“Sicher ist man nur mit DOS”

Autoren von Viren und Malware arbeiten am häufigsten nach zwei Prinzipien. Gemacht wird, was Geld bringt und durch die Signaturen der großen Produzenten von Sicherheitssoftware - wie Magnus Kalkuhls Arbeitgeber, dem internationalen Unternehmen Kaspersky Labs - klarerweise noch nicht erfasst wird. Der Virenforsensiker unterscheidet dabei grundlegend zwei Arten von Attacken: Einen Angriff auf Privatanwender, wo es heutzutage hauptsächlich darum geht, den Computer zu übernehmen, um damit Spam zu verschicken und Trojaner zu verbreiten; und Angriffe auf Unternehmen, wo häufig Hacker versuchen, Malware in das Computersystem einzuschleusen oder Daten von Servern zu stehlen.

Die Betroffenheit des einen schließt die Unversehrtheit des Anderen aber nicht aus, denn meistens geht es auch bei einem Angriff auf ein Unternehmen darum, schlussendlich den Endkunden zu attackieren. Sei es durch Phishing-Attacken oder gezielte Angriffe, wie etwa im Fall der Jobbörse „Monster.com“, wo durch eine Sicherheitslücke im Server des Unternehmens Hunderttausende User-Profil geknackt wurden und die Jobsuchenden eine E-Mail im vertrauten Monster.com-Layout bekamen, aber schließlich auf eine Website mit hochgefährlicher Malware gelockt wurden. Hierbei spricht die Anti-Viren-Community von einem bedrohlichen Wandel, bei dem Schadensbegrenzung immer schwieriger wird, weil die Attacken sehr gezielt und „intelligent“ ausgeführt sind.

Herr Kalkuhl, welche Art von Angriff stellt momentan die größte Bedrohung dar?

MK: Gezielte Attacken. Wenn eine Massenmail mit Schadcode ausgeschickt wird, kriegt der Virus sehr schnell seine Signatur (= Datei mit dem Aufbau des Schadcodes, die an die Endkunden mit dem Anti-Virus-Update ausgeschickt wird; dadurch weiß die Software, wie die Malware beseitigt werden kann; Anm.) verpasst, weil wir ihn sehr schnell im Report bei uns haben. Wenn‘s jedoch nur ein einziges Exemplar gibt, das speziell zum Angriff auf eine Firma benutzt wird, kriegen wir das nie in die Hände, können keine Signatur erstellen und müssen auf andere Methoden zurückgreifen, die wiederum mehr Aufwand für den Anwender bedeuten.

Wie weit sind die Virenautoren den Viren-Jägern voraus?

MK: Gut, geschwindigkeitsmäßig werden sie‘s immer sein, weil der Virus ja vor der Signatur kommt. (lacht) Aber mittlerweile habe wir sie ganz gut im Griff. Von der Analyse her ist es fast kein Problem mehr, da haben wir schon so ausgefeilte Techniken, dass uns kaum ein Schadcode überrascht. Das Problem ist eher die Quantität. Die Schädlinge müssen alle auseinander genommen werden, die Signaturen müssen immer aufs Neue zu einem Paket verschnürt werden. Da müssen wir sehen, wie‘s weitergeht. Derzeit hat unsere Signaturdatenbank, die dann beim Enduser ist, etwa 30 Megabyte. Da gibt‘s dann auch irgendwann mal Grenzen, 60 Megabyte gehen ja noch, aber wenn die Produktion der Autoren noch einmal exorbitant ansteigt und die Größe der Datenbank eine kritische Schwelle erreicht, müssen wir uns was einfallen lassen. Ich würde sagen, übers nächste Jahr kommen wir noch gut hin - dann sehen wir weiter.

Wie oft schnappt man die Wurzel des Übels, einen Virenautor?

MK: Ganz selten. In der Regel geht das über so viele Kanäle, dass man zum Autor nie gelangt. Einen ganz interessanten Fall gab es beispielsweise beim Programm „MPACK“. Das ist ein Toolkit, das Hackern am Schwarzmarkt angeboten wird. Wenn man es erwirbt und es auf einem Server einsetzt, hat man quasi ein System, das alle Schwachstellen im Browser des Kunden ausnutzen kann.

Wie man sie ausnützt, kann man beliebig wählen. Wir wissen, das davon rund 10.000 Server betroffen waren, darunter auch ganz seriöse wie Reisebüros zum Beispiel, was ganz besonders schlimm ist. Beispiel: Der User will in den Urlaub fahren, geht auf die Site des Reisebüros - in dem Moment guckt dann bereits das MPACK, welchen Browser der User hat, welche Schwachstellen noch vorhanden sind, und schon ist der Rechner infiziert.

