Gefährdung auf Softwareebene:

Inhalt

• Programmfehler
• Logische Bomben
• Falltüren
• Trojanische Pferde
• Wurm, Rabbits, Bacterias
• Viren
• Links

Programmfehler (Bug)

Die wohl häufigste Gefährdung auf Softwareebene. Mit einem Programmfehler ist die Abweichung des Verhaltens eines Programmes von dem zu erwartenden Verhalten gemeint. Diese Abweichungen können z.T. sehr gravierend sein, mit lethalen Folgen, wie z.B. wenn von einem als zu einem Komprimierungsprogramm kompatible ausgewiesene Defragmentierungstool die Dateitabellen löscht.

Logische Bomben

Eine logische Bombe ist ein eigenständig lauffähiges Programm, welches seine Funktion so lange korrekt ausführt, bis durch erfüllen einer Bedingung ein Fehlverhalten ensteht. Z.B. bei einem Gehalts-system: wenn es der 24.12 ist und ein Ludwig Bomber auf der Gehaltsliste steht, dann verdopple seine Bezüge.

Falltüren

Eine Falltür bezeichnet die eingebaute Möglichkeit der Umgehung von Zugangs- und Zugriffskontrollen um unatorisierten Personen den Zugang zu gewähren, sozusagen eine Art Generalschlüssel. Z.B. kann bei Paßwortabfragen ein Tool überprüfen, ob als Name simsalabim911 eingegeben wurde. Ist dies so, erhält der Eindringling automatisch alle Rechte.

Im Internet gibt es eine 2te Form von Falltüren, und zwar ist es möglich, die URL-Anfrage eines Nutzers für Seite A auf Seite B umzuleiten, ohne das dies vom Nutzer trivial bemerkt wird. Dies hat zur Folge, das der Nutzer unter Umständen private Informationen an vermeintlich vertrauenswürdige Seitenbetreiber weitergibt. (Kreditkartennummer, Paßwörter, etc.)

Trojanische Pferde

Dies ist ein Programm, das über seine spezifizierten Funktionen hinaus unzulässige Nebenwirkungen hat. Z.B. könnten dies sein:

• ein Copy-Programm, welches unbemerkt weitere Kopien macht.
• ein Verschlüsselungsprogramm, welches den Schlüssel weitergibt.

Würmer / Rabbits / Bacterias

Diese Bezeichnen läuffähige Programm, welche sich selbständig Verbreiten. Z.B. Happy 99. Darüber hinaus richten sie keinen Schaden an, wobei natürlich teilweise exponentielles Wachstum alle Systemressourcen belegen kann, wie bei Melissa geschehen.

Viren

Beschreibung

Ein Computervirus ist kein eigenständiges Programm, sondern eine Befehlsfolge, welche bewirkt, daß eine Kopie angelegt wird, und gegebenenfalls schadhafte Funktionen ausgeführt werden.

Klassifizierung

Eine hinreichende "offizielle" Klassifizierung der Virenarten war nicht aufzutreiben, aus diesem Grund folgt hier mein Versuch:

Unterscheidung nach "Ort"

Mit Ort ist die Einteilung von Viren in Hinsicht auf den logischen Platz ihrer Speicherung gemeint. Dieser kann unterschieden werden in Programmviren, die sich an Programme und nach Art auch Dateien hängen und Systemviren, die im Bootsektor bzw. in der Partitionstabelle sind. Von Programmviren befallene Dateien können neben den .exe und .com Programmen auch Dateien im Format .dll, .doc, .dot, .xls, .hlp, .bat, .sys, .386, .scr und sicherlich noch andere sein.

Unterscheidung nach "Technik"

Mit Technik ist gemeint, wie sich Viren an Programme hängen, dabei gibt es 3 Möglichkeiten:

• Schalen Viren bilden eine Schale um das infizierte Programm. Dieses wird dann als Unterprogramm aufgerufen.
• Additive Viren hängen sich an das Programm. Ein Zeiger am Anfang verweist auf den Beginn des Virus. Nach seiner Ausführung wird das eigentliche Programm ausgeführt.
• Ersetzende Viren überschreiben einen Teil des infizierten Programmes, so das dessen Länge konstant bleibt, nur wird dieses nicht mehr so funktionieren, wie vorher.

