Das Beispiel Conficker zeigt, wie wichtig es ist, seine Server auf dem aktuellen Patchlevel zu halten. Der Conficker-Wurm begann im Dezember 2008, sein Unwesen zu treiben. Bis Mitte 2009 wurden immer wieder neue Infektionen bekannt. Dass die französische Luftwaffe ihre Flugzeuge am Boden halten musste, war nur eine der vielen Folgen.
Wenn alle Administratoren ihre Rechner einigermaßen regelmäßig gepatcht hätten, wäre der Angriff erspart geblieben. Bereits im Oktober 2008 warnte Microsoft vor der Sicherheitslücke. An der Tatsache, dass der Hersteller sich zu einem Patch außerhalb des normalen Update-Zyklus entschieden hatte, konnte man erkennen, dass es sich um etwas Ernstes handelt. Die Lücke im RPC-Protokoll war so gravierend, dass eine Hintertür vermutet wurde, die ein Programmierer möglicherweise absichtlich, jedoch ohne Wissen des Programmanagements eingeschleust hatte.
Noch immer messen sich Administratoren daran, wie lange sie einen Server ohne Reboot betreiben können. Dabei werden Windows-Admins von ihren Linux-Kollegen oft belächelt. Wer jedoch einen sicheren Betrieb gewährleisten will, muss sich mit den Besonderheiten eines jeden Betriebssystems abfinden.
Unter Windows lässt sich eine Datei, die in Benutzung ist, nicht austauschen. Da die gegenseitigen Aufrufe von DLLs sehr komplex sind, geht es oft nicht ohne Reboot.
Unter Linux ist hingegen Vorsicht geboten. Zwar lassen sich in Benutzung befindliche Dateien scheinbar austauschen, jedoch greifen Prozesse solange auf die alte, im Dateisystem nicht mehr sichtbare Version zu, bis alle Prozesse die Datei geschlossen haben. Wenn etwa die Shared-Libraries von OpenSSL wegen Sicherheitsproblemen ausgetauscht werden, müssen zumindest alle Prozesse neu gestartet werden, die OpenSSL nutzen. Das bedenken viele Linux-Admins nicht, und ihr scheinbar gepatchtes System ist nach wie vor unsicher.
Neueste Kommentare
2 Kommentare zu Keine Chance gegen Malware: die schlimmsten Einfallstore
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Guter Artike
Ich hätte mir jedoch zu den einzelnen Themen noch ein wenig mehr Tiefgang gewünscht. Ansonsten sehr informativ.
Dieser Artikel befasst sich nur mit sehr bekannten Bedrohungen, jedoch wird hier eine wirkliche zukünftige Bedrohung nicht erwähnt. VMBR (Subvirt, usw…)
Diese Virtual Machine Based Rootkits sind eine wirklich grosse Bedrohung, hat man sich sowas einmal eingetreten bzw. sich damit infiziert, wird man sowas nur sehr schwer bis gar nicht mehr los.
Das echte Betreibssystem wird vom Hacker kontrolliert und man selbst arbeitet in einem virtuellen Betreibssystem ohne es zu merken! (OS wird kontrolliert gestartet und startet danach die VM; Bootvorgang nur unwesentlich länger)
Keine AV oder Sicherheitslösung fängt diese Infektion auf oder verhindert sie, da sie über infizierte Werbebanner (durch anklicken), Animationen usw… ins System eindringt. Danach ist es ohnehin zu spät, weil die AV in der virtuellen Umgebung nur das anzeigt was der Hacker will, also nichts.
Mit diversen Tools wie unter Antirootkit.com ( Gmer.net usw….) findet man zwar die Infektion, aber meistens reicht ein sicheres Löschen der HDD mit Spezialsoftware nicht aus, da es sich auch im BIOS festsetzt (BIOS unbedingt duch Passwort vor unbefugten flashen sichern) und den Laptop, PC von Anfang an kontrolliert!!!
Weiters:
http://de.wikipedia.org/wiki/Virtual_Machine_Based_Rootkit
http://www.eecs.umich.edu/~pmchen/papers/king06.pdf
http://www.fruehwarnung.at/ (Virtual Machine based Rootkits (Erscheint im November 2009 im Trauner Verlag, Linz in Kooperation mit dem Lex:itec Verlag))
http://www.trapkit.de/
mfg