Virus Bulletin 2015: ESET-Vorträge zur Lage der IT-Sicherheit

Vom 30. September bis zum 2. Oktober fand in der vergangenen Woche die Virus Bulletin Conference in Prag statt. Dieses jährlich stattfindende Event ist das größte innerhalb der AV-Branche und bietet IT-Sicherheitsexperten aus aller Welt die Möglichkeit, gemeinsam zu debattieren, Kenntnisse auszutauschen und so die Industrie voranzutreiben. In diesem Jahr bestanden die Kernthemen in:

  • Malware & Botnets
  • Anti-Malware-Tools & -Techniken
  • Mobile Geräte
  • Hacking & Schwachstellen
  • Spam & Soziale Netzwerke
  • Netzwerksicherheit

Natürlich haben auch wir von ESET uns die Chance nicht entgehen lassen, an der Konferenz teilzunehmen und mit anderen Experten in Kontakt zu treten. Schließlich verfolgen wir alle das gleiche Ziel: Eine sichere digitale Welt zu schaffen, in der jeder Mensch die modernen Technologien mitsamt ihren Möglichkeiten unbesorgt genießen und voll ausschöpfen kann.

Umso erfreulicher war es, dass auch einige unserer ESET-Kollegen die Möglichkeit hatten, in diversen Vorträgen darüber zu berichten, womit sie sich derzeit beschäftigen. Einige Präsentationen beschäftigten sich natürlich mit konkreten technischen Themen, wie beispielweise der Vortrag von Righard Zwienenberg, der zusammen mit Mark Kennedy von Synmantec und Professor Igor Muttik von Intel Security über SSL-Man-in-the-Middle basierte Sicherheitslösungen gesprochen hat oder aber Marcin Hartung sowie John Calvet et al., die sich in ihren Vorträgen jeweils mit sogenannten Packern auseinandergesetzt haben. Hierbei handelt es sich um Programme, die immer häufiger von Cyberkriminellen genutzt werden, um Malware zu tarnen.

Und auch unsere Malware-Analysten kamen zu Wort. Robert Lipovsky und Anton Cherepanov haben über Operation Potao referiert, eine Spionage-Malware-Familie, die es vor allem auf Nutzer in der von Unruhen geplagten Ukraine abgesehen hatte, aber auch hochwertige Ziele in Russland, Georgien und Weißrussland angegriffen hat. Olivier Bilodeau hat sich in seinem Vortrag vor allem auf die Malware Linux/Moose konzentriert, welche – wie ihr Name bereits nahelegt – Linux-basierte Router, aber auch andere eingebettete Linux-Systeme angriff. Ziel der Malware war die Generierung gefälschter Kommentare, Likes und Follows in sozialen Netzwerken wie Facebook, Twitter oder Instagram.

Drei Vorträge stachen jedoch besonders heraus, da sie sich mit einer etwas anderen Sichtweise dem Feld der IT-Sicherheit genähert haben.

Die Vermessung der Cyberkriminalität

Cyberkriminalität ist ein allgegenwärtiges Thema. Politiker sowie IT-Experten auf der ganzen Welt warnen vor den Gefahren durch Verbrechen in der digitalen Sphäre, die gleichermaßen für Privatpersonen, Unternehmen und sogar Regierungen eminent sind und zu folgenreichen Schäden führen können. In seinem Vortrag mit dem Titel Sizing Cybercrime: Incidents and accidents, hints and allegations ist Stephen Cobb von ESET nun einmal der Frage nachgegangen, ob die Bedrohung durch Cyberkriminalität tatsächlich so groß ist. In Anbetracht der großen öffentlichen Aufmerksamkeit, die dem Thema immer wieder zukommt, scheint es befremdlich, dass es bislang nur wenige aussagekräftige Daten und Zahlen zu dem Problem gibt, die auf fundierten wissenschaftlichen Methoden beruhen.

