Frischer Halbjahresbericht von SYMANTEC, so sieht´s derzeit an der Wurm-, Viren-, Trojaner- und Malicious- Code-Front aus:
IT-Sicherheitsbericht: 24 neue Würmer pro Tag
Alle 6 Monate veröffentlicht Symantec einen IT-Sicherheitsbericht. Der Internet Security Threat Report liefert eine Trendanalyse von Internetangriffen, Schwachstellen und bösartigem Code.
Mehr Bedrohungen für den E-Commerce
Während des Berichtszeitraums war E-Commerce die Branche, die am häufigsten gezielt angegriffen wurde (16 Prozent aller Angriffe). Das entspricht einer Zunahme von 400 Prozent gegenüber dem vorigen Halbjahr (4 Prozent). Diese Entwicklung deutet darauf hin, dass Angreifer vermehrt wirtschaftlichen Gewinn erzielen wollen. Diese Tendenz wird durch einen Zuwachs an Phishing-Attacken bestätigt, ebenso durch vermehrte Spyware, die vertrauliche Informationen stiehlt und an Angreifer weiterleitet.
Angriffe auf Webanwendungen immer beliebter
Webanwendungen sind attraktive Ziele für Angreifer, denn sie sind sehr verbreitet in Unternehmen und können leicht ausgenutzt werden. Bei Webanwendungen erlangen Angreifer Zugang zum System über den Computer eines Endanwenders und umgehen so übliche Sicherheitseinrichtungen. Nahezu 82 Prozent der dokumentierten Schwachstellen in Webanwendungen wurden als leicht auszunutzend klassifiziert. Sie stellen eine erhebliche Bedrohung für Infrastruktur und kritische Informationswerte von Unternehmen dar.
Kurze Zeit zwischen Schwachstelle und Exploit
Laut Bericht wird die Zeit zwischen der Ankündigung einer Schwachstelle und der Veröffentlichung von entsprechendem Exploit Code, welcher die Ausnutzung der Schwachstelle ermöglicht, deutlich geringer. Die von Symantec erhobenen Daten zeigen, dass das Zeitfenster zwischen Schwachstellenbekanntgabe und Exploitveröffentlichung nur noch 5,8 Tage betrug. Ist ein Exploit Code erste einmal veröffentlicht, so suchen Angreifer im großen Maßstab nach Systemen mit der entsprechenden Schwachstelle und nutzen diese rasch aus. Dieses schmale Zeitfenster lässt Unternehmen weniger als eine Woche Zeit, ihre Systeme zu patchen.
Zunahme an Botnets
Verschärft wird die Schwachstellenproblematik durch die Zunahme an Bots (kurz für robots). Bots sind Programme, die heimlich auf Zielsystemen installiert werden und die nicht autorisierten Nutzern die Fernkontrolle des Computers erlauben. Angreifer koordinieren oft große Gruppen von solchen ferngesteuerten Systemen (Botnets), um nach Systemen mit Schwachstellen zu suchen. Mit Botnets lassen sich auch Geschwindigkeit und Breite von Angriffen erhöhen. Während der letzten sechs Monate verzeichnete Symantec einen starken Anstieg an ferngesteuerten Bots. Die durchschnittliche Zahl von fernüberwachten Systemen stieg von unter 2.000 auf mehr als 30.000 – pro Tag. In Spitzenzeiten wurden 75.000 neue Bots pro Tag verzeichnet. Botnets stellen besonders für Unternehmen ein Problem dar, weil sie schnell ferngesteuert mit aktuellem Exploit Code versehen werden können und so Unternehmen am rechtzeitigen Patchen der Systeme gehindert werden könnten.
