Über die Gefährlichkeit des russischen Trojaners Scob

Volker Weber hat mich aufgefordert, vorzurechnen, wie groß die Gefahr für einen Benutzer des Internet Explorer ist, sich den Scob-Trojaner einzufangen. Zufälligerweise bin ich auf Datenmaterial gestoßen, das eine Berechnung der entsprechenden Wahrscheinlichkeit erlaubt, so dass ich dieser Aufforderung nun gerne nachkomme.

Cyveillance, ein Unternehmen, das sich mit der Abschätzung von Online-Risiken beschäftigt, hat 50 Millionen Domains gescannt und ist dabei auf 641 Sites gestoßen, auf denen die russische Schadsoftware zu finden war. Damit dürfte die Wahrscheinlichkeit, dass man beim Aufruf einer beliebigen Domain im Internet auf eine entsprechende Site stößt, bei 0,00001282 liegen. Zum Vergleich: Das Risiko im Straßenverkehr innerhalb eines Jahres ums Leben zu kommen, ist gut sechsmal so groß und natürlich auch bedeutend unangenehmer.

In der Regel wird man in dem Zeitraum, in dem der russische Server online war, mehrere Sites angesurft haben. Die Wahrscheinlichkeit erhöht sich dann entsprechend. Zu berücksichtigen ist aber auch, dass hauptsächlich kleinere Sites betroffen waren, was die Wahrscheinlichkeit wiederum erheblich reduziert.

Angesichts der Tatsache, dass alle Hersteller von Antivirensoftware sehr schnell reagiert hatten, vermindert sich das Risiko nochmals für entsprechend ausgerüstete Systeme. Für diejenigen, die eine Personal Firewall wie Kerio oder Sygate einsetzen, bestand vermutlich auch vor der Verfügbarkeit der entsprechenden Virensignatur keine Gefahr, dass Daten an den russischen Server gesendet wurden. Die beiden kostenlosen Programme unterbinden recht wirksam, dass Trojaner nach Hause telefonieren.

Das bedeutet, dass für ordentlich gepflegte Systeme das Risiko gegen Null geht. Denn Antivirensoftware, die täglich aktualisiert wird, ist ein absolutes Muss. Eine Personal Firewall sollte für Privatanwender ebenfalls Standard sein. Beides einzurichten, ist – zumindest unter Windows – kaum aufwändiger als sich im Auto immer anzugurten (um auf Volkers Vergleich zurückzukommen).

Übrigens handelte es sich überhaupt nicht um einen Internet-Wurm. Die IIs-Sites wurden wohl einfach nur gehackt. Ein Vorgang der tagtäglich auch auf Linux-Servern passiert. Dabei gelangen dann ebenfalls häufig Kreditkarteninformationen in großen Mengen in die Hände von Hackern. Dies relativiert den Vorfall, denn man muss auch bedenken, dass der russische Trojaner wohl kaum auf jedem System, auf dem er erfolgreich eingeschleust wurde, tatsächlich auch sensible Daten finden konnte.

TechWeb: Microsoft Blames Hackers, Not Zero-Day Vulnerability, For Web Attack
cyDome: Internet-Wurm: "Scob" klaut Kreditkarten-Informationen
cyDome: Gates nimmt zur jüngsten Attacke russischer Hacker Stellung

14 Kommentare

  1. Kommentar von Volker Weber am 29.06.04 21:51:

    Keineswegs hatte ich Dich dazu animiert, eine Risikoabschätzung vorzunehmen. Ich war eher an der Untermauerung der Behauptung interessiert, der Wechsel des Browsers sei wesentlich aufwändiger als das tägliche Anschnallen.

  2. Kommentar von Michael Pietroforte am 29.06.04 22:15:

    Wie schade! Jetzt war die ganze Mühe umsonst. 😉 Was den Aufwand eines Browser-Wechsels angeht. Für viele Windows-Anwender ist ein Versions-Wechsel schon ein Gräuel, der nur ein paar neue Icons mit sich bringt. Jedenfalls entspricht das meiner Erfahrung. Betrachtet man die oben dargelegten Zahlen, sind die gut gemeinten Ratschläge der Kollegen in den News-Diensten, doch gleich auf einen vermeintlich sichereren Browser umzusteigen, sicher verfehlt. Das gilt insbesondere deshalb, weil schon morgen wieder ein anderer Browser am Pranger steht. So ist das beispielsweise hier für den in puncto Sicherheit bislang immer hochgelobten Mozilla geschehen.

  3. Kommentar von Dave-Kay am 29.06.04 22:26:

    ich darf das mal unterschreiben?

    Mit sehr viel Ehrgeiz versuchte ich, den Firefox bei uns zu etablieren, idem ich die 3 (in Zahlen drei) User ansprach, die vermeintlich selber ein bisschen was mit Rechnern machen.
    „ne, der gefällt mir nicht“, „der kann da was nicht anzeigen“ etc. etc.

