Category: IT-Sicherheit

Zero Day Exploit – Hintergrund

Wenn in einer Anwendung oder einem Betriebssystem eine neue Sicherheitslücke entdeckt und veröffentlicht wird, beginnt ein Wettlauf zwischen dem Hacker, der die Sicherheitslücke zu seinen Gunsten ausnutzen möchte, und dem Anwendungsentwickler, der seine Kunden vor den Angreifern schützen möchte. Je schneller der Hacker über ein funktionierendes Codefragment zur Ausnutzung dieser Sicherheitslücke verfügt, desto mehr Nutzer der betroffenen Anwendung kann er schädigen, bevor ein Sicherheitsupdate diese Lücke schließt. Der Zeitraum nach der Veröffentlichung einer Sicherheitslücke bis zum Auftreten erster Angriffe, die diese Sicherheitslücke ausnutzen variiert. Oft sind entsprechende Softwarebausteine aber schon innerhalb eines Tages nach Bekanntwerden einer Sicherheitslücke verfügbar. In diesem Fall spricht man von Zero Day Exploits. Aufgrund der zeitlichen Relevanz, Sicherheitsdienstleister, wie z.B. die Hersteller von Antivirensoftware, reagieren natürlich auch auch die Veröffentlichung von Sicherheitslücken und versuchen ihre Kunden zu schützen, hat der Entwicklungsdruck bei den Hackern, kriminell organisierten Gruppierungen, ebenfalls zugenommen. Durch die Nutzung entsprechend vorkonfigurierter Softwarewerkzeuge und Entwicklungsframeworks und Methoden der professionelen Softwareentwicklung wird die „komerzielle“ Ausnutzung einer Sicherheitslücke dramatisch beschleunigt. Daher hat die Zahl der Zero Day Exploits stark zugenommen und wird auch für die nähere Zukunft nicht abnehmen.

Für den (sicherheitsbewußten) Anwender gilt es, Sicherheitsupdates für von ihm genutzte Programme schnellstmöglich zu installieren und keineswegs auf die lange Bank zu schieben. Des gleichen ist von einer Sicherheitslücke betroffenen Anwendern zu empfehlen, mögliche Work-Arounds zum Blockieren der Sicherheitslücke (z.B. die Deaktivierung bestimmter Funktionalitäten, setzen bestimmter Registry Keys etc.) in Erwägung zu ziehen. Des Weiteren ist oft für den Zeitraum bis zum Schließen einer Sicherheitslücke, der Verzicht auf bestimmte Funktionalitäten machbar. Ist z.B. im PDF-Viewer eine Sicherheitslücke bekannt geworden, ist es möglicherweise eine gute Idee keine PDF-Dokumente aus nicht absolut vertrauenswürdigen Quellen damit zu öffnen…

Schließlich bieten auch gängige Virenscanner (F-Secure Anti-Virus , AntiVir , Norton Internet Security, Norton Internet Security ) einen gewissen Schutz gegen Exploits, da sie schneller als dies durch die Entwickler der betroffenen Software im Produkt umsetzbar wäre, durch Herausfiltern verdächtiger Elemente aus Downloads, Emails, neu auf den Rechner gebrachten Dateien, den Anwender schützen können.

Wie Hacken funktioniert – Exploit

Weder Betriebssysteme noch Anwendungen sind aus sicherheitstechnischer Sicht perfekt – dafür ist die Sache einfach zu komplex. Funktionsvielfalt, Zeitdruck bei der Fertigstellung, Inkompetenz der Entwickler etc. potenzieren die Fehlerhäufigkeit. Für den geneigten Hacker sind Fehler in Anwendungen die Eintrittskarte zur Übernahme des Rechners. Gelingt es, einen Fehler im Programm so auszunutzen, dass damit das Programm dazu motiviert werden kann, Programmcode vom Hacker auszuführen, sind die Tore sperrangelweit offen. Jetzt muss der Hacker nur noch „hoffen“, dass der Benutzer, in dessen Berechtigungskontext die fehlerbehaftete Anwendung arbeitet, hinreichende Rechte für die Installation von Software des Hackers hat, mit der dieser den Rechner dann kontrollieren kann. Ist diese Installation erfolgreich, hat der Hacker den Rechner übernommen, unter seine Kontrolle gebracht.

