Staatstrojaner"Die Angreifer haben alle Waffen der Verteidiger"

Warum kommt mein Anti-Viren-Programm mit 100.000 neuen Trojanern pro Tag klar – erkennt aber keinen Staatstrojaner? Toralv Dirro von McAfee erklärt es im Interview. von 

ZEIT ONLINE: In der vergangenen Woche haben US-Sicherheitsforscher eine Überwachungssoftware enttarnt , die von der Firma Gamma stammt und gegen Aktivisten in Bahrain eingesetzt werden sollte. Warum entdecken handelsübliche Anti-Viren-Programme wie die von McAfee solche Überwachungssoftware nicht?

Toralv Dirro: Anti-Viren-Technologie ist Blacklisting – das heißt, wir suchen das, was bekannt bösartig ist. Einen Trojaner, den wir so vorher noch nicht gesehen haben, erkennt eine normale Anti-Viren-Software dementsprechend nicht.

Anzeige

ZEIT ONLINE: Sie setzen doch aber Verfahren zur Mustererkennung ein. Sind diese Trojaner so ungewöhnlich?

Dirro: Wir benutzen heuristische Verfahren, die funktionieren sehr gut bei Viren. Bei Trojanern dagegen schlecht, denn die sind so etwas wie ein Fernwartungsprogramm, das nur für etwas anderes verwendet wird. Deshalb lässt sich ein bekanntes Fernwartungsprogramm wie zum Beispiel VNC nicht sicher von einem Überwachungstrojaner unterscheiden. Das Hauptproblem ist: Die Angreifer haben alle Waffen der Verteidiger. Jeder dusselige Cyberkriminelle kann seinen Onlinebanking-Trojaner gegen die gesamte Batterie von Virenscannern testen.

ZEIT ONLINE: Wie das?

Toralv Dirro
Toralv Dirro

Toralv Dirro, 41, ist Security Strategist der McAfee Labs. In dieser Position ist er Sprecher für die McAfee Labs in Europa, den Nahen Osten und Afrika und arbeitet mit den Anti-Viren-Spezialisten von McAfee zusammen. Er beschäftigt sich mit aktuellen Bedrohungen, Cyberkriminalität und neuen Schutztechnologien.

Seine Karriere begann Dirro 1994 bei Dr Solomon´s Software (damals noch S&S International). Dort war er für den Aufbau des Research Labs in Deutschland verantwortlich.

Der gebürtige Hamburger arbeitete schon während seines Informatikstudiums im Virus Test Center (VTC) der Universität Hamburg.
 

Dirro: Das geht auf Seiten wie virustotal.com , einer Multi-Scanner-Engine. Dort kann jeder verdächtige Dateien hochladen und so prüfen, welche Anti-Virus-Software die Schadsoftware erkannt hätte. Für Kriminelle ist zwar virustotal.com nicht so brauchbar, weil die Betreiber uns bisher unbekannte Samples direkt weiter leiten. Aber es gibt vergleichbare Seiten im Untergrund, die Programmierern von Trojanern die "Qualitätskontrolle" ihrer Software ermöglichen. Ein Angreifer kann seinen Trojaner dann so lange modifizieren, bis kein Scanner ihn mehr findet. Er kann dort sogar dafür bezahlen, dass sein Trojaner einmal am Tag modifiziert wird, mit der Garantie, dass die neue Version dann zunächst von keinem Programm auf virustotal.com gefunden wird.

ZEIT ONLINE: Hinzu kommt, dass Staatstrojaner nicht sehr verbreitet sind, richtig?

Dirro: Ja, die werden in gezielten Einzelfällen eingesetzt und fliegen deshalb bei uns unterm Radar. Ab und zu fällt einem Computernutzer auf, dass sich sein Rechner seltsam verhält, oder eine Anti-Viren-Software meldet einen Verdacht. Dann landen die Informationen ganz normal bei den Anti-Viren-Firmen – als ein möglicher Trojaner von vielen. Wir erkennen derzeit 70.000 bis 100.000 neue Trojaner am Tag.

ZEIT ONLINE: Was passiert dann?

Dirro: Den neuen Trojaner erfassen zunächst nur automatische Analyse-Programme, die ihm eine Kennung geben und fertig. Um Staatstrojaner sicher zu erkennen, fehlen die personellen Mittel.

