Malware
Aus KissDoc
Inhaltsverzeichnis |
Allgemein
Ein paar Worte zur Sicherheit und den Virenscannern. In der ersten Doppelstunde im IT Unterricht heißt es: arbeite niemals als root. So einfach wie das klingt, ist es auch. Aber in der Praxis hört man immer wieder folgende Fragen oder Aussagen: "Warum muß ich mich anmelden?" "Unter dem Administrator funktioniert es wenigstens." "Das ist doch mein Rechner." usw ... Nun, von den kleinen gelben Klebezetteln mit Passwörtern am Monitor mal abgesehen - mit dieser Einstellung braucht man sich über Sicherheit auch nicht zu unterhalten. Es ist schon so, man kann mit seinem Eigentum machen, was man will. Nach dem deutschen Gesetz ist es aber auch so: Blödheit (bzw. Unwissenheit) schützt nicht vor Strafe.
Weiterhin heißt ein Virenscanner Scanner und nicht Entferner, Verhinderer oder Blocker. Mailware Anticode wäre viel zu vielschichtig und umfangreich. Wenn es Kunden gäbe, welche dafür im Monat einige 1000 EUR zahlen würden und mit Downloads von einigen 100MB's pro Monat zurechtkommen, dann gäbe es solche Programme sicherlich.
Kurzum, ich will mich kurz fassen. Wenn ein Virenscanner einen Virus meldet, ist es bereits zu spät! Es sollte lediglich die letzte Möglichkeit sein, einen Durchschlag zu finden. Eine gute Lektüre dazu sind die Komprimittierungsberichte der Debian.org Ende 2003. Selbst Microsoft sagt, dass ein Rechner nach einem Virusfund nicht mehr als sicher einzustufen ist, auch wenn man glaubt, das oder die Schadprogramme beseitigt zu haben. Die meisten Leute setzen aber ausschließlich Scanner oder weitere Software wie AddWare ein. Ich vermute, diese wollen ihr Gewissen beruhigen. Die ehrlichste und sinnvollste Alternative heisst da mal wieder: Schreibmaschine!
Begriffe
Es gibt eine Menge Begriffe zu jeder Technik bzw. Problematik in jedem Fachgebiet. Menschen unterhalten sich selten über die gleichen Dinge. Um die Kommunikation etwas zu verbessern (hoffnungsloser Versuch), werden oft Begriffsdefinitionen bzw. Deutungen vereinbart.
- Malware
- Malware heisst Schadprogramm. Allgemein sind damit alle unerwünschten Softwarekomponenten gemeint. Dieser Begriff hat sich jedoch noch nicht durchgesetzt. So werden Schadprogramme gern als Viren bezeichnet. Dabei gibt es eine ganze Armee von verschiedenen Schadprogrammen wie Viren, Trojaner, Würmer, Backdoors, Jokes usw.
- Virus
- Ein klassischer Virus ist ein Programm, welches sich selbst an ein anderes Objekt (Programm) anfügt (repliziert) und somit die Funktion des kompromittierten Objektes ändert. Heute wird der Begriff aber fälschlicherweise als Synonym für Malware verwendet.
- Wurm
- Als Würmer werden Schadprogramme bezeichnet, welche sich selbst zu anderen Systemen kopieren.
- Trojaner
- Trojanische Pferde (Trojan Horses) sind allgemein Programme mit einer versteckten zerstörenden Funktionalität.
- Joke
- Joke werden nichtschadhafte Programme genannt, welche fremdartige oder spaßige Funktionalitäten ausführen. Es sind also eigentlich keine Viren (bzw. Malware), aber wer will das schon? ;-)
- Hoax
- Hoaxes (Ente) sind verbreitete Falschmeldungen von Malware.
- Replikation
- Das ist der Pflichtmechanismus eines Virus und Wurms. Fehlt dieser Mechanismus, so handelt es sich per Definition nicht um einen Virus oder Wurm.
- Name
- Gemeint sind Malware- bzw. Virennamen. Allgemein vergibt die Computer Anti-Virus Reasearch Organization (CARO) die Virennamen, welche von der Anti-Virus Industrie verwendet werden. Der Name wird generell vom Code oder der Funktion eines Virus abgeleitet. Wenn keine diesbezüglichen Informationen verfügbar sind, kann ein Virus zufällig benannt werden. Den Namen vergibt dabei derjenige, welcher den Virus entdeckte. Leider ist CARO scheinbar überfordert. Auf den Seiten ist relativ viel zu finden, nur keine Namensliste. CARO (1900 gegründet) ist nicht gerade aktuell, um nicht zu sagen: inaktiv. Die Namensproblematik ist z.Zt. das größte Problem im Vireninformationsmarkt und sorgt allerorts für heftige Diskussionen. Fazit ist dabei, daß sich Virenscanner nur bedingt vergleichen lassen. Ob z.B. Scanner A den Virus X genauso erkennt wie der Scanner B ist nur sicher zu sagen, wenn beide Scanner den gleichen Namen für den Virus X verwenden.
- Alias
- Bevor ein Virus einen offiziellen CARO Namen bekommt, vergeben verschiedene Anti-Virus Organisationen und Softwarehersteller eigene Namen. Diese Namen werden nach der offiziellen Benennung zu Aliasnamen. So die Theorie. In derPraxis werden zeitweise bis zu 1000 neue Malwareprogramme mit teilweise recht kurzen Lebenszeiten pro Woche bekannt. So ist es nicht verwunderlich, das es kaum Aliasnamen gibt. Es gibt noch nicht einmal einheitliche Namen.
- Variante
- Viren werden in Familien gruppiert. Familien werden wiederum in Varianten untergliedert und, wenn nötig, in Untervarianten.
- Spyware
- Spyware spioniert Informationen des lokalen Rechners aus. Dabei verhalten sich die Programme so unauffällig wie nur möglich. Sie haben also keine direkte Schadwirkung; wenn man mal von geklauten Paßwörtern, Kontozugangsdaten und Informationen zum Kauf- und Internetverhalten absieht;)
Schutz
Wenn man sich schützen möchte, sind einige Dinge unverzichtbar:
- Protokollanalyse
- Informationsbeschaffung
- Konzentration auf die Kernaufgaben
- Weniger ist mehr!
- Angriffsmusteranalysen
- Kontaktüberprüfungen (Vertrauenswürdigkeit eines Downloads)
- Passwörter kann man auch von Zeit zu Zeit ändern und sie sind geheim!
- Datensicherungen ;)
Dabei ist Vorbeugung immer besser als Nacharbeit. Die eigentliche Kernaussage ist aber, das ein System nie sicher ist. Es ist vielleicht zum Zeitpunkt X relativ sicher vor bekannten Angriffen. Aber das kann aber morgen schon anders aussehen. Sicherheit bedeutet Arbeit .... sehr viel Arbeit bzw. Geld.
Behebung
Sollte doch mal etwas durchgeschlagen sein, ist eine schnelle Herabstufung aller Rechte mit einer anschließenden forensischen Analyse unverzichtbar. Dies gilt auch für einen eingeschlichenen Trojaner. Das System ist nicht mehr als sicher einstufbar. Bei wichtigen Aufgaben sollte das System neu aufgesetzt werden (Debian Kompromittierungsbericht).
