Warum ein Anti-Virenschutz für und native auf IBM i in vielen Fällen sinnvoll sein kann und warum ein nativer Ransomware-Schutz im Fall der Fälle der rettende Anker sein kann, verdeutlicht dieser Beitrag.
Derzeit basiert unser Geschäftsleben sehr stark auf dem Internet. Menschen informieren sich über Angebote im Internet und bestellen und konsumieren diese Angebote auch über diesen Kanal. Mitarbeiter in Unternehmen nutzen ihren Arbeitsplatz im Büro oder neuerdings den Home-Office Arbeitsplatz, um die gleichen Geschäfte zu erledigen. Nicht selten kommen Cyber-Angriffe als Folge einer privat betriebenen Aktion in Unternehmen.
Derartige Attacken sind heutzutage ein gutes Geschäft. Viele Menschen arbeiten hart daran, Cyber-Angriffe zu erstellen, die ihr Ziel erreichen – Geld für sich selbst zu generieren. Die Qualität der Fälschungen, die sie liefern, wird immer hochwertiger. Eine E-Mail geht ein, perfekt gestaltet mit vertrauenswürdigem Anhang und in gutem Glauben öffnet der Empfänger diesen. Sofort beginnen die Malware oder Ransomware mit ihrer zerstörerischen Arbeit.
Ein sicheres IBM i-System ist Teil des Unternehmensnetzwerks. Auch wenn sein Kern-i5/OS nicht kompromittiert werden kann, ist das integrierte Dateisystem (IFS) offen für Windows-PCs und -Server, die Angriffspunkte darstellen. Es gibt keinen großen Unterschied zwischen einer IBM i-Freigabe und einer Windows-Freigabe. Beide haben ihren Laufwerksbuchstaben im Windows Explorer und erlauben die Verwendung von Dateien, die sich auf einem anderen Server befinden.
Folgende Malware-Typen sind derzeit bekannt:
- Ein Computervirus ist eine Art schädliches Softwareprogramm, das sich bei seiner Ausführung selbst repliziert, indem es andere Computerprogramme ändert und eigenen Code einfügt. Wenn diese Replikation erfolgreich ist, werden die betroffenen Bereiche als mit einem Computervirus „infiziert“ bezeichnet. Viren sind die bekannteste Malware und fast jeder PC oder Server sollte mit einem Virenschutz ausgestattet sein.
- Ein Computerwurm ist ein eigenständiges Malware-Computerprogramm, das sich selbst repliziert, um sich auf andere Computer auszubreiten. Häufig verwendet es ein Computernetzwerk, um sich zu verteilen, und greift dabei auf Sicherheitsfehler auf dem Zielcomputer zurück, um ihn unter seine Kontrolle zu bringen.
- Trojaner werden im Allgemeinen durch irgendeine Form von Social Engineering verbreitet, beispielsweise wenn ein Benutzer einen E-Mail-Anhang öffnet, in dem er regelmäßige Geschäftsinformationen erwartet (z. B. eine Rechnung als Anhang). Ransomware-Angriffe werden häufig mit einem Trojaner ausgeführt.
- Spyware ist eine Software, die versucht, Informationen über eine Person oder Organisation ohne deren Wissen zu sammeln. Spyware wird hauptsächlich in vier Typen eingeteilt: Adware, Systemmonitore, Tracking-Cookies und Trojaner.
- Adware oder werbefinanzierte Software ist Software, die Einnahmen für den Entwickler generiert, indem sie automatisch Online-Werbung auf der Benutzeroberfläche der Software oder auf einem Bildschirm generiert, der dem Benutzer während des Installationsprozesses angezeigt wird. Es gibt Programme, die Adware blockieren, sodass sie nicht angezeigt werden.
