Tag Null: Wannacry-Nachlese – Was und wie übel sind Zero-Day-Exploits?

Der moderne Mensch muss sich mit allerlei Widrigkeiten herumschlagen, ganz oben auf der Liste steht dabei die ständige Verteidigung des eigenen Geldbeutels. Und auf den haben es viele abgesehen, in Zeiten globaler Netzverbindungen sogar noch mehr, denn zusätzlich zur zwielichtigen Gestalt im Bahnhofsviertel kommen Unmengen an global operierenden Hackern und anderen, ebenso zwielichtigen Figuren, im Internet.

Hinsichtlich der Netzsicherheit sind viele Arten von Attacken zu nennen: Viren, Trojaner, Malware, Ransomware, Phishing und die Übernahme des digitalen Hausrechts über Sicherheitslücken in Programmen und Betriebssystemen. Und hier ganz besonders begehrt: Zero Day Exploits.

Was sind Zero-Day-Exploits? Und warum sind sie so attraktiv für Hacker?

Ein Zero-Day-Exploit ist eine Sicherheitslücke im Code einer Software, die dem jeweiligen Anbieter und Programmierer nicht bekannt ist – oder, falls doch, von der dieser ausgeht, dass nur er davon Wind hat. Was kann besser sein, als den Schlüssel zu einem Haus zu besitzen, von dem der Besitzer nicht einmal weiß, dass er existiert oder ihn zumindest in guten Händen wähnt? Hacker auf der anderen Seiten geben viel dafür, auf irgendeine Weise in den Besitz dieser Schlüssel zu kommen, entweder indem sie selbst die notwendigen Lücken aufdecken, sie kaufen oder, wie jüngst beim Wannacry-Desaster, der NSA klauen.

Verwenden kann man sie auf verschiedene Weise: entweder selbst ausnutzen, ausnutzen und dann verkaufen oder gleich verkaufen. Hierbei richtet sich der Wert einer Lücke direkt nach ihrem Bekanntheitsgrad. Alte und weidlich genutzte Sicherheitslücken, die bestenfalls User treffen, die weiterhin wacker Windows XP nutzen, werfen kaum noch Geld ab, während echte Zero Day Exploits für extrem hohe Summen gehandelt werden – nicht zuletzt, weil sich auch der Staat mit seinen finanziellen Ressourcen dort bedient, seine Geheimdienste damit ausrüstet und nebenbei die Preise in die Höhe treibt.

Beide Seiten, Hacker und Geheimdienste, lieben Zero-Day-Lücken, weil sie Computer unbemerkt infiltrieren und alle Vorteile des ‚Ich-war-zuerst-hier‘ ausgiebig nutzen können. Im Extremfall, bis der jeweilige Entwickler die Lücke selbst entdeckt, ein Sicherheitsforscher drauf stößt oder sie selbst gehackt und bestohlen werden. Erst dann, oder besser, erst beim Anfertigen und Ausliefern eines Patches (in aller Regel eine Woche nach Bekanntwerden einer Lücke)  ist Schluss mit Lustig und der Zero-Day-Exploit geht in den Pool der üblichen Sicherheitslücken ein. Dann wird er gehandelt wie ein Computergame, das in die Jahre gekommen ist: Je älter, desto wertloser.

Um genügend Nachschub an Sicherheitslücken brauchen sich weder NSA noch unbedarfte Innenminister noch gemeine Hacker indes sorgen. Laut Sicherheitsunternehmen Symantec wurde bereits 2015 mit 54 Zero-Day-Lücken ein Zuwachs von 125 % in Bezug zum Vorjahr konstatiert, Tendenz steigend. Fast 20 % davon gingen übrigens aufs Konto des gemeinhin für seine Empfindlichkeit berüchtigten Flash Players, der auch heute noch eine große Rolle spielt – trotz aller Versuche, das Format endgültig zu beerdigen.

Was kann man tun?

