Staatstrojaner"Die Angreifer haben alle Waffen der Verteidiger"

Warum kommt mein Anti-Viren-Programm mit 100.000 neuen Trojanern pro Tag klar – erkennt aber keinen Staatstrojaner? Toralv Dirro von McAfee erklärt es im Interview. von 

ZEIT ONLINE: In der vergangenen Woche haben US-Sicherheitsforscher eine Überwachungssoftware enttarnt , die von der Firma Gamma stammt und gegen Aktivisten in Bahrain eingesetzt werden sollte. Warum entdecken handelsübliche Anti-Viren-Programme wie die von McAfee solche Überwachungssoftware nicht?

Toralv Dirro: Anti-Viren-Technologie ist Blacklisting – das heißt, wir suchen das, was bekannt bösartig ist. Einen Trojaner, den wir so vorher noch nicht gesehen haben, erkennt eine normale Anti-Viren-Software dementsprechend nicht.

Anzeige

ZEIT ONLINE: Sie setzen doch aber Verfahren zur Mustererkennung ein. Sind diese Trojaner so ungewöhnlich?

Dirro: Wir benutzen heuristische Verfahren, die funktionieren sehr gut bei Viren. Bei Trojanern dagegen schlecht, denn die sind so etwas wie ein Fernwartungsprogramm, das nur für etwas anderes verwendet wird. Deshalb lässt sich ein bekanntes Fernwartungsprogramm wie zum Beispiel VNC nicht sicher von einem Überwachungstrojaner unterscheiden. Das Hauptproblem ist: Die Angreifer haben alle Waffen der Verteidiger. Jeder dusselige Cyberkriminelle kann seinen Onlinebanking-Trojaner gegen die gesamte Batterie von Virenscannern testen.

ZEIT ONLINE: Wie das?

Toralv Dirro
Toralv Dirro

Toralv Dirro, 41, ist Security Strategist der McAfee Labs. In dieser Position ist er Sprecher für die McAfee Labs in Europa, den Nahen Osten und Afrika und arbeitet mit den Anti-Viren-Spezialisten von McAfee zusammen. Er beschäftigt sich mit aktuellen Bedrohungen, Cyberkriminalität und neuen Schutztechnologien.

Seine Karriere begann Dirro 1994 bei Dr Solomon´s Software (damals noch S&S International). Dort war er für den Aufbau des Research Labs in Deutschland verantwortlich.

Der gebürtige Hamburger arbeitete schon während seines Informatikstudiums im Virus Test Center (VTC) der Universität Hamburg.
 

Dirro: Das geht auf Seiten wie virustotal.com , einer Multi-Scanner-Engine. Dort kann jeder verdächtige Dateien hochladen und so prüfen, welche Anti-Virus-Software die Schadsoftware erkannt hätte. Für Kriminelle ist zwar virustotal.com nicht so brauchbar, weil die Betreiber uns bisher unbekannte Samples direkt weiter leiten. Aber es gibt vergleichbare Seiten im Untergrund, die Programmierern von Trojanern die "Qualitätskontrolle" ihrer Software ermöglichen. Ein Angreifer kann seinen Trojaner dann so lange modifizieren, bis kein Scanner ihn mehr findet. Er kann dort sogar dafür bezahlen, dass sein Trojaner einmal am Tag modifiziert wird, mit der Garantie, dass die neue Version dann zunächst von keinem Programm auf virustotal.com gefunden wird.

ZEIT ONLINE: Hinzu kommt, dass Staatstrojaner nicht sehr verbreitet sind, richtig?

Dirro: Ja, die werden in gezielten Einzelfällen eingesetzt und fliegen deshalb bei uns unterm Radar. Ab und zu fällt einem Computernutzer auf, dass sich sein Rechner seltsam verhält, oder eine Anti-Viren-Software meldet einen Verdacht. Dann landen die Informationen ganz normal bei den Anti-Viren-Firmen – als ein möglicher Trojaner von vielen. Wir erkennen derzeit 70.000 bis 100.000 neue Trojaner am Tag.

ZEIT ONLINE: Was passiert dann?