Bei gängigen Betriebssystemen und häufig genutzten Anwendungen sind viele der „einfach“ zu findenden Fehler mittlerweile beseitigt bzw. durch Aktualisierungen (Updates) gestopft. Eine Vielzahl von Sicherheitslücken bleibt jedoch (vorerst) unentdeckt oder kann nicht instantan gestopft werden. Hier setzt die „Arbeit“ des Hackers auf. Mit Sachkenntnis und Erfahrung sowie den geeigneten Werkzeugen gerüstet füttert er die anvisierten Anwendungen mit Daten für deren Verarbeitung diese nur bedingt gedacht sind und versucht sie so zur Ausführung von Programmcode zu bewegen, der ihm Zugang zum System verschaft. Findet er eine solche Möglichkeit, dann hat er eine Sicherheitslücke im Programm identifiziert.

In einem zweiten Schritt, wird er versuchen die Ausnutzung der Sicherheitslücke zum Einbringen von eigenem Code auszutesten und einen Prototypen, einen Proof of Concept zu programmieren, der auch auf anderen Rechnern mit der gleichen Anwendung verifiziert werden kann. Sind diese Tests erfolgreich, spricht man bereits von einem Exploit.

In einem abschließenden Schritt wird der Exploit so modifiziert, dass er die vom Hacker intendierte Schadroutine, z.B. die Installation eines Trojaners, bei Aufruf ausführt und über einen geeigneten Weg an mögliche Opfer verteilt werden kann.

Schutzmaßnahmen

Bei derartigen Szenarien stellt sich natürlich immer auch die Frage, wie kann ich mich dagegen schützen. Von einem auf Sicherheitslücken in der Softwar aufbauenden Angriff ist potentiell jeder betroffen. Schutz dagegen gibt es nicht wirklich :-( , aber die Wahrscheinlichkeit für einen solchen Angriff läßt sich verkleinern, wenn man:

  1. schnellstmöglich alle verfügbaren (Sicherheits-)updates für Betriebssystem und Anwendungen installiert!!!
  2. zum Arbeiten, insbesondere zum Surfen im Internet, einen Benutzeraccount verwendet, der sehr eingeschränkte Rechte auf dem Rechner hat – in keinem Fall als Administrator :-)
  3. einen “Virenscanner” (F-Secure Anti-Virus , AntiVir , Norton Internet Security, Norton Internet Security ) mit regelmäßig aktualisierten Virendefinitionen den gesamten Datenverkehr von und zum Internet prüfen läßt.
  4. nur die Anwendungen installiert, die man wirklich benötigt und aktuell halten kann
  5. beim Surfen den Browser so konfiguriert, dass dieser möglichst wenig Freiheiten bei dem Download, der Ausführung und Anzeige von heruntergeladenen Programmen hat
  6. Vorsicht bei Emails mit eingebetteten und angehängten Dateien walten läßt

Erweitertes Businessmodell für Cyberkriminelle

Das nicht mehr wie in den frühen, glorifizierten Zeiten der Ruhm des Hackers im Vordergrund steht, sondern harte Dollar-Währung, dürfte mittlerweile auch bei dem letzen Computer-Besitzer angekommen sein. Wie schon in den Postings über den Wert eines gehackten PCs für den Hacker auf dieser Seite erwähnt, steht nicht allein die “Datenernte” (FTP-Accounts, Mail-Accounts, Kreditkartennummern, etc.) im Zentrum des Interesses. Gerade die Kontrolle über den gehackten PC, die Möglichkeit dort Software zu installieren und ihn fernzusteuern, wird mehr und mehr zum Businessmodell für Hacker. Zentral für dieses Geschäftsmodell sind “elektronische Handelsplattformenen”, auf denen gehackte PCs, bzw. der Zugang dazu, verkauft und geordert werden können.

