Cyber-Kriminelle tarnen ihre Schadprogramme mit immer raffinierteren Verfahren und machen den Entwicklern von Virenscannern damit zunehmend das Leben schwer. Whitelisting, das ist der Ausschluss schädlicher Programme anhand einer Liste „erlaubter“ Software, könnte in Zukunft deshalb den besseren Schutz bieten. Doch die neue Technik hat noch ihre Probleme und es stellt sich die Frage, wer eigentlich über „erlaubte“ und „verbotene“ Software entscheidet.
Hacker werden immer professioneller. Foto: dpa
DÜSSELDORF. Früher waren es meistens jugendliche Hacker, die aus Experimentierfreude und für Ruhm in der Szene Schadprogramme verbreitet haben. Heute stecken fast ausschließlich hochprofessionelle Hacker-Organisationen dahinter, die vor allen Dingen nach Profit streben und eine ebenso profitorientierte kriminelle Kundschaft bedienen. Mit erbeuteten Kontodaten, dem Verkauf von ausgespähten Betriebsgeheimnissen oder der Vermietung von Rechner-Netzen zum Verschicken von Spam-Mails lassen sich Milliardenumsätze erwirtschaften. Deshalb kann sich die Hacker-Mafia mittlerweile hoch bezahlte Spezialisten leisten, die schwer abzuwehrende und dabei einfach zu bedienende Schadprogramme entwickeln.
Herkömmliche Virenscanner, die mit einer „Blacklist“ bekannter Schadprogramme arbeitet, tun sich mit dem Erkennen und Entschärfen derartiger Software zunehmend schwer. Zudem können die Updates der Liste mit den bekannten Signaturen immer erst eine Weile nach dem Auftreten neuer Viren online gestellt werden. Die Schwierigkeit, seine Anti-Virenprogramme aktuell und wirksam zu halten, hat sich außerdem zunehmend vergrößert, weil neue Schadsoftware in immer kürzeren Intervallen erscheint.
Computerviren-Quiz (Teil 1): Testen Sie
Ihr Wissen über Viren und Würmer
Wie hoch entwickelte Schadsoftware funktioniert
Ein Beispiel für die differenzierte Funktionsweise eines Schadprogramms ist der Infektionsmechanismus des Software-Pakets "MPack", das von einer Hackerbande aus Russland an interessierte Abnehmer verkauft wird. MPack wird einfach als PHP-Anwendung auf einem betriebsbereiten Webserver installiert. Danach muss der „Anwender“ lediglich genügend Internet-Nutzer zu einem Besuch dieses Servers verleiten. Dazu kann er sich zum Beispiel in häufig besuchte Webseiten einhacken und dort kleine Programm-Schnipsel einfügen, die den Browser eines Besuchers automatisch umleiten. Er kann auch eine eigene Webseite erstellen, deren Domainname die geringfügige Abwandlung einer großen und bekannten Internetseite darstellt. Internet-Nutzer, die sich beim Eingeben der bekannten Adresse vertippen, landen dadurch auf dem infizierten Server.
MPack erstellt bei jedem Besucher eine Analyse darüber, welcher Internet-Browser und welches Betriebssystem auf dessen PC verwendet werden. Liegen diese Informationen vor, versucht MPack eventuell vorhandene Sicherheitslücken auszunutzen. Im Lieferumfang der Software ist zu diesem Zweck gleich eine Vielzahl möglicher Schadprogramme ("Exploits") enthalten. Ist der Browser auf dem Ziel-PC längere Zeit nicht aktualisiert worden, oder ist für die letzte Sicherheitslücke noch kein Update verfügbar, veranlasst dort der Code eines erfolgreichen Exploits das Herunterladen weiterer Schadprogramme. Erst dadurch wird die eigentliche schädliche Funktion (zum Beispiel eine Protokollfunktion für Tastatureingaben) auf dem Zielrechner installiert. In der Datenbank des MPack-Servers wird abschließend ein Eintrag abgelegt, der die Daten zur IP-Adresse, zum erfolgreichen Exploit und zum Land des infizierten Rechners enthält.
