RWTH Wissenschaftsnacht. Computerviren, Malware, Botnetze

Transkript

1 Computerviren, Malware, Botnetze Dürfen wir uns wehren? Mark Schloesser Lehr- und Forschungsgebiet IT Sicherheit RWTH Aachen University 11 November 2011

2 RWTH Wissenschaftsnacht Lehr- und Forschungsgebiet IT Sicherheit Weit gefa cherte Themengebiete, unter anderem... Schadsoftware analysieren und Trends erforschen Honeypot Entwicklung Angriffserkennung und Schwachstellenanalyse Daten- und Informationsaustausch, Visualisierung M. Schloesser: Computerviren, Malware, Botnetze 1/20

3 Begriffsklärung Schadsoftware Schadsoftware = Malware Viren, Trojaner, Würmer, Botnetze, Downloader Früher unterscheidbar und klassifizierbar Heutzutage eher schwierig, meist mehrere / alle Funktionalitäten enthalten Allgemein: Malware bzw. Schadsoftware M. Schloesser: Computerviren, Malware, Botnetze 2/20

4 RWTH Wissenschaftsnacht Neue Malware seit 1984 M. Schloesser: Computerviren, Malware, Botnetze 3/20

5 Viel Arbeit bei Virustotal M. Schloesser: Computerviren, Malware, Botnetze 4/20

6 Dateitypen M. Schloesser: Computerviren, Malware, Botnetze 5/20

7 Mehr als nur ein Handy McAfee Threats Report 02/ M. Schloesser: Computerviren, Malware, Botnetze 6/20

8 Honeypots M. Schloesser: Computerviren, Malware, Botnetze 7/20

9 Honeypots Internet PC Internet PC Honeypot Internet PC M. Schloesser: Computerviren, Malware, Botnetze 8/20

10 Echtzeit Angriffsdaten und Visualisierung M. Schloesser: Computerviren, Malware, Botnetze 9/20

11 Bekämpfung von Malware Prävention und Gegenmaßnahmen Was kann der Endanwender bzw. Nutzer tun? Systemaktualisierungen Antivirenprogramme Firewalls Aktive Maßnahmen gegen Botnetze Kontrollserver identifizieren und ausfindig machen Physisch Zugriff verschaffen (nur Behörden) Rechner konfiszieren oder blockieren Schwierigkeiten: globales Internet, Ländergrenzen, Kooperation Weitere technische Schwierigkeiten M. Schloesser: Computerviren, Malware, Botnetze 10/20

12 Wettrüsten Wie weit kommen wir mit den aktuellen Mitteln? Rosige Aussichten Personalmangel bei den Strafverfolgungsbehörden Exponentieller Wachstum von Malware (Stichwort Kit bzw. Builder ) Flexibilität Angreifer / Behörden Immer komplexere Software Neue Angriffszenarien und Betriebssysteme (Smartphones!) M. Schloesser: Computerviren, Malware, Botnetze 11/20

13 Nächste Schritte Weiter wie bisher Mehr Personal, sowohl A/V Industrie als auch Strafverfolgung Effektivere Kooperation ( Fast Takedown ) Mehr Analyseressourcen, schnellere Behebung von Problemen Neue Denkansätze Besseres Design von Betriebssystemen ( privilege separation etc.) Aktive Verteidigung, Gegenwehr, automatische Desinfektion M. Schloesser: Computerviren, Malware, Botnetze 12/20

14 Aktive Gegenwehr, Feindliche Übernahme Storm -worm Botnetz, 2008 Schwachstellen im Kommunikationsprotokoll erlauben sowohl Entschärfung als auch Übernahme bzw. Desinfektion des Botnetzes Freizeitproject Felix Leder, Mark Schloesser, Tillmann Werner, Georg Wicherski M. Schloesser: Computerviren, Malware, Botnetze 13/20

15 Aktive Gegenwehr, Feindliche Übernahme Storm -worm Botnetz, 2008 Schwachstellen im Kommunikationsprotokoll erlauben sowohl Entschärfung als auch Übernahme bzw. Desinfektion des Botnetzes Der Anti-wurm M. Schloesser: Computerviren, Malware, Botnetze 13/20

16 Aktive Gegenwehr, Feindliche Übernahme Storm -worm Botnetz, 2008 Schwachstellen im Kommunikationsprotokoll erlauben sowohl Entschärfung als auch Übernahme bzw. Desinfektion des Botnetzes Der Anti-wurm M. Schloesser: Computerviren, Malware, Botnetze 13/20

17 Aktive Gegenwehr, Feindliche Übernahme Storm -worm Botnetz, 2008 Schwachstellen im Kommunikationsprotokoll erlauben sowohl Entschärfung als auch Übernahme bzw. Desinfektion des Botnetzes Der Anti-wurm M. Schloesser: Computerviren, Malware, Botnetze 13/20

18 Grundsatzdiskussion Legale Aspekte Jegliches rechtswidrige Verändern, Löschen, Unterdrücken oder Unbrauchbar-Machen fremder Daten erfüllt den Tatbestand nach 303a StGB (Datenveränderung). Computersabotage ( 303b I Nr. 1 StGB) Ausspähen von Daten ( 202a StGB) Ethische Aspekte Gutwillige Absichten Qualitätssicherung Das Krankenhaus Argument Wer handelt? Privatleute? Firmen? Behörden? M. Schloesser: Computerviren, Malware, Botnetze 14/20

