Exploit-Datenbank wieder online

Das von dem Aus bedrohte Exploit-Portal Milw0rm ist wieder online … Für den an IT-Sicherheit Interessierten, der immer schon einmal wissen wollte, wie sich die Ausnutzung einer Schwachstelle im Programmcode darstellt, bietet sich dort die Gelegenheit Einblick in die veröffentlichten Exploits zu nehmen. Während in vielen Fällen kurze Skripte oder kleine Programme die Ausnutzung der Schwachstelle demonstrieren, reichen in anderen Fällen leicht modifizierte URLs, um Server zu vom Entwickler unvorhergesehenen Aktionen zu bringen

Insbesondere lassen sich die Exploits dazu verwenden, die eigene Verwundbarkeit zu testen und ggf. Gegenmaßnahmen in die Wege zu leiten. Von der Anwendung dieser Exploits auf Dritte ist dringend abzusehen !!!

Cyberwar – Denial of Service als PR Waffe?

Wie der Spiegel Online schreibt (CYBER-ANGRIFF: Hacker attackieren amerikanische und südkoreanische Websites) und auch Golem berichtet (Lässt Kim Yong Il jetzt im Internet die Muskeln spielen?) findet bzw. eher fand im großen weiten Netz mal wieder eine breit angelegte Denial of Service Attacke statt. Da es sich bei den durch gehackte Rechner erfolgten Angriffen um ausgewählte Ziele in den USA und Süd Korea gehandelt haben soll, liegt die Spekulation über eine politische Motivation nahe.

Im Gegensatz zur Spionage, dem Datendiebstahl oder der Datenmanipulation durch Trojaner und Spyware handelt es sich beim Denial of Service aber inhaltlich eher um ein stumpfes Schwert. Der Vorteil eines solchen Angriffs liegt aber ganz klar in seiner symbolischen Wirkung, da er vor einer breiten Öffentlichkeit – Stichwort Medien  – nicht verborgen werden kann . Während  Spionagetätigkeit, erfolgreich oder erfolglos, eher unter der Decke gehalten wird und nur beim Entdecken eines besonders dreisten und ggf. schon wieder veralteten Angriffes eine Pressemitteilung erscheint – in der Art wir wurden angegriffen, es ist aber nichts passiert , sind beim Denial of Service die Anwender, d.h. die Öffentlichkeit, betroffen. Ist der Denial of Service Angriff breit genug angelegt und von hinreichender Dauer, so wird dieses Säbelrasseln in der Öffentlichkeit wahrgenommen und hinterfragt – also eine erfolgreiche PR-Maßnahme…

Update 10.7.09: Bei Heise.de gibt unter dem Titel DDoS-Angriffe per Zombie-Rechner: “Nordkoreas mächtige Hackerarmee“? mittlerweile neuere Spekulationen zu der Thematik. Unter anderem wird von einer aktuell eigentlich eher selten gewordenen Schadfunktion des zuständigen Trojaners, über den die DDos Angriffe koordiniert werden, gesprochen, das Löschen der Festplatten.

Im Übrigen spekuliert auch der Spiegel Online unter Ausnutzung von DAP Material schlagzeilenwirksam weiter kräftig mit:  CYBER-ATTACKEN Das letzte Gefecht der Zombie-Armee

Update 15.7.09: Heise.de lokalisiert die Angreifer in Großbritannien (DDoS-Angriffe auf Südkorea und USA kamen aus Großbritannien) während die Pressemitteilung von Global Digital Broadcasting (DDoS on US and South Korea) eher wieder in Richtung Nord Korea weist…

Hacker im Dienste ihrer Majestät

Nach den Vereinigten Staaten von Amerika, der Bundesrepublik Deutschland und vielen anderen Nationen arbeitet jetzt auch Großbritannien am Schutz seiner IT-Infrastrukturen gegen feindliche Cyberkrieger aus dem Osten (Russland & China).  Für Cybersicherheit sorgen sollen das Office of Cyber Security (OCS) und das Cyber Security Operations Centre (CSOC), wobei im CSOC altgediente Hacker ihr Wissen zum Schutz der Nation einbringen sollen…

Mehr zum Thema unter: Großbritannien baut Cyberwartruppe mit Hackern auf (Golem)

