Symantec-Update zur Jahresmitte: Quo Vadis Sicherheit 2010?
Ende vergangenen Jahres hat Symantec Vorhersagen zu Sicherheitstrends in den kommenden 12 Monaten getroffen. Nun ist es an der Zeit, diese Prognosen auf ihren Wahrheitsgehalt abzuklopfen.
Prognose 1: Antivirus-Produkte genügen nicht – Es zeichnete sich bereits Ende 2009 ab, dass sich polymorphe Schadprogramme explosionsartig verbreiten werden. Darunter ist Malware zu verstehen, die permanent mutiert und so ständig neue Formen annimmt. Wer diese nur mit Signaturmustern und heuristischen Analysen aufhalten will, wird nicht Schritt halten können. Deshalb werden Ansätze wichtig, die über die reine Analyse von Schadcode hinausgehen. Ansätze, die alle Softwaredateien berücksichtigen und deren Reputation untersuchen.
Aktueller Status: Trifft zu
Symantec entwickelte allein im vergangenen Jahr 2.895.802 neue Signaturen. Das ist eine Steigerung um 71 Prozent gegenüber dem Vorjahr und bildet zugleich die Hälfte aller Signaturen, die je von Symantec entwickelt wurden. In diesem Jahr hat Symantec bereits 1,8 Millionen neuer Signaturen geschrieben und 124 Millionen individueller Malware-Programme erfasst. Es ist daher immer wahrscheinlicher, dass rein reaktive Verfahren neuen Schadcode nicht komplett erfassen.
Prognose 2: Social Engineering als bevorzugter Überträger von Schadprogrammen – Immer mehr Angreifer richten ihre Attacken direkt gegen Endanwender: Der Trick hierbei ist, den Usern das Gefühl zu geben, dass sie etwas vollkommen Legitimes tun. So bringt man sie dazu, Malware herunterzuladen oder vertrauliche Daten preiszugeben. Social Engineering ist schon heute einer der beliebtesten Angriffsformen, da sie unabhängig ist von Betriebssystemen oder Browsern und direkt auf den Nutzer zielt.
Aktueller Status: Trifft zu
Es dürfte niemanden überraschten, dass diese Vorhersage zutrifft. Dank Web 2.0 ist Social Engeneering um ein Vielfaches effektiver geworden. Angreifer wenden die Gewohnheiten von Social Networking-Nutzern gegen sie und erfinden kreative Tricks, um diese mit Phishing-Nachrichten oder gefälschten Freundschaftsanfragen dazu zu bringen, Malware herunterzuladen oder vertrauliche Daten preiszugeben.
Prognose 3: Betrügerische Anbieter von angeblicher Sicherheitssoftware verstärken Aktivitäten – Betrugsversuche mithilfe gefälschter Sicherheits-Software werden 2010 ein neues Niveau erreichen. So hat Symantec beobachtet, wie einige Händler mittlerweile kostenlose Anti-Viren-Software legaler Anbieter unter neuem Namen als eigene Produkte verkauften. In solchen Fällen erhalten die Käufer ein technisch funktionierendes Tool, das sie an anderer Stelle aber kostenlos bekommen hätten.
Aktueller Status: Trifft weitestgehend zu
Gefälschte Sicherheitssoftware bleibt weiterhin ein großes Problem, mit denen sich die Sicherheitsbranche sowie Verbraucher auseinandersetzen müssen. Die Händler dieser Produkte schöpfen das volle Potenzial dieses Modells noch nicht aus.
Prognose 4: Anwendungen von Drittanbietern für Social Networking Plattformen geraten ins Visier – Die Betreiber von Social-Networking-Websites öffnen ihre Plattformen über Software-Schnittstellen, damit Dritte hierfür eigene Programme entwickeln können. Angreifer werden dies ausnutzen, indem sie Fehler in eben diesen Drittanbieter-Applikationen verwenden, um sich so Zugriff auf die Benutzerkonten zu verschaffen.
Aktueller Status: Trifft weitestgehend zu
Eine direkte Nachverfolgung ist schwierig. Das Feedback und die Analysen von URL-Adressen lassen den Schluss zu, dass Social-Networking-Websites im Jahr 2010 eine größere Anzahl an Sperren für schadhafte Inhalte auslösen werden als 2009. Dieses Jahr bezog sich ein Webvorfall von 301 auf eine Social-Networking-Site, in 2009 waren es noch einer aus 451.