Das Neue an dem Handel mit gehackten Rechnern, wie es am Beispiel des Golden Cash Network & Botnets durch den IT-Dienstleister Finjan in dem lesenwerten Cybercrime Intelligence Report beleuchtet wird, ist die Beobachtung, dass gehackte Rechner auf der Handelsplattform nicht als One Time Asset gesehen werden, sondern mehrfach verkauft werden und von jedem neuen “Käufer” erneut mit einer eigenen Schadsoftware ausgestattet werden können – oft mit dem Ziel weitere Rechner zu infizieren, um diese an andere Cyberkriminelle weiterzuverkaufen, die einen “anderen” Nutzungszweck für die Maschinen haben.

Das Businessmodell in in Stichpunkten:

  1. Opfer besucht eine kompromittierte Website
  2. Ãœber ein IFrame wird Schadsoftware von einem Server Angriffswerkzeugen nachgeladen
  3. Ist mit diesen Angriffswerkzeugen die Übernahme des Rechners des Opfers möglich, wird ein spezieller Trojaner von dem Golden Cash Server installiert
  4. Nach der Installation meldet sich der Trojaner am Golden Cash Server an und wird von diesem in den Pool der vom Golden Cash Server kontrollierten Maschinen übernommen.
  5. Dem Golden Cash Konto des Hacker, der die Infektion über den IFrame und den Schadcode ermöglicht hat, wird ein Betrag x gutgeschrieben, wobei der Betrag von dem Ort abhängt, an dem der gehackte Rechner steht…
  6. Der Golden Cash Server weist den Trojaner an auf dem Rechner des Opfers nach FTP-Zugangsdaten zu suchen.
  7. Der infizierte Rechner des Opfers wird über eine spezielle Website anderen (Cyber-)Kriminellen angeboten, wobei der Preis davon abhängt, wo dieser Rechner steht
  8. Nach dem Kauf durch den “neuen” Kriminellen wird der Rechner des Opfers mit dessen Schadsoftware infiziert – mit dem Trojaner im Hintergrund keine Leistung mehr ;-)
  9. Für die Installation der neuen Schadsoftware durch den Golden Cash Trojaner wird das Konto des  “neuen” Kriminellen mit einem Betrag y belastet
  10. Gehe nach 7. (Der Rechner wird weiteren Kriminellen zur Infektion angeboten)

Besonders schön an diesem Beispiel ist, dass hier die Preise für gehackte PCs publik gemacht werden, die mit 0,5 Cent (Währung Dollar) bis hin zu 10 Cent (Währung Dollar) pro kontrolliertem, aber schon abgeerntetem Rechner so gering sind, dass für jedermann nachvollziehbar ist, dass hier nur durch eine große Zahl gehackter Rechner wirklich relevanter Umsatz gemacht werden kann.

Ein Virenscanner bietet in diesem Szenario nur dann Schutz, wenn die Filter für die Erkennung der Schadsoftware die oft für jeden Angriffslauf modifizierten Exploits erkennen und ausschalten können. Nahezulegen sind Virenscanner wie F-Secure Anti-Virus , AntiVir , Norton Internet Security, Norton Internet Security aber allemal…

