Auf dem grauen Markt der Applikationen

Grayware (Greyware) ist Software, die irgendwo zwischen gut und böse angesiedelt ist. Sie lockt mit nützlichen Funktionen, spioniert aber heimlich auch den Anwender aus oder entfaltet andere schädliche Aktivitäten. Die Abwehr der Programme wirft Probleme auf.

Manche Gefahren aus dem Internet sind unscheinbar. Die Schlagzeilen der Security-Diskussion
beherrschen spektakuläre Cybercrime-Coups oder die abenteuerlich anmutenden Verluste von
Datenträgern mit Kreditkartendaten. Den meisten Anwendern nähert sich die Gefahr aus dem Internet
aber eher auf leisen Sohlen. Dem User fällt vielleicht irgendwann auf, dass die Leistung eines
Rechners auffällig sinkt und dass im Task Manager unbekannte Applikationen auftauchen.
Möglicherweise entfaltet der Rechner auch ein Eigenleben, und das Netzwerk-Icon in der
Windows-Taskleiste oder die Statuslampen des DSL-Modems leuchten oder es erscheinen sogar Pop-ups,
ohne dass der Anwender willentlich online ist. Alarmiert wird der Benutzer vielleicht aber erst
durch eine astronomische Telefonrechung oder durch Meldungen der Sicherheitssoftware. Vielleicht
fällt ihm auch auf, dass letztere nicht mehr arbeitet und auch nicht mehr neu installiert werden
kann.

Die schleichende Bedrohung

Solche Indizien weisen auf eine neue Art der Bedrohung hin: auf eine zunehmende Fülle von
Applikationen, die ohne Wissen des Anwenders auf dem Rechner installiert auf die verschiedenste Art
und Weise wirken. Die Wirkung dieser Grayware ist unterschiedlich (siehe Tabelle).

Nicht jede Grayware ist primär schädlich. Grayware kann beispielsweise eine Software sein, die
bewirkt, dass Suchmaschinen bessere Ergebnisse bieten. Wesentlich ist aber, dass Grayware ohne
Wissen und ohne Interaktion des Anwenders installiert wird. Ihre negative Wirkung reicht von der
lediglich störenden Einblendung werblicher Pop-ups über Performance-Einbußen oder einer
unerwünschten Durchleuchtung des persönlichen Benutzerprofils bis hin zur ernsthaften Schädigung
eines betroffenen Arbeitsplatzes oder Netzwerks. Besonders gefährlich ist das Ausspähen oder der
Diebstahl vertraulicher Kundeninformationen. Grayware umfasst damit weit mehr als die
traditionellen Gefahren durch Viren oder aktuelle Bedrohungen wie Phishing oder Pharming.

Auf Grayware basieren immer mehr Bedrohungen der neuen professionellen und zunehmend organisiert
arbeitenden Hacking-Szene, der es nicht mehr darum geht, Netze und Rechenkraft nur aus sportlichem
Ehrgeiz oder aus ethischen Motiven heraus lahmzulegen oder zu kapern. Grayware dient primär
kommerziellen oder kriminellen Zwecken.

Die Wahrscheinlichkeit infiziert zu werden ist groß. Es bedarf bei Grayware oft keinerlei
bewusster Aktion, um sie auf dem eigenen PC heimisch werden zu lassen, während bei Viren dazu
zumindest meist ein Attachment in einer E-Mail zu öffnen ist. Auch beim Phishing und Pharming wird
der Anwender entweder durch scheinbar autorisierte E-Mails oder durch täuschend ähnlich
nachgemachte Seiten vertrauter Anbieter veranlasst, seine Daten selbst einzugeben. Der Grayware
reicht es dagegen oft schon, dass der Anwender eine Website besucht. Doch auch Shareware, Freeware
oder die immer beliebteren File-Sharing-Angebote und Download-Netze wie Bittorrent bieten ein hohes
Ansteckungsrisiko. Inhalte, die oft von Download-Managern in kleinen Paketen heruntergeladen
werden, können von Gateway-Virenscannern nicht auf unerwünschte Applikationen überprüft werden.

Das ganze Spektrum der Grautöne

Es gibt die verschiedensten Formen der Grayware mit unterschiedlichen Effekten. Adware, die man
häufig mit kostenloser Freeware bezieht, sorgt für die unbeliebten Pop-ups. Spiele dienen
vordergründig der Unterhaltung. Jokes ändern bereits Einstellungen, ohne das System schon zu
beschädigen – ein Beispiel ist hier der Wechsel des voreingestellten Windows-Hintergrundbilds.
Bedenklicher ist schon Peer-to-Peer- (P2P-)Grayware für den Download umfangreicher Dateien. Damit
können umfangreiche geschäftliche Daten, aber auch illegale Musik- oder Filminhalte bezogen
werden.

Angreifern dient Grayware vor allem zur Ermittlung des persönlichen Nutzerverhaltens. Aus Sicht
des Ausspionierten können die Programme von Nutzen sein, greifen zugleich aber in seine persönliche
passive Informationsfreiheit dar. Zu den Grayware-Programmen dieser Art gehören Plug-ins, die das
Surfverhalten oder andere Informati-onen reporten können. Spyware zeichnet das Benutzerverhalten
auf und analysiert es. Dasselbe Ziel kann durch BHO- und Toolbar-Grayware erreicht werden. Erstere
installiert sich im Rahmen einer anderen Applikation als DLL-Anwendung und ist deshalb nur schwer
zu finden. Letztere manipuliert die Funktionen der Browser-Menüleiste zu Überwachungszwecken.

