Hacker der dritten Art

Eigenschaften der Bedrohungen

Schnellere Fortpflanzung ist aus Hackersicht wünschenswert. Sie verhindert ein rechtzeitiges Eingreifen der Sicherheitsadministratoren und richtet deshalb größere Schäden an. Die Autoren von SQL Slammer setzten eine Strategie ein, bei der zufällige Adressen gescannt wurden, um neue Ziele aufzuspüren, und erreichten damit exponentielles Wachstum. Diese Strategie erbrachte schnell gute Resultate, weil UDP (Universal Data Protocol) als verbindungsloses Übertragungsprotokoll verwendet wurde. Andererseits jedoch überlastete SQL Slammer rasch die von SQL-Server-Hosts verwendeten Netzwerke und behinderte sich damit selbst. Angriffe der dritten Generation werden noch bessere Durchdringung erzielen, indem ihre Autoren Systeme mit anvisierten Schwachstellen vorkompilieren und erst dann losschlagen. Mittels Vorkompilation können Angreifer das Internet scannen, die Erfolgschancen für einen Angriff einschätzen und viel versprechende Ziele katalogisieren. Es ist eine besonders effiziente Strategie: Der Angreifer verwendet sozusagen eine Landkarte, um geplante Ziele schnell zu erreichen, anstatt wahllos alle auf dem Weg liegenden Straßen abzufahren. Außerdem lassen sich blitzartige, immer schneller werdende Angriffe durchführen.

Auch künftige Angreifer werden gern bekannte Sicherheitslücken ausnützen. Sie werden aber auch Schwachstellen heranziehen, die noch nicht bekannt sind und vor denen die Sicherheitsadministratoren nicht gewarnt wurden. Durch vorkompilierte Angriffe wird die Zahl angreifbarer Ziele wachsen. Selbst ungebräuchliche Anwendungen und Geräte sind gefährdet: Automatisierte, vorkompilierte Angriffe können auch deren spezielle Schwachstellen aufspüren und ausnutzen. Das Risiko von Angriffen auf unbekannte Schwachstellen steigt, je mehr es in diversen internationalen Auseinandersetzungen technisch gewiefte und mit umfangreichen Ressourcen ausgestattete Parteien gibt, die es darauf anlegen, bei ihren jeweiligen Feinden digitale Verwüstungen anzurichten.

Sicherheitsbedrohungen der dritten Generation werden mehrere Angriffsvektoren führen. Besonders anfällig sind viele neue Technologien, weil sie nicht mit weit reichenden Funktionen zur Erkennung von Bedrohungen und zum Schutz vor ihnen ausgestattet sind. Zu diesen Techniken gehören Instant Messaging (IM), Funknetzinfrastruktur sowie Voice-over-IP-basierte Systeme.

Server, die als Knotenpunkte für Instant Messaging fungieren, könnten zu beliebten Angriffszielen werden. IM-Kommunikation ist für gewöhnlich unverschlüsselt und verfügt nur über begrenzte Techniken zum Gateway-Schutz. Außerdem beschränkt sich die Erkennung von Bedrohungen weitgehend auf die Desktop-Anwendungen. Die umfangreichen File-Sharing-Möglichkeiten könnten zum großen Problem werden, denn die Anwendungen lassen sich etwa zum Transport von Daten und Dateien missbrauchen, die Angriffscode enthalten. Außerdem werden die Bedrohungen der dritten Generation polymorphe Verschleierungs- und Verschlüsselungstechniken einsetzen, um während eines Angriffs nicht entdeckt zu werden.

Angesichts der Folgen, die die schnelle Ausbreitung haben wird, müssen die Sicherheitsadministratoren auf neue Weise mit den Gefahren umgehen, die ihre Netzwerke bedrohen. In der Vergangenheit betrug die Lebenszykluskurve von der Entdeckung einer Schwachstelle bis zu ihrer großflächigen Ausnutzung ein oder zwei Jahre. Doch jetzt werden Gegenmaßnahmen immer dringlicher, weil sich die Kurve zwischen Entdeckung und Angriff zunehmend verengt. SQL Slammer schlug sechs Monate nach der Entdeckung der Schwachstelle zu, "Nimda" vier Monate und "Slapper" nur sechs Wochen, nachdem die entsprechende Sicherheitslücke entdeckt worden war. Die Bedrohungen der Zukunft machen es erforderlich, mit gleichen Mitteln zurückzuschlagen, denn die Angreifer nützen alle Vorteile automatisierter Tools. Die Angriffe bekämpft man am effektivsten dadurch, dass man die Abwehrmaßnahmen automatisiert. Einige Abwehrstrategien sind folgende:

- Regelmäßige Sicherheitsaudits, bei denen Schwachstellen in Systemen und Anwendungen analysiert werden, sind ein wichtiges Mittel. Die Methoden reichen von herkömmlichen Durchdringungstests bis hin zu neuen, automatisierten Diensten, die über das Web durchgeführt werden. Häufige Audits stellen sicher, dass die Administratoren schnell und effektiv auf neu entstandene Angriffspunkte reagieren können. Die Schlüsselelemente eines gründlichen Audits sind die Identifizierung der Netztopologie und sämtlicher Zugangspunkte von außerhalb und innerhalb der Unternehmens-Firewall, Identifizierung aller Dienste, Betriebssysteme und Anwendungen auf allen ans Netzwerk angebundenen IPs, um festzustellen, welche Sicherheitslücken eventuell bestehen könnten, Identifizierung und Priorisierung kritischer Sicherheitslücken und die Auswahl geeigneter Abhilfemaßnahmen für die gefundenen Sicherheitslücken, zum Beispiel Patches und neue Konfigurationseinstellungen.

- Der Einsatz von Antivirensoftware ist unerlässlich, um bekannte Bedrohungen zu blockieren, besonders, wenn diese nach einer ersten Angriffswelle periodisch wiederkehren. Herkömmliche Antiviren-Software vergleicht die Anwendungsdateien mit einer Datei mit Viren-Signaturen. Zu einer effektiven Abwehr gehört unbedingt, dass die Nutzer jeweils die neueste Version der vom Hersteller gelieferten Signaturdatei installieren.

- Anbieter von Anwendungsprogrammen geben häufig Patches heraus, die die bestehende Anwendung modifizieren, um Sicherheitslücken zu schließen, ohne den gesamten Code zu ersetzen. Rechtzeitiger Einsatz von Patches ist eine der effektivsten Abwehrmaßnahmen überhaupt. Durch rechtzeitigen Einsatz von Security-Patches kann ein Unternehmen die meisten Angriffe verhindern.

- Unternehmen sollten ihre internen Sicherheitsrichtlinien und die Maßnahmen zu deren Durchsetzung regelmäßig überprüfen. Hierzu können sie die Trendanalysen nützen, die im Rahmen von regelmäßigen Sicherheitsaudits generiert werden. (sf)

Zur Person

Dr. Gerhard Eschelbeck

ist Chief Technology Officer und Vice President of Engineering bei Qualys.