Angesichts der Tatsache, dass es Unmengen beliebter und noch viel mehr spezialisierte Software gibt und Zero-Day-Lücken per Definition unerkannt sind, lässt sich wenig dagegen ausrichten und man sollte immer damit rechnen, Opfer einer Sicherheitslücken-Attacke zu werden. Immerhin, man kann dafür sorgen, das Risiko zu minimieren, indem man zumindest die durchgesickerten Zero-Days, also die bekannt gewordenen Lücken sofort stopft, sprich: Betriebssystem und Software immer aktuell hält. Damit ist schon eine Menge gewonnen, da man sich so zumindest die Masse der Möchtegerns und finanziell unterversorgten Hacker vom Leib hält, die sich mangels genügend Kleingeld auf die eher Unbedarften stürzen, die denken, Updates seien nichts für echte Männer. Es hilft auch, auf Massenware zu verzichten. Windows ist weit verbreitet und da mag es kaum verwundern, dass Hacker ihre Energien in erster Linie auf diese Plattform konzentrieren. Linux läuft in diesen Kreisen eher unter ‚zu wenig Nachfrage‘ und der Aufwand lohnt letztendlich die Resultate nicht. Hier profitiert man eindeutig von der Bequemlichkeit und Nachlässigkeit der breiten Masse, wenn man sich die einmalige Mühe macht, eine Linux-Variante auf seinen Computer zu hieven.

Hilft ein VPN? Hilft CyberGhost?

Nein, leider nicht. Kein VPN der Welt kann dir unter die Arme greifen, wenn du am Tage Null ausgespäht werden sollst. Könnte dein VPN einen Zero-Day-Exploit erkennen, wäre es ja keiner mehr. Dann hat es sich bereits jemand in deinem Rechner bequem gemacht und schaut dir gerade über die Schulter. Die Mühe, dein Surfverhalten zu protokollieren, spart man sich dann. Warum auch, man schaut ja nicht von außen rein, sondern ist live dabei.

Hilft Umdenken?

Auf jeden Fall. Digitale Sicherheit ist kein Job für Denkfaule, Ignoranten, Besserwisser, Verdränger und ‚Hoffen-wir-mal-das-Beste‘-Anhänger. Digitale Sicherheit muss man sich erarbeiten und teilweise auch erkämpfen. Geschieht dies nicht, kann man natürlich abwarten, dass andere es für einen erledigen und man irgendwann deren Errungenschaften mitgenießen kann – viel wahrscheinlicher wird aber die digitale Evolution zuschlagen und jene in den Strom einer ungewissen Zukunft ziehen, die sich nicht schützen.

Einen Vergleich gefällig? Würdest du dein Haus offen stehen lassen und zusehen, wie sich Einbrecher, Randalierer und Partyterroristen daran gütlich tun? Oder würdest du für Sicherheit sorgen und im Notfall obendrein die Polizei rufen, weil deine Maßnahmen nicht genug sind? Dein Computer, Smartphone und dein Tablet sind deine Häuser im Internet.

Sind dir deine persönlichen Daten von heimlichen Wünschen bis hin zu Bankdaten lieb und teuer, sicherst du sie besser ab. Im Prinzip sogar gründlicher als deine echte Wohnung, denn im Internet stehen Staat und Ermittlungsbehörden nicht unbedingt auf deiner Seite. Der Skandal um Wannacry offenbarte nicht nur die Trägheit mancher Administratoren, sondern auch die Fahrlässigkeit (Dummheit?), mit der Regierungen Sicherheitslücken bewusst zum Vorteil der eigenen Geheimdienste offen halten – oder ihre Grundeinstellung, das Internet zum idealen Instrument zur lückenlosen Überwachung der Bürger auszubauen.

Credits:
Foto: Ben White (https://stocksnap.io/author/34619)
Lizenz: CCC (https://creativecommons.org/publicdomain/zero/1.0/)

About the author

CyberGhost VPN - Uli
CyberGhost VPN - Uli

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Copyright © 2014. Created by Meks. Powered by WordPress.