Hacker-Tricks immer ausgefeilter

Angreifer analysieren Patches

Hacker nutzer immer bessere Werkzeuge um Sicherheitslücken aufzuspüren und ihre Spuren zu verwischen. Dies berichteten Experten bei den Black Hat Security Briefings in Las Vegas. Demnach gibt es neben so genannten „Zero-Day-Exploits“, Schadensroutinen, die ihre Wirkung über unbekannte Lecks entfalten, einen ganz neuen Trend: Angreifer analysieren immer öfter neu erschienene Patches und ermitteln, welche Sicherheitslöcher diese schließen, berichtet die Computerwelt.

Nach der Analyse der Patches starten die Angreifer zeitnah gezielte Angriffe auf diese Lecks und haben damit auch meistens Erfolg. Denn in der Regel dauert es einige Zeit, bis die Bugfixes auf den verwundbaren Systemen eingespielt werden. So nutzte nach Angaben der Black-Hat-Experten zum Beispiel der im Januar 2003 erschienene Wurm „Slammer“ ein Leck, für das zum damaligen Zeitpunkt bereits seit sechs Monaten Bugfixes bereit standen. Der Autor des im Mai 2004 aufgetauchten „Sasser“-Wurms war schneller: Er verbreitete den Schädling bereits drei Wochen, nachdem der entsprechende Patch veröffentlicht wurde, hieß es auf der Veranstaltung.

Bereits mit dieser Reaktionszeit befinden sich böswillige Hacker im Vorteil zu Herstellern und Anwendern. Die haben laut Gerhard Eschelbeck, Chief Technology Officer bei Qualys, die „Half-Life“-Zeit der Sicherheitslücken – also die Zeit, die es dauert, bis auf der Hälfte aller verwundbaren Systeme Patches eingespielt werden – im vergangenen Jahr von 30 auf 21 Tage gesenkt. Das gelte allerdings nur für Systeme, die außerhalb der Unternehmens-Firewall laufen, wie zum Beispiel Web-Server. Für Unternehmensanwendungen innerhalb der Firewall beträgt die Half-Life-Zeit 62 Tage, sagte Eschlbeck. Angestrebt ist, diesen Wert im kommenden Jahr auf 40 Tage zu senken. Während laut Eschlbeck meist relativ wenige externe Anwendungen betrieben werden, sei es gerade für große Firmen schwierig, die vielen intern betriebenen Systeme mit Patches zu versehen.