Netzwerksicherheit spielt eine sehr wichtige Rolle in der heutigen IT. Die gehäuften Hackerangriffe auf Firmennetzwerke in Deutschland, die in letzter Zeit in Unternehmen entdeckt wurden, zeigen, wie schnell ein hoher Schaden entstehen kann. Und natürlich ist auch sehr häufig der Privatanwender über das Internet betroffen. Im Interview mit Olivia von Westernhagen gehen wir auf die Bedeutung der Sicherheit im Netzwerk ein und wie du dich vor Angriffen schützen kannst.
Interview Netzwerksicherheit mit Olivia von Westernhagen und Prof. Dr. Andreas Hanemann
Während ihres Bachelor-Studiums der Medieninformatik an der Ostfalia Hochschule für angewandte Wissenschaften begann Olivia von Westernhagen, sich – zunächst als Hobby – mit dem Thema Reverse Engineering zu befassen. Die Freizeitbeschäftigung wurde zu ihrem Beruf, als sie ein Jobangebot als Malware-Spezialistin bei der IT-Sicherheitsfirma Dr. Web annahm, welches sie im Rahmen ihres Praxisprojekts im Studium erhielt. Ein paar Jahre später machte sie sich als Publizistin technischer Fachartikel und Belletristik selbständig. Sie beschäftigt sich auch weiterhin mit der Analyse von Malware. Ihre detaillierten Analysen von Schadsoftware erschienen in der Vergangenheit unter anderem im hakin9-Magazin. Zurzeit schreibt sie für heise Security und veröffentlicht hin und wieder längere Beiträge im c’t-Magazin.
Frau von Westernhagen, in ihren Analysen beschäftigen Sie sich detailliert mit der Funktionsweise von aktueller Schadsoftware. Ist dabei die klassische Differenzierung zwischen Viren, Würmern und Trojanern noch angebracht?
Obwohl bei so mancher Schadsoftware eine oder mehrere der für die klassischen Kategorien typischen Eigenschaften vorherrschen, ist eine strikte Kategorisierung heutzutage kaum noch praktikabel. Angesichts immer besser vor Manipulation geschützter Betriebssystemkomponenten und einer stetigen Weiterentwicklung der AV-Engines müssen auch die Programmierer schädlicher Software einen größeren Aufwand bei der Implementierung betreiben. Moderne Malware ist multifunktional und zugleich flexibel in punkto Angriffs- und Verschleierungstechniken.
Die gängigen Smartphone-Betriebssysteme basieren auf Unix/Linux, so dass die typische Schadsoftware dafür Trojaner sind. Sind daher Antiviren-Programme für Smartphones eigentlich unsinnig oder bieten sie Sicherheit?
Heutzutage werden auf Smartphones oft mehr sensible Daten gespeichert als auf dem heimischen PC oder dem Notebook. Das wissen auch Kriminelle, für die dieses Medium immer häufiger zum lukrativen Angriffsziel wird. Das stabilste Betriebssystem ist kein Garant für Sicherheit, wenn der Risikofaktor Mensch hinzugerechnet wird.
„Viren“ im klassischen Sinne, die Dateien infizieren und sich auf diese Weise weiterverbreiten, sind auf Smartphones bisher gar nicht aufgetaucht. Es existieren lediglich Trojaner die, als harmlose Apps getarnt, zum Download angeboten werden. Gefährlich werden diese meist erst dann, wenn der User ihnen bestimmte Berechtigungen erteilt – beispielsweise zum Zugriff auf nutzerbezogene Daten, weitere Anwendungen oder zur Kommunikation mit entfernten Servern. So werden dem Nachladen schädlicher Inhalte, dem Sammeln und Übermitteln nutzerbezogener Daten und mitunter gar der Manipulation von Smartphone-Einstellungen per Remote-Zugriff Tür und Tor geöffnet.
Antiviren-Software fürs Smartphone erkennt bereits als Malware bekannte Anwendungen und kann dem Nutzer durch eine entsprechende Warnmeldung von einer Installation abraten. Dank des Sandbox-Prinzips moderner Smartphone-Betriebssysteme sind ihre Möglichkeiten des direkten Zugriffs auf die Malware jedoch kaum bis gar nicht vorhanden.
Letztlich bieten ein bewusstes, kritisches Download-Verhalten sowie ein verantwortungsvoller Umgang mit vertraulichen Daten den wirkungsvollsten Schutz.
Mehr zum Thema: Kostenloser englischsprachiger Kurs zum Netzwerk, Sicherheit und das Internet
Wenn man die Software insgesamt betrachtet, die Sie analysieren, wie sehen Sie dabei die Verantwortung, dass so viele Angriffsmöglichkeiten bestehen? Also liegt es in erster Linie an den Betriebssystemen oder der Anwendungssoftware?
Ich habe vor kurzem im Rahmen eines c’t-Artikels das Exploit-Kit RIG analysiert, dessen Sourcecode Anfang 2015 geleakt wurde. Dem veröffentlichten Code war auch eine Datenbank beigefügt, die Informationen über die verwendeten Exploits beinhaltete. Aus ihr ging hervor, dass die meisten ausgenutzten Schwachstellen auf veralteten Versionen von Java, Flash und Silverlight beruhten. Sieht man einmal von einer Schwachstelle im Internet Explorer ab, der in diesem Zusammenhang getrost als eigenständige Anwendungssoftware betrachtet werden kann, wurden keinerlei Betriebssystem-Komponenten angegriffen. Diese Beobachtung lässt sich auch auf die Angriffstechniken anderer Malware übertragen.
