Viren, Würmer, Trojaner, Spyware Cybercrime 1 - Überblick Schadsoftware. Aus dem Englischen: malicious and software. Es gibt verschiedene Arten von. Ausbreitungsarten: 1. Computervirus Verbreitung über infizierte Programme und Datenträger. 2. Computerwurm Verbreitung über Netze wie das Internet oder Peer-to-Peer-Netze (P2P) 3. Trojanisches Pferd Wird in (vermeintlich) nützlicher Software versteckt. 4. Infizierte Websites Schadcode wird beim Aufruf der Website mit übertragen.... die Reihe wird fortgesetzt! 2
- Überblick Wirkungsarten: 1. Belästigend Gezielte Werbung durch Nutzerprofile (Adware) 2. Destruktiv Zerstörung von Daten, z.b. Formatierung der Festplatte Beeinträchtigung der Leistung (Parameter des CMOS-RAM) 3. Kriminell Übernahme des Rechners für Spam-Versendung Angriffe auf Drittrechner (denial of service (DoS), hacking) Identitätsdiebstahl (Spyware) Tarnung krimineller Aktivitäten mit gestohlener Identität Zugangsdaten (Online-Banking, Ebay, Online-Shops, ) 3 - Viren Klassischer Computervirus Besteht aus zwei Teilen: 1. Ausbreitung: Suchen nach noch nicht infizierten Programmdateien und Manipulation durch Anhängen des Viruscodes an das Programm. 2. Virus-Aktion: Störend bis schädigend. Z.B. Existenzmeldung Joke -Programme Datenzerstörung (Löschung, Formatierung der Festplatte, ) Überschreiben des BIOS oder CMOS-RAMs Reparatur kann bei fest eingelötetem Flash-RAM zu teuer sein.... 4
- Viren Virentypen: Dateiviren befallen ausführbare Programmdateien oder bibliotheken. Makroviren benötigen Anwendungen, deren Dokumente Makros enthalten können, z.b. MS Office-, aber auch OpenOffice-Programme. Spezifischer Schutz: Zertifizierung von Makros und sonst Deaktivierung der Makrofunktion. Bootsektorviren befallen den Bootsektor von boot-fähigen Medien, wie Festplatten oder Floppies. Denkbar sind aber auch CDs oder USB-Sticks. Spezifischer Schutz: Schreibschutz für den Bootsektor (CMOS-RAM). Scriptviren befinden sich in HTML-Files (Perl, PHP, JavaScript, ). Setzt Zugang der Angreifer zum Webserver voraus. 5 - Viren Schutz vor Viren Achillesverse der Viren: Bei der Ausbreitung muss der Virus erkennen können, ob eine potentielle Wirtsdatei bereits von ihm infiziert ist. Diese so genannte Virensignatur wird von den Virenscannern ausgenutzt. Schutzmaßnahmen: 1. Virenscanner verwenden Scanner und Virensignatur-File ständig aktualisieren (z.b. täglich!) 2. Fremde Datenträger und Downloads vor der Verwendung scannen. Gilt auch für eigene verliehene Datenträger! 3. Java und Java-Script nur aktivieren, wenn es wirklich benötigt wird. 4. Nur dann als Administrator arbeiten, wenn nötig. (Viren benötigen für die Verbreitung Administratorrechte) 6
- Viren Weitere Vorsorgemaßnahmen: 1. Regelmäßige Datensicherung 2. Bootfähige Notfall-CD mit Virenscanner Infizierten Rechner von CD booten, Virenscanner auf HDD kopieren, aktualisieren und dann den Rechner scannen. 3. Verwendung von sichereren Internetprogrammen (Webbrowser, Mailtools) Insbesondere Mozilla (Firefox, Thunderbird, Seamonkey), Opera, 4. Wenn Internet-Explorer, dann höchste Sicherheitsstufe und Active-X deaktivieren oder auf Nachfragen stellen! 5. Script-Ausführung in Mails deaktivieren. 6. MS Windows: Bekannte Dateierweiterung NICHT ausblenden! Z.B.: Telefonrechnung.pdf.exe 7. Sicherere vor allem fürs Internet verwenden: Linux, Mac OS X 7 - Viren Virenbeseitigung 1. LAN auflösen und damit die Rechner isolieren. 2. Auf jedem Rechner die Viren beseitigen: Rechner ausschalten und mit Not-CD booten. Mit aktualisiertem Virenscanner der Not-CD Viren beseitigen. Rechner ausschalten, erneut mit Not-CD booten und scannen. 3. LAN erst wieder herstellen, wenn alle Rechner sicher virenfrei sind. 4. Auf isoliertem Rechner alle in Frage kommenden Datenträger prüfen. 5. Infektionsweg rekonstruieren: Verursacher warnen, verklagen, 8