Backupstrategien – Datensicherungskonzept

Während sich für Apple User mit Apple’s Time Capsule eine kontinuierliche Datensicherung in Plug and Play Manier einrichten läßt, sind beim Windows PC die Möglichkeiten eine Datensicherung zu erstellen vielfältig. Wie oben beschrieben ist zwischen einem Vollbackup (Festplattenimage z.B. mit Acronis True Image Home 2009) und einer reinen Datensicherung, wie sie bei Windows auch mit Bordmitteln machbar ist, zu unterscheiden. Wer seinen Rechner schon ein oder zwei mal neu aufgesetzt hat, weiss die mit einem Festplattenimage einhergehende Zeitersparnis sehr zu schätzen – Image aufspielen, weiterarbeiten als ob nichts gewesen wäre. Problematisch in der täglichen Erstellung solcher Images ist der dafür benötigte Zeitaufwand und Speicherplatzbedarf. Daher sollte ein Festplattenimage immer direkt vor (Sicherheitskopie falls etwas schiefgeht) und direkt nach einer größeren Änderung (neuer Stand) am System erstellt werden.

Für die reine Datensicherung, die sich als tägliche Ergänzung des von Zeit zu Zeit erstellten Festplattenimages anbietet, gibt es die Möglichkeit vollständige Backups aller ausgewählten Daten zu erstellen, oder jeweils nur die, die sich seit der letzten Sicherung geändert haben. Während die vollständige Sicherung einem jeweils eine komplette Sicherung des Datenbestandes liefert, verteilt sich beim inkrementellen / differentiellen Backup die Datensicherung unter Umständen auf mehrere Archive .

Zu finden ist das bei Windows eingebaute Backup-Programm unter

>Start>Alle Programme>Zubehör>Systemprogramme>Sicherung

Die Komplexität des Programmes hält sich in Grenzen, es ist aber dringend zu empfehlen, mit den Backupoptionen des Programms in Testszenarien, z.B. mit einem extra dafür angelegten Testordner!, Erfahrungen zu sammeln:

  • Ordner sichern, Ordner an einem anderen Ort wiederherstellen
  • Eine Datei im gesicherten Ordner ändern, Backup erstellen, Rückspielergebnis vergleichen
  • Datei im gesicherten Ordner löschen,…

Mit solchen Erfahrungen im Rücken läßt sich das eigene Backup so einrichten, dass es optimale Datensicherheit bei minimalem (zeitlichen und resourceiellem) Aufwand bringt.

Backupstrategien – Verschlüsselte Archive

Um die wertvollen Daten im Backup zu schützen scheint es nahe liegend, die Datenarchive durch Verschlüsselung zu schützen. Diese Art des Schutzes ist aber durchaus mit Vorsicht zu genießen, da einem die Umstände hier schnell einen Strich durch die Rechnung machen können. Nichts ist ärgerlicher, als über eine dringend benötigte Datensicherung zu verfügen und festzustellen, dass das Passwort „nicht funktioniert“ … – und dieses Szenario ist gar nicht so selten, wenn man bedenkt, dass das Einspielen eines Backups oft mit einem großen Stress verbunden ist. Da kann es schon mal passieren, dass bei dem sicheren Passwort ein so dringend benötigtes Zeichen mit seiner Position im Passwort gerade nicht einfällt, oder das falsche Passwort zum Einsatz gebracht wird :-(
Eine weitere Gefahr, die bei der Verschlüsselung oft besonders unangenehm zur Geltung kommt, sind Lesefehler des Datenträgers. Während bei unverschlüsselten Datenarchiven beim Auftreten von Lesefehlern oft noch Rettungsmaßnahmen möglich sind, und unter Umständen nur einzelne Dateien nicht wieder hergestellt werden können, ist bei einem verschlüsselten Archiv in diesem Fall oft Hopfen und Malz verloren. Grundsätzlich ist zu überlegen, ob der recht einfach gestrickte Passwortschutz direkt beim Erstellen des Backuparchivs eingesetzt wird, oder ob das Archiv unverschlüsselt erstellt wird und erst in einem zweiten Schritt mit einem Verschlüsselungsprogramm eine hochwertige Verschlüsselung, z.B. mit einem auf einer Smartcard gespeicherten Schlüssel, angewandt wird.

