Erstellt am: 20. 6. 2011 - 06:00 Uhr
Cloud-Computing gegen Cyber-Kriminalität
"Was ist der Unterschied zwischen der Software-Industrie und kriminellen Produzenten von Schadsoftware? Es gibt keinen", sagte der Moskauer Anti-Virus-Produzent Eugene Kaspersky, der in der vergangenen Woche einen seiner bekannt launigen Vorträge in Wien hielt.
Strukturell gingen die Kriminellen nicht anders vor als Software-Entwickler, die im Netz ihre Services anbieten und zu Meetings zusammenkommen. Analog zu den B2B-Diensten ("Business to Business") gebe es hier mehrere Modelle, die man unter C2C - sowohl "Criminals to Criminals" wie "Criminals to Customers" - subsummieren könnte.
The Golden Age of Cybercrime
"Wir sehen zwar nur ein paar Pixel des großen Bildes", sagte der Moskauer Anti-Virus Experte, was Umsätze und Profitabilität der Internet-Kriminalität betreffe, so käme bei einer konservativen Hochrechnung der bekannt gewordenen Fälle jedenfalls eine Summe um die 100 Milliarden Dollar heraus.
Mit dem langsamen Auslaufen des weltweit immer noch führenden Betriebssystems Windows XP gehe "ein Traum für jeden Angreifer" zu Ende, meint auch Mikko Hypponen, Technikchef des finnischen Anti-Viren-Unternehmens F-Secure. Die bisher auf XP abonnierten Entwickler von Malware müssten nun auf andere Betriebssysteme umsteigen. Das ist die Mehrzahl aller Malware-Schreiber.
"Die letzten fünf Jahre waren ein goldenes Zeitalter für Cybercrime", so Kaspersky weiter, der damit in den Tenor der auf der FIRST-Konferenz versammelten Security-Kapazunder einstimmte. (siehe Kasten rechts).
Kritische Zeitspannen
Das Um und Auf bei der Bekämpfung dieser lukrativen Kriminalitätsform sei die Verkürzung der Zeitspanne vom Launch der jeweils neuen Schadsoftware bis zu ihrer erstmaligen Entdeckung.
Kaspersky meint damit: Je schneller neue Malware identifiziert und analysiert werden kann, umso schneller können die Virenscanner mit einem Software-Antidot versehen werden und den Ausbruch eindämmen. Das funktioniert natürlich an jenen Knoten im Netz am Besten, an denen Datenströme gebündelt analysiert werden: in den verteilten Rechenzentren der sogenannten "Clouds" diverser Anbieter.
Schattenwelt des Cybercrime
Das geht mitten ins Kerngeschäft der kriminellen Softewareproduzenten und deren "Geschäftskunden", die Botnet-Betreiber, die wiederum als Distributions-Dienstleister für "Endkunden" des "C2C"-Geschäfts fungieren: Vertreiber gefälschter Medikamente, Luxusuhren bzw. Passwort-Phisher, DDoS-Erpresser und ähnliches Gelichter aus der Schattenwelt des Cybercrime.
Im Moment umfassen die Zyklen, in denen neue Schadprogramme gleichsam unter dem Radar der Virenscanner durchfliegen, fünf bis sechs Tage.
Die Abfolge
Die seltsame Qualität dieses Schnappschusses vom Vortrag Eugene Kasperskys іst (wenigstens teilweise) darauf zurückzuführen, dass bei der FIRST-Konferenz Fotografierverbot herrschte. Höhepunkt des Akkreditierungsvorgangs war, dass eine der beiden ebenso freundlichen wie resoluten Damen vom Konferenzmanagement zu schwarzem Filzstift und zur Schere griff, um das gedruckte Konferenzprogramm auf das für einen Journalisten angemessene Ausmaß analog zu reduzieren.
So lange haben die Kriminellen Zeit, um möglichst viele Rechner mit der mittlerweile üblichen Kombination aus Keyloggern, Trojanern und einem sogenannten "Rootkit", dass als "Tarnkappe" dient, zu infizieren und Daten abzuziehen.
Ab diesem Zeitpunkt setzt langsam aber sicher ein Erosionsprozess unter den gerade erst gekaperten Rechner ein, da nach und nach immer mehr Anti-Virus-Programme die neue Malware erkennen und die Rechner in Folge desinfiziert werden.
(cc)FM4
"Unheimliche Vorteile der Cloud"
Unter den neuen Bedingungen der Cloud-Security aber verschieben sich die Fronten auf der Zeitebene dramatisch, sagt Eugene Kaspersky. Die Zeitspanne bis zur Entdeckung neuer Schadsoftware könne entscheidend verkürzt werden, wenn nämlich der Datenverkehr durch die "Wolke" geschleust und parallel dazu auf Malware analysiert werden könne.
