Neuer Rekord an IT-Sicherheitslücken

Heißer Herbst in Sachen IT-Sicherheit: Noch nie hat es von Microsoft so viele als "kritisch" eingestufte Sicherheitsupdates auf einmal gegeben wie am Dienstag. Auch Adobe musste zahlreiche Lücken in seinen Produkten stopfen. Parallel dazu zeichnet sich in den USA ein systematisches Vorgehen gegen Bot-Net-Betreiber ab, die diese Sicherheitslücken für ihr kriminelles Gewerbe nützen.

Gleich 13 "Security Bulletins" hat Microsoft am Dienstagabend veröffentlicht, so viele wie nie zuvor, seit es den monatlichen "Patch Tuesday" offiziell gibt (2004).

Von den 13 mittlerweile bekannten Sicherheitslücken sind acht als "kritisch" eingestuft, die restlichen fünf immer noch als "wichtig". Sie betreffen sämtliche Versionen des Windows-Betriebssystems, aber auch den Internet Explorer, Office Suite, SQL Server sowie diverse Entwicklungswerkzeuge.

"Limitierte Anzahl von Attacken"

Am selben Tag reagierte auch Adobe auf eine gefährliche Sicherheitslücke, die alle neueren Versionen des Acrobat Reader für alle gängigen Betriebssysteme betrifft. Laut Adobe war es lediglich eine "limitierte Anzahl von Attacken" - allerdings nur auf Windows-Rechnern mit Adobe-Software -, die in freier Wildbahn ("in the wild") beobachtet werden konnten.

Gute Nachrichten sind das freilich nicht, zumal es sich um "Targeted Attacks" handelte, um gezielte Angriffe auf ein genau definiertes Set von Zielrechnern. Die sind per se "limitiert", weil sie abseits davon nicht weiter auffallen sollen.

Vielfältige Angriffsziele

Diese Methode ist gebräuchlich, um etwa Firmen gezielt anzugreifen, indem verseuchte Dokumente wie DOCs oder PDFs in die Firmenkommunikation eingeschleust werden, zum Beispiel als fingiertes Angebot.

Um gezielte Angriffe handelte es sich aber auch, als beispielsweise im März 2008 in den Diskussionsforen und Mailinglisten von Dissidentengruppen wie den Exil-Tibetern und Falun Gong PDF- und Word-Dokumente mit Titeln wie "Die Grausamkeiten der Volksarmee in Tibet" in Umlauf kamen.

Titel, Texte und Bilder erweckten den Eindruck, es handle sich um Dokumente aus Dissidentenhand, tatsächlich enthielten sie "Zero Day Exploits", Skripts, die eine bis dahin noch unbekannte Sicherheitslücke nützen, um den Rechner zu kapern.

Plug-íns als Gefahr

Plug-ins für Internet Explorer, Firefox und Co. sind mittlerweile die größte Gefahrenquelle für Infektionen mit Schadsoftware - wenn sie veraltet sind.

In der Liste der 30 am häufigsten im ersten Halbjahr aufgefundenen Sicherheitslücken des SANS-Instituts, für die längst Patches in Umlauf sind, sind die Adobe-Programme nicht weniger als achtmal vertreten, davor liegen nur noch Anwendungen von Microsoft.

• Sicherheitslücke Browser-Plug-ins

• Bot-Net für Spionagezwecke

• Chinas trojanischer Krieg gegen Tibet

Der kriminelle Zyklus

Die große Menge der Angriffe geht aber von Zombie-Rechnern aus, die für die grassierende und immer noch ansteigende Spam-Flut ebenso verantwortlich sind wie für Phishing-Angriffe, Penny-Stock-Betrug, Kreditkartenmissbrauch und was es noch an derlei Delikten gibt.

Sie finden alle über dieselben illegalen Infrastrukturen für "Distributed Computing" oder "verteiltes Rechnen" statt, die Bot-Net-Vertreiber anderen Kriminellen gegen Bezahlung zur Verfügung stellen.