Dirro: Den neuen Trojaner erfassen zunächst nur automatische Analyse-Programme, die ihm eine Kennung geben und fertig. Um Staatstrojaner sicher zu erkennen, fehlen die personellen Mittel.

ZEIT ONLINE: Würde es sich für eine Firma wie McAfee lohnen, sich näher mit solchen Überwachungsprogrammen zu beschäftigen?

Dirro: Nein, aber im Nachhinein haben wir gesehen, dass wir zum Beispiel von Flame und Duqu diverse Samples hatten. Nur waren die nicht als Teil einer Spionagegeschichte erkennbar.

ZEIT ONLINE: Wie viele von den 100.000 neu gemeldeten Trojanern pro Tag schaut sich ein Mitarbeiter an?

Dirro: Ach, wenige. Ein richtig guter Researcher schafft es vielleicht, sich zehn flüchtig anzusehen. Wir setzen unsere Leute lieber darauf an, die automatischen Erkennungen zu generischen Erkennungen zusammenzufassen. Und die erkennt einen Trojaner vielleicht auch in modifizierter Form. Selbst dann bleibt unklar, ob damit jemand Daten klauen will oder ob es ein Ermittlungs- oder Spionagewerkzeug von Behörden ist.

ZEIT ONLINE: Was tun Sie, wenn jemand solche Software enttarnt hat? Nehmen Sie Kontakt auf? Lassen Sie sich Informationen geben, um Ihre eigenen Anti-Viren-Programme zu aktualisieren?

Dirro: Die Samples werden schon seit Ende der achtziger Jahre in der Anti-Viren-Industrie ausgetauscht. Täglich oder einmal die Woche, je nach Hersteller. Besonders interessante Sachen, sogenannte Hot Samples, gehen sehr schnell über Mailing-Listen und werden meist sofort bearbeitet. Bis Updates der Virenscanner herausgegeben werden, kann es aber auch mal ein paar Tage dauern.

ZEIT ONLINE: Bleiben wir beim Beispiel FinSpy von Gamma. Wissen Sie anhand der von US-Forschern veröffentlichten Dokumente jetzt schon genug, um das Programm zu erkennen?

Dirro: Anhand der Dokumente geht das überhaupt nicht. Wir bräuchten die Binärdateien . Und wenn ein Regime, das die Software einsetzt, nicht ganz dumm ist, modifiziert es die Binärdateien vor jedem Einsatz.

ZEIT ONLINE: Sie kennen die Szene: Wer entwickelt so raffinierte Überwachungssoftware? Warum arbeiten die für Gamma und nicht für Sie?

Dirro: Ich weiß nicht, ob wirklich vielen Entwicklern bewusst ist, wofür ihre Produkte eingesetzt werden. Die glauben vielleicht, sie arbeiten an Ermittlungswerkzeugen, die nur an freundliche Staaten verkauft werden, die damit Terroristen und Drogenhändler verfolgen. Auf der anderen Seite gibt es immer Leute mit wenig Skrupeln. Die freuen sich, weil sie bei Gamma Geld verdienen können.

ZEIT ONLINE: Das könnten die doch auch bei Ihnen, bei McAfee.

Dirro: Die haben vielleicht gar nicht die nötigen Fertigkeiten. Sie schreiben Fernsteuerungsprogramme, aber das heißt noch nicht, dass sie in der Lage wären, Trojaner zu analysieren und Kennungen zu schreiben.

ZEIT ONLINE: Sind es besonders fähige Programmierer, die man schon wieder bewundern muss – oder kochen die auch nur mit Wasser?

Dirro: Da steckt keine Magie dahinter. Nachdem, was der Chaos Computer Club festgestellt hat , ist das Wasser, mit dem die kochen, nicht mal besonders warm.

ZEIT ONLINE: Nun werden sich die meisten Ihrer Kunden wenig Sorgen darüber machen, dass sie vom Staat überwacht werden...

Dirro: Die machen sich schon Sorgen, vom Staat ausspioniert zu werden – allerdings nicht vom eigenen.

