Konradin-IT-Sicherheitskongress
Rootkits per Virtualisierung versteckt
Virtualisierung nützt nicht nur den "Guten Jungs" der IT-Branche. Auch Betrüger schätzen die entsprechende Technik und setzen sie kreativ ein. Christoph Wegener, Keynote-Sprecher auf dem aktuellen Security-Event der LANline und COMPUTER ZEITUNG und Experte von Eurobits, dem europäischen Kompetenzzentrum für IT-Sicherheit an der Bochumer Ruhr-Universität, warnt vor der bösartigen Variante der Virtualisierung in Form von Virtual Machine Based Rootkits. Dabei verschiebt eine Rootkit-Malware das eigentliche PC-Betriebssystem samt Anwendungen und Antivirensoftware in eine virtuelle Maschine (VM) und kann dann parallel auf dem Rechner quasi unbeschränkt sein Unwesen treiben. Wegener: "Die VM kontrolliert alles und kann alles manipulieren. Es ist daher nicht einfach festzustellen, ob man von einem Rootkit virtualisiert wurde oder nicht."
Einen gewissen Schutz vor dieser Technik verspreche das Konzept des Kryptochip-basierten Trusted Computing – etwa über die Funktionen "Sicheres Booten", die beim Hochfahren über Hashwerte misst, ob an der Plattform etwas verändert wurde. "Aber auch das technisch beste Schutzkonzept nützt nichts, wenn die Leute trotz Warnungen das booten, was sie gar nicht booten sollen", rät Wegener. Bei aller notwendigen Beschäftigung mit der Technologie solle man deshalb den Faktor Mensch niemals vergessen.
Das beste Beispiel für die Schwachstelle Mensch ist weiter wachsende Phishing-Problem. "Immer noch entstehen monatlich etwa 10 000 neue Phishing-Seiten", berichtet Wegener. Er verweist insbesondere auf eine starke Zunahme des Passwort-Fischens in deutscher Sprache. Und auch deutsche Keylogger- und Trojaner-Sites würden rapide wachsen. Entsprechend erhält die Anti-Phishing-Hotline der Bochumer Arbeitsgruppe Identitätsschutz im Internet (www.a-i3.org; Telefon 0234/ 3228058) pro Woche mehr als zehn Anrufe.
Man könne sich eben nicht alleine auf die Schutz-Technik verlassen, betont Wegener. So erkenne von den derzeit erhältlichen Anti-Phishing-Toolbars nur ein Drittel Betrugsseiten richtig, wie eine Studie der Universität Bochum zeigt. Außerdem sammeln die Tool-Bars teilweise nutzerbezogene Surfdaten und könnten entsprechend von Spywerkern missbraucht werden.
Zudem gebe es die reale Möglichkeit für Trojaner, die sichere SSL-Verbindung zu kapern und zu manipulieren. Und selbst die gerade in Deutschland favorisierten Verfahren m-Tan und i-Tan seien nicht gegen Angriffe wie Man-in-the-Middle-Attacken gefeiht, so Wegener. Mit Spear- und Voice-Phishing kämen außerdem schon die nächsten Wellen auf die Anwender zu.
LANline/CZ/wj
Lesen Sie mehr zum Thema
