Interview: Zehn Jahre »I Love You« Virus
Wie der erste Supervirus die IT-Welt veränderte
Fortsetzung des Artikels von Teil 2
Das Versagen der Signaturen
Kannten Sie selbst ein paar Leute, deren Rechner betroffen waren?
Fletcher: Da unser System der damaligen MessageLabs alle Kopien sofort automatisch stoppte, waren keine unserer Kunden betroffen. Dennoch hatten wir aber zu dieser Zeit einen Reseller-Partner, der unseren Service selbst nicht benutzte. Wir hatten zwar bereits mehrfach versucht, ihn davon zu überzeugen, unseren Service auch selbst einzusetzen; und sei es nur um bessere Verkaufsargumente zu haben, wenn man dem Kunden zeigen kann, dass man die Lösung selbst nutzt. Unser Partner hatte an diesem Tag mit einem enormen Ausbruch des Virus zu kämpfen und schon am nächsten Tag hatte auch er sich entschieden, nun doch auf unser Angebot zu wechseln.
Was waren die ersten Gegenmaßnahmen, die Ihr Unternehmen plante und anging? Und warum hatte ausgerechnet MessageLabs einen Vorteil gegen diese neue Art von Angriffen?
Fletcher: Die heutige Symantec Hosted Services erkannte den Virus proaktiv und fing ihn automatisch ab, ohne das ein menschliches eingreifen nötig war. Das war nur durch unseren »in-the-cloud« Ansatz der Antiviren-Filterung möglich, mit dem wir damals schon Vorreiter waren. Das erlaubte es unserer (bereits erwähnten) Lösung Skeptic, auch solche Daten auszuwerten, mit denen andere Antivirenlösungen nichts anfangen konnten. Zum Beispiel ist es während eines Ausbruchs möglich, die weltweiten Ausbreitungsmuster von Schadcodeinfektionen zu erkennen, einschließlich von wo, wie viele und zu welcher Zeit sie versendet werden. Das erlaubt es Skeptic die Risiko-Bewertung eines verdächtigen Verhaltens automatisch anzupassen, wodurch sogar Malware erkannt und blockiert werden kann, die anderen Antivirus-Lösungen noch unbekannt sind.
Die traditionellen Antiviren-Systeme können nur auf Malware reagieren, die sie über die eingespielten Signaturen kennen, wobei der Schutz auf den PC beschränkt ist, auf dem die Software installiert wurde. Das schränkt ziemlich deutlich den Blickwinkel ein, weshalb es von Vorteil ist, das Antivirus-System an das Unternehmens-Gateway anzudocken, so dass es alle eingehenden Gefahren für die Firma schon vor dem Eintritt ins Netzwerk herausfiltern kann. In ähnlicher Weise erlaubt es die komplette Auslagerung in das Netzwerk des Internetanbieters (ISP), nicht nur die Gefahren für ein Unternehmen, sondern noch effektiver für viele mehr zu analysieren und blockieren. Symantec Hosted Services (ehemals MessageLabs) arbeitet über viele ISPs und Zeitzonen hinweg, wodurch neue und bisher unbekannte Gefahren über mehrere Länder und Kontinente hinweg sofort registriert werden können.
Das bedeutet wiederum, dass die Menge der Informationen und Daten die Skeptic im Blick hat, so enorm groß ist, dass es es unmöglich wäre, Skeptic so zu verkleinern, dass es auf einem Desktop oder in einer einfachen Server-Umgebung betrieben werden könnte – aus diesen Gründen kann so ein Service nur aus der Cloud heraus erfolgreich betrieben und angeboten werden.
So können zum Beispiel Nutzer in Europa automatisch davon profitieren, wenn auf den Philippinen ein neuer Virus entdeckt wird, und sind geschützt, noch lange bevor sie aufstehen und Ihren Email-Client öffnen. Angriffswellen wie der LoveBug folgen oft dem Lauf dem der Sonne und je mehr Leute ihren Rechner starten und sich anmelden, desto mehr werden infiziert – wodurch wieder weitere Infektionen im Verlauf des Tages ausgelöst werden, wenn weitere Leute und Nationen online gehen.
- Wie der erste Supervirus die IT-Welt veränderte
- Nie dagewesene Infektionsrate
- Das Versagen der Signaturen
- Neue Gefahren durch die Sozialen Netze
