darin wurde ein funktionierendes Virus für das Betriebssystem UNIX vorgestellt. Dieses gilt heute als das erste Computervirus.

Im Januar 1986 wurde schließlich auch die erste Vireninfektion auf einem Großrechner an der FU Berlin entdeckt.

Zwei Software-Händler aus Pakistan verbreiteten im Jahr 1986 das erste Virus für das Betriebssystem MS-DOS der Pakistani-, Ashar- oder auch Brain-Virus genannt wird. Diese Händler verkauften billige Raubkopien von Originalsoftware. Dies war möglich, da dort das Kopieren von Software nicht strafbar war. Jeder Softwarekopie legten sie den Virus bei, der den Zweck haben sollte, die Kunden an den Händler zu binden. Überraschenderweise verbreitete sich dieser Virus aber sogar bis in die USA. Das Programm war relativ harmlos, da es nur das Inhaltsverzeichnis der befallenen Disketten in Brain umbenannte.

Schließlich wurde 1987 auch der erste Virus für Macintosh-Rechner entdeckt. Apple lieferte daraufhin all seine System gleich komplett mit einem Virensuchprogramm aus. Allerdings konnte es nur diese eine Virenfamilie finden und war für andere Virustypen sozusagen blind. Somit war das Programm also nur bedingt brauchbar.

1987 verbreitete sich der erste Wurm in einem IBM-System. Dieser „Weihnachtsbaum“ oder „Tannenbaum“-Wurm fand eine explosionsartige Verbreitung (siehe Computerwurm).

Im November des Jahres wurde schließlich auch der LeHigh-Virus gefunden, der eine neue Technik beim Infizieren von Programmen verwendete (Slackbereich-Infektor).

Kurz darauf wird in Deutschland auch zum ersten Mal der Cascade-Virus gefunden. Er war der erste Virus, der speicherresident wurde und in Dateien auch verschlüsselt auftrat. Aufgrund dieser Eigenschaften wird er auch zur zweiten Generation der Viren gerechnet.

Zu einer der ersten Viren gehört auch der Jerusalem- oder PLO-Virus. Er wurde auch unter dem Namen Freitag-der-13.-Virus bekannt, da er an einen solchen Tag alle COM- und EXE-Dateien löscht. An allen anderen Tagen verlangsamte er nach etwa 30 Minuten die Rechnergeschwindigkeit. Heute gibt es etwa 500 Varianten dieses Viruses.

Für andere Systeme treten auch die ersten Viren auf, so für den Mac (nVir, Peace), Amiga (SCA-Virus), Atari (PT, Aladdin) und für UNIX (IBM MVS 370).

Im selben Jahr, 1987, erschien im Data-Becker-Verlag das erste Buch zum Thema Computerviren, Das große Computervirenbuch von Ralf Burger. Da Burger den Quellcode einiger Viren im Buch veröffentlichte, erschienen in den folgenden Monaten Dutzende Varianten des von ihm geschriebenen Virus' in der Öffentlichkeit.

1988 erschien der erste Baukasten für Viren (Virus Construction Kit). Damit ist es auch Anfängern möglich, Viren nach Maß zu erstellen. Das Programm wurde für den Computer Atari ST geschrieben.

In diesen Jahren wurden auch die ersten Antivirenprogramme herausgebracht, vor allem um große Firmen zu schützen. Im Jahr 1989 erschien mit V2Px dann auch das erste polymorphe Virus, das sich selbst immer wieder neu verschlüsseln konnte und nur sehr schwer zu entdecken war.

Die Ära der DOS-Viren: 1990–1995

In diesen Jahren wurden Viren immer komplexer, um sich weiter verbreiten zu können und um sich besser gegen die Entdeckung durch Antivirenprogramme zu schützen. Im Jahr 1992 veröffentlichte ein Virenschreiber namens Dark Avenger den ersten polymorphen Programmgenerator, MTE. Damit konnten sich auch einfachste Viren leicht vor einer Erkennung schützen. Einige der damaligen Hersteller von Antiviren-Software konnten dieses Problem nicht lösen und stoppten die Entwicklung ihres Programms.

1992 löste auch das Michelangelo-Virus eine enorme Medienhysterie aus. Mit ihm wurde die Existenz der Viren auch in der breiten Öffentlichkeit bekannt.

In diesen Jahren wurden auch immer wieder neue Techniken in Viren entdeckt, wie zum Beispiel die gleichzeitige Infektion von Dateien und Bootsektor, OBJ-Dateien oder Quellcode-Dateien. Auch wurde 1992 mit Win.Vir_1_4 das erste Computervirus für das Betriebssystem Microsoft Windows 3.11 registriert. Dieses Proof-Of-Concept-Virus wurde nie in „freier Wildbahn“ entdeckt.

Viren wie ACG und OneHalf markieren das Ende der MS-DOS-Viren. Bis heute zählen sie zu den komplexesten Viren überhaupt. Sie sind stark polymorph und enthalten auch Techniken wie Metamorphismus.

Die Ära der Viren für 32-Bit-Windows-Betriebssysteme: 1995–2002

Ab 1995, mit dem Erscheinen von Microsoft Windows 95 und dem ständigem Zuwachs an Benutzern, wurden auch Viren für dieses Betriebssystem (und dessen obligate Programme wie Microsoft Office) geschrieben. 1995 erschien das erste Makrovirus für Microsoft Word. Da Dokumente öfter als Programme getauscht wurden, wurden Makroviren ein sehr großes Problem für die Anwender. In den Jahren darauf erschienen dann auch die ersten Makroviren für Excel (1997), Powerpoint und Access (beide 1998) und Visio (2000). 1996 wurde auch das erste Virus Constructor Kit für Makroviren geschrieben, das es auch Personen ohne Programmierkenntnissen ermöglichte, Viren zu erstellen.

1996 erschien dann mit Boza auch das erste Virus für Microsoft Windows 95. Damit wurde gezeigt, dass das neueste Microsoft-Betriebssystem für Viren doch nicht, wie behauptet, unantastbar war.

Da der Kampf zwischen Antivirenherstellern und Virenautoren zugunsten der Antivirenhersteller gewonnen schien, wurden 1998 mit W32.HPS und W32.Marburg die ersten polymorphen Windows-32-Bit-Viren geschrieben. Kurze Zeit später entstand mit Regswap auch das erste metamorphe Virus für diese Betriebssysteme.

1998 und 1999 erschienen die ersten VBS- und JavaScript-Viren und als logische Konsequenz auch die ersten HTML-Viren. Diese Viren arbeiteten mit dem umstrittenen Zusatzprogramm „Windows Scripting Host“. Nun konnten auch Webseiten von Viren infiziert werden.

In dieser Zeit wurden auch einige andere, für den Benutzer ungefährliche, Viren geschrieben, die dennoch historisch interessant sind. Beispiele sind das OS2.AEP-Virus, das als erstes ausführbare Dateien des Betriebssystems OS/2 infizierten konnte, oder die ersten Viren für HLP-Dateien, für PHP-Dateien, für Java, für AutoCAD, für Bash, für Palm OS und für Flash.

Mit dem W95/CIH-10xx verbreitete sich 1998 das erste Virus, das neben dem Löschen der Festplatte auch das BIOS zerstören konnte. Somit war der gesamte PC unbrauchbar, bis durch Fachleute mit geeigneter Hardwareausstattung in den BIOS-Flash-EEPROM-Baustein ein neues BIOS geschrieben wurde.

Am Ende dieser Ära tauchten wieder (wie in der DOS-Ära) die komplexesten Viren auf, die es bis zu dieser Zeit gab. Beispiele sind Win32.MetaPHOR oder Win32.ZMist, die sehr stark metamorph sind und nicht von allen Antivirenprogrammherstellern vollständig entdeckt werden können.

Neue Nischen: Ab 2002

Ungefähr ab 2002 traten Viren mehr und mehr in den Hintergrund und wurden durch Würmer ersetzt. Die Entwicklung von Viren geht trotzdem weiter und bezieht sich vor allem auf neue Nischen.

Im Jahr 2002 wurde der erste Virus geschrieben, das sowohl Win32-Anwendungen als auch ELF-Dateien (z. B. Linux-Anwendungen) infizieren konnte. Dieses Virus kann als das Einläuten eines neuen Zeitalters der Viren gesehen werden.

Im Jahr 2004 brach dann endgültig eine neue Ära für Viren an. Das erste Virus für PocketPCs (mit dem Betriebssystem Windows CE) tauchte auf und zeigte, dass auch diese viel verwendeten Kommunikationsgeräte nicht verschont werden.

Einige Monate später wurde der Virus Win64.Rugrad entdeckt. Dieses Virus konnte die Anwendungen des neu erschienenen Microsoft Windows XP 64-bit Edition infizieren und hat eine Vorreiterrolle in der Entwicklung neuer Viren.

Wieder einige Monate später, im Jahr 2005, wurde das erste Virus für Handys (mit dem Betriebssystem Symbian OS) geschrieben. Es kann, nachdem vorher schon Würmer für dieses Betriebssystem erschienen sind, auch Dateien infizieren.

Mitte 2005, kurz nach der Veröffentlichung der ersten Beta-Version des XP-Nachfolgers Microsoft Windows Vista, wurde das erste Virus für die Microsoft Command Shell (Codename Monad) veröffentlicht. Zunächst wurde propagiert, dass es ein erstes Virus für das neue Windows gebe. Jedoch ließ Microsoft nach Bekanntwerden der Viren verlautbaren, dass Monad doch nicht wie geplant in Vista enthalten sein werde. Somit wäre dies ein Virus für eine Betaversion mit extrem geringen Chancen auf Verbreitung.

Das erste wirkliche Computervirus für MS Windows Vista trat einige Monate später, im Oktober 2005 auf. MSIL.Idoneus nutzt .NET Framework 2.0, um sich zu verbreiten.

In dieser Zeit wurden auch die ersten Viren für Ruby, MenuetOS, F#, CHM, IDA und Microsoft Office Infopath entdeckt, die aber weder jetzt noch in Zukunft eine Gefahr für Anwender sein werden, da diese Plattformen kaum verbreitet sind und sich die Viren daher kaum vermehren können.[5]

Eine weitere Gefahr geht in Zukunft von StarOffice- und OpenOffice.org-Makroviren aus, die im Juli 2006 entdeckt wurden. Da die Zahl von Benutzern, die nicht mehr auf Microsoft Office setzen, im Anstieg ist, war eine Konsequenz daraus, dass diese Programme angegriffen wurden.[6]

Quellenangaben

  1. Sophos Security Report 06
  2. golem.de: Microsoft wartet mit Bereitstellung eines Patches fast ein Jahr.
  3. Infos zu den das CMOS und das BIOS schädigenden Viren
  4. Fred Cohen: Computer Viruses - Theory and Experiments
  5. Trend Micro: E-Zine Releases New Virus Technologies
  6. Symantec: Back to the Future

Trojanisches Pferd (Computerprogramm)

http://de.wikipedia.org/wiki/Trojanisches_Pferd_%28Computerprogramm%29

Dieser Artikel basiert auf dem Artikel aus der freien Enzyklopädie Wikipedia und steht unter der GNU-Lizenz für freie Dokumentation. In der Wikipedia ist eine Liste der Autoren verfügbar.



Als Trojanisches Pferd, auch kurz Trojaner genannt, bezeichnet man ein Programm, das als nützliche Anwendung getarnt ist, im Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erfüllt.

Ein Trojanisches Pferd zählt zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Es wird umgangssprachlich häufig mit Computerviren synonym verwendet, sowie als Oberbegriff für Backdoors und Rootkits gebraucht, ist davon aber klar abzugrenzen.

Inhaltsverzeichnis

Verbergen

Etymologie

Der Name ist vom Trojanischen Pferd der Mythologie abgeleitet, das dem Angreifer ebenfalls den Zugang zu einem geschützten System verschaffte, in dem es durch Tarnung als etwas Nützliches den Angegriffenen selbst dazu veranlasste, in den geschützten Bereich gebracht zu werden.

Die gebräuchliche Kurzform „Trojaner“ ist eine inkorrekte Übersetzung des englischen Wortes für „trojanisch“, Trojan. Hierdurch wird die die mythologische Herkunft des Begriffes verkehrt, da die Griechen die Angreifer waren, welche das Pferd bauten und benutzten, die Trojaner (also die Bewohner Trojas) hingegen die Angegriffenen.