Sonstige Unterscheidungskriterien

• Stealth Viren versuchen durch Gegenmaßnahmen eine Entdeckung zu verhindern. Versucht das Betriebssystem, z.B. beim Befehl DIR, die Größe einer infizierten Programmdatei zu ermitteln, subtrahiert der Stealth-Virus von der tatsächlichen Dateilänge die Länge des Viruscodes und täuscht so eine korrekte Programmlänge vor. Wird eine Programmdatei nicht ausgeführt, sondern nur gelesen, z.B. von einem Virenscanner, entfernt der Virus aus der zu lesenden Datei den Viruscode, so daß der Virenscanner den Virus nicht in der Programmdatei finden kann.
• Direct - Action Viren infizieren bei der Ausführung des infizierten Programmes sofort weitere Programmdateien und führen eine eventuell vorhandene Schadensroutine sofort aus (u.U. nur bei Eintreten bestimmter Bedingungen, wie Zeit/Datum, Zähler etc.). Nach der Ausführung übergibt der Virus die Kontrolle an das ursprüngliche Programm und entfernt sich damit aus dem Hauptspeicher. Der Virus führt seine Aktion(en) direkt nach dem Programmstart aus.
• Residente Viren bleiben nach der Ausführung aktiv und können eine Schadensroutine zu späteren Zeitpunkten ausführen. Der Benutzer wird zwischen der Auführung des infizierten Programms und einem Schaden, der nach Beendigung des infizierten Programms auftritt keinen Zusammenhang erkennen. Ein residenter Virus kann, vom Zeitpunkt seiner Aktivierung an, zu jederzeit neue Programmdateien infizieren. Schon das Kommando DIR führt bei einigen residenten Viren zu einer Infektion. Residenz ist die Voraussetzung für einige weitere Techniken (Stealth Viren).
• Polymorphe Viren verhindern, daß Virenscanner nach einer speziellen, für den Virus typischen Bytefolge suchen können, da sie von Generation zu Generation sich selbst mit jeweils anderen Schlüssel verschlüsseln. Ein Beispiel hierfür sind Viren, die die sogenannte Mutation-Engine enthalten, ein Modul, welches polymorphe Viren erzeugt.
• Slow Viren führen ihre Schadensroutine nicht sofort aus, sondern verändern Daten minimal, so daß sie lange Zeit unentdeckt bleiben. Werden Datenmanipulationen über einen längeren Zeitraum nicht entdeckt, wird ein Benutzer Datensicherungen durchführen. Diese Datensicherungen enthalten aber schon die manipulierten Daten. Stellt der Benutzer nach einiger Zeit die Manipulation fest, wird er auf die Datensicherung zurückgreifen. Die dort befindlichen Daten wurden allerdings ebenfalls schon manipuliert, so daß auch diese Daten nicht benutzt werden können. Solche langsamen Viren können erheblichen Schaden anrichten.
• Hoax Viren, diese können sich weder ausführen noch selbständig verbreiten. Es sind Meldungen über neue, besonders gefährliche Virenstämme, mit der Bitte um Verbreitung. Es wird davor gewarnt, bestimmte Mails zu lesen, da sich damit der Virus in das System lädt und ausführt. Der User übernimmt die Verbreitung dieser Viren, in dem er gutgläubig diese Meldung an möglichst viele Bekannte schickt. Ansonsten haben diese Viren keinerlei Wirkung.

Viren Generationen

• 1te: Einfache Viren: einfache Replikationen
• 2te: Selbsterkennung: erkennt, ob ein Programm bereits infiziert ist.
• 3te: Stealth-Viren: versuchen durch Gegenmaßnahmen eine Entdeckung zu verhindern.
• 4te: Panzerung: enthalten überflüssigen Code, um eine Erkennung zu erschweren und führen Gegenangriff auf Anti-Viren Programme aus.
• 5te: Polymorphie: Mutierende Viren, die den Träger mit einer verschlüsselten Version infizieren.

Möglicher Schaden

Das Spektrum der Schäden, die Viren (und auch jedes andere schadhafte Programm) anrichten können reicht von relative harmlos, wie Bildschirmausgabe verändern, CD-Laufwerk ausfahren, Druckerausgabe steuern zu lethalen, wie Dateien löschen, Informationen weitergeben, Festplatte formatieren.

Infizierungswege

Man kann sich mit einem Virus nur anstecken, wenn dieser mind. einmal auf dem Zielcomputer läuft. Ein einfaches herunterladen oder speichern einer infizierten Datei reicht dazu nicht. Diese Einschränkungen wird aber auf vielfältige weise durchbrochen. Dies kann man sich schnell klar machen, wenn man sich überlegt, wieviele .exe, .com, .doc und ähnlich gefährdete Programme man pro Sitzung ausführt. Besonders durch das Herunterladen ebendieser Programm aus dem Netz wird der eigene Rechner massiv gefährdet, auch über trap doors kann man sich z.B. anstelle des vermeintlichen Bildschirmschoners einen Virus runterladen. Die häufigst benutzten übertragungsmedien sind: Dateien aus dem Internet, Disketten von Freunden, Mail-Attachments. Bei einer Umfrage (http://www.icsa.com/) wurden unter anderem folgende Häufigkeiten genannte:

• Infizierung über Disketten 52,8 %
• Infizierung über Mail-Attachements 32 %
• Infizierung über Downloads 9,4 %

Schutzmaßnahmen

Schutzmaßnahmen, also geeignete Aktionen, die eine Infektion verhindern sollen, sind:

• nutzen von Anti-Viren Programme
• nicht von Diskette booten
• keine Dateien "blind" aus dem Internet ziehen

Links

Informationen über Viren:
http://www.f-secure.com/
http://www.nai.com/vinfo/f_1.asp
http://www.drsolomon.com/vircen/enc/

Anti-Viren Software:
ftp://ftp.complex.is/pub/

Virus Testcenter:
http://agn-www.informatik.uni-hamburg.de/vtc/navdt.htm

Viren - FAQ:
http://www.freenet.victoria.bc.ca/techrev/avrevfaq.html

Security-Server
http://www.infoserversecurity.org/itsec_infoserver_v0.5/index_html

Hoax - FAQ:
http://www.usit.net/public/lesjones/goodtimes.html