Der
Flashback-Trojaner für den Mac.
Risiko oder Hoax? Niemand kann (oder will) das genau sagen.
Überhaupt wird viel über Statistiken argumentiert. Nirgendwo gibt es belastbares und nachprüfbares Material zum Thema.
Nähern wir uns dem Thema einmal völlig subjektiv und versuchen Licht in die Sache zu bringen.
Seit Wochen geistern Meldungen über einen gefährlichen Trojaner durch die On- und Offline Medien. Er tarnt sich als Flash-Installer und nistet sich unter Mac OS-X in den Browsern Safari und Firefox ein.
Und an dem Punkt begannen schon die Ungereimtheiten. Zuerst hieß es, der Trojaner nistet sich ohne Frage nach dem Passwort ein. Belegt wurde diese Behauptung mit einem Screenshot, auf dem aber genau diese Abfrage zu sehen war. Wie seltsam ist das denn? Mittlerweile wurde dieser Irrtum wohl erkannt und alle Quellen geben an, dass bei der initialen Infektion der User aktiv mithelfen muss.
Es ging aber merkwürdig weiter. Die Entdecker belegten die Gefährlichkeit mit einer hohen Zahl an gemessenen Infektionen. 600.000 Rechner seien befallen. Gemessen mit einem in der IT üblichen System, einem Honey-Pot. Angeblich versuchte man, über diese Falle die Nachladeserver zu emulieren und die Mechanismen des Trojaners zu untersuchen.
Kurz darauf kam dann allerdings heraus, dass die Adresse des einzigen Nachladeservers auf der IP 95.215.63.38 allerdings fest in der Software hinterlegt ist. Wie kann man eine feste IP-Adresse nachahmen? Ist der Antivirus-Hersteller so mächtig, globale BGP-Routing Informationen für einen einzelnen Host zu modifizieren? Schwer nachvollziehbar wenn man das System dahinter kennt.
Aber die Zahlen und die aufkommende Panik in der Presse reichten wohl, das Apple in vorauseilendem Gehorsam eine Entfernungs-Software über die systemeigene Update-Funktion verteilte. Als Beleg für die Wirksamkeit der Maßnahme kam dann ein Virensoftware-Anbieter mit 50.000 noch vorhandenen Infektionen nach 24 Stunden, weil die Anwender alle den Download von Apple eingespielt haben.
Das grenzt für mich an ein Wunder. Und es wurde auch binnen 24 Stunden direkt wieder entzaubert. Man habe falsch gemessen. Mittlerweile sind angeblich noch immer zwischen 500.000 und 1.000.000 Rechner infiziert. Trotz all des Medien-Hypes tut sich also nichts? Der Grund: Mac-User machen Updates nur zögerlich.
Interessant. Meine Wahrnehmung aus der Praxis ist da anders. Und selbst wenn dem so ist, ließe sich aus der Zahl auch noch etwas anderes folgern: Mac-User (ausser den betroffenen 600.000) surfen nicht im Internet. Denn die Infektionszahlen bleiben ja gleich. (Okay, das ist nach eigener Wahrnehmung auch eine gewagte These. Aber die Statistik gibt das genauso gut her…)
Da niemand die ausliefernden Websites benennen kann, kann auch niemand die Websites reinigen. Die Infektionsherde bleiben somit aktiv. Wie kann es dann sein, dass die Zahl der Infektionen nicht weiter steigt?
Einzig mögliche Erklärung: die Infektionsherde müssen als Special-Interest Sites sehr prominent und gleichzeitig nur für einen kleinen Kreis von Rezipienten bestimmt sein, denn anders ist die anfänglich schnelle Zahl an Infektionen und die jetzt wahrgenommene Stagnation nicht zu erklären.
Alles in allem nimmt man in den Medien auch eine sehr dürftige Faktenlage wahr.
Betrachten wir einmal die Empfehlungen (Quelle: F-Secure), wie der gefährliche Trojaner zu entfernen ist. Im Grunde werden einfach ein paar Einträge in den Programmen gelöscht, einige Dateien entfernt und das System ist wieder sauber. Verglichen mit dem Aufwand, einen Windows-PC zu „entwanzen“ ist das ein Witz.
