Aufgrund der schieren Menge neuer Schädlinge verfügt jeder professionelle Virenscanner heutzutage über eine sogenannte “Heuristik” bzw. “Behavior Analyse”. Im Groben und Ganzen wird hier jede Datei auf malware-typische Merkmale hin untersucht um so dem Scanner unbekannte Viren auf Grund von “Eigenschaften” oder “Verhaltensweisen” zu erkennen.
Der große Nachteil dieses Verfahrens besteht jedoch darin, dass nicht jede Applikation, die bestimmte “Eigenschaften” aufweist auch böse ist und es so zu Fehlalarmen (sogenannten “False Positives”) kommt. Um diese so gering wie möglich zu halten, und legitime Software nicht fälschlicherweise als “Virus” oder “Trojaner” anzumeckern, kommen sogenannte “Code Signing Zertifikate” zum Einsatz.code_signing1
Hierzu erzeugt der Sofware-Entwickler einen “öffentlichen” und “privaten Schlüssel”. Wohingegen der “private Schlüssel” beim Software-Entwickler verbleibt, wird anhand des “öffentlichen Schlüssels” durch einen berechtigte Stelle (Zertifizierungsstelle = CA) ein Zertifikat erstellt, welches dann zum Signieren von Software verwendet wird und einem Software-Hersteller zuordenbar ist. Diese Information kann dann z.B. in den Eigenschaften einer Datei angezeigt werden:
CodeSigningCertificationPath
Doch was passiert, wenn dieses Vertrauen missbraucht wird? Wenn Zertifizierungsstellen schlampen? Was, wenn diese durch Datendiebstahl in die Hände Krimineller geraten und Schadsoftware eingeschleusst wird?
Dass dies kein theoretisches Horrorszenario ist, zeigt ein aktueller Fall: Das US Sicherheitsunternehmen Bit9 – welches sich selbt als “The Leader in Trust-based Security” bezeichnet – wurde im Februar diesen Jahres gehackt. Das Resultat dieses Angriffs war, dass es kriminellen Dritten gelungen war, Zugriff auf ein Code-Signing Zertifikat zu erlangen und Schadsoftware als beglaubigte Programme auszugeben. Bit9 zufolge wurden die Schadprogramme in den Netzen von drei seiner Kunden gefunden, und durch die eigene Sicherheitssoftware “durchgewunken”.
Und dies ist nicht der erste Zwischenfall: Bereits im März 2011 sorgte hier der Sicherheitsanbeiter RSA für Schlagzeilen. Der Anbieter einer bis dahin als sehr sicher geltendenden 2 Vector Authentifizierung, musste nach einem Hacker-Angriff tief in die Tasche greifen und rund 40 Millionen Hardware-Token für sein Product “SecureID” austauschen. Im Mai darauf wurden Server des Rüstungsproduzenten Lockheed Martin und weiterer US Firmen gehackt, bei denen verschiedene Quellen von einem Zusammenhang mit dem angenommenen Diebstahl bei RSA ausgingen. Allen Beteuerungen zum Trotz dürfte die SecureID-Panne das Kundenvertrauen in SecureID und RSA ingesamt wohl nachhaltig in Mitleidenschaft ziehen.
Doch nicht nur der Diebstahl von Code-Signing Zertifikaten birgt Gefahren. Wie heise.de berichtet, wird Malware auch über Scheinfirmen, die nur auf dem Papier existieren signiert, welches auf eine lachse Handhabe bei der Überprüfung durch die Zertifizierungsstelle DigiNotar zurückzuführen ist. Und auch das ist kein Einzelfall!
Wie diese Beispiele zeigen, kann man sich als Endnutzer noch so sehr um IT-Sicherheit bemühen, man ist schlussendlich immer darauf angewiesen, dass kein anderer Fehler macht bzw. zum Opfer von Cyberkriminellen wird – und weitreichend Schäden angerichtet werden.