Malware-Schutz

Das Internet der Dinge gegen gezielte Angriffe schützen

13.09.14 | Autor / Redakteur: Avishai Ziv * / Franz Graser

Malware bedroht zunehmend auch Embedded-Software. Da die Bedrohungen immer perfider und ausgefeilter werden, ist eine robuste Abwehrstrategie notwendig.
Malware bedroht zunehmend auch Embedded-Software. Da die Bedrohungen immer perfider und ausgefeilter werden, ist eine robuste Abwehrstrategie notwendig. (Bild: Clipdealer)

Wie lassen sich Angriffe in der Embedded-Welt rechtzeitig erkennen und abwenden? Unkonventionelle Erkennungsmethoden und speziell ein sicherer Embedded-Hypervisor lösen das Problem.

Je mehr die Vision des Internet der Dinge mit 15 Milliarden verbundenen Objekten Gestalt annimmt, desto größer werden die Bedenken bezüglich der Sicherheit der Infrastruktur, die das ermöglichen soll. Spektakuläre gezielte Angriffe über verbundene Objekte (man denke an den Kredit- und Debit-Kartendatenklau bei der US-Kaufhauskette Target über einen Hackerangriff auf die POS-Terminals) haben gezeigt, dass das Bewusstsein um die Notwendigkeit und die Herausforderungen beim Umgang mit zielgerichteten Angriffen auf spezielle Teile in der Infrastruktur – seien es Server oder Endgeräte – noch nicht ausreicht.

Greifen verbundene Embedded-Objekte auf dieselben Betriebssysteme im IT-Terminals (Geldautomaten und Kassenterminals) zu, ist diese Embedded-Infrastruktur mittels erprobter Techniken angreifbar. Dies ist besonders alarmierend, wenn verbundene Embedded-Objekte für die Steuerung strategischer Infrastrukturen, zum Beispiel des öffentlichen Stromnetzes, genutzt werden und dadurch zum Ziel sowohl für Hacker als auch für ausländische Regierungen werden.

Willkommen in der Welt der Advanced Persistent Threats

Die IT-Abteilungen von Unternehmens befassen sich seit einiger Zeit mit diesem Problem – mit bislang mäßigem Erfolg. Zwar werden unablässig neue Lösungen zur Bekämpfung ganz ausgefeilter bösartiger APT-Programmcodes (Advanced Persistent Threat) vorgestellt. Doch bleibt die Detektionslücke alarmierend groß.

Der Hauptgrund: Gängige Sicherheitslösungen können einen tatsächlichen APT-Befall nicht erkennen, sondern konzentrieren sich stattdessen auf gescheiterte Verhinderungsversuche (mittels herkömmlicher Anti-Malware-Technologien) und auf die Beobachtung bereits infizierter Angriffsziele.

Anbieter von Sicherheitsprodukten reagieren zwar schneller als je zuvor auf APT-Infektionsmethoden und ATP-Techniken, sich der Erkennung zu entziehen. Dennoch beträgt die durchschnittliche Aufdeckungszeit bei APT immer noch Monate (der in der Branche akzeptierte Durchschnitt liegt zwischen sechs und neun Monaten).

Hauptursache für die Detektionslücke bei APT (also die Zeit zwischen der ersten Infektion durch einen APT und dem Zeitpunkt seiner Erkennung) sind die ausgefeilten Infektionstechniken der Angreifer. Die meisten Infektionen erfolgen unterhalb des infizierten Betriebssystems und lassen sich daher nicht in Echtzeit mithilfe herkömmlicher Detektionstechnologien aufspüren. Das gilt für Anti-Malware-Anwendungen ebenso wie für Sandboxen.

Die wesentlichen Phasen eines APT-Angriffs

Die Vorbereitungsphasen (Erkundung, Zielidentifizierung, Einholung der Benutzerkontakte und Ähnliches) ebnen den Weg zum für den eigentlichen Angriff. Doch der eigentliche Angriff beginnt erst, wenn das APT das beabsichtigte Ziel erreicht – in der Regel einen Endpunkt.

Der APT-Angriff selbst setzt sich aus drei Phasen zusammen:

  • Eindringen: Ausnutzung von Schwachstellen im Betriebssystem und/oder der Anwendung, um das eigentliche APT auf dem Endpunkt installieren zu können. Im Embedded-Bereich ist das eine gravierende Schwachstelle, weil Embedded-Endpunkte typischerweise unter veralteten Betriebssystemen wie Windows XP betrieben werden, die nicht länger mit Sicherheitspatches aktualisier werden. Diese ATM- und POS-Terminals sind viel gefährdeter als gewöhnliche PCs.
  • Infizieren: Installation des eigentlichen APT, üblicherweise als “Dropping” („Abwurf“) bezeichnet, wohingegen die APT-Komponente (meist mit einem Rootkit-Modul) als „Payload“ („Nutzlast“) bezeichnet wird. Dies ist das kritische Stadium, in dem das Angriffsziel beeinträchtigt ist: Das APT gewinnt genug Macht über das Zielsystem, um seine böswillige Aktivität frei auszuführen.
  • APT-Aktivität: Die beabsichtigte böswillige Aktivität auf dem infizierten und beeinträchtigten Zielsystem (Kommunikation mit dem C&C-Server, Sammeln persönlicher Informationen, Datenlöschung, Löschung des MBR, Verwandlung des Computers in einen Zombie, usw.).

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42868105 / Security)

Elektronikpraxis News täglich 14 Uhr

News und Fachwissen für die professionelle Elektronikentwicklung - incl. ausgewählte dpa-Select News

* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung und AGB einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.

Digitale Ausgabe kostenlos lesen

ELEKTRONIKPRAXIS 14/2016

ELEKTRONIKPRAXIS 14/2016

IoT-Kongress: Die Ideenbörse für das Internet der Dinge

Weitere Themen:

Lithium-Zellen werden kleiner
DC/DC-Wandler für Elektromotorräder

zum ePaper

zum Heftarchiv

ELEKTRONIKPRAXIS 13/2016

ELEKTRONIKPRAXIS 13/2016

Plädoyer für GaN auf Silizium in Mobilfunk-Stationen

Weitere Themen:

Near-Threshold Technologie
Lösungen für die Elektrotechnik

zum ePaper

zum Heftarchiv

ELEKTRONIKPRAXIS 12/2016

ELEKTRONIKPRAXIS 12/2016

FPGA-basierte Systeme zeitgemäß entwickeln

Weitere Themen:

Embedded-Software-Strategie
String-PV-Anlagen sicher abschalten

zum ePaper

zum Heftarchiv