Dipl.-Inform. Carsten Eilers

Vor einem Jahr wurde Flame entdeckt. Anfangs war der, mal abgesehen von Größe und Funktionsumfang, nichts besonderes. Auch wenn die Medien die Gelegenheit nutzten, um völlig unnötig Panik zu schüren. Woran die Entdecker bei Kaspersky nicht ganz unschuldig waren, denn die hatten Flame ziemlich aufgebauscht. Als dann die für die "Cyberwar-Schädlinge" fast obligatorische 0-Day-Schwachstelle entdeckt wurde, relativierte sich das (auch wenn von der bei den ersten Meldungen niemand etwas wusste): Die Schwachstelle in Windows-Update erlaubte es Flame, sich als angebliches Windows-Update zu verbreiten. Ein Traum für jeden Cyberkriminellen, ein Albtraum für alle anderen.

Auf ThreatPost (das zu Kaspersky gehört) gibt es nun einen Rückblick: "Flame One Year Later". Wirklich Neues gibt es darin nicht. Auch das Flame ein Wendepunkt in der Geschichte der Schadsoftware war ist ziemlich übertrieben. Gezielte Angriffe? Sind spätestens seit der "Operation Aurora" (zu der ich gleich noch komme) ein alter Hut. Signierte Schadsoftware? Gab es vorher schon. Von Staaten entwickelte Schadsoftware? War seit Stuxnet bekannt. Staaten nutzen Software zur Spionage und Überwachung? Ebenfalls nichts Neues. Sogar die deutschen Behörden haben einen "Staatstrojaner" (gehabt), und die gelten ja nun IT-mäßig nicht gerade als Vorreiter, oder? Wer also war 2012 noch überrascht, als er erfuhr, dass Staaten Software zur Spionage nutzen? Wenn das für Kaspersky was Neues war... nun ja.

In einer Hinsicht war Flame allerdings wirklich ein Wendepunkt war: Die Antivirenhersteller haben Flame trotz (oder eher wegen) seiner Größe lange Zeit übersehen. Und damit gezeigt, was sie können (oder besser: Nicht können). Aber das wird von Threatpost natürlich nicht erwähnt.

Der Antivirenhersteller warnt: Komprimieren gefährdet Ihre IT-Sicherheit!

Und weil ich gerade bei Antivirenherstellern und Virenscanner bin: Was ist der Unterschied zwischen einer Windows-Systemdatei und einer komprimierten Windows-Systemdatei? Die komprimierte Version wird von vielen Virenscannern als Schadsoftware erkannt. Das hat Lakshman Nataraj herausgefunden, als er eine Reihe von Windows-Systemdateien mit verschiedenen Packern komprimiert und VirusTotal zur Analyse vorgesetzt hat. Dafür gibt es ja eigentlich nur vier mögliche Erklärungen:

1. Lakshman Nataraj hat das alles nur erfunden und die Beweise gefälscht, um die Virenscanner schlecht aussehen zu lassen. Das ist extrem unwahrscheinlich, dafür sorgen die Hersteller selbst schon regelmäßig.
2. Alle von Lakshman Nataraj verwendeten Packer waren mit einem Virus infiziert, der sich in die erzeugten Archive schreibt. So ein Schädling ist zumindest mir nicht bekannt. Es wäre auch ein ziemlicher Aufwand, einen Dateiinfektor zu entwickeln, der alle möglichen Packprogramme infizieren und danach missbrauchen kann.
3. Lakshman Natarajs System war mit einem Schädling infiziert, der sich in alle vorhandenen Archivdateien schreibt. Zum Beispiel diesem aktuellen Exemplar, dass sich in .ZIP, -.RAR- und .RAR FX-Dateien kopiert, und das sogar, wenn sie mit einem Passwort geschützt sind. Lakshman Nataraj hat allerdings andere Formate verwendet, so dass zumindest dieser Schädling ausscheidet.
4. Bleibt die wahrscheinlichste Erklärung: Die Virenscanner sind einfach zu dämlich, ein Archiv korrekt zu analysieren, zu entpacken und dabei die enthaltene Systemdatei als das zu erkennen, was sie ist: Eben eine harmlose Systemdatei. Und daher schreien sie lieber laut "Schädlingsalarm", obwohl weit und breit kein Schädling zu sehen ist. Was mit Leuten passiert, die ständig "Feuer" schreien obwohl es gar nicht brennt, ist wohl bekannt.