Da fehlen komplett Mechanismen, die normalerweise von den „Bad Guys“ benutzt werden. Keinerlei verschlüsselt abgelegte Installationsroutine, Keine versteckten Einträge in den Startdateien um den Trojaner zu starten, keine Veränderung von System-Hooks um sich vor einer Antivirensoftware zu verstecken. Sind Mac-Programmierer also weniger begabt, als die Windows-Pendants? Oder ist das System insgesamt doch sicherer oder besser strukturiert?
Auch die Funktion des Flashback-Trojaners bleibt noch immer unklar:
„Trojan-Downloader:OSX/Flashback.I connects to a remote site to download its payload; on successful infection, the malware modifies targeted webpages displayed in the web browser.“, (Quelle: F-Secure siehe oben)
Der Schädling modifiziert also Webseiteninhalte. Was auch sonst, denn er klinkt sich ja lediglich in die Webbrowser ein, die bei OS-X eigentlich eine recht gut gesicherte Sandbox mitbringen. Viel mehr ist da eigentlich auch nicht drin, ohne das der Nutzer ständig sein Passwort eingeben müsste.
Immer wieder fällt das Buzzword „Payload“ auf. Versucht man konkrete Informationen zu diesem so bösen „Payload“ zu bekommen, stößt man selbst nach Wochen immer noch auf sprachloses Nichts.
Was für ein „Payload“ könnte nachgeladen werden? Der Trojaner bleibt ja offenbar in der Sandbox des jeweiligen Browsers eingesperrt. Es gibt keine Hinweise ob und wie ein bösartiges Script den Sicherheitskontext des Browsers verlassen kann. Auch gibt es keinerlei Hinweise auf real wahrgenommene Änderungen am System.
Mittlerweile habe ich auch mehrfach per Twitter und auf Sicherheitslisten nachgefragt, wer denn schon einmal Payload gesehen hat. Und vor allem: Wo man den Trojaner eigentlich bekommt. Er soll sich ja über Webseiten unter WordPress verbreiten. Nur leider kann niemand auch nur eine Antwort geben.
Kommen wir zu den Veröffentlichungen über den Trojaner.
Bei der Recherche zum Thema trifft man immer wieder nur auf mehr oder weniger modifizierte Pressemitteilungen der Antivirus-Hersteller. Es gibt nichts an frei recherchierten Ergebnissen, die die Gefährlichkeit des Trojaners belegen.
Die ersten vier fünf sechs Seiten der Suchergebnisse bei Google beziehen sich alle auf die Informationen Antivirus-Hersteller. Nicht ein einziger Bericht, bei dem auch nur eine einzige weitere Quelle benannt wurde. Journalistische Grundsätze sagen eigentlich aus, dass man erst veröffentlicht, wenn weitere Quellen geprüft sind. Wenn diese dann aber ein zweiter Antivirus-Hersteller ist, dessen Artikel sich auch wieder auf die erste Quelle stützt, sollte man stutzig werden.
Was mich persönlich noch stutziger macht: Apple-User kommunizieren gern, Offline und Online. Aber es finden sich keinerlei Berichte darüber, dass jemand die Auswirkungen des Trojaners selbst bemerkt hat. Es sind alles lediglich Beschreibungen der Antivirus-Hersteller.
(Anmerkung: Ab Seite 6 der Suchergebniss habe ich nur noch stichprobenartig weitergesucht. Bis Seite 74 der Ergebnisse nur immer die gleichen Zitate und keinerlei Userforen, die sonst spätestens ab Seite 3 mit in den Ergebnissen auftauchen! An dem Punkt habe ich dann aufgehört zu suchen. Falls jemand in den 9.5 Millionen Suchergebnissen etwas Auswertbares findet: bitte mitteilen.)
Mein Fazit: Es mag da durchaus etwas geben, das sich in den Browsern eingetragen hat. Insgesamt könnte es aber einfach eine vor Urzeiten einmal fehlgelaufene Installation von Flash sein. Irgendeine Talkback-Funktion eines Plugins. Was auch immer.
Ich neige jetzt nach Wochen dazu, das Thema einfach zu begraben. Wenn es dann im Sommerloch wieder hochkocht, sind vielleicht mehr Fakten wahrnehmbar. Mal sehen, ob dann etwas Verwertbares dabei ist.