Zur Startseite
 
Leserkommentare
  1. ... beispielsweise Lunix? Das ist besonders sicher, und einfacher zu bedienen als das alte Unix (daher auch Light Unix). Dort sind Virenscanner nicht notwendig und Viren können mMn nicht ohne weiteres installiert werden.
    Glaubt der Staat etwa, dass die Kriminellen so blöd sind - besonders diejenigen die wirklich kriminell sind - dass sie sich nicht mit alternativen Betriebssystemen schützen?
    Letztendlich wird dieser Virus bei Kleinkriminellen angewandt. Verdacht auf BTM-Konsum? Gut, Virus drauf und mal schauen was sich ergibt. Nachbar hat neues Auto? Gut, Virus drauf und mal schauen was er so treibt. Usw. usf. Schöne neue Welt!

    Reaktionen auf diesen Kommentar anzeigen

    ... ich meinte Linux und das steht nicht für Light Unix sondern für Linux is not Unix.
    Sorry für die Fehlinformation! Dachte immer das stamme von Unix daher Lunix, na ja, passiert!

    • tobmat
    • 03. August 2012 16:42 Uhr

    "Was ist mit alternativen Betriebssystemen wie ...
    ... beispielsweise Lunix?"

    Das hilft ihnen gegen Staatstrojaner auch nicht viel. Den Aufwand den ein Staat sich leisten kann in die Programmierung zu stecken, langt auch um Linux zu knacken. Wobei man ja eh sagen muss das Linux sicherer ist als andere Betriebssysteme, aber eien uneinnehmbare Festung stellt es nicht gerade dar.

    • Zack34
    • 03. August 2012 20:45 Uhr


    viell. zuerst Viren von Trojanern unterscheiden können.

    Das mal ganz abgesehen davon, dass Sie hier gerne über Linux schreiben wollen, aber - offensichtlich - weder die Bezeichnung kennen, noch wissen, was hinter dieser steht...

  2. ... ich meinte Linux und das steht nicht für Light Unix sondern für Linux is not Unix.
    Sorry für die Fehlinformation! Dachte immer das stamme von Unix daher Lunix, na ja, passiert!

    • Blin3
    • 03. August 2012 16:36 Uhr

    Amüsant finde ich den Quelltext des Artikelbildes: Es geht da um Kochen, konkret u.a um Brot.

    • tobmat
    • 03. August 2012 16:42 Uhr

    "Was ist mit alternativen Betriebssystemen wie ...
    ... beispielsweise Lunix?"

    Das hilft ihnen gegen Staatstrojaner auch nicht viel. Den Aufwand den ein Staat sich leisten kann in die Programmierung zu stecken, langt auch um Linux zu knacken. Wobei man ja eh sagen muss das Linux sicherer ist als andere Betriebssysteme, aber eien uneinnehmbare Festung stellt es nicht gerade dar.

    Reaktionen auf diesen Kommentar anzeigen

    Eine Verbesserung der Sicherheit beruht auf mehrere Faktoren:

    * Vielfalt:
    Streng genommen stellt Linux nur den Kernel dar. Die Distributoren (Debian, Suse, Ubuntu, Red Hat, grml, Klaus Knopper, ..) entscheiden dann konkret, welche Treiber in die Kernel für ihre Systeme (Server, Desktops, Rescue, ..) bzw. welche Zusatz-Anwendungen (Gnome, KDE, OpenOffice, Firefox, Apache, samba, tomcat, etc.) in ihre Distribution rein kommen. Entsprechend kann auch jeder Nutzer noch selber Hand anlegen. Diese Uneinheitlichkeit bedeutet: Es gibt kaum einen Vektor, auf den sich ein Angreifer verlassen kann.

    * Offenheit
    Dadurch, dass der Quellcode frei einsehbar ist, kann er auch permanent von Testern / Angreifern herausgefordert werden - und wird es auch. Die Freiheit des Codes führt zudem zu einem Zwang schneller zu Fixen: Ist der Fehler und der Source öffentlich, so kann das Gefahrenpotenzial viel klarer kommuniziert werden und muss viel schneller und gründlicher gefixt werden.

    Durch die Offenheit werden zudem Probleme durch Abhängigkeits-Verzögerungen und Folgefehler reduziert: Veränderungen werden von abhängigen Projekten werden direkt gesehen.