Google Apps – Verschlüsselung angedacht

Den wenigsten Nutzern ist klar, wie rechenaufwendig – und damit teuer – verschlüsselte Datenverbindungen (https / transportlayer security) sind. ;-) Leider ist aber noch viel weniger Nutzern klar, dass sie ihre privaten oder gar geschäftlichen, vertraulichen Daten völlig ungeschützt, für “jeden” zum “Abhören” freigegeben, über das Internet transferieren, wenn Sie ihre Office Applikationen nicht lokal am Rechner installiert haben und stattdessen einen webbasierten Dienst, wie beispielsweise die Google Apps nutzen. :-(

Und genau in dieser “Unwissenheit” liegt das Problem. Wenn ich mich bewußt dafür entscheide, meine Daten bei einem externen Dienstleister zu verarbeiten und sie offen und klartextlich dorthin zu schicken, zeugt dies zwar nicht von einem hohen Sicherheitsbewußtsein, ist aber ohne weiteres vertretbar, da die Gefahr bekannt ist. Kritisch wird die Sache nur dann, wenn ich mir dieser Tatsache nicht bewußt bin und vertrauliche Daten unwissentlich dieser (Abhör-)Gefahr aussetze. Da bei vielen Nutzern das notwendige Wissen und leider auch das zugehörige Gefahrenbewußtsein wenig ausgeprägt ist, ist die Forderung nach grundsätzlicher Verschlüsselung von potentiell kritischen Webdiensten durchaus zu unterstützen – trotz der anfallenden Kosten …

Backupstrategien – Schutz der Archive

Die in einem Backup enthaltenen Daten stellen die Datenbasis des Nutzers dar. Je nach Art der gesicherten Daten, kann dieses Backuparchiv einen beträchtlichen Wert beinhalten: vertrauliche Daten, persönliche Daten, Geschäftsunterlagen, Kundendaten etc.

Diese Daten bedürfen nicht nur auf dem Rechner, während der Nutzung eines sicheren Schutzes. Auch im Archiv müssen sie entsprechend geschützt werden. Wie dieser Schutz genau aussieht, bleibt dem Anwender überlassen. Grundsätzlich ist ein sorgfältiger Umgang mit Backups nahe zu legen. Diese sollten nicht auf unbeschrifteten Datenträgern herumfliegen, sollten nicht auf den externen Festplatten gesichert sein, mit denen der Datenaustausch mit Geschäftspartnern stattfindet etc. Datensicherungen gehören in einen (verschlossenen) Schrank oder einen Tresor und sollten für Dritte nicht zugänglich sein. Eine aussagekräftige Beschriftung hilft im Übrigen im Bedarfsfall den passenden Datenträger zeitnah ausfindig zu machen ;-)

Backupstrategien – Offsite Backup

Nur wer schon Daten durch ein Rechnerproblem, eigene Dummheit, Bequemlichkeit oder Fremdeinwirken, z.B. Diebstahl, Virus etc., verloren hat, kann den Wert eines aktuellen, funktionierenden Backups ermessen :-)
Dessen Wert erhöht sich noch einmal drastisch, wenn das Backup nicht auf dem Rechner abgelegt ist, dessen Datensicherung es beinhaltet. Möglich sind hier ein zweiter Rechner, ein externer Datenträger, z.B. eine externe Festplatte, eine DVD etc. Um Schutz vor Diebstahl, kleinen Katastrophen im Haushalt (Feuer, Überschwemmungen) zu finden, ist die Lagerung der Backups an einem anderen Standort (Offsite) zu empfehlen. Diese Art der Sicherung ist weniger für das tägliche Sichern gedacht, obwohl dies z.B. bei Kleinunternehmern, die das tägliche Backup aus dem Büro mit nach Hause nehmen können, eine sinnvolle Idee ist, als viel mehr als Notfallrettung, wenn Rechner und Datensicherung abhanden gekommen bzw. zerstört worden sind.