MPACK hat uns gezeigt, wie professionell die Branche mittlerweile geworden ist. Für die 1.000 Dollar bekommt der „Kunde“ ein Jahr lang kostenlosen Support und Updates - wie bei einem kommerziellen Produkt. Die Entwickler von MPACK sind natürlich nicht bekannt, haben sich aber unter Pseudonymen öffentlich geäußert. Es hieß, sie kämen aus Russland und wissen natürlich, dass das, was sie tun, höchst kriminell ist. Allerdings hätten sie ihre Rechner gut gesichert - wenn die russischen Behörden sie erwischen würden, wären mit einem Klick alle Beweise vernichtet. Und dann sagten sie weiter, dass sie ja im Prinzip nur Munitionsfabrikant sind, man bringe ja niemanden um.

Hätten Sie auch Virenautor statt Analytiker werden können?

MK: (lacht) Nein. Ich habe schon sehr früh mit Programmieren begonnen und bin irgendwann auf das Thema Sicherheit gestoßen. Wenn man seinen Computer wirklich intensiv nutzt und allerlei Daten darauf sichert, ist der Gedanke, dass man übers Internet angezapft werden könnte, sehr unangenehm. Aber wenn man Viren schreibt, macht man sich um die Sicherheit keine Gedanken. Das sind zwei Paar Schuhe. Beim Schreiben von Viren geht es darum, irgendwo einzudringen. Der Gegner ist das Betriebssystem.

Bei der Virenanalyse geht‘s den umgekehrten Weg: Wir stehen momentan vor einer Bedrohung von etwa 400.000 bekannten Schädlingen und ich muss irgendwie vor allen schützen können, in den unterschiedlichsten Kombinationen. Das ist eine ganz andere Sache. Ein Großteil der so genannten Virenautoren sind auch nur so genannte „Skript-Kiddies“. Die laden sich irgendwo im Netz Schadcode herunter, ändern ein paar Zeilen, schreiben dann ihr Pseudonym darunter und nennen sich Virenschreiber. Dabei würden sie ihren eigenen Virus wahrscheinlich nicht analysiert kriegen. Da trennt sich dann die Spreu vorm Weizen.

Es heißt zwar, die Anti-Viren-Firmen würden jeden, der einen bedeutenden Virus geschrieben hat, sofort einstellen. Ist aber nicht. Wir haben bei uns die Policy, dass jeder, der einmal einen Virus geschrieben hat, keine Chance auf einen Job bei uns hat. Auch wenn er sagt, er macht‘s nicht mehr. Es könnte ja passieren, dass da jemand mal reinrutscht und bei uns sein „Meisterwerk“ vollbringen will. Es gab da auch einen bekannten Fall: Der Sasser-Programmierer, der ja in Deutschland gefasst wurde, hat bei einer Firma angeheuert, die Partner bei AVIRA (Anm.: Hersteller des Gratis-Tools „Anti-Vir“) war. Die Firma hat dann auch groß damit geworben - und das erste, was Avira gemacht hat, war, den Vertrag mit der Firma zu kündigen.

Wie groß ist das jeweilige Risiko, dass man sich als Endkunde durch sein Nutzungsverhalten mit Schadcode infiziert und dass man sich umgekehrt beim gehackten Unternehmen ansteckt?

MK: Grundsätzlich ist sich der User selbst sein größten Risiko. Über neunzig Prozent der Schädlinge werden noch ganz klassisch per E-Mail verschickt. Da kommt dann eine gefälschte Telefonrechnung und der User klickt im Affekt - „Was? Fünfhundert Euro?“ - auf den Anhang und infiziert seinen Rechner. Dabei predigen wir seit Jahr und Tag, dass das keine gute Idee ist. Wenn die Leute auf uns hören würden, wären schon einmal neunzig Prozent aller Gefahren kein Thema mehr. Dann besteht auch noch ein Risiko, wenn man sich auf Websites herumtreibt, die irgendwelche gecrackten Programme oder Pornos anbieten. Die Schmuddel-Ecke des Internets...

Warum eigentlich gerade bei solchen Websites?