Lesen Sie weiter auf Seite 2: Schutz mit umgekehrten Vorzeichen
Für Virus-Scan-Programme wird es immer schwieriger, Schädlinge zu erkennen. Foto: dpa
Schutz mit umgekehrten Vorzeichen
Auffällig an Beispielen wie MPack ist, dass der Schadcode individuell nach den Gegebenheiten auf dem Ziel-PC ausgewählt wird, und weitere Programmteile Stück für Stück aus dem Internet nachgeladen werden. Es gibt also keine einheitliche Signatur, die einem herkömmlichen Virenscanner die Erkennung anhand einer Blacklist ermöglichen würde.
Um den wachsenden Problemen einer auf bekannten Signaturen basierenden Abwehr von Schadprogrammen Rechnung zu tragen, bietet sich „Whitelisting“ als Alternative an. An die Stelle des Ausfilterns aller schädlichen Programme tritt die exklusive Zulassung jeder als ungefährlich eingestuften Software. Als Entscheidungsgrundlage dient eine Datenbank, in der alle harmlosen und nützlichen Programme eingetragen sind. Ist ein neues Programm dort nicht verzeichnet, wird seine Ausführung verhindert. Der Bedarf nach einer zuverlässigen Erkennung neuer Schadsoftware würde also komplett entfallen: Ein Virus oder Trojaner würde keinen Eintrag in der Datenbank bekommen und deshalb nicht ausgeführt werden.
Computerviren-Quiz (Teil 2): Testen Sie
Ihr Wissen über Viren und Würmer (Teil 2)
Fragen und Probleme offen
Whitelisting wirft jedoch viele Fragen und Probleme auf. Zunächst: Wer soll eigentlich bestimmen, welche Software in der erwähnten Datenbank als „gut“ eingestuft wird? Wirtschaftliche Interessen wären dabei genau so ein Problem wie fehlende Kenntnis von nützlichen und regulär eingesetzten Programmen. So könnte die Software unliebsamer Konkurrenz in der eigenen Whitelist einfach nicht berücksichtigt werden. Oder die Liste mit zugelassener Software ist nicht umfangreich genug, um auch weniger bekannte Programme zu enthalten.
In beiden Fällen könnte in der Konsequenz eine Vielzahl unschädlicher und nützlicher Programme nicht verwendet werden. Die Annahme ist plausibel, dass wohl nur eine Handvoll Hersteller von Sicherheitssoftware wie etwa Symantec oder CA genug Marktdurchdringung und Know How besitzt, um eine wirklich unabhängige und umfassende Datenbank zulässiger Anwendungsprogramme zu erstellen. Es bleibt jedoch immer eine Unsicherheit hinsichtlich Know How und Neutralität übrig, die mit einem gewissen Maß an Vertrauen überbrückt werden muss. Als zweites großes Problem muss jedes Update, das eines der gelisteten Programme erfährt, in der Whitelist vermerkt werden. Ansonsten würde die Aktualisierung dazu führen, dass es nicht mehr als zugelassen erkannt wird. Bei einer Whitelist mit mehreren Millionen Einträgen entsteht also ein enormer Aktualisierungsaufwand. Auch diese Leistung kann nicht von jedem Unternehmen erbracht werden.
Mittelweg als Lösung
Sicherheitsprogramme können in Zukunft sicherlich nicht mehr ausschließlich auf die signaturbasierte Erkennung von Schadcode bauen, die der Entwicklung von Schadprogrammen immer einen Schritt hinterher hinkt. Schutz allein auf Basis einer Whitelist birgt aber auch so viele Schwierigkeiten, dass sich mittelfristig wohl eher eine Zwitterlösung aus beiden Verfahren etablieren wird. Eine zusätzliche Verhaltensanalyse aktiver Programme als dritte Sicherungsebene hilft dabei, neue Schadsoftware anhand ihres Funktionsschemas zu erkennen. Ein strenges Whitelisting ist wohl nur in Unternehmen denkbar, wo die Zahl der eingesetzten Programme überschaubar und keiner ständigen Veränderung unterworfen ist.
