Schlagwort: Cyberkriminalität

Windows Defender erkennt Staatstrojaner FinFisher    

Foto: Windows Defender ATP erkennt Staatstrojaner FinFisher | © Microsoft
Foto: Windows Defender ATP erkennt Staatstrojaner FinFisher | © Microsoft

Microsoft ist es nach eigenen Angaben gelungen, den Staatstrojaner FinFisher zu knacken und so eine Erkennung zu ermöglichen – eine ausführliche, englischsprachige Stellungnahme des Konzerns findet sich im „Microsoft Secure“-Blog. Durch die erfolgreiche Analyse ist es möglich, dass die Microsoft-Sicherheitslösungen Office 365 Advanced Threat Protection und Windows Defender Advanced Threat Protection die Schadsoftware erkennen und Windows- und Office-User effektiv schützen können.

FinFisher: Staatstrojaner wird Strafverfolgungsbehörden weltweit angeboten

FinFisher ist eine Überwachungssoftware, die von der britisch-deutschen Gamma Group entwickelt und an Strafverfolgungsbehörden weltweit verkauft wird. FinFisher verwendet diverse fortschrittliche Techniken, um einer Erkennung durch Sicherheitslösungen zu entgehen. Microsoft bezeichnet FinFisher als „eine neue Kategorie von Malware“, da die Entwickler einen erheblichen Aufwand betrieben, damit die Schadsoftware unentdeckt bleibt und nicht analysiert werden kann.

Microsoft knackt FinFisher per Reverse Engineering

Durch Reverse Engineering ist es Microsoft gelungen, FinFisher zu knacken und damit auch die Vorgehensweise der Software zu verstehen. Dabei wurde bekannt, dass FinFisher prüft, ob es in einer Sandbox ausgeführt wird – dies erkennt der Trojaner bei VMware- und Hyper-V-Umgebungen an den virtualisierten Eingabegeräten. Office 365 Advanced Threat Protection (ATP) ist aber jetzt in der Lage, diesen schädlichen Code zu erkennen, der in einer Sandbox-Umgebung ausgeführt wird. Windows Defender ATP kann jetzt erkennen, ob FinFisher Angriffe ausgeführt hat und wie diese realisiert wurden – etwa durch Einschleusen von Schadcode in den Arbeitsspeicher.

FinFisher basiert auf sechs Sicherheitsschichten

Wie viel Aufwand die Entwickler von FinFisher betrieben haben, damit der Schädling unentdeckt bleibt, wurde bei der Analyse der Sicherheitsschichten deutlich, von denen es sechs gibt. Mit herkömmlichen Mitteln sei eine Analyse unmöglich, da FinFisher auf selbst entwickelte virtuelle Maschinen setzt. Zudem sei die Software modular aufgebaut und in der Lage, verschiedene Plug-ins zu laden – diese können Internetverbindungen ausspionieren, SSL-Verbindungen umleiten und verschlüsselten Datenverkehr abgreifen.

FinFisher zeigt, dass Schadsoftware enormes Potenzial hat und Cyberkriminelle und Regierungen auf quasi jedes Gerät mit einer Internetverbindung zugreifen können, wenn entsprechende Ressourcen und Zeit zur Verfügung stehen. Durchaus beeindruckend, dass Microsoft den hochkomplexen Code von FinFisher analysieren und verstehen konnte. Allerdings haben Angreifer immer den Vorteil, dass nach der Veröffentlichung eines Schadcodes immer Zeit vergeht, eher dieser entdeckt wird und Gegenmaßnahmen ergriffen werden. Auch wenn Sicherheitslösungen bereitstehen und regelmäßig aktualisiert werden, wird es eine hundertprozentige Sicherheit in der IT nicht geben können.

USA und Europa: Neue Gesetze sollen Zugriff auf Cloud-Daten im Ausland erleichtern

Foto: USA und Europa - Neue Gesetze sollen Zugriff auf Cloud-Daten im Ausland erleichtern | © Montage gebrauchtesoftware.de
Foto: USA und Europa – Neue Gesetze sollen Zugriff auf Cloud-Daten im Ausland erleichtern | © Montage gebrauchtesoftware.de