Durch die immer schnelleren Internetverbindungen ist eine weitere (Offsite-)Backupmöglichkeit dazu gekommen. Die Daten können über das Internet bei einem Backupdienstleister abgelegt werden. Da hier oft volumenbasierte Tarife angeboten werden, bietet sich diese Art der Sicherung vor allem für wichtige Daten (soweit man diese dem Dienstleister denn anvertrauen möchte) an. Hilfreich ist dies Art der Datensicherung natürlich auch, wenn man viel unterwegs ist, regelmäßige Datensicherungen aber nicht vernachlässigen möchte. Insbesondere gibt es dann auch mit einer einfachen Internetanbindung die Möglichkeit ohne große Umstände versehentlich gelöschte Daten z.B. auf dem Laptop aus dem Archiv wieder herzustellen.

Backupstrategien – Kombiniertes Vorgehen

Die Vorteile beider Welten, d.h. das einfache Restaurieren von versehentlich gelöschten Dateien und das einfache Wiederherstellen einer defekten Festplatte, lassen sich durch eine Kombination von Festplattenimage und dateibasiertem Backup nutzen. Ein regelmäßiges Festplattenimage nach größeren Änderungen am System, z.B. der Installation neuer Programme, bildet die Basis für das einfache Wiederherstellen des kompletten Systems. Zwischenzeitlich geänderte (Daten-)Dateien können über ein dateibasiertes Backup mit größerer Frequenz, z.B. täglich, gesichert werden und bei Bedarf das aus dem Festplattenimage neu erstellte System auf den aktuellen Datenbestand bringen.

Backupstrategien für Heimanwender

Bei Backups werden so genannte Festplattenimages und Dateibackups unterschieden. Beide Datensicherungen sind gleichermaßen sinnhaft, haben aber unterschiedliche Zielsetzungen. Am besten fährt der Anwender mit einer Kombination aus beiden Backupansätzen.

Bei einem Dateibackup wird von einem Backup-Programm eine Kopie der ausgewählten Dateien und Ordner in einem gemeinsamen Dateicontainer, dem Backuparchiv, abgespeichert. Im Fall eines Datenverlustes am Rechner, z.B. beim versehentlichen Löschen einer Datei kann dieser Dateicontainer genutzt werden, um daraus die verloren gegangenen Dateien wieder herzustellen. Um Daten vor einem Verlust bei Versagen der Festplatte zu schützen, ist das Anlegen des Backuparchivs auf einem externen Datenträger, z.B. einer externen Festplatte, oder einer DVD sinnvoll.

Um eine Rechner nach dem Versagen einer Festplatte vollständig wieder herzustellen, ist ein dateibasiertes Backup nur eingeschränkt Ziel führend. Damit können zwar prinzipiell alle vom System benötigten Dateien wieder hergestellt werden. Um ein „Neuaufsetzen“, d.h. das Installieren des Betriebssystems und aller Programme, kommt man mit einem solchen Backup in den seltensten Fällen herum. Durch das dateibasierte Backup besteht ein Schutz vor Datenverlusten, im Fall eines Crashs macht das wiederherrichten des Systems jedoch eine Menge Arbeit. Für ein solches Szenario ist die effiziente Lösung das Festplattenimage.

Ein Festplattenimage ist wie der Name schon nahe legt, eine eins zu eins Kopie der Festplatte mit allen darauf gespeicherten Daten. Anhand des Festplattenimages kann eine neue Festplatte in exakt den Stand versetzt werden, den das Original hatte. Im Fall der defekten Festplatte wird einfach eine neue, am besten identische Festplatte in den Rechner eingebaut, das Image der alten Platte aufgespielt und alles funktioniert wieder als ob nichts gewesen wäre. Bewährt für die Anwendung im Heimbereich haben sich die Produkte von Acronis: