2003/09/10 Würmer & Viren - Sorge vor 11. September unbegründet
Gruppe der Wurm-Entwickler wird immer größer - Verschwörungstheorien unhaltbar - 3 Hygienemaßnahmen für sicheren Mailbetrieb - Update- und Patchkonzepte erleichtern Wurm & Virenentwicklung - aufgeklebte Antivirenprogramme beruhigen das Gewissen, bringen aber kaum Sicherheit - integrierte Lösungen gefordert
Verbreitung von Würmern & Viren erfolgt immer rascher
Anlässlich des Wütens der Würmer W32-Blaster und SoBig.f + Vorgänger wurden eine Fülle von Spekulationen und Verschwörungstheorien verbreitet. Unter anderem meinten einige 'Analysten' im Auftreten der SoBig.*-Varianten eine Regelmäßigkeit im Datum zu erkennen, die quasi am 11.September seinen ultimativen (und katastrophalen) Abschluss findet.
IRRTUM 1: hohe Programmierkenntnis notwendig
Würmer, wie die zuletzt verbreiteten benötigen relativ geringe System- und Programmierkenntnisse. In Österreich wären mehrere tausend Personen imstande derartige Würmer zu schreiben, weltweit geht die Zahl in die Millionen Personen.
Die Unzahl der Angriffsstellen und möglichen Wurm-Varianten kann es extrem schwer machen, einen fertigen und gut versteckten Wurm zu erkennen und zu analysieren. Die 'Antiwurmfraktion' ist daher immer hoffnungslos im Hintertreffen.
Für die bestehende IT-Landschaft gilt: die Zahl der Würmer wird weiterhin drastisch steigen, die Zahl der Personen, die derartiges erstellen können ebenfalls, das tatsächliche Schadenspotential ebenfalls, das Alter der Entwickler wird stark sinken. Mit dem 11. September hat das nichts zu tun.
IRRTUM 2: Hinter der Verbreitung der Würmer steht ein Konzept
Egal ob die Wurm-Entwicklung Al'Kaida, GWBush, CIA/NSA, Microsoft, den Antivirenherstellern oder der organisierten Kriminalität zugeschrieben wird, derartige Verschwörungstheorien sind bestenfalls amüsant.
Die jetzt im Umlauf gebrachten Würmer sind viel zu auffällig und entwickeln auch ein zu geringes Schadenspotential, um für effektive Verbrechen geeignet zu sein. Und es wäre extrem unlogisch, wenn jemand durch versenden von Vorläuferversionen alle Benutzer motiviert, Sicherheitsmaßnahmen zu setzen und dadurch den Schaden zu minimieren.
Das Produzieren von Würmern ist bestenfalls als spezielle Internet-Subkultur zu bewerten, bei der die Protagonisten eher lose untereinander Kontakt halten und Informationen austauschen.
IRRTUM 3: angeblich starke Verbreitung
Die große Zahl betroffener Computer und Mails täuscht darüber hinweg, dass nur eine sehr spezifische IT-Konfiguration tatsächlich von diesen Würmen betroffen ist. Es sind dies bestimmte Kombinationen fehlerhaft installierter Betriebssystemversionen und Mailprogramme des Marktführers.
Hans G. Zeger: 'Die starke Wurm-Verbreitung ist bloß als Resultat der Nichtbeachtung zentraler und daher kritischer IT-Anforderungen zu sehen. An der eigenen Mailadresse langten etwa 200 SoBig.f-Würmer ein, davon stammten nur rund ein Viertel von tatsächlich verseuchten Computern, dreiviertel stammen von sogenannten Antivirenprogrammen, die die Würmer an die gefälschte Absendeadresse zurückschicken, anstatt aus der Absende-IP-Adresse die tatsächliche Wurmherkunft zu eruieren.'
Wird der Versand der Würmer meist nach kürzester Zeit unter Kontrolle gebracht (bei SoBig.f etwa innerhalb von 72 Stunden) führt die Folgeverbreitung durch ungeeignete Abwehrmaßnahmen noch Wochen später zu zusätzlicher Gefährdung und Belastung des Mailverkehrs.
Drei Hygienemaßnahmen für sicheren Mailbetrieb
HYGIENEMASSNAHME 1: Verstandene Internetverbindung
- Wissen Sie wirklich welche Ports zum Internet offen sind?
Nicht bloß Ports mit Sicherheitslücken sollten geschlossen werden, sondern alle, die nicht ausdrücklich benutzt werden.
Für einen durchschnittlichen Internetbenutzer (dies gilt auch für die meisten KMU's) müßten bloß 5-8 Ports offen sein.
Websites, die mit eigenen Ports daherkommen, sollten grundsätzlich mißtraut werden, ebenso Spezialprogramme, die zusätzliche Ports benötigen.
EMPFEHLUNG 1: Close your ports! Oder haben Sie in Ihrer Wohnung eine undefinierte Zahl von Türen und Fenstern offen?
HYGIENEMASSNAHME 2: Individueller Mailfilter
- Sind alle Mails, die Sie erhalten wirklich von Bedeutung?
Neben Wurm-verseuchten Mails langen auch jede Menge unerwünschter Mails ein.