Ich selbst habe mit der Analyse von Malware unter Windows XP begonnen und kann deshalb aus Erfahrung sagen, dass betriebssystemspezifische Angriffe noch vor wenigen Jahren häufiger vorkamen. Die Verwaltung der Administratorrechte per Benutzerkontensteuerung (User Account Control) seit Windows Vista und Sicherheitsmechanismen wie Secure Boot und ASLR (Address Space Layout Randomization) haben den Schwerpunkt der Angriffe jedoch deutlich auf die Anwendungssoftware verschoben. Es liegt in der Verantwortung des Users, regelmäßige Updates durchzuführen, um zumindest vor bereits bekannten Sicherheitslücken geschützt zu sein. Selbstverständlich gilt dies auch für sicherheitsrelevante Aktualisierungen des Betriebssystems.
Können Sie uns einen Einblick darin geben, wie Ihre Vorgehensweise bei der Analyse von Schadsoftware ist, beispielsweise welche Tools Sie dabei verwenden, um die Analysen durchzuführen? Wie kommen Sie dabei überhaupt an mit der Schadsoftware infizierte Rechner oder haben Sie Zugriff auf Honeypot-Installationen?
Während meiner Zeit als Malware-Analystin hatte ich Zugriff auf sämtliche in der Datenbank hinterlegte Samples. Heute suche ich mir für meine Analysen Samples, die mich interessieren. Ich recherchiere zunächst in entsprechenden Foren bezüglich aktueller Themen. Dabei versuche ich, die MD5 oder SHA1-Prüfsumme einer relevanten Datei herauszufinden. Diese ist ein beliebtes Merkmal zum Suchen bzw. Verwalten von Schadsoftware-Dateien in Datenbanken. Communities wie malwr.com, virusshare.com und viele andere stellen – häufig erst nach Anmeldung – aktuelle Malware-Samples für Analysten im IT-Sicherheits-Bereich zur Verfügung. Zudem gibt es auch Online-Services, die aktive Malware „tracken“ und die entsprechenden URLs nebst weiteren Informationen in Form einer ständig aktualisierten Liste zur Verfügung stellen.
Bei der Nutzung solcher Services sollte man sich bewusst sein, dass man unmittelbar mit Schadsoftware in Berührung kommt. Ich arbeite grundsätzlich in einer virtuellen Umgebung, um mein physisches System zu schützen. Die von mir verwendeten Tools hängen von der Art der zu analysierenden Datei ab. So unterscheidet sich eine ausführbare Datei, die in einer nativen Programmiersprache geschrieben wurde, deutlich von einer, bei welcher beispielsweise Java oder das .NET Framework zum Einsatz kam. Während ich im ersten Fall Debugger oder Disassembler (z.B. Immunity oder IDA) verwende, um mir den resultierenden Assemblercode anzusehen, ist bei letzteren der Einsatz spezieller Decompiler sinnvoll (z.B. JD oder .NET Reflector). Diese liefern mir eine recht authentische Abbildung des ursprünglichen Codes.
Neben den Tools, die ich zum Betrachten des Codes verwende, haben sich vor allem auch Werkzeuge als nützlich erwiesen, die während des Ausführens der Schadsoftware (dynamische Analyse) zur Systemüberwachung dienen. Interessierten sei ans Herz gelegt, in diesem Zusammenhang einen Blick auf die kostenlosen Windows Sysinternals zu werfen. Zur Analyse des Netzwerk-Traffics nutze ich gern Wireshark.
Du möchtest mehr zum Thema Sicherheit im Netzwerk wissen und lernen, mit welcher Security du dich und deine Firma besser im Netz schützen können? Dann melde Dich jetzt gleich für unseren kostenlosen Online-Kurs Netzwerksicherheit an! In den Trailer kannst Du hier reinschauen. Vielleicht sind auch unsere Selbstlernkurse zu IT-Recht, Risikomanagement oder Einführung in die Informatik etwas für Dich.
Das Interview wurde für den kostenlosen Online-Kurs „Netzwerksicherheit“ (#nwsMOOC) im März 2016 von Professor Dr. Andreas Hanemann geführt. Alle Informationen und die Möglichkeit zur Anmeldung finden Sie unter https://mooin.oncampus.de/nwsmooc.
Entdecke spannende Artikel
Mehr über Social Media Management
Mehr über das Digitale Ich: Bestimme über deine Internet Präsenz
Mehr über Digitalisierung der Arbeitswelt: Interview mit Ursula Vranken
Mehr über Urheberrecht im Internet
Mehr über das digitale Ich im Interview mit Joachim Sucker und Nina Oberländer
Mehr über die Arbeitswelt der Zukunft: Arbeit 4.0
Mehr über die Risikomanagement Definition erfahren
Mehr über Arbeitssicherheit im Betrieb und Büro
Evernote: Das Tool, mit dem du dein Leben organisieren kannst!
Passwortsicherheit: Wie du Passwörter und deinen Rechner schützt