- Scareware ist eine Form von Malware, die mithilfe von Social Engineering einen Schock auslöst, um Benutzer zum Kauf unerwünschter Software zu verleiten. Bei Scareware wird z.B. einem Benutzer glaubhaft gemacht, ihr Computer sei mit einem Virus infiziert, und die dann vorschlägt, dass sie gefälschte Anti-Virensoftware herunterladen und dafür bezahlen, um sie zu entfernen. Normalerweise ist der Virus fiktiv und die Software nicht funktionsfähig oder selbst Malware.
- Ransomware verwendet eine Technik, die als kryptovirale Erpressung bezeichnet wird und bei der die Dateien des Opfers verschlüsselt werden, so dass auf sie nicht zugegriffen werden kann, und eine Lösegeldzahlung verlangt wird um sie zu entschlüsseln.
Ransomware unter der Lupe
Bei Ransomware handelt es sich um eine der problematischsten Malware der letzten Jahre. Locky, Crypto Locker, Wannacry und Emotet gehören zu den bekannten Ransomwares, die weltweit Millionen von PCs angegriffen haben.
Auch hinter der Ransomware verbirgt sich ein Geschäftsmodell, das immer noch funktioniert. Crypto Kits zur Erzeugung eines Ransomware-Angriffs können einfach im Darknet bestellt werden – der schlechten Seite des Internets. Die Qualität der Konfiguration und das Ergebnis eines solchen Kits ist sehr professionell.
Bei der Verschlüsselung wird eine Nachricht oder Information so verschlüsselt, dass nur autorisierte Personen darauf zugreifen können und nicht autorisierte Personen nicht. Normalerweise in Ordnung, aber im Falle von Encryption Ransomware können die autorisierten Personen nicht auf ihre Dateien zugreifen. Nur der Absender der Ransomware kann einen Schlüssel zum Entschlüsseln der Dateien bereitstellen.
Sowohl Ransomware als auch Viren können großen Schaden anrichten. Sehen Sie auf dem Diagramm, wie schnell die Ransomware wächst und welcher Schaden entsteht. Das Seltsame für uns als IBM i-Benutzer: Wir sind nicht geschützt, da die meisten von uns Freigaben auf dem integrierten IBM i-Dateisystem verwenden, die PCs zugeordnet sind. Ransomware verschlüsselt mehrere Geräte, wie Sie auf dem Bild sehen können. Also muss man sie alle schützen. Denken Sie daran, dass zugeordnete Laufwerke auch für IBM i IFS verwendet werden.
Ein Anti-Virenschutz gilt auf der ganzen Welt als Stand der Technik: Niemand empfiehlt, Internetdienste ohne einen ordnungsgemäßen und aktuellen Virenschutz zu nutzen. Benutzer bzw. Administratoren müssen auch die Betriebssysteme ihrer PCs und ihrer Server aktualisieren. Bei vielen Viren und Malware handelt es sich um bekannte Sicherheitslücken, die nicht durch Updates geschlossen werden. Wenn Sie in der Lage sind, eine Viren-Engine auf Ihrer Hardware-Firewall zu installieren, können Sie schädlichen Code filtern, bevor Sie an Ihrem PC ankommen.
Anti-Virus native für IBM i?
Warum braucht es eine Anti-Virenlösung für und auf IBM i? Es gibt IFS-Objekte, die nichts anderes als PC-Dateien sind. Diese Dateien können von Viren angegriffen werden, wenn freigegebene Verzeichnisse von IFS zu PCs Verwendung finden. Selbst wenn Anti-Virenprogramme auf den PCs zum Einsatz kommen, besteht immer noch ein geringes Risiko. Ein höheres Risiko tritt auf, wenn man von nativen Anwendungen auf die IFS-PC-Dateien oder -Anhänge zugreift. Beispielsweise tauschen viele Unternehmen Daten über FTP oder native Mailsysteme, in denen die Anhänge im integrierten Dateisystem gespeichert sind, direkt in IFS-Verzeichnisse aus. Es ist also grundsätzlich keine Frage, das IFS mit einer Anti-Virenlösung zu schützen.
