Untersuchungszeitraum: 1. Juli bis 31. Dezember 2005 (www.symantec.com).
I. Trends in der Internetsicherheit im 2. Halbjahr 2005
1. Internetkriminalität auf dem Vormarsch
+ Kriminelle Aktivitäten über das Internet haben zugenommen.
+ Angreifer konzentrieren sich verstärkt auf regionale Ziele, Desktops und Webanwendungen, um Zugriff auf sensible Informationen zu erlangen. Diese Informationen können zu kriminellen Handlungen mit dem Ziel der persönlichen Bereicherung eingesetzt werden.
2. Die neuen Bedrohungen: Heimlich, still und leise
+ Die gegenwärtige Bedrohungslandschaft ist gekennzeichnet von Bot-Netzwerken, modularem Schadcode und gezielten Angriffen auf Webanwendungen und Browser. Traten Bedrohungen bislang eher als Aufsehen erregende, undifferenzierte Attacken auf, so sind heutige Angriffe leise, schwierig zu erkennen und zielgenau.
+ Herkömmliche Attacken, die es auf die Zerstörung von Daten abgesehen hatten, sind Angriffen gewichen, die speziell für Datendiebstahl und finanziellen Gewinn designt worden sind.
3. Schadcode für Profit
+ Die Prognosen von Symantec haben sich bestätigt: Schadcode hat zunehmend finanziellen Gewinn zum Ziel. Bösartiger Code, der vertrauliche Informationen ausspioniert, macht bereits 80 Prozent der Top 50-Schädlinge aus.
- 6.543 neue Varianten von Spybot (plus 3 Prozent) wurden verzeichnet
- 91 Prozent der Schädlinge, die es auf Instant Messaging abgesehen haben, sind Würmer
4. Aufrüstung nach dem Baukastenprinzip
+ Eine weitere wichtige Eigenschaft vieler Schädlinge ist deren modularer Charakter. 88 Prozent der Top 50-Schädlinge funktionierten bereits nach dem Baukastenprinzip:
+ Viren oder Würmer mit zunächst limitierter Funktionalität rüsten sich mittels Download selbsttätig zu ernsten Bedrohungen hoch, die zum Kreditkartenbetrug und anderen kriminellen Aktivitäten verwendet werden können.
5. Massenansturm mittels Bot-Nets
+ Symantecs Prognose hat sich bestätigt, dass Bot-Netzwerke vermehrt für kriminelle Aktivitäten eingesetzt würden, beispielsweise für Denial-of-Service (DoS)-basierte Erpressungsversuche. Bot-Netze bestehen aus infizierten, zentral fernsteuerbaren Rechnern.
+ Im Schnitt beobachtete Symantec 1.402 DoS-Angriffe pro Tag, eine Zunahme von 51 Prozent gegenüber dem ersten Halbjahr 2005. DoS-Angriffe stellen ein massives Sicherheitsproblem für Unternehmen dar, deren Geschäftskommunikation und Umsatzgenerierung vom Internet abhängen.
+ Symantec identifizierte durchschnittlich 9.163 bot-infizierte Computer pro Tag, eine Abnahme von 11 Prozent gegenüber dem ersten Halbjahr. Trotz des Rückgangs, der vermutlich auf verstärkte Sicherheitsmaßnahmen zurückzuführen ist, stellen Bot-Netzwerke auch weiterhin ein ernstes Sicherheitsrisiko dar.
6. Wie lange halten Betriebssysteme Angriffen stand?
+ Symantec hat zum ersten Mal gemessen, wie lange Angreifer brauchen, um neu installierte Betriebssysteme auf Webservern und PCs zu beeinträchtigen.
+ Unter den getesteten Webservern ließ sich der ungepatchte Windows 2000 Server am schnellsten knacken, im Schnitt schon nach einer Stunde und 17 Minuten. Der gepatchte Windows 2003 Web Edition sowie der gepatchte und ungepatchte RedHat Enterprise Linux 3 ließen sich im Beobachtungszeitraum nicht beeinträchtigen.