Wie Hacken funktioniert – Exploit

Weder Betriebssysteme noch Anwendungen sind aus sicherheitstechnischer Sicht perfekt – dafür ist die Sache einfach zu komplex. Funktionsvielfalt, Zeitdruck bei der Fertigstellung, Inkompetenz der Entwickler etc. potenzieren die Fehlerhäufigkeit. Für den geneigten Hacker sind Fehler in Anwendungen die Eintrittskarte zur Übernahme des Rechners. Gelingt es, einen Fehler im Programm so auszunutzen, dass damit das Programm dazu motiviert werden kann, Programmcode vom Hacker auszuführen, sind die Tore sperrangelweit offen. Jetzt muss der Hacker nur noch „hoffen“, dass der Benutzer, in dessen Berechtigungskontext die fehlerbehaftete Anwendung arbeitet, hinreichende Rechte für die Installation von Software des Hackers hat, mit der dieser den Rechner dann kontrollieren kann. Ist diese Installation erfolgreich, hat der Hacker den Rechner übernommen, unter seine Kontrolle gebracht.

Bei gängigen Betriebssystemen und häufig genutzten Anwendungen sind viele der „einfach“ zu findenden Fehler mittlerweile beseitigt bzw. durch Aktualisierungen (Updates) gestopft. Eine Vielzahl von Sicherheitslücken bleibt jedoch (vorerst) unentdeckt oder kann nicht instantan gestopft werden. Hier setzt die „Arbeit“ des Hackers auf. Mit Sachkenntnis und Erfahrung sowie den geeigneten Werkzeugen gerüstet füttert er die anvisierten Anwendungen mit Daten für deren Verarbeitung diese nur bedingt gedacht sind und versucht sie so zur Ausführung von Programmcode zu bewegen, der ihm Zugang zum System verschaft. Findet er eine solche Möglichkeit, dann hat er eine Sicherheitslücke im Programm identifiziert.

In einem zweiten Schritt, wird er versuchen die Ausnutzung der Sicherheitslücke zum Einbringen von eigenem Code auszutesten und einen Prototypen, einen Proof of Concept zu programmieren, der auch auf anderen Rechnern mit der gleichen Anwendung verifiziert werden kann. Sind diese Tests erfolgreich, spricht man bereits von einem Exploit.

In einem abschließenden Schritt wird der Exploit so modifiziert, dass er die vom Hacker intendierte Schadroutine, z.B. die Installation eines Trojaners, bei Aufruf ausführt und über einen geeigneten Weg an mögliche Opfer verteilt werden kann.

Schutzmaßnahmen

Bei derartigen Szenarien stellt sich natürlich immer auch die Frage, wie kann ich mich dagegen schützen. Von einem auf Sicherheitslücken in der Softwar aufbauenden Angriff ist potentiell jeder betroffen. Schutz dagegen gibt es nicht wirklich , aber die Wahrscheinlichkeit für einen solchen Angriff läßt sich verkleinern, wenn man:

1. schnellstmöglich alle verfügbaren (Sicherheits-)updates für Betriebssystem und Anwendungen installiert!!!
2. zum Arbeiten, insbesondere zum Surfen im Internet, einen Benutzeraccount verwendet, der sehr eingeschränkte Rechte auf dem Rechner hat – in keinem Fall als Administrator
3. einen “Virenscanner” (F-Secure Anti-Virus , AntiVir , Norton Internet Security, Norton Internet Security ) mit regelmäßig aktualisierten Virendefinitionen den gesamten Datenverkehr von und zum Internet prüfen läßt.
4. nur die Anwendungen installiert, die man wirklich benötigt und aktuell halten kann
5. beim Surfen den Browser so konfiguriert, dass dieser möglichst wenig Freiheiten bei dem Download, der Ausführung und Anzeige von heruntergeladenen Programmen hat
6. Vorsicht bei Emails mit eingebetteten und angehängten Dateien walten läßt
7. …

Erweitertes Businessmodell für Cyberkriminelle

Das nicht mehr wie in den frühen, glorifizierten Zeiten der Ruhm des Hackers im Vordergrund steht, sondern harte Dollar-Währung, dürfte mittlerweile auch bei dem letzen Computer-Besitzer angekommen sein. Wie schon in den Postings über den Wert eines gehackten PCs für den Hacker auf dieser Seite erwähnt, steht nicht allein die “Datenernte” (FTP-Accounts, Mail-Accounts, Kreditkartennummern, etc.) im Zentrum des Interesses. Gerade die Kontrolle über den gehackten PC, die Möglichkeit dort Software zu installieren und ihn fernzusteuern, wird mehr und mehr zum Businessmodell für Hacker. Zentral für dieses Geschäftsmodell sind “elektronische Handelsplattformenen”, auf denen gehackte PCs, bzw. der Zugang dazu, verkauft und geordert werden können.

