Potenzielle Gefahrenquelle
Gefahren des zentralen Virenschutzes

Die nicht abebben wollende Flut von Viren und Würmern treibt die Nachfrage nach zentralen Sicherheits-Gateways. Allerdings bergen diese zentralen Schutzmaschinen auch Gefahren für die Infrastruktur.

hiz DÜSSELDORF. In einer Studie hat sich Alexander Gostev, Senior Viren Analytiker der Kaspersky Labs mit zentralen Virenschutz-Gateways auseinandergesetzt. Dabei werden alle Rechner und Server eines Firmennetzes zentral abgeschirmt. Diese Technik besticht durch eindeutige Vorteile, birgt allerdings auch Gefahren.

In jüngster Zeit nutzen Schädlinge zunehmend die PnP-Sicherheitslücke, also Schwachstellen bei der automatischen Konfiguration von Peripheriegeräten (Plug and Play) an einzelnen Rechnern. Das bestätigt die Meinung der Experten, dass Anti-Viren Lösungen, die in das Netzwerk integriert sind, eine der wichtigsten Methoden zur Vermeidung globaler Virenepidemien sind. Diese Lösungen sind in den Router integriert und können Viren oder gefährliche Datenpakete erkennen, noch bevor sie den Endanwender erreichen.

Hinzu kommt, dass Administratoren mit dem Test und der Installation der Aktualisierungen auf Servern und Arbeitsplatzrechnern nicht mehr nachkommen. Zu rasant ist das Tempo, mit dem immer weitere Sicherheitslücken bekannt werden. Die Hersteller liefern zwar kontinuierlich Aktualisierungen und Servicepacks. Diese können allerdings dazu führen, dass nach der Installation wichtige Applikationen nicht mehr funktionieren.

Gegenwärtig arbeiten beinahe alle großen Netzwerk-Ausrüster wie Cisco, Juniper, Sonic-Wall, Zyxel usw. mit Antivirus-Unternehmen zusammen und bieten ihren Kunden Hardware-Antivirus-Lösungen. Eine solche Schutzmethode ist zwar sehr effektiv, doch weisen IT-Security-Experten auf die potentielle Gefahr solcher Lösungen hin. Hebeln Viren oder Hacker den zentralen Schutzmechanismus aus, so leidet das ganze Netz unter der Verseuchung. Die Folgen von Attacken auf die Netzwerk-Infrastuktur könnten größere Probleme bereiten, als eine Wurm-Epidemie, die nur Windows-Rechner betrifft. Im schlimmsten Falle können sämtliche Internetnutzer plötzlich ohne Internet dastehen, unabhängig vom benutzten Betriebssystem.

Das Problem wird zusätzlich dadurch vergrößert, dass im vergangenen Jahr der Quellcode des Betriebssystems Cisco IOS in den Versionen 12.3 und 12.3t vollständig oder teilweise in die Öffentlichkeit gelangten. Das Internetwork (IOS) wird als Plattform für den überwiegenden Teil der Cisco-Netzwerkkomponenten, wie Switches und Router verwendet. Ursache für den Datenverlust war ein Hacker-Angriff am 13. Mai 2004. Er richtete sich gegen die interne Webseite des Unternehmens. Dabei gelangten die Angreifer in den Besitz einer 800 MB großen Archivdatei mit den Source-Codes. Prekär ist diese Tatsache, da laut Einschätzung von Analysten Cisco etwa 60 % des Router-Weltmarkts hält.

Auf diesen schmerzlichen Verlust folgte im Sommer 2005 ein regelrechter Skandal. Er hing mit den Forschungsergebnissen von Michael Linn, einem Mitarbeiter des IT-Sicherheits-Unternehmens ISS, zusammen. Im April 2005 entdeckte er in der Cisco-Software eine Sicherheitslücke, die eine DoS-Attacke und die Ausführung von Schadcode ermöglichte. Diese Sicherheitslücke war ein regelrechter Schlag gegen die gesamte Daten-Infrastruktur des Internets. Die Information wurde sofort an Cisco weitergeleitet, doch der Fehler war selbst drei Monaten später noch nicht bereinigt. Schlimm, wenn man bedenkt, dass sich der IOS-Quellcode wahrscheinlich in den Händen des Internet-Undergrounds befindet.

Wie schnell Hacker sich solcher bekannten Schwachstellen bedienen zeigt eine kleine Virenepidemie, die ISS selbst betraf. Im März 2005 wurde in Programmen des Unternehmens eine Sicherheitslücke entdeckt. Trotz der schnellen Behebung wurde eine Reihe von ISS-Kunden von dem Wurm Witty infiziert, der nur zwei Tage nach bekannt werden der Sicherheitslücke auftauchte.

Linn beschloss, die Informationen über die Sicherheitslücke auf einer der weltweit größten Sicherheitskonferenzen, der "BlackHat", publik zu machen. Alle Versuche von Cisco, Einzelheiten der Schwachstelle geheim zu halten waren vergeblich. Der Vortrag "The Holy Grail: Cisco IOS Shellcode and Exploitation Techniques" wurde veröffentlicht und die Information dadurch einem breiten Spezialistenkreis bekannt. Als Resultat verlor Linn seine Stellung und es läuft eine Klage von Cisco gegen ihn.

Der umstrittene Vortrag erregte viel Aufsehen und die Suche nach Sicherheitslücken im IOS wurde von anderen Tüftlern fortgesetzt. Seitdem tauchen immer wieder Gerüchte auf, dass unabhängige Experten bereits einen Konzept-IOS-Wurm erstellt hätten. Angeblich wurde dabei entdeckt, wie sich beliebiger Code ausführen lässt. Für diese Schädlinge gibt es allerdings noch keine Bestätigung. Trotzdem sind Experten der Ansicht, dass tatsächlich die Möglichkeit einer Attacke auf das Internet durch die Ausnutzung von Lücken in der Steuersoftware der Netzwerk-Hardware besteht.

Diese Gefahr hält sich allerdings in Grenzen, da nach Ansicht von Fachmann Gostev, nur wenige Programmierer über das erforderlichen Wissen und die notwendige Erfahrung zur Realisierung einer solchen Attacke verfügen. Zudem ist das Ziel der Cyberverbrecher in der Regel ein direkter finanzieller Vorteil und nicht einzelne Bereiche des Internet lahm zu legen. Dennoch besteht die Möglichkeit, dass ein Wurm für IOS im Internet auftaucht, wie schon 1988 der Wurm Morris und 2003 der Wurm Slammer.

Trotzdem befürchten die Fachleute, dass die Suche nach Sicherheitslücken zukünftig eine Akzentverlagerung erfährt. Weg von traditionellen Angriffen auf Windows\Unix-Systeme und Anwendungen hin zur Überwindung von Netzwerk-Ausrüstungen und Antiviren-Produkten.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%