Rette sich wer kann! – Die neuesten Tricks der Hacker

Egal ob Privat- oder Firmennutzer – die Chance zu entkommen ist gering. Je nach Bedarf manipulieren Online-Ganoven RSS oder schicken Spionage-Würmer.

Zum Start in die neue Woche haben Phishing-Ganoven Kunden der Sparkasse ins Visier genommen. Unter dem Deckmantel nett gemeinter Sicherheitshinweise werden gutgläubige Online-Banker auf die Seite sparkasse-hilfe.de gelockt, um dort vertrauliche Daten preiszugeben. Profis lassen sich von solchen Tricks zwar längst nicht mehr hereinlegen. Doch angesichts der jüngsten Prophezeiungen der Sicherheitsexperten dürfte auch ihnen mulmig werden.

Denn Online-Betrüger gehen mit immer subtileren Methoden vor, um – maßgeschneidert auf die jeweilige Zielgruppe – ihre Opfer übers Ohr zu hauen. Die Taktik, Viren in zunehmender Zahl ins Netz zu pumpen, richtet sich beispielsweise vor allem gegen Heimanwender. So tauchte in jüngster Vergangenheit stündlich eine neue Mytob-Variante auf – manche Schädlinge geistern gar in hundert verschiedenen Verkleidungen durchs Netz.

Damit wird die Vorgehensweise der Sicherheitsfirmen gezielt ausgehebelt. Die Varianten tauchen schneller auf, als sie analysiert werden können – das bedeutet längere Bearbeitungszeiten, bis die Virenscanner der Anwender mit den entsprechenden Signaturen aktualisiert werden können. “Wenn man eine große Menge von Viren mit begrenzten Ressourcen bekämpfen soll, muss man Prioritäten setzen”, sagte James Kay, Chief Technology Officer bei der Sicherheitsfirma Blackspider. Das bedeute, dass der Schutz für einige Viren – üblicherweise die kleinen, unbekannten – lange auf sich warten lasse. Diese könnten dann mehr Schaden anrichten, als bisher.

Wenn Antiviren-Firmen innerhalb von drei Stunden nach dem ersten Auftauchen eines Schädlings, Signaturen produzieren könnten, könne das die Massenvermehrung nahezu stoppen, so Andreas Marx von der Universität Magdeburg. Trotz ständiger Verbesserungen dauere es aber tatsächlich im Schnitt zehn Stunden, bis die Sicherheitsprogramme aktualisiert sind. Eine Studie von Checkbridge besagt deshalb, dass Viren-Scanner künftig ein Drittel aller neuen Schädlinge nicht erkennen.

Gelöst werden kann dieses Dilemma mit Hilfe eines heuristischen Ansatzes. Dabei wird meist auf ungewöhnliches Verhalten eines Systems geachtet, um so Hinweise auf Virenaktivitäten zu finden. Die meisten großen Hersteller wie Symantec, McAfee oder TrendMicro arbeiten inzwischen mit einem solchen Ansatz, viele aktualisieren ihre Scanning-Programme außerdem inzwischen stündlich, um mit der Viren-Evolution Schritt zu halten.

Doch von solchen Verbesserungen profitieren in der Regel hauptsächlich Firmenkunden. “Am meisten leiden die Privatanwender, die in Sachen Sicherheit immer etwas hinterherhinken”, so Sophos-Experte Graham Cluley.

Auch die Entwicklung von Spyware könnte – glaubt man Richard Stiennon vom Softwareanbieter Webroot – vor allem Heimnutzer treffen. “Das erste Spyware-Programm, dass es auf Firefox abgesehen hat, wird in der ersten Hälfte 2005 auftauchen”, so Stiennon auf dem ‘Gartner IT Security Summit’. Die extrem kurze Deadline rechtfertigte er damit, dass es bereits Schadcode für Firefox gebe, der noch nicht funktioniere.

“Das bedeutet, dass die Spyware-Autoren entweder eine Sicherheitslücke im Firefox ausnutzen werden oder eine Webseite entwickeln, die den Browser dazu zwingt, unsichtbar Adware oder Spyware herunterzuladen und zu installieren.” Der Open-Source-Browser ist typischerweise stärker auf Privatrechnern als auf Firmencomputern vertreten.

Besonders kritisch ist jedoch nach Stiennons Worten die Aussicht, dass sich Spyware künftig an RSS koppeln wird, um sich zu verbreiten. Es gebe bereits Online-Händler, die sich verstärkt mit RSS beschäftigen – im Gegensatz zu E-Mails fürchteten sie bei der Technologie keine unangenehmen Nebenwirkungen durch Spam. “Und wohin die Online-Händler gehen, werden Adware- und Spyware-Autoren folgen”, so Stiennon.

Besonders gefährlich wäre es nach seinen Worten, wenn es den Spyware-Produzenten gelänge, manipulierten RSS-Code in einen der großen Blogging-Services einzuschleusen. Alle Blogger, die über den Service RSS-Feeds abonniert haben, wären davon betroffen – eine solche Attacke würde sich wegen des automatisierten Ansatzes von RSS rasant verbreiten. Auch Blogs – oder auch Online-Tagebücher – sind in erster Linie unter Privatnutzern verbreitet.

Für Firmenanwender ist das aber noch lange kein Grund sich zurückzulehnen. Es ist nicht die Masse der Viren, die sie ins Straucheln bringen könnte, sondern die Raffinesse maßgeschneiderter Schädlinge. So verweist Blackspider-Experte Kay auf die zunehmende Verbreitung von Würmern, die darauf spezialisiert sind, Systeme nach Sicherheitslöchern zu durchsuchen und diese an den Virenautor zurückzumelden.

Bisher sei der Code solcher Schädlinge sehr groß und schwergewichtig – künftig würden die Würmer jedoch kleiner sein und sich so besser in Systeme einschleichen können. “Wir erwarten, dass wir 2005 noch komplexere Würmer und Viren in freier Wildbahn sehen werden, die raffinierte Verhaltensweisen enthalten: polymorphe und metamorphe Würmer und Schädlinge, die ihre Einbruchsstelle verschleiern.” Als Beispiel nannte er SpyBot.KEG, der Sicherheitslücken ausspioniert und via IRC-Channel an seinen Autor zurückmeldet.


Nicht immer ist es jedoch – aus Hacker-Sicht – nötig, solch verschnörkelte Wege zu gehen. Oft genug reicht es, aktuelle Ereignisse mehr oder weniger geschickt auszunutzen, um Viren oder Trojaner in die Rechner zu schleusen. Jüngstes Beispiel ist eine Mail mit der Meldung über einen angeblichen Selbstmordversuch von Michael Jackson. Sensationslustige Anwender landen jedoch auf einer Webseite, die heimlich ein Schadprogramm auf dem Rechner installiert. Wie immer in einem solchen Fall raten die Experten dringend, die Finger von unbekannten Mails zu lassen.