Home    Aktuelles    Kalender    Katalog    Anmeldung  
News u. Notiz
 Suche 

Home
News u. Notiz
Kalender
Info
Anmeldung
Kontakt

 Newsletter 
E-Mail-Info mit aktuellen News und Veranstaltungen
Zur Newsletter
Um-, Ab- u. Anmeldung

 Events 

 PDF, Audio, Video 

 LogIn 
UserName: 
Kennwort:  

Kennwort vergessen?
Neu Anmeldung

 Anmelden 


 News u. Notiz 
 

« zurück
Malware modifizieren ist in den USA freie Meinungsäußerung  (Archiv) 

Trend Micros CTO Raimund Genes spricht über Trends bei Malware und AV (Foto: Trend Micro)
Archiviert: 17.07.2008
Die AV-Industrie (Antiviren) befindet sich ebenso wie ihre Malware-Widersacher im Umbruch. Cybercrime-Profis sorgen für eine Explosion der Menge an Schadsoftware und verbreiten diese nunmehr primär über das Web


Anlässlich der Vorstellung des "Smart Protection Networks" sprach diagramm mit Raimund Genes, CTO von Trend Micro. Er äußerte sich zu den Gefahren des Virenschreiber-Wettbewerbs "The Race to Zero" und zu nicht mehr zeitgemäßen Testmethoden für AV-Software, die nach wie vor genutzt werden. Weiters beleuchtet er aktuelle Ansätze für den Schutz der Anwender im Internet und spricht über Trend Micros eigene Lösung. Das Thema Mobile Security bleibt mangels konkreter Bedrohung eine Randnotiz.

Frage: Die Malware-Industrie wird immer professioneller und arbeitet mit neuen Ansätzen. Können Sie uns ein aktuelles Beispiel geben?

Genes: Es gibt inzwischen eine Malware-Quality-Assurance-Industrie, die mit laufend neuen Methoden versucht, uns auszutricksen. Auf der Hackerkonferenz DEFCON findet beispielsweise der Wettbewerb "The Race to Zero" statt. Dabei müssen die Teilnehmer Malware derart modifizieren, dass sie von AV-Software nicht mehr erkannt wird. In den USA ist das erlaubt und geht als freie Meinungsäußerung durch, in Deutschland hingegen würde man dafür laut neuester Gesetzgebung ins Gefängnis kommen.

Frage: Laut Veranstalter soll bekannte Malware mutiert werden, um Virenscanner zu umgehen. Wenn eine Malware so verändert wird, dass sie nicht nur Signaturen austrickst, ist das noch reines Mutieren oder schon das Schaffen von neuer Malware?

Genes: Es ist Schaffen von neuen Bedrohungen. Dort werden Leute praktisch darauf trainiert, später ihre Dienste der Malware-Industrie anbieten können. Die DEFCON erfordert auch keine Registrierung, lediglich 120 Dollar in Cash für die Teilnahme und es werden keine Fragen gestellt. Ich bin selbst immer bei dieser Veranstaltung, denn als AV-Experte kann man sich dort ein gutes Bild über die aktuelle Entwicklungen in der Branche machen. Laut Veranstalter wird der Race-to-Zero-Event zunehmend schwerer. Ich vermute daher, dass zuerst nur versucht wird, Signaturen zu überlisten. Aber im zweiten Schritt wird es wohl darum gehen, auch andere Ansätze wie Behavioral Analysis oder Heuristiken auszutricksen. Damit wird neue Malware erzeugt.

Frage: Neben den Angreifern hadern die AV-Hersteller auch mit den AV-Testern, so beispielsweise Trend Micro mit Virus Bulletin. Welche Gründe hat das?

Genes: Das Problem ist, dass AV-Tests teils völlig veraltet sind. Wir haben uns Anfang Juni entschlossen, nicht mehr an Virus Bulletin (VB) teilzunehmen. Deren verwendete Methode, Windows-98-Malware zu replizieren, ist nicht sinnvoll, denn Windows 98 verwendet keiner mehr. Aber man muss Windows-98-Malware erkennen, um ein VB100-Zertifikat zu bekommen. Die Labortestmethode ohne Internetverbindung ergibt heute ebenfalls sehr wenig Sinn.

