Sicherheitsforscher von F-Secure

"Wurmausbrüche wie Conficker gab es schon lang nicht mehr"

Vice President Software & SaaS Markets PAC Germany
Für Mikko Hyppönen, Chief Research Officer beim IT-Sicherheitsspezialisten F-Secure aus Finnland, stellt die Conficker-Epidemie einen der größten Wurmausbrüche seit langer Zeit dar. Warum proaktiver Schutz bei Würmern dieses Typs so schwierig ist, erläutert der Sicherheitsforscher im COMPUTERWOCHE-Interview.

CW: Wieso schaffen es Würmer wie unlängst "Conficker" nach wie vor, sich so schnell zu verbreiten?

Hyppönen: Tatsächlich verbreitete sich die erste Variante von Conficker (auch "Downadup") vom November 2008 nicht sonderlich schnell. Erst "Verbesserungen" im Wurm-Code verhalfen den aktuellen Varianten des Schädlings zu dieser massiven Verbreitung. Einen so großen Ausbruch eines Netzwerk-Wurms haben wir jedoch seit vielen Jahren nicht mehr gesehen. Microsofts automatische Updates haben einen ordentlichen Job gemacht und die potenzielle Ausnutzung von Sicherheitslücken (Exploits) in Grenzen gehalten.

Downadup/Conficker verbreitet sich jedoch nicht explosionsartig über das Internet, so wie das die vergangenen Würmer getan haben, weil NAT-Router und Personal Firewalls die Anwender schützen. Nur wenige Computer in Nordamerika oder in Europa sind direkt mit dem Internet verbunden; dabei handelt es sich in der Regel um Router. Trotzdem infizieren sich einige Computer (Laptops) über das Internet. Deren Nutzer schleppen sie dann in die Unternehmens- oder Universitätsnetzwerke ein. Und dann kann der Wurm die Sicherheitslücke, über die er sich verbreitet, ausnutzen. Innerhalb des Windows-Netzwerks nutzt Downadup/Conficker dann aber mehrere Tricks, um sich zu verbreiten - und nicht nur den bekannten Windows-Exploit MS08-067 (siehe auch "Conficker verbreitet sich rasant").

CW: Würmer können Sicherheitslücken ausnutzen, weil viele Anwender Softwarepatches offenbar nur zögerlich einspielen. Woran liegt das?

Mikko Hyppönen, Chief Research Officer beim IT-Sicherheits-spezialisten F-Secure aus Finnland.
Mikko Hyppönen, Chief Research Officer beim IT-Sicherheits-spezialisten F-Secure aus Finnland.

Hyppönen: Scheinbar haben die Feiertagsbesetzung und der notwendige Computer-Reboot dafür gesorgt, dass beispielsweise einige Krankenhäuser in Großbritannien ihre Systeme verspätet aktualisiert haben. Nach unseren eigenen Berechnungen finden sich weniger Infektionen in Ländern, die Erfahrung im Patchen von Systemen haben. Wir können nur spekulieren, warum Computer in China, Russland, Brasilien oder Indien nicht so gut mit Patches versorgt werden. Mögliche Ursachen sind die höhere Rate von Software-Raubkopien, begrenzte Bandbreite zum Download der Updates oder ein Mangel an IT-Personal.

CW: Warum gibt es keinen proaktiven Schutz gegen solche Würmer und andere Schädlinge?

Hyppönen: Grundsätzlich gibt es proaktiven Schutz vor Würmern. Das Problem bei Downadup/Conficker ist, dass er eine Sicherheitslücke ausnutzt, um Windows-Administratorrechte zu erlangen. Dies proaktiv zu erkennen, ist sehr schwer und hängt mit der Art der Schwachstelle zusammen. Wenn aber der Wurm versucht, weitere Malware herunterzuladen, dann werden diese Downloads durch die Scan-Engines verhindert sowie durch Rootkit-Erkennungs- und Entfernungs-Tool vereitelt.

CW: Welche neuen Sicherheitsrisiken und Bedrohungen zeichnen sich ab?

Hyppönen: Malware für Mac OS X zum Beispiel. Derzeit kursieren Kopien von "iWorks 2009", die eine Hintertür für Angriffe ("Backdoor") enthalten.