Prognose 5: Windows 7 wird als Zielsystem populär – Microsoft hat bereits die ersten Sicherheitspatches für das neue Betriebssystem veröffentlicht. So lange Menschen Computercodes erstellen, sind Fehler nicht ausgeschlossen. Je komplexer der Code, desto wahrscheinlicher ist es, dass Sicherheitslücken übersehen werden.
Aktueller Status: Trifft teilweise zu
Bisher gab es überraschenderweise nur einen großen Angriff gegen eine Sicherheitslücke bei Windows 7. Der Angriff erfolgte über die Malware Stuxnet. Ein Grund hierfür: Hacker wählen immer den Weg des geringsten Widerstands. Sie konzentrieren sich lieber auf die vielen leichten Fehler in Browsern und Web-Anwendungen.
Prognose 6: Immer mehr Fast-Flux-Botnets – Fast-Flux ist eine Technik, mit dem Botnets wie Storm ihre Infrastruktur aus Kommando-Servern, Phishing- und schadhaften Websites ständig modifizieren. So wird es schwierig, deren Standort und Struktur nachzuvollziehen. Da es der Sicherheitsindustrie immer besser gelingt, gewöhnliche Botnets auszuhebeln, werden die Betreiber dieser illegalen Netze auf die Fast-Flux-Technik umstellen.
Aktueller Status: Trifft teilweise zu; ist weiterhin möglich
Bislang wurden in diesem Jahr keine großen Bedrohungen erfasst, die sich dem Fast-Flux-Verfahren bedienten. Es ist aber unrealistisch, dass dies so bleibt. So ist erst kürzlich das Storm-Botnet wieder stärker aufgetaucht. Es benutzt das Fast-Flux-Verfahren.
Prognose 7: URL-Abkürzungsdienste stehen bei Phishing-Betrügern hoch im Kurs – Nutzer können häufig nicht wissen, wohin sie über eine gekürzte URL gelangen. Phishing-Betrüger nutzen diese Links, um beispielsweise URL-Filter zu umgehen.
Aktueller Status: Trifft zu
Gekürzte URLs erfreuen sich unter Spammern größter Beliebtheit. Auf dem Höhepunkt im Juli 2009 enthielten 9,3 Prozent der Spam-Nachrichten einen abgekürzten Link. Im April 2010 hat sich diese Zahl allerdings mit 18,0 Prozent nahezu verdoppelt.
Prognose 8: Schadprogramme für Mac und mobile Endgeräte sind auf dem Vormarsch – Die Anzahl der Angriffe auf Betriebssysteme oder Plattformen hängt direkt mit ihrem Marktanteil zusammen. Weil Macs und Smartphones im Jahr 2010 an Popularität gewinnen, werden mehr Angreifer Malware für diese Geräte schreiben.
Aktueller Status: Trifft teilweise zu; weiterhin möglich
Bisher hat Symantec einige Malware-Varianten für das Mac Betriebssystem OS X identifiziert. Keiner war aber richtig bedrohlich. Auch sind iOS-Geräte wie das iPad oder iPhone aus Kundensicht weiterhin sicher. Symantec hat aber beobachtet, dass über den App Store diverse Anwendungen verkauft werden, die ein schadhaftes Verhalten zeigen. Die Plattform wurde also angegriffen, jedoch nicht auf die erwartete Art und Weise.
Prognose 9: Spezialisierte Malware – 2009 wurde hoch spezialisierte Malware entdeckt, die gezielt Geldautomaten ins Visier nahm. Dieser Trend setzt sich 2010 fort.
Aktueller Status: Trifft teilweise zu; ist weiterhin möglich
Symantec hat keine weitere Verbreitung spezialisierter Malware entdeckt. Es gibt jedoch Anzeichen, dass sich der Trend fortsetzen wird. Die Malware Stuxnet wurde speziell dafür geschrieben, um in SCADA-Daten Dokumenten zu stehlen.
Prognose 10: Ausgeklügeltere CAPTCHA-Technologie – Website-Betreiber setzen wirksame CAPTCHA-Technologien ein, damit Spammer, diese Codes nicht automatisch knacken können. Dies führt dazu, dass vor allem in Schwellenländern reale Personen neue Konten für das Spamming manuell generieren.
