Wie jedes Jahr möchten wir auch zum Ende von 2009 einen IT Security Forecast für das kommende Jahr 2010 machen. Nachfolgend eben jene Themen – nach Möglichkeiten in der Reihenfolge absteigender Priorität -, die sich unseres Erachtens manifestieren oder gar noch weiterentwickeln werden:

• Cloud Computing: Die Jahre 2010 und 2011 werden voraussichtlich ganz im Zeichen von Cloud Computing (SaaS) stehen. Schon im Q4 2009 konnte ein signifikanter Anstieg des Themas bei Herstellern, Nachrichtenportalen und Blogs beobachtet werden. Die Sicherheit verteilter dynamischer Systeme wird eine grosse Rolle bei zukünftigen Entwicklungen und Projekten spielen. ⇒ Der Markt für Cloud Computing ist laut Google Trends noch immer im Wachstum.

• Virtualisierung: Die Virtualisierung hat langsam ihren (ersten) Höhepunkt erreicht. Die meisten Unternehmen setzen mittlerweile nach Möglichkeiten virtuelle Systeme (Betriebssysteme und VLAN) ein, um Kosten zu sparen. Dieser Effekt wird das kommende Jahr noch optimiert werden, bis so manches Unternehmen zu grossen Teilen mit virtuellen Lösungen agiert. Uns sind mittlerweile drei Schweizer Banken bekannt, die diesen Schritt vollzogen haben. ⇒ Viele unserer Kunden haben Virtualisierung mittlerweile vorbehaltlos akzeptiert.

• Mobile Security: Im Rahmen unserer Projektarbeiten konnten wir im 2009 eine hohe Anzahl an Projektbegleitungen (Coaching, Consulting und Reviews) bezüglich mobilen Geräten machen. Klassische Geräte wie HTC mit Windows Mobile und RIM BlackBerry müssen sich mittlerweile gegen Google Android und das iPhone von Apple behaupten. Alle Hersteller sind mehrdennje darum bemüht, eine vorherrschende Marktstellung im Corporate-Umfeld zu erlangen. Allen voran wird Apple versuchen durch ein Mehr an Business-Features (z.B. zentrales Policy Enforcement) die wohlwollende Aufnahme im Geschäftsbereich durchzusetzen. ⇒ Ein Markt für den Verkauf von Exploits für mobile Geräte wurde erstmals Ende März 2010 diskutiert.

• Social Networks: Die Popularität von Diensten wie Facebook und Twitter schien in 2009 ungebrochen. Mit der Zunahme von Benutzern und den durch sie bereitgestellten Datenmengen steigt die Anforderung an die Sicherheit. Ereignisse wie der Datendiebstahl bei StudiVZ oder die komplett überarbeiteten Privacy-Settings von Facebook haben dazu beigetragen, die Awareness zu diesem Thema bei allen Beteiligten zu stärken. Facebook, Twitter, Xing und StudiVZ werden auch im kommenden Jahr ein Thema bleiben. ⇒ Die deutsche Politik erkennt je länger je mehr die Risiken des fehlenden Datenschutzes und beginnt dagegen vorzugehen.

• Windows 7: Neben Windows ME gilt Windows Vista als unpopulärstes Windows-Betriebssystem. Die meisten Benutzer und Firmen haben Vista komplett ausgelassen und werden im kommenden Jahr direkt von Windows XP auf Windows 7 migrieren. Die Sicherheit des jüngsten Desktop-Systems wird damit in den Mittelpunkt des Interesses von Angreifern und Administratoren rücken. Exploits werden sich zunehmend auf Windows 7 konzentrieren und nur noch beiläufig die Eigenarten von XP berücksichtigen. ⇒ Diese Voraussage erschien etwa 1-2 Jahre verfrüht. Aus diesem Grund wird dieser Punkt in den Forecast 2011 übernommen werden.

• Weiterentwicklung von Cross Site Scripting: XSS als Angriffsform hat ihren Höhepunkt 2006 erreicht. Die Hersteller von Webbrowser versuchen durch clientbasierte Ansätze den Erfolg derartiger Attacken einzudämmen: Microsoft benutzt einen stringbasierten Filter und Mozilla setzt auf die CSP. Haben sich die neuen Browser-Versionen ersteinmal etabliert, wird punktuell eine evolutionäre Weiterentwicklung der XSS-Angriffstechnik (Evasion) zu beobachten sein. ⇒ Vereinzelte Researcher haben versucht neue, vor allem browserabhängige, Infektionsvektoren zu identifizieren.