- Viren und Generell: Es wird angegriffen, was den meisten Effekt verspricht. Also Software, die möglichst weit verbreitet ist und vergleichsweise viele Lücken aufweist. Das trifft auf viele Microsoft-Programme und die MS- zu. Dazu kommen zwei weitere Schwächen: 1. Der kommerzielle Zwang proprietärer SW, immer neue Versionen herausbringen zu müssen. Neue Versionen sind Quellen neuer Lücken. Das ist für Firmen wie Microsoft ein grundsätzliches Problem. 2. Administrator/Benutzer-Problematik bei Unix, Linux und Mac OS X gelöst bei Microsoft bis XP gar nicht und bei Vista nicht ausreichend. 9 - Computerwürmer Ausbreitung über Netze wie das Internet, Peer-to-Peer-Netze, IRC, Instant-Messaging,... (Handy-Netze),... Die (derzeit) häufigste Verbreitung erfolgt über Mailanhänge. Wie kann der Benutzer veranlasst werden, den Mailanhang zu öffnen? Durch Täuschung, Tarnung und das Wecken von Interesse: Doppelte Dateierweiterung (z.b. GeilesBild.jpg.exe) Lange Dateinamen, die länger als das Anzeigefenster sind oder mit Leerzeichen aufgefüllt werden: Rechnung.pdf.exe Gefälschte Mails, die zum Teil täuschend echt aussehen und z.b. eine Telekom-Rechnung sein sollen und einen erschreckend hohen Betrag ausweisen, von einer Behörde stammen sollen und eine Strafandrohung enthalten, einen hohen Lottogewinn versprechen, oder einen wichtigen (Microsoft-)Update enthalten sollen. 10
- Computerwürmer Weitere Verbreitungsarten: Script in einer HTML-Mail (Thunderbird u.a. erlauben Deaktivierung) Browser Helper Objects (InternetExplorer ab Version 4) erlauben die Nutzung aller Browserfunktionen inklusive dem Abgreifen von Zugangsdaten. BHOs sind in der Windows-Registry unter dem Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Explorer\Browser Helper Objects\ eingetragen. Inspektion und Löschung durch regedit. Vorsicht! Instant-Messaging per Link zu einer Website, die den Wurm enthält. IRC auch hier muss der Nutzer den Download akzeptieren. Peer-to-peer (P2P). Ausbreitung über gefälschte Suchergebnisse, eine SW-Lücke durch automatisierte Versendung an die Nachbarschaft 11 - Handywürmer Bisher Ausbreitung meist über Bluetooth und Angriffe auf Symbian OS, das von vielen Handy-Herstellern eingesetzt wird. Durch Einführung eines Zertifikatsystems in Symbian OS wird die Installation unerwünschter SW erheblich erschwert. Ab 2005 auch MMS-Würmer. Ab 2007 treten erste Würmer auf, die eine gewisse Gefährdung darstellen. Schaden: Kosten für den Handybesitzer. Verbreitung bisher noch gering. Allgemeine Schutzmaßnahmen: 1. Bluetooth oder Infrarot-Schnittstellen sichern. 2. Vorsicht bei Softwaredownloads und Mailanhängen Experten warnen: Je leistungsfähiger die Handys und Handhelds werden, desto interessanter werden sie für Angriffe. 12
- Trojaner Eine als nützliches Programm getarnte. Installiert meist die eigentliche Schadsoftware, wie z.b. Keylogger, Spyware, Dialer oder ein Backdoor-Programm. Start durch die Autostartmechanismen beim Booten. Autostartmechanismen: Autostart-Ordner im Startmenü Registry-Einträge in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run u.ä. Trojaner als Schadsoftware: meist als Plugins. So können z.b. Browser-Plugins die Firewall umgehen. Warum ist der geplante Bundestrojaner nicht harmlos? 13 Firewall Funktionen: 1. Überwachung der Kommunikation auf IP-Paketebene und Filterung. 