19 Es tut sich was... Operation b49, Februar 2010 Microsoft s Digital Crimes Unit has effectively shut down the Waledac botnet, cutting off cybercriminal access to hundreds of thousands of infected Windows computers around the world. Eins der zehn größten Botnetze (US), Millarden Spam Mails Kooperation mit Sicherheitsfirmen und Polizei/Behörden M. Schloesser: Computerviren, Malware, Botnetze 15/20

20 Die ersten, die den Knopf drückten RWTH Wissenschaftsnacht Dutch NHTCU takes down Bredolab, Oktober 2010 Niederländische Bundespolizei, Einheit High-Tech Crime M. Schloesser: Computerviren, Malware, Botnetze 16/20

21 Die ersten, die den Knopf drückten Dutch NHTCU takes down Bredolab, Oktober 2010 Niederländische Bundespolizei, Einheit High-Tech Crime Project Taurus, public-private partnership, 2010 M. Schloesser: Computerviren, Malware, Botnetze 16/20

22 Die ersten, die den Knopf drückten Dutch NHTCU takes down Bredolab, Oktober 2010 Niederländische Bundespolizei, Einheit High-Tech Crime Project Taurus, public-private partnership, bösartige Server, 7 davon Bredolab M. Schloesser: Computerviren, Malware, Botnetze 16/20

23 Die ersten, die den Knopf drückten Dutch NHTCU takes down Bredolab, Oktober 2010 Niederländische Bundespolizei, Einheit High-Tech Crime Project Taurus, public-private partnership, bösartige Server, 7 davon Bredolab 30 Millionen infizierte IPs M. Schloesser: Computerviren, Malware, Botnetze 16/20

24 Die ersten, die den Knopf drückten Dutch NHTCU takes down Bredolab, Oktober 2010 Niederländische Bundespolizei, Einheit High-Tech Crime Project Taurus, public-private partnership, bösartige Server, 7 davon Bredolab 30 Millionen infizierte IPs Identifizierung des Betreibers in Armenien M. Schloesser: Computerviren, Malware, Botnetze 16/20

25 Die ersten, die den Knopf drückten Dutch NHTCU takes down Bredolab, Oktober 2010 Niederländische Bundespolizei, Einheit High-Tech Crime Project Taurus, public-private partnership, bösartige Server, 7 davon Bredolab 30 Millionen infizierte IPs Identifizierung des Betreibers in Armenien Betreiber plante Besuch auf niederländischer Party M. Schloesser: Computerviren, Malware, Botnetze 16/20

26 Die ersten, die den Knopf drückten Dutch NHTCU takes down Bredolab, Oktober 2010 Niederländische Bundespolizei, Einheit High-Tech Crime Project Taurus, public-private partnership, bösartige Server, 7 davon Bredolab 30 Millionen infizierte IPs Identifizierung des Betreibers in Armenien Betreiber plante Besuch auf niederländischer Party Leider wegen Problemen mit Visum nie angekommen M. Schloesser: Computerviren, Malware, Botnetze 16/20

27 Die ersten, die den Knopf drückten Dutch NHTCU takes down Bredolab, Oktober 2010 Niederländische Bundespolizei, Einheit High-Tech Crime Project Taurus, public-private partnership, bösartige Server, 7 davon Bredolab 30 Millionen infizierte IPs Identifizierung des Betreibers in Armenien Betreiber plante Besuch auf niederländischer Party Leider wegen Problemen mit Visum nie angekommen Server übernommen, kontrolliert von NHTCU M. Schloesser: Computerviren, Malware, Botnetze 16/20

28 Die ersten, die den Knopf drückten Warnung der infizierten Benutzer NHTCU befahl den Bots ein Programm herunterzuladen, das ein Informationsfenster anzeigt. Ein Meilenstein? The law enforcement obligation of helping the victims was judged to precede potential judicial concerns in this action. The combination of creativity, new techniques, close cooperation, and hard work enabled the Taurus partners to go further than any of them would have been able to go alone. M. Schloesser: Computerviren, Malware, Botnetze 17/20

29 NHTCU Benachrichtigung RWTH Wissenschaftsnacht M. Schloesser: Computerviren, Malware, Botnetze 18/20

30 Weitere Fälle Operation b107, März 2011 Microsoft has successfully taken down a larger, more notorious and complex botnet known as Rustock. This botnet is estimated to have approximately a million infected computers operating under its control and has been known to be capable of sending billions of spam mails every day, including fake Microsoft lottery scams and offers for fake and potentially dangerous prescription drugs. Kelihos / Hlux Takedown, September 2011 This takedown will be the first time Microsoft has named a defendant in one of its civil cases involving a botnet. M. Schloesser: Computerviren, Malware, Botnetze 19/20

31 Wie geht es also weiter? Diskussion erwünscht Gesetzesänderungen Neue Behörde bzw. Erweiterung der Aufgabenbereiche Internationale Kooperation Wiederholung: Neue Denkansätze Besseres Design von Betriebssystemen ( privilege separation etc.) Aktive Verteidigung, Gegenwehr, automatische Desinfektion M. Schloesser: Computerviren, Malware, Botnetze 20/20

32 Danke für s Zuhören! Fragen? Referenzen