Channel Security

Der erste Standpunkt Sicherheit des Jahres liefert wie üblich einen Rückblick auf das vergangene Jahr und wagt einen Ausblick auf das neue.

Der RPC-Wurm - er läuft, und läuft, und läuft...

Der erste "Höhepunkt" das Jahres 2009 war der RPC-Wurm Conficker/Downadup: Obwohl er erst nach der Veröffentlichung der Patches für die anfangs allein ausgenutzte RPC-Schwachstelle ausbrach, verbreitete er sich mit rasendem Tempo und stellte damit alle seine Vorgänger in den Schatten. Außer der RPC-Schwachstelle nutzten spätere Versionen auch Netzwerk-Shares und die AutoPlay-Funktion für USB-Sticks zur Verbreitung. Am 1. April sollte dann laut einigen Medienberichten das Internet untergehen, weil die bis dahin aktuelle Version von Conficker/Downadup ab diesem Tag neuen Code nachladen sollte. Der Untergang wurde erst verschoben und fiel dann ganz aus: Ab dem 7. April wurde eine neue Wurm-Variante nachgeladen, deren auffälligste Besonderheit darin bestand, dass sie sich am 3. Mai selbständig deaktivierte. Die Schadfunktionen fielen moderat aus: Ein nachgeladener E-Mail-Wurm und die Verbreitung von Fake-Virenscannern - alles alte Hüte und bestimmt kein Grund zur Panik. Und da der RPC-Wurm auch im Dezember noch sehr aktiv war, dürften er und/oder die Auswirkungen des von ihm gebildeten Botnets uns auch im Jahr 2010 beschäftigen.

Clickjacking - 2008 entdeckt, 2009 der erste große Auftritt

Clickjacking wurde im Herbst 2008 bekannt, nachdem Jeremiah Grossman und Robert "RSnake" Hansen einen zuvor angekündigten Vortrag auf der Konferenz OWASP NYC AppSec zurückzogen. Kurz danach sickerten erste Details durch, Ende Oktober wurde von Grossmann und Hansen dann das Paper mit der Beschreibung des Angriffs veröffentlicht. Im Februar verbreitete sich ein Wurm dann mit Hilfe von Clickjacking auf Twitter - aus einer vorerst theoretischen Bedrohung wurde handfester Ernst. Aber es blieb nicht bei diesem einen Twitter-Wurm, weitere, wenn auch ohne Clickjacking-Einsatz, folgten im April. Sowohl Angriffe auf das Web 2.0 als auch Clickjacking dürften uns auch 2010 beschäftigen. Social Networks und sonstige Web-2.0-Angebote sind für die Cyberkriminellen aufgrund ihrer Popularität und der dadurch hohen Anzahl möglicher Opfer ein interessantes Operationsgebiet, und Clickjacking-Angriffe haben gerade erst begonnen, ihr Potential zu zeigen.

Frau von der Leyen steckt den Kopf in den Sand

Die Internetzensur, von Frau von der Leyen mit großem Getöse als "Filter gegen Kinderpornos" gefordert und als ein Allheilmittel gegen Kindesmissbrauch gepriesen, wurde trotz gegenteiliger Ansicht aller Fachleute und einer erfolgreichen Petition dagegen sowie zugegebener Unwissenheit auf Seiten der Bundesregierung von den Politikern der großen Koalition in ein Gesetz gegossen. Und jetzt die spannende Frage: Erreicht das Gesetz noch das Bundesverfassungsgericht und wird dort dann im Abfalleimer verfassungswidriger Gesetze versenkt, oder wird es vorher schon vom Bundespräsidenten zerrissen, der sich nicht dazu hergibt, ein unwirksames, verfassungswidriges Gesetz zu unterschreiben, das nach seiner Unterschrift ja sowieso per Erlass auf Eis gelegt werden soll?