ZEIT ONLINE: Würde es sich für eine Firma wie McAfee lohnen, sich näher mit solchen Überwachungsprogrammen zu beschäftigen?

Dirro: Nein, aber im Nachhinein haben wir gesehen, dass wir zum Beispiel von Flame und Duqu diverse Samples hatten. Nur waren die nicht als Teil einer Spionagegeschichte erkennbar.

Leserkommentare
  1. Nur der Kernel von Apple basiert auf einem umgebauten FreeBSD. Der Rest ist komplett verhagelt mit proprietärem Mist und Apple zeigt eindrucksvoll, dass es das Microsoft-Monopol in der Ära der mobilen Geräte ablösen möchte. Kann IMO gut sein, dass Windows 8 floppt und das Vorpreschen der mobilen Geräte klassische PCs und Laptops bald wie Dinosurier aussehen lassen. Dann würde Microsoft/Windows schneller als man denkt in eine Statistenrolle gedrängt und der Kampf würde zwischen Apple und Google ausgetragen (das ist vermutlich wie Pest und Cholera ..).

    Tatsächlich hat Microsoft mit Vista angefangen und jetzt mit Windows 7 einige Sicherheitsstruktureneingebaut, die auch in der OpenSource-Welt Anerkennung gefunden haben.

    Im Gegensatz dazu gilt Apple als viel unsicherer - nur aufgrund der geringen Marktdurchdringung bislang eben noch viel zu wenug getestst/angegriffen. IIRC fiel Appe bei Intrusion-Wettbewerben stets als erstes durch. Verglichen mit Microsoft ist Apple doch jetzt auf dem Stand, wo MS beim Übergang von Windows 3.1 auf Windows 95 war: Viel in den schönen Schein investiert aber null Ressourcen für innere Werte - und dann natürlich überbordendes Marketing ..

    4 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    In der Sache gebe ich ihnen Recht, aber:

    "Nur der Kernel von Apple basiert auf einem umgebauten FreeBSD."

    Das ist falsch. Der Kernel von Mac OS X stammt von ursprünglich von Mach 2.5 und BSD 4.3 ab. Neben dem Kernel ist Mac OS X auch im "Userland" ein echtes Unix. Apple engagiert sich schon lange (seit den Zeiten von NextStep) im Bereich Open Source, während Microsoft Open Source anfags ja komplett abgeleht hat. CUPS und LLVM/CLANG sind zwei populäre Beispiele, wie Apple zur Open Source beiträgt.

    Natürlich hat Mac OS X auch sehr viele propritäre Teile, und iOS ist mit seiner Abschirmung ein Albtraum, einer Diktatur nicht ganz unähnlich. Allerdings wird diese Diktatur von Apple mit der Sicherheit der Benutzer gerechtfertigt.

    "IIRC fiel Appe bei Intrusion-Wettbewerben stets als erstes durch."

    Das lag u.a. daran, dass der Preis das Gerät war, in das eingebrochen wurde. Die Leute wollten einfach einen Mac statt einem PC nach Hause nehmen...

    Trotzdem würde ich jedem, der auf seine persönliche Freiheit Wert legt, Linux oder ein BSD statt Mac OS X oder Windows empfehlen. Das kann man auch auf einem Mac installieren, wenn man will.

  2. In der Sache gebe ich ihnen Recht, aber:

    "Nur der Kernel von Apple basiert auf einem umgebauten FreeBSD."

    Das ist falsch. Der Kernel von Mac OS X stammt von ursprünglich von Mach 2.5 und BSD 4.3 ab. Neben dem Kernel ist Mac OS X auch im "Userland" ein echtes Unix. Apple engagiert sich schon lange (seit den Zeiten von NextStep) im Bereich Open Source, während Microsoft Open Source anfags ja komplett abgeleht hat. CUPS und LLVM/CLANG sind zwei populäre Beispiele, wie Apple zur Open Source beiträgt.

    Natürlich hat Mac OS X auch sehr viele propritäre Teile, und iOS ist mit seiner Abschirmung ein Albtraum, einer Diktatur nicht ganz unähnlich. Allerdings wird diese Diktatur von Apple mit der Sicherheit der Benutzer gerechtfertigt.

