© Dettweiler
Wo steckt der böse Code?
Auf dem hellen Büroschreibtisch steht ein weißer Plastikbecher mit einem eingetrockneten Teebeutel neben einem braunen Behältnis mit Kaffeeresten. Einen Handgriff davon entfernt wartet ein grau-blau-gestreifter Wollschal auf seinen Einsatz, um Wladimir vor der trockenen Kälte der russischen Nacht zu schützen. Der junge Virenanalyst braucht ihn in den wohl beheizten Büroräumen im Moskauer Stadtteil Khoroshevskiy jedoch nicht. Trotz hoher Raumtemperatur, Kaffee- und Teeresten, Zimmerpflanzen und Menschen lässt sich hier nur eine Sorte von Viren nachweisen: die digitale Byte- und Bit-Variante.
Das „Lab“ des Security-Softwareherstellers Kaspersky sammelt und untersucht Viren aus aller Welt. Auf die Rechner der Computerspezialisten laufen minütlich verdächtige Dateien, die meisten davon wurden in Russland, China und Latein-Amerika programmiert. Die Bezeichnung „Virus“ steht stellvertretend für Malware. Die Schadprogramme enthalten meist Trojaner oder Würmer. Die Zeiten, als egozentrische Informatikstudenten mit einem Virus auf ihre Programmierkompetenz aufmerksam machen wollten oder destruktive Computernerds die Festplatten dieser Welt löschen wollten, sind längst vorbei.
Täglich 3000 bis 4000 Dateien besorgter Kaspersky-Kunden
International organisierte Cyberkriminelle verschaffen sich Zugang zu Rechnern, um an Geld oder Daten ihrer Besitzer zu kommen; sei es durch infizierten Mail-Anhang, verfälschten Link, direkte Betriebssystemattacke oder eine gehackte Internetseite. Die Betrügermethoden sind vielfältig: umgeleitete Überweisungen beim Online-Banking, gestohlene Kreditkartendaten, Verkauf kopierter Geheiminformationen des PC-Nutzers oder Erpressung mit angedrohtem Zerstören des Betriebssystems.
© Kaspersky
Ob mit oder ohne Helm: Der Besucher versteht zunächst wenig, wenn Vitaly erklärt, was die Analysten gerade machen
Die gefährlichen Objekte strömen letztlich auf vier Kanälen ins Kaspersky-Labor. So schicken allein täglich 3000 bis 4000 besorgte Kaspersky-Kunden eine Datei, von der sie nicht wissen, ob sie ein Schadprogramm enthält. Eine weitere Quelle für Malware-Material ist www.virustotal.com. Auf der Webseite können Nutzer eine Datei hochladen und checken lassen, ob sie infiziert ist. Die Arbeit wird dann verteilt auf die Labors von knapp 40 Anti-Virus-Herstellern wie Symantec, McAfee, Sophos, F-Secure oder Trend Micro. Auch tauschen diese Firmen untereinander Dateien aus, um ihre Datenbank zu erweitern. Und letztlich liefern auch sogenannte „Honeypots“ Informationen. Simulierte Rechner oder Netzwerke locken die bösen Bits-and-Bytes-Organismen an. Im Falle einer Attacke wird der Vorgang protokolliert, um ein Muster oder eine Methode erkennen zu können.
Junge Nerds, in T-Shirts und Jeans
Virenanalysten wie Evgeny, Mikhail, Andrey oder Ivan ziehen täglich in den Kampf gegen die hinterhältigen Viren. Jeweils vier junge Männer kämpfen in den Büroräumen des Software-Unternehmens Kaspersky rund um die Uhr gegen die Seuche des digitalen Zeitalters. Ihre Waffen sind ihr scharfer Verstand, zwei flache Bildschirme und zwei unabhängig voneinander arbeitende Computer. In Zwölf-Stunden-Schichten wechseln sich die Programmierer ab. Viel Zeit bleibt nicht für eine Kaffeepause, geschweige denn für ein kurzes Gespräch. Auch im Virenlabor schützt die russische Skepsis die meisten Mitarbeiter davor, vielleicht ein Wort zu viel zu sagen. Außer Vitaly Kamluk. Bevor der „Chief Malware Expert“ redet und erklärt, was die schweigenden Virenanalysten gerade so machen, nimmt er allerdings noch seinen Darth-Vader-Helm ab, damit er genug Luft bekommt. Computerexperten sind nun einmal auch in Russland junge Nerds, die in T-Shirt, Jeans und eben manchmal auch mit Helm ihrer Arbeit nachgehen.
