Das Jahr 2007: Rückblick durch die Glaskugel

Das Jahr 2007 war das Jahr der Super-Bots: Nie zuvor verfügte Schadsoftware über so viele Funktionen, um sich auf infizierten Rechnern vor Virenscannern zu verstecken und sich gegen die Deinstallation zu wehren. Die Mehrzahl der Schädlinge setzte dabei Rootkits ein, ihre Anzahl verdoppelte sich mit 511 erneut. Zudem nutzen sie vermehrt so genannte Local-Privilege-Escalation-Lücken in Windows aus, um sich von Konten mit eingeschränkten Nutzerrechten zu Systemrechten hochzuhangeln. Die Crimeware-Szene reagierte damit auf das Anfang Januar auch für Endkunden verfügbare Windows Vista, dessen Schutzfunktionen zunächst das Eindringen von Schädlingen in das System erschwerte. Im Laufe des Jahres wurden allerdings zahlreiche Schwachstellen in Vista bekannt, mit denen sich der größte Teil der Sicherheitsfunktionen aushebeln oder umgehen ließ. Insbesondere die User Account Protection (UAC) erwies sich als Schuss in den Ofen: Deren Nachfragen wurden von den meisten Anwendern immer bestätigt, da sie mit den angezeigten Informationen wenig anzufangen wussten.

Anders als noch 2006, wo sich etwa DDoS-Angriffe mit Bot-Netzen hauptsächlich gegen missliebige Konkurrenten, Online-Wettbüros und Verbraucherschutzseiten richteten, waren im vergangenen Jahr auch kritische Infrastrukturen Ziel großangelegter Attacken. So kam es im April fast zu einem Börsen-Crash, als ein DDoS-Angriff das elektronische Handelssystem der deutschen Börsen für mehrere Tage vom Internet abtrennte und in der Folge aus dem Ruder gelaufene, automatisierte Kontrollprogramme panisch versuchten, Aktien abzustoßen.

Bei einer Analyse des Vorgangs stellte sich heraus, dass weder die Strafverfolgungsbehörden noch zusätzlich eingeschaltete Spezialisten in der Lage waren, das für den Angriff verantwortliche, dezentral gesteuerte Bot-Netz abzuschalten. Die einzelnen Bots kommunizierten untereinander in einer Peer-to-Peer-Struktur, wie sie aus Tauschbörsen bekannt ist; die im Netz übertragenen Befehle waren verschlüsselt und digital signiert.

Ein Versicherungskonzern musste erhebliche Schäden bilanzieren, als im gesamten Konzern für zwei Tage aufgrund eines Bot-Netz-Angriffs kein Telefon mehr funktionierte. Die erst kürzlich eingeführte Voice-over-IP-Infrastruktur zeigte sich zwar als tatsächlich billiger im Betrieb, die Versprechen zur Ausfallsicherheit erwiesen sich allerdings angesichts der gezielten Angriffe auf Schwächen des SIP-Protokolls als unhaltbar. Wieso die Angriffe nach zwei Tagen unvermittelt aufhörten, ist nach wie vor ungeklärt; Gerüchte, dass eine sechsstellige Summe den Besitzer wechselte, halten sich hartnäckig.

2007 war auch ein schwarzes Jahr für die Hersteller von Sicherheitssoftware: Nie zuvor wurden so viele kritische Lücken in Produkten aufgedeckt, die eigentlich für mehr Sicherheit sorgen sollten. So nutzten diverse Würmer Zero-Day-Exploits für Lücken in Virenscannern aus, um sich schon beim Scannen der Mails im System einzunisten.

Die Untergrundpreise für solche Zero-Day-Exploits fielen 2007 im Vergleich zum Vorjahr erstmals. Insider führen dies auf ein Überangebot zurück, das vor allem durch den breiten Einsatz der immer einfacher zu benutzenden Fuzzing-Tools verursacht wurde. Diese halbautomatischen Schwachstellen-Scanner legten nach und nach die (Security-)Sünden einer ganzen Programmierergeneration offen.