2. Schließung der Ports für eingehende Kommunikation. Solange der PC kein Server ist oder in einem Peer-to-Peer-Netz, können ALLE Ports geschlossen werden. 3. Begrenzung des ausgehenden Datenverkehrs auf erlaubte Anwendungen (unsicher!). Firewalls können über Mittel der Intrusion Prevention verfügen. Firewalls sind ein notwendiger aber nicht ausreichender Schutz! Windows-Firewalls: Ab Windows XP, Servicepack 2 standardmäßig angeschaltet. Prüft nicht den ausgehenden Datenverkehr. Ab Vista: Kontrolle des ausgehenden Datenverkehrs, Fernwartungszugang Es gibt quelloffene und kommerzielle Alternativen, z.b. ZoneAlarm oder von Norton, F-Secure, Kapersky, usw. 14
- Keylogger Spezielle Spyware zum Mitschreiben der Tastatureingaben und Versendung der Daten über das Internet Dient der Ausspähung von Kreditkartennummern oder Zugangsdaten wie Passworten, PINs und ähnlichem. 15 - Spyware zum Ausspähen des Rechnernutzers. Ermittlung privater Daten wie Kreditkartennummern Surfverhalten Bankkonto und PIN Produktnutzung Zugangsdaten, Passwörter allgemein: der Nutzeridentität Zweck: Diebstahl gezielte Werbung Quelle: Stern Ermittlung von nicht lizenzierter Software Ermittlung unerlaubter Nutzung urheberrechtlich geschützter Musik oder Filme Begehung von Verbrechen unter falscher Identität... Spyware ist häufig in (kostenlosen) Downloads enthalten und wird mittlerweile öfters in den AGBs oder Lizenzbestimmungen erwähnt. 16
- Dialer Einwahlprogramme für analoge oder ISDN-Telefonanschlüsse. In Zeiten von DSL im wesentlichen für Fax-Software interessant. Neuere Dialer verlangen die Eingabe der Handynummer, um angeblich irgend einen Zugangscode oder ähnliches zu versenden. Schaden: Heimlich installierte Dialer bauen unbemerkt eine Verbindung zu kostenpflichtigen und teuren Mehrwert -Diensten auf. Schutz: Seit 2003 sind 0190-Dialer unzulässig und damit besteht auch keine Zahlungspflicht. Alle neuen 0900-9-Nummern müssen bei der Bundesnetzagentur registriert sein, um eine Zahlungspflicht zu begründen. Sperrung der 0900-9-Nummern beim Telefonanbieter oder der TK-Anlage. (Sperrt aber auch seriöse Anbieter von Faxabruf usw. ) Gerichte bewerten Dialer-Tricks als Betrug. Problem des Nachweises. 17 Backdoor-Programme Backdoor-Programme öffnen eine Hintertür, über die der Angreifer Kontrolle über den Rechner erhält. Schaden: Aufbau so genannter Botnets aus Zombie-Rechnern. Damit erfolgen kriminelle Aktivitäten wie Spam-Versendung Versendung von Phishing-Mails Ausspähung der Identität. Z.B. Daten aus SSL-gesicherten Formularen Verwendung als Proxy, um eigene Identität bei manuellen Angriffen auf Drittrechnern zu verschleiern (Hacking) Angriffe auf Drittrechner (denial of service (DoS), Erpressung durch Sperrung oder Verschlüsselung (ransomware)) Speichermedium für illegale Inhalte. 18
Rootkits Sammlung von Softwarewerkzeugen die unter Administratorrechte installiert wird, um eine Backdoor zu realisieren und die Schadsoftware vor Antiviren-SW zu verstecken. Rootkits gibt es für alle behandelten! Kernel-Rootkits befallen den Kern des Betriebssystems. Unter Windows häufig als Treiber getarnt (.sys) So genannte Userland-Rootkits nutzen kompromittierte DLLs und betreffen hauptsächlich MS-Windows. Benötigen keine Administratorrechte. 19 Schutzmöglichkeiten Es gibt keinen 100%-igen Schutz! Egal bei welchem BS und welcher SW! Allgemein: 1. Aktuellen Virenscanner verwenden und ständig aktualisieren. 2. Firewall benutzen. 3. Keine Microsoft-Produkte für das Internet verwenden. Wenn aber doch, sicher konfigurieren (insbesondere kein ActiveX). 4. Im Windows-Explorer die Anzeige bekannter Dateierweiterungen aktivieren. 5. Java und Java-Script nur zulassen, wenn notwendig. 6. Bei Bekannt werden von Exploits umgehend die Patches für die betroffene SW installieren. 7. Email: Kein automatisches Öffnen von Anhängen. 8. Email: Scriptausführung verbieten. 9. MS-Windows nicht (für das Internet) verwenden. Wenn aber doch nicht als Administrator! alle sicherheitsrelevanten Updates und Patches umgehend einspielen! 20