Aktueller Status: Trifft zu
Ende April berichtete The New York Times über Spammer, die Arbeiter in Schwellenländern dafür bezahlen, CAPTCHA-Codes einzutippen und so neue legale E-Mail-Konten zu generieren. Dem Bericht zufolge verdienten die Arbeiter zwischen 80 Cents bis 1,20 US-Dollar für 1.000 CAPTCHAS.
Prognose 11: Spam via Instant Messaging (IM) – Auf ihrer Suche nach neuen Möglichkeiten, das CAPTCHA-Verfahren zu umgehen, wenden sich Online-Kriminelle verstärkt Angriffen auf Instant-Messaging-Systeme und -Anwender zu. Sie sezten auf Spam-Nachrichten, in die sie gefährliche Links einfügen. Ende 2010 wird eine aus 300 IM-Mails eine URL enthalten. Einer aus zwölf von diesen Links wird auf eine Website verweisen, die für das Hosting von Malware bekannt ist.
Aktueller Status: Trifft zu
Die Daten von Symantec – Stand Juni 2010 – lassen darauf schließen, dass eine von 387 IM-Nachrichten eine Form von Hyperlink enthält und einer von acht Hyperlinks auf eine schadhafte Website verweist.
Prognose 12: Spam E-Mails in anderen Sprachen als Englisch nehmen zu – Mit der Verbreitung von Breitbandanschlüssen weltweit, vor allem aber in Schwellenländern, wird das Spam-Aufkommen in nicht englischsprachigen Ländern deutlich zunehmen. Für einige europäische Länder prognostiziert Symantec, dass der Anteil von lokalisiertem Spam über 50 Prozent liegen wird.
Aktueller Status: Trifft noch nicht zu
Tiefer gehende Analysen zeigen, dass bei einigen Domains Spam-Raten von mehr als 50 Prozent in der jeweiligen Landessprache verzeichnet werden. Allerdings ist dieser Trend nicht eindeutig. In Brasilien beispielsweise ist das Spam-Aufkommen in Landessprache von einem Höchststand von etwa 41 Prozent in 2009 in diesem Jahr auf 29 Prozent gefallen.
Prognose 1: Antivirus-Produkte genügen nicht – Es zeichnete sich bereits Ende 2009 ab, dass sich polymorphe Schadprogramme explosionsartig verbreiten werden. Darunter ist Malware zu verstehen, die permanent mutiert und so ständig neue Formen annimmt. Wer diese nur mit Signaturmustern und heuristischen Analysen aufhalten will, wird nicht Schritt halten können. Deshalb werden Ansätze wichtig, die über die reine Analyse von Schadcode hinausgehen. Ansätze, die alle Softwaredateien berücksichtigen und deren Reputation untersuchen.
Aktueller Status: Trifft zu
Symantec entwickelte allein im vergangenen Jahr 2.895.802 neue Signaturen. Das ist eine Steigerung um 71 Prozent gegenüber dem Vorjahr und bildet zugleich die Hälfte aller Signaturen, die je von Symantec entwickelt wurden. In diesem Jahr hat Symantec bereits 1,8 Millionen neuer Signaturen geschrieben und 124 Millionen individueller Malware-Programme erfasst. Es ist daher immer wahrscheinlicher, dass rein reaktive Verfahren neuen Schadcode nicht komplett erfassen.
Prognose 2: Social Engineering als bevorzugter Überträger von Schadprogrammen – Immer mehr Angreifer richten ihre Attacken direkt gegen Endanwender: Der Trick hierbei ist, den Usern das Gefühl zu geben, dass sie etwas vollkommen Legitimes tun. So bringt man sie dazu, Malware herunterzuladen oder vertrauliche Daten preiszugeben. Social Engineering ist schon heute einer der beliebtesten Angriffsformen, da sie unabhängig ist von Betriebssystemen oder Browsern und direkt auf den Nutzer zielt.
