Hallo,
ich habe in einem TV-Bericht erfahren, dass das Cyberkriminelle sogenannte leere SMS und leere Emails versenden können. Der Anwender bemerkt dies nicht.
Können auf diese Art und Weise Bundestrojaner und andere Viren verschickt werden?
Andreas42 
felix37 „Hallo, in dem Bericht ging es konkret darum, dass man mit leeren SMS, eine SMS,...“
Hi!
Man muss die Grundlagen kennen, um hier den Grad der "Bedrohung" einschätzen zu können. Bei Mails ist die Sache letztendlich sehr einfach, weil die ersteinmal nichts weiter sind als ein Text.
Das ist ernst gemeint: der Mailstandard, der heute im Noch gültig ist und die "Basistechnik" für die Mail an sich bildet, geht von einem reinen Text aus. Dieser Text ist speziell formatiert um die Mailinformationen zu verwalten (es gibt wirklich einen Kopf in diesem Text, in dem der Absender, der Empfänger usw. festgelegt wird). Und einem Körper (Body) der den übermittelten Text enthält.
In der Wikipedia ist so ein Text (mit Kommentaren) zu sehen: http://de.wikipedia.org/wiki/Header_%28E-Mail%29
Das ist wirklich die Grundlage einer Email. Da steckt nichts geheimnisvolles dahinter. Der Grund dieses erstaunlich einfachen Aufbaus liegt vermutlich daran, dass der Standard bereits geschaffen wurde, als es das Internet in der Form wie wir es heute kennen (mit grafischen Anzeigen und Browsern) noch nicht gab. Die Mail stammt aus einer Zeit, als man an ASCII-Terminals kommuniziert hat.
Ist dir aufgefallen, dass in der Beschreibung der Mail kein Hinweis auf Anhänge auftaucht?
Das war Absicht. Im beschriebenen Standard kann kein Anhang versendet werden. Warum? Die Mail darf nur aus druckbaren Zeichen bestehen. In Bildern oder Programmen sind aber undruckbare Zeichen enthalten. Um solche Dateien in der Mail zu übertragen, müssen sie kodiert werden.
Dazu wird der Text des Mailbodys selbst wieder speziell formatiert, so dass man dort den normalen Text und die Anhänge unterbringen kann. Die Kodierungsstandard dazu müsste MIME sein. (Ich bin da auch nicht auf dem Laufenden, wann braucht man dieses Spezielwissen schon, ausser um es jemand anderem zu erklären? ;-) )
Die heutigen Mailprogramme kennen natürlich alle diese MIME-Kodierung um Anhänge per Mail versenden zu können.
OK, was sagt uns das für die Gefährdung?
Ersteinmal kann eine Basismail, die nur Text im Body enthält keinen Schädling enthalten. Es geht einfach technisch nicht. Ein Schädling ist immer ein Programm und ein Programm kann nur kodiert im Mailbody transportiert werden. Dann ist er aber so kodiert, dass er nicht gestartet werden kann, ohne vorher dekodiert zu werden.
Ein Schädling müsste aber nicht nur vom Mailprogramm dekodiert werden, er muss auch noch gestartet werden. (Jedes Programm wird nur dann aktiv, wenn es gestartet wurde.)
Das ist der Grund warum man so viel über Sicherheitslücken in Browsern und Mailprogrammen redet. Wenn man dort per Trick ein Programm durch einen Fehler zum starten bringen kann, kann man dort auch Schadprogramme starten lassen.
Aber bevor die Sicherheitslücke ausgenutzt werden kann, muss die Mail immer noch kodiert werden und das Mailprogramm muss den Browser nutzen um eine HTML-Seite anzuzeigen (der Mailtext ist dann nichts anderes als eine HTML-Seite). Das ist der Grund warum viele Mailprogramme wie Thunderbird die HTML-Darstellung von Mails unterbinden oder einschränken können. Und zum Anderen natürlich der Grund, warum die Browserhersteller so hinter her sind, die Lücken zu schliessen.