Charakteristik

Trojanische Pferde sind Programme, die manchmal gezielt auf fremde Computer eingeschleust werden, aber auch zufällig dorthin gelangen können, und dem Anwender nicht genannte Funktionen ausführen. Sie sind als nützliche Programme getarnt, indem sie beispielsweise den Dateinamen einer nützlichen Datei benutzen, oder neben ihrer versteckten Funktion tatsächlich eine nützliche Funktionalität aufweisen, und führen vom Anwender unbemerkt heimliche Aktionen auf dem Computer aus. Es besteht auch die Möglichkeit, dass ein Programmierer unbewusst ein Trojanisches Pferd entwickelt, indem er dem Programm eine Funktionalität hinzufügt, die mit dem offensichtlichen Teil des Programms nichts zu tun hat. Wird die Funktion dem Anwender nicht genannt, so handelt es sich definitionsgemäß um ein Trojanisches Pferd. Dies gilt selbst dann, wenn dieser Teil des Programms keinen Schaden verursacht.

Viele Trojanische Pferde werden dazu verwendet, um auf dem Computer heimlich ein Schadprogramm zu installieren, während sie ausgeführt werden. Diese Schadprogramme laufen dann eigenständig auf dem Computer, was bedeutet, dass sie sich nicht deaktivieren lassen, indem das Trojanerprogramm beendet oder gar gelöscht wird. Die tatsächliche Funktion der installierten Datei kann beliebiger Art sein. So können u. a. eigenständige Spionageprogramme auf den Rechner gelangen (z. B. Sniffer oder Komponenten, die Tastatureingaben aufzeichnen, sogenannte Keylogger). Auch die heimliche Installation eines Backdoorprogramms ist möglich, welches es gestattet, den Computer über ein Netzwerk (z. B. das Internet) fernzusteuern, ohne dass der Anwender dies kontrollieren kann.

Weil Trojanische Pferde häufig solche schädlichen Programme installieren, besteht das Missverständnis, dass erst die Funktionen der installierten Programme ein Trojanisches Pferd ausmachen. Durch Trojanische Pferde heimlich installierte Schadprogramme gehören jedoch nur selten selbst zur Familie der Trojanischen Pferde, denn gemäß der Definition müssten sie dem Anwender erst eine andere Funktionalität vortäuschen, um selbst als Trojanisches Pferd klassifiziert werden zu können.

Arten Trojanischer Pferde

Zahlreiche Trojanische Pferde entstehen durch den Verbund zweier eigenständiger Programme zu einer einzelnen Programmdatei. Dabei heftet ein Linker (auch Binder oder Joiner genannt) das zweite Programm an eine beliebige ausführbare Wirtdatei, ohne dass dieser Vorgang einen Einfluss auf die Funktionalität beider Programme hat. Durch den Start des ersten Programms wird so das zweite Programm, welches im ersten Programm versteckt ist, unbemerkt mitgestartet. Der Autor des Trojanischen Pferdes kann mithilfe eines entsprechenden Dienstprogrammes jede beliebige ausführbare Datei als Wirtprogramm missbrauchen, ohne Programmierkenntnisse besitzen zu müssen.

Es gibt Trojanische Pferde, die heimlich eine Installationsroutine starten. Diese Trojanerart wird häufig dafür eingesetzt, um unbemerkt Malware auf ein System zu installieren, sobald das Trojanische Pferd ausgeführt wird. Daher nennt man sie „Dropper“ (vom englischen to drop – etwas im System „ablegen“). Ein Autostartmechanismus sorgt in der Regel dafür, dass die Malware auch nach einem Neustart des Rechners automatisch geladen wird. Für den Start der Malware ist das Trojanische Pferd auf diesem System nicht mehr erforderlich.

Demgegenüber gibt es auch Trojanische Pferde, welche die geheimen Funktionen in sich selbst bergen. Wird das Trojanische Pferd beendet oder gar gelöscht, so stehen auch die heimlichen Funktionen nicht mehr zur Verfügung. Ein Beispiel dafür sind zahlreiche Plugins. Bei einem Plugin handelt es sich um eine Art Erweiterungsbaustein für ein bestimmtes Programm, mit dem weitere Funktionen hinzugefügt werden. So kann ein als nützliches Browser-Plugin getarntes Trojanisches Pferd auf einem Internetbrowser laufen, um beispielsweise über den Browser mit dem Internet zu kommunizieren, wodurch es auf einfache Weise eine Firewall umginge.

Allgemein ist es auch möglich, dass ein Trojanisches Pferd sich die externe Schnittstelle eines Programms zunutze macht. Ähnlich wie ein Plugin-Trojaner benötigt auch diese Trojanerart ein bereits vorhandenes Programm des Anwenders, um einen Teil seiner geheimen Funktionen durchführen zu können. Oft nutzt es dabei auch die Möglichkeiten des Betriebssystems, um das Programm in seiner Arbeit zu beeinflussen. So kann ein solches Trojanisches Pferd mithilfe des Browsers ein verstecktes Fenster öffnen, darüber eine Verbindung mit dem Internet aufbauen, um z. B. mitprotokollierte Tastatureingaben und Passwörter an den Angreifer zu schicken. Eine Firewall kann auch hier den heimlichen Verbindungsaufbau nicht verhindern, wenn die Verbindung zum Internet für den Browser erlaubt wurde. Der Vorteil dieser Methode gegenüber eines Plugin-Trojaners ist der, dass ein solches Trojanisches Pferd von sich aus jederzeit eine Internetverbindung aufbauen kann (wobei es von vornherein in der Lage ist, Einfluss auf die Darstellung der Fenster zu nehmen), während der Plugin-Trojaner erst dann aktiv wird, wenn der Internetbrowser mit dem installierten Plugin gestartet wurde.

Zur Verbreitung von Trojanischen Pferden

Trojanische Pferde können entweder über Datenträger auf Computer gelangen oder im Internet, z. B. in Tauschbörsen, an beliebige Teilnehmer verteilt werden. Die Verbreitung des Trojanischen Pferdes erfolgt somit oft durch den Anwender eines Computers selbst. Je nach Bedeutsamkeit des Scheinprogramms steigt die Wahrscheinlichkeit, dass der Anwender das Programm an weitere Anwender weitergibt.

Ein alternativer Weg der Verbreitung von Trojanischen Pferden ist der Versand im Anhang von E-Mails. Dafür wird meistens ein Computerwurm verwendet, der das Trojanische Pferd transportiert. Der Trojaner selbst wird dadurch, dass er sich augenscheinlich verbreitet, jedoch nicht zu einem Virus. Vielmehr kommen hier zwei Schädlinge in Kombination zum Einsatz: Der Wurm, welcher im Anhang das Trojanische Pferd transportiert.

Die Schadroutine

In der Regel wird das Trojanerprogramm auf direktem Weg durch den Anwender eines Computers gestartet, wodurch es die Zugriffsberechtigung erhält, alle Funktionen zu nutzen, auf die auch der angemeldete Benutzer zugreifen darf. Die Schadroutine kann demnach selbstständig oder ferngesteuert alle Aktionen unentdeckt ausführen, die auch der Benutzer des Computers willentlich ausführen könnte (gleiches gilt für Schadprogramme aller Art, die ein Trojanisches Pferd heimlich auf dem Computer installiert). Da zahlreiche Nutzer aus Bequemlichkeit oder aufgrund fehlender Kenntnis der Risiken dauerhaft mit Administrationsrechten arbeiten, ist das Spektrum an Manipulationsmöglichkeiten durch die Schadroutine unbegrenzt.

Um einen Einblick über die Manipulationsmöglichkeiten an betroffenen Rechnern zu geben, sind im Folgenden beispielhaft einige gängige Schadfunktionen aufgelistet:

  • Überwachung des Datenverkehrs oder aller Benutzeraktivitäten mithilfe von Sniffern.
  • Ausspähen von sensiblen Daten (Passwörter, Kreditkartennummern, Kontonummern und Ähnliches), Dateien kopieren und weiterleiten.
  • Fernsteuerung des Rechners von Unbekannten, u. a. für kriminelle Zwecke, z. B. zum Versenden von Werbe-E-Mails oder Durchführung von DDoS-Attacken.
  • Installation von illegalen Dialer-Programmen (heimliche Einwahl auf Telefon-Mehrwertrufnummern), was dem Opfer finanziellen Schaden zufügt.
  • Benutzung der Speicherressourcen zur Ablage von illegalen Dateien, um sie von hier aus anderen Nutzern aus dem Internet zur Verfügung zu stellen.
  • Unerwünschte Werbung aus dem Internet einblenden oder den Anwender ungewollt auf bestimmte Webseiten umleiten.

Ein Trojanisches Pferd muss allerdings nicht zwangsläufig über eine Schadroutine verfügen. Sendet beispielsweise das Programm ohne Wissen des Anwenders unsensible statistische Daten an den Programmierer, die in keinem direkten Bezug zu dem Programm stehen, und lässt der offensichtliche Teil des Programms keinen Rückschluss auf die versteckte Funktionalität zu, so erfüllt das Programm alle Bedingungen, um auch als Trojanisches Pferd klassifiziert zu werden, obgleich es keinen Schaden anrichtet. Dagegen kann eine geheime Funktion schnell zu einer Schadroutine werden, ohne dass der Entwickler des Programms das beabsichtigt hat. Bezogen auf dieses Beispiel wäre das der Fall, wenn das Programm in einem vom Entwickler nicht vorhergesehenen Umfeld eingesetzt wird. Dort könnte die heimliche Datenübermittlung beispielsweise zum Aufbau einer Internetverbindung führen und so ungefragt Kosten verursachen.

Die Tarnung

Unter Unix werden begehrte Befehle wie ls (Auflisten von Dateien) oder ps (Anzeige der laufenden Prozesse) gerne durch Trojanische Pferde ersetzt. Zum einen fallen sie so lediglich bei einem Vergleich ihrer Checksummen auf, zum anderen erhöht sich dadurch die Wahrscheinlichkeit, dass ein Administrator das Trojanische Pferd startet, wodurch sie die begehrten Zugriffsrechte erlangen, ohne durch manipulierte Dateirechte aufzufallen.

Anders als unter Unix wird bei einem Microsoft-Windows-Betriebssystem ein ausführbares Programm (Executable) nicht an seinen Dateirechten erkannt. Vielmehr legt hier die Endung des Dateinamens fest, ob und wie die Datei ausgeführt wird. Da Trojanische Pferde nur funktionieren können, indem jemand ihren Code startet, sind auch sie gezwungen, eine dementsprechende Dateiendung zu verwenden, wie beispielsweise.exe, .com, .scr, .bat, .cmd, .vbs, .wfs, .jse, .shs, .shb, .lnk oder.pif. In der Standardkonfiguration zeigt das Betriebssystem diese Dateiendungen im Explorer jedoch nicht an. Dadurch kann ein Trojanisches Pferd als Datei beliebiger Art maskiert sein. Viele ausführbare Dateiformate erlauben zusätzlich das Zuordnen von Icons zu einer Datei, so dass eine schädigende Datei „Bild.jpg.exe“ dem Benutzer namentlich nicht nur als „Bild.jpg“ angezeigt wird, sondern auch noch das Icon einer Bilddatei erhalten kann und somit bei der oben genannten Windows-Konfiguration auf den ersten Blick nicht von einer ungefährlichen Bilddatei zu unterscheiden ist.

Eine weitere beliebte Möglichkeit der Maskierung besteht darin, eine Dateiendung mit Hilfe zahlreicher Leerzeichen zu kaschieren. So erscheint eine Datei namens „harmlos.txt<zahlreiche Leerzeichen>Checked By Norton Antivirus.exe“ dem Anwender auf den ersten Blick wie eine Textdatei, wobei der restliche Dateiname vom ihm oft nur als Hinweis interpretiert wird. Abhängig von dem Programm, welches die Datei anzeigt, kann es auch vorkommen, dass nicht der komplette Dateiname zu sehen ist, wodurch der Anwender die.exe-Endung der Datei gar nicht erst zu Gesicht bekommt. Da vielen Benutzern die Möglichkeit der Maskierung nicht geläufig ist, werden Trojanische Pferde häufig unbemerkt ausgeführt.