    Wenn man also mal vom administartiven Aufwand absieht, bleibt immer noch eine Horde Ahnungsloser, die sich gegen jede Neuerung vehement wehrt. Ich selber habe den IE für mich abgeschafft und zwar komplett, meine User werde ich da niemals hinbewegen können zumal mir die Unterstützung meines Kollgen dazu ebenfalls fehlt. Ist wie gegen Windmühlen kämpfen. Aber gerade deswegen wäre es mehr als angebracht, seitens M$, mal mit etwas mehr Sorgfalt vorzugehen, bei der Weiterentwicklung des IE und bis dahin ist man, wie ich finde, dem IE ausgeliefert.

  4. Kommentar von Volker Weber am 29.06.04 22:51:

    Den Quasselaufwand rechne ich nicht. Schliesslich wird auch jede Menge Aufwand betrieben, die vorhandenen Probleme weg zu reden.

    Vielleicht bin ich etwas überzeugender. Da der Browser ohnehin die ganzen Bookmarks übernimmt, war die Antwort eher: „Jo, wenn Du meinst“. Und dann: „Boah, ist der schnell“. Einmal Popup-Blocker und Tabs gezeigt, und Du hättest das Ding nicht mehr ohne Blessuren deinstalliert.

  5. Kommentar von Volker Weber am 29.06.04 22:58:

    Und weil wir gerade so schön am beschwichtigen sind. Mal wieder ein BHO Exploit. Kein theoritscher, sondern ein tatsächlich aufgetauchter. Diesmal schreibt er Daten mit, die über eine SSL-Verbindung per GET oder POST verschickt werden. Klingeling: Das ist zum Beispiel bei Bezahlvorgängen üblich.

  6. Kommentar von Michael Pietroforte am 29.06.04 23:13:

    Mich wundert immer, dass Popup-Blocker und Tabbed-Browsing häufig als Wechselgrund angeführt werden. Das gibt alles für den Internet Explorer auch: MyIE2 und Slim Browser. Wenn es einem nur um die Features geht, die bekommt man für den IE noch und nöcher.

  7. Kommentar von Volker Weber am 29.06.04 23:36:

    Ich fass es nicht.

  8. Kommentar von Michael Urspringer am 30.06.04 07:24:

    Also ich nutze auch meistens den Mozilla. Leider kommt es nun mal vor (und leider auch immer öfters), dass Seiten nicht so funktionieren wie sie sollen, wenn man nicht den IE nutzt. Was macht ihr denn in so einem Falle alle? Einfach nicht nutzen? Ich rufe dann diese Seite mit dem IE auf…. andere User kommen nicht auf den Gedanken, es könnte am Browser liegen und meinen fälschlicherweise die Seite würde nicht richtig laufen. Aus diesem Grund müssen immer mindestens 2 Browser auf einem Rechner installiert (und gewartet) werden, was auch ziemlich bescheuert ist.

    Ich gebe jedem Recht, der sagt Mozilla ist der bessere Browser. Aber die Realität sieht nun mal leider anders aus.

  9. Kommentar von Siegfried Hirsch am 30.06.04 11:36:

    Die klassische Diskussion. Da kann man doch eh nichts machen. Und überhaupt, ist ja alles gar nicht so schlimm.

    Solange es so aussieht, wird Microsoft auch in Zukunft machen was sie wollen und sich nur in Ansätzen um die Behebung von Fehlern kümmern.

    Endlich haben sie es ja wohl geschafft ein neues Team auf eine neue Version des IE anzusetzen. Aber ich zweifle noch immer dran, dass das wirklich alles besser wird.

    Wenn ich sehe wieviele Leute, die sich intensiv mit CSS beschäftigen am IE hängen bleiben uns irgendwelche Bocksprünge machen müssen, damit diese dumme Teil auch versorgt wird.

    IE ist doch nur deshalb für Firmen so interessant, weil es sich zentral administrieren lässt.

    Ansonsten hab ich mir abgewöhnt bei Firmen vorbeizusurfen, die keine ordentlichen Seiten abliefern können – sprich, die mit anderen Browsern wenigstens einigermassen funktionieren.

    Ausserdem kenne ich keine der wirklich grossen Seiten (Amazon, eBay, Google usw) die nicht mit allen Browsern funktionieren.

    PS: warum versteht diese Kommentarfunktion denn keine Zeilenumbrüche?

  10. Kommentar von ingo am 30.06.04 14:27:

    Also ich nutze auch meistens den Mozilla. Leider kommt es nun mal vor (und leider auch immer öfters), dass Seiten nicht so funktionieren wie sie sollen, wenn man nicht den IE nutzt…

    Hallo Michael U., guten Gewissens kann ich behaupten das ich keinen IE benutze, weil unter meinem Betriebssystem gibt es keine verkorkste Software. Könntest Du mal konkret werden welche Seiten angeblich nicht gehen sollten?

    Weitere Lösung ist, solche Seiten nicht anzusurfen. Wenn ein Möchtegern Webdesigner oder wie sich solche Leute nennen, die kein HTML coden können, sondern mit GUI und WYSIWYG Editoren, statt was ordentlichem, wie einem Vim arbeiten, dann schick ihnen einen Mail, das sie es nochmal lernen sollten bevor sie auf die Internetgemeinde losgelassen werden.