+ Bei den PC-Betriebssystemen gab Microsoft Windows XP Professional ohne Patches in kürzester Zeit nach, nämlich durchschnittlich schon nach einer Stunde und 12 Sekunden, während das vollständig gepatchte Betriebssystem Angriffen ebenso standhielt wie SuSE Linux 9 Desktop.
7. Schwachstellenrekord: Soviel neue Schlupflöcher gab es noch nie
+ Symantec verzeichnete 1.896 neue Schwachstellen, das sind 73 pro Woche oder gut zehn neue Schwachstellen pro Tag. Das ist die höchste Gesamtsumme seit Gründung der Schwachstellendatenbank von Symantec 1998.
+ Von diesen Schwachstellen wurden 97 Prozent als mittlere bis sehr ernste Bedrohung eingestuft, das heißt, wurde die Schwachstelle erfolgreich ausgenutzt, konnte dies zu einer teilweisen oder völligen Beeinträchtigung des Zielsystems führen.
+ 79 Prozent der Schwachstellen ließen sich leicht ausnutzen, was bedeutet, dass entweder kein Exploit nötig war, oder dass solcher Code öffentlich erhältlich war.
- Microsoft Internet Explorer wies 24 Schwachstellen auf (sowohl vom Anbieter bestätigte als auch unbestätigte).
- Mozilla-Browser wiesen 13 vom Anbieter bestätigte Schwachstellen auf.
8. Rasches Patchen ist notwendig
+ Symantec hat gemessen, wie schnell sich Schwachstellen überhaupt durch einen Patch schließen lassen. Zwischen der Bekanntgabe einer Schwachstelle und der Veröffentlichung von Exploits vergingen durchschnittlich 6,8 Tage (vormals 6 Tage). Bis Anbieter einen geeigneten Patch zur Verfügung stellten verstrichen 49 Tage. In der verbleibenden Zeit von 42 Tagen sind die Systeme von Unternehmen und Privatanwendern für gezielte Angriffe anfällig. Dies unterstreicht einmal mehr die Notwendigkeit, Schwachstellen schnellstmöglich zu schließen.
9. Webanwendungen weiter unter Beschuss
+ 69 Prozent der Schwachstellen betrafen Webanwendungen, das ist eine Zunahme von 15 Prozent. Da viele Webanwendungen auf Protokollen wie HTTP beruhen, die gewöhnlich von Firewalls zugelassen werden, und sie auf Web-Servern gehostet werden, stellen sie ein leichtes Ziel für Angreifer dar.
10. Virenschreiber greifen auf "Bewährtes" zurück
+ Symantec registrierte 10.992 neue Varianten von Win32-Viren und -Würmern - ein geringer Anstieg gegenüber dem ersten Halbjahr, der vor allem auf die gestiegene Zahl neuer Bot-Varianten zurückgeht.
+ Die Zahl neuer Schädlingsfamilien ist hingegen rückläufig (minus 39 Prozent). Dies führt Symantec darauf zurück, dass Virenschreiber lieber vorhandenes Schädlingsmaterial modifizieren, als von Null anzufangen und ganz neue Schädlinge zu kreieren.
11. Phishing bleibt aktuell
+ Phishing hat weiterhin zugenommen und konzentriert sich nun auf kleinere, regionale Ziele. Die Betrugsvariante per E-Mail setzt auf die Interaktion mit gutgläubigen E-Mail-Nutzern, um vertrauliche Daten wie Passwörter, Kreditkartennummern und andere finanzielle Informationen zu stehlen.
+ Im Untersuchungszeitraum stellte eine von 119 E-Mail-Nachrichten einen Phishing-Versuch dar. Das ergibt im Schnitt 7,92 Millionen Phishing-Versuche - Tag für Tag (vormals 5,7 Millionen pro Tag).
+ Im gesamten Untersuchungszeitraum blockierten die Spamfilter von Symantec mehr als 1,5 Milliarden Phishing-E-Mails (vormals 1,04 Milliarden).
12. Breitbandzugang nutzt auch Cyberkriminellen - Beispiel China
+ In China hat die Zahl der bot-infizierten Computer ebenso rasch zugenommen wie die damit verbundenen Angriffe. Der rapide Anstieg ist vermutlich auf die Zunahme von Breitband-Internetverbindungen zurückzuführen.