Eine weitere Möglichkeit, ausführbaren Code unter einer „harmlosen“ Dateiendung zu verstecken, bieten Programme, die den Dateityp unabhängig von seiner Endung selbst analysieren und sie entsprechend ihres tatsächlichen Typs behandeln. Als Beispiel ist es zwar theoretisch nicht möglich, in einer RTF-Datei ausführbaren Makrocode zu hinterlegen, da dieses Dateiformat keine Makros unterstützt. Jedoch wird eine Datei namens „gefährlich.doc“, die man in „harmlos.rtf“ umbenennt, von Office anhand des Dateiinhalts als.doc-Datei erkannt, woraufhin der darin hinterlegte Makrocode trotz der Dateiendung „.rtf“ ausgeführt wird.

Trojanische Pferde, die auf einem Exploit basieren, bilden hier ebenfalls eine Ausnahme. Sie nutzen Fehler eines Programms aus, um ihren Code zur Ausführung zu bringen. Abhängig von dem Programm, auf dessen Schwachstelle das Trojanische Pferd basiert, kann es sich in jedem Dateityp verbergen, also auch in Dateien, die normalerweise nicht ausführbar sind. So gibt es beispielsweise Trojanische Pferde, deren Code in einer Grafikdatei hinterlegt wurde. Eine Schwachstelle des jeweiligen Browsers vorausgesetzt ist es auch möglich, eine Internetseite derart zu präparieren, dass ein bloßer Aufruf der Seite zur Ausführung des Trojanercodes führt. Auch bei E-Mailprogrammen, die den HTML-Code einer Nachricht automatisch anzeigen, besteht die Gefahr, dass bösartiger Code bereits beim Lesen der Nachricht zur Ausführung gelangt. Der Trojanercode kann jedoch nur dann gestartet werden, wenn die belastete Datei tatsächlich mit dem Programm geöffnet wird, für das das Trojanische Pferd bestimmt ist.

Oftmals verwenden Trojanische Pferde auch Dateinamen, die es schwer machen, sie von wichtigen Systemdateien zu unterscheiden. Dazu legen sie sich meistens in unübersichtliche Verzeichnisse, wie z. B. im Systemordner von Windows. Werden sie über einen Autostarteintrag der Registry geladen, nutzen sie gerne auch Verschleierungstechniken wie diesen Eintrag: „c:\windows\system32\userinit.exe \\localhost\IPC$ -n“. Bei einer Überprüfung aller Autostarteinträge wird eine mögliche Recherche im Internet ergeben, das userinit.exe ein regulärer Bestandteil des Betriebssystems ist. Und die Überprüfung der Datei wird dem Anwender bestätigen, dass es sich um das Original handelt (sogar mit möglichem Zertifikat). Auch „\\localhost\IPC$“ ist eine reguläre, vom System erstellte Standardfreigabe für interne Zwecke. Alles scheint in Ordnung zu sein, bis auf die Tatsache, dass hier nicht „c:\windows\system32\userinit.exe“ geladen wird, sondern „IPC$ -n.exe“, welche im Verzeichnis „c:\windows\system32\userinit.exe \localhost\“ liegt (wobei unter den aktuellen Versionen von Windows das vermeintliche Leerzeichen vor „ \localhost\“ tatsächlich ein Sonderzeichen sein muss, welches sich mit Alt+255 erzeugen lässt).

Abgrenzung zum Computervirus

Im Unterschied zu einem Computervirus fehlt dem Trojanischen Pferd die Eigenschaft, sich selbständig zu verbreiten. Wird ein Virus aufgerufen, so reproduziert er sich, indem er sich in fremde Dateien einschleust und sich an diese Wirtsdateien anhängt. Eine durch einen Virus infizierte Datei besteht somit aus zwei Komponenten: Aus der Wirtsdatei (einem beliebigen Programm) und dem angehängten Virus.

Dadurch, dass das Wirtprogramm infiziert wurde, enthält es also eine versteckte Komponente, die nämlich beim Programmstart unbemerkt den Virus in das System lädt. Damit erfüllt die Wirtsdatei (nicht jedoch der Virus) alle Bedingungen, um auch als Trojanisches Pferd klassifiziert zu werden. Genau genommen ist somit jede durch einen Virus infizierte Datei ein Trojanisches Pferd. Die Virusdefinition hingegen umschließt lediglich den sich vermehrenden Virencode und seine Schadroutine, nicht jedoch die infizierte Datei, welche den Virus beherbergt.

Diese exakte Unterscheidung wird in der Fachwelt selten vorgenommen. Ein zu klassifizierendes Programm bezeichnet man dort in der Regel erst dann als Trojanisches Pferd, wenn es nicht zufällig durch einen Virus, sondern gezielt durch seinen Entwickler oder mit Hilfe eines Tools um eine böswillige Komponente erweitert wurde. Damit wird der Sprachgebrauch jedoch nur zum Teil der parallel verbreiteten Definition gerecht.

Das Trojanische Pferd als Mittel zur Verbreitung von Viren

Wenn der Programmierer des heimlichen Programmteils es vorgesehen hat, können Trojanische Pferde auch für die Verbreitung von Viren eingesetzt werden. So könnte ein als Spiel getarntes Trojanerprogramm mithilfe der Schadroutine z. B. Makroviren an Officedateien hängen, während das Spiel ausgeführt wird. Auf dem infizierten System würde das Trojanische Pferd nicht mehr benötigt, da sich der Virus nun automatisch verbreiten kann, sobald eine der infizierten Dateien geöffnet wird. Das Trojanische Pferd hat den Virus lediglich in das System geschleust.

Programme mit verknüpfter Trojaner- und Virenfunktionalität

Ebenfalls schwer fällt die Unterscheidung zwischen Trojanischem Pferd und Virus, wenn beispielsweise die Schadroutine das Trojanische Pferd heimlich kopiert. Auf diese Weise kann es unbemerkt auf andere Datenträger gelangen. Durch das automatische Vervielfältigen des eigenen Programmcodes erfüllt das Trojanische Pferd alle Bedingungen, um auch als Virus klassifiziert zu werden. Ein Trojanisches Pferd wird allerdings per Definition nicht zu einem Virus, wenn es sich kopiert. Ebenso muss die Virusdefinition aufgrund einer solchen Möglichkeit nicht um mögliche Trojanereigenschaften erweitert werden. Es hat sich hier lediglich ein Entwickler beider Techniken bedient. Daher handelt es sich bei einer solchen Datei schlicht um ein Trojanisches Pferd und um einen Virus vereint in einem Programm.

Abgrenzung zum Oberbegriff für Backdoors und Rootkits

Einem populären Irrtum zufolge, wird häufig die durch ein Trojanisches Pferd installierte Malware als „Trojanisches Pferd“ bezeichnet. Bezogen auf den assoziativen Ursprung des Begriffs aus der griechischen Mythologie wäre laut dieser These nicht der zur Tarnung dienende Holzrahmen das Trojanische Pferd, sondern die darin versteckten Soldaten.

Als Beispiel könnte ein Trojanisches Pferd heimlich ein Backdoor-Programm installieren. Ein Eindringling greift nun auf das installierte Programm zu, und nicht auf das Trojanische Pferd. Es diente in diesem Fall lediglich als Hilfsprogramm, welches dazu gedacht war, die Malware heimlich zu installieren. Das Hilfsprogramm ist definitionsgemäß ein Trojanisches Pferd, weil es sich als nützliche Anwendung ausgibt (z. B. als ein Spiel oder ein Bildschirmschoner) und dabei unbemerkt ein in sich selbst verstecktes Programm auf den Computer einschleust und deren Installationsroutine ausgeführt. Das Trojanische Pferd kann nach seinem Start jederzeit beendet und sogar gelöscht werden, ohne dass das heimlich installierte Programm in seiner Arbeit beeinträchtigt wird.

Auch das heimlich installierte Programm könnte unter bestimmten Voraussetzungen durchaus als Trojanisches Pferd klassifiziert werden. Als Beispiel kann es den Anmeldevorgang des Rechners ersetzen, die eingegebenen Passwörter in eine Datei schreiben und die Daten dann an den tatsächlichen Anmeldeprozess durchreichen. Es gibt sich gegenüber dem Anwender also als Anmeldedialog aus, zeichnet im Hintergrund jedoch heimlich die Passwörter mit. Im Unterschied dazu geben die meisten Backdoorprogramme nicht vor, etwas anderes zu tun, und sind deshalb auch keine Trojanischen Pferde. Das gilt auch dann, wenn sich das entsprechende Programm beispielsweise per Rootkit-Technik im System versteckt.

Tatsächlich verfügen die wenigsten aktuellen Trojanischen Pferde über eine eigene Backdoorfunktionalität, was nicht damit zu verwechseln ist, dass sie oftmals dafür verwendet werden, ein Backdoorprogramm heimlich zu installieren. Gleiches gilt für die Installation von Rootkits durch ein Trojanisches Pferd. Deshalb eignet sich der Begriff „Trojanisches Pferd“ weder als Oberbegriff für Backdoors, noch für Rootkits und ähnlicher Malware.

Die Verwendung des Begriffes „Trojanisches Pferd“ für artfremde Programmarten

Bis Mitte der 90er Jahre war die Backdoorfunktionalität ein fester Bestandteil vieler Trojanerprogramme. Da sie sich meist selbst im System installierten, vereinte diese Trojanerart Installation und Backdoorfunktionalität in einem einzigen Programm. Vermutlich ergab sich daraus das Missverständnis, dass die Backdoorfunktion ein Trojanisches Pferd definiert. Diese Trojanerart stellt heute jedoch eine Minderheit dar.

Ein weiterer Grund dafür könnte in den späten 80er Jahren zu finden sein, in denen fast zwanghaft nach einem Überbegriff für Hackertools gesucht wurde. Der Begriff „Trojaner“ war zu dieser Zeit gerade populär und schien aus Sicht der Medien zu passen, ohne dass ihnen die tatsächliche Bedeutung des Begriffs geläufig war. So hatte er sich schnell als Synonym für Hackertools jeglicher Art etabliert, die auf dem befallenen Rechner eine Hintertür öffnen oder anderweitigen Schaden anrichten, ohne eine definitionsgemäß vorgetäuschte Funktionalität zwingend vorauszusetzen.

Als Folge der Fehlinformation haben selbst die Betreiber vieler renommierter Sicherheitsseiten im Internet zwar die richtige Trojanerdefinition, allerdings auch die falschen Beispiele übernommen. Einige unter ihnen bemerkten den Konflikt und fingen an, die Definition eines Trojanischen Pferdes zu ändern. Das hat zur Folge, dass dieser Begriff heute auf verschiedene Weise definiert wird, wobei die modifizierten Definitionen gleichsam auf den Passus der vorgetäuschten Funktionalität verzichten. Oftmals wird darin sämtliche Malware zum Trojaner erklärt. Programme, die zwar eine andere Funktionalität vortäuschen, jedoch keinen Schaden anrichten, werden hingegen nicht mehr berücksichtigt.

Würde man dieser Sichtweise folgen, wäre der Begriff „Malware“ überflüssig, wobei der Fachwelt zudem ein wichtiger Begriff verloren ginge, der sämtliche Programme klassifiziert, die dem Anwender eine andere Funktionalität vortäuschen. Schlussendlich wurden durch die modifizierten Definitionen neue Probleme geschaffen, da sie das Verständnis um diese Materie erheblich erschweren.

Dass sich der Begriff „Malware“ (Schadprogramme) als Überbegriff für bösartige oder heimtückische Software nun auch in den deutschen Medien verfestigt hat, ist ein großer Fortschritt. Zumindest wird die zweckentfremdete Verwendung des Begriffs „Trojaner“ dadurch langsam rückläufig.