Zunahme an gravierenden, leicht ausnutzbaren Schwachstellen
Symantec verzeichnete 1.237 Schwachstellen zwischen dem 1. Januar und 30. Juni 2004, das entspricht 48 neuen Schwachstellen pro Woche. 70 Prozent dieser Schwachstellen wurden als leicht ausnutzbar einge-
stuft. 96 Prozent stellten mäßige bis gravierende Bedrohungen dar. Das bedeutet, dass Unternehmen Tag für Tag mit durchschnittlich 7 neuen Schwachstellen konfrontiert werden, die – sofern sie ausgenutzt werden – fast alle zu einer teilweisen oder vollständigen Schädigung des Systems führen können.
Angriffstrends
* Das tägliche Angriffsvolumen nimmt ab. Der Grund dafür: Ein Rückgang der Angriffsaktivität internetbasierter Würmer in den ersten sechs Monaten des Jahres.
* Slammer auf Platz Eins: 15 Prozent aller Angriffe gingen auf sein Konto. Gefährlicher Newcomer: Von Gaobot und seinen Varianten gingen die zweithäufigsten Angriffe aus. Das entspricht einer Zunahme von über 600 Prozent in den letzten sechs Monaten.
* Die E-Commerce-Branche war das häufigste Objekt gezielter Angriffe. Außerdem stehen kleinere Unternehmen im Visier der Angreifer: Sie wurden am zweithäufigsten von Attacken heimgesucht.
* Internetbedrohungen sind ein globales Phänomen: Während von den USA weniger Angriffe ausgingen (37 Prozent, im vorherigen Halbjahr waren es 58 Prozent), nahm die Angriffsaktivität in anderen Ländern zu.
Trends bei Schwachstellen
* Durchschnittlich ist die Frist, die Unternehmen und Privatanwendern zum Schließen bekannt gewordener Sicherheitslücken bleibt, auf 5,8 Tage geschrumpft.
* Symantec verzeichnete 1.237 neue Schwachstellen in der ersten Jahreshälfte. Das entspricht durchschnittlich 48 Schwachstellen pro Woche, zirka 7 neuen Schwachstellen pro Tag.
* 70 Prozent der neu entdeckten Schwachstellen ließen sich leicht ausnutzen. 96 Prozent stellten mäßig bis besonders gravierende Bedrohungen dar. Von jenen Schwachstellen, für die Exploit Code zur Verfügung stand, wurden 64 Prozent als gravierende Bedrohung eingestuft.
* 479 Schwachstellen (39 Prozent des Gesamtaufkommens) bezogen sich auf Web Application Technologien.
Trends bei bösartigem Code
* Symantec registrierte 4.496 neue Windows (hauptsächlich Win32)-Viren und -Würmer im Untersuchungszeitraum: Das ist viereinhalbmal so viel wie im Vergleichszeitraum 2003.
* Die Zahl der Bot-Varianten nimmt dramatisch zu: um 600 Prozent in den letzten sechs Monaten.
* Peer-to-peer-Anwendungen (P2P), Internet Relay Chat (IRC) and Network File Sharing bleiben beliebte Verbreitungswege für Würmer und anderen bösartigen Code.
* Adware wächst sich zum handfesten Problem aus. Sechs der Top 50-Schädlinge wurden als Adware identifiziert.
* Der erste Wurm für Handys, Cabir, wurde entwickelt.
Ausblick auf kommende Trends
* Angriffe über clientbasierte Anwendungen werden in naher Zukunft zunehmen. Gezielte Attacken auf Firewalls, Router und andere Sicherheitseinrichtungen, die Systeme schützen sollen, werden Anwender künftig beschäftigen.
* Symantec vermutet, dass Botnets ausgefeiltere Methoden der Kontrolle und Angriffssynchronisation nutzen werden, die schwer zu erkennen und zu lokalisieren sind. Symantec erwartet Beispiele für Port Knocking, eine Methode, die Angreifer nutzen können, um direkte Verbindungen zu potenziellen Zielsystemen herzustellen.
* Symantec rechnet mit dem Auftauchen exploit-basierter Würmer für Schwachstellen in Linux- und BSD-Betriebssystemen. Symantec erwartet weitere Versuche, Handys mit schädlichem Code zu infizieren.
mmk