Der Anteil webbasierter Angriffe stieg 2007 weiterhin kräftig an. Allerdings nutzten bösartige Webseiten weniger Lücken in Browsern selbst aus, sondern infizierten die PCs der Besucher in höherem Maße über Lücken in Mediaplayer-Plug-ins und -Software für den Internet Explorer, Firefox und Opera. Dazu trug auch die Popularität von Videoportalen wie YouTube, MyVideo, ClipFish und Social-Networking-Seiten bei. Trauriger Höhepunkt war der MySpace-Wurm, der über eine Lücke im Flash-Player über mehrere Wochen lange die PCs hunderttausender Besucher infizierte und deren Surfverhalten sowie Chat-Aktivitäten mitloggte und in öffentliche Foren postete.

Mit dem von vielen Firmen zumindest begonnenen Umstieg auf Web 2.0 verschlechterte sich die Sicherheitslage: Cross-Site-Scripting-Lücken auf Webservern wurden zur flächendeckenden Seuche. Das Verunstalten von Webseiten schaffte den Aufstieg vom Insider-Gag zur Massenbelustigung, als Harald Schmidt seine Lieblingseiten des Vatikans, der CIA und der Deutschen Bank präsentierte. Die Zugriffszahlen des Xacks-Archivs – benannt nach dem Kunstwort aus XSS und Hack -- überflügelten sogar kurzfristig den Shootingstar YouTube. Aus dem Justizministerium verlauten derweil Pläne, den Abruf manipulierender URLs unter Strafe zu stellen.

Doch auch klassische Webanwendungen blieben nicht ungeschoren. Nach dem "Month of PHP Bugs" im März 2007 und den daraufhin folgenden Einbrüchen in zehntausende Webserver sahen sich weltweit Webhoster gezwungen, ihre Server für mehrere Tage vom Netz zu nehmen, bis Updates für die gröbsten PHP-Lücken zur Verfügung standen. Das US-CERT empfahl in einer Studie im Juni 2007, PHP nicht mehr in kritischen Umgebungen einzusetzen. Das sonst eher zurückhaltende Bundesamt für Sicherheit in der Informationstechnik (BSI) riet davon ab, PHP auf Servern der Bundesregierung, der Länder und Behörden für Webanwendungen zu verwenden. Stattdessen empfahlen die Bonner Ruby on Rails.

Im Bereich Datenschutz setzte sich 2007 der Payback-Trend fort: Immer mehr Firmen versuchen, sich von den lästigen Einschränkungen im Umgang mit personenbezogenen Daten freizukaufen. Durch attraktive Angebote locken sie die Kunden dazu, Geschäftsbedingungen zu akzeptieren, die dem Dienstanbieter alle diesbezüglichen Freiheiten einräumen. Ein erstes böses Erwachen gab es bei einem IP-TV-Anbieter, der seinen Werbekunden Profile mit den Sehgewohnheiten seiner Zuschauer verkaufte – einschließlich Namen und Adressen. Die Ankündigung von Emma, demnächst eine verdeckt eingekaufte Zuschauerliste des Pornokanals zu veröffentlichen, sorgte jedoch für einen schlagartigen Rückgang der Abo-Zahlen. Mittlerweile diskutieren die IP-TV-Anbieter eine mögliche Selbstverpflichtung, personenbezogene Daten nicht mehr an böswillige Dritte weiterzugeben.

Ins Zwielicht geriet auch Suchmaschinenbetreiber Google, als durch eine Panne zutage kam, dass der Datenkraken entgegen seiner Beteuerungen alle über seinen Mail-Service abgewickelten E-Mails analysiert und indiziert. Durch den Fehler eines Administrators wurde eine Datenbank des streng geheimen Projekts auf die externen Index-Server gespiegelt, sodass mindestens eine Stunde die privaten Mails tausender GMail-User über das Suchfrontend abrufbar waren. Der Vorfall verleiht den Warnungen vor einer möglichen Verknüpfung der Daten aus der klassischen Suchmaschine, Google Desktop, Google Analytics, Youtube und weiteren Google-Diensten neues Gewicht. Ob das jedoch Folgen zeigt, wird erst unser Rückblick auf das Jahr 2008 enthüllen.

Bleibt zu hoffen, dass unsere Glaskugel sich geirrt hat.

heise Security (dab)