Die US-Regierung klagt vor dem Obersten Gerichtshof gegen Microsoft – das Ziel: Die Herausgabe von Daten, die auf europäischen Servern des Ur-Konzerns gespeichert sind. Als Grundlage dient hier der „Stored Communications Act“ von 1986, US-Strafverfolgungsbehörden dürfen demnach einen Dienstleistungserbringer mit Sitz in den Vereinigten Staaten dazu auffordern, Daten auf deren Servern im Ausland für Ermittlungszwecke freizugeben. Eine Entscheidung wird für Juni 2018 erwartet. Allerdings könnte die Entscheidung auch obsolet werden, denn am 6. Februar 2018 wurde dem Kongress ein Entwurf vorgelegt, welcher US-Unternehmen dazu zwingt, Inhalts- und Verkehrsdaten offenzulegen – egal, wo diese gespeichert sind. Das Gesetz wird als „Clarifying Lawful Overseas Use of Data (CLOUD) Act“ bezeichnet und soll auch die Zusammenarbeit mit Behörden der EU-Mitgliedsstaaten regeln. EU-Datenschutzgesetze sollen durch Ausnahmen eingehalten werden können, indem US-Unternehmen nach Beantragung davon ausgenommen werden sollen, Daten von Nicht-US-Staatsbürgern offenzulegen. Damit das umgesetzt werden kann, müsste der Staat, in dem das Unternehmen agiert, als „Partnerstaat des CLOUD Act“ registriert sein.

EU-Legislativvorschlag: Einfacherer Zugang zu Inhalts- und Verkehrsdaten in den USA

Parallel dazu arbeitet die EU-Kommission an einem Legislativvorschlag, sodass der Zugang zu Inhalts- und Verkehrsdaten in den USA vereinfacht werden kann. Betroffen wären alle Unternehmen, die Dienste auf europäischem Hoheitsgebiet erbringen. Im Fokus dürften dabei aber sicherlich US-Unternehmen stehen, darunter Facebook, Google und Microsoft. Richtungsweisend wäre ein entsprechendes Gesetz für den Umgang mit digitalen Beweismitteln – denn eine richterliche Anordnung soll nicht erforderlich sein. Das ist insofern problematisch, weil ein solches Gesetz tief in die Grundrechte eingreifen würde. Die Erleichterung des Zugangs zu „elektronischen Beweismitteln“ („e-evidence“) würde in der Praxis der Strafverfolgung insbesondere in Bezug auf Cloud-Daten, Mailserver, Messengerdienste und VoIP-Anrufe interessant sein. Bisher regeln das EU-US-Rechtshilfeabkommen die Herausgabe elektronischer Beweismittel – dieser internationale Rechtsweg kann bis zu zehn Monate in Anspruch nehmen. Da Kommunikationsdaten mitunter nur wenige Wochen gespeichert werden dürfen, ist ein solches Verfahren in vielen Fällen schlicht zu langsam. Laut EU-Kommission machen die EU-Mitgliedsstaaten nur etwa 4.000 Mal im Jahr davon Gebrauch. Ausnahme: Zur Abwehr einer unmittelbar bevorstehenden Gefahr dürfen Firmen nach US-Gesetzgebung Verkehrsdaten an europäische Behörden weitergeben. Diese Direktanfragen werden jährlich bei etwa 100.000 Vorgängen genutzt.

Sensible Daten gehören nicht in eine Cloud-Umgebung!

Bei Daten, die in Cloud-Umgebungen gespeichert werden, ist man in puncto Sicherheit vollständig vom jeweiligen Anbieter abhängig. Durch die geplanten Gesetzesänderungen in den USA und Europa könnten Behörden noch leichter Einsicht in entsprechende Daten erhalten – teils sogar ohne richterliche Anordnung. Das ist für die Verbrechensbekämpfung zwar mitunter nützlich, bleibt aber ein tiefer Eingriff in die Grundrechte. Es bleibt zu hoffen, dass bei entsprechender Realisierung der Gesetzesänderungen eindeutige Vorgaben beschlossen werden, die den Umgang mit Daten regeln. Die aktuelle Lage verdeutlicht: Vorsicht bei der Datensicherung in der Cloud – insbesondere, wenn es um sensible Daten geht! Die Auslagerung sensibler Daten geht mit einem Kontrollverlust einher und stellt immer ein Risiko dar, schließlich übernimmt ein Unternehmen den Schutz der Daten vor Dritten. Außerdem kann im Zweifelsfall nicht wirklich verhindert werden, dass jemand Zugriff auf die Daten erhält, seien es Behörden, Cyberkriminelle, Mitbewerber oder andere Unbefugte.