Warum kommt mein Anti-Viren-Programm mit 100.000 neuen Trojanern pro Tag klar – erkennt aber keinen Staatstrojaner?
Toralv Dirro von McAfee erklärt es im Interview.
Link zum Interview >> You are not allowed to view links.
Register or
Login"Die Angreifer haben alle Waffen der Verteidiger" Warum kommt mein Anti-Viren-Programm mit 100.000 neuen Trojanern pro Tag klar – erkennt aber keinen Staatstrojaner?
Toralv Dirro von McAfee erklärt es im Interview mit
ZEIT ONLINE.
ZEIT ONLINE: In der vergangenen Woche haben US-Sicherheitsforscher eine You are not allowed to view links.
Register or
Login, die von der Firma Gamma stammt und gegen Aktivisten in Bahrain eingesetzt werden sollte. Warum entdecken handelsübliche Anti-Viren-Programme wie die von McAfee solche Überwachungssoftwar e nicht?
Toralv Dirro: Anti-Viren-Technologie ist Blacklisting – das heißt, wir suchen das, was bekannt bösartig ist. Einen Trojaner, den wir so vorher noch nicht gesehen haben, erkennt eine normale Anti-Viren-Software dementsprechend nicht.
ZEIT ONLINE: Sie setzen doch aber Verfahren zur Mustererkennung ein. Sind diese Trojaner so ungewöhnlich?
Dirro: Wir benutzen heuristische Verfahren, die funktionieren sehr gut bei Viren. Bei Trojanern dagegen schlecht, denn die sind so etwas wie ein Fernwartungsprogram m, das nur für etwas anderes verwendet wird. Deshalb lässt sich ein bekanntes You are not allowed to view links.
Register or
Login nicht sicher von einem Überwachungstrojane r unterscheiden. Das Hauptproblem ist: Die Angreifer haben alle Waffen der Verteidiger. Jeder dusselige Cyberkriminelle kann seinen Onlinebanking-Trojaner gegen die gesamte Batterie von Virenscannern testen.
ZEIT ONLINE: Wie das?
Dirro: Das geht auf Seiten wie You are not allowed to view links.
Register or
Login, einer Multi-Scanner-Engine. Dort kann jeder verdächtige Dateien hochladen und so prüfen, welche Anti-Virus-Software die Schadsoftware erkannt hätte. Für Kriminelle ist zwar
virustotal.com nicht so brauchbar, weil die Betreiber uns bisher unbekannte Samples direkt weiter leiten. Aber es gibt vergleichbare Seiten im Untergrund, die Programmierern von Trojanern die "Qualitätskontrolle" ihrer Software ermöglichen. Ein Angreifer kann seinen Trojaner dann so lange modifizieren, bis kein Scanner ihn mehr findet. Er kann dort sogar dafür bezahlen, dass sein Trojaner einmal am Tag modifiziert wird, mit der Garantie, dass die neue Version dann zunächst von keinem Programm auf
virustotal.com gefunden wird.
ZEIT ONLINE: Hinzu kommt, dass Staatstrojaner nicht sehr verbreitet sind, richtig?
Dirro: Ja, die werden in gezielten Einzelfällen eingesetzt und fliegen deshalb bei uns unterm Radar. Ab und zu fällt einem Computernutzer auf, dass sich sein Rechner seltsam verhält, oder eine Anti-Viren-Software meldet einen Verdacht. Dann landen die Informationen ganz normal bei den Anti-Viren-Firmen – als ein möglicher Trojaner von vielen. Wir erkennen derzeit 70.000 bis 100.000 neue Trojaner am Tag.
ZEIT ONLINE: Was passiert dann?
Dirro: Den neuen Trojaner erfassen zunächst nur automatische Analyse-Programme, die ihm eine Kennung geben und fertig. Um Staatstrojaner sicher zu erkennen, fehlen die personellen Mittel.
ZEIT ONLINE: Würde es sich für eine Firma wie McAfee lohnen, sich näher mit solchen Überwachungsprogram men zu beschäftigen?
