Antivirus-Unternehmen sollten offener mit der Entdeckung von Malware durch die Regierung umgehen

Letzte Woche erfuhren wir von einer auffälligen Malware namens Regin die seit 2008 Computernetzwerke weltweit infiziert. Sie ist ausgeklügelter als jede bekannte kriminelle Malware, und jeder glaubt, dass eine Regierung dahintersteckt. Kein Land hat Regin Anerkennung gezollt, aber es gibt sie wesentliche Beweise dass es von den Vereinigten Staaten gebaut und betrieben wurde.





Dies ist nicht die erste Malware, die von der Regierung entdeckt wird. Geisternetz gilt als Chinese. Roter Oktober und Der Turm gelten als Russen. Die Maske ist wahrscheinlich spanisch. Stuxnet und Flamme stammen wahrscheinlich aus den USA. All diese wurden in den letzten fünf Jahren entdeckt und von Forschern benannt, die auf ihre Schöpfer aus Hinweisen wie dem Ziel der Malware schlossen.

Ich mag die Cyberwar-Metapher für Spionage und Hacking nicht, aber im Cyberspace findet eine Art Krieg statt. Länder setzen diese Waffen gegeneinander ein. Dies betrifft uns alle nicht nur, weil wir vielleicht Bürger eines dieser Länder sind, sondern weil wir alle potenziell Kollateralschäden sind. Die meisten der oben aufgeführten Arten von Malware wurden gegen nichtstaatliche Ziele wie nationale Infrastrukturen, Unternehmen usw. eingesetzt NGOs . Manchmal sind diese Angriffe zufällig , aber oft sind sie es absichtlich .

Zu ihrer Verteidigung sind zivile Netzwerke auf kommerzielle Sicherheitsprodukte und -dienste angewiesen. Wir verlassen uns weitgehend auf Antivirus-Produkte von Unternehmen wie Symantec, Kaspersky und F-Secure. Diese Produkte scannen kontinuierlich unsere Computer, suchen nach Malware, löschen sie und benachrichtigen uns, wenn sie sie finden. Wir erwarten von diesen Unternehmen, dass sie in unserem Interesse handeln und uns niemals absichtlich vor einer bekannten Bedrohung schützen.



Aus diesem Grund ist die jüngste Enthüllung von Regin so beunruhigend. Die erste öffentliche Ankündigung von Regin war aus Symantec , am 23. November. Das Unternehmen sagte, dass seine Forscher es seit etwa einem Jahr untersucht hätten, und kündigte seine Existenz an, weil sie von einer anderen Quelle wussten, die es ankündigen würde. Diese Quelle war eine Nachrichtenseite, The Intercept, die beschrieben Regin und seine US-Verbindungen am folgenden Tag. Beide Kaspersky und F-Secure veröffentlichten bald ihre eigenen Erkenntnisse. Beide gaben an, Regin seit Jahren zu verfolgen. Alle drei Antivirus-Unternehmen konnten seit 2008 oder 2009 Proben davon in ihren Dateien finden.

Warum also haben diese Unternehmen Regin so lange geheim gehalten? Und warum haben sie uns die ganze Zeit verwundbar gemacht?

Um eine Antwort zu erhalten, müssen wir zwei Dinge auseinanderhalten. Soweit wir das beurteilen können, hatten alle Unternehmen lange vor letztem Monat Signaturen für Regin zu ihrer Erkennungsdatenbank hinzugefügt. Die VirusTotal-Website hat ab sofort eine Signatur für Regin 2011 . Beide Microsoft-Sicherheit und F-Secure begann in diesem Jahr auch mit der Erkennung und Entfernung. Symantec hat seine Benutzer seither vor Regin geschützt 2013 , obwohl es 2011 sicherlich die VirusTotal-Signatur hinzugefügt hat.



Völlig getrennt und scheinbar unabhängig haben alle diese Unternehmen beschlossen, die Existenz von Regin nicht öffentlich zu diskutieren, bis Symantec und The Intercept dies getan haben. Die angegebenen Gründe variieren. Das sagte Mikko Hyponnen von F-Secure Spezifisch Kunden bat ihn, nicht über die in ihren Netzwerken gefundene Malware zu sprechen. Fox IT, das damit beauftragt wurde, Regin von der Website der belgischen Telefongesellschaft Belgacom zu entfernen, sagte nichts darüber, was es daran entdeckt hatte wollte sich nicht in die NSA/GCHQ-Operationen einmischen .

Meine Vermutung ist, dass keines der Unternehmen mit einem unvollständigen Bild an die Öffentlichkeit gehen wollte. Im Gegensatz zu krimineller Malware kann staatliche Malware schwer zu entdecken sein. Es ist viel schwer fassbarer und komplizierter. Es wird ständig aktualisiert. Regin besteht aus mehreren Modulen – Fox IT nannte es ein vollständiges Framework aus vielen Arten von Malware – was es noch schwieriger macht, herauszufinden, was vor sich geht. Regin wurde auch sparsam eingesetzt, nur gegen einige wenige Ziele, was es schwierig macht, Proben zu bekommen. Wenn Sie durch die Identifizierung einer Malware für Aufsehen sorgen, möchten Sie die ganze Geschichte wissen. Anscheinend hatte niemand das Gefühl, dass er das mit Regin hatte.

Das ist jedoch keine gute Ausrede. Da nationalstaatliche Malware immer häufiger vorkommt, fehlt uns oft die ganze Geschichte. Und solange Länder im Cyberspace gegeneinander antreten, werden einige von uns Ziele sein und der Rest von uns könnte das Pech haben, im Explosionsradius zu sitzen. Militärische Malware wird weiterhin schwer fassbar sein.



Im Moment sitzen Antivirus-Unternehmen wahrscheinlich auf unvollständigen Geschichten über ein Dutzend weiterer Arten von Malware in Regierungsqualität. Aber das sollten sie nicht. Wir wollen und müssen, dass unsere Antivirus-Unternehmen uns alles über diese Bedrohungen erzählen, sobald sie sie kennen, und nicht warten, bis die Veröffentlichung einer politischen Geschichte es ihnen unmöglich macht, zu schweigen.

Bruce Schneider ist Sicherheitstechnologe. Sein neustes Buch ist Lügner und Ausreißer: Damit die Treuhandgesellschaft gedeihen kann .

verbergen