Was ist jedoch ein erwünschtes und unerwünschtes Mail? Wer trifft diese Entscheidung?
Letztlich kann nur der Empfänger endgültig festlegen, welche Mails er haben möchte oder nicht. Daher: vermeiden Sie Mailfilter, die vorgeben Ihre Mails automatisch nach SPAM und Würmer zu durchsuchen und verwenden Sie Mailfilter, die individuell konfiguriert werden können.
EMPFEHLUNG 2: Nutzen Sie einen verregneten Nachmittag zur Definition Ihrer individuellen Mail-Policy!
HYGIENEMASSNAHME 3: Transparente Mailkonfiguration
- Wissen Sie wirklich mit welchen Programmen Ihr Mailprogramm interagiert?
Welche Laufzeitbibliotheken nutzt es, mit welchen anderen Programmen tauscht es Daten aus, welche Befehle und Aktionen werden automatisch ausgeführt?
Sie sollten alle Aktionen, die ein Mail-Programm gegenüber Betriebssystem und Anwendersoftware ausführt, verstehen bzw. nachvollziehen können.
Sind Sie sich unsicher, welche Verknüpfungen tatsächlich bestehen, sollten Sie das Mail-Programm deinstallieren. Zum Marktführer gibt es jede Menge kommerzielle und freeware Mailalternativen, die wesentlich transparenter sind. Auch der Einsatz eines Webmailers ist für Unternehmen und Organisationen eine sinnvolle Alternative.
EMPFEHLUNG 3: Deinstallieren Sie Mailprogramme, deren Integrationsniveau Sie nicht nachvollziehen können.
Zusätzliche Antivirenprogramme
Wer die oben beschriebenen Hygienemaßnahmen beachtet, ist mit oder ohne Antivirenprogramm gegen Angriffe relativ gut gesichert.
Wer nun noch zusätzlich ein Antiviren-Programm installieren möchte kann das tun, doch sollte er über den tatsächlichen Schutzumfang seines Antivirenprogramms bescheid wissen.
Kein Antivierenprogramm schützt vor neuen Würmern und Viren. Angaben über zigtausende erkannte Viren- und Würmer beeindrucken vielleicht Zahlenfetischisten, wiegen jedoch den Endbenutzer oft in falsche Sicherheit.
Wesentlich sind die Kontroll- und Warnmechanismen gegenüber neuen - unbekannten - Bedrohungen. In der Regel sind gute, individuell zusammengestellte Mailfilter bessere Frühwarnsysteme, als schlecht konfigurierbare Antivirenprogramme. Man sollte nur dann ein Antivirenprogramm installieren, wenn man tatsächlich bereit ist, den zusätzlichen Update-, Filter- und Konfigurationsaufwand tätigen zu wollen.
Update- und Patchkonzept gescheitert
Das Verfahren, Betriebssysteme in einer Rohfassung auf den Markt zu bringen und dann nach und nach mit ServicePacks und Patches an die geplante Funktionalität heranzubringen, ist im Endkundenmarkt unbrauchbar. Endbenutzer sind überfordert, mittels langsamer Internetleitung (Modem und/oder ISDN) bis zu 100 MByte große Patches zu installieren. Es besteht auch in der Regel keine Möglichkeit einzelne Patch-Versionen zu überspringen, da die verschiedenen Updates aufeinander aufbauen.
Die Unzahl von OEM-Versionen und Gerätedriver verschärft die Situation zusehends und führt letztlich zur Resignation des Benutzers. Er bleibt bei einem bestimmten Level stehen und wird somit zur beliebten Verteilplattform der nächsten Wurmgeneration.
Zukunft des Mailverkehrs
Um den Mailverkehr grundsätzlich sicher zu machen, werden weder Betriebssystempatches noch aufgeklebte Antivirenprogramme genügen. Dazu ist es notwendig, die Schnittstelle zwischen externer (und potentiell verseuchter) IT-Welt und internem (und grundsätzlich sicherem) Computersystem neu zu definieren. Bisher wurde diese am Internetanschluss definiert, entweder am Modem, am aDSL-Anschluss, am Router oder an einer Firewall.
Hans G. Zeger: 'Diese Schnittstellendefinition ist nicht ausreichend, da an dieser Stelle der Endbenutzer zu wenig Eingriffs- und Nutzungsmöglichkeiten hat. Wesentlich intelligenter wäre es, dem Endbenutzer am Desktop seines Computers eine sichere Umgebung bereit zu stellen, die von seinem sonstigen Arbeitsbereich abgeschottet ist. Innerhalb dieser Umgebung kann er hereinkommende Dateien, Mails, Webseiten usw. übernehmen, testen und erst anschließend freigeben.'
In diesem 'untrusted environment' sollte es dann möglich sein, beliebige zusätzliche Test- und Prüfprogramme zu installieren, beliebige Befehle usw. auszuführen, ohne die Sorge zu haben, dass Fehler in das eigene IT-System durchschlagen.
Die Grundlagen derartiger Lösungen, als 'virtuelle Maschinen' bezeichnet, existieren schon seit Jahrzehnten, haben aber noch keinen Eingang in die gängigen Business-Betriebssysteme gefunden.
|