Aktueller Status: Trifft zu
Es dürfte niemanden überraschten, dass diese Vorhersage zutrifft. Dank Web 2.0 ist Social Engeneering um ein Vielfaches effektiver geworden. Angreifer wenden die Gewohnheiten von Social Networking-Nutzern gegen sie und erfinden kreative Tricks, um diese mit Phishing-Nachrichten oder gefälschten Freundschaftsanfragen dazu zu bringen, Malware herunterzuladen oder vertrauliche Daten preiszugeben.
Prognose 3: Betrügerische Anbieter von angeblicher Sicherheitssoftware verstärken Aktivitäten – Betrugsversuche mithilfe gefälschter Sicherheits-Software werden 2010 ein neues Niveau erreichen. So hat Symantec beobachtet, wie einige Händler mittlerweile kostenlose Anti-Viren-Software legaler Anbieter unter neuem Namen als eigene Produkte verkauften. In solchen Fällen erhalten die Käufer ein technisch funktionierendes Tool, das sie an anderer Stelle aber kostenlos bekommen hätten.
Aktueller Status: Trifft weitestgehend zu
Gefälschte Sicherheitssoftware bleibt weiterhin ein großes Problem, mit denen sich die Sicherheitsbranche sowie Verbraucher auseinandersetzen müssen. Die Händler dieser Produkte schöpfen das volle Potenzial dieses Modells noch nicht aus.
Prognose 4: Anwendungen von Drittanbietern für Social Networking Plattformen geraten ins Visier – Die Betreiber von Social-Networking-Websites öffnen ihre Plattformen über Software-Schnittstellen, damit Dritte hierfür eigene Programme entwickeln können. Angreifer werden dies ausnutzen, indem sie Fehler in eben diesen Drittanbieter-Applikationen verwenden, um sich so Zugriff auf die Benutzerkonten zu verschaffen.
Aktueller Status: Trifft weitestgehend zu
Eine direkte Nachverfolgung ist schwierig. Das Feedback und die Analysen von URL-Adressen lassen den Schluss zu, dass Social-Networking-Websites im Jahr 2010 eine größere Anzahl an Sperren für schadhafte Inhalte auslösen werden als 2009. Dieses Jahr bezog sich ein Webvorfall von 301 auf eine Social-Networking-Site, in 2009 waren es noch einer aus 451.
Prognose 5: Windows 7 wird als Zielsystem populär – Microsoft hat bereits die ersten Sicherheitspatches für das neue Betriebssystem veröffentlicht. So lange Menschen Computercodes erstellen, sind Fehler nicht ausgeschlossen. Je komplexer der Code, desto wahrscheinlicher ist es, dass Sicherheitslücken übersehen werden.
Aktueller Status: Trifft teilweise zu
Bisher gab es überraschenderweise nur einen großen Angriff gegen eine Sicherheitslücke bei Windows 7. Der Angriff erfolgte über die Malware Stuxnet. Ein Grund hierfür: Hacker wählen immer den Weg des geringsten Widerstands. Sie konzentrieren sich lieber auf die vielen leichten Fehler in Browsern und Web-Anwendungen.
Prognose 6: Immer mehr Fast-Flux-Botnets – Fast-Flux ist eine Technik, mit dem Botnets wie Storm ihre Infrastruktur aus Kommando-Servern, Phishing- und schadhaften Websites ständig modifizieren. So wird es schwierig, deren Standort und Struktur nachzuvollziehen. Da es der Sicherheitsindustrie immer besser gelingt, gewöhnliche Botnets auszuhebeln, werden die Betreiber dieser illegalen Netze auf die Fast-Flux-Technik umstellen.
Aktueller Status: Trifft teilweise zu; ist weiterhin möglich
Bislang wurden in diesem Jahr keine großen Bedrohungen erfasst, die sich dem Fast-Flux-Verfahren bedienten. Es ist aber unrealistisch, dass dies so bleibt. So ist erst kürzlich das Storm-Botnet wieder stärker aufgetaucht. Es benutzt das Fast-Flux-Verfahren.
Prognose 7: URL-Abkürzungsdienste stehen bei Phishing-Betrügern hoch im Kurs – Nutzer können häufig nicht wissen, wohin sie über eine gekürzte URL gelangen. Phishing-Betrüger nutzen diese Links, um beispielsweise URL-Filter zu umgehen.