    "IIRC fiel Appe bei Intrusion-Wettbewerben stets als erstes durch."

    Das lag u.a. daran, dass der Preis das Gerät war, in das eingebrochen wurde. Die Leute wollten einfach einen Mac statt einem PC nach Hause nehmen...

    Trotzdem würde ich jedem, der auf seine persönliche Freiheit Wert legt, Linux oder ein BSD statt Mac OS X oder Windows empfehlen. Das kann man auch auf einem Mac installieren, wenn man will.

    • Zack34
    • 03. August 2012 20:45 Uhr


    viell. zuerst Viren von Trojanern unterscheiden können.

    Das mal ganz abgesehen davon, dass Sie hier gerne über Linux schreiben wollen, aber - offensichtlich - weder die Bezeichnung kennen, noch wissen, was hinter dieser steht...

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen

    ... ist doch alles das gleiche: schädliche Programme. Nichts weiter.
    Ein Virus schädigt in erster Linie, ein Trojaner spioniert, aber das sind Brüder im Geiste. Ich hoffe, ich habe Ihre Intelligenz nicht allzu sehr durch das unbedachte Verwenden dieser beiden Wörter - die aber in dieser Hinsicht sehr wohl als Synonym verwendet werden können (Staatstrojaner hat Charakteristika eines Trojaners UND eines Virus (Nachladen von Inhalten, Entfernen von Programmen usw.) - beleidigt.

    • Zack34
    • 03. August 2012 21:00 Uhr
    Eine Leserempfehlung
    • negve
    • 03. August 2012 21:41 Uhr

    So, so, also 30 - 50 Viren in ein paar Wochen...

    Zugegeben, ich bin ein vorsichtiger User. Aber trotzdem seit DOS auf Rechnern unterwegs und hatte noch nie einen Virus/Malware. Und ja, ich prüfe das auch hie und da.

    Hingegen ist bei jeder Mac-Kiste per default die Software-Firewall deaktiviert und ich komme - in einem lokalen Netzwerk - sehr einfach auf ihre Kiste.

    Reaktionen auf diesen Kommentar anzeigen

    ... wie einfach Sie auf Ihre Kiste kommen. Sie dürfen es ruhig im Fachjargon erzählen, würde mich ernsthaft interessieren.

    • negve
    • 04. August 2012 11:48 Uhr

    "So it seems that OSX SMB server incorrectly shares the whole machine, and its SMB client doesn't work the way other clients do and fails to alert you to this problem."

    Die Implementierung von Samba ist leider nicht sehr gelungen. Bei gemischten Netzwerken mit OSX/Win klappt das noch ganz gut, die User sehen nur die freigegebenen Ordner, greift man unter Linux-Derivaten auf diese Mac-Kiste zu, erhält man zumindest Lesezugriff auf die ganze Festplatte.

    Ob dieses Leck mittlerweile geschlossen wurde, weiss ich nicht genau. Vor ca. 1,5 Jahren war das allerdings noch möglich und ich habe es mit eigene Augen gesehen.

  3. Unterschätzen Sie nicht den Wildwuchs im Betriebssystem. Das Zeug ist so unstetig, dass es fast nicht anzugreifen ist.

    Antwort auf "............."
  4. "...denn sie würden Linux nicht verstehen."

    Als Endanwender kann ich Ihnen versichern: doch. Empfehlen Sie Endanwendern doch ein einfach zu bedienendes System, wie etwa Ubuntu.

    Eine Leserempfehlung
    Antwort auf "Locked-In Systeme"
  5. ...und beschwingt durch ein Gläschen Wein unterwegs ist, darf sich über Fehlendes und unerwünscht Zugelaufenes nicht beschweren! Irgend Etwas stimmt an Ihrer Schilderung nicht. Wer ein vernünftig eingerichtetes Windows mit Firewall und aktuellem Virenscanner benutzt, kann sich beruhigt in die, ach so schröckliche, Welt des Internets begeben. Der Rest ist sinnloser, müßiger Religionskrieg.

    Reaktionen auf diesen Kommentar anzeigen

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Chaos Computer Club | Software | Bahrain
Service