MK: Weil es meistens die Betreiber selbst sind, die den Schadcode hosten. Der Betreiber, der dieser Ware-Seiten macht, verseucht auch die Software und das ist dann meistens auch der Grund, warum er diese Seiten macht. Die Leute werden mit kostenlosen Programmen angelockt oder auch mit Sex - da erwischt man einen Großteil der Internetgemeinde. Dasselbe gilt für Tauschbörsen, wo es sehr einfach ist, jemanden mit der neuesten Version von Photoshop anzulocken und diese dann mit Viren zu präparieren.

Es gab nur eine Datei auf dem Desktop, die konnte man lesen. Darin stand, dass die Dateien verschlüsselt wurden und man sich bei dieser und jener E-Mail-Adresse melden sollte. Dann hat man eine Anleitung bekommen, man musste Geld - ungefähr dreißig Euro - bezahlen, um einen Schlüssel zu bekommen. Das Geld hat man aber nicht direkt überwiesen, sondern mit einem Dienst namens „E-Gold“. Dort kann man mit seiner Kreditkarte Gold kaufen und bekommt dann einen User-Account. Die Zugangsdaten dafür musste man zum Angreifer schicken, der sich dann über Hunderte Adressen das Gold geholt hat. Mit Zurückverfolgen hatte man in diesem Fall keine Chance.

Würden Sie sagen, dass Hacker und Virenautoren die möglicherweise intelligentesten Verbrecher überhaupt sind?

MK: Ja, doch, irgendwie. Der Angriff war sehr durchdacht, sehr raffiniert und hat gezeigt, welch kriminelle Energie dahinter steckt. Zu sowas gehört gewisses technisches Knowhow. Im Gegensatz zu Massenmails, wo man ein paar Hunderttausend verschickt und es bereits reicht, wenn nur zehntausend erfolgreich sind, waren diese Angriffe auf Perfektion ausgerichtet. Die Summen waren extra klein gewählt, denn bei kleinen Beträgen zahlt man sie noch eher. Zur Polizei gehen wenige und wenn, dann ist häufig das Problem gegeben, das die Tat die Landesgrenzen überschreitet - da ist die Polizei dann machtlos.

Erleben Sie das öfter, dass Behörden versagen?

MK: Ich bin vor kurzem auf eine Website gestoßen, da wurden Daten von Benutzern nach einem Hack bei einer Kreditkartenfirma gehostet. Ich hab das dann überprüft und mir die Daten von einem Herrn aus Thüringen (Anm.: Bundesland in Deutschland) rausgesucht. Neben den Daten zur Kreditkarte stand auch die Adresse, ich hab mir die Telefonnummer geholt und ihn angerufen. Er hatte bereits ein Problem mit seiner Kreditkarte und sie sperren lassen, weil jemand von seimem Konto Geld abgehoben hatte.

Der Fall ging dann so weiter: Gefunden hatte ich die Daten am Freitag, also hab ich bei Mastercard angerufen, erreichte aber dort nur die Hotline - und die Dame im Callcenter hatte keine Ahnung von irgendetwas. Dann hatte ich mich an das LKA (Anm.: Landeskriminalamt) gewandt. Da war aber am Freitag kein qualifizierter Mitarbeiter mehr erreichbar. Bundeskriminalamt: Da hatte ich eine Telefonnummer, wo‘s passen sollte. Dort war aber auch das Wochenende ausgebrochen und der andere Kollege im Urlaub.

Was ich dann gemacht habe - und das ist dann der Vorteil bei einem internationalen Unternehmen: Ich hab meine Kollegen in den USA angerufen, die haben Mastercard und auch das FBI verständigt. Dann wurden die Kollegen in Russland verständigt, weil die Site in Russland gehostet wurde - und erst dann wurde das Problem gelöst.

Wie nachlässig ist der europäische Endnutzer beim Schutz seines Rechners vor solchen Bedrohungen?

MK: Naja, bei den meisten ist das Bewusstsein, dass es ein Risiko gibt, bereits vorhanden. Es hat auch schon jeder irgendwie einen Virenscanner - und sei es gratis aus dem Netz - auf seinem Rechner. Nur herrscht bei vielen der Irrglaube, man hätte die Gefahr mit einer einzigen Installation gebannt. Ich vergleiche das immer mit einem Auto: Wir sind nur der Airbag, der im schlimmsten Fall aufgeht. Aber wenn jemand die ganze Zeit als Geisterfahrer auf der falschen Spur unterwegs ist, dann wird das provoziert.

Wie sieht die Zukunft aus? Was kommt an Attacken auf uns zu?