"Bei richtiger Anwendung der Cloud bietet sie in dieser Beziehung unheimlich viele Vorteile" ѕagte der Österreicher Gerhard Eschelbeck, Technikchef der US-Sicherheitsfirma (Colorado) Webroot zu ORF.at.
"Crowdsourcing" andersherum
Durch diese Art von "umgekehrtem Crowdsourcing", nämlich der Bündelung des gesamten ein- und ausgehenden Internetverkehrs vieler Kunden in einem "sicheren Rohr" sei es möglich, neue Malware weitaus schneller zu entdecken und Gegenmaßnahmen einzuleiten.
Hinter und vor dem "sicheren Rohr" werken multiple Anti-Virus-Anwendungen. Neben dem Abgleich mit den aktuellen Signaturen bereits bekannter Malware kämen dort an Verhalten und Heuristik orientierte Verfahren zum Einsatz, dabei seien eine ganze Reihe von Anti-Virus-Engines der namhaften Hersteller in Parallelbetrieb.
"Vorwärtsverteidigung
Weil eben soviele ein- und ausgehende Datenströme analysiert werden könnten, sei es nicht nur möglich, Malware wesentlich früher als solche zu identifizieren.
Der an der Uni Linz promovierte Informatiker und Kryptografieexperte Gerhard Eschelbeck entwickelt seit gut zehn Jahren Technologie für Cloud-Security. Davor war er nacheinander im Range eines Vice President für McAfee bzw. Network Associates tätig. Im letztgenannten Unternehmen betraf sein Zuständigkeitsbereich unter anderem die Weiterentwicklung der legendären Verschlüsselungssoftware PGP.
Sobald der erste Hersteller dann ein Gegenmittel parat habe, könnten auf einen Schlag alle Kunden gleichzeitig geschützt werden. Durch diesen "proaktiven Schutz", eine Vorwärtsverteidigung, die näher an den Malware-Quellen ansetze, sagt Eschelbeck, ließe sich die zeitliche Nutzbarkeitsspanne der Schadsoftware für die Kriminellen stark verkürzen.
Hinten am Desktop
Wenn die Verteidigung erst an der jeweiligen Unternehmens-Firewall oder gar erst am Desktop beginne, sei dies mittlerweile "viel zu weit hinten angesetzt".
Eugene Kaspersky ist derselben Ansicht, dass nämlich neue Schadsoftware auf diese Weise in Zukunft binnen Minuten identifiziert werden könne.
Damit würde diese Form von Cyber-Kriminalität weitaus ineffizienter und weniger oder gar nicht mehr profitabel sein. Jedoch: "Damit kriegt man zwar das Gros der Angreifer, nicht aber die intelligenteren Systeme."
Harpunieren fällt nicht auf
Der russische Sicherheitsexperte meint damit - auch "Spear-Phishing" ("Harpunieren") genannte, gezielte Attacken auf einen ausgewählten relativ kleinen, aber hochkarätigen Kreiѕ von Personen.
Das jüngste Beispiel für diese raffinierteren Attacken waren die Angriffe auf "große Fische" nämlich die GMail-Konten von ein paar hundert hochrangiger US-Beamten und Militärs.
Mit derlei gezielten Attacken beschäftigte sich anderen Tags die auf die FIRST folgende "Security B-Sides"-Konferenz.
Die "B-Sides"
Anders als auf der FIRST im noblen Hilton, die CEOs, Sicherheitschefs großer Unternehmen, hochrangige Behördenvertreter und Diplomaten dominierten, traf die mitgereiste Technik-Intelligentsia im Wiener "Hub" am Samstag mit österreichischen Sicherheitsexperten - oder "Hackern", wenn man will - zusammen.
Die mittlerweile in Wien bereits als eingesessen zu betrachtende, jährliche DeepSec Konferenz hat ihren "Call for Papers" bereits eröffnet.
Die Themen der Veranstaltung reichten von gezielten Angriffen auf Firmen samt gut getarnter "Exfiltration" gekaperter Datensätze bis zu Angriffsmethoden auf die neuen "intelligenten" Stromzähler.
Auf dieser Konferenz der anderen Art trugen die Teilnehmer statt Konferenz-Badges Musikkassetten, die mit Musik sowie Programmen für den Commodore 64 bespielt waren. Stilgerecht gab es dazu analoges Schlösserknacken sowie einen Hackbewerb für in Überraschungseiern enthaltene Technologie.