    Bei Bedarf kann man auch selber beliebig tief nach der Ursache eines Fehlers forschen: Weder Regierung noch Mafia kann eine Debian-Community dazu zwingen, eine Backdoor einzubauen - ohne dass diese zeitnah als solche erkannt würde. Das ist das Gegenteil von Skype, von dem jeder weiß, dass Schlapphüte bei Bedarf mithören - aber unklar ist welche..

    Unterschätzen Sie nicht den Wildwuchs im Betriebssystem. Das Zeug ist so unstetig, dass es fast nicht anzugreifen ist.

  3. Denk-Anregung:

    In den USA herrschte von den dreißigern bis in die fünfziger Jahre eine Zensur über Spielfilme, das der oberste US-Kartellwächter Thurman Arnold vor der Zerschlagung in einem Zuge mit dem Meinungsmonopol von Hitler und Stalin verglich: Eine kleine Clique stock-biederer, konservativer und demokratisch nicht legitimierter "Nicht-Politiker" bestimmten, was gut und was böse in den damals existierenden Massenmedien war.

    Frage: Wie konnte es passieren?
    Antwort: Weil es Monopole bzw. Oligopole gab. Die Wertschöpfungkette des Films lag in der Hand ganz weniger Mächtiger (Hollywood-Kartell). Ein paar Moralisten, die eine sichtbare (aber tatsächlich recht kleine) Öffentlichkeit mobilisierten konnten, nutzten das Monopol im Sinne eines "single point of failure", um dort ihre Vorstellung von Gut und Böse über dem ganzen amerikanischen Volk über zwei Jahrzehnte überzustülpen.

    Mit der Zerschlagung des Hollywood-Kartells fiel der singuläre Angriffsvektor, die Zensur verschwand.

    Übertrag:

    Wir leben immer noch im Windows-Monopol und am Horizont droht ein Apple-Monopol - beide seit jeher perfekte singuläre Angriffsvektoren für Schädlinge von Terroristen oder vom Staat.

    Es ist komplett unverständlich dass Massenmedien wie ZEIT, SPIEGEL, ARD etc. die Monopole durch Unterschlagung der Alternativen unterstützen. Mit der Abkehr vom Windows- oder eines Apple-Monopols zerschlägt man auch 99,999% der Viren-Wirkung - womit die Anti-Viren- (aka Schlangenöl-)Branche überflüssig wird.

    Reaktionen auf diesen Kommentar anzeigen
    • ruiin
    • 03. August 2012 17:13 Uhr

    Wie Albert Adler schon erwähnt hat, ist der Betriebssystemmarkt sehr übersichtlich, wenn man Endanwender ist. Linux liegt um 1%, Mac bei 6,5% und Windows bei 92,5%. Microsoft hat in seiner besten Zeit es geschafft die Menschen und Unternehmen auf ihre Software festzunageln. Word, Excel, Outlook/Exchange. Doch unter ihrem Erfolg leidet die Software bis heute. Der Marktdruck ist noch nicht hoch genug damit diese Firma wieder sicher und innovativ wird. Konzepte sind nicht von unten nach oben durchstrukturiert, Microsoft Windows erinnert dabei an einen veralteten Flickenteppich.

    Ich halte nicht viel von Antivirus-Programmen. Viele von ihnen blinken und nerven mit Popups um das Gefühl von Sicherheit zu erwecken, verlangsamen dadurch aber nur den Computer um Lücken zu stopfen, die eigentlich nicht da sein sollten, oder durch ein Sicherheitskonzept aufgefangen werden sollten.

    Das Mac OS bietet solch ein Konzept, Sandboxing, wodurch die Anfälligkeit von Computern um mehrere Potenzen sinken.

    Ich empfehle jedem Endanwender, der mich fragt einen Mac, denn sie würden Linux nicht verstehen. Dabei hoffe ich auf freie Betriebsysteme auch für den Endanwender. Und der Mac ist der erste Schritt dazu. Der erste Schritt weil OS X ein UNIX ist. Und sobald viele Menschen auf Unixoide-Computer arbeiten, ist eine Kompatibilität zwischen den Unix-Systemen ein Katzensprung.

    Nur der Kernel von Apple basiert auf einem umgebauten FreeBSD. Der Rest ist komplett verhagelt mit proprietärem Mist und Apple zeigt eindrucksvoll, dass es das Microsoft-Monopol in der Ära der mobilen Geräte ablösen möchte. Kann IMO gut sein, dass Windows 8 floppt und das Vorpreschen der mobilen Geräte klassische PCs und Laptops bald wie Dinosurier aussehen lassen. Dann würde Microsoft/Windows schneller als man denkt in eine Statistenrolle gedrängt und der Kampf würde zwischen Apple und Google ausgetragen (das ist vermutlich wie Pest und Cholera ..).

    Tatsächlich hat Microsoft mit Vista angefangen und jetzt mit Windows 7 einige Sicherheitsstruktureneingebaut, die auch in der OpenSource-Welt Anerkennung gefunden haben.

    Im Gegensatz dazu gilt Apple als viel unsicherer - nur aufgrund der geringen Marktdurchdringung bislang eben noch viel zu wenug getestst/angegriffen. IIRC fiel Appe bei Intrusion-Wettbewerben stets als erstes durch. Verglichen mit Microsoft ist Apple doch jetzt auf dem Stand, wo MS beim Übergang von Windows 3.1 auf Windows 95 war: Viel in den schönen Schein investiert aber null Ressourcen für innere Werte - und dann natürlich überbordendes Marketing ..

    • ruiin
    • 03. August 2012 17:13 Uhr

    Wie Albert Adler schon erwähnt hat, ist der Betriebssystemmarkt sehr übersichtlich, wenn man Endanwender ist. Linux liegt um 1%, Mac bei 6,5% und Windows bei 92,5%. Microsoft hat in seiner besten Zeit es geschafft die Menschen und Unternehmen auf ihre Software festzunageln. Word, Excel, Outlook/Exchange. Doch unter ihrem Erfolg leidet die Software bis heute. Der Marktdruck ist noch nicht hoch genug damit diese Firma wieder sicher und innovativ wird. Konzepte sind nicht von unten nach oben durchstrukturiert, Microsoft Windows erinnert dabei an einen veralteten Flickenteppich.

    Ich halte nicht viel von Antivirus-Programmen. Viele von ihnen blinken und nerven mit Popups um das Gefühl von Sicherheit zu erwecken, verlangsamen dadurch aber nur den Computer um Lücken zu stopfen, die eigentlich nicht da sein sollten, oder durch ein Sicherheitskonzept aufgefangen werden sollten.

    Das Mac OS bietet solch ein Konzept, Sandboxing, wodurch die Anfälligkeit von Computern um mehrere Potenzen sinken.

    Ich empfehle jedem Endanwender, der mich fragt einen Mac, denn sie würden Linux nicht verstehen. Dabei hoffe ich auf freie Betriebsysteme auch für den Endanwender. Und der Mac ist der erste Schritt dazu. Der erste Schritt weil OS X ein UNIX ist. Und sobald viele Menschen auf Unixoide-Computer arbeiten, ist eine Kompatibilität zwischen den Unix-Systemen ein Katzensprung.

    Reaktionen auf diesen Kommentar anzeigen

    ... privat nutze ich zwar Linux, kann aber jedem Anfänger der genug von Windows hat Mac empfehlen. Mac ist auf unix-Basis und daher in der Sicherheitsarchitektur sehr ähnlich wie Linux. Beide sind prinzipiell sehr sichere Betriebssysteme. Dennoch gibt es für Mac schon einige Viren, die jedoch nicht 'einfach so' installiert werden, sondern durch die Dummheit des Benutzers. Das dieser Risikofaktor nie entfernt werden kann, ist klar. Aber das man nach einigen Wochen vorsichtiger Surferei usw. plötzlich 30-50 Viren, Malware oder Spyware hat, was öfters bei Windows vorkommt, das kommt einfach auf einem Mac oder einem Linux nicht vor.

    "...denn sie würden Linux nicht verstehen."

    Als Endanwender kann ich Ihnen versichern: doch. Empfehlen Sie Endanwendern doch ein einfach zu bedienendes System, wie etwa Ubuntu.

  4. Eine Verbesserung der Sicherheit beruht auf mehrere Faktoren:

    * Vielfalt:
    Streng genommen stellt Linux nur den Kernel dar. Die Distributoren (Debian, Suse, Ubuntu, Red Hat, grml, Klaus Knopper, ..) entscheiden dann konkret, welche Treiber in die Kernel für ihre Systeme (Server, Desktops, Rescue, ..) bzw. welche Zusatz-Anwendungen (Gnome, KDE, OpenOffice, Firefox, Apache, samba, tomcat, etc.) in ihre Distribution rein kommen. Entsprechend kann auch jeder Nutzer noch selber Hand anlegen. Diese Uneinheitlichkeit bedeutet: Es gibt kaum einen Vektor, auf den sich ein Angreifer verlassen kann.

    * Offenheit
    Dadurch, dass der Quellcode frei einsehbar ist, kann er auch permanent von Testern / Angreifern herausgefordert werden - und wird es auch. Die Freiheit des Codes führt zudem zu einem Zwang schneller zu Fixen: Ist der Fehler und der Source öffentlich, so kann das Gefahrenpotenzial viel klarer kommuniziert werden und muss viel schneller und gründlicher gefixt werden.

    Durch die Offenheit werden zudem Probleme durch Abhängigkeits-Verzögerungen und Folgefehler reduziert: Veränderungen werden von abhängigen Projekten werden direkt gesehen.

    Bei Bedarf kann man auch selber beliebig tief nach der Ursache eines Fehlers forschen: Weder Regierung noch Mafia kann eine Debian-Community dazu zwingen, eine Backdoor einzubauen - ohne dass diese zeitnah als solche erkannt würde. Das ist das Gegenteil von Skype, von dem jeder weiß, dass Schlapphüte bei Bedarf mithören - aber unklar ist welche..

    Antwort auf "............."
    Reaktionen auf diesen Kommentar anzeigen
    • tobmat
    • 06. August 2012 9:20 Uhr

    Tolle Rethorik aber leider am Thema vorbei. Das sind alles Super Sachen die sie da aufzählen. Gegen den Staat hilft das allerdings nur bedingt. Der Staat will ja gezielt einen bestimmten Rechner knacken und wird sich entsprechend an die Besonderheiten des jeweiligen Rechners und Users anpassen.
    Da spielt die Wahl des Betriebssytems nur eine untergeordnete Rolle. Außer sie haben etwas wirklich einzigartiges.

  5. ... privat nutze ich zwar Linux, kann aber jedem Anfänger der genug von Windows hat Mac empfehlen. Mac ist auf unix-Basis und daher in der Sicherheitsarchitektur sehr ähnlich wie Linux. Beide sind prinzipiell sehr sichere Betriebssysteme. Dennoch gibt es für Mac schon einige Viren, die jedoch nicht 'einfach so' installiert werden, sondern durch die Dummheit des Benutzers. Das dieser Risikofaktor nie entfernt werden kann, ist klar. Aber das man nach einigen Wochen vorsichtiger Surferei usw. plötzlich 30-50 Viren, Malware oder Spyware hat, was öfters bei Windows vorkommt, das kommt einfach auf einem Mac oder einem Linux nicht vor.

    Antwort auf "Locked-In Systeme"
    Reaktionen auf diesen Kommentar anzeigen
    • negve
    • 03. August 2012 21:41 Uhr

    So, so, also 30 - 50 Viren in ein paar Wochen...

    Zugegeben, ich bin ein vorsichtiger User. Aber trotzdem seit DOS auf Rechnern unterwegs und hatte noch nie einen Virus/Malware. Und ja, ich prüfe das auch hie und da.

    Hingegen ist bei jeder Mac-Kiste per default die Software-Firewall deaktiviert und ich komme - in einem lokalen Netzwerk - sehr einfach auf ihre Kiste.

    ...und beschwingt durch ein Gläschen Wein unterwegs ist, darf sich über Fehlendes und unerwünscht Zugelaufenes nicht beschweren! Irgend Etwas stimmt an Ihrer Schilderung nicht. Wer ein vernünftig eingerichtetes Windows mit Firewall und aktuellem Virenscanner benutzt, kann sich beruhigt in die, ach so schröckliche, Welt des Internets begeben. Der Rest ist sinnloser, müßiger Religionskrieg.

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf mehreren Seiten lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Chaos Computer Club | Software | Bahrain
Service