(http://static.gulli.com/media/2012/01/thumbs/370/500px-Symantec-2010-logo.jpg)
Symantec (Logo)
Eine mutmaßlich indische Gruppe von Hacktivisten, die "Lords of Dharmaraja", prahlt derzeit mit der Tatsache, dass sie den Code einiger Sicherheitslösungen des Unternehmens Symantec in ihrem Besitz hat. Symantec revidierte nun seine Aussagen, wie es zum unautorisierten Kopieren des Codes durch die Hacktivisten kommen konnte.
Die "Lords of Dharmaraja" erbeuteten nach Angaben von Symantec-Sprecher Cris Paden den Quellcode von älteren Versionen der Symantec-Produkte Norton Antivirus Corporate Edition, Norton Internet Security, Norton Utilities, Norton GoBack und pcAnywhere. Sie hatten zunächst nur kurze Ausschnitte des erbeuteten Quellcodes veröffentlicht. Später hatten sie den kompletten Code der Software "Norton Utilities" ins Netz gestellt, um bei einem laufenden Prozess gegen Symantec wegen angeblich fragwürdiger Werbe-Taktiken dem Kläger Schützenhilfe zu leisten (gulli:News berichtete). Die Hacktivisten hatten zunächst auch angekündigt, den Rest des Codes öffentlich zu machen. Am gestrigen Dienstag gaben sie jedoch bekannt, auf eine Veröffentlichung vorerst verzichten zu wollen und stattdessen lieber die Sicherheitslücken der Software für Angriffe auszunutzen (gulli:News berichtete).
Symantec revidierte nun seine Aussage darüber, wie es dazu kommen konnte, dass die "Lords of Dharmaraja" den Quellcode auslesen konnten. Zunächst hatte das Unternehmen erklärt, der Quellcode sei nicht aus dem Symantec-Netzwerk, sondern von den Servern einer dritten Partei kopiert worden. Diese Aussage revidierte ein Firmensprecher jedoch am gestrigen Dienstag, nachdem eine interne Untersuchung zu dem Ergebnis gekommen war, dass es eine Kompromittierung der Symantec-Infrastruktur gab. Der Einbruch, der sich durch Analyse alter Logdateien herausstellte, fand allem Anschein nach bereits 2006 statt. Es ist unklar, wieso der Fall nun, sechs Jahre später, an die Öffentlichkeit gerät. Ebenso ist bislang nicht bekannt, wie es 2006 zu dem Einbruch in Symantecs Netzwerk kommen konnte.
Paden erklärte, für Nutzer aktueller Symantec-Software bedeute der Angriff kein Sicherheitsrisiko. Lediglich Nutzer von pcAnywhere, das den Remote-Zugriff auf Computer erlaubt, müssten mit einem "leicht erhöhten Sicherheits-Risiko" rechnen, an dessen Minimierung das Unternehmen derzeit arbeite.
Andere Experten sind sich diesbezüglich allerdings nicht so sicher. So gab Laura DiDio, die für das Unternehmen ITIC als Analystin arbeitet und Unternehmen dabei hilft, Sicherheitssoftware zu evaluieren, zu bedenken, dass der Quellcode von Angreifern dazu genutzt werden könnte, herauszufinden, wie sich bestimmte Schutzmechanismen der Norton-Software umgehen lassen. Symantec versuche, das Risiko herunterzuspielen, sagte DiDio. Sie gehe aber davon aus, dass Teile des Quellcodes heute noch relevant seien. Somit bestehe das Risiko, dass Angreifer durch bessere Kenntnis der Software einen Vorteil erlangen.
Quelle: www.gulli.com
(http://www.heise.de/imgs/18/7/6/4/5/3/4/dd8ca7e33123f3ec.png)
Obwohl Symantec Ende vergangener Woche vor 13 Android-Apps gewarnt hat, die mit einer bot-ähnlichen Malware infiziert seien, werden die Nutzer des hauseigenen Virenscanners Norton Mobile Security nach wie vor nicht vor der vermeintlichen Bedrohung geschützt.
Wir haben drei der aus Sicht von Symantec mit einem Trojaner infizierten Apps auf einem Testgerät installiert und anschließend einen Virenscan mit der Norton-App durchgeführt. Der Scan endete ohne Treffer: "Herzlichen Glückwunsch! Keine Malware oder Spyware gefunden.". Dies verwundert insbesondere in Anbetracht der Tatsache, dass Symantec die Apps in seinem Blog-Beitrag als bösartige Malware beschreibt, welche mit 1 bis 5 Millionen Infektionen der verbreitetste aller in diesem Jahr entdeckten Schädlinge sei – wohl bemerkt auf allen Plattformen.
Laut Symantec sind die Apps mit einem Schädling infiziert, der persönliche Informationen stiehlt und auf weitere Instruktionen wartet. Der "Trojaner" wurde kurzerhand auf den Namen Android.Counterclank getauft. Kurz darauf hagelte es Kritik vom Konkurrenten Lookout, der eine detaillierte Analyse der App veröffentlicht hat. Nach Ansicht von Lookout handele es sich bei den Apps um Adware. Dass normale Anwender die Adware-Aktivitäten nicht auf ihren Smartphones haben möchten, rechtfertigt nach Meinung von Lookout noch nicht die Einschätzung als Schadprogramm.
(http://www.heise.de/imgs/18/7/6/4/5/3/4/5178ef961131356f.png)
Auf unsere Beobachtungen angesprochen versuchte der Symantec-Sprecher die ursprüngliche Aussage zu relativieren: "Wir haben uns entschieden keine Erkennung für die genannten Apps über Norton Mobile Security durchzuführen, da es sich hier um eine typische Grauzone handelt. Wir sind zwar nach wie vor der Meinung, dass User diese Art von Funktionalität nicht ohne Ihr Wissen auf dem Handy haben wollen, aber da es sich auch nicht um einen typischen Schadcode handelt, werden wir diese Apps vorerst nicht entfernen".
Er fügte hinzu, dass Symantec jedoch bereits an einer Möglichkeit arbeite, die Nutzer in Zukunft über derartige Funde informieren zu können. Der Nutzer soll dann selbst entscheiden können, ob er die App behalten will. Bei den klassischen Virenscannern für PCs ist das längst gang und gäbe: Die Antivirenhersteller haben sich hier auf die Kategorie "Potentiell unerwünschte Software" geeinigt, die man vom Virenscan ausschließen kann.
Auf die Virenwarnung von Symantec antwortete Google, dass die Adware nicht gegen die Bedingungen des Android Market verstoße. Einige der von Symantec kritisierten Apps weisen in den Programmbeschreibungen sogar ausdrücklich auf die Werbemaßnahmen hin. Bislang wurden nur jede Apps aus dem Market entfernt, die sich die Namen bekannter Spiele wie Counterstrike zu eigen machten und damit die Markenrechte der Spiele-Publisher verletzten.
Quelle : www.heise.de