Hackerangriffe / Spionagenetzwerk

Mit “Ghostnet” ist ein riesiges Spionagenetzwerk entdeckt worden, das scheinbar gezielt eine Vielzahl von Rechnern, die sich in Ministerien, Botschaften, internationalen Institutionen etc. befinden, kompromittiert hat.

Aus Sicht des IT-Sicherheitseinsteigers ist insbesondere die jetzt anhand von Belegen nachvollziehbare Erkenntnis wertvoll, dass es sich bei derartigen Angriffsszenarien offensichtlich nicht um irgendwelche Hirngespinste von paranoiden Sicherheitsfreaks handelt, sondern um ein nicht unübliches Vorgehen krimineller? Organisationenen. Für den großen Maßstab solcher Computerübernahmen spricht zum einen, dass es sich um ein komplettes, automatisiertes Spionagenetzwerk handelt, und zum anderen, dass gezielt Rechner übernommen werden konnten.

Eingeleitet wurde die Übernahme der Zielrechner unter anderem durch, wie könnte es anders sein, Email-Anhänge oder in Emails verschickten Links zu Schadsoftware, die die Fernsteuerung des Rechners ermöglichte.

Nicht verwunderlich ist die Nutzung der übernommenen Rechner zur Raumüberwachung bei installierten Audio (Mikrofon) und Video (Kamera) Komponenten – auch wenn das Hauptaugenmerk sicher auf dem Durchsuchen des Rechners (Dateisystem) und dem “Abhören” des e-Mail-Verkehrs liegen dürfte.

Auch wenn es auf den ersten Blick erstaunlich erscheint, dass eine so große Zahl von Rechnern in sicherheitskritischen Umgebungen (die Presse spricht von ca. 1300 komprimitierten Systemen weltweit),  ist dies durchaus nachvollziehbar, wenn man sich überlegt, wie schwer es ist, sich wirkungsvoll gegen diese Art von Angriff zu schützen. Geht man davon aus, dass es sich bei der den entsprechenden Stellen untergejubelten Schadsoftware um spezifische Sonderanpassungen handelt, greift schon einmal kein Virenscanner, da diesem die notwendigen Erkennungsmuster fehlen. Berücksichtigt man dazu noch, dass in vielen Fällen die Nutzer, die auf einen solchen perfiden Link klicken entweder unabsichtlich die Infektion ihres Computers zulassen, weil sie mit einem User-Account arbeiten, der die Installation von Software erlaubt, oder absichtlich die Installation erlauben, da sie der Meinung sind, ein “sinnvolles” Programm zu installieren (Stichwort Trojaner), wundert es eher, dass nicht noch viel mehr Rechner auf diese Weise kompromittiert wurden.

Umfrage – Opfer eines Computervirus

Viren- und Trojanerbefall eines Rechners sind an der Tagesordnung – wenn man den Herstellern von Virenschutzsoftware Glauben schenkt.  Wie sieht es im konkreten Fall aus?

 Loading ...

Das leidige Thema sichere Passwörter

Da bei der Welt gerade ein einsteigergerechter Artikel über ungeeignete und geeignete Passworte online ist (So scheitern Onlinebetrüger) möchte ich an dieser Stelle den geneigten Leser auf diese Publikation hinweisen.
Die Passwortproblematik an sich ist damit natürlich noch nicht gelöst – aber man kann es den Kriminellen zumindest etwas schwerer machen. In der Regel ertappt sich jeder bei dem Lesen eines solchen Artikels bei der Erkenntnis selbst eines der genannten Passworte schon einmal, wenn nicht sogar aktuell genutzt zu haben.
Dies ist aber auch nicht verwunderlich, da die Möglichkeiten praktikable Passworte auszuwählen nicht unendlich groß sind. Wenn das Passwort einfach ist, mangelt es an Sicherheit. Ist es zu kompiliziert, kann man es sich nicht merken; aufschreiben ist auch böse und die Merkregeln helfen einem auch nicht weiter, wenn man das Passwort mal zwei Monate nicht mehr benutzen brauchte. Wenn einen dann noch die Software zwingt, dass Passwort regelmäßig alle sechs Wochen zu wechseln, ist alles verloren.
Die einzige Lösung, die einem hier weiterhelfen kann, ist ein sogenannter Passwortsafe, ein Programm, dass die verwendeten Passwörter sicher, d.h. verschlüsselt, auf einem Gerät, z.B. dem Mobiltelefon, speichert und gegen Eingabe eines sicheren Masterpasswortes wieder freigibt.
Mit einem solchen Programm, werden sichere Passworte praktikabel, auch wenn ihre Nutzung an sich eher unbequem ist.

Ebenfalls aus der Welt diese kleine Info (Wie Kriminelle Passwoerter knacken) über das Vorgehen krimineller Subjekte beim stehlen von Passworten.

Erstaunlich viele Opfer von Computerkriminalität

IT-Sicherheit wird immer wichtiger – und zwar in einem umfassenden IT-Sicherheitskonzept. Eine dichte Firewall hilft viel, nützt aber wenig, wenn beliebige Personen Ihren USB-Stick an einen Firmenrechner anschließen dürfen. Von entscheidender Bedeutung ist es, von kriminellen Vorfällen überhaupt Kenntnis zu erlangen, um entsprechende Gegenmaßnahmen einzuleiten. Wie von Heise (Schleswig-Holstein: 39 Prozent der Betriebe von Computerkriminalität betroffen) zitiert, sind rund 40 Prozent der befragten 2000 Unternehmen Opfer von Angriffen geworden, von denen wiederum über 90 Prozent erfolgreich abgewehrt werden konnten.

Viel schlimmer aus Sicht der IT-Sicherheit ist aber die Menge der Unternehmen (20 Prozent), die “nicht wissen”, ob Sie ein Opfer von Computerkriminalität geworden sind. Unterstellt, dass ein Teil der befragten Unternehmen einfach keine Auskunft geben wollte, bleibt immer noch eine erschreckend große Anzahl von Unternehmen, die nicht einmal wissen, ob sie ein Opfer von Computerkriminalität geworden sind und daher auch keine Gegenmaßnahmen ergreifen (können).

Derartige Zahlen zugrunde legend, ist es für ein Unternehmen heutzutage ausnehmend wichtig, regelmäßige Security Audits durchzuführen. Betroffen von Computerkriminalität sind nicht nur die “Großen”. Gerade im Kleinunternehmen kann Computerkriminalität dramatische Auswirkungen haben.

Handy als “Wanze”

Ist es wirklich möglich, ein Handy so umzuprogrammieren, dass es sich als “Wanze” mißbrauchen läßt? Wenn man den Medien (”Ermittlungsbehören hören über Handy heimlich mit“) glaubt, ist diese Technik bereits Gang und Gäbe. Aus technischer Sicht betrachtet, gibt es sicher Möglichkeiten ein Handy so massiv umzuprogrammieren, dass es derartige Zusatzfunktionalitäten bereitstellen kann. Dass diese Technik für alle Handys adaptiert werden kann, ist m.E. eher unwahrscheinlich. Auch halte ich es für eine technische Herausforderung, die Aktivität eines solchen Trojaners dauerhaft zu verstecken, da bereits der wohl deutlich erhöhte Energiebedarf bei einer dauerhaften Ãœberwachung zu einer schnellen Entladung des Akkus führt, sollten dem Benutzer bereits an dieser Stelle Zweifel kommen. Wie sich eine solche Wanze in den normalen Gebrauch eines Handys – was passiert, wenn die Wanze aktiv ist, und der Nutzer einen Anruf tätigen möchte? – reibungslos integriert, ist wohl auch zu klären.

Cross Site Scripting zum Ausprobieren

Jeder, der sich mit der Sicherheit von Websites beschäftigt hat, wurde sicher schon mehr als einmal mit der Sicherheitsproblematik, die sich aus dem “Cross Site Scripting” (XSS) ergibt, konfrontiert. Das dieser Angriff mit Javascript funktioniert ist dem einen oder anderen gegebenenfalls auch noch klar. Dann hört es aber oft schon auf, denn die wenigsten haben sich wahrscheinlich Mühe gegeben, einen derartigen Angriff auf die Sicherheit des Anwenders nachzuvollziehen. Mit dem sehr schönen und einfach nachzuvollziehenden Artikel von Jürgen Schmidt (”Passwortklau für Dummies“, erschienen bei Heise) gibt es jetzt eine gute Möglichkeit diesen Angriff zu verstehen, auf ungefährliche Weise dieses Angriffszenario einmal selbst auszuprobieren und ein Gefühl für diese Art von Angriff zu bekommen.