OK, die Grundlagen hätten wir. Jetzt überlegen wir uns, was passieren muss, damit wir einen Schädling einschleusen können sobald man sein Konto öffnet (also dass zu erreichen, was du befürchtest):
Das wir das nicht mit jedem Mailprogramm und Browser schaffen können ist klar. Wenn jemand mit einem ASCI-Terminalprogramm direkt mit dem Mailserver über ASCII-Kommandos kommuniziert und nur die Texte der Mails angezeigt bekommt, haben wir keine Chance unseren Schädling aktiv werden zu lassen.
Da müssten wir den User schon um Mithilfe bitten:
"Hallo! Dies ist Schädling. Bitte entpacke ihn manuell und starte ihn dann unter Windows. Falls du kein Windows nutzt installiere dies bitte vorher. Lösche danach bitte diese Mail und behaupte dann, sie wäre nie auf deinem Rechner gelandet. Vielen Dank!"
;-)
OK, nutzen wir eine Sicherheitslücke im Internet Explorer unter Vista aus:
Der User surft sein Konto an und öffnet es im Browser. Unser Schadprogramm freut sich, muss dann aber feststellen, dass es ja noch gar nicht auf den Rechner übertragen wurde. Moment?
Klar: üblicherweise wird nach dem öffnen des Accounts der Inhalt des Posteingang-Ordners angezeigt. Da sieht man die Betreffzeilen und die Absender der Mail. Der Schädling steckt im Körper der Mail, muss also zum Rechner übertragen und dekodiert werden.
Nun: der Mailstandard sieht extra vor eine Übersicht der Betreffzeilen zu übertragen, ohne die Mail dabei komplett zu senden. Wir bekommen die Infektion also nur hin, wenn der User die Mail anklickt (und damit öffnet, was bedeutet das sie komplett übertragen und angezeigt wird). Erst dann kann unsere HTML-Seite die Sicherheitslücke im Browser nutzen und den Schädling starten. Falls der User zu blöd war, die aktuellen Sicherheitsupdates nicht einzuspielen.
Das ist wohl der Grund warum die ganzen Schadstoffmail immer behaupten sie enthalten Rechnungen, Grusskarten oder Nacktbilder (oder alles zusammen). Damit der User die Dinger aufmacht. ;-)
Das war aber noch nicht was wir wollten, es soll ja schon beim Einloggen losgehen.
OK; da müssen wir mit mehr Aufwand ran. Wenn es mit normalen Mitteln nicht geht, dann programmieren wir uns halt ein Tool oder eine Homepage, die das macht was wir brauchen.
Homepage:
Damit die Schädlingsmail unsichtbar bleibt muss unser Onlinemailclient diese Mail erkennen und vor dem User verstecken. Die Mail muss also eindeutig erkennbar sein, damit sie versteckt wird. Gleichzeitig muss sie "unsichtbar" im Browser geladen werden und dann die Sicherheitslücke ausnutzen. Vermutlich wird man die Schädlngsmail dazu in einem winzigen Browserfenster öffnen oder in einem Frame, so dass man das Fenster nicht sieht.
Bleibt nur noch das Problem, dass du die User dazu bringen musst deine neuerstellte Schädlingsseite zu nutzen. Am einfachsten versendest du SPAM mit Werbung darauf und veschenkst irgendwas, wie z.B. kostenlose SMS...
Dann kann man natürlich auch einen Email-Client wie Outlook oder Thunderbird programmieren und den so modifizieren, dass er beim Öffnen des Mailaccounts deine Schädlingsmail sucht und diese dann unbemerkt lädt und die Software darin startet.
Auch hier ist das Problem, dass du diesen "Trojaner-Mailclient" irgendwie zum Anwender bringen musst, der muss ihn schliesslich installieren und nutzen.
Also wie man sieht ist es durchaus machbar, eine "unsichtbare" Mail zu versenden und den darin enthaltenen Schädling unbemerkt zu starten (wenn wir mal Virenscanner aussen vor lassen, die würden den Schädling natürlich erkennen, aber zum Glück nutzt ja niemand Virenscanner ;-) ).
In der Praxis ist das aber nicht machbar, weil wir für die angedachte "Lösung" ja neue Software verteilen müssten oder eine neue spezielle Seite ins Internet stellen müssten.
Klar soweit? Oder gibt's Einwände?
Bis dann
Andreas