Darth Vader Vitaly war selbst mal ein Analyst, bevor er aufgestiegen ist zum „Chief Malware Expert“. Deshalb weiß der 24-Jährige noch allzu gut, wie die Arbeit abläuft - und wie schnell sie gehen muss. Zwischen dem Eingang eines virenverseuchten Files über einen der Kanäle auf die Rechner der Analysten und dem Eintreffen des Updates für das Antivirenprogramm auf den PCs der Nutzer sollte weniger als eine Stunde liegen. Denn bei automatischer Aktualisierung der Security-Software bekommt der Rechner stündlich neue Sicherheits-Updates. Doch zunächst liegt die Datei erst einmal wie auf einem Fließband für den Kaspersky-Analysten zur Bearbeitung bereit. Wenn er sich eine greift, muss er zunächst immer die gleiche Frage als erstes beantworten: „Ist die Datei befallen?“
Ein Zeichen-Wirrwarr, wie ihn Kinogänger aus den Matrix-Filmen kennen
Für den wenig kapierenden Besucher des Kaspersky-Labs sieht das dann ungefähr so aus: Der Blick des Analysten wandert ruhig und entschlossen zwischen den beiden Bildschirmen hin und her. Auf dem linken Screen erscheint immer wieder ein Zeichen-Wirrwarr, etwa wie ihn Kinogänger aus den Matrix-Filmen kennen. Die Hände führen flink jede Menge Short-Cuts aus, rechts auf dem Bildschirm taucht immer wieder die Mailbox auf. Kein Schnaufen, kein Kopfschütteln, keine Stirnfalten. So geht das die ganze Zeit. Der Übergang von einem Viruscheck zum nächsten ist fließend. Es hilft nichts, da muss Chief-Malware-Expert Vitaly Kamluk helfen. Der junge Mann mit dem schwarzen Kurzarm-Hemd und dem gelben langärmligen T-Shirt darunter versucht in russischem Englisch und südländischer Gestik dem Besucher zu erklären, was da vor sich geht.
Und das scheint vor sich zu gehen: Es wird untersucht, ob die Datei tatsächlich einen Virus, Trojaner, Wurm oder einen anderen Schädling enthält. Dafür gibt es zwei Methoden: die statische und dynamische. Bei der statischen Analyse verwenden die Programmierer unter anderem das Programm IDA. Das gehört für Virenanalysten zum Standardrepertoire wie für den Grafiker sein Adobe Photoshop. Mit IDA wird der Programmcode in eine lesbare Form gebracht. Nun kann der Computerspezialist die Befehle der Reihenfolge nach ansehen und erkennt gegebenenfalls den Schadcode, der in der Datei untergebracht ist. Die dynamische Analyse läuft „on-the-fly“: Das verdächtige Programm wird auf dem zweiten PC, also dem vom ersten unabhängigen, laufen gelassen. Währenddessen schaut sich der Analyst an, was auf dem Rechner vor sich geht, während die Malware Befehle ausführt: Welche Dateien werden verändert? Mit welchen Servern nimmt das Programm Verbindung auf? Die Vorgänge werden dabei automatisch protokolliert.
Das Böse im Land des Rechners
Die Identifizierung folgt häufig in Sekunden. Erkennen die Analysten eine bestimmte „böse“ Zeichenfolge mit Befehlen wieder, die sie in dieser oder sehr ähnlicher Form bereits in einem anderen Schadprogramm identifiziert hatten, können sie sofort zuordnen, zu welcher „Familie“ dieser Schadcode gehört. Jetzt erstellt der Analyst mit wenigen Tastaturgriffen einen Fingerabdruck dieser Datei, indem er eine Zeichenfolge „herauskopiert“. Das ist ein Stück Code, der nur so in dieser Datei vorkommt. Diese sogenannte Signatur ist somit ein eindeutiges Erkennungsmerkmal. Die neu erstellte Signatur wird nun noch ein paar Tests unterzogen. Sinn der Tests: Der vom Analysten herausgenommene Code könnte auch in einem Microsoft-Produkt vorkommen, weil er eben noch nicht eindeutig genug ist. Das Anti-Viren-Programm würde somit Fehlalarm schlagen und vor einem harmlosen Programm warnen.
Der Fingerabdruck müsste in diesem Fall noch angepasst werden, weil er offenbar in mehreren Programmen steckt. Verlaufen die Tests positiv, wird mit der Signatur das nächste Update-Paket bestückt, das dann raus an die Rechner dieser Welt geht. Wenn also die Datei mit dieser Signatur in Zukunft den Zoll des Anti-Viren-Programms passiert, wissen die Kontrolleure aufgrund ihrer aktualisierten Fahndungsliste, dass der Fremde etwas Böses im Land des Rechners anrichten will. Der Kunde bekommt mit jedem Update ein sicheres Schutzschild und die Virenanalysten die nächsten verdächtigen Files.
Jede zweite Sekunde ein neues Malware-Beispiel
Als Besucher des Kaspersky-Labs kann man sich nur schwer vorstellen, dass die Mitarbeiter mit ihrem jugendlichen Aussehen, ihrer authentischen Gelassenheit und ihrer faszinierenden Geduld, die nach ihrer Zwölf-Stunden-Schicht mit der Metro nach Hause fahren oder Freunde auf ein Bier treffen, einen ständigen Kampf gegen Zehntausende Cyberkriminelle führen, die nach Schätzungen von Eugene Kaspersky jährlich 100 Milliarden Dollar den Opfern stehlen. Am Ende des Jahres soll Kaspersky zufolge jede zweite Sekunde ein neues Malware-Beispiel aufgetaucht sein. Das wären dann in diesem Jahr 15 Millionen Schädlinge gewesen. Über eines können sich also Evgeny, Mikhail, Andrey, Ivan, Wladimir und all die anderen nicht beklagen: über zu wenig Arbeit. „Chief Malware Expert“ Vitaly Kamluk kann sich seinen Darth-Vader-Helm schon mal aufsetzen.
