Verschlüsselung als Sicherheitsproblem

Bisher galten Viren als besonders gefährlich, die keine Benutzeraktionen oder höchstens einen unvorsichtigen Doppelklick auf den Dateianhang erfordern, um einen Rechner zu infizieren. Die Viren der letzten Monate haben jedoch bewiesen, dass Anwender durchaus auch Archive von Hand auspacken und die darin enthaltenen Dateien starten. Auf die Spitze treiben das die letzten Bagle-Versionen, die sich zusätzlich auch noch als verschlüsselte ZIP-Dateien versenden und damit Erfolg haben. Uns sind mehrere Fälle bekannt in denen Anwender aus Neugier das Passwort aus dem Text der Mail eingegeben und dann die entpackte Datei gestartet haben.

Damit sind wir mit der paradoxen Situation konfrontiert, dass Verschlüsselung die Sicherheit insbesondere von Firmennetzen gefährdet. Denn herkömmliche Virenscanner können den verschlüsselten Schädling auf den Mail-Gateways nicht erkennen und ausfiltern. Anwender mit Antiviren-Software auf dem Desktop sind von dem Problem nicht direkt betroffen, da ein Virenwächter mit aktuellen Signaturen den Virus beim Auspacken entdecken und seine Ausführung verhindern kann.

Diese Entwicklung hat die meisten Firmen kalt erwischt, die nicht damit gerechnet haben, dass sich ein solcher Virus nennenswert verbreiten kann. Mittlerweile haben die Hersteller von Antiviren-Software jedoch reagiert und rüsten Techniken nach, um mit den verschlüsselten Archiven umzugehen. Dabei kristallisieren sich drei Strategien heraus. Die einfachste ist ein generelles Blockieren von verschlüsselten Archiven auf dem Mail-Gateway. Diese Lösung funktioniert zwar zuverlässig, ist aber in vielen Fällen nicht akzeptabel.

Hersteller wie Network Associates (McAfee), und laut Andreas Marx von AV-Test auch H+BEDV (Antivir) und Sophos (Anti Virus) analysieren die unverschlüsselten Verwaltungsinformationen des Archivs. Der Aufruf von pkzip -vt enthüllt bei einem verschlüsslten Bagle-Archiv auch ohne Angabe des Passworts folgendes:

Searching ZIP: INFO.ZIP
 Filename: rchlnmw.exe
 File type: text, encrypted
 Attributes: --wa
 Date and Time: Mar 03,2004 10:28:00
Compression Method: Stored
 Compressed Size: 12685
 Uncompressed Size: 12673
 32 bit CRC value: 820d0f4a
 Created by: PKZIP: 2.0 under MS-DOS
 Needed to extract: PKUNZIP: 1.0

Mit Hilfe solcher Informationen erkennen die Scanner den Virus einigermaßen zuverlässig. Der Haken dabei ist, dass man dabei für jede Virus-Variante auch wieder neue Signaturen benötigt. Des weiteren ist damit zu rechnen, dass zukünftige Schädlinge diese Informationen so varieren, dass eine zuverlässige Erkennung ohne allzu hohe Fehlalarmquote unmöglich wird.

Als bisher einziger uns bekannter Hersteller hat Kaspersky seinen Antiviren-Scanner so erweitert, dass er das Passwort selbstständig aus dem Text der Mail extrahiert und damit das Archiv entschlüsselt. Das können zukünftige Viren jedoch vergleichsweise einfach erschweren, indem sie das Passwort nicht mehr direkt ausschreiben, sondern verschleiern. Rätsel wie "dreimal M, ein kleines Q und dann die einundzwanzig minus drei" dürften die Scanner vor einige Probleme stellen, die Nutzer aber kaum davon abhalten, das Archiv trotzdem zu öffnen. Wer gehässig spekuliert, dass Anwender, die immer noch Viren in Dateianhängen öffnen, damit ebenfalls überfordert wären, vergisst, dass ein solches "Rätsel" durchaus auch als Ansporn dienen kann, sich besonders ins Zeug zu legen. (Ich würde mittlerweile fast wetten, dass selbst ein verschlüsselter Virus, der sein Passwort nicht verrät, noch seine Opfer fände.)

Es besteht also keinerlei Veranlassung sich beruhigt zurückzulehnen. Nachdem Bagle demonstriert hat, dass sich auch verschlüsselte Viren verbreiten können, steht zu befürchten, dass auch andere Virenschreiber diese Idee aufgreifen und ihre Kreativität daran verschwenden, immer heimtückischere Varianten dieses Konzepts zu ersinnen.

Jürgen Schmidt aka ju (ju)