Frage: Unzureichende Testmethoden werden doch schon seit einiger Zeit kritisiert. Gemeinsam mit AV-Testlabors wurde aus diesem Grund die "Anti Malware Testing Standards Organisation" formiert und die Zusammenarbeit mit manchen davon scheint gut. Wo liegt das Problem?

Genes: Von Seiten Virus Bulletins ist einfach nicht viel passiert, andere Labore verwenden wenigstens größere Sample-Sammlungen und aktuellere Malware. Wir haben uns eine Weile zurückgehalten aber uns schließlich doch entschieden, VB offen zu kritisieren. Jetzt lenkt VB offenbar ein und denkt über eine Änderung der Testmethoden nach. Das ist auch gut so, denn VB hat beispielsweise noch nie einen ZLOB oder Storm-Wurm getestet, zwei der prominentesten Malwarefamilien. Und Windows-98-Malware läuft auf aktuellen Systemen meist gar nicht mehr.

Frage: Wenn nicht zeitgemäße Testmethoden genutzt werden, geschieht das doch sicher nicht einfach, um die AV-Anbieter zu ärgern. Was sind die Hintergründe?

Genes: Ein Problem ist die Frage, wer für Tests zahlt. Ein optimaler Test kostet viel Zeit und Geld, denn Produkte müssen auf einem sauberen System installiert und Malware ausgeführt werden. Zudem stellt sich die Frage, wie gewertet wird. Mit einem einzelnen Schadcode wäre ein Test sinnlos, da kann ein Programm einfach Glück haben. Man müsste wohl 100 Malware-Samples nehmen und der Test würde vielleicht zehn Minuten pro Sample und Produkt dauern.

Frage: Was genau meinen Sie, wenn Sie sagen, ein Programm kann einfach Glück haben?

Genes: Ein Beispiel: Eine Behavioral Analysis kann vielleicht die Ausführung einer bestimmten Malware wirklich umfassend blockieren, bevor etwa die Registry geändert wird. Wir können das eventuell nicht. Fast alle Bedrohungen nutzen aber Downloader, die dank unserer Web Threat Protection keine zusätzliche, gefährlichere Malware nachladen können. Es müssten ferner Ratings vergeben werden, die anzeigen, wie weit sich die Malware ins System fressen kann.

Frage: Welche Lösung könnte den besten Schutz vor Malware bieten?

Genes: Es gibt nicht nur eine Lösung. John Thompson von Symantec beispielsweise hat auf der RSA-Konferenz gemeint: "Whitelisting ist die Lösung". Aber Whitelisting ist nichts anderes als Signatur-basierte Erkennung, nur andersrum - ein Identifizieren "guter" Programme. Die Probleme bleiben dabei dieselben. Beispielsweise schafft Microsoft jede Woche 10.000 neue ausführbare Dateien. Wenn diese nach einem Microsoft-Update nicht alle in der Whitelist-Datenbank zu finden sind, stoppt das zuverlässig die Produktivität innerhalb eines Großunternehmens. Auch Whitelisting produziert Fehlalarme und erfordert ebenso wie Blacklisting eine große Pattern-Datei. Wie viel möchte man den Desktops denn noch zumuten?
Frage: Die bessere Frage wäre dann wohl: Wie sieht eine effektive Gesamtstrategie aus?

Genes: Notwendig ist eine sinnvolle Kombination verschiedener Methoden - Behavioral Analysis, Heuristiken, Pattern Matching, Whitelisting, Web Threat Protection, vernünftiges Firewalling und so weiter.

Frage: Generell geht der Trend derzeit weg von lokalen Signaturen. Beispielsweise hat McAfee vor kurzem Artemis vorgestellt, wo kleine "Fingerprints" verdächtiger Dateien mit einer Online-Datenbank verglichen werden. Wodurch zeichnet sich Trend Micros neu vorgestelltes Smart Protection Network aus?

Genes: Artemis adressiert ebenfalls das Problem, dass lokale Pattern-Dateien zu groß werden. Allerdings ist die Lösung, so wie ich das sehe, speziell für polymorphische Malware. Unser Ansatz ist allgemeiner. Zwar gibt es noch ein lokales Pattern-File mit Heuristiken für die wichtigsten Malwarefamilien und zum Schutz vor USB-Malware. Aber das sind nur 15 Prozent, der Rest passiert über das Web. Das Auslagern an sich reduziert allerdings nur den lokalen Speicherbedarf. Aus diesem Grund haben wir die verschiedenen Technologien im Smart Protection Network zusammengeführt, um ein insgesamt effizienteres System zu schaffen.

