Schlechte Nachrichten für Netzwerkadministratoren gab es auf den Black Hat Security Briefings, die am Mittwoch in Las Vegas begonnen haben. Hacker nutzen immer bessere Werkzeuge um Sicherheitslücken aufzuspüren und ihre Spuren zu verwischen, sagten die anwesenden Sicherheitsexperten.

Demnach gibt es neben "Zero-Day-Exploits", Schadroutinen, die ihre Wirkung über unbekannte Lecks entfalten, einen weiteren neuen Trend: Angreifer analysieren immer öfter neu erschienen Patches und ermitteln, welche Sicherheitslöcher diese schließen. Daraufhin starten sie zeitnah gezielte Angriffe auf diese Lecks und haben meistens Erfolg. Denn in der Regel dauert es einige Zeit, bis die Bugfixes auf den verwundbaren Systemen eingespielt werden.

So nutzte nach Angaben der Black-Hat-Experten zum Beispiel der im Januar 2003 erschienene Wurm "Slammer" (Computerwoche.de berichtete) ein Leck für das zum damaligen Zeitpunkt bereits seit sechs Monaten Bugfixes bereit standen. Der Autor de im Mai 2004 aufgetauchten "Sasser"-Wurms (Computerwoche.de berichtete) war schneller: Er verbreitete den Schädling bereits drei Wochen, nachdem der entsprechende Patch veröffentlicht wurde, hieß es auf der Veranstaltung.

Bereits mit dieser Reaktionszeit befinden sich böswillige Hacker im Vorteil zu Herstellern und Anwendern. Die haben laut Gerhard Eschelbeck, Chief Technology Officer bei Qualys, die "Half-Life"-Zeit der Sicherheitslücken - also die Zeit, die es dauert, bis auf der Hälfte aller verwundbaren Systeme Patches eingespielt werden - im vergangenen Jahr von 30 auf 21 Tage gesenkt. Das gelte allerdings nur für Systeme, die außerhalb der Unternehmens-Firewall laufen, wie zum Beispiel Web-Server. Für Unternehmensanwendungen innerhalb der Firewall beträgt die Half-Life-Zeit 62 Tage, sagte Eschlbeck. Angestrebt ist, diesen Wert im kommenden Jahr auf 40 Tage zu senken. Während laut Eschlbeck meist relativ wenige externe Anwendungen betrieben werden, sei es gerade für große Firmen schwierig, die vielen intern betriebenen Systeme mit Patches zu versehen.

Hacker-Aktivitäten werden sich künftig auch auf RFID-Chips (Radio Frequency Identification) erstrecken, so die Einschätzung der Experten. So können Angreifer laut Lukas Grunwald, Senior Consultant bei DN-Systems die elektronischen Etiketten zum Beispiel mit falschen Angaben über die ausgezeichnete Ware manipulieren. Chaos in den Lieferkettensystemen der Händler und Diebstähle seien mögliche Folgen. Dazu benötigen laut Grunwald Hacker lediglich einen mit spezieller Software ausgestatteten PDA (Personal Digital Assistant), mit dem sie zum Beispiel den im RFID-Chip gespeicherten Preis der Ware senken können.

Dies lasse sich lediglich durch verschlüsselbare Chips vermeiden. Die seien jedoch zu teuer, um sie auf Pfennigartikel wie eine Käseecke im Supermarkt zu kleben. (lex)