Dirro: Nein, aber im Nachhinein haben wir gesehen, dass wir zum Beispiel von You are not allowed to view links.
Register or
Login und You are not allowed to view links.
Register or
Login diverse Samples hatten. Nur waren die nicht als Teil einer Spionagegeschichte erkennbar.
ZEIT ONLINE: Wie viele von den 100.000 neu gemeldeten Trojanern pro Tag schaut sich ein Mitarbeiter an?
Dirro: Ach, wenige. Ein richtig guter Researcher schafft es vielleicht, sich zehn flüchtig anzusehen. Wir setzen unsere Leute lieber darauf an, die automatischen Erkennungen zu generischen Erkennungen zusammenzufassen. Und die erkennt einen Trojaner vielleicht auch in modifizierter Form. Selbst dann bleibt unklar, ob damit jemand Daten klauen will oder ob es ein Ermittlungs- oder Spionagewerkzeug von Behörden ist.
ZEIT ONLINE: Was tun Sie, wenn jemand solche Software enttarnt hat? Nehmen Sie Kontakt auf? Lassen Sie sich Informationen geben, um Ihre eigenen Anti-Viren-Programme zu aktualisieren?
Dirro: Die Samples werden schon seit Ende der achtziger Jahre in der Anti-Viren-Industrie ausgetauscht. Täglich oder einmal die Woche, je nach Hersteller. Besonders interessante Sachen, sogenannte Hot Samples, gehen sehr schnell über Mailing-Listen und werden meist sofort bearbeitet. Bis Updates der Virenscanner herausgegeben werden, kann es aber auch mal ein paar Tage dauern.
ZEIT ONLINE: Bleiben wir beim Beispiel FinSpy von Gamma. Wissen Sie anhand der von US-Forschern veröffentlichten Dokumente jetzt schon genug, um das Programm zu erkennen?
Dirro: Anhand der Dokumente geht das überhaupt nicht. Wir bräuchten die You are not allowed to view links.
Register or
Login. Und wenn ein Regime, das die Software einsetzt, nicht ganz dumm ist, modifiziert es die Binärdateien vor jedem Einsatz.
ZEIT ONLINE: Sie kennen die Szene: Wer entwickelt so raffinierte Überwachungssoftwar e? Warum arbeiten die für Gamma und nicht für Sie?
Dirro: Ich weiß nicht, ob wirklich vielen Entwicklern bewusst ist, wofür ihre Produkte eingesetzt werden. Die glauben vielleicht, sie arbeiten an Ermittlungswerkzeug en, die nur an freundliche Staaten verkauft werden, die damit Terroristen und Drogenhändler verfolgen. Auf der anderen Seite gibt es immer Leute mit wenig Skrupeln. Die freuen sich, weil sie bei Gamma Geld verdienen können.
ZEIT ONLINE: Das könnten die doch auch bei Ihnen, bei McAfee.
Dirro: Die haben vielleicht gar nicht die nötigen Fertigkeiten. Sie schreiben Fernsteuerungsprogr amme, aber das heißt noch nicht, dass sie in der Lage wären, Trojaner zu analysieren und Kennungen zu schreiben.
ZEIT ONLINE: Sind es besonders fähige Programmierer, die man schon wieder bewundern muss – oder kochen die auch nur mit Wasser?
Dirro: Da steckt keine Magie dahinter. Nachdem, You are not allowed to view links.
Register or
Login, ist das Wasser, mit dem die kochen, nicht mal besonders warm.
ZEIT ONLINE: Nun werden sich die meisten Ihrer Kunden wenig Sorgen darüber machen, dass sie vom Staat überwacht werden...
Dirro: Die machen sich schon Sorgen, vom Staat ausspioniert zu werden – allerdings nicht vom eigenen.
Thema: Warum erkennt mein Anti-Viren-Programm eigentlich keine Staatstrojaner?? (Gelesen 883 mal)