Historischer Abriss

Knapp drei Jahre nachdem Dan Edwards 1972 ein von ihm als „Trojan horse“ betiteltes theoretisches Konzept vorgestellt hatte, um eine besondere Rechnersicherheitsbedrohung zu charakterisieren, bewahrheitete sich seine Hypothese. Das Spiel „Pervading Animal“ aus dem Jahr 1975 wurde für die Univac 1108 geschrieben und wird als das erste bekannte Trojanische Pferd bezeichnet. Die Spielregeln sahen vor, dass der Spieler an ein Tier denken musste, welches das Programm durch gezielte Fragen zu erraten versuchte. Konnte das Tier noch nicht ermittelt werden, so aktualisierte das Programm sich selbst und stellte eine neue Frage, wobei jedes Mal die alte Version des Programms durch die aktualisierte Version überschrieben wurde. Zusätzlich kopierte sich das Programm aber heimlich auch in andere Verzeichnisse, sodass nach einer gewissen Zeit das komplette System mit Kopien dieses Programms voll geschrieben wurde. Die Frage, ob es sich hierbei um einen Programmierfehler oder um eine beabsichtigte Schadensroutine handelte, ist bis heute unbeantwortet geblieben.

Im Dezember 1989 erschien das erste Trojanische Pferd, das seine Opfer erpressen sollte, wobei es eine weltweite Aufmerksamkeit auf sich zog. Dr. Joseph W. Popp, ein damals 39 Jahre alter Wissenschaftler aus Cleveland bei Ohio, verschickte 20.000 belastete Disketten mit der Aufschrift „AIDS Information Introductory Diskette“ an Adressen in Europa, Afrika, Asien und der WHO. Sein Trojaner versteckte nach einiger Zeit sämtliche Verzeichnisse, verschlüsselte die Dateinamen und hinterließ auf dem Rechner eine Aufforderung, für die Wiederherstellung 378 US-Dollar an eine fiktive „PC Cyborg Corporation“ auf ein existierendes Postfach in Panama zu schicken. Obwohl er in England für unzurechnungsfähig erklärt wurde, hat ihn ein italienisches Gericht in Abwesenheit zu zwei Jahren Haft verurteilt.

Im August 2000 erschien das erste bekannte Trojanische Pferd für PDAs. Der unter den Namen „Liberty Crack“ getaufte Schädling wurde von Aaron Ardiri, dem Co-Entwickler des gleichnamigen Palm Game Boy Emulators, entwickelt. Er tarnt sich als Crack für den Emulator, löscht heimlich die installierte Software und initialisiert wichtige Einstellungen des Palms. Als das Trojanische Pferd außer Kontrolle geriet, half Adriri die Verbreitung einzudämmen.

Im Oktober 2005 machte der renommierte Systemspezialist Mark Russinovich eine verblüffende Entdeckung. Während er eine kurz zuvor gekaufte Musik-CD von SONY BMG auf seinem Computer abspielte, installierte sich heimlich ein Rootkit auf seinem System. Dank einer parallel laufenden Systemanalyse entdeckte er so per Zufall das erste Trojanische Pferd, das über legal erworbene Musik-CDs den Weg auf den Rechner fand. Der bewusst von SONY BMG in Umlauf gebrachte „XCP“-Trojaner war Teil einer sehr aggressiven Kopierschutzkampagne. Die heimlich installierte Malware sammelt Informationen über den Benutzer und schickt diese über das Internet an den Konzern. Zudem schafft sie neue Sicherheitslöcher und bremst dank einer Designschwäche das System auch dann aus, wenn keine CD abgespielt wird. Bereits zwei Wochen nach dieser Entdeckung erschien „Ryknos“, das erste Trojanische Pferd, das sich der Sicherheitslücken von „XCP“ bediente und ein Backdoor-Programm auf den befallenen Rechnern installierte.

Spätestens seit dem Jahr 2006 entwickelt das Bundeskriminalamt ein im NetzjargonBundestrojaner“ genanntes Programm zum Ausspähen von Daten zum Zwecke der Strafverfolgung.

Schutzmöglichkeiten

Den einzig wirkungsvollen Schutz vor Trojanischen Pferden bietet der Verzicht auf die Benutzung von Programmen aus unbekannten oder unsicheren Quellen. Als besonders gefährlich einzustufen sind hierbei, wie bei jeder Malware, Anbieter von Programmen bzw. Dienstleistungen am Rande der Legalität.

Viele Antivirenprogramme erkennen neben Computerviren auch weitere Malware, darunter eine Vielzahl bekannter Trojanischer Pferde. Ihre Erkennungsrate erhebt jedoch keinen Anspruch auf Vollständigkeit. Wird ein Trojanisches Pferd erkannt, bevor der Anwender es startet, ist der Schutzmechanismus recht wirkungsvoll, wohingegen bereits ausgeführte Trojanische Pferde von der Antivirensoftware nur bedingt zuverlässig aus dem System entfernt werden können. Gleiches gilt für die Schadsoftware, welche eventuell durch ein Trojanisches Pferd installiert wurde. Auch gelingt es zahlreichen Trojanischen Pferden, die Antivirensoftware zu deaktivieren oder das System derart zu manipulieren, dass sie von der Software nicht mehr entdeckt werden.

Personal Firewalls oder andere Programme zur Netzwerküberwachung bieten keinen Schutz vor der Installation eines Trojanischen Pferdes, können unter Umständen aber nach einer Infektion auf unautorisierte Netzwerkkommunikation aufmerksam machen. Einige Personals Firewalls bieten als zusätzlichen Schutz auch eine Überwachung der Autostarteinträge des Systems, was dem Anwender einen Hinweis auf eine Trojanerinstallation liefert, wenngleich auch die Firewallsoftware von zahlreichen Trojanischen Pferden deaktiviert und nicht selten überlistet werden kann.

Als neuen Weg zum Schutz gegen Trojanische Pferde und Computerviren allgemein kann man die Bestrebungen der Trusted Computing Platform Alliance (TCPA) ansehen, die das Ausführen von ungeprüfter, d. h. nicht vertrauenswürdiger Software, technisch unterbindbar machen will bzw. die Funktionsaufrufe geprüfter und ungeprüfter Software voneinander zu isolieren versucht. Es bleibt aber zu bedenken, dass auf Grund des Prinzips Trojanischer Pferde, das menschliche Vertrauen oder die Unerfahrenheit auszunutzen, man auch auf diese technische Weise nur das bei der Installation von Software aufgebrachte Vertrauen auf eine andere Instanz verlagert.

Wird ein bereits installiertes Trojanisches Pferd erkannt, so ist es ratsam, die Bereinigung des Systems über die Einspielung des letzten „sauberen“ Abbildes der Festplatte (Image) vorzunehmen, da ein Softwareprodukt (z. B. Virenscanner) diese Aufgabe nur bedingt zuverlässig erledigen kann.

Computerwurm

http://de.wikipedia.org/wiki/Computerwurm

Dieser Artikel basiert auf dem Artikel aus der freien Enzyklopädie Wikipedia und steht unter der GNU-Lizenz für freie Dokumentation. In der Wikipedia ist eine Liste der Autoren verfügbar.



Ein Computerwurm ist ein Computerprogramm, das sich über Computernetzwerke verbreitet, und dafür so genannte „höhere Ressourcen“, wie eine Wirtsapplikation, Netzwerkdienste oder eine Benutzerinteraktion benötigt. Es verbreitet sich zum Beispiel durch das Versenden infizierter E-Mails (selbstständig durch eine SMTP-Engine oder durch ein E-Mail-Programm), durch IRC-, Peer-to-Peer- und Instant-Messaging-Programme oder über Dateifreigaben. Die erst seit kurzem auftretenden Handywürmer verbreiten sich über Bluetooth und infizierte MMS. Die Klassifizierung als Wurm bezieht sich hierbei auf die Verbreitungsfunktion.

Ein Wurmprogramm muss nicht unbedingt eine spezielle Schadensroutine enthalten. Da das Wurmprogramm aber sowohl auf den infizierten Systemen als auch auf den Systemen, die es zu infizieren versucht, Ressourcen zur Weiterverbreitung bindet, kann es allein dadurch gewaltige wirtschaftliche Schäden anrichten. Des Weiteren können Würmer die Belastung anderer Systeme im Netzwerk wie Mailserver, Router und Firewalls erhöhen.

Laut einer Untersuchung eines Anti-Viren Software-Herstellers (Stand: Juli 2005) bestehe eine 50-prozentige Wahrscheinlichkeit für einen neuen PC mit Windows XP, ohne Updates im Internet innerhalb von 12 Minuten mit schädlicher Software infiziert zu werden.

Inhaltsverzeichnis

Verbergen

Unterschied zwischen Virus und Wurm

Computerviren und -würmer verbreiten sich beide auf Computern, doch basieren sie zum Teil auf vollkommen verschiedenen Konzepten und Techniken. Ein Virus verbreitet sich, indem er Dateien infiziert, also sich in eine ausführbare Datei, in einigen Fällen auch in einen Bootsektor oder als Makro in eine interpretierbare Datei integriert und somit Teil einer schon bestehenden Programmroutine wird. Die Verbreitung des Virus erfolgt durch Weitergabe dieser infizierten Dateien. Auf welchem Wege sie weitergegeben werden (via Datenträger oder Netzwerke), ist für die Definition „Virus“ unerheblich. Der Unterschied zum Computerwurm besteht einerseits darin, dass ein Virus sich autark verbreitet, da die oben erwähnte Abhängigkeit zur "höheren Ressource" nicht besteht.

Würmer warten andererseits nicht passiv darauf, dass sie mit infizierten Dateien weitergegeben werden. Sie versuchen auf unterschiedliche Art aktiv via Netzwerk weitere Computer zu infizieren. Aber auch ein Wurm kann – wie ein Virus – in vertrauenswürdigen Dateien getarnt integriert sein, in diesem Fall hat man evtl. beide Übertragungsarten und daher eine Mischform. Als dritte Art gibt es noch die Trojaner (Trojanisches Pferd), diese zeichnen sich vor allem dadurch aus, dass sie eine Hintertür auf dem System installieren, über welche die Versender (z.B. die Programmierer) Zugriff auf den kompromittierten Rechner haben. Heutzutage sind häufig Mischformen (Trojanerwürmer und Trojanerviren) anzutreffen.

Tarnung und Verbreitung

Würmer verbreiten sich derzeit meistens entweder automatisch über E-Mails oder über Netzwerke. Je mehr Möglichkeiten ein Wurm hat sich weiterzuversenden, umso erfolgreicher kann er sich verbreiten.

Verbreitung per E-Mail

Der Wurm verschickt eine Kopie von sich als E-Mail-Anhang. Der Inhalt der E-Mail zielt darauf ab, den Empfänger zu veranlassen, den Anhang zu öffnen und somit eine Infektion auszulösen (siehe auch: Social Engineering). Verschiedene Techniken dienen der Tarnung des gefährlichen Anhangs.

Daneben gibt es auch E-Mails, die auf Sicherheitslücken in E-Mail-Programmen abzielen. Hier durchsucht z.B. die Schadsoftware die Adresslisten und Kontakte des E-Mail-Programms und versendet automatisch an alle gefundenen Adressen eine E-Mail (meist mit infiziertem Anhang), ohne dass der Benutzer es merkt. In diesem Zusammenhang sind insbesondere die Microsoft Produkte – oder die auf einem Microsoft-Betriebssystem aufbauenden E-Mail-Programme – auffällig geworden. Jedoch sind auch andere Betriebssysteme und Clients angreifbar und haben vom Anwender ungewollt und vollautomatisch Schadcode verbreitet. (siehe auch: Automatisches Ausführen).

Im Folgenden werden einige zurzeit bekannte Methoden der Tarnung von Computerwürmern erläutert.

Tarnung durch doppelte Dateinamenserweiterung

Wurmprogrammdateien werden mit doppelter Dateinamenserweiterung versehen, wobei darauf gebaut wird, dass beim Empfänger die Anzeige der Dateinamenerweiterung ausgeblendet wird (Windows-Standardeinstellung). So wird beispielsweise das ausführbare Wurmprogramm „music.mp3.exe“ unter Windows nur als „music.mp3“ angezeigt, und das Programm verwendet als Symbol das MP3-Symbol. Somit erscheint es dem Opfer als harmlose Musikdatei. Das Öffnen dieser Datei verursacht allerdings nicht das erwartete Abspielen, sondern die unkontrollierte Ausführung des Schadprogramms. Erkennbar wird es eventuell durch das falsche MP3-Symbol, wenn der Benutzer z.B. Winamp statt Windows Media Player verwendet, die Datei aber ein Windows Media Player Symbol besitzt. Erfahrene Benutzer schalten die Funktion, welche die Dateierweiterungen ausblendet, oft aus um den Dateityp erkennen zu können.