"Verdächtig" bedeutet nicht automatisch "Gefährlich"!

Bei Vorträgen und Workshops zu HTML bzw. immer wenn es (auch) um die Frontendentwicklung im Web geht weise ich meist darauf hin, dass getarnter ("obfuscated") JavaScript-Code verdächtig ist. Denn auch die Cyberkriminellen tarnen sehr oft den JavaScriptCode für Drive-by-Infektionen, damit seine Schadfunktion nicht so offensichtlich ist.

Stoße ich bei der Analyse einer Website auf gepackten oder getarnten Code, muss ich den immer erst mehr oder weniger mühsam enttarnen, um sicher zu gehen, dass sich darin kein Schadcode verbirgt. Die "obfuscation" hat also gar keine Wirkung außer der, den Code verdächtig erscheinen zu lassen. Umkehren lässt sie sich immer.

Diese Situation ist damit aber nicht zu vergleichen. Denn die Virenscanner stufen die Dateien eindeutig als Schadsoftware ein, ohne sie näher zu analysieren. Denn sonst würden sie beim Entpacken ja feststellen, dass es sich nicht um Schadsoftware handelt. Sehr vertrauenswürdig, was?

"Operation Aurora" war Gegenspionage

Kommen wir noch kurz zur "Operation Aurora", dem gezielten Angriff gegen Google und weitere Unternehmen. Bisher wurde vermutet, dass China bei Google Informationen gesucht hat, um tibetische Aktivisten zu verfolgen. Nun sieht es so aus, als wären die Angreifer hinter ganz anderen Informationen her gewesen (ebenso wie der nächste Link via Naked Security): Informationen darüber, ob die US-Behörden chinesischen Agenten auf der Spur waren.

Im ersten Moment klingt das wie ein schlechter Witz, schließlich ist Google ja keine Außenstelle des US-Geheimdiensts. Oder etwas doch? Dann wäre es jedenfalls eine äußerst gute Tarnung. Oder hat man in China irgend einem Agenten-Azubi befohlen, nach Informationen über die Agenten zu googlen, und der hat das völlig falsch verstanden und gedacht, er solle die bei Google intern suchen?

Das ganze hat natürlich einen viel einfacheren Hintergrund: Gesucht wurde vermutlich nach Gerichtsbeschlüssen zu Abhörmaßnahmen und ähnlichen Unterlagen. Was ein sehr cleverer Schachzug wäre: Statt die vermutlich/hoffentlich sehr gut geschützten US-Behörden anzugreifen sieht man einfach bei den meist deutlich weniger geschützten Unternehmen nach, ob die den Behörden verdächtige Informationen liefern müssen. Da bekommt für manche Kreise "googlen" eine ganz neue Bedeutung.

Ob die US-Behörden es sich in Zukunft zweimal überlegen, bevor Sie Abhörmaßnahmen anordnen? Oder gibt es in Zukunft strenge Geheimhaltungsregeln für die entsprechenden Gerichtsbeschlüsse? Sowas wie "Nur lesen, nicht kopieren und schon gar nicht im Rechner speichern!"? Wie die Maßnahmen spurenlos umgesetzt werden sollen überlassen die Behörden dann sicher großzügig den betroffenen Unternehmen. Und wenn die gerade dabei sind, können sie eigentlich auch gleich noch ein Perpetuum Mobile und die überlichtschnelle Raumfahrt erfinden.

Carsten Eilers