Das Neue an dem Handel mit gehackten Rechnern, wie es am Beispiel des Golden Cash Network & Botnets durch den IT-Dienstleister Finjan in dem lesenwerten Cybercrime Intelligence Report beleuchtet wird, ist die Beobachtung, dass gehackte Rechner auf der Handelsplattform nicht als One Time Asset gesehen werden, sondern mehrfach verkauft werden und von jedem neuen “Käufer” erneut mit einer eigenen Schadsoftware ausgestattet werden können – oft mit dem Ziel weitere Rechner zu infizieren, um diese an andere Cyberkriminelle weiterzuverkaufen, die einen “anderen” Nutzungszweck für die Maschinen haben.

Das Businessmodell in in Stichpunkten:

1. Opfer besucht eine kompromittierte Website
2. Ãœber ein IFrame wird Schadsoftware von einem Server Angriffswerkzeugen nachgeladen
3. Ist mit diesen Angriffswerkzeugen die Übernahme des Rechners des Opfers möglich, wird ein spezieller Trojaner von dem Golden Cash Server installiert
4. Nach der Installation meldet sich der Trojaner am Golden Cash Server an und wird von diesem in den Pool der vom Golden Cash Server kontrollierten Maschinen übernommen.
5. Dem Golden Cash Konto des Hacker, der die Infektion über den IFrame und den Schadcode ermöglicht hat, wird ein Betrag x gutgeschrieben, wobei der Betrag von dem Ort abhängt, an dem der gehackte Rechner steht…
6. Der Golden Cash Server weist den Trojaner an auf dem Rechner des Opfers nach FTP-Zugangsdaten zu suchen.
7. Der infizierte Rechner des Opfers wird über eine spezielle Website anderen (Cyber-)Kriminellen angeboten, wobei der Preis davon abhängt, wo dieser Rechner steht
8. Nach dem Kauf durch den “neuen” Kriminellen wird der Rechner des Opfers mit dessen Schadsoftware infiziert – mit dem Trojaner im Hintergrund keine Leistung mehr
9. Für die Installation der neuen Schadsoftware durch den Golden Cash Trojaner wird das Konto des  “neuen” Kriminellen mit einem Betrag y belastet
10. Gehe nach 7. (Der Rechner wird weiteren Kriminellen zur Infektion angeboten)

Besonders schön an diesem Beispiel ist, dass hier die Preise für gehackte PCs publik gemacht werden, die mit 0,5 Cent (Währung Dollar) bis hin zu 10 Cent (Währung Dollar) pro kontrolliertem, aber schon abgeerntetem Rechner so gering sind, dass für jedermann nachvollziehbar ist, dass hier nur durch eine große Zahl gehackter Rechner wirklich relevanter Umsatz gemacht werden kann.

Ein Virenscanner bietet in diesem Szenario nur dann Schutz, wenn die Filter für die Erkennung der Schadsoftware die oft für jeden Angriffslauf modifizierten Exploits erkennen und ausschalten können. Nahezulegen sind Virenscanner wie F-Secure Anti-Virus , AntiVir , Norton Internet Security, Norton Internet Security aber allemal…

Wert eines gehackten PCs – 2 (Spam)

Wenn sich E-Mail Spam nicht auf die eine oder andere Weise rechnen würde, gäbe es nicht so viel davon. Da die meisten Spam durch ihren Provider oder ihren “Viren-Scanner” oder ihr E-Mail-Programm ausfiltern lassen, ist die Erfolgsquote sehr sehr gering. Um Spam dennoch an den “Empfänger” zu bringen können sehr gut gehackte PCs eingesetzt werden. Für den Hacker stellen sie hinsichtlich des E-Mail-Spammings in mehrfacher Hinsicht eine “werthaltige”, d.h. eine verkaufbare, Resource dar.