Dateiarten, deren Ausführbarkeit dem Opfer nicht bewusst ist

Die Ausführbarkeit von „.exe“-Dateien unter Windows ist vielen Anwendern bekannt. Es gibt aber einige Dateiarten, bei denen dies nicht so gut bekannt ist. Wurm-Programmierer spekulieren deshalb darauf, dass diese Dateien nicht mit derselben Vorsicht wie „.exe“-Dateien behandelt und dadurch leichtfertig zur Ausführung gebracht werden.

Beispiele sind Dateien mit der Endung „.scr“ (für gewöhnlich Bildschirmschoner für Windows), Dateien mit der Endung „.pif“ (normalerweise DOS-Datei-Verknüpfungen), Dateien mit der Endung „.vbs“ (Visual-Basic-Script-Dateien) oder Dateien mit der Endung „.bat“ (DOS-Batch-Dateien). Auch zu nennen ist die Endung „.com“ für ausführbare DOS-Dateien. Tückisch ist das insbesondere dann, wenn der Name mit „www.“ beginnt, da der Dateiname dann leicht mit einer URL zu verwechseln ist.

Codierung in für Antivirenprogramme unzugängliche Formate

Oft werden Würmer in ZIP-Archive verpackt, um es Virenscannern zu erschweren, den Wurm zu entdecken. Zum Teil sind diese ZIP-Archive mit einem Passwort verschlüsselt, das sich im E-Mail-Text befindet. Dadurch wird es Virenscannern nahezu unmöglich gemacht, den Inhalt des Anhangs zu analysieren. Gleichzeitig erhöht es die Neugier des Anwenders. Der Passwortschutz ist also auch Teil des Social Engineering.

Automatisches Ausführen

Die Verbreitung der meisten Würmer ist davon abhängig den Anwender zu Aktionen zu veranlassen, über deren Konsequenzen er sich nicht im Klaren ist. Im Allgemeinen ist dies das Öffnen der ihm zugesandten Schadsoftware. Allerdings gibt es auch Würmer, welche nicht von der Mitwirkung des Opfers abhängig sind. Sie nutzen Techniken, die ihre Aktivierung auf dem Rechner des Opfers automatisch veranlassen. Da dies grundsätzlich nicht möglich sein sollte, fällt dies unter die Kategorie „Ausnutzen von Sicherheitslücken“.

Der Wurm MS Blaster nutzt einen Remote-Exploit in der RPC/DCOM-Schnittstelle von Windows 2000 und XP. Das bedeutet, er nutzt eine Sicherheitslücke aus (engl. „to exploit“), um Rechner über Netzwerke zu infizieren. Nach einer Infektion beginnt er, wahllos Netze (also z. B. das Internet) nach weiteren Rechnern mit dieser Sicherheitslücke abzusuchen, um sie unverzüglich ebenfalls zu infizieren (siehe auch: Geschichte der Computerwürmer).

Neben Sicherheitslücken des Betriebssystems können auch Sicherheitslücken in Anwendungssoftware Einfallstore für Würmer bieten. Eine Reihe von Würmern nutzt einen Fehler in der JavaScript-Implementierung des bekannten E-Mail-Programms Microsoft Outlook Express. Die Anlagen von HTML-E-Mails, welche mit speziellem Javascript-Code ausgestattet waren, wurden von Outlook Express ohne Zutun des Benutzers geöffnet und somit der Rechner infiziert. Allein das Betrachten des E-Mail-Textes startete also—ohne weiteres Zutun des Anwenders—die Schadsoftware. Der Fehler lag in der Bibliotheksdatei mshtml.dll, die Outlook (und auch andere Programme) zum Anzeigen von HTML-E-Mails benutzt. Für diese Sicherheitslücke hat Microsoft in der Zwischenzeit ein Update bereitgestellt. Zum Ausführen von Wurm-Anhängen enthält eine E-Mail HTML-Code, der ein Fenster im Fenster (iframe) erzeugt, in dem der Datei-Anhang mithilfe eines Scripts (z. B. JScript oder VBScript) gestartet wird. Der Wurm verschickt sich selbst, wobei aus dem Adressbuch des Benutzers wahllos Empfänger- und Absenderadressen entnommen werden. Es ist daher sinnlos, beim Empfang einer verseuchten E-Mail eine Warnung an die Absenderadresse zu schicken, da es höchstwahrscheinlich den Falschen trifft. Eine ähnliche Sicherheitslücke existierte auch im E-Mail-Programm „Eudora“.

Auch gibt es Würmer, welche es nicht (hauptsächlich) auf die Rechner von Anwendern absehen, sondern auf Servercomputer. So spezialisierte sich in der Vergangenheit eine ganze Reihe von Würmern auf Sicherheitslücken im Internet Information Services (weit verbreitete Webserver-Software für Windows). Nach der Infektion begannen die Server selbstständig nach weiteren Servern zu suchen, um auch diese zu infizieren.

Instant Messaging-Würmer

Instant-Messaging-Programme sind so genannte Chat-Programme wie zum Beispiel ICQ oder MSN Messenger. Ein Wurm dieser Art verbreitet sich, indem er allen Kontakten einen Link zu einer Seite schickt, welche den Wurm enthält. Klickt der Benutzer auf den Link, wird der Wurm auf dem Computer installiert und ausgeführt. Nun sendet der Wurm auch von diesem Computer den Link an alle eingetragenen Kontakte weiter. Durch Reverse Engineering kann die Funktionsweise von IM-Programme ermittelt werden, wodurch in weiterer Folge auch Computerwürmer geschrieben werden, die sich an sämtliche Kontakte des Opfers als Link zu einer infizierten Datei schicken.

IRC-Würmer

Eine durch einen IRC-Wurm modifizierte script.ini-Datei des Programms mIRC
Eine durch einen IRC-Wurm modifizierte script.ini-Datei des Programms mIRC

IRC-Clients sind Programme, mit denen jeder beliebige Benutzer mit anderen Benutzern virtuell in Echtzeit Textnachrichten im Internet Relay Chat austauschen kann. Die meisten IRC-Programme benutzen, um sich am IRC-Server anmelden zu können, ein spezielles Script, das beim Starten des Programms ausgeführt wird. Dieses Script beinhaltet Befehle, die das IRC-Programm ausführt. Diese Befehle sind zum Beispiel das Einloggen in einen Channel, das Schreiben von Meldungen, aber auch das Versenden von Dateien. Ein IRC-Wurm, der einen Computer infiziert hat, sucht nach IRC-Programmen, die er benutzen kann, um sich weiterzuverbreiten. Wenn er ein solches Programm gefunden hat, modifiziert er das Script, welches automatisch geladen wird. Beim nächsten Start des IRC-Programms wird der Wurm selbstständig an alle Benutzer in einem Chatraum verschickt. Wenn ein Benutzer den Download akzeptiert und öffnet, wiederholt sich das Ganze. Derzeit gibt es für fünf IRC-Programme IRC-Würmer (mIRC, pIRCh, vIRC, dIRC und Xircon).

P2P-Würmer

Peer-to-Peer ist eine Netzwerkform, die ohne Server Rechner im Netz verbindet, d. h. eine Direktverbindung zwischen den einzelnen Benutzern herstellt. Die meisten im Internet erhältlichen Tauschbörsen wie Kazaa oder Morpheus sind Peer-to-Peer-Netzwerke. Es gibt im grossen und Ganzen drei Möglichkeiten, wie sich ein Wurm in einer Tauschbörse verbreitet. Die erste Möglichkeit ist, dass sich der Wurm in den freigegebenen Ordner kopiert, von dem andere Benutzer Dateien downloaden können. Für diese Art von Würmern ist die richtige Namensgebung sehr wichtig, da mehr Benutzer eine Datei mit einem interessanten Namen downloaden als eine Datei mit einem zufällig erstellten Namen. Darum gibt es Würmer, die ihre Namen im Internet auf speziellen Seiten suchen, um so glaubwürdig wie möglich zu sein. Diese Art der Verbreitung in Tauschbörsen ist sehr einfach, aber nicht besonders effektiv. Bei der zweiten Möglichkeit der Verbreitung bietet der Wurm über ein Peer-to-Peer-Protokoll bei jeder Suchabfrage den anderen Benutzern des P2P-Netzwerkes eine infizierte Datei als Suchergebnis an. Der Benutzer kopiert dann den Wurm als vermeintlich gesuchte Datei auf seinen Computer und infiziert ihn beim Öffnen. Diese Art der Verbreitung ist sehr effektiv, aber schwierig zu programmieren und deshalb kaum verbreitet. Die dritte und gefährlichste Methode, der sich ein Wurm bedienen kann, um sich in einem P2P-Netzwerk zu verbreiten ist ein automatisierter Angriff des Wurms auf alle "Nachbarn" im P2P-Netzwerk. Diese Methode ist deshalb so gefährlich, weil zum einen keine Aktion seitens des Benutzers (wie das Herunterladen einer Datei und deren Ausführen auf dem Rechner) benötigt wird. Der Wurm greift automatisiert eine Sicherheitslücke im P2P-Programm an und infiziert dieses dadurch. Zum anderen ist der Wurm in der Lage, sich rasend schnell zu verbreiten, da er bei jedem infizierten Client eine Liste seiner Nachbarn im P2P-Netzwerk vorfindet, die er dann angreifen kann. Dadurch kann der Wurm auch einer Entdeckung vorbeugen, da "normale" Würmer eine grosse Anzahl an Verbindungen zu anderen Systemen im Internet aufbauen, was als anormales Verhalten angesehen wird. Ein P2P-Netzwerk basiert aber darauf, dass jeder Nutzer viele Verbindungen zu anderen Teilnehmern aufbaut, was die Erkennung des Wurms anhand des von ihm verursachten Traffics deutlich erschwert.

Handywürmer

Codeteil von Caribe – dem ersten Handywurm – verbreitet sich via Bluetooth
Codeteil von Caribe – dem ersten Handywurm – verbreitet sich via Bluetooth

Handywürmer sind die neueste Art von Würmern. Zuerst aufgetreten sind sie im Juni 2004. Die derzeitigen Würmer verbreiten sich meist über Bluetooth, eine kabellose Verbindung zwischen Handys, Drucker, Scanner oder sogar Bordcomputern von Autos mit einer Reichweite von ungefähr zehn Metern. Handywürmer greifen das Betriebssystem Symbian OS an und versuchen, sich selbst mit Bluetooth an alle erreichbaren Bluetooth-Empfänger zu schicken. Gleich wie im Computersektor – so vermuten Antivirenhersteller – werden im Handybereich immer mehr Viren und Würmer auftreten. Seit dem Jahr 2005 ist es auch möglich, dass sich Handywürmer durch MMS verbreiten. Die derzeitigen Handywürmer sind noch zu trivial, um als wirkliche Gefahr zu gelten. Auch ist noch kein Handywurm „in-the-wild“ (offiziell verbreitet) gesichtet worden. Sicherheitsexperten befürchten, dass die Entwicklung von Handywürmern zukünftig das gleiche Ausmaß annimmt wie die Entwicklung der bereits lange existierenden Computerwürmer. Ein wirklicher Schutz gegen Handywürmer wird zurzeit erst entwickelt. Zwar gibt es schon ein Antiviren-Programm für Symbian OS, jedoch ist dieses noch bei keinem Handy vorinstalliert enthalten. Eine weitere Schutzmöglichkeit – ein betreiber-basiertes Programm, das alle Nachrichten durchsucht – ist derzeit noch nicht möglich, da die Verzögerung bis zum Empfangen einer Nachricht zu groß werden würde. Antivirenhersteller empfehlen ihren Kunden daher, Bluetooth standardmäßig zu deaktivieren.

Schutz

Wenn man sich vor Würmern schützen möchte, muss man sich erst fragen, vor welchen Angriffen genau man sich denn schützen möchte. Nur vor dem konkreten Einzelfall oder Klassen von konkreten Einzelfällen kann man sich schützen. Man muss also die konkreten Verbreitungs- bzw. Angriffsmethoden kennen, verstanden haben und dazu passende Schutzmechanismen planen und umsetzen. „Sich unwohl fühlen“ oder „sich besser fühlen“ mit bestimmten Maßnahmen sind keine Kriterien für einen vernünftigen Schutz. Auch blind Schutz-Software zu installieren ist nicht zielführend.

