Historie
Die Geschichte von Viren & Trojanern
Trojaner: nicht das, was es scheint
Im Epos „Odysseus“ gelang es den griechischen Belagerern der Stadt Troja, diese mit einer List einzunehmen: Ein großes Holzpferd wird als vermeintliches Opfergeschenk vor den Stadttoren zurückgelassen und von den Trojanern vor den Tempel der Athene gezogen. In der Nacht steigt eine griechische Spezialeinheit aus dem hohlen Pferd und öffnet der griechischen Armee von innen die Tore. Im Zoo der Schadprogramme ist das Trojanische Pferd oder kurz „Trojaner“ ein Programm mit folgenden Merkmalen: Das Programm gibt vor, etwas anderes zu sein, tarnt seine Schadroutinen hinter nützlichen Funktionen und ist darauf angewiesen, von Anwendern manuell verbreitet zu werden. Der Begriff wird aber auch für die Schadroutine selbst gebraucht, wenn diese eine Hintertür auf einem infizierten System öffnet, um an Anwender und Firewall vorbei den unbemerkten Fernzugriff von außen zuzulassen. Das erste gesichtete Trojanische Pferd war ein Dateisortierter namens „ARF“ für den IBM-PC, um Dateien in eine alphabetische Reihenfolge zu bekommen. Stattdessen löschte das Programm Dateien.
- Was Unternehmen erwarten
Einer Studie von IDC Deutschland zufolge erwarten sich deutsche Unternehmen vom Einsatz von Mobilsystemen handfeste wirtschaftliche Vorteile. Eine höhere Zufriedenheit von Mitarbeitern spielt eine untergeordnete Rolle. - Hürden in Sachen Mobility
Einer Umfrage von Citrix unter IT-Fachleuten zufolge sind potenzielle Sicherheitsrisiken ein Grund dafür, dass Mobility-Strategien in Unternehmen nur zögerlich oder gar nicht umgesetzt werden. - Apple vor Android
Apples iOS knapp vor Android: In Unternehmen in Deutschland, Frankreich, Großbritannien und der Schweiz waren nach einer Untersuchung der Beratungsfirma Pierre Audoin Consultants (PAC) im vergangenen Jahr im Schnitt 2,4 Mobilbetriebssysteme im Einsatz. Auch Blackberry hielt sich trotz der wirtschaftlichen Probleme des Herstellers RIM beachtlich. - Länderverteilung
Nach Angaben des Marktforschungsinstituts PAC setzen deutsche Firmen vor allem auf Mobilgeräte mit Apples Betriebs iOS und Android-Systeme. Immer noch stark vertreten ist RIM mit Blackberry. - Strikte Regeln
PAC zufolge bestehen vor allem deutsche Unternehmen auf strikten Regeln bei der Nutzung mobiler Geräte und dem Umfang mit entsprechenden Daten. - App-Regeln
Viele Firmen verzichten darauf, Regeln für die Nutzung von Apps auf Mobilgeräten zu definieren. Im Gegensatz dazu existieren in den meisten Organisationen Vorgaben, welche Mobilsysteme verwendet werden dürfen. - Private Apps
Laut einer Untersuchung von Citrix von 2013 nutzen an die 19 Prozent der Arbeitnehmer auf Mobilsystemen, die sie auch für berufliche Zwecke einsetzen, private Apps Dies kann Sicherheitsrisiken mit sich bringen. - Der Citrix-Ansatz
Mit MDX von Citrix kann ein User von seinem Mobilgerät aus über ein Virtual Private Networks auf Daten und Anwendungen im Firmenrechenzentrum zugreifen. Die Apps und lokalen Daten auf dem Mobilsystem werden mithilfe von Wrapping und Containern geschützt. - Schutzwirkung
Die amerikanische Sicherheitsfirma Mobile Active Defense hat Mobile-Security-Technologien anhand ihrer Schutzwirkung klassifiziert. Ein Mobile Device Management (MDM) alleine ist demnach unzureichend. - Zugriffs-Policies
Eine Beispiel für abgestufte Zugriffsregelungen für Nutzer von Mobilgeräten: Nutzer von Android-Geräten mit dem Original-Betriebssystem und MDM können auf weniger IT-Ressourcen zugreifen als User von Android-Systemen, deren Betriebssystem-Kernel für ein umfassendes Remote-Management modifiziert wurde. - Pro und Contra
Vor- und Nachteile unterschiedlicher Mobile-Security-Verfahren aus Sicht des amerikanischen Mobility-Spezialisten Mobile Spaces - Die Techniken
Unterschiedliche Ansätze: Um mobile Applikationen und Daten auf sichere Weise bereitzustellen, haben IT-Abteilungen die Wahl zwischen einer Vielzahl von Verfahren. Etliche, etwa das Wrapping von Anwendungen, erfordern teilweise den Einsatz von Software Development Kits (SDKs) und Eingriffe in den Programmcode von Applikationen. - Urteil des Fachmanns
Rüdiger Trost, Sicherheitsfachmann von F-Secure: "Zu einer Mobile-Security-Strategie gehören nicht nur Container für Apps und Daten, sondern auch die Absicherung der Verbindungen zwischen Mobilgerät und Firmennetz sowie speziell abgesicherte Online-Plattformen für den Datenaustausch zwischen Mitarbeitern."