- Die aus China stammenden Internetattacken haben um 153 Prozent zugenommen. Das
weist auf eine gestiegene Anzahl von Angreifern sowie auf den Einsatz von Bot-Net, mit
denen sich Angriffe massenweise ausführen lassen.
- Die meisten Bot-Server, nämlich 47 Prozent liegen in den USA, gefolgt von Südkorea (9
Prozent) und Kanada (6 Prozent).
- Die meisten Angriffe gehen immer noch von den USA aus (31 Prozent), dann folgen China
(7 Prozent) und Großbritannien (6 Prozent).
II. Ausblick auf kommende Tendenzen in der Internetsicherheit
+ Die Diversifizierung und Leistungsfähigkeit von Schadprogrammen, die zur Internetkriminalität genutzt werden können, wird vermutlich zunehmen. Symantec erwartet vermehrt Diebstähle von sensiblen Informationen für finanziellen Gewinn.
+ Symantec geht davon aus, dass Angreifer häufiger Rootkit-Techniken einsetzen werden, also diskrete Tools, die die Fernsteuerung des Rechners verschleiern und Sicherheitseinrichtungen umgehen.
+ Symantec erwartet, dass der Schwarzmarkthandel mit Schwachstelleninformationen wachsen wird.
+ Symantec rechnet damit, dass Bedrohungen für neue Plattformen wie Spielekonsolen sowie integrierte Sprach- und Datengeräte auftauchen werden. Symantec nimmt an, dass Betrugsversuche, die auf Online-Spiele abzielen, zunehmen werden.
+ Symantec vermutet, dass die Zahl von Phishing-Versuchen und bösartigem Code, die auf Instant Messaging abzielen, zunehmen wird.
+ Symantec geht davon aus, dass Bot-Netzwerke weiter zunehmen werden und die steigende Anzahl an Schwachstellen in Webapplikationen und Internetbrowsern verstärkt ausgenutzt werden.
III. Schnellüberblick Symantec ISTR Nr. 9
Untersuchungszeitraum: 1. Juli bis 31. Dezember 2005
+ 80 Prozent der Top 50-Schädlinge spähen vertrauliche Informationen aus (vorher 74 Prozent)
+ 88 Prozent der Top 50-Schädlinge sind modularer Code (vormals 77 Prozent)
+ 10.992 neue Win32-Viren und -Würmer
+ Häufigster Schädling: Sober.X
+ 9.163 neue bot-infizierte Computer (Rückgang um 11 Prozent)
+ 6.542 neue Varianten von Spybot
+ 1.402 Denial-of-Service-Attacken (ein Plus von 51 Prozent)
+ Angriffe aus China: 153 Prozent im Plus
+ 45 Prozent aller Angriffe werden mittels Microsoft SQL Server Resolution Service Stack Overflow durchgeführt (auch bekannt als Slammer)
+ 1.896 neue Schwachstellen
+ durchschnittlich 73 neue Schwachstellen pro Woche, mehr als 10 pro Tag
+ 97 Prozent aller Schwachstellen sind mittlere bis sehr große Bedrohung
+ 79 Prozent aller Schwachstellen leicht zu knacken
+ 69 Prozent aller Schwachstellen betrafen Webanwendungen (ein Plus von 15 Prozent)
+ 6,8 Tage zwischen Bekanntwerden einer Schwachstellen und Auftauchen von Exploit Code
+ 49 Tage zwischen Bekanntwerden einer Schwachstelle und Veröffentlichung eines Hersteller-Patches
+ die häufigste Adware: Websearch mit 19 Prozent
+ die häufigste Spyware: CometCursor mit 42 Prozent
+ 7,92 Millionen Phishing-Versuche pro Tag
+ 1,5 Milliarden Phishing-Versuche wurden im gesamten Untersuchungszeitraum gestoppt
+ 50 Prozent des E-Mail-Verkehrs sind Spam
+ 91 Prozent aller IM-Schädlinge sind Würmer. (aro)