Sicherheitslücken in Anwendungen

Heutige Anwendungen sind so komplex, dass nicht mehr garantiert werden kann, dass sie fehlerfrei sind. Man geht in der Regel sogar davon aus, dass zahlreiche Fehler enthalten sind. Einige dieser Fehler lassen sich dazu benutzen, Programm-Code auszuführen, was aber natürlich durch den Programmierer der fehlerhaften Anwendung niemals vorgesehen war. Geschickt geformte Daten können so plötzlich einen MP3-Player z. B. veranlassen, Dateien zu löschen.

Schützen kann man sich dagegen durch viel Aufmerksamkeit: Allgemein gilt, dass Software (Betriebssystem, E-Mail-Software) immer auf dem neuesten stabilen Stand sein sollte. Viele Würmer nutzen Sicherheitslücken veralteter Softwareversionen, um sich zu verbreiten. Rechner, deren Software auf dem neuesten Stand ist und deren bekannte Sicherheitslücken beseitigt sind, sind deutlich schwerer zu infizieren. Außerdem gilt es sich zu informieren, ob in den verwendeten Anwendungen und im Betriebssystem Sicherheitslücken existieren und wie man diese Lücken schließen kann. Bei oft auffälligen Anwendungen ist zu überlegen, ob man diese Anwendung wirklich weiter einsetzen möchte.

Unterscheiden muss man noch Client-Anwendungen bzw. nicht netzwerkfähige Anwendungen und Server-Anwendungen. Die erste Klasse von Anwendungen muss vom Benutzer des Computers dazu veranlasst werden, Daten zu verarbeiten. Ein E-Mail-Programm beispielsweise holt nur vom Benutzer initiiert E-Mails ab, über das Netzwerk lässt sich dieser Vorgang nicht steuern. Gegen Lücken in solchen Anwendungen helfen keine Paketfilter und auch keine Personal-Firewalls. Entweder man verwendet eine solche Anwendung einfach nicht oder man versucht, durch Patches diese Lücken zu schließen.

Die zweite Klasse von Anwendungen, Server-Anwendungen oder auch Dienste, warten auf Anfragen über das Netzwerk: jeder Fremde kann Daten an diese Anwendungen per Netzwerk/Internet schicken. Somit steigt das Risiko, infiziert zu werden, wenn Sicherheitslücken in solchen Anwendungen existieren. Windows beispielsweise startet eine Vielzahl von zumeist unnötigen Server-Anwendungen schon beim Systemstart. Mehrere Würmer hatten so bereits leichtes Spiel, als Sicherheitslücken in diesen Server-Anwendungen bekannt wurden – notwendig ist diese sicherheitskritische Standard-Konfiguration von Windows nicht.

Schützen kann man sich vor Sicherheitslücken in Server-Anwendungen durch rechtzeitiges Einspielen von Patches, durch Beenden oder Umkonfiguration der Server-Anwendung, so dass keine Anfragen mehr über das Netzwerk angenommen werden, oder durch das Dazwischenschalten von Paketfiltern, die riskante Anfragen an Server-Anwendungen ausfiltern.

Schutz vor Social-Engineering

Technisch kann man sich nicht vor Social-Engineering schützen, man ist darauf angewiesen, seinen Verstand zu gebrauchen und stets kritisch zu sein.

Gegen die Verbreitungsform E-Mail ist der sicherste Schutz der verantwortungsvolle Umgang mit E-Mail und deren Anhängen. Es sollten keine unverlangten Anhänge geöffnet werden. Auch bekannte Absender sind keine Gewährleistung der Echtheit, da zum einen die Absender meist gefälscht sind und zum anderen bekannte Absender ebenfalls Opfer von Würmern werden können. Im Zweifelsfall sollte man beim Absender nachfragen. Vor dem Öffnen zugesandter Dateien ist eine vorherige Prüfung mit der Antivirensoftware niemals falsch.

Schutz durch Software

Virenscanner

Online-Scanner findet Wurm.Santy – ein durch eine Schwachstelle in phpBB-Foren sehr stark verbreiteter Wurm
Online-Scanner findet Wurm.Santy – ein durch eine Schwachstelle in phpBB-Foren sehr stark verbreiteter Wurm

Ein Virenscanner kann im Einzelfall Infektionen verhindern, wenn vor dem Ausführen einer Datei, die einen Wurm enthält, der Virenscanner die Datei prüft, den Wurm erkennt und zugleich das Ausführen verhindert oder schon im Vorfeld bei Routine-Scans diese Datei entdeckt und der Anwender darauf aufmerksam gemacht wird. Ein solches Szenario ist beim Social-Engineering denkbar, wo dem Anwender nicht klar ist, dass er eine Datei ausführt oder über die Eigenschaften des Programms getäuscht wird. Da der Virenscanner aber den Wurm möglicherweise nicht kennt, ist dieses Szenario durch einen Virenscanner nicht abgedeckt. Zahlreiche andere Infektionsmöglichkeiten können vom Virenscanner gar nicht verhindert werden, beispielsweise die Infektion über eine laufende Server-Anwendung.

Die Bereinigung eines infizierten Systems ist durch einen Virenscanner nicht zuverlässig möglich. Hersteller von Virenscannern empfehlen das Neuaufsetzen des infizierten Systems, siehe auch Kompromittierung.

Personal-Firewalls

Es kann hilfreich sein, eine Personal-Firewall-Software zu verwenden bzw. zu aktivieren, wenn sie im Lieferumfang des Betriebssystems enthalten ist (aktuelle Linux-Distributionen, Windows XP Service Pack 2). Diese kann, wenn sie richtig konfiguriert ist, Anfragen über das Netzwerk an laufende Server-Anwendungen ausfiltern und somit das Ausnutzen von auch noch unbekannten Sicherheitslücken verhindern. Sinnvoll ist diese Maßnahme vor allem, wenn es nicht möglich ist, die Server-Anwendung zu beenden oder so zu konfigurieren, dass Anfragen nicht mehr angenommen werden oder aber wenn die Gefahr besteht, dass eine Server-Anwendung ungewollt gestartet wird. Allerdings können diese Personal-Firewalls selbst Sicherheitslücken enthalten, durch die Angreifer in ein System eindringen können.

Paketfilter

Die meisten Personal-Firewalls haben auch einen Paketfilter integriert. Ein Paketfilter ist eine Anwendung, die Netzwerkkommunikation nach bestimmten technischen Kriterien filtern kann. Diese Kriterien kann man durch die Konfiguration des Paketfilters festlegen. Um sich vor Angriffen auf Server-Anwendungen zu schützen, kann man einen solchen Paketfilter einsetzen, indem man Anfragen an diese Server-Anwendung ausfiltert, wenn Gründe dagegen sprechen, die Server-Anwendung zu beenden, oder die Gefahr besteht, dass eine Server-Anwendung ungewollt gestartet wird.

Rechtetrennung des Betriebssystems

Ausgereifte Betriebssysteme (Mac OS, Linux, Windows ab Version NT (beschränkt)) bieten von Hause aus Sicherheitsmechanismen, welche eine Infektion deutlich erschweren bzw. unmöglich machen können. Trotzdem arbeiten beispielsweise viele Windows-Benutzer stets mit Administratorrechten. In diesem Betriebszustand sind viele Sicherheitsschranken des Betriebssystems außer Kraft. Ein versehentlich oder automatisch gestartetes Wurmprogramm (das gleiche gilt für Viren) kann sich ungehindert die Kontrolle über viele Systemfunktionen aneignen. Sinnvoller ist es, sich zwei Benutzerkonten einzurichten: eines für die routinemäßige Arbeit mit stark eingeschränkten Benutzerrechten, insbesondere eingeschränkten Rechten zur Softwareinstallation; das andere mit Administratorrechten allein für Installations- und Konfigurationsarbeiten. Leider funktionieren diverse Programme unter Windows nicht oder nur unzuverlässig mit eingeschränkten Benutzerrechten. Für alle Betriebssysteme gilt aber, dass das Arbeiten mit eingeschränkten Benutzerrechten Computerwürmer nicht in jedem Fall verhindert. Grund dafür ist, dass jeder Benutzer zum Beispiel E-Mails verschicken kann.

Wirtschaftlicher Schaden

Der finanzielle Schaden, den Computerwürmer anrichten können, ist viel höher als jener bei Computerviren. Grund dafür ist der enorme Verbrauch an Netzwerkressourcen. Dieser Verbrauch kann zu einem Ausfall von Servern wegen Überlastung führen. Wenn ein Server ausfällt, führt das in Betrieben zu einem Arbeitsausfall. Anfang Mai 2004 erlitt eine Anzeigetafel des Flughafens Wien-Schwechat durch den Wurm „Sasser“ kurzfristig einen Totalausfall. Auswirkungen hatte dies aber nur auf das interne Informationssystem und konnte durch einen Neustart des betroffenen Computers behoben werden. Es entstanden keine Schäden, nicht einmal eine Verspätung. SQL Slammer wiederum belastete stellenweise die Internet-Infrastruktur derart, dass vielerorts die Verbindungen komplett zusammenbrachen.

Einen weiteren wirtschaftlichen Schaden können in Zukunft Handywürmer nach sich ziehen, die sich über MMS verbreiten. Wenn ein solcher Wurm dutzende kostenpflichtige MMS verschickt, ist mit einem hohen finanziellen Verlust zu rechnen.

Weitere finanzielle Schäden können durch so genannte Distributed-Denial-of-Service-Attacken entstehen. Wie am Beispiel W32.Blaster ersichtlich ist, können dadurch sogar große Unternehmen wie SCO oder Microsoft in Bedrängnis gebracht werden.

Kopfgeld auf Wurmautoren

Im November 2003 gründete Microsoft ein so genanntes Anti-Virus-Reward-Program, um weltweit die Jagd auf Verantwortliche für die Verbreitung von Würmern und Viren zu unterstützen. Bei der Gründung erhielt die Initiative ein Startkapital von 5 Millionen US-Dollar, wovon bereits ein Teil der Summe für die Ergreifung und Verurteilung aktueller Wurm-Verbreiter zur Belohnung ausgesetzt wurde. Damit will Microsoft die zuständigen Ermittlungsbehörden bei der Fahndung nach den Verursachern unterstützen. Microsoft arbeitet mit Interpol, dem FBI, dem Secret Service und dem „Internet Fraud Complaint Center“ zusammen, denn „boshafte Würmer und Viren sind kriminelle Attacken auf jedermann, der das Internet benutzt“.

Derzeitig sind die Autoren der Würmer W32.Blaster, Sasser, Netsky und Sobig auf der „Wanted“-Liste. Im Mai 2004 hatte dieses Programm seinen ersten Erfolg, als der Wurmautor von Sasser und Netsky verhaftet und verurteilt wurde. Der zu diesem Zeitpunkt 18-jährige Schüler aus Waffensen im Kreis Rotenburg/Wümme wurde von seinen Freunden wegen der ausgesetzten Belohnung verraten.[1]

Geschichte

Anfänge

Das Konzept eines Computerwurms oder Netzwerkwurms wurde schon 1975 im Science-Fiction-Buch The Shockwave Rider (dt. Der Schockwellenreiter) von John Brunner erwähnt. Aber erst im Jahr 1988 wurde von Robert Morris der erste wirkliche Computerwurm programmiert. Der so genannte Morris-Wurm verbreitete sich unter Ausnutzung von einigen Unix-Diensten, wie z. B. sendmail, finger oder rexec sowie der r-Protokolle. Zwar hatte der Wurm keine direkte Schadensroutine, trotzdem legte er wegen seiner aggressiven Weiterverbreitung ca. 6000 Rechner lahm – das entsprach zu dieser Zeit ungefähr 10 % des weltweiten Netzes.

Die Entwicklung von Computerwürmern blieb bis Mitte der 90er Jahre beinahe stehen. Grund dafür war, dass das Internet noch nicht die Ausdehnung besaß, die es heute hat. Bis dahin konnten sich Computerviren viel schneller verbreiten.