Ganz trivial kann auf dem übernommenen Rechner ein E-Mail-Programm installiert werden, dass “im Auftrag” von diesem Rechner aus Spam E-Mails versendet – pro Minute mehrere hundert oder tausend, je nach Qualität der Internetanbindung und der Leistungsfähigkeit des Rechners.

Wenn nun zufällig der rechtmäßige Eigentümer des Rechners diesen auch für eigene E-Mail-Aktivitäten einsetzt, kann der Hacker dieses auf mehrfache Weise ausnutzen. Zum ersten kann er das E-Mail-Konto des Nutzers hacken, z.B. durch einen Key-Logger (Aufzeichnung der Tastatureingaben), Nutzung des normalen E-Mail Clients etc. , um danach über dieses Konto die Spam E-Mails versenden, die nun, da sie von einem “rechtmäßigen” E-Mail-Nutzerkonto kommen, von den Filtern mit geringerer Wahrscheinlichkeit aussortiert werden…

Zum zweiten läßt sich der reguläre E-Mail-Verkehr des rechtmäßigen Eigentümers des PCs auswerten, um an neue E-Mail-Adressen zu kommen. Dies kann über das interne Adressbuch geschehen, aber auch durch eine Filterung des Postein- bzw. ausgangs erfolgen. Dadurch wächst die Liste mit gültigen E-Mail-Addressen, die für den Spam-Versand genutzt werden können.

Hat der Hacker Interesse noch weitere PCs von anderen Nutzern zu übernehmen, so ist mit einem bereits übernommenen PC mit einem funktionstüchten E-Mail-Konto bereits die erste Hürde genommen. Von diesem Konto aus kann der Hacker an die Nutzer aus dem Addressbuch dieses Kontos per E-Mail Schadsoftware – im Normalfall einen Trojaner – verschicken. Die Wahrscheinlichkeit, dass die Empfänger diesen Trojaner ausführen, da er ja von einem “Bekannten” kommt und damit “vertrauenswürdig” ist, ist ziemlich hoch. Schon ist die Armee der übernommenen PCs des Hackers wieder gewachsen. Der Zuwachs kann nach Plünderung (z.B. der Email-Daten) meistbietend verkauft werden …

Warum werden PCs gehackt?

Eine häufig anzutreffende Einstellung zum Schutz des eigenen Rechners lautet: “Ich habe doch keine wertvollen Informationen, daher brauche ich meinen Rechner nicht zu schützen.”

Diesen auf den ersten Blick einmal nachvollziehbaren Standpunkt zu entkräften wird sehr leicht, wenn man untersucht, worin der Wert eines gehackten PCs für den Hacker liegt. Ausgangspunkt einer ersten Wertbetrachtung ist die Ãœberlegung, dass der übernommene Rechner Zugang zum Internet hat und von dem rechtmäßigen Benutzer regelmäßig für allerlei Aktivitäten im Internet genutzt wird – sonst wäre der Internetzugang unsinnig

Verbreitung illegaler Inhalte

Jeder Rechner, der einen Internetzugang hat, kann nicht allein Daten aus dem Internet abrufen, sondern auch Daten zum Abruf aus dem Internet bereitstellen – der klassische Web-Server sei hier als Beispiel genannt. Für einen Hacker, der fremde Rechner kontrolliert, gibt es damit die Möglichkeit illegale Inhalte (Raubkopien, sexuell anrüchiges oder gar verbotenes Material etc.) zu verbreiten bzw. zu vertreiben, ohne selbst als Verursacher identifiziert werden zu können. Sämtliche Ermittlungen “enden” bei dem Besitzer des ungeschützten Rechners …

Selbstverständlich muss die Verteilung nicht zwangsläufig als Web-Server umgesetzt werden, File-Sharing, FTP-Downloadsites oder sonstige File oder Datenservices sind je nach Anwendungsszenario von dem Hacker einzurichten.

Geld verdienen

Geld verdienen kann der Hacker ganz profan durch den Verkauf der illegalen Inhalte, die auf diese Weise nicht zu Ihm zurück verfolgt werden können, oder, wenn er sich diesen “Vertrieb” nicht antun möchte, über die “Vermietung” oder den “Verkauf” des gehackten Rechners an einen Anbieter illegaler Inhalte. Der Preis einer solchen “Vertriebsplattform” dürfte z.B. von der üblichen Onlinezeit des Rechners und der Bandbreite der Internetanbindung abhängen.