Andere Anwendungen bringen weitere Gefahren ins Spiel. Eine bekannte Spielart sind die Dialer.
Hijacker manipulieren ebenfalls den Web-Browser und verändern eigenmächtig die Favoriten und
Bookmarks eines Benutzers oder legen neue Startseiten oder Menüoptionen fest. Manche Hijacker
können die DNS-Einstellung eines Systems verändern und den Anwender auf böswillige DNS-Server
umleiten. Zu diesen gefährlichen Arten gehören auch Tools zum Network Management: Sie ändern unter
anderem Netzwerkeinstellungen und setzen so Sicherheitseinstellungen außer Kraft. Downloader können
ohne Wissen des Benutzers immer wieder neue Applikationen aus dem Internet herunterladen. Am
gefährlichsten sind wohl die Keylogger, die Tasteneingaben protokollieren und dabei Passwörter und
PIN-Nummern nach außen weitergeben. Remote Administration Tools schließlich bewirken, dass der
Anwender komplett die Kontrolle über seinen Arbeitsplatz an den Angreifer verliert.

Schutzmaßnahmen

Ein Schutz gegen Grayware muss vielschichtig sein. Die Bedrohung kommt von verschiedenen Seiten.
Jeder Anwender muss daher zunächst sein eigenes Surfverhalten hinterfragen, denn häufig ist der
sorglose Umgang mit Internetangeboten das Einfallstor. Für den Administrator stellt sich die Frage,
ob er Host-basiert die einzelnen Arbeitsplätze sichern möchte oder zentral am Gateway die Bedrohung
abwehren will. Der Schutz der Clients durch Antivirensoftware und Personal Firewall ist in
Unternehmensnetzwerken mit vielen Laptops nur schwer praktikabel. Zudem besteht die Gefahr, dass
intelligente Grayware lokale Schutzvorrichtungen deaktiviert oder der Anwender dies selber aus
Unachtsamkeit erledigt.

Doch auch die nahe liegende Alternative, netzwerkbasiert einen zentralen Schutz aufzubauen und
hier die Zugänge zu verriegeln, bietet nur bedingte Sicherheit. Jedes internetfähige Notebook und
jeder PDA oder auch infizierte mobile Datenträger umgehen automatisch den Eingangsschutz, wenn sie
vom Anwender, der eventuell auch über Administratorrechte verfügt, lokal an das Netz angeschlossen
werden. Von der Struktur her hilft nur eine kombinierte Lösung aus verantwortlichem Surfverhalten,
softwarebasiertem Schutz mobiler Clients und zentraler Netzwerklösung, um die Sicherheit für ein
Unternehmen zu erhöhen.

"Graufilter" kombinieren verschiedene Techniken

Doch nicht nur das "Wo" der Untersuchung der Inhalte auf eventuelle Grayware ist entscheidend,
sondern auch das "Wie". Ein Netzwerkschutz, der effektiv Grayware-Inhalte abwehren will, muss
verschiedene Elemente berücksichtigen. Dazu gehören eine Stateful Firewall, VPN-Module und Schutz
durch Bandwidth Shaping (siehe Grafik).

Die Inhalte der Netzwerkkommunikation müssen tief gehend und intensiv analysiert werden. Ein
Dynamic-Threat-Prevention-System etwa vereinigt die Überprüfung von Virensignaturen,
Intrusion-Detection- und Intrusion-Prevetion-Signaturen sowie – angesichts der immer neuen
Bedrohungen von Zero-Day-Attacken – auch Methoden der Heuristik und die Entdeckung von Anomalien im
Web.

Wichtig ist dabei eine Überprüfung des gesamten Contents, um in Einzelpakete fragmentierte und
versteckt transportierte Grayware zu finden. Ein wichtiges Element ist ganz banal die Überprüfung
der Vollständigkeit der Datenübertragung in einer Session (Stateful Inspection). Dann werden die
zusammengehörigen Inhalte in der korrekten Reihenfolge zusammengesetzt (Content Reassembly).
Grayware entlarvt sich oft durch den Verstoß gegen vorgeschriebene Protokollvorlagen (Communication
Protocol) oder eine korrekte Applikationssemantik (Application Protocol). Zudem muss auch die ganze
Payload einer Session auf unbekannten Inhalt und Applikationen unterstützt werden (Content
Inspection). Die Activity Inspection schließlich überprüft die Aktivität einer Session (Activity
Inspection), weil eine kontinuierlich im Hintergrund laufende Anwendung ein weiteres
Verdachtsmoment darstellt (siehe Grafik).

Fazit

Mehrschichtige Strukturen, umfassende Inhaltsanalyse und ein wachsames Anwenderauge ermöglichen
im Zusammenspiel einen wirksamen Schutz gegen Grayware und damit gegen ungefragt wirkende Software.
Die Abwehr muss ebenso flexibel und vielschichtig organisiert sein wie die Gefahr.

Lesen Sie mehr zum Thema

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice