Interview mit einem Trojanerjäger

Einblicke in die Virenjagd – Symbolbild © asrawolf – Fotolia.com

Jeden Tag neue Trojaner und Viren. Ständig neue Versionen von Virenscannern. Die Entwicklung wird immer unübersichtlicher. Zeit also für ein Interview mit einem „Trojanerjäger“. Wir sprechen aus diesem Grund mit Christian Funk, Virenanalyst bei Kaspersky Deutschland, über die aktuelle Entwicklung.

Herr Funk, lassen Sie uns zunächst über „Flame“ reden. Flame scheint ja nicht wirklich neu zu sein, tummelt sich seit ungefähr 2010 im Netz. Hat man seitens der Antivirenindustrie etwas daraus gelernt, dass ein Virus über einen solch langen Zeitraum unentdeckt bleiben konnte.

Da muss man aus verschiedenen Sichtweisen an die Sache ran. Richtig, Flame tummelt sich seit 2010, es gibt aber einen großen Unterschied zu „herkömmlicher“ Malware. Herkömmliche Malware ist im Prinzip so gedacht, dass sie möglichst viele Leute treffen soll. Sozusagen ein klassischer „Rundumschlag“. Bei Flame war es jedoch so, dass es sich um eine zielgerichtete Attacke handelte. Bei massenhafter Verbreitung ist es auch für die Antivirenhersteller leichter, an die Malware zu kommen und diese zu erkennen. An Samples von solchen gezielten Schädlingen kommen wir schwerer ran.

Gibt es noch weitere Unterschiede zwischen „Flame“ und herkömmlichen Schädlingen?

Ja. Ein weiteres Unterscheidungsmerkmal ist die Qualität des Schädlings, deren Beurteilung dann interessant wird, wenn man erst mal ein Sample von so einer Malware hat. Flame war so gestrickt, dass es im Prinzip wie ein herkömmliches, unverdächtiges Stück Software aussieht, war also sehr gut getarnt. Die Tatsache, dass Flame so lange unentdeckt blieb, spricht letztendlich auch für die Qualität einer solchen zielgerichteten Attacke.

Das klingt nach viel Aufwand auf Seite der Hersteller.

Richtig. Dahinter stecken viel Aufwand, sehr viele Ressourcen, einige sehr, sehr gut ausgebildete Leute und auch natürlich finanzielle Mittel. Man muss viel Forschung betreiben, um überhaupt eine solche Malware herstellen zu können.

Wie hoch schätzen sie die Entwicklungskosten für eine Malware wie Flame?

Ohne eine konkrete Zahl nennen zu können kann ich sagen: sehr, sehr hoch. Den Aufwand wirklich abzuschätzen ist extrem schwierig, auf jeden Fall aber handelt es sich um dedizierte Teams, die mit sehr, sehr großem zeitlichen und finanziellen Aufwand gearbeitet haben. Ich denke, so viel lässt sich mit Sicherheit sagen.

Gab es sonst noch Unterschiede zwischen Flame und anderen Schädlingen.

Der Angriffsvektor war im Fall von Flame, die Malware über das Windows Update zu verteilen. Das ist ein Horrorszenario, das in der Theorie zwar seit Jahren bekannt war, in der Praxis aber vorher nicht passiert ist. Man wusste zwar, dass es dieses Szenario geben könnte man sah aber auch große Probleme, das wirklich in der Praxis umzusetzen.

Sind vor diesem Hintergrund Schädlinge mit digitaler Signatur ein Problem?

Stimmt. Es zeigt sich in letzter Zeit, dass immer mehr Malware digital signiert wird. Damit sieht dann Malware erst einmal legitim aus, letztendlich verbirgt sich dahinter aber ein Schädling. Bei Flame war ja auch ein gefälschtes Zertifikat von Microsoft dabei.

Die Frage, die sich dabei stellt, wie man künftig mit Zertifikaten umgehen will. Das Zertifizierungssystem hat einen single point of failure, das ist die Zertifizierungsinstanz. Wenn man an das Root-Zertifikat einer Zertifizierungsinstanz herankommt, ist das gesamte System bedroht. Sehen Sie da eine Notwendigkeit, dass sich hier etwas tun muß?

Gerade in Bezug auf die Revocation-Lists zeigt sich das Problem, dass viele Leute immer noch update-faul sind. In der heutigen Zeit müssen Updates wie zum Beispiel für Betriebssystem und Browser zeitnah eingespielt werden.

Die Qualität von Updates war ja auch öfter mal fraglich. Im Extremfall konnte man nach einem missglückten Update seinen Rechner nicht mehr benutzen. Da scheuen wohl manche Benutzer schnelle Updates.

Ich sehe sehr wohl die Problematik, dass man gerade in Firmen Updates vor der Installation testen muss. Trotzdem muss man dafür Sorge tragen, dass Updates zeitnah installiert werden. Man muss viel Aufwand investieren um das richtig zu machen, trotzdem sind zeitnahe Updates unumgänglich.

Wenn man über den Aufwand nachdenkt, der in solch einer Malware steckt, dann gibt es für mich nur zwei Möglichkeiten: entweder es steckt ein massives finanzielles Interesse dahinter, oder man ist auf die Informationen aus. Ich denke da auch an staatliche Organisationen, die vielleicht solche Schädlinge programmieren.

Einen solchen Aufwand betreibt keiner um des Programmierens Willen. Vermutlich stecken da klare Absichten dahinter. Eine „Machbarkeitsstudie“ war Flame eher nicht, man wusste vermutlich recht genau, weswegen man einen solchen Aufwand betreibt.

(Bitte beachten Sie, dass der Artikel aus insgesamt drei Seiten besteht. Weiterblättern über die Seitenzahlen nach den Social-Media-Links!)