Neue Gefahr durch Virus-JPEGs
Seit dem Bekanntwerden der JPEG-Sicherheitslücke in der GDI-Library von Microsoft [CAN-2004-0200] verlageren sich die Bedrohungsszenarien immer mehr auf den Verkehr im WWW.
User werden auf Websites mit manipulierten JPEGs gelockt, die zumeist "Trojanische Pferde" zur Übernahme des Rechners einschleusen. Die Tücke dieser Viren liegt darin, dass sie erst erkannt werden, wenn das Bild in den Speicher geladen wurde und sein schädlicher Code bereits ausgeführt wird.
Der neueste Zug der Angreifer, User auf Websites mit SSL-Verschlüsselung zu locken [https.//...] ist gerade perfekt dazu geeignet, die Viren-Scanner an den WWW-Gateways von Unternehmen und Providern völlig auszuschalten.
Da die Verschlüsselung von der Website des Angreifers direkt bis zum Browser des angegriffenen Users funktioniert, kann der dazwischen geschaltete Virenscanner am Gateway eines Unternehmens nicht erkennen, welche Dateien da transferiert werden.
Die ersten Warnungen kamen aus DeutschlandEine Lösung aus Österreich
Der österreichische Security-Spezialist Bacher Systems setzt hier mit einem neuen Lösungsansatz an. Den Kern des Konzeptes bildet ein "Application Switch" der auch SSL-verschlüsselten Datenverkehr entschlüsseln und die Last auf entsprechende Content-Scanner verteilen kann.
Dort werden mögliche Schädlinge entfernt und die bereinigten Daten wieder zum Switch zurückgeschickt. Dieser verschlüsselt die Pakete und leitet sie zum Client weiter.
Durch die ASIC-basierende Plattform können dabei Durchsätze im Gbit- Bereich erzielt werden, heißt es von Seite des Herstellers.
Seit einigen Wochen werde man von Kunden verstärkt auf die Überprüfungs-Möglichkeiten von SSL-Verbindungen angesprochen, sagt Rainer Schneemayer, Leiter des IT-Consulting der österreichischen Bacher Systems.
Bacher SystemsDie ersten Vorboten
Diese JPEGs sind nach Ansicht verschiedener Sicherheitsexperten
nur die ersten Vorboten einer neuen Generation von Viren,
die diese neue Angriffsmethode praktizieren.