spezielle Schutzmöglichkeiten Trojaner: Keine Software fragwürdiger Herkunft installieren. Webbrowser: Scriptausführung unterbinden, kein ActiveX. Viele Trojaner werden von Virenscannern erkannt. Eine Firewall bietet keinen Schutz vor der Installation! Sie kann aber auf die Anwesenheit hinweisen. Keylogger: virtuelle Tastatur (z.b. zur PIN-Eingabe) Spyware: Cookies nur zulassen wenn nötig, nach der Sitzung automatisch löschen. Anti-Spyware-Programme 21 Verdacht auf Befall Erkennungsmöglichkeiten: Der Rechner wird bei bestehender Internetverbindung merklich langsamer. Der Browser verhält sich anders (veränderte Startseite, Werbe-PopUps, ) Der PC verbindet sich selbstständig ins Internet. Test: Nach dem Booten keine Aktivitäten am Rechner und DSL-Modem so einstellen, dass die Verbindung nach wenigen Minuten der Inaktivität abgebaut wird. Alarmzeichen, wenn die Internetverbindung nicht abgebaut wird. Firewall meldet unmotivierte Verbindungsversuche von (un)bekannter SW. Beispiel: MS-Internet-Explorer will ins Web, obwohl gar nicht gestartet. Email: Mit der erweiterten Header-Ansicht den Weg der Email prüfen. Passt der Ursprungsserver zum angeblichen Absender? Wenn nicht: Spam oder Angriff. 22
Cybercrime - Übersicht Identitätsdiebstahl zur Verwendung in Drittsystemen wie z.b. Ebay. Verwendung des kompromittierten Rechners zu kriminellen Aktionen wie Spam- Versendung, DoS-Angriffen, Einbruch in fremde Rechner und das alles unter der Identität des Opfers! Phishing: Abfischen von Daten vornehmlich aus dem Bereich des Online- Bankings. Pharming, das raffiniertere Phishing Man-in-the-middle-Angriff Aufwändiger und sehr effektiver Angriff auf das Online-Banking Scareware, Ausnutzung von Unwissen und Furcht Fortsetzung demnächst auf Ihrem Rechner... 23 Cybercrime - Phishing Phishing-Angriffsziele sind Zugangsdaten, z. B. für Banken (PIN und TANs für das Onlinebanking), Bezahlsysteme (z. B. PayPal), Versandhäuser, Internet-Auktionshäuser Methode: Eine offiziell anmutende Email fordert unter einem Vorwand zum Besuch einer Website des Unternehmens auf, um dort die geforderten Daten (z.b. PIN und TANs) einzugeben. Die Mail enthält dazu einen Link. Die Ziel-URL sieht der echten in der Regel ähnlich oder sogar identisch aus. Täuschung durch z.b. andere Zeichensätze, so unterscheiden sich beispielsweise das kyrillische und das lateinische a nicht von einander. Schutz: 1. Seriöse Unternehmen versenden keine Emails mit Links zu Ihren Webseiten und fragen unter diesem Link auch keine sensible Daten ab. 2. itans: Indizierte TANs. Die Bank gibt vor, welche TAN zu benutzen ist. 24
Cybercrime - Phishing Phishing-Beispiel: Bei einem deutschen Account wird man nicht auf Englisch angesprochen Und meinen Namen kennen die auch nicht!!! zu doof zum Tippen! So muss doch der Link heißen Nur Facebook ist das nicht! 25 Cybercrime - Phishing Raffinierteres Phishing-Beispiel: und meinen Namen kennen sie auch nicht! Aber auch hier wird man trotz deutschen Accounts auf Englisch angesprochen Clever! Schon wirkt die Mail authentischer. Aber der Link bringt es an den Tag! Javascript war die Manipulation der Statuszeile verboten. 26