Die Schwachstellen in Microsofts Active Template Library (ATL)

Alles fing ganz harmlos an, mit einer 0-Day-Schwachstelle im Microsoft Video ActiveX-Control, die für Drive-by-Infektionen ausgenutzt wurde. Auffallend daran: Die "gut abgehangene" CVE-ID und der Ablauf der "Patch"-Entwicklung (der "Patch" besteht aus dem simplen Setzen des Kill-Bits). Für den 28. Juli wurde von Microsoft dann ein außerplanmäßiger Patchday angekündigt, der Raum für Spekulationen bot. Die Auflösung des Rätsels war dann spektakulär: Das Killbit im Internet Explorer ist in bestimmten Fällen wirkungslos, die entsprechenden Schwachstellen wurden schon einen Tag später auf der Sicherheitskonferenz "Black Hat USA" vorgestellt. Ein geniales Timing! Hier noch eine weitere Aufführung des Zeitablaufs, die Schwachstellen in den Microsoft Office Web Components haben zum Glück entgegen meiner Befürchtungen keine vergleichbare Karriere gemacht. Auch mit den ATL-Schwachstellen dürften wir es 2010 noch zu tun bekommen, zumal Microsoft auch nach der Veröffentlichung der ersten Patches noch Patches für weitere Systemkomponenten nachgeliefert hat. Wie viele weit verbreitete ActiveX-Controls von Drittanbietern wohl von den Schwachstellen betroffen sind?

Schwachstellen in Adobe Reader und Acrobat

Schwachstellen in Adobe Reader und Acrobat - davon gibt es mehr als genug. Sogar manchmal mehr, als Adobe selbst in seinen Security Bulletins und Advisories anfangs zugibt, wie sich im Frühjahr 2009 herausstellte. Evtl. weiß man bei Adobe ja selbst nicht mehr, welche Schwachstellen man schon kennt, welche bereits behoben wurden und welche noch offen sind? Um der Lage Herr zu werden, griff man zum Wundermittel des Patchdays, den man so genau von Microsoft kopierte, dass man sogar das Datum des 2. Dienstag im Monat übernahm, vorerst aber nur quartalsweise. Angesichts von vier 0-Day-Schwachstellen in 2009 ist so eine Aktion auch dringend nötig. Noch dringender wäre es natürlich, die Schwachstellen schnellstmöglich zu beheben und nicht wie im aktuellen Fall damit einen Monat bis zum nächsten Patchday zu warten. Angesichts der Popularität des Adobe Readers bei den Cyberkriminellen, die ihn bevorzugt zum Einschleusen von Code im Rahmen von Drive-by-Infektionen verwenden, wäre es gewagt, für 2010 mit weniger neu entdeckten Schwachstellen und Angriffen darauf zu rechnen.

Troja entdeckt den Compiler, Viren befallen Trojaner

Viren befallen Trojaner und ein Trojaner verbreitet sich über die Delphi-Entwicklungsumgebung - wenn es um das Erschließen neuer Verbreitungswege ging, waren die Cyberkriminellen 2009 ziemlich kreativ. Während von Viren befallene Trojaner noch als "Betriebsunfall" durchgehen könnten und nicht zwingend einen neuen Trend andeuten, könnten Angriffe auf bzw. über Entwicklungsumgebungen zu einer neuen (und gleichzeitig alten, Stichwort "transitive Trojanische Pferde") Bedrohung werden.

Sicherheitsfragen - schlimmer als schwache Passwörter?

Auch Sicherheitsfragen, die sich zunehmend als Unsicherheitsfaktor entpuppen, waren 2009 ein Thema. Darüber "gehackte" Benutzerkonten dürften uns auch 2010 beschäftigen, schließlich machen es die Betreiber und Benutzer den Cyberkriminellen damit so einfach, dass die einfach zugreifen müssen.

Was kommt sonst noch?

Die Vorratsdatenspeicherung liegt immer noch auf Eis, das Bundesverfassungsgericht wird sie hoffentlich dieses Jahr endgültig stoppen. Die selbst ernannte Bürgerrechtspartei FDP war dazu ja bei den Koalitionsverhandlungen nicht in der Lage. Was zu der kuriosen Situation führt, dass die Justizministerin gegen ein von ihrem Ministerium zu verteidigendes Gesetz eine Verfassungsbeschwerde laufen hat.

Cloud Computing kommt - und damit auch dessen Missbrauch bzw. Angriffe auf, aus oder über die Cloud. Warum sollte ich doch gleich meine Daten dieser ominösen Wolke anvertrauen?