MK: Es gibt zwei große, interessante Themen, die demnächst auf uns zukommen. Das erste betrifft den Mobilfunkbereich. Es gibt schon Schädlinge für Mobiltelefone, und in Russland und Asien ist das auch ein Problem. Bei uns tritt das nur bei Geschäftsreisenden auf: Man fährt nach Asien, infiziert das Handy, kommt nach Hause, steckt seine Kollegen an. Der Grund, warum es das bei uns noch nicht gibt, ist wie so oft die Rentabilität. Es wird nach wie vor nur das gemacht, was Geld bringt. Das wird sich ändern, wenn Handys jetzt verstärkt für Online-Banking eingesetzt werden. Bei uns wird das vereinzeilt schon angeboten - mit dem Argument, es sei sicherer übers Handy, als über den PC. Letztendlich verlagert man das Problem. Wenn sich Online-Banking mit dem Handy erst einmal auf breiter Masse durchgesetzt hat, werden sich auch die Hacker darauf stürzen - und der Anwender rechnet noch viel weniger damit.

Das heißt, ich werde irgendwann einen Virenschutz für mein Handy brauchen?

MK: Ja, wir bieten es auch schon an. In Russland haben wir‘s seit vielen Jahren. In Deutschland haben wir das Produkt vereinzelt verkauft, nachdem uns Geschäftskunden, die oft auf Reisen sind, darauf angesprochen haben. Generell haben wir‘s deswegen noch nicht eingeführt, weil man als Anti-Viren-Unternehmen mit soetwas sehr schnell in den Dunstkreis eines Panikmachers kommen kann. Aber es ist relativ klar, dass es eine Warnung geben muss, dass soetwas kommt, wenn die Voraussetzungen erst einmal gegeben sind. Es muss Geld zu holen geben und - was ich vorhin vergessen hab - es muss ein Smartphone sein. Bei einem „normalen“ Handy läuft höchstens Java drauf, da ist für einen Schädling nicht viel zu machen. Aber ein Smartphone mit Symbian oder Handys mit Windows-Mobile sind ja im Prinzip schon kleine PCs und da kann man genauso tief das Betriebssystem manipulieren, wie es beim PC möglich ist.

Was ist das zweite Problem der Zukunft?

MK: Virtualisierung. Eine Unterstützung für virtualisierte Systeme wird ja mittlerweile auch von den Chipherstellern AMD und Intel in ihren neuen Doppelkernprozessoren hardwaremäßig unterstützt; als so genannte Virtualisierungsbeschleunigung. Letztes Jahr gab es dann den Fall, dass eine polnische Programmierin, Joanna Rutkowska, einen so genannten „Proof of Concept“ vorgestellt hat. Um zu zeigen, was möglich ist, hat sie ein Programm geschrieben, dass man unter Windows mit einem Doppelklick laufen lässt und das binnen einer Sekunde das ganze System in eine virtuelle Umgebung verschiebt. Es wird nichts von der Festplatte verschoben, man legt quasi einfach einen Schalter in der Hardware um, und das System läuft von da an mit anderen Rechten in einer virtuellen Umgebung. In der realen Umgebung kann dann der Schädling eingepflanzt werden.

Nehmen wir an, man hat einen ganz tollen Virenschutz auf dem System. Das nützt nicht viel, denn der wird mitverschoben und kann über die Grenzen der virtuellen Box nicht hinaus. Es gibt nur zwei Möglichkeiten, wie man der Situation wieder Herr wird: Man prüft, ob das System virtuell ist - das kann man mit einigem Aufwand. Es ist dann zwar nicht gesagt, was für ein Schädling läuft, aber man weiß zumindest, dass etwas nicht stimmt. Die zweite Möglichkeit ist, man startet das System mit einer Boot-CD, wodurch gesichert ist, dass das reale System startet. Dann kann man auch einen Virenscan durchführen.

Warum merkt das der Anwender nicht?

MK: Weil es nur eine Sekunde dauert! Man ist es ja gewohnt, dass der Mauszeiger eine halbe Sekunde hängt, dem misst man keine große Bedeutung zu. Im Unterschied zu Programmen wie Parallels oder VMware, die von der Grafikkarte bis zum Prozessor alles nachbilden müssen, ist das hierbei nicht nötig, weil ja kein anderes Betriebssystem simuifft, verschoben.

Aber es gibt noch keine Viren, die das ausnützen...