    Oder sollte ich Dein Argument so verstehen, das es eine Notwendigkeit sein sollte sich nicht aus den Fesseln von Microsoft zu befreien, weil die doch so toll sind?

  11. Kommentar von Michael Urspringer am 1.07.04 00:09:

    @ingo: Hab jetzt leider die letzte Seite nicht mehr im Kopf, bei der ich gezwungen war, sie mit dem IE zu öffnen, weil es unter Mozilla nicht 100% funktionierte. Aber es passiert immer wieder einmal. Natürlich kann ich dann sagen: Pech gehabt, ich nutze die Seite nicht. Leider hab‘ ich halt Pech und nicht der Seitenbetreiber, denn die Mehrzahl seiner User hat das Problem ja nicht…. anderes Beispiel: Unser Intranet (nein, es ist keine kleine Firma …) ist auf den IE ausgelegt, da IE bei uns der Standard-Browser ist. Natürlich geht das meiste auch mit Mozilla, aber manche speziellen Dinge eben nicht. Also bin ich gezwungen, auch hier den IE einzussetzen. Nein, es nützt wirklich nix, hier bei uns jemanden auf diesen Miss-Stand hinzuweisen, auch wenn ich damit nicht einverstanden bin. Wie gesagt, ich bin ja voll Eurer Meinung, nur ein unbedarfter Anwender hat halt 2 Probleme: 1. er muss erst mal einen Mozilla installieren, denn vorinstalliert ist normalerweise immer der IE und 2. er muss erkennen, wenn mal was nicht so geht wie er denkt, dass es evtl. am Browser liegen könnte und muss es mit dem IE noch mal probieren. Das hat also nix damit zu tun, dass ich mich „nicht aus den Fesseln von Microsoft“ befreien möchte, sondern spiegelt einfach die Realität wieder. Wir können hier Ewigkeiten darüber diskutieren, solange ein IE auf jedem PC der Standardbrowser ist, solange werden wir die einfachen Anwender nicht davon wegbringen. Also, was tun?

  12. Kommentar von Drake am 3.07.04 15:49:

    Firewall und Antivirensoftware sind zwar löblich aber auch diese haben hin und wieder Sicherheitslücken und Bugs. Wer garantiert dir das bei der nächsten Lücke (und die kommt gewiß) das ganze nicht in einem größeren Maßstab abläuft? Wer garantiert dir das der Trojaner oder Wurm nicht die Firewall deaktiviert oder umgeht (ist auch schon passiert und keine Ausnahme)? Wer garantiert dir das die Virensignaturen aktuell genug sind? Auch Hersteller von Antivirensoftware brauchen oft teilweise mehrere Tage bis die Siganturen greifen und das nicht nur bei kostenlosen Produkten. Eine hundertprozentige Trefferquote haben sie alle nicht und bei der Heuristik ists noch weniger.

    Am sichersten ist es immernoch wenn solche Schädlinge erst garnicht auf das System gelangen. Da auf Firewalls und Antivirensoft zu verweisen ist Augenwischerei da diese nunmal auch nicht perfekt sind.

    Was Darstellungsprobleme anbelangt so sind diese definitiv auf properitäre Standards des IE zurück zu führen. Also liegt letztendlich eher die Schuld bei demjenigen der die Seite erstellt hat und sich nicht an gegeben HTML-Standards gehalten hat.

  13. Kommentar von Michael Pietroforte am 3.07.04 19:25:

    Die Argumentation in meinem Beitrag ist scheinbar nicht klar geworden. Die Tatsache, dass ein Programm über Sicherheitslücken verfügt, ist eine relativ belanglose Information, wenn es um die Abschätzung des Sicherheitsrisikos geht. Es ist deshalb belanglos, weil bekannt ist, dass im Prinzip jede komplexe Software über Sicherheitslücken verfügt. Natürlich kann eine Personal Firewall und auch eine Antiviren-Software keine Sicherheitsgarantie geben. Auch das ist eine bekannte und ziemlich triviale Tatsache. Um Perfektion und hundertprozentige Sicherheit geht es in meinem Artikel nicht im Geringsten. Mir ging es darum, aufzuzeigen, dass speziell bei diesem Vorfall das Sicherheitsrisiko für den Benutzer des IE vernachlässigbar war. Dafür habe ich konkrete Zahlen angeführt. Personal Firewall und Antivirensoftware vermindern das sowieso schon geringe Risiko lediglich nochmals. Die Art und Weise, wie dieser Vorfall in den meisten Medien behandelt wurde, ist in keinster Weise dem tatsächlichen Risiko angemessen gewesen. Das war mein Anliegen.

  14. Kommentar von Drake am 5.07.04 22:36:

    Nur mal so zum nachdenken von wegen geringes Risiko.

    http://www.heise.de/newsticker/meldung/48877