Homecomputer und PC: Viren breiten sich aus
Schon 1982 zeigte sich der erste Virus auf einem Homecomputer. Der Wirt war ein Apple II. „Elk Cloner“ war ein speicherresidentes Programm, das sich auf Boot-Disketten kopierte und ein Gedicht am Bildschirm anzeigte. Die Verbreitung des IBM-PCs und von Homecomputern wie dem C64 und später dem Amiga brachte nicht nur eine Menge junger Programmierer auf spielerische Weise mit PCs in Berührung, sondern sorgte auch für den ersten Boom neuer Viren. Die üblichen Verbreitungswege waren Disketten und später Mailboxen, die Raubkopien zum Download anboten. Diese Übertragungswege teilten die Viren in den 80er- und 90er-Jahren in zwei Kategorien ein: in Boot-Sektor-Viren und Dateiviren.
Ein Boot-Sektor-Virus macht sich zunutze, dass das Bios beim Start des PCs das Diskettenlaufwerk an einer vordefinierten Stelle liest, um den einen 512 Byte großen Boot- Sektor in den Speicher zu lesen und auszuführen (siehe dazu auch Seite 38). Der Virus gelangt also direkt in den Speicher und kopiert sich bei nächster Gelegenheit auf andere Disketten. Weil der Boot-Sektor wenig Platz bietet, hatten Boot-Sektor-Viren oft keine Schadroutine. Mit der Verbreitung von Festplatten wurde das Konzept erweitert, um auch den Master Boot Record (MBR) von Boot-Partitionen zu infizieren. Die häufigsten Viren der DOS-Ära waren Boot-Sektor-Viren, allen voran „Parity Boot“ und „Form“. 1991 wurde „Michelangelo“, der sowohl Boot-Sektoren als auch MBRs befallen konnte, zum ersten Mal ein breites Medieninteresse außerhalb der Fachwelt zuteil.
Mit Festplatten kamen auch Dateiviren, die beim Aufruf andere Dateien befallen. Anfangs kamen nur ausführbare Dateien vom Typ COM und EXE als Wirtsdatei in Frage. Die einfachste Methode war, die Originaldatei mit dem Virus zu überschreiben. Weniger plump sind Prepender-Viren, die ausführbare Dateien patchen, sich an deren Anfang schreiben und sich nach getaner Arbeit wieder aus dem Arbeitsspeicher entfernen. Anspruchsvoller sind Appender-Viren, die sich an Programme anhängen. Dabei wird auch der Programmeinstiegspunkt geändert, so dass der Appender vor dem eigentlichen Wirtsprogramm aktiv wird. Erst nach dem Ablauf des Virus läuft das Programm.
Fortgeschrittene Viren verbesserten die Tarnung mit „Entry Point Obscuring“: Der Virus sucht in der Wirtsdatei nach typischen Programmfunktionen und ändert diese so ab, dass erst im Ablauf des Programms die Schadroutine aktiv wird. Für frühe Viren-Scanner war es eine Herausforderung, solche Viren zu finden, da sie sich an einer beliebigen Stelle von Programmdateien einnisten konnten. Diese kleinen, oft mit großer Sachkenntnis geschriebenen Assembler-Programme sind zusammen mit DOS ausgestorben. Ein ideales Umfeld fanden Viren und Würmer aber ab Windows 95 in der Monokultur des Microsoft-Systems. Mächtige Automatisierungsfunktionen wie der Scripting Host oder die Makrofähigkeiten von Office- Programmen waren hier mit einer fehlenden Rechteverwaltung gepaart. Diese Kombination sorgte in Firmennetzwerken und mit der Öffnung des Internets für Privatanwender für die ersten großen Pandemien.
Melissa: Der erste soziale Virus
Die Makrofähigkeit von Programmen wie Word und Excel schuf die Voraussetzung für eine neue Virenart: selbstreproduzierende Makros mit einige Zeilen VBA, die andere Dokumente infizieren. Das Konzept ist seit 1988 bekannt. Zum Problem wurde es Mitte der 90er-Jahre. Im Doppelklicken eines Word-Dokuments sah niemand eine Gefahr, und so breiteten sich Makroviren mit enormer Geschwindigkeit aus. Nicht zuletzt wegen einer peinlichen Panne: 1995 lieferte Microsoft eine CD über den Umstieg auf Windows 95 aus, deren Inhaltsverzeichnis „INHALT.DOC“ mit dem Makrovirus „Concept“ infiziert war. Dieser Virus war einer der ersten weit verbreiteten Makroviren, vom Erfinder aber als Demonstration erdacht und ohne Schadensfunktion.
In der Ausgabe 1/1996 veröffentlichte die PC-WELT einen detaillierten Beitrag zu Makroviren mit Codebeispiel, der vor neuen Infektionswegen über VBA warnte. Den Behörden in der Schweiz gefiel dieser Artikel gar nicht, da dort das Strafgesetz die Veröffentlichung von gefährlichem Code verbot. Darauf steht „Zuchthaus bis zu fünf Jahren“. Die beiden verantwortlichen PC-WELT-Redakteure meiden die Schweiz bis heute.
1999 löste „Melissa“ Panik im Internet aus: Dieser Makrovirus versendete sich selbst in Form einer DOC-Datei für Word 97/2000 über einen Mailanhang in Outlook und wurde von arglosen Windows-Anwendern millionenfach angeklickt. Der Makrovirus verwischte endgültig die Grenzen zwischen Wurm und Virus, enthielt keine Schadroutine, zwang aber aufgrund seiner Maillawinen zahlreiche Mailsysteme in die Knie.