Die Zeit zwischen dem Bekanntwerden einer Sicherheitslücke und ihrem Missbrauch - insbesondere durch Malware - ist im Laufe der Jahre immer kürzer geworden. Wenn es sich gar um eine Sicherheitslücke handelt, die bislang unbekannt war, wird vielfach von einem Zero-Day-Exploit (1) gesprochen. Gemeint ist damit, dass den Entwicklern keine Zeit geblieben ist, um eine bekannt gewordenen Schwachstelle zu schließen.

Igor Muttik von den McAfee-Labs - - rät die Fachleute von der Verwendung dieses Begriffs ab (2). Der Begriff habe keine Aussagekraft, weil er nichts über die Verbreitungswege, über die Umgebungen (PDF, SQL-Injection usw), die bevorzugten Plattformen (PC, Webserver, iPhone oa) oder Wirkungsweise einer Malware aussagt. Er spricht sich für eine eingehende Analyse der Malware und für eine klare Benennung aus, die dabei helfen, sie zu bekämpfen.

Muttik wendet sich auch gegen die Methoden, die zur Bestimmung des Zeitabstandes "0" eingesetzt werden, weil sie auf eine genaue historische Betrachtung verzichten und auch die Anzahl der betroffenen Benutzer ausblenden. Er lobt die Strategie seines eigenen Hauses, aufgrund ständiger Feldbeobachtungen Gefahrenbereiche und Gefährlichkeit zu bewerten, die von Sicherheitssoftware bewacht oder geschlossen werden, bevor eine Schwachstelle wirklich missbraucht werden kann.

Ich teile Muttiks Vorstoß auch aus weiteren Gründen. Die beschränkte Sicht auf das Zeitfenster zwischen der Entdeckung und dem Schließen einer Schwachstelle entspringt der noch heilen Hackerwelt, als es nur drei Gruppen waren, die sich an dem Spielchen beteiligten: Die guten Hacker, die den Exploit nicht nur benennen, sondern auch Werkzeuge zu seinem Missbrauch entwickeln, die trödeligen Entwickler, die nicht nur Fehler machen, sondern auch nicht schnell genug nachbessern, und die Malware-Schreiber, die staunend zu den Hackern aufblicken und nur das verwenden, was sie herausgefunden und großzügig veröffentlicht haben.
 

 
Dieses Bild aus der untergegangenen Scheibenwelt wird der Underground Economy nicht gerecht, in der sich auch professionelle Exploit-Händler tummeln. Ihr Geschäft besteht darin, wie die "guten" Hacker Schwachstellen zu entdecken, Angriffswerkzeuge zu entwickeln und teuer zu verkaufen. Ihr Geschäftsmodell beruht darauf, unbekannte Schwachstellen in Programmen oder Geräten zu entdecken oder für bekannte, aber bislang nicht geknackte Schwachstellen die geeigneten Werkzeuge zu entwickeln.

Hinzu kommen die Rootkit-Händler, die zum Beispiel auf Muttiks Strategie eingehen. Sie entwickeln nicht nur Tarnkappen, die das Erkennen von Malware erschweren, sondern auch aggressive Programme, die Sicherheitssoftware und Virenscanner erkennen, täuschen oder abschalten.

Bei der Entwicklung von Malware kommt alles zusammen: Sie bindet die Infektionssoftware (Exploit-Werkzeuge) und die Rootkits ein und verbindet sie mit den Funktionen, die die Malware ausführen soll.

Das ist noch nicht alles: Moderne Malware setzt darauf, sich langfristig einzunisten (Homebankingtrojaner, Botware), möglichst unauffällig zu bleiben (Sturmwurm ua) und sich zu aktualisieren, um auch von verfeinerten Erkennungsmethoden unerkannt zu bleiben. Dazu müssen vor allem die Rootkits und die Malware selber immer wieder angepasst und aktualisiert werden.

Paget (3) schätzt, dass zum Betrieb eines professionellen Botnetzes drei hauptamtliche Programmierer benötigt werden, die sich alleine um die "Pflege" des Botnetzes und der Botware kümmern. Hinzu kommen die Leute, die Kontakte zu den Zulieferern von Exploits und Rootkits suchen und halten, und die Kaufleute, die die Abwicklung mit den Kunden und die interne Beuteverteilung betreiben. Insgesamt ist ein kleines kriminelles Unternehmen nötig.
 

(1) Zero-Day-Exploit

(2) Igor Muttik, Zero-Day Malware (engl.), McAfee 19.10.2010

(3) Mafia, Cybercrime und verwachsene Strukturen, 20.10.2010