Zukunft der Viren
Andreas Bluhm
Wie sieht es eigentlich mit der Zukunft der Viren aus? Werden die
Betriebssysteme nicht ueber kurz oder lang so konstruiert werden, dass
eine Infektion/Verbreitung von Viren unmoeglich ist?
Bis denn... - A.B -
Howard Fuhs
19 Dec 94 18:45, Andreas Bluhm wrote to Alle:
AB> Wie sieht es eigentlich mit der Zukunft der Viren aus?
Schlecht :-))
Aber im ernst. Ich glaube nicht das Computerviren unter anderen Betriebssystemen
in Zukunft noch eine grosse Chance haben. Die Gruende hierfuer sind meines
erachtens sehr unterschiedlich.
Es duerfte wohl unbestritten sein, das es die meisten Viren fuer DOS gibt.
Als ausschlaggebende Faktoren koennte man zwar nennen, das es sich hierbei um
das meistverbreitetste Betriebssystem ueberhaupt handelt aber oft wird ein
wesentlicher Faktor dabei uebersehen.
Es ist relativ einfach einen Virus fuer/unter DOS zu programmieren.
Selbst Leute mit fast keiner Ahnung sind in der Lage einen lauffaehigen Virus
irgendwie hinzubiegen. Und hierbei bekommen sie von DOS Unterstuetzung indem DOS
gewisse/einige/groessere usw.... Programmierfehler nicht anmeckert/dem
Programmierer vergibt/nicht weiter stoert usw.
Er kann also mit nur sehr mangelhaften Programmierfaehigkeiten einen vom Code
her zwar fehlerhaften aber trotzdem lauffaehigen Virus programmieren.
Und das gleiche gilt fuer Sourcecodes von Viren.
Auch hier kann man einen bestehenden Sourcecode so vermurksen das er von keinem
AV-Programm mehr gefunden wird, noch mehr Fehler enthaelt als die
Originalversion und trotzdem unter DOS noch irgendwie lauffaehig ist.
Auf meinem Schreibtisch liegen bei weitem mehr vom Code her fehlerhafte
(Schrott)Viren die aber trotzdem irgendwie laufen, als Viren an denen man sieht
das ein "Fachmann" am Werk war und relativ saubere Arbeit geleistet hat. Es kann
einen fast schon anoeden wenn man zu einem Kunden gerufen wird und dann doch nur
die 1001 unbekannte Variante von Jerusalem findet.
Schauen wir uns die Situation auf anderen Betriebssystemen an.
Apple System 7/7.5
Fuer Apple gibt es relativ wenige Viren verglichen mit der Situation unter DOS
(ca. 300, genaue Zahl muesste ich nachschauen).
Zugegeben, Apple hat in Deutschland nur einen Marktanteil von ca. 8% und
befindet sich weit weniger in den Haenden von Spinnern aber es ist auch
wesentlich sschwerer" unter diesem Betriebssystem zu programmieren.
Mit "schwerer" meine ich, das ein Fehler den DOS durchgehen laesst unter System
7 unweigerlich zu einer Fehlermeldung fuehrt. Man muss hier als
Virenprogrammierer einfach mehr Ahnung vom BS haben und wesentlich
gewissenhafter arbeiten.
OS/2
Als OS/2 in der Version 2.0 erschien hatten einige Leute bereits Angst es
koennte sich mit wachsender Akzeptanz im Markt die gleiche Virensituation
einstellen wie unter DOS. Man sagte mir damals (aus sehr berufenem und
beruehmten Munde) fuer Weihnachten 1993 bereits mindestens 300 Viren vorraus und
fuer Weihnachten 94 (morgen =:-)) ueber 1000. Zum Glueck habe ich diese Wette
angenommen. Sie bringt mir zu jedem Weihnachten eine Kiste Champagner ein. Ich
habe bereits kurz vor Weihnachten 92 argumentiert, das es wesentlich schwerer
ist unter so komplexen Betriebssystem einen Virus zu programmieren wobei es bei
OS/2 sogar noch etwas schwerer ist da es sich hier um ein
Multitasking-Betriebssystem handelt.