In seiner Präsentation hat sich Cobb die existierende Literatur über Cyberkriminalität genauer angeschaut und hinterfragt, weshalb zuverlässige Längsschnittdaten über die Größe und den Umfang von Cyberverbrechen nach wie vor fehlen. Unter anderem ist er in diesem Zusammenhang auf die Rolle staatlicher Einrichtungen eingegangen, genauso wie auf die Probleme, die durch die Auslagerung von Studien über Cyberkriminalität in den privaten Sektor entstehen. Zudem hat er sich mit der Komplexität solcher Messungen auseinandergesetzt und die kritische Frage gestellt, welche Auswirkungen eine derart schwache Statistik-Lage für die Bemühungen der IT-Sicherheitsbranche hat.

Kampf gegen Cyberkriminelle – Mit den eigenen Waffen schlagen?

Wie gewinnst du ein Spiel, das so angelegt ist, dass du gar nicht gewinnen kannst? Dieser Frage sind Andrew Lee von ESET, Morton Swimmer von Trend Micro und der unabhängige Researcher Nick FitzGerald in ihrer Präsentation The Kobayashi Maru dilemma nachgegangen. Folgt man Captain Kirk aus Star Trek, der als einziger den als unlösbar geltenden Kobayashi-Maru-Test besteht, indem er die Simulation im Vorfeld manipuliert, kann man zu der Antwort gelangen: Indem man die Spielregeln ändert.

Was also kann man an den Regeln im Kampf gegen Cyberkriminelle ändern? Sich die Methoden der Angreifer aneignen und sie mit ihren eigenen Waffen schlagen? Dieser Idee sind die drei Forscher auf den Grund gegangen.

In einer Welt, in der das Auswerten von Hosts in fremdem Computernetzwerken mithilfe von Nmap nicht nur als unhöflich empfunden wird, scheint die Nutzung eines Exploits zur Übernahme eines vermeintlichen C&C-Servers ein Schritt zu weit zu gehen. Machen wir hingegen weiter wie bisher, laufen wir Gefahr, immer wieder von den Cyberkriminellen abgehängt zu werden.

In ihrem Vortrag präsentierten die drei Forscher sowohl reale als auch hypothetische Ansätze, um aggressiver gegen Cyberkriminelle anzukämpfen. Hierzu gehörten unter anderem Ideen wie die Modifizierung von Phishing-Webseiten, sodass sie unbrauchbar werden, die Übernahme oder den Ankauf von Botnets oder aber auch die Nutzung von DDoS-Angriffen, um die Infrastruktur von Angreifern lahmzulegen. Die Forscher machten allerdings deutlich, dass es ihnen in ihrem Vortrag weniger um tatsächliche Vorschläge zur Umsetzung solcher Ansätze ging, sondern viel mehr um die Anregung einer technischen, legalen und vor allem ethischen Reflexion. Diese halten sie für längst überfällig, da derartige aggressive Methoden zum Teil bereits eingesetzt werden, ohne vorher eingehend hinterfragt worden zu sein.

Fachkräftemangel – Und was nun?

Wie die im April veröffentlichte „Global Information Security Workforce Study“ der Nonprofitorganisation (ISC)² herausstellte, soll der globale Fachkräftemangel bis zum Jahr 2019 bei gleichbleibendem Trend auf 1,5 Millionen ansteigen. In ihrer Präsentation mit dem Titel Personnel shortage and diversity in IT: Is it truly a problem? gehen Lysa Myers und Stephen Cobb dieser beängstigenden Prophezeiung auf den Grund. Anhand eines Vergleichs der derzeitigen Situation mit der Vergangenheit versuchen sie, Lösungsansätze herauszubilden, um den Fachkräftemangel aufzuhalten und eine größere Diversität in der IT-Sicherheitsbranche voranzutreiben. Dazu werden vergangene Trends betrachtet, um Muster herauszubilden, die Aufschluss über mögliche Lösungsansätze geben können.

Über eine rein theoretische Reflexion hinaus bieten die beiden Experten zudem einen Überblick über bereits bestehende Bemühungen von verschiedenen Gruppen und Initiativen, die Karriere-Chancen im Bereich der IT generell und der Informationssicherheit im Besonderen zu verbessern.

Autor David Harley, ESET