Mitte der 90er bis 2000

In diesem Zeitraum entwickelten sich die Computerwürmer wieder. Erst im Jahr 1997 läutete der erste E-Mail-Wurm ein neues Zeitalter für Netzwerk-Würmer ein. Er ist in der Makrosprache VBA für Microsoft Word 6/7 geschrieben und wird ShareFun genannt.

Im selben Jahr wurde auch noch der erste Wurm entdeckt, der sich über IRC verbreiten kann. Er benutzte dabei die script.ini-Datei des Programms mIRC.

Ein weiteres prägendes Ereignis in diesem Jahr war die Entdeckung des Wurms Homer, der als erster für seine Verbreitung das Transferprotokoll FTP benutzte. Ab diesem Zeitpunkt wurde klar, dass auch Netzwerkprotokolle von Würmern ausgenutzt werden können.

Das Jahr 1999 war für Würmer sehr entscheidend. Einerseits verbreitete sich über Outlook der E-Mail-Wurm Melissa weltweit und sorgte für große Aufmerksamkeit der Medien. Andererseits wurden erstmals auch komplexe Würmer wie Toadie (der sowohl DOS- als auch Windows-Dateien infiziert und sich über IRC und E-Mail verbreitete) und W32.Babylonia (der sich als erste Malware selbst updaten konnte) entwickelt.

Im Jahr 2000 geriet ein Wurm besonders ins öffentliche Bewusstsein: Mit seinem massiven Auftreten inspirierte der I-love-you-E-Mail-Wurm viele Nachahmer.

2001 bis heute

Eine wichtige Entwicklung im Jahr 2001 war das Auftreten der ersten Würmer mit einer eigenen SMTP-Engine. Ab diesem Zeitpunkt waren Würmer nicht mehr auf Microsoft Outlook (Express) angewiesen. Auch wurden die ersten Würmer entdeckt, die sich via ICQ oder Peer-to-Peer-Netzwerken verbreiten konnten.

Aber die wichtigste Erneuerung – oder Wiederentdeckung seit dem Morris-Wurm aus dem Jahr 1988 – war das Ausnutzen von Sicherheitslöchern oder Softwareschwachstellen in Programmen. So erreichte der Wurm Code Red im Jahr 2001 eine große Verbreitung, da er eine Lücke in Microsofts Internet Information Services ausnutzt.

Durch das Ausnutzen von Schwachstellen konnten nun auch die ersten dateilosen Würmer in Erscheinung treten. Sie verbreiteten sich durch Sicherheitslücken und blieben nur im RAM, nisteten sich also nicht auf die Festplatte ein.

Im Jahr 2002 wurde mit dem Wurm Slapper die bis zurzeit am weitesten verbreitete Malware für das Betriebssystem Linux geschrieben.

Das Ausnutzen von Sicherheitslücken hielt auch in den Jahren 2003 und 2004 an. Der Wurm SQL Slammer verbreitete sich sehr stark durch Ausnutzen einer Sicherheitslücke im Microsoft SQL Server. Bis dahin wurden Privat-Anwender von dieser Art von Würmern verschont. Das änderte sich im August 2003, als der Wurm W32.Blaster eine Sicherheitslücke im Microsoft-Windows-Betriebssystem ausnutzte und mit einer gewaltigen Verbreitungswelle Schlagzeilen machte. Im Jahr 2004 nutzte der Wurm Sasser ein ähnliches Verfahren und griff damit auch wieder Privatanwender an.

Im Jahr 2004 wurde der Wurm Mydoom das erste Mal gesichtet. Die schnelle Verbreitung des Wurms führte für ein paar Stunden zu einer durchschnittlich 10-prozentigen Verlangsamung des Internetverkehrs und einer durchschnittlich erhöhten Ladezeit der Webseiten von 50 Prozent.

In den Jahren 2004 und 2005 wurden die ersten Computerwürmer für Handys entdeckt, die sich auf Smartphones mit dem Betriebssystem Symbian OS verbreiten. SymbOS.Caribe war der erste Handywurm, der sich mit der Bluetooth-Netzwerktechnik weiterverbreitet. Im Januar 2005 erschien mit SymbOS.Commwarrior dann der erste Wurm, der sich selbst als MMS verschicken kann. Die Verbreitung von Handywürmern wird mittlerweile von mehreren Antivirenprogramm-Herstellern gemeldet. Vor allem bei großen Veranstaltungen gibt es immer wieder Masseninfektionen durch Bluetooth-Würmer.

Der erste Wurm für Apples Mac OS X Betriebssystem wurde am 13. Februar 2006 im Forum einer us-amerikanischen Gerüchteseite veröffentlicht. Bis dahin galt das Betriebssystem der Macintosh Computer als gänzlich von Viren und Würmern unbelastet. Bisher ist sich die Applegemeinde noch nicht sicher, ob es sich bei diesem Wurm tatsächlich um einen Wurm (Art der Verbreitung) oder einen Virus (Infizierung von ausführbarem Programmcode und verstecken darin) handelt. Auch die Benennung des Wurmes ist bisher noch nicht eindeutig. Die Firma Sophos benannte ihn OSX/Leap-A (erster veröffentlichter Mac OS X Wurm), Andrew Welch (verfasste die erste technische Beschreibung der „Schadensroutinen“) nannte ihn OSX/Oomp-A (nach der Überprüfungsroutine die den Wurm vor der Reinfektion schützen soll). [2]

Im März 2006 wurde von einer niederländischen Forschergruppe rund um den Universitätsprofessor Andrew Tanenbaum der erste Computerwurm für RFID-Funkchips veröffentlicht. Durch eine SQL-Injektion im Datenbankprogramm Oracle kann sich das 127 Byte große Programm selbstständig verbreiten.

Hacker (Computersicherheit)

http://de.wikipedia.org/wiki/Hacker_%28Computersicherheit%29

Dieser Artikel basiert auf dem Artikel aus der freien Enzyklopädie Wikipedia und steht unter der GNU-Lizenz für freie Dokumentation. In der Wikipedia ist eine Liste der Autoren verfügbar.



Hacker sind innerhalb der Computersicherheit Spezialisten, die mit ihrem Fachwissen Sicherheitslücken suchen, ausnutzen und damit (manchmal in Verbindung mit zusätzlichen Taktiken) unter Umgehung der Sicherheitsvorkehrungen Zugriff auf ein Rechnersystem erlangen oder Zugang zu einer sonst geschützten Funktion eines Computerprogramms erhalten bzw. dabei helfen, solche Schwachstellen zu erkennen und zu beseitigen.

Abhängig von ihrer Motivation werden sie manchmal in White-Hat-, Grey-Hat- und Black-Hat-Hacker unterteilt, wobei insbesondere die Black-Hat-Hacker auch als Cracker bezeichnet werden. In der Hackerkultur existieren weitere Klassifizierungen, wie beispielsweise Hacktivist als Bezeichnung für jemanden, der seine Fähigkeiten zu politischen Zwecken einsetzt.

Inhaltsverzeichnis

Verbergen

Die anhaltende Kontroverse zum Hackerbegriff innerhalb der Computersicherheit

Die Verwendung des Begriffs „Hacker“ in Bezug auf jemand, der Sicherheitsbarrieren umgeht, ist innerhalb der akademischen Hackerkultur sehr umstritten. Das Jargon File vertritt den Standpunkt, dass er für diese Personengruppe unabhängig von ihrer Motivation zu missbilligen ist und schlägt stattdessen Cracker vor.

Dagegen erhebt besonders der Teil, der sich als gesetzestreu versteht, weiterhin einen Mitverwendungsanspruch auf den Hackerbegriff und akzeptiert die Bezeichnung als Cracker nur für die dunkler gefärbten Richtungen. Auch von ihnen wird manchmal eine deutliche Abgrenzung zwischen Hacker und Cracker gefordert, um sich von den destruktiven Elementen aus der Szene zu distanzieren. Cracker möchten sich jedoch ebenfalls als Hacker bezeichnet wissen.

Dazu kommt noch eine dritte Gruppe, die sogenannten Skriptkiddies, die ohne Kenntnis darüber agieren, wie die verwendete Schwachstelle funktioniert. Da die beim Hackerbegriff notwendigerweise tieferen Grundlagenkenntnisse der Materie bei einem Skriptkiddie nicht vorhanden sind, kann es Sicherheitsbarrieren ausschließlich mit Hilfe eines Skripts in Form einer schrittweisen Anleitung und vorgefertigter, stark automatisierter Programme überwinden, doch fehlt ihm die Fähigkeit, im Problemfall zu improvisieren. Dennoch möchten auch sie als Hacker verstanden werden und sind oft durch den Wunsch des aktiven Erlebens des Hackermythos motiviert.

„Black-“, „White-“ und „Grey-Hats“

In der IT-Security-Szene wird manchmal eine Unterteilung der Hacker in „Black-“, „White-“ und „Grey-Hats“ benutzt, die auf der Einteilung aus alten Western-Filmen basiert, welche „Cowboys“ auf Grund ihrer Hutfarbe als „böse“ (schwarz), „gut“ (weiß) oder „neutral“ (grau) charakterisiert:

  • Black-Hats („Schwarz-Hüte“) handeln mit krimineller Energie und beabsichtigen beispielsweise, das Zielsystem zu beschädigen oder Daten zu stehlen. Zu dieser Untergruppe zählt man auch die Cyberpunker, die als wahre Meister ihres Fachs gelten, aber nur nach ihren eigenen Regeln leben.
  • Ein White-Hat („Weiß-Hut“) verwendet sein Wissen innerhalb sowohl der Gesetze als auch der Hackerethik, beispielsweise indem er professionell Penetrationstests ausführt.
  • Grey-Hats („Grau-Hüte“) verstoßen möglicherweise gegen Gesetze oder restriktive Auslegungen der Hackerethik, allerdings zum Erreichen eines höheren Ziels. Beispielsweise durch die Veröffentlichung von Sicherheitslücken, um ein Leugnen unmöglich zu machen und die Verantwortlichen dazu zu zwingen, diese zu beheben. Grey-Hats zeichnen sich dadurch aus, dass sie nicht eindeutig als „gut“ oder „böse“ einzustufen sind.

Menschen passen allerdings selten eindeutig unter nur einen der Hüte. In der Praxis nimmt diese Unterteilung daher nur wenig Bezug auf real existierende Personen und steht vielmehr als Begrifflichkeit für eine bestimmte Art des Hackens.