• Documents Client Exploiting: Lange Zeit fokussierten sich Angriffstechniken auf die durch einen Server exponierten Dienste. Mittlerweile ist eine Umkehr zu beobachten, da immer mehr Angriffe mittels komplexen Dokumentenformaten auf Clients abzielen. Dieser Trend wird anhalten und sich vor allem auf PDF und Office-Dokumenten einpendeln. Die im Dezember diesen Jahres populär gewordenen Schwachstellen im PDF-Dokumentenformat wird uns die kommenden Monate noch begleiten. ⇒ Ein eigentlich alter Angriffsvektor, der im Rahmen unserer Tests schon lange genutzt wird, hat dem Problem des Document Exploiting Ende März 2010 grosse mediale Aufmerksamkeit beschert.

• Angriff dank FIFA World Cup 2010: Die kommende Fussballweltmeisterschaft in Südafrika wird für eine Vielzahl an Scam- und Spam-Mails sowie Malware-Infektionen und SEO-Attacken herhalten. Gerade im Vorfeld werden Fussballfans mit Gewinnspielen, Reisen und Tickets geködert werden, um Kompromittierungen voranzutreiben. ⇒ Erste PDF-Malware wurde Ende März 2010 gesichtet.

• Fake Antivirus: Die Entwickler von Schadcode haben dieses Jahr umfassend begonnen, die breitflächig wahrgenommene Gefahr vor Viren für ihre Zwecke zu nutzen. Durch das Anpreisen von Fake Antivirus Lösungen bewegen sie Benutzer dazu, ihre Malware in gutem Willen zu installieren. Derlei Lösungen werden immer professioneller und damit für den unbedarften Benutzer immer schwieriger als Fälschungen zu erkennen. ⇒ Die Möglichkeiten von Fake Antivirus sind mittlerweile so bekannt, dass jeder versucht davon zu profitieren. Google hat dieser aktuellen Gefahr eine umfassende Untersuchung gewidmet.

• Wieder mehr Scans durch Drittfirmen: Viele Kunden haben versucht mittels kommerziellen Lösungen (z.B. Qualys) einen eigenen Prozess für ein automatisiertes Vulnerability Scanning zu etablieren. Die meisten von ihnen haben gemerkt, dass dies nicht so einfach nebenher umzusetzen ist (trotzdem muss solides Knowhow aufgebaut und stetig gestärkt werden). Aus diesem Grund erwarten wir wieder eher vermehrt die Durchführung von Netzwerkscans durch externe Beratungsfirmen. ⇒ Viele Kunden haben ihre regelmässigen Re-Checks beibehalten und teilweise umfangreichere Scans (vor allem im internen Netzwerk) angesetzt.

Update 6. April 2010

Die schon eingetroffenen Voraussagen wurden mit entsprechenden Quellenangaben erweitert.

Update 28. November 2010

Die restlichen Voraussagen wurden ebenso bezüglich ihrem Eintreten erweitert. Lediglich im Fall von Windows 7 trat diese noch nicht wie erwartet ein. Sie wird in den nächstjähren Forecast übernommen.

About the Author

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

• http://blog.facebook.com/blog.php?post=190423927130
• http://blogs.adobe.com/psirt/2009/12/new_adobe_reader_and_acrobat_v.html
• http://googleonlinesecurity.blogspot.com/2010/04/rise-of-fake-anti-virus.html
• http://isc.sans.org/diary.html?storyid=7573
• http://osvdb.org/osvdb/show_graph/1
• http://threatpost.com/en_us/blogs/hacker-finds-way-exploit-pdf-files-without-vulnerability-033010
• http://threatpost.com/en_us/blogs/malware-pdf-spreads-world-cup-emails-032910
• http://twitter.com/0×6D6172696F
• http://twitter.com/garethheyes
• http://twitter.com/scipag
• http://www.f-secure.com/weblog/archives/00001835.html
• http://www.fifa.com/worldcup/
• http://www.google.ch/trends?q=Cloud+Computing
• http://www.heise.de/newsticker/meldung/SchuelerVZ-Daten-Affaere-Strafverteidiger-widerspricht-Erpressungsvorwurf-850678.html
• http://www.netzpolitik.org/2010/ilse-aigner-gegen-facebook/
• http://www.symantec.com/connect/blogs/fake-antivirus-scans-are-so-2009
• http://www.symantec.com/connect/de/blogs/back-basics-fake-av
• http://www.veracode.com/blog/2010/03/malicious-mobile-code-meets-exploit-selling/
• https://www.computec.ch/download.php?view.812