Frage: Welche konkreten Vorteile bringt es, Scan-Server statt lokale Patterns zu verwenden?

Genes: Im Moment machen wir ein Pattern-File pro Tag und das hat seine Gründe. Trend Micro hat sehr große Kunden, wie beispielsweise Siemens mit 230.000 Clients. Wir haben dort und bei anderen Großkunden gefragt, ob sie mehrere Patterns pro Tag wollen. Wir könnten acht Files pro Tag oder stündliche Updates liefern. Die Kunden haben uns angesehen und gefragt: "Ja, spinnt ihr jetzt?" Das Problem ist, dass so häufige Updates zu einer Inkonsistenz führen würden. Die Unternehmen machen eine eigene Qualitätssicherung bevor sie einen Rollout im eigenen Netzwerk durchführen. Das wird zentral für die ganze Welt verwaltet.

Frage: Kurz gesagt, das wäre in Großunternehmen eigentlich nicht mehr administrierbar?

Genes: Genau. Mit dem Smart Protection Network können wir Unternehmen Scan-Server in ihrem Netzwerk anbieten und nur dort sind häufige Updates notwendig. Die lokalen Clients erfordern dagegen nur Updates, wenn wir beispielsweise eine Malware-Familie in einer Heuristik zusammenfassen. Einmal pro Woche kann genügen. Für die Scan-Server dagegen können wir global Aktualisierungen verteilen, wenn wir eine neue Bedrohung finden. Dabei wollen wir die Reaktionszeiten auf 15 Minuten drücken, um besser gegen die Malware-Industrie anzukommen.

Frage: Zum Abschluss noch ein ganz anderes Thema: Mobile Security. Trend Micro scheint hier ja zurückhaltender als manche andere Anbieter. Woran liegt das?

Genes: Wir haben zwar entsprechende Produkte, aber es gibt keine ernstzunehmende Malware. F-Secure und Kaspersky meinen immer, das wird die neue Bedrohung. Passiert ist allerdings noch nichts, was daran liegt, dass sich damit kein Geld verdienen lässt.

Frage: Hängt das mit der Fragmentierung im OS-Bereich - verschiedene Versionen von Windows Mobile und Symbian, das iPhone und voraussichtlich ab diesem Jahr LiMo und Android - zusammen?

Genes: Ich glaube nicht, dass das die eigentlichen Argumente sind. Mittlerweile habe ich jeden Tag zwei oder drei neue Bedrohungen für Apple-Betriebssysteme. Die sind derzeit leicht zu finden, weil die Hosts immer die gleiche IP-Range nutzen. Aber damit kann man Geld machen, denn die Malware ist möglichst lange auf dem Rechner. Aber wenn ein Mobiltelefon anfängt, zu viel Traffic zu erzeugen, dreht der Provider die 3G-Mobilfunkverbindung ab. Das bedeutet, Malware, die Daten lädt, fällt schnell auf. Daher haben wir 2007 sogar weniger mobile Malware gesehen als 2006. Wir verkaufen unser Mobile-Security-Produkt dennoch gut. Doch da geht es um Compliance sowie den Geräteverlust. Unser Produkt bietet Verschlüsselung und das ist mit Abstand der wichtigste Grund, warum sich Unternehmen dafür entscheiden.

Bitte vergeben Sie für diesen Artikel eine Note
zwischen +3 (lesenswert) und -3 (nicht lesenswert)

Artikel bewerten:
+3 +2 +1 0 -1 -2 -3

  Aktuelle Auswertung:
Gesamtbewertung (Alle Punkte): 2
 

Plus: 2, Neutral: 0, Minus: 0
  0 = neutral (Artikel zur Kenntnis genommen)


Leser-Beiträge
Hinterlassen Sie hier Ihre Informationen oder Anmerkungen, für andere Leser.
Jetzt ohne Anmeldung!

 neuen Eintrag erstellen 

Home | News | Kalender | Katalog | Anmeldung
Newsletter | Info | Impressum | Kontakt

diagramm.net - Alle Inhalte dienen der persönlichen Information.







Pub-Info