populäre Techniken

  • Social Engineering – Beschreibt eine Technik, die es erlaubt, über gesellschaftliche Kontakte an die vom Hacker begehrten Informationen zu gelangen.
  • Rootkits – Die Rootkit-Technik dient dazu, bestimmte Objekte und Aktivitäten vor den Augen des Anwenders zu verbergen. So werden sie meist nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert, um geheime Prozesse und Dateien zu verstecken sowie zukünftige Logins des Eindringlings zu verbergen.
  • Trojanisches Pferd – Als Trojanisches Pferd bezeichnet man ein Programm, welches als nützliche Anwendung getarnt ist, im Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erfüllt.
  • Backdoor – Dieser Begriff bezeichnet einen (oft vom Autor eingebauten) Teil eines Computerprogramms, der es Benutzern ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer oder einer sonst geschützten Funktion eines Computerprogramms zu erlangen. Als Beispiel sei das Universalpasswort für ein BIOS genannt. Der Begriff findet aber auch Anwendung als Bezeichnung für z.B. durch Trojaner nachträglich installierte Programmpakete, die Benutzern über das Internet Zugriff auf das Computersystem gewähren.
  • Vulnerability Scanner – Diese Technik dient der automatischen Analyse von Computersystemen. Dabei suchen Hilfsprogramme gezielt nach Sicherheitslücken in einer Anwendung, einem Computer oder einem Netzwerk und können dabei helfen, Anfälligkeiten zu erkennen.
  • Exploit – Ein Exploit ist ein Computerprogramm oder Skript, welches spezifische Schwächen beziehungsweise Fehlfunktionen eines anderen Computerprogramms ausnutzt, um erweiterte Privilegien zu erlangen oder um eine DoS-Attacke auszuführen.
  • Sniffer – Ein Sniffer realisiert die Technik, den Datenverkehr eines Netzwerks oder eines am Rechner angeschlossenen Gerätes zu empfangen, aufzuzeichnen, darzustellen und ggf. auszuwerten. Beispielsweise kann ein Netzwerk-Sniffer dafür genutzt werden, um Passworte auszuspionieren und übertragende Daten einzusehen.
  • Virus – Ein Computervirus ist ein Computerprogramm oder Skript, welches die spezielle Eigenschaft hat, sich selbst zu reproduzieren, sobald es einmal ausgeführt wird. Dadurch gelangt der Virus auf andere Datenträger, wie z.B. Netzwerklaufwerke und Wechselmedien, meist indem er seinen Code an andere ausführbare Dateien anhängt. Durch Interaktion des Benutzers, der ein infiziertes Wechselmedium an ein anderes System anschließt oder eine infizierte Datei startet, gelangt der Virencode auch dort zur Ausführung, wodurch weitere Systeme von dem Virus infiziert werden. Neben der geheimen Verbreitung kann die Schadfunktion des Virus vom Anwender nicht kontrollierbare Veränderungen am System vornehmen. Auf diese Weise ist es möglich, zahlreiche Rechner eines Firmennetzwerks oder gar Rechner aus dem Internet halb automatisiert zu kompromittieren.
  • Wurm – Im Gegensatz zum Virus benötigt der Computerwurm ein auf dem System bereits installiertes Hilfsprogramm, welches er dazu verwendet, um sich auf ein anderes System zu kopieren. Das könnte zum Beispiel ein bestimmtes E-Mail-Programm sein, welches der Wurm fernsteuert, um sich an alle dort eingetragenen Adressaten zu verteilen. Je nach Art des Hilfsprogramms kann sich der Wurmcode auf dem neu infizierten System manchmal sogar selbst ausführen, weshalb dann keine Interaktion mit dem Benutzer mehr notwendig ist, um sich von dort aus weiter zu verbreiten. Daher ist diese Methode sehr effizient. Auf Systemen, die nicht über das benötigte Hilfsprogramm verfügen, kann sich der Wurm allerdings nicht reproduzieren.

Geschichte der Hacker aus dem Bereich der Computersicherheit

1971 eröffnet John T. Draper, auch bekannt als „Captain Crunch“, durch seine Publikation eines Tonwahlsignals die Ära des kostenlosen Telefonierens, das sogenannte Phreaking. Dies stellt die erste markante Assoziation zwischen dem Begriff „Hacken“ und dem Überwinden von Sicherheitsbarrieren dar.

1973 bauen und verkaufen die Studenten Steve Wozniak und Steve Jobs, die späteren Gründer von Apple Computer, so genannte Blue Boxes, die auf der Technik von John T. Draper basierten und dem Käufer das illegale, kostenlose Telefonieren ermöglichten.

1981 wird der Chaos Computer Club (CCC) gegründet, ein deutscher Verein von und für Hacker, der im deutschen Raum hauptsächlich für die Belange im Bereich Datenschutz, Informationsfreiheit und Datensicherheit tätig ist und für ein Menschenrecht auf Kommunikation eintritt. Er wurde gegründet, um Hackern eine Plattform zu geben, so dass sie über Aktivitäten und entdeckte Sicherheitslücken berichten konnten, ohne Strafverfolgung befürchten zu müssen.

1982 bricht eine Gruppe von sechs Teenagern in etwa 60 Rechnersysteme von Institutionen ein, die sich von Laboratorien aus Los Alamos bis Manhattans Krebszentrum Sloan-Kettering erstrecken, bevor sie festgenommen werden. Die Hackergruppe nannte sich nach der Vorwahl ihres Ortes Milwaukee „The 414s“.

1983 erscheint der Film WarGames und führt in der breiten Öffentlichkeit zum Phänomen der Massenparanoia vor Hackern und ihren mutmaßlichen Fähigkeiten, durch Hacken eine nukleare Katastrophe herbeiführen zu können. Zeitgleich erhält der Geheimdienst Secret Service eine Abteilung für Kreditkarten- und Computerbetrug.

1984 startet der erste alljährliche Chaos Communication Congress, die älteste und größte internationale Hackerkonferenz in Europa. Im selben Jahr stellt der CCC mit dem BTX-Hack eine Schwachstelle im als sicher titulierten BTX-System der Bundespost unter Beweis. Ebenfalls 1984 gründet jemand, der sich Lex Luthor nennt, eine Hackergruppe namens „Legion of Doom“ (LoD/H), die später eine der bekanntesten Hackergruppen werden sollte und sich mit einer konkurrierenden Gruppe „Masters of Deception“ einen erbitterten Kampf lieferte. In den frühen 1990er Jahren wurden beide Hackergruppen in Zusammenarbeit zwischen dem Secret Service und dem FBI zerschlagen, wobei viele ihrer Mitglieder verhaftet wurden.

1985 wird Loyd Blankenship ein bekannter US-amerikanischer Hacker, der sich selbst „The Mentor“ nennt, verhaftet, woraufhin er ein noch heute oft zitiertes Schreiben mit dem Titel „Hacker’s Manifesto“ veröffentlicht, welches soziale Einblicke auf die Welt aus der Perspektive eines Hackers verschafft. Im selben Jahr beginnt eine Hannoversche Hackergruppe um Karl Koch und Markus Hess mit einer Reihe von Einbrüchen in verschiedene westliche Computersysteme, um die Daten an den russischen Geheimdienst (KGB) zu verkaufen. Die Hacks wurden u.a. durch einen Bug in der Emacs-Komponente movemail möglich. Erst im März 1989 gelingt es der Polizei und dem Bundesnachrichtendienst die Hackergruppe endgültig zu zerschlagen, wobei der KGB-Hack in der Öffentlichkeit auf sich aufmerksam macht, da er den ersten bekannten Cyberspionagefall darstellt.

1987 wird die Organisation „Computer Emergency Response Team“ (CERT) gegründet, welches sich durch öffentliche Mittel finanziert und möglichst zeitnah Warnungen vor Sicherheitslücken herausgibt. Im selben Jahr gelingt es norddeutschen Hackern, Zugriff auf die Systeme im von NASA und ESA betriebenen SPANet zu erhalten, was später als NASA-Hack bezeichnet wurde.

1988 schreibt Robert Tappan Morris aus Neugierde ein Programm, welches auf dem UNIX-System automatisiert nach bekannten Schwachstellen sucht. Es ist in der Lage, diese Schwachstellen zu gebrauchen, um sich auf andere Systeme zu kopieren und dort auszuführen. Als sein Versuch außer Kontrolle geriet, sieht sich die Computerwelt mit dem ersten Wurm konfrontiert, der sich über das ARPAnet (dem Vorgänger zum Internet) verbreitet und dank seiner permanent arbeitenden Verbreitungsroutine über 6000 vernetzte Computer der Regierung und Universitäten blockiert. Über ein unzureichend gesichertes Computersystem gelingt es im selben Jahr erstmals einem Eindringling, die First National Bank von Chicago um 70 Millionen US$ zu erleichtern. Wenig später wird der Hacker Kevin Mitnick, alias condor, verhaftet, weil er die E-Mail von Sicherheitsbeamten des MCI Communications und Digital Equipment Cororation (DEC) insgeheim überwachte. Acht Monate in Einzelhaft und weitere sechs Monate im Half Way House waren die Folge seiner Tat. Danach soll er, größtenteils mit Hilfe von Social Engineering, mehrfach in das Netzwerk des Pentagon eingedrungen sein. Auch legte man ihm den Einbruch in das System der NSA und das Eindringen in das NORAD-Netzwerk zur Last, wobei er selbst vor allem letzteres immer bestritten hat. Mehr als fünf Jahre lang galt er als die meistgesuchte Person in den USA, bis er 1995 erneut vom FBI verhaftet und zunächst zwei Jahre ohne Gerichtsverhandlung gefangen gehalten wurde. Ebenfalls im Jahr 1988 wird Kevin Poulsen beschuldigt, Telefonanlagen manipuliert zu haben. Zu einer erfolgreichen Anklage kommt es jedoch erst 1993, in der ihm und zwei seiner Freunde, Ronald Austin und Justin Peterson, vorgeworfen wird, zwischen 1990 und 1993 zahlreiche Radiogewinnspiele manipuliert zu haben. Das Trio erlangte Kontrolle über alle Telefonleitungen der Radiostation und stellte damit sicher, dass ausschließlich ihre eigenen Anrufe durchkamen, wodurch sie zwei Porsche, 20.000 US$ und einige Reisen gewannen. Kevin Poulsen verbrachte fünf Jahre seines Lebens im Gefängnis.

1990 – 1999: Das Aufkommen von Würmern und Viren nahm in dieser Zeit rapide zu. 1993 startet die erste DEF CON, eine alljährliche Hackerkonferenz, in Las Vegas. Mitte der 1990er Jahre berichtet der US-amerikanische Bundesrechnungshof, dass Hacker im Schnitt 250.000 mal pro Jahr versuchen, auf Dateien des Verteidigungsministeriums zuzugreifen. Nach deren Bericht waren etwa 65 Prozent der Versuche erfolgreich. 1997 dringt ein 15 Jahre alter kroatischer Jugendlicher in die Computer einer Luftwaffenbasis in Guam, USA, ein. Eine Gruppe von Hackern um Natasha Grigori, Gründerin von antichildporn.org, nutzen erstmals in der Hackergeschichte ihre Fertigkeiten, um die Verteiler von Kinderpornografie gezielt zu verfolgen und ihre Informationen an die Hüter der Gesetze weiterzugeben. 1998 werden zwei Hacker von einem Gericht in China zum Tode verurteilt. Ende der 1990er Jahre gibt es die ersten organisierten, politisch motivierten Hackerattacken in den USA.

2000 – 2005: Anfang 2000 werden DDoS-Attacken populär, eine Variante von DoS, welche automatisiert von mehreren Rechnern gleichzeitig ausgeführt wird. Politisch motivierte Hacker verunstalten Webseiten der indischen und israelischen Regierungen, um auf die Unterdrückung in Kaschmir und Palästina aufmerksam zu machen. Permanenten Hackerattacken ausgesetzt, unterbricht Microsoft seine Entwicklung und schickt erstmals über 8.000 Programmierer zu einer Schulung, die dazu dienen soll, programmiertechnische Schwachstellen künftig zu vermeiden.

Siehe auch

Hackermagazine

Seit den 80ern existieren eine Reihe von Untergrund-Magazinen, wie dem 2600 Magazin und dem Phrack-Magazin, mit denen sich Hacker selbst mit Informationen versorgten. Diese Entwicklung wurde von den Phreaks der frühen 70er Jahren angeschoben, die in illegalen Untergrund-Magazinen wie der TAP ihre Informationen weitergaben. Es gibt jedoch auch Magazine, welche völlig legal sind. Ein bekanntes Magazin ist z.B Die Datenschleuder (kurz: ds). Sie wird vom Chaos Computer Club quartalsweise herausgegeben und liegt auch in elektronischer Form zum Download vor.

Sicherheits-News von entwickler.de



Linktipps

Einkaufen

Internet-Einkaufszentrum

Computer, Elektronik

Freizeit, Sport, Fitness

Mobilfunk, Handy

Apple iPhone

Mobilfunk Handytarife

Fotografie

Filmen

Rund um's Auto

Mehr? Sieh selbst:

Verbraucherschutz

Verbrauchermagazin

Nachrichten

Stiftung Warentest

Ökotest

Verbraucherschutz-Ministerium

Wer ist unter uns?



Bücher




Software


Nutzen Sie die Vorteile beim Softwarekauf Über Amazon: Software wird von Kunden bewertet - günstiges Versandkostensystem - Amazon ist zuverlässig





Handy/Telefon


O2 Inklusiv Pakete Online

Empfehlung: Top-Services

Kredite und Finanzierung

Tagesgeld und Girokonten

Partnersuche

Reisen

Hotelsuche

Handytarif-Vergleich

Stromtarif-Vergleich

Gastarif-Vergleich

Internet Flatrate Vergleich

Versicherungsvergleich

Immobilien

Verbraucherschutz



TERRE DES LANGUES e.V. - 25 Jahre Erfahrung in Sprachreisen, Schuljahresaufenthalte, Highschool-Years und Gastfamilienaufenthalte


www.user-archiv.de (seit 1999)