Schaden

Der Schaden für den rechtmäßigen Besitzer des Rechners entsteht insbesondere durch die “Unannehmlichkeiten”, die bei Schadensanzeigen durch Dritte und der Strafverfolgung durch die Behörden erwachsen. Neben der zu erwartenden Beschlagnahme des Rechners und einer möglichen Durchsuchung der eigenen Wohnung bzw. des Arbeitsplatzes gibt es jede Menge Aufwand, sich durch teure Juristen und Sachverständige von dem Verdacht der Verbreitung illegaler Inhalte wieder rein zu waschen – sofern dies überhaupt möglich ist. In jedem Fall sind  Ärger und Streß, selbstverständlich auch die Kosten, deutlich höher als der Preis für einen sachgemäßen Schutz des Rechners, der selbst dann, wenn z.B. aufgrund von Fehlkonfiguration trotzdem ein Mißbrauch stattfinden sollte, dem geschädigten Besitzer des Rechners vor Gericht bessere Karten in die Hand gibt …

Auch wenn diese “Nutzung” des gehackten Rechners m.E. einen beträchtlichen Wert für den Hacker bzw. den neuen Nutzer des Rechners, der die Kontrolle des Rechners vom Hacker erworben hat, darstellt, handelt es sich bei weitem nicht um das einzige Szenario mit dem ein Hacker  reichlich Geld (der Skalenfaktor durch die große Zahl automatisch kompromittierter Rechner bringt den Umsatz, der hier da illegal mehr oder weniger mit dem Gewinn gleichgesetzt werden kann) verdienen kann.

Hackerangriffe / Spionagenetzwerk

Mit “Ghostnet” ist ein riesiges Spionagenetzwerk entdeckt worden, das scheinbar gezielt eine Vielzahl von Rechnern, die sich in Ministerien, Botschaften, internationalen Institutionen etc. befinden, kompromittiert hat.

Aus Sicht des IT-Sicherheitseinsteigers ist insbesondere die jetzt anhand von Belegen nachvollziehbare Erkenntnis wertvoll, dass es sich bei derartigen Angriffsszenarien offensichtlich nicht um irgendwelche Hirngespinste von paranoiden Sicherheitsfreaks handelt, sondern um ein nicht unübliches Vorgehen krimineller? Organisationenen. Für den großen Maßstab solcher Computerübernahmen spricht zum einen, dass es sich um ein komplettes, automatisiertes Spionagenetzwerk handelt, und zum anderen, dass gezielt Rechner übernommen werden konnten.

Eingeleitet wurde die Übernahme der Zielrechner unter anderem durch, wie könnte es anders sein, Email-Anhänge oder in Emails verschickten Links zu Schadsoftware, die die Fernsteuerung des Rechners ermöglichte.

Nicht verwunderlich ist die Nutzung der übernommenen Rechner zur Raumüberwachung bei installierten Audio (Mikrofon) und Video (Kamera) Komponenten – auch wenn das Hauptaugenmerk sicher auf dem Durchsuchen des Rechners (Dateisystem) und dem “Abhören” des e-Mail-Verkehrs liegen dürfte.

Auch wenn es auf den ersten Blick erstaunlich erscheint, dass eine so große Zahl von Rechnern in sicherheitskritischen Umgebungen (die Presse spricht von ca. 1300 komprimitierten Systemen weltweit),  ist dies durchaus nachvollziehbar, wenn man sich überlegt, wie schwer es ist, sich wirkungsvoll gegen diese Art von Angriff zu schützen. Geht man davon aus, dass es sich bei der den entsprechenden Stellen untergejubelten Schadsoftware um spezifische Sonderanpassungen handelt, greift schon einmal kein Virenscanner, da diesem die notwendigen Erkennungsmuster fehlen. Berücksichtigt man dazu noch, dass in vielen Fällen die Nutzer, die auf einen solchen perfiden Link klicken entweder unabsichtlich die Infektion ihres Computers zulassen, weil sie mit einem User-Account arbeiten, der die Installation von Software erlaubt, oder absichtlich die Installation erlauben, da sie der Meinung sind, ein “sinnvolles” Programm zu installieren (Stichwort Trojaner), wundert es eher, dass nicht noch viel mehr Rechner auf diese Weise kompromittiert wurden.