Aktueller Status: Trifft zu
Gekürzte URLs erfreuen sich unter Spammern größter Beliebtheit. Auf dem Höhepunkt im Juli 2009 enthielten 9,3 Prozent der Spam-Nachrichten einen abgekürzten Link. Im April 2010 hat sich diese Zahl allerdings mit 18,0 Prozent nahezu verdoppelt.
Prognose 8: Schadprogramme für Mac und mobile Endgeräte sind auf dem Vormarsch – Die Anzahl der Angriffe auf Betriebssysteme oder Plattformen hängt direkt mit ihrem Marktanteil zusammen. Weil Macs und Smartphones im Jahr 2010 an Popularität gewinnen, werden mehr Angreifer Malware für diese Geräte schreiben.
Aktueller Status: Trifft teilweise zu; weiterhin möglich
Bisher hat Symantec einige Malware-Varianten für das Mac Betriebssystem OS X identifiziert. Keiner war aber richtig bedrohlich. Auch sind iOS-Geräte wie das iPad oder iPhone aus Kundensicht weiterhin sicher. Symantec hat aber beobachtet, dass über den App Store diverse Anwendungen verkauft werden, die ein schadhaftes Verhalten zeigen. Die Plattform wurde also angegriffen, jedoch nicht auf die erwartete Art und Weise.
Prognose 9: Spezialisierte Malware – 2009 wurde hoch spezialisierte Malware entdeckt, die gezielt Geldautomaten ins Visier nahm. Dieser Trend setzt sich 2010 fort.
Aktueller Status: Trifft teilweise zu; ist weiterhin möglich
Symantec hat keine weitere Verbreitung spezialisierter Malware entdeckt. Es gibt jedoch Anzeichen, dass sich der Trend fortsetzen wird. Die Malware Stuxnet wurde speziell dafür geschrieben, um in SCADA-Daten Dokumenten zu stehlen.
Prognose 10: Ausgeklügeltere CAPTCHA-Technologie – Website-Betreiber setzen wirksame CAPTCHA-Technologien ein, damit Spammer, diese Codes nicht automatisch knacken können. Dies führt dazu, dass vor allem in Schwellenländern reale Personen neue Konten für das Spamming manuell generieren.
Aktueller Status: Trifft zu
Ende April berichtete The New York Times über Spammer, die Arbeiter in Schwellenländern dafür bezahlen, CAPTCHA-Codes einzutippen und so neue legale E-Mail-Konten zu generieren. Dem Bericht zufolge verdienten die Arbeiter zwischen 80 Cents bis 1,20 US-Dollar für 1.000 CAPTCHAS.
Prognose 11: Spam via Instant Messaging (IM) – Auf ihrer Suche nach neuen Möglichkeiten, das CAPTCHA-Verfahren zu umgehen, wenden sich Online-Kriminelle verstärkt Angriffen auf Instant-Messaging-Systeme und -Anwender zu. Sie sezten auf Spam-Nachrichten, in die sie gefährliche Links einfügen. Ende 2010 wird eine aus 300 IM-Mails eine URL enthalten. Einer aus zwölf von diesen Links wird auf eine Website verweisen, die für das Hosting von Malware bekannt ist.
Aktueller Status: Trifft zu
Die Daten von Symantec – Stand Juni 2010 – lassen darauf schließen, dass eine von 387 IM-Nachrichten eine Form von Hyperlink enthält und einer von acht Hyperlinks auf eine schadhafte Website verweist.
Prognose 12: Spam E-Mails in anderen Sprachen als Englisch nehmen zu – Mit der Verbreitung von Breitbandanschlüssen weltweit, vor allem aber in Schwellenländern, wird das Spam-Aufkommen in nicht englischsprachigen Ländern deutlich zunehmen. Für einige europäische Länder prognostiziert Symantec, dass der Anteil von lokalisiertem Spam über 50 Prozent liegen wird.
Aktueller Status: Trifft noch nicht zu
Tiefer gehende Analysen zeigen, dass bei einigen Domains Spam-Raten von mehr als 50 Prozent in der jeweiligen Landessprache verzeichnet werden. Allerdings ist dieser Trend nicht eindeutig. In Brasilien beispielsweise ist das Spam-Aufkommen in Landessprache von einem Höchststand von etwa 41 Prozent in 2009 in diesem Jahr auf 29 Prozent gefallen.