Maßnahmen der ISPs

In Denver (US-Bundesstaat Colorado) hat der neben AT&T größte US-Internet-Provider Comcast begonnen, Maßnahmen gegen dieses Problem zu ergreifen, das allein aus aus offen gelassenen Sicherheitslücken resultiert.

So werden die IP-Adressen der eigenen Kunden mit den Listen befallener Maschinen von Virenschutzherstellern abgeglichen, durch Verkehrsanalysen wird eruiert, ob PCs von Kunden verdächtige Muster zeigen.

Wenn etwa nach Mitternacht das Mail-Aufkommen auf dem SMTP-Port eines Kunden sprunghaft steigt, liegt die Annahme nahe, dass hier ein Spammer sein Unwesen treibt.

Angriffsziel Kabel-TV-Netze

Als Betreiber eines Kabel-TV-Netzes - noch dazu des weitaus größten in den USA - ist Comcast vom expandierenden Teufelskreis aus Sicherheitslücken, Exploits, Trojanern, Zombie-PCs und letztendlich Bot-Nets besonders betroffen.

PCs mit Internet-Anschlüssen von Kabel-TV-Netzen sind als Angriffsziele besonders beliebt, weil sie über fixe IP-Adressen, eine schnelle Netzanbindung und als Privat-PCs meist über unzureichenden Schutz verfügen.

Die Patches

Während des gesamten Monats finden in den USA Veranstaltungen zum Thema statt, der Oktober ist nämlich der "Cyber Security Awareness Month" in den USA.

• Cyber Security Awareness Month

• Patches bei Microsoft

• Patches bei Adobe

Gezieltes Vorgehen

Inzwischen mehren sich auch die Anzeichen dafür, dass in den USA gezielt gegen Bot-Nets vorgegangen wird. In der vergangenen Woche führte die Operation "Phish Phry", laut Angaben des FBI die größte Cybercrime-Untersuchung der Geschichte, zu drei Dutzend Verhaftungen in den USA, in Ägypten wurden um die 50 Personen festgenommen.

Es geht dabei um Kreditkartenbetrug. Bei einem kolportierten nominellen Schaden von 1,5 Millionen Euro - der die betroffenen US-Banken wenig jucken dürfte - liegt der entstandene volkswirtschaftliche Schaden um ein Vielfaches höher.

FBI meidet Online-Banking

FBI-Direktor Robert Mueller wiederum gab in der vergangenen Woche bekannt, dass er Online-Banking in Hinkunft meiden werde, nachdem er fast auf eine Phishing-Attacke hineingefallen wäre.

Wenn der FBI-Direktor jede Form von Kommunikation vermeide, die für Betrug missbraucht werde, dann dürfe er auch weder Telefon noch Fax oder die klassische Post benützen. "Es muss schon ziemlich hart sein, das ganze FBI mit Blechdosen-und-Schnur-Telefonie zu leiten", kommentierte John Pescatore im dieswöchigen Newsletter des SANS-Instituts.

Hintergünde dazu im ersten Teil der Serie:

• Die Militarisierung des Cyberspace

Bot-Nets und die Militärs

Pescatore ist Vizepräsident von Gartner, aber auch NSA-zertifizierter Ingenieur der Krytptologie und war in der Vergangenheit auch für die National Security Agency (NSA) und den dazugehörigen Secret Service tätig.

Mit den Militärs, zu denen die NSA gehört, hat all das sehr viel zu tun, seitdem Bot-Nets immer häufiger rund um Konflikte als Angriffswaffen auf zivile Infrastrukturen zum Einsatz kommen.

Dazu sprach ORF.at mit Oberst Walter Unger vom Generalstab des österreichischen Bundesheers, wie im nächsten Teil der Serie zu lesen sein wird.

Mehr zum Thema:

• Clinton soll die Bot-Nets stoppen

• "Conficker": Sommerferien für Zombie-Rechner

• Profigangs zocken Möchtegern-Spammer ab

• 2009 - der Sommer des Spams

• Gestaffelter Netzangriff auf Südkorea

(futurezone/Erich Moechel)