Cybercrime - Pharming Betrug durch manipulierte URLs (Weiterentwicklung des Phishings) Trotz korrekter Eingabe einer URL bzw. Abruf einer korrekten URL aus der Lesezeichen/Favoriten-Liste landet man auf einer gefälschten Website. Methoden: 1. Gehackter DNS-Server 2. Manipulation der Host-Datei durch Viren oder Trojaner. MS-Windows: hosts oder lmhosts.sam in C:\WINDOWS\system32\drivers\etc 3. Gehackter DSL-Router Schutz: 1. Host-Datei überprüfen. 2. DSL-Router durch Passwort sichern. 3. Bei Verdacht IP-Adresse ermitteln und in whois-datenbanken prüfen. 4. Sichere Verbindungen laufen über https:// und haben ein Zertifikat. Im Zweifelsfall das Zertifikat (Fingerprint) per Telefon oder Mail prüfen. 27 Cybercrime - Man-in-the-middle-Angriff Der Angreifer kontrolliert die Kommunikation zwischen den Partnern. Setzt URL-Manipulation voraus. Methode: umgeleitete Kommunikation Opfer Man in the middle (Angreifer) Bank Statt der direkten Kommunikation erfolgt eine Umleitung über den Angreifer. 28
Cybercrime - Man-in-the-middle-Angriff Ablauf: Beim Angriff wird eine Überweisung von Kunden entgegengenommen aber nicht an die Bank weitergeleitet. Stattdessen erfolgt eine Störungsmeldung. Gegenüber der Bank wird mit der erschlichenen TAN oder itan eine manipulierte Überweisung durchgeführt. Aus Sicht der Bank sieht alles nach einer ungestörten und autorisierten Transaktion aus! Beweisproblematik für das Opfer!! Wenn die URL-Manipulation nicht nachweisbar ist, hat das Opfer kaum eine Chance, den Betrug zu beweisen! 29 Cybercrime - Man-in-the-middle-Angriff Schutz: 1. Alle Schutzmaßnahmen des Pharmings. 2. itanplus: Kontrollbild (Captcha) mit Transaktionsdaten (Betrag, Empfänger- Kontodaten) und Geburtsdatum vor der TAN-Eingabe. Captcha: Bild, das schlecht von SW analysiert werden kann. Erschwert Man-in-the-MiddleAngriff erheblich. 3. mtan: Die TAN wird zusammen mit Empfängerdaten von der Bank über einen zweiten Kanal (hier Handy) versandt. Gilt als sehr sicher. Bisher keine massentauglichen Angriffskonzepte bekannt. 4. etan: TAN-Generator erzeugt TAN aus Empfänger-Kontodaten und Uhrzeit. Bindung der generierten TAN an das Empfängerkonto. Wird als sicher angesehen. Längerer Praxistest steht noch aus. Manche Banken (z.b. Netbank) setzen soviel Sicherheitsmaßnahmen ein, dass ihre AGBs die Beweislast zu Gunsten des Kunden umdrehen. 30
Cybercrime - Scareware Funktionsweise: Verunsicherung des Opfers als Grundlage für den Angriff. Feststellung angeblicher Bedrohungen durch kostenlos verteilte Virenscanner / Prüf-SW Feststellung nichtexistenter Abhilfe durch Download: Kostenpflichtiger Download schaltet die Meldungen ab. Download ist die eigentliche. Beispiele: 1. Anzeige oder Animation im Web warnt vor nichtexistenter Bedrohung. 2. Mails im Stile seriöser Anbieter mit Warnung vor neuartiger Bedrohung plus Link zum Prüfen... 31 Cyberwar Angriffe auf technische Infrastruktur Neues Ziel: Prozesssteuerungssysteme Industrieanlagen Kraftwerke (auch Atomkraftwerke) Verkehrssysteme Energieversorgung (Energienetze)... Erster Angriff: Stuxnet zielt auf das Siemens Prozesssteuerungssystem WinCC und PLCs (programmable logical control) kombiniert Eigenschaften von Rootkits, Würmern und Trojanern Herstellung erforderte hohes fachliches Know-how Schaden bisher gering (Testlauf?) 32
und Cybercrime Seien Sie vorsichtig, umsichtig und misstrauisch! Setzen Sie stets die neueste Sicherheitssoftware ein! Halten Sie Ihr Betriebssystem und Ihre Internet-Programme immer auf dem neuesten Stand! Damit die da keine Chance haben! 33