Sicheres Online Banking – Einsteiger Artikel im Handelsblatt online

Im Handelsblatt (”Online Banking – aber sicher“) ist von Martin Koch aktuell ein Einsteiger tauglicher Artikel über die (Un-)Sicherheitsproblematik des Online-Bankings veröffentlicht. Darin werden einfach nachvollziehbar die Sicherheitstechnologien – Pin/Tan, HBCI etc. – diskutiert. Was mir besonders gefällt, ist die Verbindung des Hinweises auf die Vorteile des Online Bankings mit der dringenden Empfehlung die notwendige Umsicht walten zu lassen und das online verwaltete Konto regelmäßig zu kontrollieren! Dann können von Angreifern aufgestellte “Fallen” unter Umständen erkannt werden (wichtig: in diese Fall sollte umgehend der Kontakt mit der Bank gesucht werden!) und falls das Kind in den Brunnen gefallen ist, d.h. unerwünschte Buchungen auf dem Konto stattgefunden haben, diese unrechtmäßigen Buchungen rechtzeitig rückabgewickelt werden…
Kurz: Wenn man die Schwachstellen eines Verfahrens kennt, kann/muss man sich mit ihnen arrangieren oder einen ganz andern Weg nehmen.

DSIN (Deutschland sicher im Netz)

Eigentlich sind solche Initiativen ja zu befürworten. Bei der Sicherheit ist aber Vertrauen ein nicht zu unterschätzender Punkt: Gesundes Mißtrauen!
Liest man den Heise-Artikel (”DSIN wirbt für sicherere Server – und schlampt beim eigenen“), kann man leider schön feststellen, wie Vertrauen nicht geschaffen wird. Auch wenn die Initiative von Microsoft gefördert wird, sollte zumindest der Teletrust Verein darauf achten, dass auch die Nutzer anderer Betriebssysteme von der teureren? (ich meine mal gelesen zu haben, dass diese Zertifikate teurer sind???) extended Validation etwas haben und nicht auf die falsche Fährte geführt werden. Abgesehen davon, dass man sich über den Mehrwert von Websites, die Extended Validation Zertifikate anbieten sowieso streiten kann…

Der Umgang mit digitalen Zertifikaten und digitalen Signaturen ist alles andere als einfach, da die dahinterliegenden Technologien und Vertrauensmodelle sehr komplex sind. Hilfsmittel die den Umgang mit dieser Technologie erleichtern wollen nehmen dem Nutzer leider oft eine Menge seiner Eigenverantwortung ab – ohne wirklich vollständige Sicherheit bieten zu können.

IT-Sicherheit – was wirklich hilft (Welt.de)

Eigentlich mal ein ganz guter Artikel (”Echter Schutz vor Angriffen aus dem Netz“) zum Thema IT-Sicherheit. Da macht sich jemand (Stefanie Gaffron?) im Ansatz die Mühe zu hinterfragen, wie wirkungsvoll die üblicherweise?? kursierenden Schutzmaßnahmen wirklich sind. Problem bei dem Artikel sind nur die an der Zielgruppe vorbei gehenden Maßnahmen und Ratschläge – wer kann sich und seinem Kommunikationspartner zwecks sicherer Kommunikation schon eine SINA-Box kaufen? Die Mehrheit der Anwender dürfte für Chiffres auch keine sinnvolle Anwendung finden. Die Zwei Rechner-Lösung mit unterschiedlichen Betriebssystemen, von denen der eine Offline bleibt macht hingegen hinsichtlich der Datensicherheit durchaus Sinn. Dem Hinweis auf die Prüfung von Prüfsummen beim Download von Software vor der Installation, Verifikation von Signaturen und Absendern etc. kann man nur zustimmen.

Lagebericht zur IT-Sicherheit 2007 veröffentlicht

Vielleicht mal ein Blick auf die Sicht offizieller Stellen zur “Lage der Nation” (IT-Sicherheit), PDF-Datei …
Offensichtlich emanzipieren sich die deutschen Internetnutzer so langsam. Rechner ohne Virenscanner werden seltener und auch im privaten Bereich werden mehr Firewalls eingesetzt. Helfen tut’s leider wenig, da auch die Gegenseite aufrüstet. Professionell werden neu bekannt werdende Schwachstellen des Betriebssystems oder häufig genutzter Anwendungen innerhalb kürzester Zeit ausgenutzt – so schnell, dass mit einem Virenscanner oft wenig zu wollen ist Mit eigens dafür entworfenen Programmen, analog zu den Systemmanagementkonsolen im Unternehmen, mit denen alle Arbeitsplätze kontrolliert werden können, gibt es Verwaltungssoftware für die jetzt fremdgesteuerten, gekaperten Rechner, die diesen je nach Ziel Aufgaben (den Besitzer ausspionieren, andere Rechner blockieren, verbotene Daten laden etc.) zuweisen.

Ist der Rechner dann erst einmal unter fremder Kontrolle, ist alles zu spät und nach einer sorgfältigen Datensicherung (Rechner vom Netz trennen…) hilft nur die Neuinstallation von einem vertrauenswürdigen Medium.