Allein durch das erschweren der Programmierung von Viren durch immer komplexer
werdende Betriebssystem scheiden die ganzen minderbemittelten Virenprogrammierer
von selbst aus.
Ich habe bis heute von 3 Viren fuer OS/2 Kenntnis. Ein Forschungsvirus
(Companion) der nicht "in the wild" ist, ein Virus den ich bisher nicht zum
laufen bekam (??) und ein Sourcecode aus einem Untergrundmagazin den ich mir bis
heute noch nicht ansehen konnte (den Sourcecode habe ich, ich habe nur keine
Zeit). Ich habe allerdings von anderen gehoert dieser Virus sei auch nicht die
wahre Waffe (ich weiss, hoerensagen gilt nicht).
Windows
Ich glaube ich darf hier behaupten das Windows fast so weit verbreitet ist wie
DOS. Ich weiss ebenfalls, das Windows kein Betriebssystem ist. Es bietet aber
trotzdem Moeglichkeiten Computerviren zu programmieren die unter Windows laufen.
Trotzdem sind Windows-Viren eine Seltenheit.
Warum? Weil bei jedem kleinen Fehler Windows irgendwelche Mucken macht (die
beruehmtberuechtigte "Schutzverletzung") oder einfach abstuerzt.
Es ist deshalb kein Wunder, das Windows einer der besten Virenscanner ist. Wenn
Windows von einem schlecht programmierten Virus infiziert ist stuerzt es einfach
ab oder laesst sich nicht mehr starten.
Die Zahl der lauffaehigen Windowsviren ist ebenfalls sehr gering. Ich glaube es
sind keine 10 Viren.
AB> Werden die
AB> Betriebssysteme nicht ueber kurz oder lang so konstruiert werden, dass
AB> eine Infektion/Verbreitung von Viren unmoeglich ist?
Also diese rosarote Brille muss ich Dir leider zerstoeren, denn....
1) Ich selbst glaube nicht das es technisch moeglich ist ein Betriebssystem
absolut(!!) virensicher zu machen. Es wird immer irgendwo noch eine kleine
Luecke geben (wie auch immer die aussieht).
2) Sollte ich mich unter #1 irren dann wuerde ich hier zumindest noch behaupten
das dieses Ziel nur unter unvernuenftig hohem Programmieraufwand zu erreichen
waere und wahrscheinlich auch zu starke Einschraenkungen fuer die User mit sich
bringen wuerde.
3) bin ich davon ueberzeugt, das kein BS-Hersteller sich der Muehe unterziehen
wird, diesen hohen Forschungs/Programmieraufwand zu treiben, da aus meiner
Erfahrung heraus kein Anwender bereit ist dafuer einen entsprechend hoeheren
Produktpreis zu zahlen. Bei der Anschaffung von Software in Unternehmen sind
Datensicherheitsprogramme immer auf den hinteren Raengen zu finden und ich
persoenlich kenne keinen Privatanwender der lizensierte AV-Shareware verwendet.
100 DM fuer das neueste Spiel auf CD-ROM sind immer da, aber Geld fuer
Sicherheit will keiner ausgeben.
Um eines hier klar zu stellen: Ich behaupte nicht, das es unter moderneren
Betriebssystemen keine Viren mehr geben wird. Ich gehe aber davon aus (und meine
bisherige Erfahrung gibt mir dabei recht) das es weitaus weniger Viren geben
wird. Es duerfte sich wohl in der Groessenordnung von 10 - 20 pro Jahr
einpendeln und nicht wie unter DOS bei einigen 100 - 1000 Viren.
Sollte ich in diesem Posting einige Dinge uebersimplifiziert haben dann bitte
ich um Entschuldigung aber es sollte ein Posting werden und kein Buch.
With best regards from Germany
Howard
CompuServe: 100120,503 - FAX: +49 611 603789 - ISBN 3-528-05319-4
Rainer Eschen
AB>> Wie sieht es eigentlich mit der Zukunft der Viren aus?
Man kann davon ausgehen, dass es sie immer geben wird,
* da bereits Techniken existieren, die bei jedem Betriebssystem (BS)
eingesetzt werden koennen (z.B. Companion Virus).
* da es immer Spinner geben wird, die sich diese Technik zu nutze machen
werden.
* da es BS-Hersteller gibt, die Sicherheit nicht auf ihre Fahnen schreiben.
Groesstes Problem sind die Hersteller, die heutige Systeme nicht sicher
machen wollen oder auch nicht mehr koennen, ohne die Kompatibilitaet oder
auch Einsatzfaehigkeit zu gefaehrden. Wer sich UNIX anschaut, der weiss wovon
ich rede. Alle Versuche ein sicheres UNIX zu bauen scheitern an der Offenheit
des Systems, die dann naemlich nur noch auf dem Papier existiert. Zudem
muesste der Kernel aufgebort werden, wodurch aber das Design von Grund auf
neu entwickelt werden muesste.
> Es ist relativ einfach einen Virus fuer/unter DOS zu programmieren.
Dieses ist sicher ein Grund fuer die hohe Anzahl von Viren, aber nicht der
Hauptgrund fuer das Auftreten von Viren unter DOS. Es fehlt an
Zugangskontrolle (Benutzername), Authentisierung (Passwort) und
Zugriffskontrolle (schreib-, lese-, ausfuehr-Rechte). Wenn jeder im System
alles machen kann, dann gibt es keinen Schutz und damit ist auch alles
machbar und denkbar.
> Er kann also mit nur sehr mangelhaften Programmierfaehigkeiten einen vom
> Code her zwar fehlerhaften aber trotzdem lauffaehigen Virus programmieren.
> Und das gleiche gilt fuer Sourcecodes von Viren.
Fehlerhaft ist sehr relativ. Fuer mich ist fehlerhaft eine Fehlfunktion, die
zur Stoerung des Systems fuehrt. Die schwere der Stoerung entscheidet, ob
hier noch von lauffaehig gesprochen werden kann oder nicht. Diese Theorie der
Fehlertoleranz von DOS wuerde ich nicht ganz so als Grund fuer die hohe
Anzahl von Viren sehen. Vielmehr ist der Zugang zu Sourcen dafuer
verantwortlich, dass soviele Varianten entstanden sind. Das Patchen von BIN-
Code vernachlaessige ich hier mal.
>
> Auch hier kann man einen bestehenden Sourcecode so vermurksen das er von
> keinem AV-Programm mehr gefunden wird, noch mehr Fehler enthaelt als die
> Originalversion und trotzdem unter DOS noch irgendwie lauffaehig ist.
Naja, stimmt sicher nur noch bedingt, seitdem der Code getraced werden kann.
Es geht schon mehr weg von der Signaturerkennung hin zur Funktionsanalyse.
>
> wesentlich schwerer ist unter so komplexen Betriebssystem einen Virus zu
> programmieren wobei es bei OS/2 sogar noch etwas schwerer ist da es sich
> hier um ein Multitasking-Betriebssystem handelt.
Multitasking bedeutet nicht gleich mehr Komplexitaet! Solange ich mich an die
API halte, geht das genauso leicht wie unter DOS. Schwieriger wird es erst,
wenn an den Standards vorbeioperiert wird.
>
> Allein durch das erschweren der Programmierung von Viren durch immer
> komplexer werdende Betriebssystem scheiden die ganzen minderbemittelten
> Virenprogrammierer von selbst aus.
Das ohne Zweifel. Aber die zaehle ich sowieso nicht zu den "Viren". Das ist
nur der Auswuchs der Dummheit.
>
> Ich habe bis heute von 3 Viren fuer OS/2 Kenntnis. Ein Forschungsvirus
> (Companion) der nicht "in the wild" ist, ein Virus den ich bisher nicht zum
Man muss dazu sagen, dass OS/2 usw. noch nicht solange zur Verfuegung stehen,
wie DOS (seit 1986 Viren!). Da fehlt natuerlich das KnowHow, was aber nicht
heisst, dass deren verstaerkter Einsatz nicht doch noch eine Flut von Viren
ausloesen koennte, sobald einige Gruppen sich darauf spezialisieren. Alles
was auf PCs laeuft (mal abgesehen von sauber installierten UNIX,-NT) ist
loechrig. Hinzukommt, dass Einzelplatzsyteme (also PCs) anders eingesetzt
werden, als Netzwerkstationen. Somit ist auch organisatorisch keine
Gewaehrleistung fuer Schutz gegeben. Man spielt halt mal eben ein Spiel
drauf, weil's geht oder sowieso nicht so schlimm ist, wenn das System
verseucht wird.
>
> Warum? Weil bei jedem kleinen Fehler Windows irgendwelche Mucken macht (die
> beruehmtberuechtigte "Schutzverletzung") oder einfach abstuerzt.
Wie gesagt, ich sehe noch keine motivierten Spezialisten, die's drauf
anlegen, das System zu hacken, that's the thing!
>
AB>> Werden die
AB>> Betriebssysteme nicht ueber kurz oder lang so konstruiert werden, dass
AB>> eine Infektion/Verbreitung von Viren unmoeglich ist?
Problem ist der Markt. Er will gar kein sicheres System, weil er die Gefahr
gar nicht wahrnimmt. Vorfaelle wie der Internet-Wurm mussten auftreten, um
ueberhaupt eine Entwicklung und Nachdenken anzustossen. Rausgekommen ist
dabei leider mehr Theorie als Praxis. Im Internet existiert heute das Wissen
zum Schutz von vernetzten Systemen, aber die BS-Hersteller ziehen kaum nach.
SunOs soll jetzt eine Firewall drin haben, liesst man.
Brunnstein (jaja nicht alle moegen ihn), hat schon vor Jahren gesagt, dass
nur ein von grund auf neu designtes BS einen wirklichen Schutz bieten kann.
Alle Versuche einen Schutzring um bestehende BSs zu legen muessen scheitern.
Leider breiten sich immer mehr die falschen BS aus!
> 1) Ich selbst glaube nicht das es technisch moeglich ist ein Betriebssystem
> absolut(!!) virensicher zu machen. Es wird immer irgendwo noch eine kleine
> Luecke geben (wie auch immer die aussieht).
Ja kann man so sehen, vor allem weil jede Technik durch andere angegriffen
werden kann (ist sicher auch eine Geldmittelfrage, aber theoretisch korrekt).
Organisatorische Massnahmen in Ergaenzung zu einer moeglichst sicher
gestalteten Technik koennen das Problem allerdings loesen.
>
> 2) Sollte ich mich unter #1 irren dann wuerde ich hier zumindest noch
> behaupten das dieses Ziel nur unter unvernuenftig hohem Programmieraufwand
> zu erreichen waere und wahrscheinlich auch zu starke Einschraenkungen fuer
> die User mit sich bringen wuerde.
Das ist die Frage. Der Aufwand haengt von der Guete des Designs ab.
Theoretische Modelle existieren bereits, es gilt diese umzusetzen.
Einschraenkungen ist relativ. Es kommt immer auf den Einsatzort und den Wert
der zu schuetzenden Daten an. Natuerlich ist das ganze eine Sache der
Prioritaet des Systemschutzes.
>
> 3) bin ich davon ueberzeugt, das kein BS-Hersteller sich der Muehe
> unterziehen wird, diesen hohen Forschungs/Programmieraufwand zu treiben, da
> aus meiner Erfahrung heraus kein Anwender bereit ist dafuer einen
> entsprechend hoeheren Produktpreis zu zahlen. Bei der Anschaffung von
Ich denke mal, der Marktdruck wird diese Innovation schon erzwingen. SunOS
zeigt dieses bereits. Seit Jahren wird im INTERNET von Firewalls geredet,
jetzt werden sie standardmaessig mitgeliefert. DOS und MSAV ist ja auch ein
Beispiel dafuer (wenn auch ein schlechtes :-) ).
>
> Um eines hier klar zu stellen: Ich behaupte nicht, das es unter moderneren
> Betriebssystemen keine Viren mehr geben wird. Ich gehe aber davon aus (und
> meine bisherige Erfahrung gibt mir dabei recht) das es weitaus weniger Viren
> geben wird. Es duerfte sich wohl in der Groessenordnung von 10 - 20 pro Jahr
> einpendeln und nicht wie unter DOS bei einigen 100 - 1000 Viren.
Das denke ich auch, wobei bei dieser Einschaetzung davon ausgegangen werden
muss, dass diese Viren dann zu den Tops gehoeren. Es wird sicher auch noch
einige mehr geben, die als Script oder in anderer Hochsprache definiert
werden. Weil die neueren Systeme solche Sparachmittel fuer Normalanwender
mitliefern. (Na, wann kommt wohl der erste Virus in WORD-Basic/VB :-) )
Gruss Rainer *Europaeische Shareware Autoren Organisation* (OASE)
Howard Fuhs
25 Dec 94 14:03, Stefan Kurtzhals wrote to Howard Fuhs:
SK> Hallo Howard !
AB>>> Wie sieht es eigentlich mit der Zukunft der Viren aus?
HF>> Es ist relativ einfach einen Virus fuer/unter DOS zu programmieren.
SK> Ein weiterer Faktor ist die sehr ausfuehrliche Dokumentation von
SK> DOS-Internas ! Man denke nur an die Intlist von Ralf Brown oder PC-Intern.
SK> Mit diesen beiden Quellen und ein bisschen Programmierkunst sowie
SK> Bastelfreudigkeit hat man ruckzuck einen "Virus" zusammengefrickelt.
Nu gut. Aber diese Infos kannst Du fuer OS/2 auch von IBM direkt bekommen und in
den USA sind entsprechende Buecher mittlerweile erhaeltlich. Ich muesste mal
nachschauen, ich muesste hier noch irgendwo den kopletten Support Pack fuer
Programmierer fuer OS/2 2.11 haben. Alleine fuer die Buecher brauchst Du einen
Gabelstabler ;-)
Also die benoetigten Infos sind zu haben.
HF>> OS/2
HF>> Allein durch das erschweren der Programmierung von Viren durch immer
HF>> komplexer werdende Betriebssystem scheiden die ganzen
HF>> minderbemittelten Virenprogrammierer von selbst aus.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
SK> Ich stimme dir nicht ganz zu. Es werden bald auch 50-100 oder mehr Viren
SK> fuer OS/2 geben, wenn erstmal die entsprechende Verbreitung von OS/2
SK> gegeben und entsprechende Dokumentation erhaeltlich ist.
Dokumentation ist da, s.o.
SK> Momentan gibt es kaum Dokumentation zu OS/2 internen Strukturen usw.
SK> Aber sobald es einen Intlist-OS/2 gibt werden auch verstaerkt Viren
SK> fuer OS/2 erscheinen.
S.o.
SK> Und eigentlich ist OS/2 gar nicht mal so schlecht fuer Viren:
SK> Die Viren muessen sauber programmiert werden;
Und genau das ist mein Ansatzpunkt. Der ueberwiegende Grossteil der
Virenprogrammierer kann doch nur in den Underground Magazines angeben wie gut
und wie toll sie sind. Von ganz wenigen Ausnahmen einmal abgesehen waere es eine
Beleidigung fuer jeden durchschnittlichen Programmierer die Virenprogrammierer
"durchschnittlich" zu titulieren. Nimm doch mal die, wie ich geschrieben habe,
"minderbemittelten" Virenprogrammierer aus der Szene raus. Da bleibt doch nur
noch eine Hand voll Virenprogrammierer uebrig.
Und die Ausnahmen werden dann auch Viren unter OS/2 schreiben.
SK> d.h. sie sind kompatibler
SK> und fallen dem User weniger auf.
Dem User fallen ja unter DOS die Viren schon nicht auf. Es sei denn der Virus
meldet sich oder ein AV-Programm wird benutzt.
SK> Das Betriebssystem wird riesengross
SK> und sehr komplex. Koenntest du mir sagen, wenn sich ein Virus als eine
SK> Task im OS/2 einnistet und so nicht sichtbar ist ?
SK> Unter DOS gaebe es dann MEM.EXE oder sonstige Tools, aber die Resourcen
Na wie man die MEM.EXE cheaten kann als Virus ist doch wohl auch bekannt.
SK> von OS/2 sind viel schlechter zu kontrollieren.
Aber nur weil es im Moment noch an den Tools etwas hapert. Daran wird allerdings
bereits mit Hochdruck gearbeitet.
SK> Es ist ja schoen und gut, das das Kernel im Speicher dank Protected Mode
SK> nicht mehr manipuliert werden kann, aber was haelt ein Virus davon ab
SK> die Kerneldateien auf der Festplatte zu modifizieren und dann beim
SK> naechsten Systemstart dank des Systemschutzes HINTER der "Wand" zu stehen
?
SK> Das waere echt AETZEND, wenn es moeglich waere unter OS/2 Viren zu
SK> schreiben, die dank PM nicht mehr im Speicher deaktivierbar sind.
Gut, das waere ein technisches Argument warum ein sauber programmierter Virus
unter OS/2 besonders hartnaeckig sein kann. Das aendert aber nichts an der
Tatsache das erst mal die entsprechenden Programmierer so einen Virus
programmieren muessen.
SK> Und Bootdisketten fuer OS/2 ? Mhmmm...
Sorry, wo ist das Problem? In den USA habe ich bereits eine CD-ROM gesehen die
solche Faehigkeiten aufweisen wird. Es koennte durchaus sein das in den
naechsten zwei Jahren (wer weiss das schon so genau ;-)) bootfaehige CD-ROM
Laufwerke vorhanden sein werden. Daran gearbeitet wird bereits mit Hinblick auf
die immer groesser werdenden Betriebssystem (wie immer sie auch heissen moegen,
kleiner werden sie bestimmt nicht).
SK> Nein, ist OS/2 dank V*BI$ und E$C0M (und sonstiger Haendler) erstmal
SK> richtig im Umlauf gebracht wird es auch eine Menge Viren fuer OS/2 geben.
SK> Dann faengt das Spiel wieder von vorne an. :(
Ich bestreite nicht, das es keine Viren geben wird, sehrwohl stelle ich die
Behauptung auf es werden Zustaende herrschen wie auf Apple Mcintosh Computern.
Bei weitem nicht so viele Viren pro Jahr/insgesamt wie z.Zt. unter DOS!
Remigius Michalik
SK> Das waere echt AETZEND, wenn es moeglich waere unter OS/2
SK> Viren zu schreiben, die dank PM nicht mehr im Speicher deaktivierbar
SK> sind.
Es waere der wahre HORROR ! 8-(
Kein PM-Debugger wuerde mehr was nuetzen.
SK> Dann faengt das Spiel wieder von vorne an. :(
Ich bin davon ueberzeugt, dass es so kommen wird. Je komlexer ein
System desto mehr 'Lebensformen' erscheinen. OS/2 wird noch mehr
Bugs, Luecken usw. haben als DOS es je gehabt hatte. Sollte es
breite Streuung erreichen, dann werden auch die Viren aufkommen.
ComputerViren sind der Preis fuer das Prinzip eines offenen System,
das den PC auszeichnet, und dem er seinen globalen SiegesZug vom
Buero- zum SpieleComputer verdankt.
Ob DOS oder WIN oder OS/2, sollte es das ZUNUNFTSSYSTEM werden, so
kommt es nicht umhin diesen Preis zu bezahlen.
CU,
Remigius Michalik.
... CiTy-of-DReiEiCH 20km-SoUtH-FFM GERMANY
Martin Steinherr
RE> mitliefern. (Na, wann kommt wohl der erste Virus in WORD-Basic/VB :-)
was heisst hier WANN?!?!?
DEN gibt es schon laenger. Okay, noch kein VIRUS, aber zumindestens ein
Trojaner, weil mit den Makros kann ich einem Text Makros zuordnen, die ablaufen,
BEVOR der Text geladen ist/wird.
Dummerweise ist bis heute einer unserer Progis, der sich damit beschaeftigt, bis
heute im Urlaub. Aber wenn ich ein Startmakro automatisch einem anderen
Word-Dokument zuordnen kann, dann ist der Virus perfekt (bzw. er ist da, ueber
die Perfektion koennen wir streiten....)
Grob wird's, wenn er einen gepackten Virus (z.B. in ARJ, vielleicht noch mit
Passwort) auspackt, dann hab ich in meinem Makro noch nicht einmal was, wonach
ich suchen kann. Allerdings benoetige ich dann ZWEI Teile...
Schwere Zeiten brechen auf uns ein :-) und :-(
U 2 kan kall mih Mahtn ... ??? ... :-))