Am Internet-Gateway eingehender Schadcode tritt in immer undurchsichtigeren Formen auf. Reiner Baumann, Deutschlandchef von Ironport erklärt, wie man unbekannten Gefahren trotzen kann.
Druckte jeder Empfänger von Spam-Mails seine ungewünschte Post täglich aus, würde das jeden Tag dafür weltweit benötigte Papier einem Zeitungsstapel von der Erde bis zum Mond gleichkommen. Es ist jedoch nicht nur die Menge an Spam, Viren, Phishing oder Spyware, die das Leben erschweren, auch ihre Vielfältigkeit nimmt zu: Neuartige Bedrohungen entwickeln sich qualitativ sehr schnell weiter: So geht etwa von Blended Threats (Schadcode, der für seine Angriffe verschiedene Infektions- und Verbreitungstechniken parallel nutzt) oder Image-Spam (mit Schadcode behaften Werbebilder) eine zunehmende Gefahr für Netzwerke aus.
Aktienkurse mit Spam-Mails beeinflusst
Von vielen Anwendern lediglich als lästiges Ärgernis wahrgenommen, sind Spam-Mails und unsichere Websites in Wahrheit zunehmend Teil krimineller Machenschaften. Man mag es kaum glauben: So genannte "Stock-Spam"-Attacken (Werbemails, die zum Aktienkauf animieren) haben nachweislich reale Aktienkurse beeinflusst.
Ein aktuelles Beispiel: Ende März 2007 verbreitete sich eine Attacke mit Namen "VCDY Stock Spam" innerhalb von zehn Stunden über ein Netz von 50.000 Zombie-PCs in 44 Ländern. Kurz darauf stieg der Kurs des beworbenen Pennystocks um immerhin 13 Prozent und das Handelsvolumen wuchs um ein Vielfaches an.
So erzielen die Initiatoren dieser Attacken erhebliche Gewinne, während die gutgläubigen Opfer das Nachsehen haben. Und das könnte jeder sein, denn neben Aktienkäufern werden sämtliche Nutzer von Zombie-PCs hinters Licht geführt, wenn ihre Internet-Leitung dabei zur Tatwaffe mutiert.
Foto: Ronald Wiltscheck
In der Schweiz sind PC-Besitzer seit April 2007 für den Schaden haftbar, den sie auf diese Weise anrichten, andere Länder dürften bald nachziehen. Es ist daher höchste Zeit, dass auch kleine und mittelständische Unternehmen in Deutschland sich über effektive Schutzmaßnahmen ernsthaft Gedanken machen - bevor ein Haftungsproblem entsteht.
Denn um die Stock-Spam-Attacken, die mittlerweile einen Anteil von 30 Prozent am gesamten Spam-Aufkommen haben, in Gang zu setzen, werden zuvor zigtausende PCs mit Schadsoftware infiziert und damit zum weltweit verteilten Zombie-Angriffsnetz gut gerüstet.
Der Vorsprung von Virenschreibern
Viele Attacken wie Blended Threats oder Image-Spam verbreiten sich vor allem deshalb so schnell, weil sie durch die herkömmlichen, rein auf textliche Inhalte fokussierten Filter schlüpfen können. Die Angreifer transportieren ihre Malware über geschickt getarnte Weblinks in E-Mails. Diese verweisen auf eine Website, von der Malware automatisch heruntergeladen wird. Vor allem durch Schwachstellen des Internet Explorer konnten sich solche Malware-Codes vom Endbenutzer unentdeckt verbreiten.
Zudem sind die Hacker in der Lage, den ausgesetzten Schadcode jederzeit aktualisieren zu können, ohne den Link erneut verbreiten zu müssen. Es scheint fast so, als würden die Malware-Schreiber damit im Kampf gegen die Antiviren-Hersteller siegen. Denn sobald eine neue Signatur erstellt ist, können sie hinter dem Link eine neue Schadsoftware verstecken.
Gefährlicher Image-Spam nimmt rapide zu
Weitere Brisanz entsteht durch Nachrichten, bei denen die Botschaft fast ausschließlich als Bild vorliegt - denn auch die Bilder können gefährliche Links transportieren. Die Zahl dieser Image-Spam-Mails ist förmlich explodiert: Während im Oktober 2005 noch 4,8 Prozent der gesamten Spam-Flut Bilddateien waren, stieg der Anteil bis April 2007 bereits auf ein Drittel des gesamten Spam-Aufkommens. Das bedeutet, dass täglich 25 Milliarden derartiger Nachrichten versendet werden.
Mit jeder Spam-Attacke verändern sich die meisten Bilder zudem minimal, um herkömmliche Spam-Blocker auszuhebeln. Filter der ersten und zweiten Generation können deshalb derartigen Image-basierten Spam nicht erkennen. Rund 78 Prozent der unerwünschten Nachrichten wandern so ungehindert in die Mailboxen der Anwender.
Reputationsbasierte Verfahren im Vorteil
Angesichts der neuartigen Bedrohungen bieten herkömmliche Filter keinen ausreichenden Schutz, denn sie überprüfen in erster Linie den Inhalt von Websites und E-Mails auf Schadcode oder bekannte Muster. Dieser rein reaktive Schutz hinkt der aktuellen Bedrohungslage um Stunden oder Tage hinterher, bis der Hersteller seine Filter auf den neuesten Stand gebracht hat. Die Kombination mit präventiven Schutzmaßnahmen schließt jedoch die Lücke in der Regel schon bevor sie entsteht.
Als besonders geeignet für den präventiven Schutz am Gateway haben sich Reputations-basierte Verfahren erwiesen. Statt Inhalte analysieren sie das Sendeverhalten der Absender mittels statistischer Messungen.
Das Ziel heißt, eine möglichst objektive Einschätzung der Seriosität einer Website oder eines E-Mail-Absenders zu erhalten. Diese Einschätzung ist in vielen Fällen bereits verfügbar, wenn ein Angriff gerade erst beginnt, denn spezielle zentrale Datenbanken analysieren ständig bis zu 110 Parameter einer Internet-Adresse - und das von mehr als 25 Prozent des weltweiten E-Mail-Aufkommens.
Wichtig ist, dass eine am Gateway eingebundene Sicherheits-Appliance den kompletten Kontext einer Verbindung scannt: etwa wer die zu untersuchende Nachricht gesendet hat, von wo sie abgeschickt wurde, auf welche Weise sie Endanwender adressiert, wie sie aufgebaut ist und was sie enthält. Eine Nachricht, die keinen Text enthält, einen Spam-verdächtigen HTML-Code verwendet, von einer IP-Adresse eines einschlägigen Netzwerks kommt und dazu erst seit 30 Minuten E-Mails verschickt, ist sehr wahrscheinlich keine Nachricht, die ein Anwender erhalten möchte. (aro)