IT-Verantwortliche könnten mit einem Windows-basierten Anti-Virenprogramm auf die Idee kommen, dem Root-Verzeichnis einen Laufwerksbuchstaben zuordnen und das IFS von dort aus zu durchsuchen. Allerdings wird dieser Scan quälend langsam über diese Verbindung sein. Eine native Anti-Virenlösung ist beim Scannen des IFS viel schneller.
Es gibt auch keine Möglichkeit, Dateien in Echtzeit mit einem Windows-basierten Anti-Virenprogramm zu scannen. Nur native Programme können neue Objekte in Echtzeit erkennen und scannen. Man kann sich also für eines der beiden derzeit verfügbaren native Anti-Virenprogramme entscheiden.
Anti-Ransomware native für IBM i?
Es müssen nahezu die gleichen Anforderungen zur Verhinderung von Ransomware wie gegen Virenangriffe gestellt werden. Außerdem werden die Bedrohungen hier häufig nicht von Anti-Virenprogrammen erkannt. Vor allem neue Ransomware-Varianten bringen neue Änderungen mit sich, die von den Antiviren-ISVs gelernt, entwickelt und verbreitet werden müssen. Es besteht also eine Lücke zwischen neuer Ransomware und der Erkennung durch Anti-Virenprogramme.
Daher ist es wichtig, Benutzer zu sensibilisieren, wenn E-Mails eingehen. Auch wenn sie von bekannten Lieferanten stammen, mit Stil und Logo perfekt gemacht wurden und Rechnungen beigefügt sind, sollten Benutzer sorgfältig prüfen, ob dies keine Fälschung ist. Insbesondere bei Links kann man sich vor dem Klicken mit der Maus eine Vorschau anzeigen. Dann sieht man das Ziel des Links und dies kann einem zeigen, dass dies keine E-Mail von Ihrem Partner ist. Aber – all diese Schutzmethoden haben uns bei neuen Ransomware-Angriffen nicht geholfen.
Das Bild 3 verdeutlicht, wie Ransomware in einer Umgebung mit IBM i funktioniert. Die Infektionsquelle sind in der Regel Benutzer, die schädliche E-Mail-Anhänge öffnen. Anschließend wird der Anhang gestartet. Fast immer fragt sich der Benutzer im Hintergrund, warum sein PC etwas langsam ist, während die Verschlüsselung beginnt, lokale Datenträger gefolgt von freigegebenen Laufwerken zu verschlüsseln. In diesem Fall ist IBM i IFS nichts anderes als ein freigegebenes Laufwerk.
Ransomware verschlüsselt Dateien. Im Grunde ist dies nichts anderes als eine Datei zu öffnen, zu bearbeiten und zu schreiben – mit einer anderen Erweiterung zurück, gefolgt vom Löschen der Originaldatei. Transaktionen, die aus einer regulären Anwendung oder von einem echten Benutzer stammen können. Bisher konnten Anti-Virus-Lösungen Ihr IFS nicht vor Encryption Ransomware schützen.
Raz-Lee verwendet das Anti-Ransomware-Modul von iSecurity Advanced Threat Protection, um verschiedene Umstände zu spezifizieren, die bei typischen Ransomware-Angriffen auftreten. Es gibt eine Liste bekannter Ransomware-Verschlüsselungs-Erweiterungen. Die Software misst die Anzahl der Vorkommen und verdächtigen Dateitransaktionen mit IFS-Dateien. Wird festgestellt, dass etwas nicht in die richtige Richtung geht, kommen alle Benachrichtigungsmethoden zum Einsatz, um die verantwortlichen Personen zu informieren. Zudem erfolgt ein Blockieren zukünftiger Aktivitäten von der oder allen IP-Adressen „gegen das IFS“. Mit dieser Methode ist Raz-Lee Security derzeit der einzige Anbieter, der Ransomware-Angriffe auf IBM i-Systeme erkennen und blockieren kann.
Robert Engel ist Geschäftsführer der Raz-Lee Security GmbH