28.04.2008 12:52
Defcon-Wettbewerb: Manipulation von Viren zur Umgehung von Scannern
Für Unruhe bei den Antivirenherstellern sorgt ein Wettbewerb, der auf der diesjährigen Defcon-Sicherheitskonferenz vom 8. bis 10. August in Las Vegas stattfinden soll. Bei Race to Zero sollen die Hacker Samples existierender Schädlinge so modifizieren, dass sie von keinem Virenscanner mehr erkannt werden.
Dabei dürfen die Hacker den Wettbewerbsregeln zufolge jedoch nicht die Funktionsfähigkeit der Viren einschränken, sie müssen danach noch laufen wie zuvor. Der Wettbewerb soll die Grenzen signaturbasierter Erkennung aufzeigen und zudem "Spaß bringen". Die beim Wettbewerb eingesetzten Techniken zur Modifikation der Samples sollen US-amerikanischen Medien zufolge in mehreren Kategorien Preise abräumen können: "Die eleganteste Verschleierung", "Unsauberster Hack einer Verschleierung", "Komödiantischster Wert" und "Verdient Bier am meisten".
Die Umgehung der Signaturen von Virenscannern ist meist trivial. Es genügt, in Schädlingen an den richtigen Stellen einige Bytes zu verändern oder etwa den Befehl noop (No Operation) einzuschleusen und den Code damit zu verlängern, sodass eine statische, auf Zeichenketten basierende Signatur nicht mehr greift. Schwieriger dürfte es sein, die richtigen Stellen zu finden, sodass gleich alle Virenscanner nicht mehr anschlagen. Eine weitere Schwierigkeit ist, dass eigentlich alle Hersteller inzwischen auf generische Signaturen setzen, die gleich mehrere Schädlingsvarianten anhand charakteristischer Merkmale erkennen. Dennoch lassen sich rein signaturbasierte Scanner leicht hinters Licht führen.
Die Antivirenhersteller sind daher beunruhigt. Gegenüber US-amerikanischen Medien meinte etwa Dave Marcus von McAfee: "Forschung anzuregen, die in besseren Umgehungstechniken für Schädlingsschreiber mündet, ist keine gute Idee. Wie viele Identitäten werden verloren gehen und wieviele Daten von Anwendern gestohlen als Ergebnis der neuen Techniken und Umgehehungsvarianten, die dabei entstehen? Sicherheitsforschung sollte sich um bessere Erkennung drehen, nicht um Umgehung."
"Es wird mehr schaden denn nutzen", meint Paul Ferguson von Trend Micro gegenüber US-amerikanischen Medien. "'Responsible Disclosure' ist ein Ding, aber jetzt auch noch Leute zu ermutigen, dies als Wettbewerb zu veranstalten, geht doch etwas zu weit." Roger Thompson von AVG Technologies meint demnach "Es ist schwer, etwas Gutes darin zu sehen, Leute zu ermutigen, mehr Viren zu schreiben. Das ist eine dumme Idee." Man brauche nicht mehr Viren-Samples, die Antivirenhersteller verarbeiteten bereits rund 30.000 Stück am Tag.
Der Sinn des Wettbewerbs erscheint in der Tat etwas zweifelhaft. Nahezu alle Antivirenhersteller setzen neben der signaturbasierten Erkennung auch auf heuristische Erkennung und zunehmend auf dynamische Erkennung etwa durch Emulation in der Sandbox oder mittels Verhaltensanalyse im laufenden System. Die Signaturen sind dennoch unverzichtbar, um etwa mit einer sauberen Boot-CD wie der Knoppicillin, die zuletzt der c't 26/07 beilag, Systeme auf Schädlingsbefall zu untersuchen.
Siehe dazu auch:
- Race to Zero, Homepage zum Wettbewerb
(dmk)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
