Suchen

Security Services aus der Cloud Sicherheit durch die Intelligenz der Masse

| Autor / Redakteur: Dietmar Schnabel, Blue Coat / Stephan Augsten

Wenn Cyber-Kriminelle für gezielte DDoS-Attacken ein Botnetz nutzen, kommt das einem Cloud-Ansatz gleich. Doch was die Bösen praktizieren, lässt sich auch zum Guten einsetzen: Security Services aus der Cloud schützen durch kollektive Intelligenz wirksam vor Angriffen.

Firmen zum Thema

Die Macht der Gemeinschaft schützt vor neuen Gefahren aus dem Web.
Die Macht der Gemeinschaft schützt vor neuen Gefahren aus dem Web.

Am 4. Mai 2012 jährt sich zum zwölften Mal der Tag, an dem sich das Skript-Virus Loveletter – auch „I love you“-Wurm genannt – weltweit explosionsartig verbreitete. Ein Grund für den "Erfolg" der Malware war seinerzeit der getarnte E-Mail-Anhang "LOVE-LETTER-FOR-YOU.TXT.vbs", der viele Empfänger zum Klick animierte – und so zu ihrem Verhängnis wurde.

Viren, Würmer und Trojaner sind seither nicht weniger geworden. Doch haben sie ihre Verbreitungswege stark verändert. Ein Grund für die Verschiebung der Angriffsvektoren ist, dass Cyberkriminelle damit an der schwächsten Stelle der Malware-Abwehr in Unternehmen ansetzen: bei Webfiltern mit statischen URL-Datenbanken.

Anbieter entsprechender Filterlösungen aktualisieren ihre URL-Datenbank zwar regelmäßig. Doch reicht dieser klassische Ansatz bei der Dynamik der heutigen Attacken nicht mehr aus. Denn das Web ist inzwischen einfach zu groß geworden und wächst viel zu schnell, um es nur annähernd in seiner Gesamtheit in statischen Datenbanken abzubilden.

Allein das soziale Netzwerk Facebook hat beispielsweise im Jahr 2010 geschätzt knapp acht neue Nutzer pro Sekunde gewonnen – und soll mittlerweile rund 830 Millionen Mitglieder zählen. Jeder Nutzer erhält dabei auf Facebook eine sich ständig ändernde Webseite mit Informationen aus seinem Netzwerk.

Weiterhin kann jeder Nutzer selber beliebig viele dynamische "Pages" etwa für seinen Sportverein oder Lieblingssänger anlegen. Rechnet man dies nur auf alle deutschsprachigen sozialen Netze, Blogs, Nachrichtenseiten etc. hoch so wird schnell klar, dass statische Filter diesem Wachstum schlicht nicht gewachsen sein können.

Neue Angriffsarten über dynamische Links

Trieb früher ein Klick auf ein Attachment einen Nutzer in sein Unglück, reicht heute bereits der Besuch einer infizierten Webseite aus. Um potentielle Opfer dorthin zu führen, setzen Angreifer auf verschiedene Verfahren mit dynamischen Links. Ein Trick ist beispielsweise, entsprechende Links in Suchergebnissen eines scheinbar harmlosen Webangebots zu verstecken.

Früher kam diese Art von Angriffen hauptsächlich in Suchmaschinen zum Einsatz – für nicht ganz so harmlose Inhalte wie Raubkopien, illegale Seriennummern oder pornographisches Material. Doch das Bild hat sich komplett gewandet. Aktuelle Untersuchungen der Blue Coat Labs zeigen beispielsweise, dass die beliebtesten Web-Köder dieser Art heute in Suchergebnissen von Sites auftauchen, die entweder kostenloses Lernmaterial für Kinder oder Rabatt-Coupons für Einkäufe anbieten.

Eine weitere verbreitete Art von Attacken sind so genannte Drive-by-Injections. Cyberkriminelle infizieren hierbei beispielsweise eine legitime Website und verstecken dort einen iFrame mit einem dynamischen Link. Alternativ lässt sich zur Verbreitung solcher Links auch ein kompromittiertes Benutzerkonto eines sozialen Netzwerks nutzen. Der Besuch einer infizierten Seite reicht oftmals aus, um Malware ohne weiteres Zutun auf dem Rechner des Besuchers zu installieren.

Um ihre Herkunft noch weiter zu verschleiern, verwenden Angreifer zudem Verkettungen von dynamischen Weiterleitungen. Ein Klick auf einen Link leitet die Anfrage dabei an eine ganz andere URL weiter, hinter der wiederum eine Kette von Weiterleitungen stehen kann. Das wahre Ziel eines Links (oder die Quelle eines iFrames) ist für Benutzer nicht mehr erkennbar.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 33369680)