Staatstrojaner"Die Angreifer haben alle Waffen der Verteidiger"

Warum kommt mein Anti-Viren-Programm mit 100.000 neuen Trojanern pro Tag klar – erkennt aber keinen Staatstrojaner? Toralv Dirro von McAfee erklärt es im Interview. von 

ZEIT ONLINE: In der vergangenen Woche haben US-Sicherheitsforscher eine Überwachungssoftware enttarnt , die von der Firma Gamma stammt und gegen Aktivisten in Bahrain eingesetzt werden sollte. Warum entdecken handelsübliche Anti-Viren-Programme wie die von McAfee solche Überwachungssoftware nicht?

Toralv Dirro: Anti-Viren-Technologie ist Blacklisting – das heißt, wir suchen das, was bekannt bösartig ist. Einen Trojaner, den wir so vorher noch nicht gesehen haben, erkennt eine normale Anti-Viren-Software dementsprechend nicht.

Anzeige

ZEIT ONLINE: Sie setzen doch aber Verfahren zur Mustererkennung ein. Sind diese Trojaner so ungewöhnlich?

Dirro: Wir benutzen heuristische Verfahren, die funktionieren sehr gut bei Viren. Bei Trojanern dagegen schlecht, denn die sind so etwas wie ein Fernwartungsprogramm, das nur für etwas anderes verwendet wird. Deshalb lässt sich ein bekanntes Fernwartungsprogramm wie zum Beispiel VNC nicht sicher von einem Überwachungstrojaner unterscheiden. Das Hauptproblem ist: Die Angreifer haben alle Waffen der Verteidiger. Jeder dusselige Cyberkriminelle kann seinen Onlinebanking-Trojaner gegen die gesamte Batterie von Virenscannern testen.

ZEIT ONLINE: Wie das?

Toralv Dirro
Toralv Dirro

Toralv Dirro, 41, ist Security Strategist der McAfee Labs. In dieser Position ist er Sprecher für die McAfee Labs in Europa, den Nahen Osten und Afrika und arbeitet mit den Anti-Viren-Spezialisten von McAfee zusammen. Er beschäftigt sich mit aktuellen Bedrohungen, Cyberkriminalität und neuen Schutztechnologien.

Seine Karriere begann Dirro 1994 bei Dr Solomon´s Software (damals noch S&S International). Dort war er für den Aufbau des Research Labs in Deutschland verantwortlich.

Der gebürtige Hamburger arbeitete schon während seines Informatikstudiums im Virus Test Center (VTC) der Universität Hamburg.
 

Dirro: Das geht auf Seiten wie virustotal.com , einer Multi-Scanner-Engine. Dort kann jeder verdächtige Dateien hochladen und so prüfen, welche Anti-Virus-Software die Schadsoftware erkannt hätte. Für Kriminelle ist zwar virustotal.com nicht so brauchbar, weil die Betreiber uns bisher unbekannte Samples direkt weiter leiten. Aber es gibt vergleichbare Seiten im Untergrund, die Programmierern von Trojanern die "Qualitätskontrolle" ihrer Software ermöglichen. Ein Angreifer kann seinen Trojaner dann so lange modifizieren, bis kein Scanner ihn mehr findet. Er kann dort sogar dafür bezahlen, dass sein Trojaner einmal am Tag modifiziert wird, mit der Garantie, dass die neue Version dann zunächst von keinem Programm auf virustotal.com gefunden wird.

ZEIT ONLINE: Hinzu kommt, dass Staatstrojaner nicht sehr verbreitet sind, richtig?

Dirro: Ja, die werden in gezielten Einzelfällen eingesetzt und fliegen deshalb bei uns unterm Radar. Ab und zu fällt einem Computernutzer auf, dass sich sein Rechner seltsam verhält, oder eine Anti-Viren-Software meldet einen Verdacht. Dann landen die Informationen ganz normal bei den Anti-Viren-Firmen – als ein möglicher Trojaner von vielen. Wir erkennen derzeit 70.000 bis 100.000 neue Trojaner am Tag.

ZEIT ONLINE: Was passiert dann?

Dirro: Den neuen Trojaner erfassen zunächst nur automatische Analyse-Programme, die ihm eine Kennung geben und fertig. Um Staatstrojaner sicher zu erkennen, fehlen die personellen Mittel.

ZEIT ONLINE: Würde es sich für eine Firma wie McAfee lohnen, sich näher mit solchen Überwachungsprogrammen zu beschäftigen?

Dirro: Nein, aber im Nachhinein haben wir gesehen, dass wir zum Beispiel von Flame und Duqu diverse Samples hatten. Nur waren die nicht als Teil einer Spionagegeschichte erkennbar.

Leserkommentare
    • Zack34
    • 04. August 2012 22:28 Uhr
    Antwort auf "Völlig richtig, Zack"
    • tobmat
    • 06. August 2012 9:20 Uhr

    Tolle Rethorik aber leider am Thema vorbei. Das sind alles Super Sachen die sie da aufzählen. Gegen den Staat hilft das allerdings nur bedingt. Der Staat will ja gezielt einen bestimmten Rechner knacken und wird sich entsprechend an die Besonderheiten des jeweiligen Rechners und Users anpassen.
    Da spielt die Wahl des Betriebssytems nur eine untergeordnete Rolle. Außer sie haben etwas wirklich einzigartiges.

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Chaos Computer Club | Software | Bahrain
Service