Interview mit einem Trojanerjäger
Verlassen wir mal den Bereich der gezielten Angriffe hin zu der bekannten Ransomware wie den „BKA-Trojaner“. Hat Kaspersky Information darüber, um wie viel Geld es in der Branche wirklich geht?
Das ist schwierig zu sagen, da wir keine Informationen über den Anteil der User haben, die darauf hereinfallen. Oder anders gesagt: wir wissen nicht, wie viele Leute da wirklich zahlen. Seriöse Schätzungen sind da außerordentlich schwierig und mit hoher Dunkelziffer. Die nächste Frage ist nicht nur, wie viele Leute bezahlen, sondern wie oft die letztendlich bezahlen. Bei verschiedenen Arten von Ransomware kommt man eventuell wieder in das System rein und alles scheint so weit in Ordnung. Beim nächsten Reboot kommt dann der Trojaner wieder zum Zug. Man kann sich vorstellen, dass manche Leute doppelt und dreifach bezahlen.
Wie sehen Sie da die Entwicklung? Ransomware kommt ja aus Sicht des Verbrauchers mit ein paar Tagen Abstand in immer neuen Varianten.
Ich würde sogar noch weiter gehen: mehrmals täglich. Das heißt, wir kennen aktuell etwa 250.000 verschiedene Samples – ohne Dubletten. Der Trend ist hier – wie auch in anderen Bereichen von Malware – weniger das zahlenmäßige Wachstum, sondern eher, dass die Qualität immer weiter steigt.
Wie zeigt sich die von Ihnen erwähnte gesteigerte Qualität?
Wenn man zum Beispiel die ersten Samples von 2005/2006 hernimmt, dann öffnet sich noch ein Editorfenster das den User darauf hinweist, dass seine Dateien verschlüsselt sind und sie erst nach Zahlung wieder nutzbar werden. Das ging dann Schritt für Schritt weiter und hat sich qualitativ immer weiter verbessert. Die Optik wurde besser, das Design stimmt, es wird mit Grafiken von Antivirenherstellern gearbeitet um dem Ganzen einen legitimen Anstrich zu verpassen. Dann gibt es auch andere Versionen, die angeblich raubkopierte Programme oder Filme auf dem Rechner gefunden haben und bei denen man sich dann durch Zahlung eines Geldbetrags freikaufen kann. Von den alten „Pferdefüßen“ wie Rechtschreibfehlern und schlechter Grammatik ist nichts mehr zu sehen. Alles sieht immer legitimer aus und auch technisch geht es vorwärts.
Wenn ich mir anschaue, wie viele verschiedene Viren es aktuell gibt und wie viele jeden Tag dazukommen, dann frage ich mich, ob der patternbasierte Antivirenansatz nicht erledigt ist. Sind solche Zahlen denn über Virendefinitionen überhaupt noch beherrschbar?
Das ist eine sehr, sehr gute Frage. Die Antwort ist, dass man rein patternbasiert heute nicht mehr arbeiten kann. Dementsprechend haben wir auch verschiedene Module und Methoden in unserer Software um von mehreren Seiten an die Untersuchung heranzugehen. Wir haben zum Beispiel Emulatoren, Heuristiken, verhaltensbasierte Analysen, wir haben cloudbasierte Technologien und wir schauen, dass möglichst viele Ressourcen in die Weiterentwicklung gesteckt werden. Die Testergebnisse geben uns Recht, dass der Weg richtig ist. Es gibt beispielsweise Testmethoden, da wird der Patternstand eingefroren und man schaut einige Wochen später, wie die Scanner mit den veralteten Signaturen und neuen Virensamples performen. Wir schneiden da regelmäßig sehr gut ab.
Die meisten Hersteller werben mittlerweile mit cloudbasierten Ansätzen. Funktioniert das tatsächlich oder ist das eher ein Marketing-Schlagwort?
Das funktioniert sehr gut. Ein großer Vorteil der cloudbasierten Erkennung ist, dass die Karenzzeit massiv verkürzt wird. Früher hat die Zeitspanne vom Finden über das Erkennen bis zur Verteilung zum Client zwei, drei Stunden gedauert – eventuell sogar mehr. Man hat einen Virus erkannt, hat eine Signatur dafür geschrieben und getestet. Diese Zeit lässt sich extrem durch Cloudtechnologie verkürzen.
Wie stark kann diese Zeit durch die cloudbasierten Dienste verkürzt werden?
Wenn alles wunderbar rund läuft, dann beträgt die Zeit von der Erkennung im Labor bis zu dem Punkt, an dem unsere Kunden geschützt sind, idealerweise 40 – 45 Sekunden. Mittlerweile funktioniert das sehr, sehr gut. Viel schneller gehts schon fast nicht mehr. Man kann allerdings auch den signaturbasierten Ansatz nicht komplett kippen, denn das Cloudsystem funktioniert ja nur, wenn der Rechner online ist. Sitzt man beispielsweise im Zug ohne Onlineverbindung und man steckt einen infizierten USB-Stick ins Notebook, dann hilft die Cloud garnichts.
Verlassen wir mal kurz die Windows-Welt. Wie sieht es aktuell am Mac aus? Sind wir schon so weit, dass wir zwingend am Mac einen Virenschutz brauchen?
Was heißt „zwingend“? Wir sehen mittlerweile mehr Malware für den Mac, wir sind hier aber rein zahlenmäßig noch weit weg von der Windowswelt. Ein Anstieg ist aber zu erkennen. Es gibt jedoch einen anderen Grund für Antivirensoftware am Mac: selbst wenn ein Schädling am Mac nicht ausführbar ist, dann dient der Mac sehr oft als Transportmittel für Dateien, die dann letztendlich wieder den Weg auf einen Windows-Rechner finden. Dementsprechend sollte man sich die Frage stellen, ob man wirklich Viren weitertransportieren will, selbst wenn sie dem eigenen Rechner nicht schaden können. Es ist ja nicht besonders schön, wenn man einen Kollegen oder Freund mit einer kopierten Datei infiziert.