MK: Nich ganz. Allerdings gab es dieses Jahr eine Weiterentwicklung in dem Fall. Symantec (Anmk.: Mitbewerb von Kaspersky) hat Frau Rutkowska vorgeschlagen, ein paar Rechner mit Symantec-Sicherheitssoftware aufzustellen, und sie sollte dann ihr Programm installieren um zu testen, ob die Sicherheitssoftware merkt, wann etwas virtualisiert wird. Sie sagte folgendes: Nette Idee, aber ich habe mich vor ein paar Monaten selbstständig gemacht und arbeite jetzt nur mehr auf Tagessatzbasis und für so eine Herausforderung muss ich ein bisschen was nachbessern und das kostet ungefähr 100.000 Euro. Dann hat Symantec gesagt, dann lassen wir‘s doch vielleicht besser. Woraufhin es hieß, Rutkowska hätte das mit der Bezahlung nur gemacht, weil sie sich dem Vergleich nicht stellen wollte. Bis dahin hatte ja niemand den Rutkowska-Code in Händen gehalten.

Joanna Rutkowska hat daraufhin auf der letzten großen Sicherheitskonferenz in den USA einen Vortrag zu ihrem Programm gehalten und um zu untermauern, was das so kann, hat sie den kompletten Sourcecode ins Netz gestellt. Und damit hat sie allen Programmierern, die soetwas schon immer einmal machen wollten, eine prima Basis geschafft. Derzeit laufen die mit diesem Knowhow entwickelten Schädlinge nur auf Rechnern mit AMD-Prozessoren, aber es gibt auch schon vergleichbare Sachen, die auf Intel abziehen. Die Verbreitung dieser neuen Prozessoren ist derzeit ja schon ganz okay, es wird also nicht mehr lang dauern, bis die ersten Schädlinge auf uns zukommen, die das einmal austesten.

Joanna Rutkowska hat sich damit natürlich keine Freunde gemacht. Wahrscheinlich hat sie sich auch nicht viel dabei gedacht, es war ein PR-Coup für sie, um im Gespräch zu bleiben. Sie war und ist eine angesehene Programmiererinnen. Mit der Anti-Viren-Industrie hatte sie‘s ja nie so, weil sie stets andere Konzepte verfolgt hat, aber man hat sie immer der Seite der Guten zugerechnet. Von ihrem Knowhow her, gehört sie sicher zur Top Five der besten Programmierer. Es ist jetzt aber sehr schwierig geworden, wo man sie einordnen kann. Wenn Joanna Rutkowska jetzt bei uns anfragen würde, ob sie für uns arbeiten könnte - das wär eine verdammt schwierige Entscheidung.

Wie stehts‘s eigentlich mit Apple-Rechnern - wird es für die Macintosh-Plattform, die bisher von Viren verschont geblieben ist, auch bald Probleme geben?

MK: Naja, es gibt wenige Viren für Mac. Das hat den Grund, dass wenn jemand Hunderttausende E-Mails mit Schadcode verschickt, er immer das am weiten verbreitete Betriebssystem verwenden wird, weil er dort am meisten holen kann.

Das heißt, wenn jemand total auf Nummer sicher gehen will, schafft er sich einen Rechner mit Linux an?

MK: Jein. Man muss da unterscheiden, zwischen dem, was man mit dem Rechner macht. Wenn ich nur ein paar Dokumente schreibe und E-Mails schicke, dann werde ich mit Linux zufrieden sein können. Solche Dinge wie MPACK, die über den Browser ins System gelangen, gibt es aber auch für Linux und da relativiert sich der Sicherheitsvorteil ganz schnell. Für Unternehmen gelten generell ganz andere Voraussetzungen. Hacks zum Datenklau können auf jedem System durchgeführt werden. Selbst wenn man einen Linux-Server hat, kann darauf MPACK installiert werden und man wird zur Virenschleuder.

Außerdem hat Windows immer noch den Vorteil, dass seine Nutzer vom Risiko wissen und meistens irgendein Sicherheitstool auf ihren Rechnern haben. Bei den meisten Linux- und Mac-Benutzern ist der Computer komplett ungeschützt, weil sie nicht damit rechnen. Wenn sich also ein Windows-Benutzer mit einem guten Virenschutz etwas einfängt, dann hat er immer noch ein Sicherheitsnetz, das ihn auffängt. Bei den anderen... naja, da läuft das System dann die nächsten drei Jahre lang versucht und der Anwender wird‘s nie mitkriegen. Man kann zwar sagen, man ist mit Linux oder Mac sicherer. Ganz sicher ist man aber nur mit MS DOS, weil es dafür mittlerweile gar keine Viren mehr gibt.

Interview: Christoph Andert