HOME

Gefahr durch Sicherheits-Software: Hacker erklärt: So einfach baut man Antiviren-Programme zur Spionage-Software um

Antiviren-Software schützt den PC vor fiesen Schädlingen und Trojanern, lässt sich durch ihre Sicherheits-Privilegien aber auch zum Schnüffeln missbrauchen. Ein Hacker hat nun genau das versucht. Und schaffte es mit erschreckend einfachen Mitteln.

Hacker Kaspersky Antiviren Programm Spionage

Antiviren-Software lässt sich mit wenig Aufwand als Spionage-Tool nutzen, sagt ein Hacker (Symbolbild)

Antiviren-Programme sind das Immunsystem unseres PCs. Sie wehren die Übernahme durch Trojaner ab und schützen uns im Zweifel auch noch vor Abzockversuchen. Doch sie können auch selbst zur Gefahr werden: Im Herbst wurde bekannt, dass russische Hacker mittels des Programms Kaspersky einen NSA-Mitarbeiter ausspioniert hatten. Ein Sicherheits-Forscher hat nun versucht, die Software zum Schnüffeln zu bewegen - und hatte erstaunlich einfach Erfolg.

"Ich wollte sehen, ob es ein brauchbarer Angriffs-Mechanismus ist", erklärte Patrick Wardle der "New York Times". Früher arbeitete er als Hacker bei der NSA, mittlerweile leitet er die Forschungsabteilung der Sicherheits-Firma Digita Security. Als er von den Vorwürfen gegen Kaspersky hörte, wollte er selbst ausprobieren, wie gut sich das Programm zur Spionage einsetzen lässt.


Spionage statt Virensuche

Dass die Programme spannend für Hacker sind, liegt auf der Hand. Um Schädlinge zu jagen, greifen sie tief ins System ein, haben extrem viele Rechte und sind dafür gemacht, Computer vollständig zu durchsuchen und Ergebnisse in die Cloud zu laden. Wardle bringt das Dilemma auf den Punkt: "Im Kampf gegen Schadprogramme sind Antiviren-Programme eine feste Größe. Ironischerweise teilen diese Produkte aber auch eine Menge Charakteristika mit den fortgeschrittenen Cyberspionage-Werkzeugen, die sie eigentlich finden sollen." 

Sein Hack war einfacher, als zunächst erwartet. Über einem Windows-Fehler griff er in den Prozess ein, mit dem Kaspersky die Signaturen der gesuchten Schädlinge aktualisiert, erklärte Wardle in einem Blog-Post. Das Programm nutzt diese Signaturen, um Merkmale bekannter Schädlinge in anderen Dateien aufzustöbern. Wardle gelang es, den eigentlich verschlüsselten Dateien einen eigenen Suchbegriff unterzujubeln. Und schon durchforstete Kaspersky den Rechner nach Geheimdokumenten.

Suchmaschine für Geheimes

Das klingt allerdings etwas spektakulärer als es ist. Wardle hatte lediglich eine Text-Suche nach dem Kürzel "TS/SCI" eingbaut, mit dem US-Behörden Top-Secret-Dokumente markieren. Fand eine Datei mit dem Kürzel, wurde es als Virus in die Quarantäne verschoben, wo der Hacker sie bequem herausfischen konnte.

Hätte er noch weitergehen wollen, hätte das Antiviren-Programm die Datei mit Bordmitteln noch gleich in die Cloud geladen - weil die Software dies routinemäßig mit infizierten Dateien tut. Dann hätte Wardle aber die Server des Unternehmens hacken müssen. Was für einen legalen Hacker eine echte Hürde darstellt, dürfte illegalen Angreifern oder staatliche Stellen mit Durchsuchungs-Beschluss deutlich weniger Kopfschmerzen bereiten. Sie könnten sich geheime Dokumente auf diesem Weg einfach zuliefern lassen.

So reagiert Kaspersky

Kaspersky wies die Vorwürfe gegenüber der "New York Times" zurück. Wardles Ansatz würde an der Funktionsweise der vorbeigehen. "Es ist unmöglich für Kaspersky Labs, gezielt und heimlich ein Update oder eine spezifische Signatur nur an einen Nutzer zu schicken, weil alle Signaturen immer offen für alle Nutzer zur Verfügung stehen", erklärte das Unternehmen. "Zudem sind sie digital signiert um gefälschte Updates zu verhindern."

Ob diese Maßnahmen auch greifen, wenn staatliche oder illegale Hacker direkt aus Kasperskys System heraus agieren, steht auf einem anderen Blatt. So bemerkte das Unternehmen nichts von dem russischen Angriff auf die NSA mittels seiner Server. Auch die israelischen Hacker, die die Russen letztlich innerhalb des Systems aufspürten und den amerikanischen Kollegen meldeten, blieben von Kaspersky unentdeckt.

Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.